Surveillance
Self-Defense

ЛГБТ-молодёжь?

  • ЛГБТ-молодёжь?

    Как сделать безопаснее доступ к профильным ресурсам и работу в социальных сетях? Как избавиться от тех, кто любит совать свой нос в чужие дела? Попробуйте наши инструменты и советы.

    Онлайн-слежка и назойливость чересчур любопытных людей иногда приводят к тому, что ваша ориентация становится известной сверстникам, семье или рекламным сетям. Некоторые пользователи испытывают проблемы с доступом к ЛГБТ-ресурсам. Наше руководство поможет разобраться с этими проблемами.

     

  • Выбор средств цифровой защиты

    На каких инструментах среди множества предложений по обеспечению безопасности в цифровом пространстве остановить свой выбор?

    Мы не можем предоставить список надёжных инструментов, способных гарантированно обеспечить вашу защиту (хотя в наших руководствах можно найти несколько распространённых вариантов). Однако если у вас есть представление о том, что именно и от кого вы пытаетесь защитить, то настоящее руководство поможет вам подобрать подходящие инструменты. Нужно лишь следовать нескольким основным рекомендациям.

    Помните, что обеспечить безопасность невозможно простым использованием каких-либо инструментов или программного обеспечения. Для начала необходимо осознание уникальных угроз, с которыми вы можете столкнуться, и того, как именно вы сможете противостоять этим угрозам. Ознакомьтесь с нашим руководством по оценке рисков для получения дополнительной информации.

    Безопасность – процесс, её нельзя просто купить

    Подумываете сменить программу или купить новую?

    Во-первых, запомните: нет инструмента способного создать абсолютную защиту от слежки в любых условиях. Следовательно, важно планировать стратегию обеспечения цифровой безопасности в целом. Например, если вы используете программы, обеспечивающие защиту данных на телефоне, но при этом не установили пароль на компьютере, то эти программы на телефоне могут и не помочь вовсе. Ведь если кто-то захочет получить информацию о вас, он всегда выберет наиболее легкий способ её получения.

    Во-вторых, имейте в виду, что практически невозможно организовать защиту от всех видов атак и злоумышленников. Вам следует сосредоточиться на определении людей, которые, возможно, захотят получить доступ к вашим данным; того, что именно может им понадобится; и способа, который они могут использовать для получения желаемого. Не забывайте о своей модели угроз. Нет необходимости в приобретении дорогостоящей системы шифрования связи, которая якобы защитит от перехвата данных спецслужбами, если фактически наибольшую угрозу для вас представляет наблюдение частного детектива, у которого нет доступа к инструментам слежки в сети интернет. Но если вы имеете дело с правительством, которое сажает диссидентов в тюрьму за использование шифровальных средств, есть смысл прибегнуть к более простым методам: например, заранее согласованным кодам. Это лучше, чем рисковать свободой из-за наличия шифровальной программы на ноутбуке.

    Ниже представлен ряд вопросов, которые нужно задать себе перед скачиванием, покупкой или использованием того или иного инструмента.

    Насколько прозрачен данный инструмент?

    Может показаться, что цифровая безопасность в первую очередь связана с умением хранить секреты. Но специалисты в этой области утверждают, что в условиях открытости и прозрачности создаются наиболее безопасные инструменты.

    Те, кто заботится о своей цифровой безопасности, обычно используют сами (и рекомендуют использовать другим) бесплатные программы с открытым исходным кодом. Иными словами, код, на котором написана программа, является общедоступным. Любой желающий может его изучать, изменять и распространять. Обеспечивая прозрачность, разработчики говорят пользователям: «Давайте вместе искать недостатки и работать над улучшением программы!»

    Открытый исходный код помогает повысить уровень безопасности, но не гарантирует его. Преимущество программ с открытым исходным кодом достигается благодаря техническим специалистам, которые непосредственным образом проверяют код. Это трудно организовать для малых проектов (а иногда и для популярных, но весьма сложных).

    Когда вы подумываете об использовании той или иной программы, выясните, доступен ли её исходный код, проводился ли независимый аудит и подтвердил ли он высокий уровень безопасности. Программные и аппаратные средства должны иметь как минимум подробное техническое описание для независимой экспертной проверки.

    Насколько чётко разработчики изложили преимущества и недостатки своего продукта?

    Программных или аппаратных решений, обеспечивающих стопроцентную безопасность, не бывает. Если разработчик или продавец честно говорит об ограничениях продукта, вам будет легче решить, подойдёт ли это средство в вашем конкретном случае.

    Не верьте дежурным фразам о том, что код соответствует «военным стандартам» или «неуязвим для спецслужб». Такие слова ничего не значат. Наоборот, они заставляют сомневаться: скорее всего, разработчики переоценивают себя или игнорируют возможные сбои в работе их средства.

    Злоумышленники постоянно осваивают новые способы взлома. Поэтому программные и аппаратные средства нужно часто обновлять - устранять уязвимости. Если разработчики не желают этим заниматься, задумайтесь: может, они боятся плохих отзывов или не имеют ресурсов для исправления ошибок.

    Предсказать будущее нельзя, но можно судить о разработчиках по их поступкам в прошлом. Если на сайте выложены предыдущие версии программы, ссылки на регулярные обновления и дополнительная информация (например, сколько времени прошло с последнего обновления), это даёт больше уверенности в том, что в будущем разработчики не оставят своих пользователей на произвол судьбы.

    Что произойдёт если разработчики окажутся скомпрометированы?

    Когда разработчик создаёт продукт, то он, как и вы, должен иметь чёткую модель угроз. Лучшие разработчики подробно рассказывают в документации, от каких угроз они способны вас защитить.

    Но есть угроза, о которой почти не говорят. Что, если разработчик сам окажется скомпрометирован или решит атаковать собственных пользователей? Например, суд или правительство могут принудить компанию выдать персональные данные пользователей или создать лазейку в программе, которая позволит обходить защиту. Спросите себя, в чьей(их) юрисдикции(ях) находится разработчик. Например, если источник угрозы – правительство Белоруссии, английская компания может не принимать во внимание требования белорусских чиновников, но ей придётся подчиниться решению суда в самой Великобритании.

    Даже если разработчик сумеет противостоять давлению со стороны правительства, злоумышленник может попробовать взломать информационные системы разработчика для атаки на его пользователей.

    Наиболее устойчивые инструменты разрабатываются с учётом этой возможной атаки и на программном уровне защищают от неё. Постарайтесь найти инструмент, о котором известно, что его создатели не могут получить доступ к частным данным (а не обещают, что не станут этого делать). Имеет ли разработчик репутацию борца за права своих клиентов, может ли он опротестовывать решение суда о выдаче персональных данных?

    Был ли данный продукт отозван разработчиком, подвергался ли он критике в сети интернет?

    Компании, продающие продукты, и энтузиасты, рекламирующие свое новейшее программное обеспечение, могут быть введены в заблуждение, сами вводить в заблуждение или даже откровенно лгать. В продукте, который изначально был безупречен с точки зрения безопасности, со временем могут обнаружиться ужасающие недоработки. Необходимо постоянно получать актуальную информацию об используемых продуктах и инструментах.

    Чрезвычайно сложно в одиночку постоянно выискивать новости о каком-либо продукте или инструменте. Однако если у вас есть друзья или коллеги, которые используют определенный продукт, инструмент или услугу, скооперируйтесь с ними, чтобы вместе оставаться в курсе событий.

    Телефон какой марки мне стоит купить? Какой компьютер?

    Специалисты по безопасности нередко слышат вопросы вроде «Что выбрать – телефон на Android или iPhone?», «Какой компьютер купить – PC или Mac?», «Какая операционная система лучше?». Простых ответов нет. Пользователи обнаруживают ошибки, эти ошибки исправляются, безопасность программ и устройств относительна и всё время меняется. Компании могут конкурировать за услуги в области безопасности или быть под давлением властей, которые стремятся её ослабить.

    Некоторые общие рекомендации почти всегда верны. При покупке устройства или операционной системы необходимо скачивать актуальные обновления. Они зачастую исправляют в старом программном коде связанные с безопасностью ошибки, которые используют злоумышленники. Обратите внимание на то, что обновления (даже связанные с безопасностью) для некоторых старых телефонов или операционных систем могут уже не выпускаться производителем. В частности, компания Microsoft объявила о прекращении всяческой поддержки Windows (включая исправления серьёзных проблем с безопасностью) для версий Vista, XP и более ранних. Это означает, что при использовании одной из этих версий Windows вы не сможете рассчитывать на защиту от атак злоумышленников. Аналогично компания Apple поступила и с версиями OS X младше 10.11 (El Capitan).

    Теперь, когда вы приняли во внимание все угрозы, с которыми можете столкнуться, и решили, что именно вам нужно от инструмента, обеспечивающего безопасность в цифровом мире, вы можете более уверенно выбрать инструменты, наиболее подходящие для вашей конкретной ситуации.

    Инструменты, упомянутые в этом руководстве

    Мы стараемся, чтобы программные и аппаратные решения, о которых мы говорим в настоящем руководстве, соответствовали обозначенным выше критериям. Мы с чистой совестью перечислили только те инструменты, которые:

    • являются основательными и качественными продуктами согласно нашим представлениям о цифровой безопасности,
    • достаточно прозрачны, их алгоритмы (и проблемы) изучены,
    • защищены от возможного воздействия разработчиков,
    • регулярно обновляются, имеют свежие версии и большую базу технически грамотных пользователей.

    Мы считаем, что на момент написания данного руководства все они регулярно проверяются на наличие изъянов большим количеством активных пользователей. Если те обнаружат проблему, о ней сразу станет известно. Однако у нас нет ресурсов, чтобы организовывать независимые проверки безопасности упомянутых инструментов. Мы не гарантируем качество и абсолютную безопасность этих продуктов.

    Последнее обновление: 
    07-10-2019
  • Самозащита в социальных сетях

    Социальные сети являются одним из самых популярных интернет- ресурсов. У Facebook почти миллиард пользователей, по несколько сотен миллионов человек пользуются Instagram и Twitter. Социальные сети в основном построены на идее распространения людьми публикаций, фотографий и личной информации. В настоящее время они стали форумами, организующими людей и предоставляющими площадку для высказывания своей точки зрения. И то, и другое зачастую может идти в связке с конфиденциальностью и псевдонимностью.

    Таким образом, при использовании социальных сетей важно рассмотреть следующие вопросы: Как образом я взаимодействую с этими интернет-сервисами при защите своей конфиденциальной информации? Каков мой базовый уровень конфиденциальности, защиты моей личности, контактов и связей? Какую конфиденциальную информацию мне нужно скрыть и от кого?

    В зависимости от обстоятельств, вам может быть необходима защита от самой социальной сети, пользователей этой сети или же от всего перечисленного.

    При регистрации учетной записи учтите следующее:

    • Вы хотите использовать своё настоящее имя? Некоторые сайты придерживались «политики настоящих имён», но со временем ослабили требования. Если вам не хочется использовать свое настоящее имя в социальных сетях, можете этого не делать.
    • При регистрации не предоставляйте больше информации, чем требуется. Если вы хотите сохранить свою личность в тайне, используйте при регистрации отдельный адрес электронной почты и не указывайте свой номер телефона. Адрес почты и номер телефона могут раскрыть вашу личность и связать вас с другими учетными записями.
    • Будьте аккуратны при выборе фото профиля или изображений. Мало того, что в метаданных файла может быть указано место и время съёмки, само изображение может также раскрыть какую-либо информацию. Задайте себе вопрос перед загрузкой изображения: фото было снято вне дома или работы? Видны ли указатели с названием улиц или другие знаки и вывески?
    • Знайте, что ваш IP-адрес может быть записан при регистрации.
    • Укажите надёжный пароль и, если возможно, включите двухфакторную аутентификацию.
    • Не следует правдиво отвечать на вопросы для восстановления доступа к учетной записи («В каком городе вы родились?» или «Какое имя у вашего домашнего животного?»), поскольку ответы на такие вопросы могут быть найдены с помощью общедоступных данных ваших аккаунтов в социальных сетях. Вы можете указать произвольные ответы на эти вопросы. Запомнить эти ответы будет трудновато, поэтому их можно записать и хранить с помощью менеджера паролей.

    Убедитесь в надёжности политики конфиденциальности социальной сети

    Информация, сохраняемая третьей стороной, защищена её собственной политикой конфиденциальности и может быть использована в коммерческих целях и даже передана другим компаниям (например, маркетинговым). Так как чтение всей политики конфиденциальности – почти непосильная задача для любого человека, попробуйте ознакомиться лишь с разделом, в котором говорится о том, как используются ваши данные, в каких случаях данные могут быть переданы кому-либо ещё и как компания реагирует на запросы правоохранительных органов.

    Сайты социальных сетей – это в основном бизнес, сосредоточенный на получении прибыли. Они зачастую собирают конфиденциальную информацию помимо предоставленной вами – где вы находитесь, каковы ваши интересы и предпочтения, на какую рекламу вы реагируете, какие сайты вы посещаете (посредством кнопок «Like»). Заблокируйте хранение куки-файлов сторонних сайтов и используйте расширение браузера с блокировкой слежения для предотвращения пассивной передачи излишней информации сторонним сайтам.

    Измените настройки конфиденциальности вашей учётной записи

    Измените настройки по умолчанию. Например, хотите ли вы делиться своими публикациями со всеми или же только с какой-либо конкретной группой людей? Можно ли позволить людям искать вас по номеру телефона или адресу электронной почты? Хотите ли вы публиковать свое местоположение в автоматическом режиме?

    Несмотря на то, что на каждой платформе социальных сетей есть свои уникальные настройки, вы можете заметить некоторое сходство.

    • Настройки конфиденциальности склонны искать ответ на вопрос: «Кто может это видеть?» Здесь, вероятно, вы сможете выбрать аудиторию («Все», «Друзья друзей», «Только друзья» и т.д.) для своих публикаций, местоположения, фотографий, контактной информации, меток и тех, кто может найти ваш профиль через поиск.
    • Настройки безопасности, скорее всего, будут связаны с возможностью блокирования других учетных записей и способов оповещения о попытках неавторизированного доступа к вашей учетной записи. Иногда в этом разделе будут присутствовать настройки входа в аккаунт: например, включение двухфакторной аутентификации и запасной адрес электронной почты/номер телефона. Иногда эти настройки, наряду с возможностью изменить пароль, могут оказаться в настройках учётной записи или в разделе настроек входа в аккаунт.

    Воспользуйтесь «проверками» настроек безопасности и конфиденциальности. Facebook, Google и многие другие солидные веб-сайты предлагают провести «проверку настроек безопасности» учётной записи. Эти проверки представляют собой превосходные пошаговые руководства, описанные простым языком и помогающие пользователю подходящим образом настроить безопасность и конфиденциальность своей учётной записи.

    Помните, что настройки конфиденциальности могут измениться. Иногда они могут становиться более надёжными и детальными, а иногда – наоборот. Обращайте пристальное внимание на эти изменения – вдруг информация, бывшая конфиденциальной, внезапно стала открытой для всех, или новые дополнительные настройки позволят лучше контролировать уровень вашей конфиденциальности?

    Разные учётные записи должны использоваться отдельно

    Для многих из нас очень важно не использовать одни и те же данные в различных учётных записях. Это относится к сайтам знакомств, профессиональным профилям, анонимным учётным записям и аккаунтам разнообразных сообществ.

    Особое внимание нужно обратить на указываемые номера телефонов и размещение фотографий. В частности, фотографии могут связать вас и вашу учетную запись, которой вы намеривались пользоваться отдельно. Это на удивление распространённая проблема, связанная с использованием сайтов знакомств наряду с профессиональным профилем. Если вы хотите сохранить анонимность в сети или отделить одну учётную запись от другой, публикуйте от имени аккаунта фотографии или изображения, которые вы больше нигде не использовали и не публиковали в сети. Для проверки случайного использования одного и того же изображения в разных учётных записях используйте поиск Google по изображениям в сети. Другим фактором, потенциально способным связать ваши учётные записи, является использование вашего собственного имени (или псевдонима) и вашей электронной почты. Если выяснится, что что-то из вышеперечисленного обнаружилось там, где вы бы не хотели это обнаружить, не паникуйте! Тщательно обдумайте последующие шаги: вместо тщетных попыток полностью стереть информацию о себе из всего интернета сфокусируйтесь на особо важной информации, где она опубликована и что в ваших силах сделать с этим.

    Ознакомьтесь с настройками групп Facebook

    Группы в Facebook - это множество социально активных сообществ, в том числе пропагандисткой направленности, число которых быстро растет. Настройки конфиденциальности и безопасности этих групп могут смутить. Вам необходимо изучить групповые настройки и при наличии интереса у участников группы в изучении настроек группы работать с другими участниками для поддержания конфиденциальности и безопасности всей группы в Facebook.

    Конфиденциальность – это командный вид спорта

    Не достаточно просто изменить настройки социальных сетей и собственное поведение в сети интернет. Необходимо предпринять дополнительные действия – поговорить с друзьями о том, какие важные данные вы раскрываете друг о друге в сети. Даже если у вас нет учетной записи в социальной сети, и вы снимете отметки о себе с публикаций, друзья все равно могут случайно раскрыть вашу личность, отметить ваше местоположение или раскрыть общественности свою связь с вами. Защита конфиденциальности означает не только заботу о себе, но и заботу друг о друге.

    Ваши социальные связи

    Помните, что вы не единственный, через кого может произойти «утечка» потенциально важной информации. Друзья могут отмечать вас на фотографиях, рассказывать о том, где вы находитесь, и раскрывать ваши социальные связи. Даже если вам доступна функция отмены тегов в сообщениях друзей, помните: слово – не воробей. Есть смысл поговорить с друзьями о себе и своей работе. Скажите им, что вам не по душе, когда они рассказывают о вас на каждом углу.

    Последнее обновление: 
    30-10-2018
  • Оценка рисков

    В постоянных попытках защитить все свои данные сразу от всех людей в мире, вы рискуете потратить свои силы и время впустую. Однако, не стоит расстраиваться! Обеспечение безопасности данных – это процесс, в котором вы, тщательно обдумав план действий, непременно найдёте подходящее решение. Безопасность зависит не столько от количества используемых вами инструментов или скачанных программ, сколько от понимания с какими именно угрозами вы сталкиваетесь и что конкретно может вам помочь в борьбе с этими угрозами.

    В частности, угроза компьютерной безопасности – это потенциально возможное событие, которое может подвергнуть опасности сохранность или конфиденциальность ваших данных. Вы сможете успешно противостоять подобным угрозам, осознав, что конкретно вам нужно защитить и от кого именно. Данный процесс называется «моделирование угроз».

    С помощью настоящего руководства вы научитесь моделировать угрозы – оценивать риски, которым может быть подвержена ваша цифровая информация. Также вы узнаете, как определить наилучшие способы противодействия угрозам, которые подойдут именно в вашем случае.

    Так как же производится моделирование угроз? Например, если вам необходимо организовать защиту своего дома и имущества, то вам придется задать самому себе несколько вопросов:

    Что в моем доме нуждается в защите?

    • Это могут быть драгоценности, электроника, финансовые документы, паспорта или фотографии.

    От кого я хочу это все защитить?

    • Злоумышленниками могут быть воры, соседи по комнате или гости.

    Какова вероятность того, что мне придется защищать свое имущество?

    • Соседей обворовывали в недавнем прошлом? Могу ли я доверять своим соседям и гостям? Каковы возможности потенциальных злоумышленников? Какие риски я должен принять во внимание?

    Насколько серьёзны будут последствия неудачи при защите имущества?

    • Найдутся ли у меня время и деньги на замену утраченного имущества? Какое имущество я не смогу заменить вовсе? Имеется ли страховка на случай если моё имущество будет украдено?

    На что я готов пойти для того чтобы избежать подобных последствий?

    • Хочу ли я купить сейф для важных документов? Могу ли я позволить себе покупку высококачественного замка? Найду ли время арендовать ячейку в банке для хранения ценностей??

    Как только вы ответите на эти вопросы, вы сможете оценить меры, которые следует принять. Если ваше имущество ценно, но риск кражи невелик, то вы, скорее всего, не захотите потратить слишком много денег на покупку замка. Однако, если этот риск велик, то вы не только купите наилучший замок, но и задумаетесь об установке охранной сигнализации.

    Построение модели угроз поможет вам лучше понять те риски, с которыми вы можете столкнуться и оценить возможность их возникновения. Также это поможет вам определить ценность имущества и потенциальных злоумышленников, равно как и их возможности.

    Что такое моделирование угроз и с чего мне начать?

    Моделирование угроз поможет вам выявить угрозу ценным для вас вещам и определить, от кого именно эта угроза исходит. При построении модели угроз, ответьте на следующие вопросы:

    1. Что я хочу защитить?
    2. От кого мне нужно это защитить?
    3. Что случиться плохого если мне не удастся это защитить?
    4. Какова вероятность того, что мне придется это защищать?
    5. На что я готов пойти, чтобы предотвратить потенциальные последствия

    Давайте подробно разберем каждый из этих вопросов.

    Что я хочу защитить?

    «Ресурс» - это нечто, что вам дорого и что вы хотели бы защитить. В контексте цифровой безопасности ресурсом является некая информация. Например, текст ваших сообщений электронной почты, список ваших контактов, сообщения мессенджеров, ваше местоположение и файлы. Ваше устройство также может быть ресурсом.

    Составьте список ваших ресурсов: данных, которые вы храните; мест, где они находятся; людей, имеющих к ним доступ; и того, что предотвращает несанкционированный доступ к этим данным.

    От кого мне нужно это защитить?

    Для ответа на этот вопрос важно определить тех, кто может быть нацелен на получение доступа к вашим ресурсам. Личности или организации, представляющие угрозу сохранности и конфиденциальности ваших ресурсов, являются злоумышленниками. Например, потенциальными злоумышленниками могут быть как ваш начальник, бывший партнер или конкурент в бизнесе, так и правительственные учреждения или хакер в общедоступной сети.

    Составьте список злоумышленников, или тех, кто хотел бы заполучить ваши ресурсы. В вашем списке могут оказаться как частные лица, так и правительственные организации или корпорации.

    В зависимости от того, кто станет злоумышленником в вашем случае, данный список вы, возможно, захотите уничтожить сразу после создания своей модели угроз.

    Что случится плохого если мне не удастся это защитить?

    Множеством способов злоумышленник может создать угрозу сохранности или конфиденциальности ваших данных. Например, он может прочитать вашу частную переписку при передаче через телекоммуникационную сеть, а также повредить или даже удалить ваши данные.

    Мотивы злоумышленников могут быть очень разными, как и их способы атак на ваши данные. Правительство, например, может попытаться предотвратить распространение видео, на котором запечатлён полицейский беспредел, просто удалив его или существенно снизив его доступность. А политические оппоненты могут постараться заполучить в тайне от вас некие секретные данные и опубликовать их.

    Моделирование угроз включает в себя также и осознание последствий в случае, если злоумышленник всё-таки получит доступ к вашим данным или ресурсам. Для определения последствий вам необходимо принять во внимание потенциал злоумышленников. Оператор сотовой связи, например, имеет доступ ко всем вашим телефонным разговорам. Таким образом, он сможет использовать эти данные против вас. Хакер в открытой сети Wi-Fi сможет получить доступ к данным, передающимся в открытом виде. В то же время, правительственные службы имеют гораздо большие возможности.

    Запишите, что по-вашему злоумышленник может сделать, получив доступ к вашим конфиденциальным данным.

    Какова вероятность того что мне придется это защищать?

    Риск – это вероятность того, что какая-либо конкретная угроза конкретному имуществу осуществится на самом деле. Возможность и риск нужно рассматривать в связке. Несмотря на то, что у оператора сотовой связи есть возможность получить доступ к вашим данным, риск того, что оператор выложит в сеть вашу конфиденциальную информацию, чтобы подпортить вашу репутацию, достаточно низок.

    Важно делать различие между угрозой и риском. Угроза – это прискорбное событие, которое может случиться, а риск – это вероятность наступления подобного события. Например, если существует угроза обрушения вашего здания, риск этого события будет гораздо выше если здание находится в Токио (там землетрясения – это обычное дело), а не в Москве (где они крайне редки).

    Анализ рисков – это личный, субъективный процесс. Каждый человек смотрит на угрозы и расставляет приоритеты по-своему. Множество людей не считаются с определёнными угрозами несмотря на существующий риск, поскольку считают, что простое наличие угрозы при любом уровне риска не стоит потенциальных затрат на защиту. В другом случае, люди игнорируют повышенный риск, поскольку не считают существующую угрозу проблемой.

    Запишите какие угрозы вы воспринимаете всерьёз. Также составьте список угроз, о которых можно не думать, потому что вероятность их появления достаточно низка, или с ними будет слишком тяжело и опасно бороться.

    На что я готов пойти, чтобы предотвратить потенциальные последствия?

    Ответ на этот вопрос требует проведения анализа рисков. У разных людей различные приоритеты и разные взгляды на существующие угрозы.

    Например, адвокат, представляющий клиента по делу о национальной безопасности, примет гораздо больше усилий для защиты своей корреспонденции. Для этого он станет использовать шифрование сообщений электронной почты в отличии от обычной матери, регулярно отправляющей дочке видео со смешными котами.

    Запишите что вы можете использовать для противодействия вашим угрозам. Обратите внимание на имеющиеся у вас ограничения финансового, технического или социального характера.

    Моделирование угроз на регулярной основе

    Имейте в виду, что ваша модель угроз будет меняться вместе с изменением ситуации. Таким образом, вам лучше всего почаще проводить моделирование угроз и оценку рисков.

    Подготовьте свою модель угроз, основываясь на собственной текущей ситуации. Создайте напоминание в своем календаре. Когда этот день придёт, убедитесь, что ваша оценка рисков отражает текущую ситуацию. В случае необходимости пересмотрите свою модель угроз.

    Последнее обновление: 
    10-01-2019
  • Общение в сети

    Телекоммуникационные сети и интернет максимально облегчили общение людей, однако вместе с этим расширились и возможности для слежки за этим общением. Если вы не принимаете никаких дополнительных мер для защиты своей частной жизни, любой вид общения (телефонный звонок, текстовое сообщение, электронное письмо, сообщение в мессенджере или в социальных сетях, а также видео и аудио чат) может быть подвержен перехвату.

    Зачастую самым безопасным видом связи является личная встреча, исключающая использование компьютеров и телефонов. Но так как это далеко не всегда возможно, то наилучшим выходом станет использование сквозного шифрования.

    Как работает сквозное шифрование?

    Сквозное шифрование обеспечивает превращение информации в тайное послание, которое может быть расшифровано лишь конечным получателем. Это значит, что никто не сможет узнать содержимое этого послания – ни злоумышленники в общедоступных сетях Wi-Fi, ни интернет-провайдеры, ни сайты или приложения, используемые вами. Может показаться несколько странным, что читаемые нами сообщения в приложении на телефоне или информация с сайта на компьютере не видны компании-разработчику данного приложения или платформе сайта. Но это свойство является ключевой характеристикой хорошего шифрования – даже люди, разработавшие и внедрившие шифрование, не смогут его взломать.

    Все инструменты, упомянутые в наших руководствах используют сквозное шифрование. Вы сможете использовать сквозное шифрование для любого вида общения – включая голосовые и видеозвонки, обмен сообщениями, чат и электронную почту.

    (Не спутайте сквозное шифрование с шифрованием транспортного уровня. Сквозное шифрование обеспечит защиту, например, вашей переписки на всем пути от отправителя до получателя. Шифрование же транспортного уровня лишь защитит её на пути от вашего устройства до серверов приложения и от серверов приложения до устройства получателя. В середине пути ваша переписка будет доступна в незашифрованном виде поставщику услуг обмена сообщениями, просматриваемому сайту или используемому приложению.)

    Принцип работы сквозного шифрования состоит в следующем: при желании двух людей (назовём их Акико и Борис) использовать сквозное шифрование при общении обоим необходимо создать небольшие фрагменты данных, называемые ключами. Эти ключи используются для превращения данных, понятных и доступных каждому, в данные, которые могут быть прочтены лишь тем, у кого будет подходящий ключ. Перед тем как Акико отправит сообщение Борису, она зашифрует его, используя ключ Бориса. Таким образом только Борис сможет расшифровать это сообщение. Затем она отправит зашифрованное сообщение через интернет. Если кто-либо шпионит за Акико или Борисом, и даже если эти злоумышленники имеют доступ к сервису, используемому для обмена сообщениями (например, электронной почте), то они увидят зашифрованное сообщение, но не смогут его прочитать. Когда Борис получит его, он использует свой ключ для расшифровки сообщения.

    Некоторые сервисы, например Google, рекламируют своё «шифрование», в котором они используют свои ключи, контролировать которые не смогут ни отправители, ни получатели сообщений. Это шифрование не является сквозным. Для обеспечения истинной конфиденциальности общения оба собеседника должны обладать ключами, позволяющими шифровать и расшифровывать сообщения. Если же используемый сервис контролирует ключи, то это шифрование называется шифрованием транспортного уровня.

    Использование сквозного шифрования предполагает хранение пользователями своих ключей в надёжном потайном месте. Также это подразумевает приложение усилий к подтверждению личности того, кто использует ключи шифрования. От вас потребуется хотя бы скачать приложение, предлагающее использовать сквозное шифрование, а лучше всего ещё и провести верификацию ключей контактов. Только таким способом пользователи смогут надёжно обеспечить конфиденциальность без необходимости доверять платформе, используемой ими для общения.

    Больше информации о шифровании вы сможете почерпнуть из руководств «Что мне нужно знать о шифровании?», «Ключевые концепции шифрования» и «Различные типы шифрования». Мы также более подробно объясняем про один из видов сквозного шифрования – шифрование с открытым ключом в статье «Глубокое погружение в сквозное шифрование: как работают системы шифрования с открытым ключом?».

    Телефонные звонки и текстовые сообщения против зашифрованных сообщений в интернете

    Когда вы звоните со стационарного или мобильного телефона, ваш звонок не защищён с помощью сквозного шифрования. При отправке текстового сообщения (SMS) с мобильного телефона текст сообщения также не зашифрован. Оба этих способа общения позволяют правительству или кому угодно, обладающему властью над телефонной компанией, читать сообщения и записывать разговоры. Если ваша оценка рисков включает перехват правительственными службами ваших звонков и сообщений, то вам, возможно, стоит предпочесть использование в интернете альтернатив с шифрованием. В качестве бонуса множество из альтернативных способов предлагают и зашифрованную видеосвязь.

    Примеры сервисов или приложений, предлагающих использование сквозного шифрования при обмене текстовыми сообщениями, при голосовых и видеозвонках:

    А вот примеры служб, по умолчанию не предлагающих сквозное шифрование:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    Существуют некоторые сервисы, например Facebook Messenger и Telegram, предлагающие сквозное шифрование, если вы намеренно его включите. Другие сервисы, например iMessage, предложат сквозное шифрование только при использовании обоими пользователями конкретных устройств (в случае с iMessage оба пользователя должны иметь iPhone).

    Насколько вы можете доверять вашему сервису обмена сообщениями?

    Сквозное шифрование сможет защитить вас от слежки со стороны правительств, хакеров и самого сервиса обмена сообщениями. Но все упомянутые стороны могут незаметно для вас внести такие изменения в используемое вами приложение, что вместо использования сквозного шифрования ваши данные будут отправляться с использованием ослабленного шифрования, либо вовсе незашифрованными.

    Многие группы, включая EFF, занимаются изучением популярных приложений (WhatsApp, принадлежащий Facebook, или Signal), чтобы убедится в том, что они действительно используют обещанное сквозное шифрование. Но если вас беспокоят возможные риски, связанные с использованием подобных приложений, то вы могли бы использовать независимые от транспортных систем инструменты, использующие общеизвестные и проверенные методы шифрования. Примером таких инструментов являются OTR и PGP. Эти системы, основанные на пользовательском опыте, зачастую менее удобны в использовании и являются старыми протоколами, не использующими все лучшие и современные методы шифрования.

    Off-the-Record (OTR) - протокол сквозного шифрования в режиме реального времени при обмене текстовыми сообщениями. Его можно использовать совместно с множеством служб обмена мгновенными сообщениями. Некоторые инструменты, использующие OTR:

    PGP (Pretty Good Privacy) является стандартом сквозного шифрования для электронной почты. Подробные инструкции по установке и использованию PGP-шифрования вашей корреспонденции:

    Использовать PGP-шифрование для электронной почты лучше всего при переписке с такими же технически подкованными пользователями, осведомлёнными о сложностях и ограничениях PGP.

    На что не способно сквозное шифрование

    Во-первых, сквозное шифрование лишь защитит содержимое вашего послания, но никак не факт вашего общения. Оно не скроет от посторонних ваши метаданные, например, содержимое строки «Тема» электронного письма, номер телефона или адрес электронной почты вашего собеседника, дату и время отправки письма, время и длительность разговора. При совершении звонка с мобильного телефона метаданными будет являться еще и ваше местоположение.

    Метаданные могут предоставить чрезвычайно важную информацию о вас, даже если содержание вашего общения остается тайной.

    Метаданные о ваших телефонных звонках могут выдать очень личную и конфиденциальную информацию. Например:

    • Они знают, что вы звонили в «секс по телефону» в 02:24 и разговор длился 18 минут, но они не знают, о чем именно был разговор.
    • Они знают, что вы звонили на телефон горячей линии по предотвращению самоубийств с моста «Золотые ворота», но тема разговора осталась в секрете.
    • Они знают, что вы звонили в службу проверки на ВИЧ, затем своему врачу, затем в свою страховую компанию и все это за один час, но не знают, что именно вы обсуждали.
    • Они знают, что вам звонили из местного отделения стрелковой ассоциации во время проведения кампании против ужесточения законодательства о вооружении, затем вы сразу позвонили своим сенаторам и конгрессменам, но содержимое звонков осталось в тайне.
    • Они знают, что вы звонили своему гинекологу, что разговор длился полчаса, а затем вы звонили в центр по планированию семьи, но никто не знает, о чём именно вы говорили.

    Другие важные свойства

    Сквозное шифрование является лишь одной из множества функций, которые могут быть важны при безопасном общении. Как было указано выше, сквозное шифрование является великолепным способом оградить свое общение от вмешательства компаний или правительственных служб. Но для многих компании и правительства могут и не быть самой большой угрозой конфиденциальному общению, поэтому для них использование сквозного шифрования, возможно, не будет в приоритете.

    Например, если у кого-то есть основания беспокоиться о том, что кто-либо из окружения (супруг(а), родитель или работодатель) имеет физический доступ к его устройству, то возможность отправлять эфемерные, «исчезающие» сообщения может стать решающим фактором при выборе мессенджера. А кто-то может беспокоиться о сокрытии своего номера телефона, и возможность использовать «псевдоним» без привязки к номеру телефона будет важна в этом случае.

    В общем, функции обеспечения безопасности и конфиденциальности не единственные переменные, имеющие значение при выборе безопасного метода связи. Приложение с отличными функциями безопасности будет абсолютно бесполезно, если никто из ваших друзей и контактов не будет его использовать, а в разных странах и даже сообществах популярные приложения различаются. Для некоторых неприемлемо использование платных приложений, для других фактором отказа от использования станет низкое качество связи.

    Чем яснее вы понимаете, что именно вам необходимо, тем легче ориентироваться в обширной, противоречивой, а иногда и устаревшей информации о безопасных способах связи.

    Последнее обновление: 
    09-06-2020
  • Создание надёжных паролей

    Создание надёжных паролей с помощью менеджера паролей

    Повторное использование паролей очень плохо скажется на вашей безопасности. Если пароль, который вы используете для нескольких учетных записей, попал в руки злоумышленника, то, скорее всего, он получит доступ ко всем этим учётным записям. Поэтому весьма важно иметь множество надёжных и уникальных паролей.

    В этом вам поможет менеджер паролей. Это специальная программа, которая создаёт и хранит пароли. Чтобы вы, в свою очередь, могли использовать множество паролей на разных сайтах без необходимости запоминать их. Менеджеры паролей:

    • создают пароли, которые невозможно отгадать человеку,
    • надёжно хранят пароли (и ответы на секретные вопросы),

    • с помощью главного мастер-пароля (или парольной фразы) защищают все ваши пароли.

    Например, KeePassXC - бесплатный менеджер паролей с открытым исходным кодом. Вы можете установить эту программу на свой компьютер или интегрировать в браузер. KeePassXC не сохраняет автоматически изменения в базе данных паролей. Следовательно, если случится сбой в процессе добавления пароля, вы можете потерять изменения навсегда. Эту настройку можно изменить.

    Действительно ли вам необходимо использовать менеджер паролей? В случае, если могущественный злоумышленник (например, правительственные службы) посчитали вас своей целью, то, скорее всего, вам не стоит его использовать.

    Запомните:

    • Использование менеджера паролей – все равно что сложить все яйца в одну корзину.

    • Менеджер паролей – это очевидная цель для злоумышленников.

    • Исследования показали, что множество менеджеров паролей имеют уязвимости.

    Если вы обеспокоены возможностью мощной атаки, рассмотрите менее технологичный вариант. Вы самостоятельно можете создать надёжные пароли (ознакомьтесь со следующим разделом «Создание надёжного пароля с помощью игральной кости»), записать их и хранить в надёжном месте.

    Постойте, но мы же должны запоминать пароли и никогда не записывать их? Вообще-то, записать их на бумаге и положить куда-нибудь (например, в бумажник) достаточно полезно. По крайней мере вы заметите исчезновение бумаги с записанными паролями.

    Создание надёжного пароля с помощью игральной кости

    Вы непременно должны запомнить несколько очень надёжных паролей:

    • пароль от своего устройства,
    • пароль шифрования (например, если вы полностью зашифровали жесткий диск),
    • мастер-пароль или «парольную фразу» от менеджера паролей,
    • пароль от электронной почты.

    Одна из многих сложностей при выборе человеком пароля заключается в том, что что люди изначально не сильны в действительно непредсказуемом и случайном выборе чего-либо. Эффективным способом создания надёжного и легко запоминающегося пароля является выбор слов из списка с помощью игральной кости. Выбранные случайно слова сформируют вашу «парольную фразу». Это то же самое что и пароль, только длиннее и надёжнее. Мы рекомендуем использовать минимум 6 слов для парольной фразы от менеджера паролей или шифрования диска.

    Почему нужно использовать не менее шести слов? Зачем использовать игральную кость для случайного выбора слов? Чем длиннее и случайнее будет пароль, тем сложнее его будет подобрать как для человека, так и для компьютера. Вот видео, объясняющее, зачем нужен такой длинный пароль, который сложно угадать.

    Попробуйте создать парольную фразу, используя один из списков слов от EFF.

    Если ваш компьютер или другое устройство подверглось атаке, и на него было установлено шпионящее программное обеспечение, оно сможет проследить за тем, как вы набираете мастер-пароль. Тогда все содержимое базы данных менеджера паролей может стать известно злоумышленникам. Поэтому очень важно убедиться в том, что на устройстве, на котором вы пользуетесь менеджером паролей, нет никаких вредоносных приложений.

    Пара слов о «секретных вопросах»

    С осторожностью подходите к выбору ответа на «секретный вопрос», который веб-сайты используют для подтверждения вашей личности. Честные ответы на такие вопросы злоумышленник зачастую сможет легко найти в открытом доступе, и с их помощью обойти вашу парольную защиту.

    Лучше, напротив, использовать придуманные вами ответы, которые никто кроме вас знать не может. Например, секретный вопрос:

    «Какова кличка вашего первого домашнего животного?»

    Вашим ответом может стать любое сочетание слов, букв, цифр и символов, созданное вашим менеджером паролей. Данный ответ вы также можете хранить в том же менеджере паролей.

    Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены этих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов на различных веб-сайтах и сервисах.

    Синхронизация паролей между несколькими устройствами

    Многие менеджеры паролей имеют встроенную функцию синхронизации. При синхронизации файла с паролями они обновляются на всех ваших устройствах.

    Менеджеры паролей могут хранить файл с паролями «в облаке». Это значит, что ваши пароли будут записаны в зашифрованном виде на удалённом сервере. По мере необходимости пароли будут извлекаться из базы на сервере и расшифровываться автоматически. Менеджеры паролей, которые используют собственные серверы для хранения паролей или обеспечивают синхронизацию данных, удобны, но чуть более уязвимы к атакам. Если вы храните пароли и на своём компьютере, и в облаке, то для получения ваших паролей злоумышленнику не будет нужен доступ к компьютеру. Хотя ему придётся подобрать парольную фразу к менеджеру паролей.

    Если это вас беспокоит, отключите синхронизацию с облаком и храните пароли только на устройстве.

    На всякий случай делайте резервную копию базы с паролями. Это может оказаться полезным, в случае утери базы данных в результате сбоя или утраты устройства. Менеджеры паролей обычно имеют функциональность, позволяющую создавать резервную копию базы данных с паролями. Также вы можете использовать обычную программу резервного копирования.

    Многофакторная аутентификация и одноразовые пароли

    Надёжные и уникальные пароли весьма затрудняют злоумышленникам задачу по получению доступа к вашей учетной записи. Вам не стоит останавливаться на этом. Включите двухфакторную аутентификацию!

    Некоторые сервисы предлагают использовать двухфакторную (двухэтапную) аутентификацию, которая предполагает помимо введения пароля еще и обладание пользователем неким вторым компонентом (второй фактор). Им может стать единовременный код или число, генерируемое приложением на вашем мобильном устройстве.

    Двухфакторная аутентификация с помощью телефона может быть реализована двумя способами:

    • 1. Использование приложения аутентификации, которое будет генерировать защитные коды на вашем телефоне (например Google Authenticator или Authy). Также можно воспользоваться специальным устройством (YubiKey).
    • 2. Отправка на телефон SMS-сообщения с дополнительным защитным кодом, который нужно ввести на сайте каждый раз при входе на сервис.

    Если у вас есть выбор, то лучше использовать приложение на телефоне или специальное устройство вместо получения кодов по SMS, так как злоумышленник сможет переадресовать сообщения с кодами на свой телефон.

    Некоторые сервисы (например, Google) позволяют генерировать список одноразовых паролей. Идея в том, чтобы вы записали их и носили с собой. Каждый пароль – однократный. Если при вводе его перехватит шпионская программа, злоумышленник не сможет использовать этот пароль в будущем.

    Если ваша организация использует собственную коммуникационную инфраструктуру, то можно использовать бесплатные программы двухфакторной аутентификации для доступа к вашим системам. Поищите программу, поддерживающую открытый стандарт Time-Based One-Time Passwords или RFC 6238.

    В некоторых случаях вам придётся раскрыть свой пароль

    Законы о разглашении паролей отличаются в зависимости от вашего местонахождения. В некоторых юрисдикциях вы сможете на законных основаниях опротестовать требование раскрытия вашего пароля, в то время как в других странах местное законодательство позволит правительственным структурам требовать раскрытия пароля даже под угрозой тюремного заключения лишь за подозрение в обладании ключом или паролем. Угроза физического насилия также может быть использована для получения от вас пароля. Также вы можете оказаться в ситуации, когда при пересечении границы у вас изымут устройства или вас задержат до тех пор, пока вы не предоставите властям пароли от устройств или не разблокируете их самостоятельно.

    У нас вы найдете отдельное Руководство по пересечению границы США, в котором указаны рекомендации, связанные с запросами властей на доступ к устройствам при пересечении границы Соединённых Штатов в любом направлении. В иной ситуации вам следует подумать о том, каким образом вас или кого-нибудь ещё могут заставить выдать пароли и каковы будут последствия.

    Последнее обновление: 
    29-10-2018
  • Руководство по обходу цензуры в сети

    Это краткий обзор инструментов для обхода интернет-цензуры. Не следует воспринимать его как исчерпывающую инструкцию.

    Многие правительства, компании, образовательные учреждения и общественные точки доступа в интернет используют программы для блокировки определённых веб-сайтов и онлайновых сервисов. Это – фильтрация интернета, один из вариантов цензуры. Фильтрация бывает разной. Иногда блокируют сайты целиком, иногда – отдельные страницы, а иногда тексты фильтруют по ключевым словам.

    Существуют различные средства противодействия интернет-цензуре. Лишь некоторые защитят вас от слежки, большинство таких средств на это не способны. В том случае, когда некто, контролирующий вашу сеть, заблокирует веб-сайт, вы всегда сможете воспользоваться одним из средств обхода и получить необходимую информацию. Обратите внимание, что средства обхода, позиционирующие себя как обеспечивающие конфиденциальность и безопасность, далеко не всегда являются таковыми. И даже средства, именующие себя «анонимайзерами», не всегда сохраняют вашу личность в абсолютной тайне.

    Наиболее подходящее вам средство обхода интернет-цензуры, зависит от того как вы оцениваете собственные риски. Если вы не знаете, как их оценить, мы поможем вам с этим разобраться прямо здесь.

    В данной статье мы обсудим четыре способа обойти цензуру:

    • Использование веб-прокси для доступа к заблокированному веб-сайту.
    • Использование зашифрованного прокси-сервиса для доступа к заблокированному ресурсу.
    • Использование VPN - виртуальной частной сети - для доступа к заблокированным веб-сайтам и сервисам.
    • Использование браузера Tor для доступа к заблокированному веб-сайту и защиты личных данных.

    Базовые способы обхода фильтров

    Средства обхода блокировок и цензуры обычно перенаправляют ваш трафик через другой компьютер, таким образом обходя фильтры цензуры. Сервис посредника, через которого вы перенаправляете свой трафик, называется прокси.

    HTTPS – безопасная версия протокола HTTP для доступа к веб-сайтам. Иногда цензоры блокируют только небезопасную версию ресурса. Тогда пользователь может открыть сайт, просто указав в адресной строке браузера имя домена, начинающееся с HTTPS.

    Это, в частности, работает при фильтрации по ключевым словам или блокировке отдельных веб-страниц. HTTPS не позволяет цензорам просматривать данные, которыми вы обмениваетесь с веб-сайтом. Цензоры не могут определить ни ключевые слова, ни адреса веб-страниц, которые вы просматриваете.

    Цензоры смогут увидеть доменные имена всех посещаемых вами сайтов. Например, если вы посещаете сайт «eff.org/https-everywhere», то цензоры узнают, что вы зашли на сайт «eff.org», но будут не в курсе того, что вы зашли на конкретную страницу этого сайта «https-everywhere».

    Если вы подозреваете, что столкнулись с таким простым вариантом блокировки, попробуйте использовать https:// вместо обычного http://.

    Интересное решение – HTTPS Everywhere от EFF. Этот плагин к веб-браузеру автоматически включает HTTPS, если сайт поддерживает такую защиту.

    Ещё один вариант обхода простейшей онлайновой цензуры – использование альтернативного доменного имени (адреса). Например, вместо http://twitter.com можно зайти на http://m.twitter.com, мобильную версию сайта. Блокировка сайтов и страниц, как правило, опирается на чёрный список адресов. Всё, что не в этом списке, доступно. Бывает, что цензура не учитывает все варианты доменного имени определённого веб-сайта, особенно если создатели сайта знают о блокировке и зарегистрировали больше одного имени.

    Веб-прокси

    Веб-прокси (например, http://proxy.org) – простой метод обхода цензуры. Вам нужно лишь указать адрес заблокированного сайта, и прокси отобразит его.

    Веб-прокси – удобная и быстрая технология, но она часто не подразумевает никакой защиты. Если ваша модель угроз говорит о наличии злоумышленника, способного контролировать ваше интернет-соединение, веб-прокси – не лучший выбор. Кроме того, веб-прокси бесполезен для обхода блокировки онлайновых сервисов, не имеющих отношения к веб-сайтам, например, программ обмена мгновенными сообщениями. В конце концов, веб-прокси сами создают определённый риск для приватности пользователя (в зависимости от модели угроз), так как прокси сохраняет информацию обо всех действиях пользователя в сети.

    Зашифрованные прокси-сервисы

    Многочисленные прокси-сервисы используют шифрование для предоставления дополнительного уровня защиты помимо возможности обходить фильтры блокировок. Соединение зашифровано, и никто другой не сможет узнать какие сайты вы посещаете. В то время как зашифрованные прокси-сервисы в основном более безопасны чем простые веб-прокси, владельцам таких зашифрованных прокси-сервисов всё ещё доступна информация о вас. У них могут иметься ваши имя и адрес электронной почты, например. А это значит, что с помощью этих сервисов невозможно получить всеобъемлющую анонимность.

    Простейший пример зашифрованного веб-прокси – набрать в начале адреса «https». Будет использовано шифрование, как правило, предоставляемое безопасными веб-сайтами. Увы, владельцы прокси-сервисов могут просматривать данные, которыми вы обмениваетесь с другими безопасными сайтами. Примеры таких инструментов – Ultrasurf и Psiphon.

    Виртуальные частные сети

    Виртуальная частная сеть или VPN (англ. Virtual Private Network) шифрует и передаёт данные между вашим компьютером и сервером. Последний может принадлежать коммерческому или некоммерческому VPN-провайдеру, вашей собственной компании или доверенному лицу. После правильной настройки VPN можно использовать для доступа к веб-страницам, электронной почте, службам обмена мгновенными сообщениями, VoIP-сервисам и любым другим интернет-услугам. VPN защищает трафик от перехвата на местном уровне, но VPN-провайдер сохраняет историю действий (посещённые веб-сайты, включая время посещения) или даже позволяет третьей стороне напрямую просматривать содержимое. В зависимости от вашей модели угроз возможность перехвата вашего трафика правительством или получение ими лог-файлов может представлять для вас серьёзный риск. Для некоторых пользователей недостатки VPN могут перевешивать краткосрочную выгоду.

    Получить информацию о конкретных VPN-сервисах можно здесь.

    Мы, в EFF, не можем поручиться за представленный рейтинг VPN. Всегда есть риск, что VPN с эталонными гарантиями приватности управляется нечестным человеком. Не используйте VPN, которой не доверяете.

    Tor

    Tor – это проект с открытым исходным кодом, целью которого является предоставление пользователям анонимности в сети. Браузер Tor предназначен для работы в анонимной сети Tor. А вследствие использования механизма перенаправления вашего трафика, Tor позволяет обходить ограничения в сети, наложенные цензурой и блокировками. (Ознакомьтесь с нашими руководствами по использованию Tor для Linux, macOS и Windows).

    Впервые запустив браузер Tor, вы сможете выбрать режим работы в сети, подвергающейся цензуре:

    Tor не только может обойти цензуру почти в любом государстве, но и при правильной настройке, сможет защитить данные о вашей личности от злоумышленников, которые «прослушивают» трафик в вашей стране. Однако, он нелёгок в использовании, а также Tor может снизить скорость вашего подключения.

    Для того, чтобы научиться использовать Tor на компьютере, нажмите здесь если вы пользуетесь Linux, здесь - если macOS, или здесь - если Windows. Пожалуйста, в отображенном выше окне нажмите на кнопку «Configure», а не на «Connect».

     

    Последнее обновление: 
    10-08-2017
  • Руководство по шифрованию iPhone

    Если у вас есть iPhone 3GS или более новая версия, iPod touch третьего поколения или новее, или любой iPad, вы можете защитить содержимое вашего устройства с помощью шифрования. Кто бы ни получил физический доступ к устройству, ему понадобится пароль для расшифровки хранящейся на устройстве информации, включая контакты, мгновенные сообщения, тексты, историю звонков и электронные письма.

    На самом деле, большинство современных устройств от Apple шифрует содержимое по умолчанию, обеспечивая разные уровни защиты. Но чтобы помешать злоумышленнику, похитившему устройство, добраться до ваших данных, нужно связать это шифрование с паролем, который известен только вам. Ниже вы найдёте инструкции как это сделать.

    На устройствах под управлением iOS 4–iOS 7:

    1. Зайдите в раздел меню «General settings» и выберите «Passcode» (или «iTouch & Passcode»).
    2. Следуйте инструкциям на экране для создания пароля.

    На устройствах под управлением iOS 8-iOS 11

    1. Откройте приложение «Settings»
    2. Нажмите «Touch ID & Passcode»
    3. Следуйте инструкциям на экране для создания пароля.

    Если ваше устройство работает под управлением iOS 8, отключите функцию «Simple Passcode», чтобы создать пароль длиннее 4 цифр. С выпуском iOS 9, компания Apple сделала пароль, состоящий из 6 цифр, паролем по умолчанию.

    Если вы выберите в качестве пароля только цифры, то, при разблокировании устройства, вам будет показана цифровая клавиатура. Этот вариант может оказаться удобнее, чем вводить набор из букв и символов на крохотной виртуальной клавиатуре. Тем не менее, мы рекомендуем использовать именно алфавитно-цифровой пароль длиннее 6 символов, потому что его сложнее взломать, даже при условии, что устройства от Apple предусматривают защиту от инструментов для взлома паролей.

    Для выбора свойств вашего пароля, выберите «Passcode Options», и «Custom Alphanumeric Code.» Если вы хотите настроить существующий пароль нажмите «Change Passcode», а затем «Passcode Options.» Вам также следует выбрать пункт «Immediately" в разделе «Require passcode.» Это не позволит устройству оставаться разблокированным тогда, когда вы им не пользуетесь.

    Когда вы создадите свой пароль, пролистайте страницу с настройками пароля до конца. Там вы должны будете увидеть сообщение «Data protection is enabled.» Это означает, что все зашифрованные данные на вашем устройстве связаны с вашим паролем, и что для доступа к большинству данных на устройстве вам потребуется этот пароль.

    «Как

    Вот некоторые другие особенности iOS, о которых нужно помнить, когда имеете дело с личными данными:

    • iTunes предоставляет возможность сохранения резервных копий вашего устройства на компьютер. iTunes по умолчанию никак не зашифровывает резервные копии вашего устройства. Если вы активируете опцию «Encrypt backup» во вкладке «Summary» вашего устройства в iTunes, программа будет сохранять резервную копию таких конфиденциальных данных, как пароли от Wi-Fi и электронной почты. При сохранении на компьютер резервная копия будет полностью зашифрована. Убедитесь, что используемый вами пароль хранится в надежном месте. Восстановление данных из резервной копии приходится делать нечасто, но забытый пароль становится огромной проблемой, при разблокировании резервной копии, особенно если время поджимает.

    • Если вы сохраняете резервные копии в облачном хранилище «Apple iCloud», для защиты данных нужно использовать длинный пароль и обеспечить его сохранность. Хоть Apple и шифрует большинство хранящихся в резервных копиях данных, компании, возможно, придётся открыть к ним доступ по требованию правоохранительных органов, так как Apple контролирует ключи, используемые для шифрования iCloud.

    • Если вы включите защиту данных, как описано выше, то сможете при необходимости безопасно и быстро удалить свои данные с устройства. В настройках «Touch ID & Passcode» можно указать, чтобы устройство удаляло всю хранящуюся на нём информацию в случае десяти неудачных попыток ввода пароля. Если вы воспользуетесь данной настройкой, убедитесь, что у вас есть резервная копия необходимых данных, на случай, если кто-то нарочно введет неправильно пароль 10 раз подряд.

    • В соответствии со старым руководством от Apple по взаимодействию с правоохранительными органами «компания Apple оставляет за собой право извлекать некоторые категории активных данных с защищённых при помощи паролей устройств, работающих под управлением iOS. В частности, созданные пользователем файлы, хранящиеся на iOS-устройстве в стандартных приложениях компании Apple, при условии, что данные не подвергаются шифрованию при помощи пароля («активные файлы, созданные пользователем»), могут быть извлечены и переданы правоохранительным органам на внешнем носителе. Apple может извлекать данные на устройствах, работающих под управлением iOS версии 4 и последующих. Пожалуйста, обратите внимание, что к файлам, которые могут быть переданы правоохранительным органам на основании действительного судебного ордера, относятся только SMS-сообщения, фотографии, видео-файлы, контакты, аудио записи и история звонков. Компания Apple не может предоставлять доступ к следующим типам данных: электронная почта, записи календаря и данные любых сторонних приложений».

    Сказанное выше относится только к устройствам, работающим под управлением операционных систем старше iOS 8.0.

    • На текущий моменткорпорация Apple заявляет, что «на устройствах, работающих под управлением iOS 8 и более новых версий, ваши личные данные защищены паролем. Для всех устройств, работающих под управлением iOS 8 и более новых версий, Apple не будет осуществлять извлечение данных в ответ на правительственные запросы, так как эта информация защищена шифровальным ключом, непосредственно связанным с паролем пользователя, доступа к которому у корпорации Apple нет».

    ОБРАТИТЕ ВНИМАНИЕ: Apple действительно не может извлечь данные, хранящиеся непосредственно на вашем телефоне, но, если вы активировали синхронизацию с iCloud или сохраняете резервные копии на компьютер, эти данные доступны для правоохранительных органов. В большинстве случаев шифрование при помощи iOS эффективно лишь тогда, когда устройство полностью отключено (или перезапущено и не разблокировано). Некоторые злоумышленники могут извлечь ценные данные из памяти вашего устройства, когда оно включено. (Они даже способны извлечь данные если устройство было только что отключено). Имейте это в виду и, по возможности, старайтесь отключать устройство (или перезапускать его и не разблокировать), если подозреваете, что оно может быть изъято или украдено. На момент публикации данного руководства несколько компаний заявили о возможности взлома шифрования iPhone в интересах правоохранительных органов, но никаких подробностей, связанных с этими утверждениями, не было приведено.

    • Если вы оцениваете риск изъятия или кражи вашего устройства как высокий, можете активировать удалённое стирание данных на вашем устройстве Apple при помощи функции «Find My iPhone». Это даст Apple возможность в любое время удаленно запрашивать информацию о местонахождении вашего устройства. Вам нужно найти баланс между пользой от удаления данных с устройства в случае его утери и риском раскрытия информации о вашем местонахождении. (Мобильные телефоны постоянно передают эту информацию операторам мобильной связи; устройства с поддержкой только Wi-Fi, такие как iPad и iPod Touch, этого не делают.)

    Последнее обновление: 
    26-03-2018
  • Руководство по Signal для iOS

    Установка Signal – Private Messenger на iPhone

    Шаг 1. Скачайте и установите Signal Private Messenger

    На вашем устройстве iOS войдите в App Store и задайте поиск по слову «Signal». Выберите приложение Signal - Private Messenger от Open Whisper Systems.

    Коснитесь «GET», чтобы загрузить приложение, а затем «INSTALL». Возможно, вам будет предложено ввести свой логин и пароль от Apple ID. После завершения загрузки коснитесь «OPEN», чтобы запустить приложение.

    Шаг 2. Зарегистрируйте и подтвердите ваш телефонный номер

    Введите номер своего мобильного телефона и нажмите «Activate This Device»:

    Для подтверждения номере телефона вам придет SMS-сообщение с шестизначным кодом. Введите эти цифры в соответствующее поле и нажмите «Submit».

    Signal запросит разрешение на показ оповещений. Нажмите «Allow».

    Шаг 3: Выберите имя и аватар

    Указанные вами имя и аватар будут показаны при начале общения любому контакту, который вы сохранили в адресной книге, а также в том случае, если вы специально дадите доступ группам и контактам к этой информации. Введите соответствующие данные на этом этапе и нажмите «Save». Или пропустите этот этап, нажав на «Skip» вверху страницы.

    Использование приложения Signal

    Чтобы использовать возможности Signal, ваш собеседник тоже должен установить данное приложение. Если вы попробуете позвонить или отправить сообщение человеку, у которого не установлено приложение Signal, то вам предложат отправить собеседнику SMS-сообщение с приглашением установить Signal. Но вам не удастся позвонить или отправить сообщение.

    Приложение предоставляет вам список пользователей Signal, добавленных в ваш список контактов. Для этого Signal отправляет номера телефонов из вашего списка контактов на свой сервер. Важно отметить, что эти данные удаляются с сервера практически мгновенно.

    Как отправить зашифрованное сообщение

    Имейте в виду, что компания Open Whisper Systems (создатель Signal) использует инфраструктуру других компаний для отправки своим пользователям уведомлений о получении новых сообщений. Для устройств на базе Android такой компанией является Google, а для iPhone – Apple. Это означает, что информация о том, кто и когда получает сообщения, доступна этим компаниям.

    Чтобы начать, нажмите на значок с изображением карандаша, расположенного в правом верхнем углу экрана.

    Signal запросит разрешение на доступ к вашему списку контактов. Нажмите «OK», если это вас устраивает. Если вы откажитесь, то сможете ввести номера телефонов вручную.

    Вы увидите список всех пользователей Signal, находящихся в вашем списке контактов.

    При выборе контакта отобразится окно для обмена сообщениями. Здесь вы можете отправлять собеседнику зашифрованные текстовые сообщения, изображения и видеосообщения.

    Как совершить зашифрованный звонок

    Чтобы совершить зашифрованный звонок, выберите контакт и нажмите на значок с изображением телефона.

    На этом этапе Signal может запросить доступ к микрофону. Нажмите «OK».

    Когда связь установлена, разговор будет зашифрован.

    Как совершить зашифрованный видеозвонок

    Для совершения зашифрованного видеозвонка просто позвоните пользователю, используя описанную выше схему:

    Затем нажмите на изображение видеокамеры. Возможно, вам потребуется разрешить Signal доступ к своей камере. В результате ваш собеседник увидит изображение с вашей камеры (ему нужно будет сделать то же самое):

    Как создать зашифрованный групповой чат

    Вы можете отправить зашифрованное сообщение группе контактов, нажав на кнопку «Создать сообщение», расположенную в правом верхнем углу экрана (квадрат с карандашом) и затем выбрав изображение с тремя силуэтами (в этой же части экрана).

    В открывшемся окне вы сможете выбрать название группы и добавить участников. После добавления всех участников нажмите «Create» в правом верхнем углу экрана.

    Это приведёт к созданию группового чата.

    Сменить изображение группы, добавить или удалить участников можно, нажав на название группы и выбрав «Edit group».

    Отключение уведомлений

    Иногда уведомления о новых сообщениях могут отвлекать. Одной из полезных функций, особенно для групповых чатов, является отключение уведомлений о поступлении новых сообщений. Чтобы отключить уведомления, нажмите на название группы и выберите «Mute». Вы можете задать период, в течение которого вы не хотите получать уведомления. При желании отключить уведомления можно и для сообщений в личной переписке.

    Подтверждение личности контактов

    Чтобы убедиться, что во время загрузки ключ шифрования не был изменён на ключ другого человека, вы можете подтвердить личность людей, с которыми общаетесь (этот процесс называется верификация ключа). Верификацию необходимо проводить в присутствии собеседника.

    Сначала откройте личную переписку с собеседником. Коснитесь имени собеседника в верхней части экрана.

    Из открывшегося экрана выберите «Show Safety Number».

    Откроется окно с изображением QR-кода и столбцами верификационного ключа. Этот код является уникальным для каждого собеседника. Попросите вашего собеседника открыть этот же экран, чтобы и он увидел QR-код на экране своего телефона.

    На своем телефоне нажмите на QR-код для сканирования. Приложение Signal, возможно, запросит доступ к камере. Нажмите «OK».

    Теперь при помощи камеры вы сможете отсканировать QR-код собеседника. Направьте камеру на QR-код, отображенный на экране устройства собеседника:

    Камера просканирует код и отобразит сообщение «Safety Number Matches!»:

    Это означает, что вы успешно подтвердили личность вашего собеседника. Сейчас вам нужно нажать на «Mark as Verified», чтобы приложение отметило данного собеседника как проверенного. Если же вы увидите нечто вроде расположенного ниже изображения, что-то пошло не так.

    Есть смысл отказаться от обсуждения конфиденциальных вопросов до проведения проверки личности этого собеседника.

    На заметку опытным пользователям. Экран, на котором отображается ваш QR-код, содержит также кнопку, позволяющую отправлять ваш верификационный ключ. Кнопка эта расположена в верхнем правом углу. Предпочитаемым методом является личная встреча. В тех же случаях, когда вы уже осуществили подтверждение личности при помощи другого приложения, его можно использовать для отправки и подтверждения верификационного ключа Signal и без физического присутствия собеседника. Нажмите на кнопку «Share» и отправьте собеседнику свой верификационный ключ.

    Исчезающие сообщения

    В Signal реализована функция под названием «исчезающие сообщения». С её помощью можно обеспечить удаление сообщений со своего устройства и устройства собеседника спустя определённый период времени после прочтения.

    Вы не можете контролировать действия человека, с которым ведёте беседу в чате. Ваш собеседник, возможно, будет делать копии сообщений или скриншоты вашей беседы. В этом случае вам не поможет включение функции «Disappearing messages» («Исчезающие сообщения»).

    Чтобы включить функцию, перейдите в соответствующее окно личной переписки. Коснитесь имени собеседника в верхней части экрана и передвиньте выключатель у пункта «Disappearing Messages».

    Появится переключатель для выбора периода времени, после которого сообщения будут удаляться:

    Сделав выбор, вы сможете нажать на иконку «<» в верхнем левом углу экрана и просмотреть информацию о том, что эта функция была активирована.

    Теперь вы можете быть уверены в том, что сообщения будут удалены спустя указанный период времени.

    Последнее обновление: 
    09-05-2018
  • Privacy for Students

    Schools are increasingly adopting surveillance technology to spy on students while they’re at school, at home, or even on their social media. The companies that make these surveillance products and services advertise them to schools as a way to keep students safe–but there’s no evidence so far that they actually protect students, and worst of all, they can harm the people they are supposed to protect.

    Surveillance isn’t normal–it’s spying. Schools that use these technologies to track and monitor students are violating their privacy. If you’re a student being spied on by one of these technologies, you’re right to be concerned.

    Techniques Used to Invade Your Privacy

    While not all of the technologies used to surveil students have the same capabilities, these are some of the techniques that can be used to track every move you make and the data that can be gathered through these techniques. The types of surveillance and related filtering technologies schools are using continue to grow, so this list does not cover every type of tool or the ways they could be used.

    Types of Data That Can Be Tracked

    • Location Data: Tracking students’ location using their device’s GPS coordinates, Wi-Fi connections, and contactless chips in bus passes/ID cards, potentially both on and off school property. Schools have used this data for automated attendance tracking and management, including for class tardiness and school bus riding, and assigning consequences such as detention.
    • Audiovisual Data: Images, video, and audio of students while they are on school grounds. These can be compared to databases of known audiovisual files to identify a person.
    • Web Browsing Data: Monitoring browsing history keeps a record of everything you read online, every site you access, and every term you search for, and then forwards this information to school administrators, and possibly reviewers employed by the surveillance service company.
    • Device Usage: Some invasive software can capture and keep a record of everything you do on a device (phone or laptop), even the things you type or delete. This can include everything you search for on the Internet, what you post on social media, and messages sent through chat applications. If you log into a website or service (like your email or social media accounts), invasive software may also capture your usernames and passwords.

    Types of Technologies That Can Track You

    • Spyware (sometimes called stalkerware): This is an application that has been installed on a device that gives the administrator full control over it. If this surveillance tool has been installed on your device, the administrator of the spyware could have access to every single file, picture, text message, email, and social media post (even the disappearing ones). Once this application is installed, the device can be monitored in real time and scanned for things like location data, contacts, call/text logs, and browser history.
    • Surveillance Cameras: Some schools have installed surveillance cameras that have the ability to identify and track students as they move across campus, both inside buildings and outdoors. These cameras may also have face recognition capabilities.
    • Microphones: Microphones can be installed at various points across a school. They can be equipped with software that is used to record and analyze all sound for the purposes of aggression and stress detection, but this technology is often inaccurate.
    • Social Media Monitoring: These are services that monitor students’ social media accounts and then report flagged content to school administrators. These services also have the potential to map who students are friends with, who they spend time with, and what topics they are interested in.
    • Internet Monitoring and Filtering: If you use school Wi-Fi, administrators can get a high-level view of your web browsing activity, and even block access to some sites. A more invasive version of this technology requires students to install a security certificate, which enables administrators to decrypt students’ encrypted Internet activity. When this kind of certificate is installed, administrators can access everything students read and type into their browsers while on school Wi-Fi, like questions on search engines, messages sent to others, and even sensitive information like passwords.
    • Document and Email Scanning: Some services integrate with productivity tools students use to complete their assignments and communicate with each other and school staff. These integrations use filters to scan the contents of what students write in services such as Google for Education (also known as G-Suite) and Microsoft’s Office 365. In some cases, these services also scan email attachments, such as images or PDFs.

    What Happens to All this Data?

    Data Aggregation, Reporting, and Sharing: Many of these services and technologies retain and store the invasive data they gather about students. This data can tell detailed stories about a student’s life and contain extremely sensitive information that can cause serious harm if there is a data leak. Some companies may even sell this data or share it with third parties. In some cases, student data is reported to school resource officers or the police.

    What Can I Do About It?

    #1. Understand How School Surveillance Affects You

    Before you can address school surveillance, it’s important to know the ways it can affect you and the people around you.

    What Do They Know?

    The best solutions for fighting back against surveillance don’t need to involve a fancy tool or workaround. Sometimes, the smartest way to beat surveillance technology is not to use the systems that are targeted by surveillance (if you can), or to be careful about the information you do reveal as you navigate using them.

    An important step in this process is finding out what, if any, surveillance technologies your school is using to track you, the devices you use (personal or school-issued), and school networks. Find out and research what the school is using, so that you know what information is being tracked and can take steps to protect yourself and your data.

    Privacy as a Team Sport

    Protecting your privacy is a job no one can do alone. While there are many steps you can take to protect your privacy on your own, the real protection comes when we protect each others’ privacy as a group. If you change your own tools and behavior, but your classmates don’t, it’s more likely that information about you will be caught up in the surveillance they are under as well.

    Let’s use an example scenario to explore how this could happen:

    You’re socializing with friends from your school, and some who go to other schools. You turned off location tracking on your mobile device, but your friends haven’t. Their devices are tracking all of their movements and how long they are in a location. One of your classmates takes a picture of everyone with their mobile device. Since their mobile device is tracking their location, this information is included in the picture’s metadata. Your friend posts the picture on their public social media profile and tags you. If your school is conducting social media surveillance, they can see who posted the picture, everyone in the picture, and the time and location the picture was taken. Even though you tried to keep yourself from being tracked, your school now knows all of this information–not just about you, but about everyone in your friend group who was there.

    You are only as protected as the least-protected person in your social group. That’s why it’s important to help each other and protect your privacy as a team.

    You may wonder, “How could the information gathered in this scenario be used to harm me or my friends?” Here are some examples:

    • Your friends who don’t attend your school are now included in your school’s surveillance system dragnet and don’t know they have been surveilled.
    • You and your friends might be attending an LGBTQ+ event when the photo was taken. If you share or discuss this photo on social media while being under school surveillance, it may trigger a scanning technology's list of keywords and notify school officials. If school officials have biases against LGBTQ+ people–or if the school gives unsupportive parents access to this information via a dashboard, parent login, or even direct notifications–this could put you or your friend's well-being at risk.
    • You might be doing political organizing for a cause, and if you’re at a private or religious school, the school and/or your parents may not approve of it depending on the issue. In this scenario, your school could suspend you or your parents could punish you for this activity.

    #2. Talk About It

    • Talk to Your Friends: Help them understand the problem, why their privacy is important to protect, and that privacy is a team sport.
    • Talk to Trusted Adults: Tell them your concerns and ask for their help.
    • Use Your Collective Voice: Tell your school how surveillance affects you. Request, at least, transparency and accountability on decisions regarding school surveillance technologies: your school should be honest about what technologies they are using, how the technologies work, and how your data is being protected. You should also ask them to provide proof that the technologies actually help improve school and student safety. You may even want to demand that your school stop using certain technologies altogether or promise not to adopt certain technologies in the future.
      • Meet with your school’s principal, information technology administrator, and other school administrators.
      • Attend school board meetings and present your concerns.
        • Find your school’s or district’s calendar of board meetings.
        • Recruit other students and have clear talking points.
        • Speak during the comment period for the topic if it’s on the agenda, or in the general comment period if it’s not on the agenda (arrive early and sit toward the front to give yourself the best chance of getting to speak).
        • Be courageous and firm. It’s your privacy, not theirs.
      • Research and write about it in your school newspaper or other student media.
      • Create a petition and organize your classmates.
      • Contact state/federal government officials and ask them to act to protect your privacy.

    Arguments You Might Encounter

    Surveillance proponents use a few common arguments to convince you to give up fighting for your privacy. Here are counterpoints you can use to push back against surveillance culture and help others understand the harm it does.

    Myth #1. “If you did nothing wrong, you’ve got nothing to hide.”

    This argument is based on an incorrect assumption: that only “bad” people or people who broke the rules or the law want privacy. There are numerous reasons why someone would want to maintain their privacy. It comes down to this: what do you want to protect? The fact that you went to a health clinic or attended a political rally, searched online about sexual orientations or a health issue, or shared personal photos with a friend–these are all examples of things that are private and should remain that way. Privacy is about protecting things that matter to you.

    Myth #2. “You’re worried that we could use this technology to cause serious harm, but we would never do that!”

    The people in charge want you to trust that, while they could use surveillance technologies to abuse their power, they wouldn’t. It’s not a matter of trust–they shouldn’t have this power in the first place. Here’s a short film that explores the effect surveillance can have on people, with examples of how this power imbalance is unjust. Another issue is that student data is often in the hands of the companies that provide these surveillance products and services, that have control over this sensitive data, and could share it with others.

    Myth #3. “This is for your own safety.”

    There is no evidence that these technologies increase student safety, and, in fact, they have been shown to harm the very students they are intended to protect:

    Myth #4. “It’s useless to fight against it.”

    This is privacy paralysis, and this sense of helplessness is exactly how surveillance proponents want you to feel. However, you do have the power to create change. When people collectively work together to fight for what they believe in, it works. Don’t let anyone tell you differently.

    #3. Minimize the Data Being Tracked

    Surveillance is all about getting as much information about you as possible: your habits, where you go and when, who you associate with, and what you care about. While the strategies described below won’t protect you from all the surveillance types described in this guide, they will help reduce the amount of data that can be collected about you.

    Lockdown Your Identity Online

    • Protect yourself on social networks:
      • Where you can, change your social media accounts to be private instead of public, and review all new follower requests before approving them. You may also want to review your current followers to make sure you know and trust them.
      • If you need a public account, consider using a separate, private account for topics, posts, or conversations you’d like to keep private.
      • Don’t just change your own social media settings and behavior. Talk with your friends about the potentially sensitive data you reveal about each other online, and how you can protect each other as a team.
      • Reduce the risks you face in online groups by adjusting visibility settings.
    • Enable two-factor authentication (or “2FA”) on as many online accounts as you can. If the data gathered about you through surveillance is leaked in a breach, having 2FA enabled will make it harder for others to access your accounts, even if they know your usernames and passwords.

    Turn Off Location Tracking When You Don’t Need It

    The way to do this can vary by device and by application. You can change your overall location-tracking preferences in your system settings, but this may not turn off location tracking completely. For example, some mobile device applications may turn your location tracking on for a variety of reasons; you may need to look at your phone’s settings, or in some cases each application’s permissions to disable it.

    Be Aware of Risks in Personal vs. School Environments

    For students worried about school surveillance, it’s critical to keep your personal and school lives separate. Avoid using school devices, accounts, and networks for personal activity. Even if your school claims to use geofencing (i.e. you’re only monitored on campus), a lot of the information can leak between your personal and school life through your Internet activity or the devices you use.

    • Devices and Networks: Everything you do on a school-issued device, even if you’re using your home Wi-Fi or another trusted network, could be tracked. Similarly, if you’re using a personal device on a school network, your activity could also be monitored. That’s why it’s best to access your personal or sensitive accounts only on your personal devices and networks you trust. This might not always be possible, but it’s a good goal.
    • Logins: Don’t use your school email address for any personal online accounts. This could expose notifications, direct messages, and other content from your personal accounts to the school’s monitoring systems.
    • Web Browsing: If there is information you don’t want your school to track, it’s better to search for those topics off of school devices and networks.

    Use Good Digital Security Practices

    And Lastly...

    Surveillance isn’t normal, and it isn’t okay. You are right to feel concerned and to want to speak up about your privacy. To learn more about how you can protect yourself, check out the rest of Surveillance Self-Defense’s guides. If you need a place to get started, take a look at our Security Starter Pack or our playlist of guides for LGBTQ Youth.

    Последнее обновление: 
    02-03-2020
Next:
JavaScript license information