Витік метаданих

Metadata — це дані про дані: не вміст повідомлення, а навколишній контекст. Для електронної пошти метаданими є відправник, одержувач, тема (часто), позначка часу, розмір і шлях маршрутизації. За телефонні дзвінки, хто кому телефонував, коли, як довго. Для веб-перегляду, які сайти ви відвідали та як довго ви залишалися. Наскрізне шифрування захищає вміст; метадані майже завжди або незахищені, або захищені лише частково.

Чому метадані настільки показові

Відомий приклад: уявіть, що ви не можете читати чиїсь електронні листи, але бачите заголовки. Ви бачите їх:

• Надішліть електронний лист адвокату з розлучення
• Надіслайте електронний лист агенту з нерухомості
• Надішліть електронний лист у транспортну компанію
• Надішліть електронний лист приватному детективу наступного дня

Ви не маєте жодного уявлення про те, що було в електронному листі, але, ймовірно, ви можете точно сказати висновки про те, що відбувається в їхньому житті. Цей шаблон узагальнює: шаблони зв’язку розкривають зв’язки, розклади, рішення та зміни стану навіть без вмісту повідомлення.

Де відбувається витік метаданих

• Заголовки електронної пошти. Відправник, одержувач, іноді тема, увесь маршрут через поштові сервери (Отримано: заголовки), мітки часу.
• Записи телефонів. Журнали оператора показують кожен дзвінок і SMS — номер, тривалість, місцезнаходження на момент дзвінка.
• HTTPS трафік. SNI (який сайт ви відвідали), розміри пакетів, шаблони часу. Modern Encrypted Client Hello частково виправляє SNI; решта залишається видимою.
• DNS-пошуки. Кожен домен, який ви відвідуєте, отримує запит через DNS, видимий для розпізнавача, навіть якщо фактичний трафік зашифровано.
• Програми для обміну повідомленнями. Більшість шифрують вміст, але сервер знає, хто кому і коли надсилає повідомлення. Видимість метаданих WhatsApp значно вища, ніж у Signal.
• Дані про місцезнаходження смартфона. Навіть із вимкненими службами визначення місцезнаходження, передачами стільникового зв’язку, запитами на зондування Wi-Fi та скануванням витоку присутності та руху Bluetooth.
• Дані EXIF фотографій і документів. Модель камери, GPS-координати, витрачений час, навіть мініатюра вихідного зображення перед редагуванням.
• Журнали мережевих потоків. Будь-яка інфраструктура, яка обробляє трафік, може реєструвати, хто з ким і коли підключився.

Чого не охоплює «наскрізне шифрування»

Signal — зазвичай вважається золотим стандартом для Обмін повідомленнями E2E — приховує вміст повідомлення, але служба все ще знає:

• Ваш обліковий запис існує (зареєстрований на номер телефону, незабаром буде необов’язково на ім’я користувача)
• Ви входили в певний час із певних IP-адрес
• Ваш обліковий запис зв’язувався з іншими конкретними обліковими записами (хоча запечатаний відправник приховує це в деяких випадків)
• Приблизні розміри та час повідомлень

Signal агресивно мінімізує те, що він зберігає, і те мало, що він має, відоме як мінімальне у відповідях на виклик до суду. Але метадані існують на рівні протоколу, навіть якщо вони не зберігаються.

WhatsApp використовує протокол сигналу для вмісту, але зберігає набагато більше метаданих — контакти, часові позначки повідомлень, членство в групах, IP-адреси — і ці метадані доступні Meta та (через ордер) закону

Метадані мережі

Навіть із повним шифруванням (Tor, VPN, все це), метадані, видимі для зловмисника, який може спостерігати за достатньою кількістю мережі, включають:

• Шаблони трафіку — коли ви онлайн, коли ви активні
• Обсяг трафіку — велике завантаження = відео, невелике періодичне = чат тощо.
• Інтервал надходження пакетів — інколи достатньо для відбитків пальців певних програм або веб-сайтів
• Кореляції між сеансами — той самий користувач на кількох платформах, який можна ідентифікувати за шаблонами активності

Чим більше вікно спостереження супротивника, тим більше метаданих стає значущий. Глобальні супротивники (NSA, GCHQ) історично мали таку можливість проти Tor — одночасне спостереження за охоронцями входу та вузлами виходу дозволяє корелювати трафік.

Що ви можете зробити з метаданими

Захисти, у порядку складності:

• Використовуйте Signal замість SMS/WhatsApp для конфіденційних розмов. Краща мінімізація метаданих.
• Видаліть EXIF-дані, перш ніж ділитися фотографіями. Більшість платформ видаляють дані під час завантаження, але не завжди; такі інструменти, як exiftool, дозволяють зробити це раніше.
• Використовуйте зашифрований DNS (DoH, DNSCrypt), щоб ваш резолвер не бачив запити. Перегляньте нашу статтю DoH.
• VPN для метаданих на рівні провайдера. Приховує пошук домену, призначення, шаблони трафіку від вашого провайдера — переносить довіру до VPN.
• Tor для надійнішого захисту метаданих мережі. Перемагає більшість локальне мережеве спостереження; певний ризик для глобальних противників залишається.
• Compartmentalization. Різні ідентифікатори для різних контекстів, з окремими пристроями та обліковими записами. Найефективніший єдиний захист для сценаріїв високої загрози.
• Операційна дисципліна. Передбачувані шаблони зв’язку витікають більше, ніж обережні. Змішайте час чутливих дій із повсякденними.

Асиметрія

Стеження за вмістом лінійно масштабується залежно від зусиль — чим більше ви читаєте, тим більше вмісту збираєте. Метадані набагато краще масштабуються, оскільки вони малі, структуровані та доступні для запитів. «З ким X говорив минулого тижня» — це запит до бази даних; «Що X обговорював минулого тижня» вимагає прочитання тисяч повідомлень.

Ця асиметрія є причиною того, що уряди в усьому світі наполягають на законах про збереження метаданих набагато більше, ніж на законах про читання вмісту. Метадані дешевше досліджувати в масштабі, і вони часто виявляють достатньо.

Висновок

Для звичайних користувачів: витік метаданих реальний, але здебільшого косметичний. Постачальники послуг бачать вашу активність; вони монетизують їх за допомогою реклами. Це угода, яку ви вже прийняли, користуючись безкоштовними послугами.

Для користувачів із сильнішими моделями загроз: метадані часто містять фактичну ідентифікаційну інформацію. Захист вмісту, ігноруючи метадані, є поширеною та серйозною помилкою.