Surveillance
Self-Defense

Выбор средств цифровой защиты

Последнее обновление: 
2018-05-08
Эта страница переведена с английского языка. Наиболее актуальной является английская версия.

На каких инструментах среди множества предложений по обеспечению безопасности в цифровом пространстве остановить свой выбор?

Мы не можем предоставить список надёжных инструментов, способных гарантированно обеспечить вашу защиту (хотя в наших руководствах можно найти несколько распространённых вариантов). Однако если у вас есть представление о том, что именно и от кого вы пытаетесь защитить, то настоящее руководство поможет вам подобрать подходящие инструменты. Нужно лишь следовать нескольким основным рекомендациям.

Помните, что обеспечить безопасность невозможно простым использованием каких-либо инструментов или программного обеспечения. Для начала необходимо осознание уникальных угроз, с которыми вы можете столкнуться, и того, как именно вы сможете противостоять этим угрозам. Ознакомьтесь с нашим руководством по оценке рисков для получения дополнительной информации.

 

Безопасность – процесс, её нельзя просто купить Anchor link

Подумываете сменить программу или купить новую?

Во-первых, запомните: нет инструмента способного создать абсолютную защиту от слежки в любых условиях. Следовательно, важно планировать стратегию обеспечения цифровой безопасности в целом. Например, если вы используете программы, обеспечивающие защиту данных на телефоне, но при этом не установили пароль на компьютере, то эти программы на телефоне могут и не помочь вовсе. Ведь если кто-то захочет получить информацию о вас, он всегда выберет наиболее легкий способ её получения.

Во-вторых, имейте в виду, что практически невозможно организовать защиту от всех видов атак и злоумышленников. Вам следует сосредоточиться на определении людей, которые, возможно, захотят получить доступ к вашим данным; того, что именно может им понадобится; и способа, который они могут использовать для получения желаемого. Не забывайте о своей модели угроз. Нет необходимости в приобретении дорогостоящей системы шифрования связи, которая якобы защитит от перехвата данных спецслужбами, если фактически наибольшую угрозу для вас представляет наблюдение частного детектива, у которого нет доступа к инструментам слежки в сети интернет. Но если вы имеете дело с правительством, которое сажает диссидентов в тюрьму за использование шифровальных средств, есть смысл прибегнуть к более простым методам: например, заранее согласованным кодам. Это лучше, чем рисковать свободой из-за наличия шифровальной программы на ноутбуке.

Ниже представлен ряд вопросов, которые нужно задать себе перед скачиванием, покупкой или использованием того или иного инструмента.

 

Насколько прозрачен данный инструмент? Anchor link

Может показаться, что цифровая безопасность в первую очередь связана с умением хранить секреты. Но специалисты в этой области утверждают, что в условиях открытости и прозрачности создаются наиболее безопасные инструменты.

Те, кто заботится о своей цифровой безопасности, обычно используют сами (и рекомендуют использовать другим) бесплатные программы с открытым исходным кодом. Иными словами, код, на котором написана программа, является общедоступным. Любой желающий может его изучать, изменять и распространять. Обеспечивая прозрачность, разработчики говорят пользователям: «Давайте вместе искать недостатки и работать над улучшением программы!»

Открытый исходный код помогает повысить уровень безопасности, но не гарантирует его. Преимущество программ с открытым исходным кодом достигается благодаря техническим специалистам, которые непосредственным образом проверяют код. Это трудно организовать для малых проектов (а иногда и для популярных, но весьма сложных).

Когда вы подумываете об использовании той или иной программы, выясните, доступен ли её исходный код, проводился ли независимый аудит и подтвердил ли он высокий уровень безопасности. Программные и аппаратные средства должны иметь как минимум подробное техническое описание для независимой экспертной проверки.

 

Насколько чётко разработчики изложили преимущества и недостатки своего продукта? Anchor link

Программных или аппаратных решений, обеспечивающих стопроцентную безопасность, не бывает. Если разработчик или продавец честно говорит об ограничениях продукта, вам будет легче решить, подойдёт ли это средство в вашем конкретном случае.

Не верьте дежурным фразам о том, что код соответствует «военным стандартам» или «неуязвим для спецслужб». Такие слова ничего не значат. Наоборот, они заставляют сомневаться: скорее всего, разработчики переоценивают себя или игнорируют возможные сбои в работе их средства.

Злоумышленники постоянно осваивают новые способы взлома. Поэтому программные и аппаратные средства нужно часто обновлять - устранять уязвимости. Если разработчики не желают этим заниматься, задумайтесь: может, они боятся плохих отзывов или не имеют ресурсов для исправления ошибок.

Предсказать будущее нельзя, но можно судить о разработчиках по их поступкам в прошлом. Если на сайте выложены предыдущие версии программы, ссылки на регулярные обновления и дополнительная информация (например, сколько времени прошло с последнего обновления), это даёт больше уверенности в том, что в будущем разработчики не оставят своих пользователей на произвол судьбы.

 

Что произойдёт если разработчики окажутся скомпрометированы? Anchor link

Когда разработчик создаёт продукт, то он, как и вы, должен иметь чёткую модель угроз. Лучшие разработчики подробно рассказывают в документации, от каких угроз они способны вас защитить.

Но есть угроза, о которой почти не говорят. Что, если разработчик сам окажется скомпрометирован или решит атаковать собственных пользователей? Например, суд или правительство могут принудить компанию выдать персональные данные пользователей или создать лазейку в программе, которая позволит обходить защиту. Спросите себя, в чьей(их) юрисдикции(ях) находится разработчик. Например, если источник угрозы – правительство Белоруссии, английская компания может не принимать во внимание требования белорусских чиновников, но ей придётся подчиниться решению суда в самой Великобритании.

Даже если разработчик сумеет противостоять давлению со стороны правительства, злоумышленник может попробовать взломать информационные системы разработчика для атаки на его пользователей.

Наиболее устойчивые инструменты разрабатываются с учётом этой возможной атаки и на программном уровне защищают от неё. Постарайтесь найти инструмент, о котором известно, что его создатели не могут получить доступ к частным данным (а не обещают, что не станут этого делать). Имеет ли разработчик репутацию борца за права своих клиентов, может ли он опротестовывать решение суда о выдаче персональных данных?

 

Был ли данный продукт отозван разработчиком, подвергался ли он критике в сети интернет? Anchor link

Компании, продающие продукты, и энтузиасты, рекламирующие свое новейшее программное обеспечение, могут быть введены в заблуждение, сами вводить в заблуждение или даже откровенно лгать. В продукте, который изначально был безупречен с точки зрения безопасности, со временем могут обнаружиться ужасающие недоработки. Необходимо постоянно получать актуальную информацию об используемых продуктах и инструментах.

Чрезвычайно сложно в одиночку постоянно выискивать новости о каком-либо продукте или инструменте. Однако если у вас есть друзья или коллеги, которые используют определенный продукт, инструмент или услугу, скооперируйтесь с ними, чтобы вместе оставаться в курсе событий.

 

Телефон какой марки мне стоит купить? Какой компьютер? Anchor link

Специалисты по безопасности нередко слышат вопросы вроде «Что выбрать – телефон на Android или iPhone?», «Какой компьютер купить – PC или Mac?», «Какая операционная система лучше?». Простых ответов нет. Пользователи обнаруживают ошибки, эти ошибки исправляются, безопасность программ и устройств относительна и всё время меняется. Компании могут конкурировать за услуги в области безопасности или быть под давлением властей, которые стремятся её ослабить.

Некоторые общие рекомендации почти всегда верны. При покупке устройства или операционной системы необходимо скачивать актуальные обновления. Они зачастую исправляют в старом программном коде связанные с безопасностью ошибки, которые используют злоумышленники. Обратите внимание на то, что обновления (даже связанные с безопасностью) для некоторых старых телефонов или операционных систем могут уже не выпускаться производителем. В частности, компания Microsoft объявила о прекращении всяческой поддержки Windows (включая исправления серьёзных проблем с безопасностью) для версий Vista, XP и более ранних. Это означает, что при использовании одной из этих версий Windows вы не сможете рассчитывать на защиту от атак злоумышленников. Аналогично компания Apple поступила и с версиями OS X младше 10.11 (El Capitan).

Теперь, когда вы приняли во внимание все угрозы, с которыми можете столкнуться, и решили, что именно вам нужно от инструмента, обеспечивающего безопасность в цифровом мире, вы можете более уверенно выбрать инструменты, наиболее подходящие для вашей конкретной ситуации.

 

Инструменты, упомянутые в этом руководстве Anchor link

Мы стараемся, чтобы программные и аппаратные решения, о которых мы говорим в настоящем руководстве, соответствовали обозначенным выше критериям. Мы с чистой совестью перечислили только те инструменты, которые:

  • являются основательными и качественными продуктами согласно нашим представлениям о цифровой безопасности,
  • достаточно прозрачны, их алгоритмы (и проблемы) изучены,
  • защищены от возможного воздействия разработчиков,
  • регулярно обновляются, имеют свежие версии и большую базу технически грамотных пользователей.

Мы считаем, что на момент написания данного руководства все они регулярно проверяются на наличие изъянов большим количеством активных пользователей. Если те обнаружат проблему, о ней сразу станет известно. Однако у нас нет ресурсов, чтобы организовывать независимые проверки безопасности упомянутых инструментов. Мы не гарантируем качество и абсолютную безопасность этих продуктов.

JavaScript license information