Адрес электронной почты является персональными данными

Многие люди смело оставляют адрес своей электронной почты на разных сайтах — и очень зря. Даже такие безобидные данные могут превратить жизнь пользователей в ад. Поэтому в Сети есть свои правила, как спрятать свой email и не облажаться.

Почему адрес электронной почты лучше не показывать всем подряд?

Кадр из фильма «Достать ножи»

Любой человек рано или поздно сталкивается с необходимостью оставить где-то свой email. Его нужно вводить в любых онлайн-играх, при покупках в интернет-магазине или при регистрации на форумах. Да и в реальной жизни для получения скидочной карты просят вписать номер телефона и адрес почты в анкету.

Некоторые пользователи не заморачиваются с этим и даже указывают свою почту в социальных сетях, выставляя её на всеобщее обозрение. Но делать так не стоит. В XXI веке в Сети продаются и покупаются личные данные людей, и среди них не только паспортная и банковская информация.

Читайте на Medialeaks Парень показал фото жилья и сломал людей. Понять, почему он отказался от аренды, смогут самые внимательные

За адресом вашего почтового ящика охотятся рекламщики всех мастей. Ни для кого не секрет, что крупные сайты и магазины торгуют телефонами и адресами своих клиентов (а вы думали, откуда спамеры знают ваш номер?). В 2016 году стало известно, что платформа Change.org продаёт электронные адреса всех, кто подписывает петиции на этом сайте. Расценки — около евро за каждый адрес.

Хакеры часто взламывают почтовые сервера крупных интернет-провайдеров и продают целые базы адресов и паролей пользователей. Украденная информация впоследствии гуляет по интернету, становясь отправной точкой для незаконных действий.

Даже без пароля ваш email — находка для спамеров, злоумышленников и троллей. Так, один правый активист ругал сериал про темнокожих и случайно показал свой электронный адрес: беднягу завалили тысячами писем, записали к врачам, парикмахерам и на маникюр. А ещё базы с адресами электронной почты всегда можно свести со слитыми данными с других сайтов.

В безопасности ли ваш почтовый ящик?

Кадр из фильма «Хакеры»

Проверить, не были ли когда-то проданы или украдены данные о вашей электронной почте, можно на специальных сервисах. Одна из организаций, занимающихся сбором информации, которой торгуют хакеры со всего мира, — Институт технологий программных систем Хассо Платнера в Потсдаме (Германия).

База данных, собранная университетом, содержит больше 10 миллиардов адресов (для сравнения: в 2015 году их было меньше 200 миллионов). В результате утечек разного рода в руках злоумышленников оказывается больше миллиона чужих аккаунтов в день.

Чтобы проверить, не попали ли ваши данные в хакерские базы, достаточно перейти на страницу Института и ввести свой электронный адрес. Ответ придёт вам на почту: в нём будет таблица, показывающая, в каких утечках данных и когда засветились ваши данные.

Так, автору материала пришло письмо о том, что за его данными не уследили ЗОЖ-приложение MyFitnessPal, сайт для поиска предков MyHeritage, соцсети Tumblr и VK. Причём из последней хакеры получили ещё ФИО и телефон.

Кроме того, Институт Хассо Платнера обещает выслать новое письмо с предупреждением, если в будущем в интернете появится информация о взломе аккаунта.

В 2019 году эксперт по интернет-безопасности Трой Хант сообщил о самой крупной утечке личной информации в мировой истории. Тогда в сеть попали почти 800 миллионов почтовых адресов и 22 миллиона паролей. Украденную информацию называли кодовым словом «Коллекция № 1» — возможно, это намёк на существование второй и даже третьей коллекции.

Хант создал свой сервис Have I Been Pwned, на котором люди могут проверить, не попали ли они в «Коллекцию № 1». На нём также можно вбить свой адрес и оформить рассылку для новых уведомлений об утечках.

Что делать, если ваш адрес попал в хакерскую базу?

Кадр из фильма «Кунг Фьюри»

Базы данных Троя Ханта и Института Хассо Платнера в основном собирались по известным утечкам. Соответствующие сервисы скорее всего уведомляли вас о проблеме и предлагали заменить пароль. Если вы такого не припоминаете, обязательно поменяйте пароли на сайтах из этих списков.

Часто на обнаружение подобных инцидентов требуется много времени, поэтому стоит подстраховаться и всегда выполнять следующие правила.

1. Периодически менять пароли

Некоторые сайты сами предлагают пользователю вовремя менять устаревший пароль. По мнению экспертов, этим нужно заниматься примерно раз в три месяца — если речь идёт об обычных соцсетях и приложениях.

Но для электронной почты и других важных сервисов оптимальная частота смены пароля — около месяца.

2. Не использовать один и тот же пароль для разных платформ и сервисов.

Бюджеты на информационную безопасность у компаний разного размера очевидно различаются. Например, магазин по продаже одежды явно тратит на защиту от хакеров куда меньше средств, чем Gmail.

Но если вы всюду используете одинаковые пароли, хакеры, зная ваш электронный адрес, легко получат доступ к вашей почте и всему, что к ней привязано, украв данные у компании поменьше.

3. Пароль должен быть сложным

Звучит очевидно, но некоторые люди до сих пор используют в качестве пароля слова и даты. Для наглядности: если ваш адрес почты уже знаком взломщикам, на подбор пароля из букв и цифр у них уйдёт несколько месяцев, а на пароль из слов — несколько дней.

К счастью, в наши дни многие крупные компании сами напоминают пользователям о том, что пароль должен быть надёжным.

А ещё важно помнить, что многие угрозы, связанные с утечкой данных, можно предотвратить. Для этого нужно перестать размещать свой электронный адрес в общем доступе, а на сайтах использовать анонимные и изменённые адреса.

Как спрятать свою почту?

Кадр из фильма «Вам письмо»

Многие почтовые службы предлагают своим клиентам услуги, позволяющие не использовать свой электронный адрес на подозрительных сайтах — но и не создавать новую почту только ради регистрации. Речь идёт о запасных и временных адресах. Такой способ не сработает с солидными сайтами, но подойдёт для форумов и интернет-магазинов.

Gmail

Gmail позволяет заменять и сокращать адреса: в результате у вас получается целый ряд псевдонимов для одного и того же почтового ящика.

Это позволяет регистрировать с одного email несколько аккаунтов и помогает бороться со спамерами: рекламная рассылка будет приходить с указанием изменённого адреса, и её можно будет фильтровать и блокировать.

Изменять свой email можно по трём правилам:

1. Для любого ящика можно использовать два домена – gmail и googlemail

Если ваш адрес — medialeaks@gmail.com, на сайтах можно использовать medialeaks@googlemail.com.

2. До @ можно добавлять в адрес точку или точки

Так, можно сделать новый адрес — media.leaks@googlemail.com. Или media.leak.s@googlemail.com. На каждый из них можно регистрировать новую учётную запись, а почтовый ящик останется один и тот же.

3. До @ можно добавлять слова со знаком +

Например, из medialeaks@gmail.com можно сделать medialeaks+love@gmail.com. Выглядит совсем по-другому, но письма будут приходить всё на тот же ящик.

Mail.ru

У самой популярной русскоязычной почтовой службы Mail.ru тоже есть опция, скрывающая основной email. Если не хочется светить свой адрес на форумах, в играх и магазинах, можно зайти в настройки аккаунта и увидеть вкладку «Анонимайзер».

Почта Mail.Ru сама предложит временный адрес и заведёт одноимённую папку. Именно туда, а не в общую папку «Входящие» будут поступать письма с сайтов, где вы используете анонимный адрес. Если форум, на котором вы зарегистрировались, сольёт свою базу, ваш основной аккаунт не пострадает. А временный адрес удаляется буквально в два клика.

Впрочем, можно обойтись и вовсе без адресов, связанных с вашим основным почтовым ящиком. Для этого нужно воспользоваться одноразовыми почтовыми адресами.

Как получить одноразовые почтовые адреса?

Кадр из фильма «Военные игры»

Для тех, кто не хочет создавать запасные адреса для своей почты, существует множество служб и приложений, которые позволяют создать одноразовый электронный адрес. Выглядит это почти как общественная электронная почта — и относиться к ней нужно соответственно, не используя ни для чего важного.

Служба Maildrop предоставляет пользователям возможность создать временный адрес электронной почты. Этот адрес можно использовать для регистрации на сайтах и в приложениях, а письма, которые на него придут, можно посмотреть открыто, без пароля, на сайте maildrop.cc.

Кроме того, Maildrop создаёт к нему алиас, адрес-псевдоним. Сообщения, пришедшие на него, можно будет увидеть в том же ящике, но другие люди не смогут просмотреть их, не зная первый адрес.

Например, создав адрес leaks@maildrop.cc, мы получаем алиас D-30wfut@maildrop.cc. Именно его нужно указывать на сайтах: письма придут на первый адрес, но никто, кроме создателя, не будет знать его и не сможет их просмотреть.

Как и предыдущая служба, Mailinator позволяет создать учётную запись, не защищённую паролем. Вы всегда можете указать адрес с этого сервиса на форумах и сразу же просмотреть письмо о регистрации. В течение нескольких часов все электронные письма удаляются из системы, но адрес остаётся неизменным.

Есть и совсем простые опции: 10minutemail и 20minutemail — почта на 10 и на 20 минут. Оба сайта создают для вас почтовый ящик с автоматически сгенерированным адресом. Срок действия первого истечёт через 10 минут, а второго — через 20.

Кроме того, существуют расширения браузера, помогающие создать одноразовый адрес электронной почты: например, TrashMail для Mozilla Firefox и Crazymailing для Google Chrome.

Кстати, если вы заботитесь о сохранности своих личных данных, важно обращать внимание и на то, кому вы пишете. Недавно люди увидели почтовый ящик с триллионом писем и поняли, что писали не на тестовый адрес, а существующему человеку. И их информация теперь в его руках.

А один парень с «Пикабу» недавно рассказал о самом глупом лайфхаке, позволяющем взломать чужую электронную почту. Его знакомая сама отдала ему пароль — и на её ошибке нужно учиться всем.

При наличии email/никнейма человека и небольшего количества свободного времени можно найти его аккаунты во всех соцсетях и узнать о нем очень многое.

Все сайты из статьи мы тестировали на нашем авторе Романе Юрьеве и его аккаунтах.

Pipl.com

Этот сайт умеет искать аккаунты человека на разных сервисах по имени, адресу электронной почты или телефону. Он поддерживает Gravatar, Linkedin, Disqus, YouTube, Last.fm, Github, Twitter, Imgur, Kongregate, Hubpages, Slideshare, Pinterest.

Ссылка на сайт: pipl.com

Knowem.com

А этот сервис проверяет, заняты ли аккаунты с определенным именем на разных сайтах. В отличие от pipl.com, он ищет аккаунты еще и на Foursquare, YouTube, Delicious, Imgur и WordPress. Но, к сожалению, не дает прямые ссылки на профили.

Ссылка на сайт: knowem.com

EmailSherlock

Этот сервис как и pipl.com отображает ссылки на аккаунты. Но список сайтов у него немного другой. Например, он смог найти профиль Романа в Vimeo. Также он выдает подробную информацию о домене, в котором зарегистрирован почтовый ящик.

Ссылка на сайт: emailsherlock.com

PeekYou

Здесь надо вводить не email, а никнейм (а почтовые адреса часто содержат его). Первый из четырех сайтов, который дал ссылки на Instagram и Facebook Романа.

Ссылка на сайт: peekyou.com

PoiskMail.com

Этот сайт ничего не ищет, а просто автоматически генерирует ссылки на страницы в разных соцсетях с никнеймом человека. Воспользоваться им будет быстрее, чем набирать эти ссылки вручную.

Ссылка на сайт: poiskmail.com

Lullar.com

Еще один генератор ссылок. Список сервисов у него намного длиннее, чем у предыдущего и многие из них в России совсем неизвестны. Но попытать счастья стоит.

Ссылка на сайт: lullar.com

Поиск на Facebook

И в заключении хотелось бы напомнить о самом простом способе найти информацию о человеке по email: просто вбить его в поиске на Facebook. Частенько этого бывает достаточно.

Ссылка на сайт: facebook.com

Сервисы из статьи делают одно и то же — ищут профили в социальных сетях. Но места поиска у всех отличаются. Для достижения максимального результата лучше применять их все в комплексе.

Другие статьи на тему сбора информации о людях в интернете:

  • Как посмотреть посты всех ваших соседей в соцсетях
  • Что интересного можно собрать, получив доступ к чужому браузеры на 5 минут
  • 12 способов разыскать владельца сайта и узнать все про него
  • 9 сервисов для поиска информации в соцсетях
  • 10 веб-сервисов для анализа фотографий
  • 20 фишек, как узнать все про любой сайт
  • 15 фишек для сбора информации о человеке в интернете
  • Как снять девушку в сети
  • Как проверить документы на подлинность

(18 голосов, общий 4.56 из 5)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram. … и не забывай читать наш Facebook и Twitter 🍒 iPhones.ru Ищем его аккаунты во всех соцсетях сразу.

  • Твитнуть
  • Поделиться
  • Рассказать

Теги: Советы,

  • это полезно

Ирина Чернова

Электронная почта — это онлайн-служба, пересылающая указанным адресатам текстовые сообщения, или письма, и другие данные (видео, аудио, сканкопии, таблицы) в виде файлов через защищённый интернет-канал.

Доставка корреспонденции в электронной почте построена по такому же принципу, что и в «бумажной» реальной почте. Отправитель указывает адрес своего почтового ящика (от Кого) и адрес получателя (Кому). А затем служба доставляет адресату депешу.

Если вы не знаете, что представляет собой адрес электронной почты, как его придумать, где зарегистрировать и как правильно указать в форме, прочтите эту статью. Она будет вам в помощь. Ведь рано или поздно, пребывая в глобальной Сети, вы всё равно столкнётесь с этими задачами. Без e-mail нынче в Сети никуда!

Исторический экскурс

В ознакомительных целях, для более ясного представления почтовой коммуникации онлайн, давайте познакомимся с историей её создания. Собственно с тем, как появились e-mail и адреса электронной почты в том виде, в котором они сейчас есть.

Первый прототип почтового сервиса был изобретён программистами массачусетского университета (не поверите!) в 1965 году. Утилитку, пересылающую коротенькие послания специальными файлами в пределах одной локальной системы, прозвали Mail.

В дальнейшем идея оперативной коммуникации, что называется, прижилась и получила дальнейшее развитие. На вторую ступеньку эволюции e-mail в 1968 году вознёс Рэй Томлинс. В рамках проекта министерства обороны США он разработал секретное приложение SNDMSG (Send Message) для переписки и обмена данными в засекреченной военной сети ARPANET — «дедушки» интернета.

Рэй Томлинс

Спустя четыре года, в 1972, Томлинс доработал созданную раннее службу. Создал для неё программную оболочку, имевшую подобие почтового клиента и наделил необходимыми функциями (сортировка писем, отправка файлов и т.д.). Примерно в это же время появился и современный стандарт адреса почты — символ «@» (собачка). Отныне он фигурировал во всех депешах — в адресах электронной почты отправителей и получателей.

В 1975, благодаря усилиям программиста Джона Виталла, почтовый клиент MSG получил новые усовершенствования. В нём улучшились алгоритмы сортировки входящих сообщений, появилась функция «автоматический ответ».

Первый прототипы сетевого взаимодействия ПК

Вот так и ознаменовалась новая эпоха, эра современных сетевых коммуникаций. Это потом уже, в 1976 году, королева Великобритании отправила первое сообщение по Сети, в 1994 в почтовых ящиках пользователей появился спам, а в 2000-ном вирус «I love you»…

Формат адреса e-mail

Итак, что такое адрес электронной почты?

Это уникальная запись, соответствующая стандарту RFC 2822, которая идентифицирует почтовый ящик пользователя и сообщает онлайн-сервису, куда именно необходимо доставить сообщение и прикреплённые к нему файлы.

Давайте разберёмся, как выглядит и из чего состоит адрес ящика.

Его формат можно представить как совокупность трёх отдельных частей. Записывается так:
@

«Логин пользователя» — уникальное название вашего ящика, вы его указываете при регистрации. Как правило, в логине допускается использование английских букв, цифр и символа «_».

«@» — разделительный символ «at», или «собачка», неотъемлемый атрибут любого адреса. Он как бы указывает — кто и откуда. Например: ivan@mail.ru — ivan c mail.ru.

— название почтового сервиса, на котором был зарегистрирован ваш почтовый ящик. Например, gmail.com, yandex.ru, mail.ru и т.д.

Где регистрировать адрес?

Электронный ящик и, соответственно, его адрес создаются непосредственно в онлайн-сервисах, его предоставляющих.

Алгоритм регистрации сводится к следующему (что нужно сделать):

1. Определитесь, какой почтовый сервис вы хотите использовать.

2. Откройте его официальный сайт — mail.ru, rambler.ru или др.

3. Перейдите на страничку с регистрационной формой (кнопка, ссылка с надписью «Регистрация», «Зарегистрироваться», «Создать почту»).

4. Укажите все необходимые данные: имя, дату рождения, номер мобильного и т.д. Придумайте логин для ящика и пароль для входа в него.

Примечание. Если затрудняетесь придумать логин почты, воспользуйтесь онлайн-генератором имён. Их в Сети предостаточно.

5. Отправьте заполненную форму на сервер службы (кнопка «Отправить»).

Если все данные были указаны правильно, вы сразу же получите доступ к своей почте.

Как указывать и сообщать адрес?

При регистрации в онлайн-играх, соцсетях и на других веб-ресурсах адрес ящика необходимо указывать в полном формате — @.

Если вы авторизовываетесь в почтовом ящике, например, на таких сервисах, как Gmail, Mail.ru, можно в поле указать только логин — первый элемент адреса.

А почта сама уже «сообразит», какой пользователь решил зайти в профиль и откроет ему доступ.

Если вам нужно в реальном или виртуальном диалоге сообщить собеседнику адрес почты, вы можете представить её в полном формате или же сказать, например, «vasya12 на Gmail, или ivan2012 на mail.ru».

Надёжных вам коммуникаций и комфортной переписки в Сети!

Юшкевич А.В., соискатель кафедры предпринимательского права Уральской государственной юридической академии.

Тот факт, что любой человек имеет право на неприкосновенность своей частной жизни, не вызывает сомнений. Составляющей частной жизни любого лица является соблюдение тайны личной корреспонденции, содержащейся в переписке, телефонных переговорах, почтовых, телеграфных и иных сообщениях.

Статья 23 Конституции Российской Федерации закрепила право каждого на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения, что относит судебный контроль к числу гарантий, препятствующих необоснованным ограничениям указанного права человека и гражданина. Статья 24 Конституции Российской Федерации запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. В п. 4 ст. 29 Конституции Российской Федерации закрепляется право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Конституционно-правовые нормы нашли свою детализацию и дальнейшее развитие в гражданском законодательстве и специальных нормативно-правовых актах о связи. Так, ст. 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» устанавливает, что сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации, а сведения об абонентах-гражданах не могут быть включены в данные для информационно-справочного обслуживания и использоваться для оказания справочных и иных информационных услуг без письменного согласия абонента.

Аналогичная норма содержится в ст. 10 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» <1>: предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.

<1> Российская газета. 2006. 29 июля.

Федеральный закон от 7 июля 2003 г. N 126-ФЗ «О связи» декларирует гарантии тайны переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи (п. 1 ст. 63). Несмотря на то что ст. 23 Конституции Российской Федерации допускает ограничение права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных отправлений только на основании судебного решения, п. 3 ст. 63 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» предусматривает возможность ограничения этих прав также в случаях, предусмотренных федеральными законами. Учитывая, что Конституция Российской Федерации имеет прямое действие и обладает высшей юридической силой, полагаем, что включение в ст. ст. 63, 64 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» дополнительных ограничений прав, предусмотренных ст. 23 Конституции Российской Федерации, как то: «в случаях, предусмотренных федеральными законами», является явным противоречием Основному Закону Российской Федерации. Возможность ограничения рассматриваемого права только на основании судебного решения подчеркивалась также в ряде решений Верховного Суда Российской Федерации. Так, в силу п. 4 Постановления Пленума Верховного Суда Российской Федерации от 24 декабря 1993 г. N 13 «О некоторых вопросах, связанных с применением статей 23 и 25 Конституции Российской Федерации» <2> судьей выносится мотивированное постановление о разрешении провести оперативно-розыскные или следственные действия, связанные с ограничением права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных отправлений, либо об отказе в этом. Наличие судебного решения является универсальным средством соблюдения законности для проведения любого из следственных действий или оперативно-розыскных мероприятий. Особое правоприменительное значение имеет п. 14 Постановления Пленума Верховного Суда Российской Федерации от 31 октября 1995 г. N 8 «О некоторых вопросах применения судами Конституции Российской Федерации при осуществлении правосудия» <3>, в соответствии с которым результаты оперативно-розыскных мероприятий, связанных с ограничением конституционного права граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, могут быть использованы в качестве доказательств лишь тогда, когда «они получены по разрешению суда на проведение таких мероприятий и проверены следственными органами в соответствии с уголовно-процессуальным законодательством».

<2> Бюллетень Верховного Суда РФ. 1994. N 3. С. 2.
<3> Бюллетень Верховного Суда РФ. 1996. N 1. С. 5.

Предполагаем, что понятие «судебное решение», составляющее норму ст. 23 Конституции Российской Федерации, не ограничено только судебным решением как одной из форм судебного акта, а предполагает решение суда, выраженное в любой форме, предусмотренной законодательством.

Учитывая, что действующее законодательство не содержит четкого определения понятия «тайна связи», а также не указывает, какие гарантии предоставляет это конституционное право, в ст. ст. 63, 64 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» считаем необходимым сформулировать определение тайны связи; указать перечень сведений, составляющих понятие «тайна связи»; регламентировать порядок предоставления соответствующих сведений; установить перечень обязательных гарантий, которые должен предоставлять оператор связи; предусмотреть меры ответственности за нарушение тайны связи.

Введение в Федеральный закон от 7 июля 2003 г. N 126-ФЗ «О связи» понятия «тайна связи» позволит избежать его неоднозначного толкования, а также обусловлено тем, что отдельно существующие «тайны» переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений являются лишь способами (средствами) опосредованной передачи информации.

Федеральный закон от 7 июля 2003 г. N 126-ФЗ «О связи» не устанавливает субъектов, которым гарантируется тайна связи, поэтому возможно сделать заключение, что гарантии распространяются на всех пользователей услуг связи: и юридических, и физических лиц, как являющихся гражданами, так и не являющихся таковыми.

С другой стороны, конституционным основанием ограничения рассматриваемого права является личное волеизъявление лица. Декриминализирующим фактором при выполнении гарантий по сохранению тайны связи выступает добровольное согласие лица на ограничение его права на тайну связи. Законодательно должно быть закреплено право на распоряжение субъектом принадлежащим ему правом на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. В любом случае переписка, переговоры и сообщения (за исключением сообщений посредством радио) предусматривают наличие как минимум двух адресатов, полагаем, что согласие должно быть получено хотя бы от одного из них. Следует обратить внимание, что человек не может отказаться от своего права на тайну связи ввиду его неотчуждаемости, но разрешение на ознакомление с одним или несколькими сообщениями не является полным отказом от конституционного права.

Интерес представляет вопрос обеспечения тайны связи физического лица, когда связь исходит со средств коммуникации работодателя. В некоторых предприятиях и государственных органах под предлогом мер по обеспечению режима коммерческой тайны вводится комплексный мониторинг всех каналов связи, включая электронную почту. На рынке имеется несколько программных продуктов для такого комплексного мониторинга. Обладание коммерческой тайной дает предприятию некоторые права, обеспечивающие ее сохранение. Они перечислены в Федеральном законе от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» <4>, но среди этих прав нет права на мониторинг всех служебных сообщений.

<4> Российская газета. 2004. 5 авг.

С одной стороны, служебная корреспонденция не имеет отношения к частной жизни того, кто ее отправляет или получает. С другой стороны, невозможно заведомо утверждать, что любая корреспонденция, отправляемая через служебные каналы связи, только служебная. Человек вполне может отправить по этим каналам личное письмо. Представляется, что право на тайну связи распространяется на все сообщения, передаваемые по служебным каналам связи. Просмотр сообщений и прослушивание телефонных разговоров работников работодателем есть не что иное, как нарушение прав на тайну связи.

Уведомление работника о том, что служебный канал связи прослушивается (контролируется), не является эквивалентом вышеуказанного разрешения от работника. Для работодателя решение данного вопроса представляется следующим образом. Учитывая, что трудовой договор между работником и работодателем является соглашением, т.е. проявлением свободного волеизъявления, возможно включение в его условия согласия работника на то, что все его коммуникации в рабочее время не являются конфиденциальными.

В некоторых видах связи в силу их технических особенностей допускается ознакомление с сообщением отдельных работников связи, как, например, при передаче телеграммы. В таких случаях нарушением будет считаться не ознакомление, а разглашение содержания сообщения.

К тайне связи должны приравниваться и сведения о таких сообщениях. Это лишний раз подтверждено рядом решений Верховного Суда Российской Федерации. Так, решением Верховного Суда Российской Федерации от 25 сентября 2000 г. N ГКПИ00-1064 определено, что для телефонной связи такими «сведениями» являются данные, фиксируемые биллинговой системой: время разговора, его продолжительность, номера вызывающего и вызываемого абонентов. По аналогии можно заключить, что применительно к электронной почте такими сведениями, подлежащими охране наравне с самим сообщением, являются: адреса отправителя и получателя, время отправления или доставки, длина сообщения.

В ст. 63 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» сказано, что операторы связи обязаны обеспечить тайну связи. Представляется, что обеспечить — не то же самое, что гарантировать. Обеспечить — означает предпринять все меры (в разумных пределах), чтобы тайна связи была соблюдена при обычных условиях эксплуатации сети связи. В связи с двусмысленностью изложенной в п. 2 ст. 63 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» нормы возникает ситуация, при которой обязанность обеспечить соблюдение тайны связи становится лишь формальностью.

Учитывая технические особенности оказания услуг связи, важным является замечание, что каждый оператор должен гарантировать тайну связи лишь на собственной сети, в сфере своей ответственности.

С учетом изложенных выше соображений и предположений считаем, что в ст. 2 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» необходимо внести определение понятия «тайна связи», которое возможно изложить в следующей редакции:

«Тайна связи — юридически охраняемые сведения, передаваемые по сетям электросвязи и сетям почтовой связи от одного пользователя к другому опосредованно через исполнителя любым способом передачи информации: телефонные сообщения, почтовые, телеграфные и иные сообщения, входящие в сферу деятельности оператора связи. К тайне связи приравниваются данные, фиксируемые биллинговой системой оператора связи: время разговора, его продолжительность, номера вызывающего и вызываемого абонентов. Применительно к электронной почте такими сведениями являются: адреса отправителя и получателя, время отправления или доставки, длина сообщения».

Диспозиция абз. 4 п. 2 ст. 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» может выглядеть следующим образом: предоставление третьим лицам сведений об абонентах может осуществляться только с их согласия, выраженного в письменной форме, за исключением случаев, предусмотренных федеральными законами на основании судебного акта.

Предполагается, что диспозиция ст. 63 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» может выглядеть следующим образом:

  1. На территории Российской Федерации гарантируется тайна связи. Ограничение права на тайну связи допускается только на основании судебного акта;
  2. Операторы связи обязаны гарантировать соблюдение тайны связи;
  3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие и просмотр почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются в соответствии с федеральными законами только на основании судебного акта;
  4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям либо в соответствии с федеральными законами на основании судебного акта;
  5. За нарушение тайны связи оператор связи несет ответственность, предусмотренную законодательством. Если нарушение тайны связи повлекло материальный ущерб или моральный вред, оператор связи несет также ответственность, предусмотренную гражданским законодательством.

Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.

Добрым словом и пистолетом

Разумеется, в первую очередь представители органов безопасности действуют методом убеждения. «Ты не выйдешь отсюда, пока не разблокируешь телефон», — говорят они задержанному, положив перед ним документ, где английским по белому написано, что «предъявитель сего имеет право досмотреть содержимое мобильных устройств» задержанного. Вот только о том, что задержанный обязан собственный телефон разблокировать, в документе ни слова. Что совершенно не мешает органам безопасности беззастенчиво пользоваться правом, которого у них нет.

Трудно в такое поверить? На самом деле не очень: последний такой случай произошел буквально на днях. Американский гражданин Сидд Бикканнавар (Sidd Bikkannavar), работающий в NASA, был задержан на границе при въезде в страну; именно «словом и пистолетом» его убедили разблокировать корпоративный смартфон.

Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли. Этот принцип наглядно иллюстрируется очередным случаем. Подозреваемый в хранении детской порнографии сидит уже 27 месяцев за то, что отказывается сообщить пароли от зашифрованных дисков. Презумпция невиновности? Не, не слышали.

Впрочем, подобные меры можно применять не всегда и не ко всем. Мелкого мошенника, брачного афериста или просто любителя накачать музыки «про запас» без внятных доказательств в тюрьму не запрешь, равно как и серьезного преступника с деньгами и адвокатами. Данные приходится расшифровывать, а пароли — вскрывать. И если в делах, связанных с тяжкими преступлениями и угрозой национальной безопасности (терроризм), руки у экспертов развязаны, а ограничений (финансовых и технических) практически нет, то в остальных 99,9% случаев эксперт жестко ограничен как доступными вычислительными возможностями лаборатории, так и временными рамками.

А как с этим обстоят дела в России? На границе устройства разблокировать пока не заставляют, но… процитирую эксперта, который занимается извлечением информации с телефонов и компьютеров задержанных: «Самый действенный способ узнать пароль — это звонок следователю».

Что можно сделать за 45 минут? А за два дня?

Фильмы не всегда врут. На одной из выставок ко мне подошел человек, в котором я сразу опознал начальника полицейского участка: большой, лысый и чернокожий. Информация с жетона подтвердила первое впечатление. «У меня в участке штук двести этих… айфонов, — с ходу начал посетитель. — Что вы можете сделать за 45 минут?» С такой постановкой вопроса мне раньше сталкиваться не приходилось. Впрочем, на тот момент (три года назад) еще были популярны устройства без сканера отпечатков, Secure Enclave только-только появился, а с установкой jailbreak проблем, как правило, не возникало. Но вопрос занозой засел у меня в голове. Действительно, а что можно сделать за 45 минут? Прогресс идет, защита усложняется, а времени у полиции больше не становится.

В самых незначительных делах, когда телефон или компьютер пользователя конфискуются «на всякий случай» (например, задержали за мелкое хулиганство), у следствия не будет ни времени, ни сил, ни зачастую работников высокой квалификации для вскрытия пароля. Не удалось разблокировать телефон за 45 минут? Обратимся к уликам, собранным более традиционным образом. Если за каждое зашифрованное устройство каждого мелкого хулигана биться до последнего, ресурсов не хватит ни на что другое.

В более серьезных случаях, когда конфискуется в том числе и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.

В разговорах с полицейскими разных стран чаще всего возникала цифра «два дня», при этом подразумевалось, что задача ложится на существующий кластер из пары десятков компьютеров. Два дня на вскрытие паролей, которыми защищены, к примеру, криптоконтейнеры BitLocker или документы в формате Office 2013, — не слишком ли мало? Оказывается, нет.

Как они это делают

Инструменты для взлома паролей у полиции были изначально, но полноценно применять их научились не так давно. К примеру, полицию всегда интересовали пароли, которые можно извлечь из компьютера подозреваемого, — но извлекали их сначала вручную, потом — при помощи единичных утилит, которые могли, например, получить только пароль от ICQ или только пароль к учетным записям в Outlook. Но в последние несколько лет в полиции пришли к использованию инструментов «всё в одном», которые сканируют жесткий диск и Registry устройства и сохраняют в файл все найденные пароли.

Во многих случаях полиция пользуется услугами частных криминалистических лабораторий — это касается как рутины, так и громких дел (толстый намек на процесс в Сан-Бернардино). А вот «частники» готовы воспользоваться самыми «хакерскими» методами: если оригинальные данные не изменяются, а следов вмешательства не остается, то способ, которым был добыт нужный пароль, значения не имеет, — в суде эксперт может сослаться на коммерческую тайну и отказаться раскрывать технические детали взлома.

Реальные истории

Иногда действовать требуется быстро: вопрос не в ресурсах, вопрос во времени. Так, в 2007 году в лабораторию поступил запрос: пропал 16-летний подросток. Родители обратились в (тогда еще) милицию, которая и пришла в лабораторию с ноутбуком пропавшего. Ноутбук защищен паролем. Было понятно, что нескольких месяцев на перебор паролей нет. Пошла работа по цепочке. Снят образ диска, параллельно запущена атака на пароль в Windows. Запущен поиск паролей на диске. В результате в Elcomsoft Internet Password Breaker был найден пароль к почте. Больше ничего интересного на компьютере не оказалось. Ничего, что могло бы помочь в поисках, в почте не было, но через почтовый ящик удалось сбросить пароль к ICQ, а там обнаружилась переписка с друзьями, из которой стало понятно, в какой город и к кому «пропал» подросток. Закончилось благополучно.

Однако далеко не всегда у историй хороший конец. Несколько лет назад в лабораторию обратился французский частный следователь. Его помощи попросила полиция: пропал известный спортсмен. Полетел в Монако, дальше следы теряются. В распоряжении следствия оказался компьютер спортсмена. Проанализировав содержимое диска, на компьютере обнаружили iTunes и панель управления iCloud. Стало понятно, что у спортсмена iPhone. Попробовали получить доступ к iCloud: пароль неизвестен, но маркер аутентификации (вытащили из iCloud Control Panel) сработал. Увы, как это часто бывает, в облачной резервной копии не оказалось никаких намеков на местонахождение «пропажи», а сама резервная копия была создана чуть ли не полтора месяца назад. Внимательный анализ содержимого позволил обнаружить пароль от почты — он был сохранен в заметках (тот самый «желтый стикер» с паролем, чтобы не забыть). Зашли в почту, нашли бронь отеля. Полиция подхватилась… Увы, история закончилась плохо: спортсмена нашли мертвым.

Но вернемся к нашим двум дням для взлома. Что можно сделать за это время?

Насколько (бес)полезны стойкие пароли

Не сомневаюсь, ты много раз слышал советы, как выбирать «стойкий» пароль. Минимальная длина, буквы и цифры, специальные символы… А так ли это важно на самом деле? И поможет ли длинный пароль защитить твои зашифрованные тома и документы? Давай проверим!

Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки:

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх