Защита приватности в сети. Как заблокировать сбор данных вебсайтами. Часть 2

В первой части мы говорили об общих настройках для всех браузеров, вскользь прошлись по паролям, шифрованию и бекапе, а также несколько усложнили жизнь «Гуглу».

Содержание скрыть

Сегодня посмотрим (и избавимся) на то, сколько статистики собирают на нас даже без использования сторонних «куки»-файлов и расскажем о пользе и настройке VPN простым языком.

Хочу сказать большое спасибо всем, кто оставлял комментарии в прошлой статье (и оставит в этой) — все ваши дельные советы будут включены в этот или последующий мануалы.

Image result for big brother is watching you

Ghostery

Мало блокировать сторонние «куки», пока вы загружаете сайт. Ваш «заход» могут анализировать десятки различных сторонних скриптов. Вот, например, что работает в фоне, когда вы заходите просто узнать погоду на «Гисметео»:
— AdFox;
— AdRiver;
— Gemius;
— Google Analytics;
— LiveInternet;
— Rambler;
— ScoreCard Research Beacon;
— SUP media;
— TNS;
— Yandex.Direct.

Что-то из этого может быть простыми счетчиками посещаемости, что-то предоставлять владельцам сайтов данные для профилирования (скорость загрузки страниц, ресурсов и т. д.), что-то работает на рекламные модули. Могут быть и полезные вещи типа Adobe Typekit, который подгружает сторонние шрифты, чтобы сайт отображался именно так, как его задумали дизайнеры, а не используя стандартные шрифты вашей системы.

К спорным относятся сторонние модули комментариев, если на сайте нет системы своих. Кто-то использует disqus и похожие, кто-то комментарии от «Контакта», кто-то от «Фейсбука». Спорность их заключается в том, что, если вы залогинены в одной из таких систем, то, формально, любое ваше перемещение на сайт, содержащий кнопки «лайка» или «комментариев», могут логироваться = «все ходы записаны». Поэтому вопрос, который встает перед вами состоит в следующем: либо блокировать на сайтах подобные модули (поверьте, вы ничего особо не потеряете + меньше будет желание, что-нибудь написать самому — то, что в будущем могут использовать против вас), либо серфить, не будучи залогиненым в соц. сети.

Крайне простым способом отключить описанное выше (как рекламные трекеры, так и различные модули) является расширение для вашего браузера Ghostery — настроим его.

Согласитесь, странно, говоря о приватности, отсылать какую-либо статистику использования, поэтому здесь мы отключаем ее, но включаем автоматическое обновление данных по трекерам.

Далее, по желанию, включим всплывающее на 15 секунд уведомление о том, что было заблокировано на каждой конкретной странице, однако в качестве обязательного показывать по клику эту информацию (пригодится, если нужно будет на время что-то разблокировать на странице), а также автоматическую блокировку элементов, которые придут с обновлениями из предыдущего пункта.

Блокируем по умолчанию всё, кромe Typekit by Adobe в разделе Widgets (те самые дополнительные шрифты на страницах):

Теперь, когда мы снова зайдем на «Гисметео», всплывающий бабл радостно расскажет нам о всей SEO-гадости, которую он заблокировал на странице:

По клику на кнопку привидения в панели с цифрой, отображающей количество заблокированного, появляются мини-настройки ↓. К слову, опишу значки на скриншоте хрома слева направо:
— похожий на «пакмана» с крестом — информация о том, что были заблокированы определенные сторонние куки (мы включили это поведение в предыдущей статье). На него нужно нажимать, что разрешить работу определенного стороннего куки на сайте (например, на habrastorage разрешить куки от хабра, чтобы иметь возможность залить картинку);
— следующие два — значок добавления в избранное и pocket для сохранения страниц в целях будущего прочтения;
— третьим идет расширение AdBlock, позволяющего блокировать рекламу на сайтах;
— далее описываемый сейчас Ghostery;
— и, наконец, расширение No History для Хрома.

Как мы помним из предыдущей статьи, «Гугл» не дал возможности автоматической очистки истории спустя определенный период времени, принудительно заставляя нас собирать досье из посещенных страниц — данное расширение вообще отключает историю (Ctrl+Shift+T для открытия случайно закрытой вкладки при этом по-прежнему будет работать). Важно понимать, что подобные расширения есть не только для Хрома, но и для некоторых других браузеров (где-то и не все они нужны, например «Сафари» под маком позволяет включить автоматическое удаление истории, старее определенного периода).

Здесь вы можете узнать подробнее о каждом из заблокированных элементов (more info), а если вам нужно что-то разблокировать для конкретного сайта, нажмите на кнопку Edit Blocking Options и снимите нужные галочки (например, блок комментариев «Контакта», которые, однако, как уже говорил, лучше не включать, если вы залогинены под своим аккаунтом). В идеале, чистите после этого «куки» браузера, т. к. в них может набиться много разной дряни (хотя, вы же следуете совету из предыдущей статьи и настроили браузер так, что «куки» удаляются автоматически каждый раз, когда вы закрываете браузер).

Также полезно отключить плагины на всех сайтах (можно в настройках «Хрома» и последних билдах «Лисы»). Точнее, сделать их click-to-play, а именно нажимать мышкой на каждый (например, на флеш-видео) для его активации. Во-первых, сэкономите кучу трафика, во-вторых, безо всякого эдблока избавитесь от флеш-рекламы.

VPN

В прошлой статье тема VPN-соединения была упомянута лишь вскользь, но это не значит, что это какая-то не очень важная штука. Если объяснить простым языком, что это и с чем его едят, то это определенное защищенное от прослушки и перехвата окно в интернет. Представьте, что вы сидите где-нибудь в аэропорту и увидели своим ноутбуком/айпадом открытую Wi-Fi-сеть. Вы радостно к ней присоединитесь и даже не будете подозревать, что таким образом злоумышленник, сидящий в соседнем кресле, мог перехватить все ваши пароли, используемые в течении сессии.

Сейчас многие устройства могут поднимать собственную Wi-Fi сеть, поэтому злоумышленник легко мог поднять WiFi на своем компьютере и шарить свой 3G-интернет, пропуская весь ваш трафик через себя (и, соответственно, делая с ним всё, что угодно). Защитится от этого можно, если вы используете https-протокол для захода на сайт (весь трафик шифруется). Но, во-первых, не все сайты его по-прежнему используют, во-вторых, не везде он включен по умолчанию (например, «Фейсбук»), в-третьих, подобные соединения недавно были скомпрометированы и, поэтому, не являются больше панацеей.

[ad name=»Responbl»]

Защитой же от всего этого и является VPN-соединение. Весь ваш трафик шифруется и прогоняется через сторонний сервер, поэтому даже если этот трафик перехватят (вы подключитесь к непонятному Wi-Fi, или ваш роутер начнут «прослушивать»), он будет зашифрован и бесполезен для злоумышленников (понятное дело, что не на 100 % бесполезен, но, как минимум, придется сильно потрудится, чтобы что-то из этого извлечь).

В качестве бонуса, ваше местоположение (в плане IP-адреса) в интернете меняется с физического до того, где находится VPN-сервер, к которому вы подключились. Таким образом, например, можно видеть контент, который доступен только для определенных стран и не доступен из России. Однако, не стоит думать, что вас нельзя будет отследить — для этого нужно использовать другие технологии.

Распространены два типа VPN-провайдеров:
1. Первые предоставляют безлимитный месячный трафик, но только для одного устройства (т. е. одновременно нельзя использовать один аккаунт и на компьютеры, и на телефоны, если только это не дом, где вы настроили VPN на вашем роутере = защищены будут все клиенты, подключившиеся к роутеру).
2. Вторые дают возможность пользоваться на любом количестве устройств, но с ограниченной месячной квотой на пропущенный через сервера трафик (соответственно, чем больше трафика, тем дороже в месяц).

[ad name=»Responbl»]

Идеальная схема представляет собой комбинацию из двух: для домашнего компьютера, где вы много всего качаете, использовать провайдера из первой категории (например, HideMyAss за 6,5 $ в месяц при покупке годового плана) для выхода «в люди» (т. е. для телефонов, планшетов и прочих устройств, где вы не качаете сотни гигабайт в месяц) — провайдеров из второй категории (например, Cloak от 2 $ за 5 гигабайт в месяц).

Если вы думаете, что это все сложно настроить, то вы ошибаетесь. Вот, например, инструкция по установке VPN от Cloak на айфон/айпад:
1. Качаете их приложение, открываете, входите под своим логином-паролем и нажимаете установить профиль.
2. Открывается специальная страница в браузере и на ваше устройство скачивается файл-настроек соединения. Соглашаетесь его установить.
3. Откройте настройки iOS, раздел «Общие — VPN». В списке профилей будет установлен профиль Cloak. Включаем VPN-соединение, передвинув слайдер VPN в положение On ↓ Всё, вы защищены.

Небольшой хак, о котором не все знают. VPN на айфоне/айпаде отваливается в случае блокировки (само заново не подключается). Однако все, что нужно, чтобы VPN само подключалось каждый раз, когда вы выходите в интернет, — это нажать на «стрелочку» в названии профиля и поставить галочку «Connect on demand» (подключаться в случае необходимости). В этом случае, каждый раз, как только какому-нибудь приложению нужно будет выйти в интернет, сначала будет устанавливаться VPN-соединение.

Также стоит сказать, что не всегда при нашем качестве мобильной связи удается установить VPN-подключение. В этом случае, «интернета» просто не будет до тех пор, пока вы не отключите VPN-соединение (которое телефон будет безуспешно пытаться установить). Однако помните, что и шифрование 3G уже сломали. К тому же, насколько мне известно (поправьте меня, пожалуйста, если я не прав), данные шифруются только до ближайшей станции. Т. е., получается, ничто не мешает злоумышленникам поставить в соседнем офисе мини-соту вашего оператора (это делается абсолютно легально, чтобы улучшить качество сигнала в офисе: нужен лишь более-менее быстрый интернет-канал к офисной антенне), к которой радостно присоединится ваш телефон и слушать весь ваш трафик (в т. ч. и голосовой). VPN в этом случае защитит хотя бы трафик (так что, отключая, не забывайте включить обратно).

[ad name=»Responbl»]

Важно понимать, что в этом случае, например, у операторов не будут действовать опции бесплатного трафика для «Яндекс.Карт», т. к.трафик будет сначала до VPN-сервера, а оттуда уже до «Яндекс.Карт». Однако это не беда, т. к. что «Яндекс.Карты», что «Яндекс.Навигатор» наконец умеют скачивать на устройство локальную копию карт (т. е. весь трафик будет лишь на получение пробок и построение маршрута, что немного).

В следующей части поговорим о приватности в «Фейсбуке» и «Контакте».

Click to rate this post!
[Total: 12 Average: 3.9]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

7 comments On Защита приватности в сети. Как заблокировать сбор данных вебсайтами. Часть 2

  • Pingback: Защита приватности в сети. Как спрятаться от гугла? Часть1 - Cryptoworld ()

  • Pingback: Защита приватности в сети. Как защитить личные данные в соц. сетях. Часть 3 - Cryptoworld ()

  • Также обратите внимание на эту связку дополнений: uBlock + uMatrix + NoScript.

    • Статья 2013 года, я так понимаю ни uMatrix, ни uBlock тогда не было. Перенастроенный uMatrix заменяет мне всё( и adblock/ublock и noscript), да и чем меньше плагинов, тем лучше, потому что никто не знает какой порядок разбора html будет в случае кучи плагинов. В uMatrix правила по умолчанию меняю на такие, которые запрещают любой контент с третьих сайтов(разрешено только с того сайта, который открыт и с его поддоменов). Например, открыл сайт site.ru, картинки,стили,скрипты разрешено с этого же сайта загружать, а также http://www.site.ru,images.site.ru и любых других вида *.site.ru, а всё остальное запрещено -и скрипты и стили и картинки и фреймы и исполнение плагинов.Скрипты впрочем и для самого сайта запрещены по умолчанию, а уж если надо, то разрешаю нужные мне сайты через uMatrix. Почти вся реклама грузится со сторонних сайтов, а та которая располагается на самом сайте встречается очень редко, такую можно и потерпеть.
      Правила такие для uMatrix:
      * * * block
      * 1st-party * allow
      * 1st-party script block
      ну и потихоньку добавляются исключения для каких-то сайтов.
      Некоторые сайты конечно коробит такая политика, но это больше проблемы этих сайтов и их хозяев, а также горе-вебмастеров.
      Пользователь, должен быть уверен, что ходит по тем сайтам, адреса которых видит в адресной строке, а обменивается информацию с теми сайтами адреса которых он даже никогда не видел… Ну и ещё обязательно отключить предзагрузку ссылок, по которым браузер думает, что я могу по ним перейти и предзапросы к dns серверам по всем ссылкам, которые есть в текущей странице. Сделано вся эта предзагрузка якобы для того, чтобы пока я читаю эту страницу, контент всех связанных с этой страницей ссылок уже загружался. А когда я решу нажать понравившуюся мне ссылку, то страничка уже может будет загружена на компьютер. В общем во времена тормозного интернета может это было разумно, но тогда и такого безумного количество загружаемых элементов с третьих сайтов не было. В общем нужно обязательно отключать эти prefetch запросы, иначе от umatrix никакого толка не будет. В Гугл хроме опять управление этой предзагрузкой следующих страниц недоступно, в Firefox это параметры: network.dns.disablePrefetch должно быть true
      network.prefetch-next должно быть false

    • суперкуки в Firefox я придумал как бороться — вместо файла SiteSecurityServiceState.txt в профиле Firefox создаю директорию с таким же именем вместо этого файла. В Хроме не знаю как побороть, да и кто-его знает что он там на самом деле будет ли слушаться пользовательским настроек или наплюёт… Закрытое ПО, оно и в Африке закрытое!

  • 1)Очень часто загрузка шрифтов происходит с тех же рекламных сайтов например с того же Гугла fonts.googleapis.com. Поэтому либо приватность,
    либо загрузка шрифтов со сторонних сайтов, другого выбора особо нет! В Google chrome загрузку шрифтов с третьих сайтов(а также стилей) можно
    запретить с помощью того же uMatrix. Причём можно там же не запрещать загрузку шрифтов и стилей с самого сайта. Вообще с точки зрения
    нормального вебмастера держать стили своих страничек, шрифты, картинки на каких-то чужих сайтах, которые могут быть недоступны и без которых
    твои странички очень сильно поплывут или восе станут нечитабельны это просто непрофессионализм!Например, тот же сайт rbc.ru становится
    нечитабельным, если отключить все объекты html со сторонних сайтов с помощью uMatrix(1 картинка грузится с rbc.ru и один скрипт, зато все
    стили у них валяются на rbk.ru, оттуда грузится ещё 26 картинок и 5 скриптов. С помощью uMatrix можно легко видеть с каких ещё сайтов
    грузятся элементы странички. Например, со странички этой статьи грузяться скрипты/стили/картинки ещё с connect.facebook.net,
    secure.gravatar.com, code.jquery.com,s0.wp.com и static.hupso.com.
    2) По сравнению с Ghostery uMatix показывает разрешённые и блокированные элементы со странице в некой матрице(он же uMatrix) и чётко
    показывает какие категории объектов грузятся с того или иного сайта. Если вы увидите, что «поехала» страничка из-за стилей, то можно легко
    увидеть с каких ещё сайтов грузяться стили, и разрешить только стили с нужного сайта. Если на сайте Википедии мало картинок, то можно
    посмотреть в этой матрице, что почти все картинки на страничке находятся на сайте upload.wikimedia.org и нужно просто разрешить грузить
    картинки с этого сайта и странички Википедии будут выглядеть нормально.
    3) По поводу vpn. основной вопрос тут доверие этим VPN провайдерам. Вдруг они принадлежат тем же рекламным компаниям или вообще спецслужбам,
    вдруг чтобы выведать нужные данные они заведут на ложный сайт банка или соцсети, перехватят днс запросы с вашего компьютера, заменят на
    нужный ответ и вы придёте на поддельный сайт, как две капли похожий на сайт вашего банка… Введёте свои данные и ваши данные утекут…
    Если вы не используете VPN, то все ваши пакеты «видит» ваш провайдер -все ваши днс запросы, посещаемые сайты, в случае использования
    протокола http, то и всё содержимое. Причём многие программы-клиенты соцсетей для смартфонов могут обмениваться с сайтом по http протоколу,
    хотя если вы зайдёте браузером с компьютера, то соцсеть перекинет вас на использование https протокола. https как бы шифрует трафик между
    браузером и сайтом, но возможна подмена сертификата сайта на сертификат вашего провайдера, как сейчас сделано в россйиских школах —
    Ростелеком подменяет сертификаты сайтов https(google,yandex и др) на самодельный. Таким образом трафик между вашим браузером и сайтом
    разбивается на две шифрованных части: первая шифруется сертификатом сайта до вашего провайдера сертификатом сгенерированным провайдером и
    там у провайдера этот трафик расшифровывается, провайдер (ростелеком-фсб) смотрит что вы там написали в поисковых запросах и снова шифрует
    трафик уже до вашего браузера своим сертификатом.И уже попав в ваш браузер трафик снова расшифровывается.
    4) Ещё при использовании VPN возникает вопрос какой dns сервер использовать, если вы используете днс провайдера, то опять же ваш провайдер
    увидит все посещаемые вами сайты. Использовать dns сервер провайдера VPN оптимальнее, но возможно провайдер не представляет такой услуги или
    чтобы соединится с vpn сервером у вас уже должен быть настроен dns сервер. Использовать бесплатные серверы dns тех же рекламных компаний
    Гугла(8.8.8.8 и 8.8.4.4) или Яндекса(77.88.8.8, 77.88.8.88, 77.88.8.7 ) — это значит наступить на свою приватность. Ещё большая проблема с
    dns -это что до сих пор нет общепринятого протокола по которому шифруются dns запросы от клиентов к dns серверам… 21 век на дворе… ак
    альтернативу можно использовать технологию dnscrypt, есть клиенты под разные ОС, есть вроде даже исходный код днс сервера, но после днс
    сервера запросы опять будут идти к другим серверам открытым способом… Можно использовать свой личный dns сервер(например установив тот же
    unbound на свой компьютер с Windows или Linux ), но опять же провайдер увидит ваши запросы от unbound к другим dns серверам, так как все они
    идут открытым текстом. Раз все dns запросы шлються открытым текстом, то их легко подделать(есть технология, которая которая может блокировать
    подделку ответов от dns сервера- dnssec, но в России я не нашёл даже ни одного банка, сайт которого поддерживает эту технологию).

  • В общем, на приватности в Интернете поставлен легко жирный крест: вы не знаете, тот ли это сайт, который вы посещали вчера, этот IP вашего
    VPN сервера находится в Финляндии или в соседней комнате, подменили или нет ваши днс запросы или какой сервер на самом деле отвечает на ваши
    dns запросы . Вы пользуетесь гуглом или это похожий на гугл сайт… Обращения к любым IP находящихся в любой точке Земли ваш интернет-
    провайдер может легко завернуть в соседнюю комнату(NAT), а все ваши днс запросы повернуть на любой другой веб-сервер выдав другие IP
    адреса. Единственное, что может гарантировать Интернет — это при личной встрече обменяться с кем-то открытыми ключами(Key signing party,
    CryptoParty) и потом послать этому человеку письмо, а если он его получит и расшифрует, то он может гарантировать, что письмо получено от
    вас. при этом лучше и генерацию ключей и операцию зашифровки-расшифровки лучше проводить на компьютере/устройстве не подключенному к Интернет
    или другим сетям и ещё при этом необходимо обеспечить гарантию физической безопасности этого отдельно стоящего компьютера! Ещё вариант -это
    выучить алгоритм какого-нибудь шифра, сгенерировать ключи в своей голове и все операции по шифровке-дешифровке своих сообщений проводить в
    своей голове. Ещё вариант -использовать какие-либо одноразовые шифроблокноты. Но если спецслужбы или бандиты узнают, что вы скрываете от них что-нибудь стоящее(или им это покажеться), то вас могут пытать :). Так что оптимальнее всего скрывать даже факт такой шифрованной переписки
    (использовать стеганографию в каких-нибудь картинках с котиками выложенных в соцсети, но соцсеть может пережать картинку и вся стенография
    пропадёт). И даже скрывать факт владения устройством, которое что-то может куда-то далеко передать…Что тоже трудно, так как такие
    устройства повсюду и вы в любом случае будете под подозрением. С учётом последних наработок учёных через Wi-Fi антенну можно увидеть что вы
    там говорите и что печатаете на компьютере. Тут приватности вообще приходит полный конец, так как Wi-fi можно разместить и там где вы не
    видите.Единственное место на Земле, которому вы ещё пока можете доверять в плане приватности -это ваша голова и то до тех пор, пока к ней не
    прикрепили электроды… На Земле стало негде спрятаться, спецслужбы и другие люди легко нарушают все ваши права, если совесть им позволяет.
    Ещё вот отличный сайт для тех кто интересуется приватностью https://ssd.eff.org/ru

Leave a reply:

Your email address will not be published.