Едва ли не весь текущий раздел, рассказывает о священных вопросах, сохранения неприкосновенности частной жизни, личной и семейной тайны, персональных данных. Все это не пустые слова, и они несут глубокий выстраданный столетиями смысл. Фактически этот раздел посвящен одному: защитить Вас. Пресечение утечки информации о Вас — тоже форма защиты.

Что такое «персональные данные» в российском понимании? С точки зрения Закона, это «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» (Федеральный Закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» (с изменениями от 10 января 2003 г.).

В соответствии с названным Законом, объем информации, собираемый (запрашиваемый) о человеке, может устанавливаться только на уровне федерального закона: «Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями должны быть закреплены на уровне федерального закона».

В нашей стране не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации. Ответственность за незаконный сбор и/или использование персональных данных установлена Кодексом РФ об административных правонарушениях (ст. 13.11) и Уголовным кодексом РФ (ст ст. 137, 138).

Помимо уже описанных способов слежения и сбора информации о пользователях Интернета подобное проводят и различные сетевые ресурсы. Наибольший интерес в этой сфере проявляется к технологии, использующей т.н. «cookie». По содержанию cookie это файл с небольшим блоком текстовой информации о компьютере пользователя, которая (после обработки программным обеспечением сайта) возвращается на компьютер пользователя и хранится там от нескольких минут до нескольких лет. Вы без труда может обнаружить эти файлы в одноименной директории своего компьютера.

Теоретически, cookies выполняют положительную функцию — автоматизируют процесс работы пользователя с интернет-сайтом, передавая ему одну и ту же информацию (имя пользователя, пароль, настройки) без необходимости каждый раз запрашивать ее у пользователя. Однако cookies-файлы могут содержать практически любую информацию о пользователе и использоваться различными интернет-ресурсами, передавая друг другу некоторую информацию о пользователе.

Отдельного упоминания заслуживают так называемые системы статистики, размещающие свой код на страницах сайтов. При обращении пользователя к сайту, где расположен счетчик, система анализирует информацию об обратившемся компьютере (пользователе), идентифицируя его по уникальному номеру.

Объем запрашиваемой информации неизвестен, но на сайте одного из популярных «счетчиков» — Spylog указано, что предоставляется более 600 видов статистики, из чего можно сделать вывод об объеме запрашиваемой и анализируемой информации. Причем на пике своей популярности этот «счетчик», по словам владельцев, охватывал 95% российского Интернета, а сейчас его услугами пользуется более 250 тысяч сайтов.

Учитывая широкий охват Интернета, подобные системы позволяют совершенно четко отслеживать (и анализировать) веб-серфинг каждого пользователя (по каким сайтам ходит, когда и в какое время, что пропускает, на чем останавливается подолгу). Исходя из этого, можно сделать массу выводов: о круге интересов, хобби, деятельности, примерном уровне доходов, вкусах и предпочтениях, конечно, если он не пользуется приемами сокрытия следов в Интернете.

Не только наличие, но и использование подобной информации не отрицается владельцами «счетчиков». В описании возможностей системы Spylog указывается:

Допустим, вы продаете апельсины. Вводите слово «апельсин» и получаете выборку всех пользователей, которые когда-либо вводили это слово в поисковик. Далее мы смотрим, где чаще всего бывают эти люди. В результате клиент может выбрать десяток сайтов, где реклама будет наиболее результативна, где чаще всего бывают люди, которых интересуют апельсины. Такие уникальные сервисы позволяют предоставлять наши базы данных.

При этом указывается, что система «не идентифицирует людей — в этом и есть защита личной информации». Однако собранная информации о браузере и его владельце более чем достаточна для идентификации личности. Все это без труда могут использовать как государственные, так и негосударственные структуры (для сбора различной информации, в том числе компрометирующей).

В принципе, у пользователя есть возможность отключить прием cookies-файлов на свой компьютер, но для нормальной работы со многими сетевыми ресурсами их использование (прием) является необходимым. Кроме того, по умолчанию, на компьютере прием cookies-файлов всегда разрешен. Для их отключения требуются определенные знания и навыки. Поэтому представляется, что включение функции приема cookies-файлов юридически нельзя рассматривать как согласие пользователя на сбор, обработку и дальнейшее распространение информации о нем (в том числе персональных данных). В то же время весьма целесообразным было бы рекомендовать (по аналогии с зарубежными системами) включать небольшой информационный текст в распространяемый код счетчика, который если и не выводится на экран, то хотя бы имеет четкую ссылку на то, что он существует.

Полезны cookies или вредны каждый для себя решает сам. Скорее всего это зависит от обстоятельств. Приятно, вернувшись на знаковый сайт, быть сразу узнанным вежливым персональным приветствием без необходимости каждый раз набирать имя и пароль для полноценного доступа к сайту. Удаляйте cookies тех сайтов, на которые вы не собираетесь возвращаться, или тех, вернувшись на которые, не хотите быть «узнанными».

Если вы используете корпоративную сеть, ваша компания, вероятно, содержит некоторые записи того, чем вы занимаетесь в Сети. От многих фирм требуется как законами государства, так и своими собственными внутренними распорядками регистрировать все сообщения работников. Когда запущены программы мониторинга, базирующиеся в сети, нет необходимости устанавливать на ваш компьютер дополнительные программы или оборудование; все может быть сделано со стороны сервера, а не со стороны клиента.

Чтобы лучше понять, какого уровня конфиденциальности вы можете ожидать на работе, нужно поговорить с вашим боссом, IT-администратором или менеджером по персоналу. Они должны быть в состоянии сообщить вам о порядке работы компании по электронному мониторингу компьютеров, телефонов и факсов.

Существование права на неприкосновенность частной жизни обусловлено годами философских размышлений и совершенствования законодательства. Наша обязанность — поддерживать это право. Мы можем безучастно сидеть и надеяться, что кто-то сделает эту работу за нас. Мы должны найти инструменты и использовать их так же, как и наши гражданские права, чтобы остановить вторжение в частную жизнь. Люди хотят знать, что мы думаем, что мы печатаем, на что мы смотрим. Давайте их разочаруем!

Хороший способ защиты вашей частной жизни от посягательств на нее через электронную почту — завести несколько адресов электронной почты. У меня есть пять персональных учетных записей и еще три для работы — по одному на каждый вид переписки:

Подписки и спам. Этот адрес отведен для подписок, которые требуют введения работающего адреса электронной почты. (Например, если они хотят послать вам пароль для подтверждения). После того, как вам пришлют пароль для вашей регистрации, спам начинает набирать обороты. Они пошлют ваш адрес электронной почты сотням других спаммеров, и с этого момента вы становитесь популярной мишенью для посылки несанкционированной почты. (При заполнении большинства форм для подписки через Интернет я использую адрес @hotmail.com).

Рассылки компаний (newsletters). Мне нравится получать сообщения от различных компаний о новых продуктах или новых решениях проблем безопасности. Я также подписалась на рассылки от двух разных медиаисточников. Я использую учетную запись на @yahoo.com, так что эта периодика не перегружает мою персональную учетную запись, потому что никакие списки фильтрации спама не помогают. Я также знаю, что многие рассылки будут посылать вам спам или продадут свой список адресов электронной почты спаммерам, поэтому эти учетные записи заполняются довольно быстро. Я также использую этот адрес, когда пишу заметки в ответ на рассылки, или в своих статьях, публикуемых в Сети. Я надеюсь получить интересное электронное письмо по этому адресу, но реальность такова, что я прихожу к необходимости пробираться сквозь завалы спама, чтобы найти здесь хорошие письма.

Персональная учетная запись. Я неистово охраняю этот адрес. Он предназначен только для друзей и семьи и не используется иным путем, который позволил бы спаммерам посылать по нему электронную почту.

Сколько раз в день вы должны «подписаться» на что-нибудь, находясь в Сети? Например, вы нашли дешевый авиарейс через новую службу, и вам нужно получить членство. Статья, которую вы хотите прочитать, находится в секции «только для членов» сайта New York Times. Ваша футбольная команда использует службу «Группы Yahoo!», и вам нужно стать членом этой группы.

Для каждой подписки вам нужно заполнить данными мириады полей: имя, дата рождения, домашний адрес, адрес электронной почты, номера телефонов (рабочего — днем, домашнего — вечером), описание работы, уровень доходов, девичья фамилия матери, кличка любимого домашнего животного. Все это-большая порция персональной информации — информации, над которой вы будете не властны в ту секунду, когда вы пошлете форму. Вы можете умерить количество распространяемых данных о вашей жизни и ваших координатах всего лишь выполнив несколько шагов:

Оцените сайт. Во-первых, оцените, пользуется ли сайт, который вы используете, хорошей репутацией. Если страница ссылок на web Бобби Джоуи требует оформить подписку на нее, забудьте о ней. Найдите информацию где-нибудь еще. С другой стороны, если уважаемая организация просит ваши персональные данные и она является единственным источником нужной вам информации, то вы, вероятно, должны будете ввести некоторую информацию для продолжения поисков.

Как оценить сайт

При оценке web-сайта принимайте во внимание следующие четыре фактора:

• Субъективная оценка. Это наиболее важно, но — здесь всего труднее давать определения. Вы находите сайт достаточно искренним для вас? Он обещает вам вещи, которые кажутся вам слишком хорошими, чтобы быть правдой? Он бросает вызов вашему здравому смыслу? Вы находите его противоречащим тому, что вы знаете о мире?
• Качество. Не кажется ли сайт торопливо «заброшенным в общую кучу»? Есть ли на нем сочетание призывов типа «Воспользуйтесь преимуществом этой сделки сегодня» со многими опечатками? Направляет ли он вас на те части сайта, которые не работают (особенно, на документы легальности, такие как опровержения (disclaimers)?
• Согласованность. Располагает ли сайт той же информацией, как и другие сайты на ту же тему, или ему не хватает базисных представлений? Сайт копирует большие участки других сайтов? Это может служить сигналом, что сайт разработан с неблаговидными целями. Представленная на сайте информация заставляет вас посетить этот сайт снова?
• Гармония. Материалы, представленные на сайте соответствуют назначению сайта? (Другими словами, нет ли на сайте, посвященном ногам атлета, длинных очерков на политические темы?) Его ссылки соответствуют основной теме или отправляют вас на другие сайты о товарах (услугах), не относящихся к теме, (особенно на такие, где призывают: «купите прямо сейчас»)?

Вводите данные только в требуемые (required) поля. В большинстве форм вам нужно заполнить только требуемые поля, чтобы перейти к выполнению следующего шага. Для оценки необходимости ввода текста ищите звездочку рядом с каждым полем.

Лгите. Вы не обязаны вводить точные данные в каждую web-форму, но это упражнение требует некоторого критического размышления. Например, представьте себе, что вы нашли отличное место для покупки авиабилета на Chipestfaresonearth.com. При первом посещении сайта вам нужно зарегистрироваться, чтобы купить билет. Им нужны: ваше имя, адрес, номер телефона и адрес электронной почты, вместе с девичьей фамилией матери, номером социального страхования и местом работы. Все поля — требуемые.

Во-первых, Chipestfaresonearth.com легитимен? Перечитайте раздел «Покупки в Интернете» прежде чем иметь дело с компанией-аутсайдером в электронной коммерции — это не всегда стоит сэкономленных 20 баксов, особенно, если у них плохо налажена служба работы с покупателями (или хуже того, окажется, что это фальшивая компания).

Теперь вам нужно решить, какие поля вам нужно заполнить честно. Для полета вам нужно вводить реальное полное имя? Да. Номер телефона? У них есть такие службы, которые позвонят вам, если произошло изменение в расписании полетов, поэтому — да. Адрес электронной почты? Они собираются послать вам подтверждение, поэтому — да. Домашний адрес? Часто сайты электронной коммерции сверяют ваш адрес с адресом, соотнесенным с вашей кредитной картой. Это способ убедиться, что вы не используете украденную кредитную карту или ее номер. Поэтому адрес, используемый вами в форме, должен соответствовать адресу, по которому вы получаете выписки из кард-счета. Девичья фамилия матери? Может быть они намекают на тот случай, если вы забудете пароль и вам нужно будет его восстановить; тем не менее, часто у них есть и другие возможности не подвергать риску ваше доверие или ваши данные, поэтому выберите что-нибудь еще или решите, что с этого момента девичья фамилия вашей матери всегда будет Смит (Smith) или Уорли. Для регистрации билета на самолет вам нужен ваш номер социального страхования? Нет, поэтому вместо него я введу 111-11-1111.

На тех сайтах, где вы ничего не покупаете, в качестве вашего имени, возраста, адреса и адреса электронной почты вы можете вводить все, что хотите. Большинство сайтов не будут проверять подлинность вашего адреса электронной почты, им просто нужно видеть строку текста перед символом @ и после символа — text.com, .net, .edu или .gov. Поэтому вы можете ввести jane@falshivyadres.gov и без проблем отослать заполненную форму. С другой стороны, если сайт должен послать вам пароль по электронной почте, то вам необходимо ввести реальный адрес электронной почты, чтобы получить этот пароль. Помните: защита права на неприкосновенность частной жизни — в ваших руках.

Большое число людей и организаций пытается получить информацию о вас. В большинстве случаев это происходит в целях повышения продаж, но вы должны быть способны контролировать характер распространяемой информации. Большая ирония современного права на неприкосновенность частной жизни заключается в том, что мы сознательно бросаем на произвол судьбы больше частной информации о нас, чем сотня бесчестных программ может собрать и обработать.

Ознакомьтесь с несколькими общими советами по обеспечению конфиденциальности вашей персональной информации:

• Помните, то, что вы публикуете в группах новостей или списках рассылки, может неявно многое выразить о вас.
• Минимизируйте информацию, сообщаемую вами в ваших файлах подписи под электронными письмами.
• Тщательно обдумывайте то, что вы помещаете на ваших персональных web-страницах.
• Критически относитесь к тому, какую информацию вы посылаете на web-сайты. Периодически очищайте Журнал вашего браузера и удаляйте cookies и кэшированные файлы.
• Делайте поиск собственной персоны в системах поиска людей (people locators) и поисковых машинах, чтобы посмотреть, какие сайты предоставляют вашу персональную информацию. Набрав «ваша фамилия» в Google, вы никогда не знаете, что вы можете там найти. Не забудьте также сделать поиск в категориях Google, Группы (Groups) и Картинки (Images).

К сожалению, Акт Грэмма-Лича-Блайли породил замешательство и свою собственную мистификацию, распространяемую по электронной почте. Я получил такое электронное письмо от читательницы по имени Жанетт (Jeanette):

Я получила два разных электронных письма со следующим советом для меня: 1 июля 2003 года начинается акция, при которой четырем основным кредитным бюро будет позволено распространить кредитную информацию, адреса электронной почты, номера телефонов и т. д. любому, кто попросит. Если вы не хотите, чтобы вас включили в эту публикацию, позвоните по телефону «888». Вы знаете что-нибудь об этом?

Вот текст электронного письма, которое повергло в панику так много людей:

Просто хотелось, чтобы каждый знал, кто еще не слышал, что четырем основным кредитным бюро в США будет позволено, начиная с 1 июля, распространить вашу кредитную информацию, адреса электронной почты, номера телефонов… любому, кто запросит ее. Если вы хотите «отписаться» от включения в эту публикацию, вы можете позвонить по телефону 1-888-567-8688. Это займет не больше пары минут, и вы также можете проявить заботу о ком-нибудь еще в вашем домашнем кругу, делая только один телефонный звонок, вам только нужно будет знать их номер социального страхования.

Это вводящее в заблуждение электронное письмо наполнено полуправдой. FTC разоблачает ложные утверждения и предлагает совет на своем web-сайте (http://www.ftc.gov).

Реальная правда

Вот какую информацию дает FTC по поводу этого электронного письма:

Кредитные бюро могут выслать вашу кредитную информацию только людям, имеющим законные деловые основания получить ее, как предписано в «Акте о законности предоставления кредитной информации» (Fair Credit Reporting Act — FCRA). Например, компании будет позволено получить отчет о вашей кредитной истории, если вы обратились в нее за получением кредита, страхового полиса, работы или аренды жилого помещения.

В добавление к случаям получения кредитного отчета, описанным выше, заимодавцы и страховщики могут использовать информацию с вашего файла в кредитных бюро как базис для посылки вам несогласованных предложений. Такая практика известна под названием предварительный отсев («prescreening»). Тем не менее вы имеете право аннулировать эти предложения. Бесплатный телефон — 1-888-567-8688 — это линия для «отписки» для основных кредитных бюро только для «предварительно отсеянных» предложений.

Дата 1 июля относится к Акту Грэмма-Лича-Блайли (GLB), по которому эта дата определена как предельный срок для финансовых учреждений, чтобы известить вас о своих Порядках работы с конфиденциальной информацией и дать вам возможность аннулировать некоторые практикующие ими методы обмена информацией. Дата 1 июля не являлась предельным сроком для потребителей, чтобы успеть сделать что-то. Фактически, потребители могут связаться со своими финансовыми учреждениями и аннулировать обмен информацией согласно Акту Грэмма-Лича-Блайли в любое время.

Хотя правительство США не предлагает сколько-нибудь серьезной помощи по защите данных гражданских лиц в киберпространстве, им выпущено несколько правовых актов о праве на неприкосновенность частной жизни — уже упоминавшийся Акт о защите права детей на неприкосновенность частной жизни в Интернете (the Children’s Online Privacy Protection Act — COPPA) в 1998 году и Акт Грэмма-Лича-Блайяи (Gramm-Leach-Bliley Act-GLBA) в 1999 году.

Акт о защите права детей на неприкосновенность частной жизни в Интернете

В марте 1998 года Федеральная торговая комиссия США представила Конгрессу отчет о доступности в Интернете данных о детях. Отчет явился побудительным толчком, приведшим к законопроекту 105 H.R. 4328 об ассигнованиях, внесенному Министерством транспорта США, одобренному Конгрессом и подписанному президентом Клинтоном 21 октября 1998 года. Акт о защите права детей на неприкосновенность частной жизни в Интернете вступил в силу 21 апреля 2000 года.

Акт делает попытку создания общего курса для операторов web-сайтов, предназначенных для детей, предписывая рамки определенных правил в отношении сбора данных на тех лиц, кому не исполнилось 13 лет. Акт ограничивает сбор такой персональной информации как имя и фамилия ребенка, его домашний адрес, адреса электронной почты, номера телефонов, номера социального страхования и любых других данных, персонально идентифицирующих детей или их родителей, таких как IP-адреса или имена пользователей в cookies. Акт гласит, что операторы web-сайтов должны поступать следующим образом:

• Публиковать «Порядок работы сайта с конфиденциальной информацией» (privacy policy), который бы ясно утверждал, кто является оператором, какую информацию они собирают о детях и что они будут делать с этой информацией (будет ли она продаваться третьим лицам?). Ссылка на этот «Порядок работы сайта с конфиденциальной информацией» должна быть ясно различимой на сайте.
• Получать поддающееся проверке согласие родителей перед тем, как собирать персональные данные о детях до 13 лет.
• Давать родителям возможность просматривать любую информацию, собранную об их детях. Родителям также должно быть позволено удалять (но не изменять) любую информацию об их детях, которая уже собрана.
• Воздерживаться от принятия на себя полномочий по сбору не являющихся необходимыми для работы данных о детях для их личных целей принятия участия в играх или соревнованиях.
• Защищать данные, собранные о детях через Интернет.

В 2002 году Федеральная торговая комиссия США (Federal Trade Commission — FTC) провела неформальное исследование по исполнению Акта о защите права детей на неприкосновенность частной жизни в Интернете.

Согласно опубликованному ими релизу, примерно четверть посещенных ими «детских» сайтов предлагала широкий спектр материалов для детей без сбора какой-либо персональной информации. Тем не менее оказалось, что из тех сайтов, которые собирали персональную информацию о детях, идентифицирующую их, примерно половина имела большие упущения по исполнению Акта. Эти сайты получили электронное письмо, фрагмент которого приводится ниже:

Хотя закон требует, чтобы вы предприняли определенные шаги для защиты права на неприкосновенность частной жизни детей в Сети, ваш сайт, оказывается, по-прежнему собирает персонально идентифицирующую информацию от детей до 13 лет, причем вы не имеете «Порядка работы сайта с конфиденциальной информацией», не даете знать об этом родителям и (или) не получаете согласия родителей. Мы рекомендуем вам посмотреть на ваш сайт критическим взглядом, с уважением к сбору информации от детей в свете рекомендаций Закона. Знайте, что FTC проводит мониторинг web-сайтов для определения, соблюдается ли законность их действий.

Затем, в феврале 2003 года FTC объявила, что два сайта были принуждены к уплате больших штрафов за нарушения Акта по защите права детей на неприкосновенность частной жизни в Интернете: «Миссис Филдз Кукиз» (Mrs. Fields Cookies) и «Херши Фудз Корпорэйшн» (Hershey Foods Corporation).

• «Миссис Филдз Кукиз». Некоторые из web-сайтов Mrs. Fields — MrsFields.com, Pretzeltime.com и Pretzelmaker.com — предназначены для детей. Клубы дней рождения для детей до 12 лет уполномочивают их ввести полное имя, домашний адрес, адрес электронной почты и дату рождения. Хотя этот web-сайт не продает и не меняет эти данные третьим лицам, ему приписали наличие данных, полученных от более 84000 детей без согласия родителей. Компания заплатила 100000 долларов штрафов за это нарушение.
• «Херши Фудз Корпорэйшн». «Херши» имеет более чем 30 web-сайтов, и все о сладостях, многие из них предназначены для детей. Согласно FTC, некоторые из этих сайтов получали согласие родителей способом, не встречавшим возражений от Акта. FTC обвиняет «Херши» в том, что та собирала данные от детей до 13 лет, используя на сайте форму для согласия родителей, которая не предусматривала мер для подтверждения, что опекун видел или заполнил форму согласия, если нет родителей. FTC далее утверждает, что, даже если один из предполагаемых родителей или опекунов не ввел информацию в форму согласия, компания все равно продолжала собирать персональные данные детей, — включая полное имя, домашние адреса, адреса электронной почты и возраст. «Херши» заплатила 85000 долларов штрафов.

Если отвлечься от очевидных случаев тех компаний, которые продают информацию о детях неизвестным третьим лицам, одна из самых больших проблем со сбором данных от детей — это размывание черты, разделяющей обмен информацией от ее утечки. Родители имеют право выбирать средства заботы о детях в Интрнете. Мы говорим нашим детям, чтобы они никогда никому в Интернете не сообщали, где они живут или в какую школу они ходят, но потом, если они захотят принять участие в соревновании и выиграть бесплатную упаковку M&M’s, они все равно должны будут сообщить свои данные о себе (иначе, как они получат свой приз?). Это-то и сбивает с толку, и исключительно по этой причине данные, получаемые от детей, являются тем, к чему компании должны подходить очень серьезно.

Акт Грэмма-Лича-Блайли

Центр информации о защите права на неприкосновенность частной жизни в электронном мире (Electronic Privacy Information Center — EPIC) — это группа, отслеживающая соблюдение компаниями и лицами законов о защите частной жизни, которая «навешивает ярлыки» на правительство, корпорации и индивидуальных пользователей при нарушении ими этих законов. Epic.org (http://www.epic.org/) — это невероятный кладезь информации о проблемах защиты права на неприкосновенность частной жизни в электронном мире и источник следующих трех историй, которые акцентируют внимание на том, почему законы, защищающие  частную информацию, так жизненно важны:

• В ноябре 1997 года банк «Чартер Пасифик Бэнк ов Агура Хиллз» (Charter Pacific Bank of Agoura Hills), штат Калифорния, продал миллионы номеров кредитных карт компании-оператору web-сайта для взрослых, которая затем принялась рассылать счета потребителям за доступ на порносайты в Интернете и за получение других услуг, о которых они не просили. Некоторые из потребителей, получивших счет, даже не имели компьютера. Компания-оператор web-сайта запустила многочисленные мерчент-эккаунты (merchant account — счет продавца — специальный web-сайт для расчетов в Интернете) под разными именами, чтобы избежать обнаружения. В сентябре 2000 года FTC объявила, что она выиграла 37,5 миллиона долларов в судебном деле против компании-оператора. Хотя банк стоит на позиции, что он не сделал ничего плохого, он с тех пор прекратил практику продажи номеров кредитных карт продавцам.
• В 1998 году банк «Нэйшз-бэнк» (NationsBank, позднее вошедший в «Бэнк ов Америка») заплатил миллионные штрафы за нарушения законов о безопасности, потому что он делился информацией о потребителях со своей аффилированной дочерней компанией Nations Securities. Дочерняя компания затем убеждала надежных потребителей покупать инвестиции, имеющие высокий риск. Многие потребители NationsBank потеряли большие деньги, а многие престарелые граждане потеряли большие суммы своих пенсионных накоплений. В июне 1999 года главный прокурор штата Миннесота начал преследование по закону против компании U.S. Bancorp за разглашение информации о потребителях третьим лицам в нарушение собственных порядков без ведома потребителей и без их согласия. Третьи лица, занимающиеся телемаркетингом, затем незаконно предъявляли счета этим потребителям. U.S. Bancorp, фактически, ответила за это дело вместе с теми, кто был привлечен к ответственности 39 главными прокурорами других штатов. В апреле 2000 года штат Миннесота привлек к ответственности третье лицо — компанию телемаркетинга Member-works, которую использовала U.S. Bancorp. Согласно данным службы безопасности и комиссионных сборов Memberworks, — 19 из 25 крупнейших банков в США имели контракты с ними. Другие известные банки, включая «Чейз Ман-хэттен» (Chase Manhattan) и «Ситибэнк» (Citybank), были вовлечены в схемы, в которых персональная информация о счетах продавалась телемаркетерам.

В ответ на инциденты, подобные этим, был принят Акт Грэмма-Лича-Блайли, который известен как Акт о модернизации финансовых служб 1999 года (Financial Services Modernization Act). Его цель — защитить ваши финансовые данные от незаконного использования, и он содержит следующие условия:

• Банки, брокерские фирмы и страховые компании должны предпринимать адекватные меры для обеспечения безопасности ваших персональных данных.
• Эти финансовые учреждения должны сообщать вам, как и с кем они делятся или кому продают ваши персональные данные.

Вам должна быть предоставлена возможность аннулировать свое участие в их практике обмена информацией.

Аннулирование участия в обмене информацией представляет собой несколько различных путей. Например, если вы получили закладную на дом, вы должны получить письмо от вашего заимодавца с предложением возможности аннулировать обмен данными. Служба потребителей вашего банка тоже должна быть в состоянии помочь вам с заявлением об аннулировании обмена данными по телефону, и есть также централизованный номер телефона, по которому вы можете аннулировать все предложения предварительно одобренных кредитных карт (о чем говорится в разделе «Кража персональных данных»), что является результатом торговли персональными данными между финансовыми организациями.

Несколько программ могут успешно обнаружить наличие программ — клавиатурных шпионов, базирующихся на программном обеспечении. Такие программы как Anti-keylogger (http://www.anti-keyloggers.com/) или SpyCop (http://www.spycop.com/) предупреждают вас, когда за вами следят или записывают ваши данные.

SpyCop — это программа, стоимостью 50 долларов, которая часто обновляет свой список программ — клавиатурных шпионов. Имея простой пользовательский интерфейс, она сканирует ваш компьютер на наличие шпионских программ. Как только сканирование закончено, SpyCop генерирует ясный отчет о программах и подозрительных файлах. Эта программа даже «дерется» за любые скриншоты своего интерфейса, которые программа-шпион пытается записать. Это позволяет держать в секрете присутствие программы-антишпиона от программы, ведущей мониторинг. Как дополнительная выгода, в SpyCop предусмотрена возможность поиска на вашем компьютере программ-шпионов, посылающих адреса сайтов, которые вы посетили в Интернете.

Не только похитители номеров кредитных карт, озабоченные родители и подозрительные супруги используют клавиатурных шпионов. Лица, следящие за соблюдением принципов компаний в работе с конфиденциальной информацией, и доморощенные хакеры тоже, похоже, заволновались, когда начали появляться отчеты о секретной программе — клавиатурном шпионе, разработанной ФБР, называемой «Мэджик Лантерн» (Magic Lantern) — Волшебный Фонарь.

Технология Magic Lantern начиналась как часть обширного проекта ФБР, называемого «Сайбер Найт» (Cyber Knight) — того же проекта, который породил печально известный инструмент для мониторинга электронной почты Carnivore. Тем не менее Magic Lantern идет гораздо дальше, чем Carnivore. Magic Lantern -это программа «троянский конь», которая — как и клавиатурные шпионы — записывает все нажатия клавиш при наборе с клавиатуры, ворует пароли, читает зашифрованные сообщения, а затем посылает эту информацию на удаленный компьютер, за которым сидит сотрудник ФБР, и все это происходит, когда пользователь даже не знает об установленной на его компьютер программе.

Magic Lantern может не только записывать все нажатия клавиш, она также может посмотреть файлы и даже перевести зашифрованные слова в удобочитаемый текст. Благодаря наличию многих программ шифрования, доступных в Интернете, усилия ФБР оказались тщетными в попытках взлома зашифрованных сообщений, а официальные лица были серьезно озабочены их возможностью читать зашифрованные сообщения при расследованиях преступлений и террористических актов.

Magic Lantern, при наличии существующей технологии компьютерного мониторинга ФБР, также решает другую важную проблему: «систему клавиатурной записи». В прошлом, расследователи должны были проникать в жилище объекта наблюдений вооруженными ордером и физически вставлять устройство для слежки в компьютер. Magic Lantern может быть установлена через Интернет, если обманом завлечь объект открыть вложение в электронную почту. Остается неясным. то ли Magic Lantern передает нажатия клавиш, которые она записывает, обратно в ФБР через Интернет, то ли хранит информацию для последующего извлечения при посещении объекта.

Magic Lantern, естественно, — «троянский конь», программное приложение, которое сидит в компьютере и запускается, не вызывая подозрений пользователя о своем присутствии. Программы «троянский конь» обычно приходят обманным путем как вложения в электронную почту или при скачивании безобидной на вид программы. Например, один популярный «троянец» приходил спрятанным в скачиваемую игру, называемую Whack a Mole.

Из «троянцев», похожих на Magic Lantern, можно назвать Netbus и Back Orifice. Эти «троянцы» позволяют другим людям контролировать ваш компьютер через Интернет. Когда вы запускаете программу, содержащую «троянца», последний копирует сам себя в папку Windows или в директорию Windows\System и добавляет себя в Системный Реестр.

После полной установки программы на компьютер «троянец» скрывает себя в списке задач и не показывает какой-либо пиктограммы и даже намека на то, что он работает. Тот, кто контролирует ваш компьютер, используя эту программу, получает возможность записывать все ваши нажатия клавиш, копировать файлы и, по существу, делать все, что захочет.

Системный Реестр. Относитесь к Системному Реестру как к самому сердцу Windows. Системный Реестр — это база данных, в которой хранится важная информация о системе и настройках. Данные о конфигурации вашего «железа», программного обеспечения и о пользовательских настройках тоже содержатся в Системном Реестре. В любое время, когда та или иная программа добавляется, удаляется или радикально изменяется, Системный Реестр отображает эти изменения. Системный Реестр обычно рассматривают как один файл, но, в действительности, это два файла: System.dat и User.dat. Оба этих файла хранятся, как скрытые файлы. в папке Windows. Третий файл, Policy.pol, иногда используется в Системном Реестре в корпоративных и сетевых средах.

Не все клавиатурные шпионы являются только программами. В нашей лаборатории испытывалось техническое устройство для клавиатурного шпионажа KeyKatcher, и вот описание этого устройства стоимостью 99 долларов.

KeyKatcher (www.keykatcher.com) — интересное маленькое устройство для слежки, которое проводит мониторинг нажатий клавиш на компьютере и сохранение их на энергонезависимом микропроцессоре внутри самого устройства, похожего на заглушку для сетевой розетки. Вы можете позднее получить доступ к информации, используя текстовый редактор типа Блокнот (Notepad) или MS Word. Интересно то, что не нужно устанавливать никаких программ или драйверов, чтобы заставить его работать. KeyKatcher полностью поддерживает стандарт plug and play («воткни и работай»).

KeyKatcher выглядит как клавиатурный штекер без клавиатуры. На одном его конце есть разъем, в который вставляется штекер клавиатуры, другим концом устройство вставляется в ваш компьютер. Чтобы заставить его работать, просто вставьте его. Оператор за компьютером может этого и не знать, но, как только вы вставили его, устройство начинает записывать нажатия клавиш оператора. Тридцатидвухкилобайтная версия, испытываемая нами, может сохранить около 16 страниц данных. KeyKatcher также доступен в версиях 8KB и 64KB.

Устройство рекламируется как способ, которым родители могут отслеживать активность своих детей в Интернете, но из-за простоты установки, и благодаря тому, что оно не оставляет никаких следов на компьютере, это устройство действительно может быть использовано кем-либо, кто хочет провести небольшой шпионаж. Все, что вам нужно сделать, это повесить прибор между клавиатурой пользователя и его компьютером. Затем, когда пользователь закончит работу, вы можете его вынуть, повесить на свой собственный компьютер и прочитать то, что напечатал оператор. Для чтения нажатий клавиш, вы открываете Блокнот (Notepad) или MS Word и набираете keykatcher без пробелов. На экране появится небольшое меню, предлагающее вам опции: для просмотра сохраненных нажатий клавиш, поиска строк, смены пароля и удаления сохраненных нажатий клавиш.

До того как мы попытались использовать его, мы были немного сдержанны насчет KeyKatcher, но после многих различных сеансов проведения записи печати на многих различных компьютерах мы определенно поменяли свои убеждения. Если отвлечься от этической стороны дела, KeyKatcher делает все по принципу «сказано — сделано». Но с ним можно зайти за черту этической стороны дела. Это, вероятно, простительно родителям, которые следят за своими детьми, но работодатель может не иметь права так поступать или какой-нибудь сердитый супруг — тут прав не больше, чем в подслушивании телефонных разговоров. Стоит сказать, что благодаря этой технологии могут возникнуть некоторые интересные судебные случаи.

Нельзя сказать, что этот прибор весь такой золотой. Кроме того, что он работает, его лучшее качество в том, что вам не нужно устанавливать никаких программ. Но, поскольку нет программ, набор опций и регулировок для извлечения информации тоже ограничен. Другая проблема, которую мы нашли, -значительное время, необходимое для расшифровки и показа всего, что напечатал оператор. Есть также трудности с переключением между приложениями. Как только вы переключитесь, KeyKatcher пытается написать текст в активное окно. Вдобавок ко всему, как только KeyKatcher исчерпает ресурсы памяти, он закончит запись. Он не начнет записывать снова до тех пор, пока данные из памяти не будут удалены (данные из памяти удаляются через опции меню).

В заключение, многое из того, что происходит на компьютере в наши дни, инициируется указанием и щелчком мыши. Пока KeyKatcher записывает нажатия клавиш и даже имеет специальную опцию NetPatrol (Сетевой Патруль), которая ищет в памяти такие сочетания как «http», «www», «.com» и «.net», он не сможет обнаружить того, что вы сделали мышью.

Одним из способов обойти это, для тех кто знает, может служить использование встроенной (в Windows ХР) клавиатуры, управляемой мышью. Она использует щелчки мыши по выбранным буквам и не регистрируется клавиатурными шпионами. Печатать таким способом медленно, но, чтобы обмануть некоторые из таких технологий, это можно использовать. Сообразительный ребенок выберет более медленную технологию.