Surveillance
Self-Defense

Нужен «стартовый комплект»?

  • Нужен «стартовый комплект»?

    Начните с нескольких простых шагов.

    Риск стать объектом слежки существует для каждого из нас независимо от места жительства и рода занятий. Для одних это прямая угроза, другим будет просто полезно знать, что можно предпринять для защиты коммуникаций и данных от любопытных глаз. В этом уроке для новичков мы поможем вам оценить риски лично для вас, защитить наиболее важные каналы связи и данные, подумать о том, как сделать инструменты защиты приватности частью вашей повседневной жизни.

  • Выбор средств цифровой защиты

    На каких инструментах среди множества предложений по обеспечению безопасности в цифровом пространстве остановить свой выбор?

    Мы не можем предоставить список надёжных инструментов, способных гарантированно обеспечить вашу защиту (хотя в наших руководствах можно найти несколько распространённых вариантов). Однако если у вас есть представление о том, что именно и от кого вы пытаетесь защитить, то настоящее руководство поможет вам подобрать подходящие инструменты. Нужно лишь следовать нескольким основным рекомендациям.

    Помните, что обеспечить безопасность невозможно простым использованием каких-либо инструментов или программного обеспечения. Для начала необходимо осознание уникальных угроз, с которыми вы можете столкнуться, и того, как именно вы сможете противостоять этим угрозам. Ознакомьтесь с нашим руководством по оценке рисков для получения дополнительной информации.

    Безопасность – процесс, её нельзя просто купить

    Подумываете сменить программу или купить новую?

    Во-первых, запомните: нет инструмента способного создать абсолютную защиту от слежки в любых условиях. Следовательно, важно планировать стратегию обеспечения цифровой безопасности в целом. Например, если вы используете программы, обеспечивающие защиту данных на телефоне, но при этом не установили пароль на компьютере, то эти программы на телефоне могут и не помочь вовсе. Ведь если кто-то захочет получить информацию о вас, он всегда выберет наиболее легкий способ её получения.

    Во-вторых, имейте в виду, что практически невозможно организовать защиту от всех видов атак и злоумышленников. Вам следует сосредоточиться на определении людей, которые, возможно, захотят получить доступ к вашим данным; того, что именно может им понадобится; и способа, который они могут использовать для получения желаемого. Не забывайте о своей модели угроз. Нет необходимости в приобретении дорогостоящей системы шифрования связи, которая якобы защитит от перехвата данных спецслужбами, если фактически наибольшую угрозу для вас представляет наблюдение частного детектива, у которого нет доступа к инструментам слежки в сети интернет. Но если вы имеете дело с правительством, которое сажает диссидентов в тюрьму за использование шифровальных средств, есть смысл прибегнуть к более простым методам: например, заранее согласованным кодам. Это лучше, чем рисковать свободой из-за наличия шифровальной программы на ноутбуке.

    Ниже представлен ряд вопросов, которые нужно задать себе перед скачиванием, покупкой или использованием того или иного инструмента.

    Насколько прозрачен данный инструмент?

    Может показаться, что цифровая безопасность в первую очередь связана с умением хранить секреты. Но специалисты в этой области утверждают, что в условиях открытости и прозрачности создаются наиболее безопасные инструменты.

    Те, кто заботится о своей цифровой безопасности, обычно используют сами (и рекомендуют использовать другим) бесплатные программы с открытым исходным кодом. Иными словами, код, на котором написана программа, является общедоступным. Любой желающий может его изучать, изменять и распространять. Обеспечивая прозрачность, разработчики говорят пользователям: «Давайте вместе искать недостатки и работать над улучшением программы!»

    Открытый исходный код помогает повысить уровень безопасности, но не гарантирует его. Преимущество программ с открытым исходным кодом достигается благодаря техническим специалистам, которые непосредственным образом проверяют код. Это трудно организовать для малых проектов (а иногда и для популярных, но весьма сложных).

    Когда вы подумываете об использовании той или иной программы, выясните, доступен ли её исходный код, проводился ли независимый аудит и подтвердил ли он высокий уровень безопасности. Программные и аппаратные средства должны иметь как минимум подробное техническое описание для независимой экспертной проверки.

    Насколько чётко разработчики изложили преимущества и недостатки своего продукта?

    Программных или аппаратных решений, обеспечивающих стопроцентную безопасность, не бывает. Если разработчик или продавец честно говорит об ограничениях продукта, вам будет легче решить, подойдёт ли это средство в вашем конкретном случае.

    Не верьте дежурным фразам о том, что код соответствует «военным стандартам» или «неуязвим для спецслужб». Такие слова ничего не значат. Наоборот, они заставляют сомневаться: скорее всего, разработчики переоценивают себя или игнорируют возможные сбои в работе их средства.

    Злоумышленники постоянно осваивают новые способы взлома. Поэтому программные и аппаратные средства нужно часто обновлять - устранять уязвимости. Если разработчики не желают этим заниматься, задумайтесь: может, они боятся плохих отзывов или не имеют ресурсов для исправления ошибок.

    Предсказать будущее нельзя, но можно судить о разработчиках по их поступкам в прошлом. Если на сайте выложены предыдущие версии программы, ссылки на регулярные обновления и дополнительная информация (например, сколько времени прошло с последнего обновления), это даёт больше уверенности в том, что в будущем разработчики не оставят своих пользователей на произвол судьбы.

    Что произойдёт если разработчики окажутся скомпрометированы?

    Когда разработчик создаёт продукт, то он, как и вы, должен иметь чёткую модель угроз. Лучшие разработчики подробно рассказывают в документации, от каких угроз они способны вас защитить.

    Но есть угроза, о которой почти не говорят. Что, если разработчик сам окажется скомпрометирован или решит атаковать собственных пользователей? Например, суд или правительство могут принудить компанию выдать персональные данные пользователей или создать лазейку в программе, которая позволит обходить защиту. Спросите себя, в чьей(их) юрисдикции(ях) находится разработчик. Например, если источник угрозы – правительство Белоруссии, английская компания может не принимать во внимание требования белорусских чиновников, но ей придётся подчиниться решению суда в самой Великобритании.

    Даже если разработчик сумеет противостоять давлению со стороны правительства, злоумышленник может попробовать взломать информационные системы разработчика для атаки на его пользователей.

    Наиболее устойчивые инструменты разрабатываются с учётом этой возможной атаки и на программном уровне защищают от неё. Постарайтесь найти инструмент, о котором известно, что его создатели не могут получить доступ к частным данным (а не обещают, что не станут этого делать). Имеет ли разработчик репутацию борца за права своих клиентов, может ли он опротестовывать решение суда о выдаче персональных данных?

    Был ли данный продукт отозван разработчиком, подвергался ли он критике в сети интернет?

    Компании, продающие продукты, и энтузиасты, рекламирующие свое новейшее программное обеспечение, могут быть введены в заблуждение, сами вводить в заблуждение или даже откровенно лгать. В продукте, который изначально был безупречен с точки зрения безопасности, со временем могут обнаружиться ужасающие недоработки. Необходимо постоянно получать актуальную информацию об используемых продуктах и инструментах.

    Чрезвычайно сложно в одиночку постоянно выискивать новости о каком-либо продукте или инструменте. Однако если у вас есть друзья или коллеги, которые используют определенный продукт, инструмент или услугу, скооперируйтесь с ними, чтобы вместе оставаться в курсе событий.

    Телефон какой марки мне стоит купить? Какой компьютер?

    Специалисты по безопасности нередко слышат вопросы вроде «Что выбрать – телефон на Android или iPhone?», «Какой компьютер купить – PC или Mac?», «Какая операционная система лучше?». Простых ответов нет. Пользователи обнаруживают ошибки, эти ошибки исправляются, безопасность программ и устройств относительна и всё время меняется. Компании могут конкурировать за услуги в области безопасности или быть под давлением властей, которые стремятся её ослабить.

    Некоторые общие рекомендации почти всегда верны. При покупке устройства или операционной системы необходимо скачивать актуальные обновления. Они зачастую исправляют в старом программном коде связанные с безопасностью ошибки, которые используют злоумышленники. Обратите внимание на то, что обновления (даже связанные с безопасностью) для некоторых старых телефонов или операционных систем могут уже не выпускаться производителем. В частности, компания Microsoft объявила о прекращении всяческой поддержки Windows (включая исправления серьёзных проблем с безопасностью) для версий Vista, XP и более ранних. Это означает, что при использовании одной из этих версий Windows вы не сможете рассчитывать на защиту от атак злоумышленников. Аналогично компания Apple поступила и с версиями OS X младше 10.11 (El Capitan).

    Теперь, когда вы приняли во внимание все угрозы, с которыми можете столкнуться, и решили, что именно вам нужно от инструмента, обеспечивающего безопасность в цифровом мире, вы можете более уверенно выбрать инструменты, наиболее подходящие для вашей конкретной ситуации.

    Инструменты, упомянутые в этом руководстве

    Мы стараемся, чтобы программные и аппаратные решения, о которых мы говорим в настоящем руководстве, соответствовали обозначенным выше критериям. Мы с чистой совестью перечислили только те инструменты, которые:

    • являются основательными и качественными продуктами согласно нашим представлениям о цифровой безопасности,
    • достаточно прозрачны, их алгоритмы (и проблемы) изучены,
    • защищены от возможного воздействия разработчиков,
    • регулярно обновляются, имеют свежие версии и большую базу технически грамотных пользователей.

    Мы считаем, что на момент написания данного руководства все они регулярно проверяются на наличие изъянов большим количеством активных пользователей. Если те обнаружат проблему, о ней сразу станет известно. Однако у нас нет ресурсов, чтобы организовывать независимые проверки безопасности упомянутых инструментов. Мы не гарантируем качество и абсолютную безопасность этих продуктов.

    Последнее обновление: 
    29-10-2018
  • Самозащита в социальных сетях

    Социальные сети являются одним из самых популярных интернет- ресурсов. У Facebook почти миллиард пользователей, по несколько сотен миллионов человек пользуются Instagram и Twitter. Социальные сети в основном построены на идее распространения людьми публикаций, фотографий и личной информации. В настоящее время они стали форумами, организующими людей и предоставляющими площадку для высказывания своей точки зрения. И то, и другое зачастую может идти в связке с конфиденциальностью и псевдонимностью.

    Таким образом, при использовании социальных сетей важно рассмотреть следующие вопросы: Как образом я взаимодействую с этими интернет-сервисами при защите своей конфиденциальной информации? Каков мой базовый уровень конфиденциальности, защиты моей личности, контактов и связей? Какую конфиденциальную информацию мне нужно скрыть и от кого?

    В зависимости от обстоятельств, вам может быть необходима защита от самой социальной сети, пользователей этой сети или же от всего перечисленного.

    При регистрации учетной записи учтите следующее:

    • Вы хотите использовать своё настоящее имя? Некоторые сайты придерживались «политики настоящих имён», но со временем ослабили требования. Если вам не хочется использовать свое настоящее имя в социальных сетях, можете этого не делать.
    • При регистрации не предоставляйте больше информации, чем требуется. Если вы хотите сохранить свою личность в тайне, используйте при регистрации отдельный адрес электронной почты и не указывайте свой номер телефона. Адрес почты и номер телефона могут раскрыть вашу личность и связать вас с другими учетными записями.
    • Будьте аккуратны при выборе фото профиля или изображений. Мало того, что в метаданных файла может быть указано место и время съёмки, само изображение может также раскрыть какую-либо информацию. Задайте себе вопрос перед загрузкой изображения: фото было снято вне дома или работы? Видны ли указатели с названием улиц или другие знаки и вывески?
    • Знайте, что ваш IP-адрес может быть записан при регистрации.
    • Укажите надёжный пароль и, если возможно, включите двухфакторную аутентификацию.
    • Не следует правдиво отвечать на вопросы для восстановления доступа к учетной записи («В каком городе вы родились?» или «Какое имя у вашего домашнего животного?»), поскольку ответы на такие вопросы могут быть найдены с помощью общедоступных данных ваших аккаунтов в социальных сетях. Вы можете указать произвольные ответы на эти вопросы. Запомнить эти ответы будет трудновато, поэтому их можно записать и хранить с помощью менеджера паролей.

    Убедитесь в надёжности политики конфиденциальности социальной сети

    Информация, сохраняемая третьей стороной, защищена её собственной политикой конфиденциальности и может быть использована в коммерческих целях и даже передана другим компаниям (например, маркетинговым). Так как чтение всей политики конфиденциальности – почти непосильная задача для любого человека, попробуйте ознакомиться лишь с разделом, в котором говорится о том, как используются ваши данные, в каких случаях данные могут быть переданы кому-либо ещё и как компания реагирует на запросы правоохранительных органов.

    Сайты социальных сетей – это в основном бизнес, сосредоточенный на получении прибыли. Они зачастую собирают конфиденциальную информацию помимо предоставленной вами – где вы находитесь, каковы ваши интересы и предпочтения, на какую рекламу вы реагируете, какие сайты вы посещаете (посредством кнопок «Like»). Заблокируйте хранение куки-файлов сторонних сайтов и используйте расширение браузера с блокировкой слежения для предотвращения пассивной передачи излишней информации сторонним сайтам.

    Измените настройки конфиденциальности вашей учётной записи

    Измените настройки по умолчанию. Например, хотите ли вы делиться своими публикациями со всеми или же только с какой-либо конкретной группой людей? Можно ли позволить людям искать вас по номеру телефона или адресу электронной почты? Хотите ли вы публиковать свое местоположение в автоматическом режиме?

    Несмотря на то, что на каждой платформе социальных сетей есть свои уникальные настройки, вы можете заметить некоторое сходство.

    • Настройки конфиденциальности склонны искать ответ на вопрос: «Кто может это видеть?» Здесь, вероятно, вы сможете выбрать аудиторию («Все», «Друзья друзей», «Только друзья» и т.д.) для своих публикаций, местоположения, фотографий, контактной информации, меток и тех, кто может найти ваш профиль через поиск.
    • Настройки безопасности, скорее всего, будут связаны с возможностью блокирования других учетных записей и способов оповещения о попытках неавторизированного доступа к вашей учетной записи. Иногда в этом разделе будут присутствовать настройки входа в аккаунт: например, включение двухфакторной аутентификации и запасной адрес электронной почты/номер телефона. Иногда эти настройки, наряду с возможностью изменить пароль, могут оказаться в настройках учётной записи или в разделе настроек входа в аккаунт.

    Воспользуйтесь «проверками» настроек безопасности и конфиденциальности. Facebook, Google и многие другие солидные веб-сайты предлагают провести «проверку настроек безопасности» учётной записи. Эти проверки представляют собой превосходные пошаговые руководства, описанные простым языком и помогающие пользователю подходящим образом настроить безопасность и конфиденциальность своей учётной записи.

    Помните, что настройки конфиденциальности могут измениться. Иногда они могут становиться более надёжными и детальными, а иногда – наоборот. Обращайте пристальное внимание на эти изменения – вдруг информация, бывшая конфиденциальной, внезапно стала открытой для всех, или новые дополнительные настройки позволят лучше контролировать уровень вашей конфиденциальности?

    Разные учётные записи должны использоваться отдельно

    Для многих из нас очень важно не использовать одни и те же данные в различных учётных записях. Это относится к сайтам знакомств, профессиональным профилям, анонимным учётным записям и аккаунтам разнообразных сообществ.

    Особое внимание нужно обратить на указываемые номера телефонов и размещение фотографий. В частности, фотографии могут связать вас и вашу учетную запись, которой вы намеривались пользоваться отдельно. Это на удивление распространённая проблема, связанная с использованием сайтов знакомств наряду с профессиональным профилем. Если вы хотите сохранить анонимность в сети или отделить одну учётную запись от другой, публикуйте от имени аккаунта фотографии или изображения, которые вы больше нигде не использовали и не публиковали в сети. Для проверки случайного использования одного и того же изображения в разных учётных записях используйте поиск Google по изображениям в сети. Другим фактором, потенциально способным связать ваши учётные записи, является использование вашего собственного имени (или псевдонима) и вашей электронной почты. Если выяснится, что что-то из вышеперечисленного обнаружилось там, где вы бы не хотели это обнаружить, не паникуйте! Тщательно обдумайте последующие шаги: вместо тщетных попыток полностью стереть информацию о себе из всего интернета сфокусируйтесь на особо важной информации, где она опубликована и что в ваших силах сделать с этим.

    Ознакомьтесь с настройками групп Facebook

    Группы в Facebook - это множество социально активных сообществ, в том числе пропагандисткой направленности, число которых быстро растет. Настройки конфиденциальности и безопасности этих групп могут смутить. Вам необходимо изучить групповые настройки и при наличии интереса у участников группы в изучении настроек группы работать с другими участниками для поддержания конфиденциальности и безопасности всей группы в Facebook.

    Конфиденциальность – это командный вид спорта

    Не достаточно просто изменить настройки социальных сетей и собственное поведение в сети интернет. Необходимо предпринять дополнительные действия – поговорить с друзьями о том, какие важные данные вы раскрываете друг о друге в сети. Даже если у вас нет учетной записи в социальной сети, и вы снимете отметки о себе с публикаций, друзья все равно могут случайно раскрыть вашу личность, отметить ваше местоположение или раскрыть общественности свою связь с вами. Защита конфиденциальности означает не только заботу о себе, но и заботу друг о друге.

    Ваши социальные связи

    Помните, что вы не единственный, через кого может произойти «утечка» потенциально важной информации. Друзья могут отмечать вас на фотографиях, рассказывать о том, где вы находитесь, и раскрывать ваши социальные связи. Даже если вам доступна функция отмены тегов в сообщениях друзей, помните: слово – не воробей. Есть смысл поговорить с друзьями о себе и своей работе. Скажите им, что вам не по душе, когда они рассказывают о вас на каждом углу.

    Последнее обновление: 
    30-10-2018
  • Оценка рисков

    В постоянных попытках защитить все свои данные сразу от всех людей в мире, вы рискуете потратить свои силы и время впустую. Однако, не стоит расстраиваться! Обеспечение безопасности данных – это процесс, в котором вы, тщательно обдумав план действий, непременно найдёте подходящее решение. Безопасность зависит не столько от количества используемых вами инструментов или скачанных программ, сколько от понимания с какими именно угрозами вы сталкиваетесь и что конкретно может вам помочь в борьбе с этими угрозами.

    В частности, угроза компьютерной безопасности – это потенциально возможное событие, которое может подвергнуть опасности сохранность или конфиденциальность ваших данных. Вы сможете успешно противостоять подобным угрозам, осознав, что конкретно вам нужно защитить и от кого именно. Данный процесс называется «моделирование угроз».

    С помощью настоящего руководства вы научитесь моделировать угрозы – оценивать риски, которым может быть подвержена ваша цифровая информация. Также вы узнаете, как определить наилучшие способы противодействия угрозам, которые подойдут именно в вашем случае.

    Так как же производится моделирование угроз? Например, если вам необходимо организовать защиту своего дома и имущества, то вам придется задать самому себе несколько вопросов:

    Что в моем доме нуждается в защите?

    • Это могут быть драгоценности, электроника, финансовые документы, паспорта или фотографии.

    От кого я хочу это все защитить?

    • Злоумышленниками могут быть воры, соседи по комнате или гости.

    Какова вероятность того, что мне придется защищать свое имущество?

    • Соседей обворовывали в недавнем прошлом? Могу ли я доверять своим соседям и гостям? Каковы возможности потенциальных злоумышленников? Какие риски я должен принять во внимание?

    Насколько серьёзны будут последствия неудачи при защите имущества?

    • Найдутся ли у меня время и деньги на замену утраченного имущества? Какое имущество я не смогу заменить вовсе? Имеется ли страховка на случай если моё имущество будет украдено?

    На что я готов пойти для того чтобы избежать подобных последствий?

    • Хочу ли я купить сейф для важных документов? Могу ли я позволить себе покупку высококачественного замка? Найду ли время арендовать ячейку в банке для хранения ценностей??

    Как только вы ответите на эти вопросы, вы сможете оценить меры, которые следует принять. Если ваше имущество ценно, но риск кражи невелик, то вы, скорее всего, не захотите потратить слишком много денег на покупку замка. Однако, если этот риск велик, то вы не только купите наилучший замок, но и задумаетесь об установке охранной сигнализации.

    Построение модели угроз поможет вам лучше понять те риски, с которыми вы можете столкнуться и оценить возможность их возникновения. Также это поможет вам определить ценность имущества и потенциальных злоумышленников, равно как и их возможности.

    Что такое моделирование угроз и с чего мне начать?

    Моделирование угроз поможет вам выявить угрозу ценным для вас вещам и определить, от кого именно эта угроза исходит. При построении модели угроз, ответьте на следующие вопросы:

    1. Что я хочу защитить?
    2. От кого мне нужно это защитить?
    3. Что случиться плохого если мне не удастся это защитить?
    4. Какова вероятность того, что мне придется это защищать?
    5. На что я готов пойти, чтобы предотвратить потенциальные последствия

    Давайте подробно разберем каждый из этих вопросов.

    Что я хочу защитить?

    «Ресурс» - это нечто, что вам дорого и что вы хотели бы защитить. В контексте цифровой безопасности ресурсом является некая информация. Например, текст ваших сообщений электронной почты, список ваших контактов, сообщения мессенджеров, ваше местоположение и файлы. Ваше устройство также может быть ресурсом.

    Составьте список ваших ресурсов: данных, которые вы храните; мест, где они находятся; людей, имеющих к ним доступ; и того, что предотвращает несанкционированный доступ к этим данным.

    От кого мне нужно это защитить?

    Для ответа на этот вопрос важно определить тех, кто может быть нацелен на получение доступа к вашим ресурсам. Личности или организации, представляющие угрозу сохранности и конфиденциальности ваших ресурсов, являются злоумышленниками. Например, потенциальными злоумышленниками могут быть как ваш начальник, бывший партнер или конкурент в бизнесе, так и правительственные учреждения или хакер в общедоступной сети.

    Составьте список злоумышленников, или тех, кто хотел бы заполучить ваши ресурсы. В вашем списке могут оказаться как частные лица, так и правительственные организации или корпорации.

    В зависимости от того, кто станет злоумышленником в вашем случае, данный список вы, возможно, захотите уничтожить сразу после создания своей модели угроз.

    Что случится плохого если мне не удастся это защитить?

    Множеством способов злоумышленник может создать угрозу сохранности или конфиденциальности ваших данных. Например, он может прочитать вашу частную переписку при передаче через телекоммуникационную сеть, а также повредить или даже удалить ваши данные.

    Мотивы злоумышленников могут быть очень разными, как и их способы атак на ваши данные. Правительство, например, может попытаться предотвратить распространение видео, на котором запечатлён полицейский беспредел, просто удалив его или существенно снизив его доступность. А политические оппоненты могут постараться заполучить в тайне от вас некие секретные данные и опубликовать их.

    Моделирование угроз включает в себя также и осознание последствий в случае, если злоумышленник всё-таки получит доступ к вашим данным или ресурсам. Для определения последствий вам необходимо принять во внимание потенциал злоумышленников. Оператор сотовой связи, например, имеет доступ ко всем вашим телефонным разговорам. Таким образом, он сможет использовать эти данные против вас. Хакер в открытой сети Wi-Fi сможет получить доступ к данным, передающимся в открытом виде. В то же время, правительственные службы имеют гораздо большие возможности.

    Запишите, что по-вашему злоумышленник может сделать, получив доступ к вашим конфиденциальным данным.

    Какова вероятность того что мне придется это защищать?

    Риск – это вероятность того, что какая-либо конкретная угроза конкретному имуществу осуществится на самом деле. Возможность и риск нужно рассматривать в связке. Несмотря на то, что у оператора сотовой связи есть возможность получить доступ к вашим данным, риск того, что оператор выложит в сеть вашу конфиденциальную информацию, чтобы подпортить вашу репутацию, достаточно низок.

    Важно делать различие между угрозой и риском. Угроза – это прискорбное событие, которое может случиться, а риск – это вероятность наступления подобного события. Например, если существует угроза обрушения вашего здания, риск этого события будет гораздо выше если здание находится в Токио (там землетрясения – это обычное дело), а не в Москве (где они крайне редки).

    Анализ рисков – это личный, субъективный процесс. Каждый человек смотрит на угрозы и расставляет приоритеты по-своему. Множество людей не считаются с определёнными угрозами несмотря на существующий риск, поскольку считают, что простое наличие угрозы при любом уровне риска не стоит потенциальных затрат на защиту. В другом случае, люди игнорируют повышенный риск, поскольку не считают существующую угрозу проблемой.

    Запишите какие угрозы вы воспринимаете всерьёз. Также составьте список угроз, о которых можно не думать, потому что вероятность их появления достаточно низка, или с ними будет слишком тяжело и опасно бороться.

    На что я готов пойти, чтобы предотвратить потенциальные последствия?

    Ответ на этот вопрос требует проведения анализа рисков. У разных людей различные приоритеты и разные взгляды на существующие угрозы.

    Например, адвокат, представляющий клиента по делу о национальной безопасности, примет гораздо больше усилий для защиты своей корреспонденции. Для этого он станет использовать шифрование сообщений электронной почты в отличии от обычной матери, регулярно отправляющей дочке видео со смешными котами.

    Запишите что вы можете использовать для противодействия вашим угрозам. Обратите внимание на имеющиеся у вас ограничения финансового, технического или социального характера.

    Моделирование угроз на регулярной основе

    Имейте в виду, что ваша модель угроз будет меняться вместе с изменением ситуации. Таким образом, вам лучше всего почаще проводить моделирование угроз и оценку рисков.

    Подготовьте свою модель угроз, основываясь на собственной текущей ситуации. Создайте напоминание в своем календаре. Когда этот день придёт, убедитесь, что ваша оценка рисков отражает текущую ситуацию. В случае необходимости пересмотрите свою модель угроз.

    Последнее обновление: 
    10-01-2019
  • Общение в сети

    Телекоммуникационные сети и интернет максимально облегчили общение людей, однако вместе с этим расширились и возможности для слежки за этим общением. Если вы не принимаете никаких дополнительных мер для защиты своей частной жизни, любой вид общения (телефонный звонок, текстовое сообщение, электронное письмо, сообщение в мессенджере или в социальных сетях, а также видео и аудио чат) может быть подвержен перехвату.

    Зачастую самым безопасным видом связи является личная встреча, исключающая использование компьютеров и телефонов. Но так как это далеко не всегда возможно, то наилучшим выходом станет использование сквозного шифрования.

    Как работает сквозное шифрование?

    Сквозное шифрование обеспечивает превращение информации в тайное послание, которое может быть расшифровано лишь конечным получателем. Это значит, что никто не сможет узнать содержимое этого послания – ни злоумышленники в общедоступных сетях Wi-Fi, ни интернет-провайдеры, ни сайты или приложения, используемые вами. Может показаться несколько странным, что читаемые нами сообщения в приложении на телефоне или информация с сайта на компьютере не видны компании-разработчику данного приложения или платформе сайта. Но это свойство является ключевой характеристикой хорошего шифрования – даже люди, разработавшие и внедрившие шифрование, не смогут его взломать.

    Все инструменты, упомянутые в наших руководствах используют сквозное шифрование. Вы сможете использовать сквозное шифрование для любого вида общения – включая голосовые и видеозвонки, обмен сообщениями, чат и электронную почту.

    (Не спутайте сквозное шифрование с шифрованием транспортного уровня. Сквозное шифрование обеспечит защиту, например, вашей переписки на всем пути от отправителя до получателя. Шифрование же транспортного уровня лишь защитит её на пути от вашего устройства до серверов приложения и от серверов приложения до устройства получателя. В середине пути ваша переписка будет доступна в незашифрованном виде поставщику услуг обмена сообщениями, просматриваемому сайту или используемому приложению.)

    Принцип работы сквозного шифрования состоит в следующем: при желании двух людей (назовём их Акико и Борис) использовать сквозное шифрование при общении обоим необходимо создать небольшие фрагменты данных, называемые ключами. Эти ключи используются для превращения данных, понятных и доступных каждому, в данные, которые могут быть прочтены лишь тем, у кого будет подходящий ключ. Перед тем как Акико отправит сообщение Борису, она зашифрует его, используя ключ Бориса. Таким образом только Борис сможет расшифровать это сообщение. Затем она отправит зашифрованное сообщение через интернет. Если кто-либо шпионит за Акико или Борисом, и даже если эти злоумышленники имеют доступ к сервису, используемому для обмена сообщениями (например, электронной почте), то они увидят зашифрованное сообщение, но не смогут его прочитать. Когда Борис получит его, он использует свой ключ для расшифровки сообщения.

    Некоторые сервисы, например Google, рекламируют своё «шифрование», в котором они используют свои ключи, контролировать которые не смогут ни отправители, ни получатели сообщений. Это шифрование не является сквозным. Для обеспечения истинной конфиденциальности общения оба собеседника должны обладать ключами, позволяющими шифровать и расшифровывать сообщения. Если же используемый сервис контролирует ключи, то это шифрование называется шифрованием транспортного уровня.

    Использование сквозного шифрования предполагает хранение пользователями своих ключей в надёжном потайном месте. Также это подразумевает приложение усилий к подтверждению личности того, кто использует ключи шифрования. От вас потребуется хотя бы скачать приложение, предлагающее использовать сквозное шифрование, а лучше всего ещё и провести верификацию ключей контактов. Только таким способом пользователи смогут надёжно обеспечить конфиденциальность без необходимости доверять платформе, используемой ими для общения.

    Больше информации о шифровании вы сможете почерпнуть из руководств «Что мне нужно знать о шифровании?», «Ключевые концепции шифрования» и «Различные типы шифрования». Мы также более подробно объясняем про один из видов сквозного шифрования – шифрование с открытым ключом в статье «Глубокое погружение в сквозное шифрование: как работают системы шифрования с открытым ключом?».

    Телефонные звонки и текстовые сообщения против зашифрованных сообщений в интернете

    Когда вы звоните со стационарного или мобильного телефона, ваш звонок не защищён с помощью сквозного шифрования. При отправке текстового сообщения (SMS) с мобильного телефона текст сообщения также не зашифрован. Оба этих способа общения позволяют правительству или кому угодно, обладающему властью над телефонной компанией, читать сообщения и записывать разговоры. Если ваша оценка рисков включает перехват правительственными службами ваших звонков и сообщений, то вам, возможно, стоит предпочесть использование в интернете альтернатив с шифрованием. В качестве бонуса множество из альтернативных способов предлагают и зашифрованную видеосвязь.

    Примеры сервисов или приложений, предлагающих использование сквозного шифрования при обмене текстовыми сообщениями, при голосовых и видеозвонках:

    А вот примеры служб, по умолчанию не предлагающих сквозное шифрование:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    Существуют некоторые сервисы, например Facebook Messenger и Telegram, предлагающие сквозное шифрование, если вы намеренно его включите. Другие сервисы, например iMessage, предложат сквозное шифрование только при использовании обоими пользователями конкретных устройств (в случае с iMessage оба пользователя должны иметь iPhone).

    Насколько вы можете доверять вашему сервису обмена сообщениями?

    Сквозное шифрование сможет защитить вас от слежки со стороны правительств, хакеров и самого сервиса обмена сообщениями. Но все упомянутые стороны могут незаметно для вас внести такие изменения в используемое вами приложение, что вместо использования сквозного шифрования ваши данные будут отправляться с использованием ослабленного шифрования, либо вовсе незашифрованными.

    Многие группы, включая EFF, занимаются изучением популярных приложений (WhatsApp, принадлежащий Facebook, или Signal), чтобы убедится в том, что они действительно используют обещанное сквозное шифрование. Но если вас беспокоят возможные риски, связанные с использованием подобных приложений, то вы могли бы использовать независимые от транспортных систем инструменты, использующие общеизвестные и проверенные методы шифрования. Примером таких инструментов являются OTR и PGP. Эти системы, основанные на пользовательском опыте, зачастую менее удобны в использовании и являются старыми протоколами, не использующими все лучшие и современные методы шифрования.

    Off-the-Record (OTR) - протокол сквозного шифрования в режиме реального времени при обмене текстовыми сообщениями. Его можно использовать совместно с множеством служб обмена мгновенными сообщениями. Некоторые инструменты, использующие OTR:

    PGP (Pretty Good Privacy) является стандартом сквозного шифрования для электронной почты. Подробные инструкции по установке и использованию PGP-шифрования вашей корреспонденции:

    Использовать PGP-шифрование для электронной почты лучше всего при переписке с такими же технически подкованными пользователями, осведомлёнными о сложностях и ограничениях PGP.

    На что не способно сквозное шифрование

    Во-первых, сквозное шифрование лишь защитит содержимое вашего послания, но никак не факт вашего общения. Оно не скроет от посторонних ваши метаданные, например, содержимое строки «Тема» электронного письма, номер телефона или адрес электронной почты вашего собеседника, дату и время отправки письма, время и длительность разговора. При совершении звонка с мобильного телефона метаданными будет являться еще и ваше местоположение.

    Метаданные могут предоставить чрезвычайно важную информацию о вас, даже если содержание вашего общения остается тайной.

    Метаданные о ваших телефонных звонках могут выдать очень личную и конфиденциальную информацию. Например:

    • Они знают, что вы звонили в «секс по телефону» в 02:24 и разговор длился 18 минут, но они не знают, о чем именно был разговор.
    • Они знают, что вы звонили на телефон горячей линии по предотвращению самоубийств с моста «Золотые ворота», но тема разговора осталась в секрете.
    • Они знают, что вы звонили в службу проверки на ВИЧ, затем своему врачу, затем в свою страховую компанию и все это за один час, но не знают, что именно вы обсуждали.
    • Они знают, что вам звонили из местного отделения стрелковой ассоциации во время проведения кампании против ужесточения законодательства о вооружении, затем вы сразу позвонили своим сенаторам и конгрессменам, но содержимое звонков осталось в тайне.
    • Они знают, что вы звонили своему гинекологу, что разговор длился полчаса, а затем вы звонили в центр по планированию семьи, но никто не знает, о чём именно вы говорили.

    Другие важные свойства

    Сквозное шифрование является лишь одной из множества функций, которые могут быть важны при безопасном общении. Как было указано выше, сквозное шифрование является великолепным способом оградить свое общение от вмешательства компаний или правительственных служб. Но для многих компании и правительства могут и не быть самой большой угрозой конфиденциальному общению, поэтому для них использование сквозного шифрования, возможно, не будет в приоритете.

    Например, если у кого-то есть основания беспокоиться о том, что кто-либо из окружения (супруг(а), родитель или работодатель) имеет физический доступ к его устройству, то возможность отправлять эфемерные, «исчезающие» сообщения может стать решающим фактором при выборе мессенджера. А кто-то может беспокоиться о сокрытии своего номера телефона, и возможность использовать «псевдоним» без привязки к номеру телефона будет важна в этом случае.

    В общем, функции обеспечения безопасности и конфиденциальности не единственные переменные, имеющие значение при выборе безопасного метода связи. Приложение с отличными функциями безопасности будет абсолютно бесполезно, если никто из ваших друзей и контактов не будет его использовать, а в разных странах и даже сообществах популярные приложения различаются. Для некоторых неприемлемо использование платных приложений, для других фактором отказа от использования станет низкое качество связи.

    Чем яснее вы понимаете, что именно вам необходимо, тем легче ориентироваться в обширной, противоречивой, а иногда и устаревшей информации о безопасных способах связи.

    Последнее обновление: 
    07-12-2018
  • Создание надёжных паролей

    Создание надёжных паролей с помощью менеджера паролей

    Повторное использование паролей очень плохо скажется на вашей безопасности. Если пароль, который вы используете для нескольких учетных записей, попал в руки злоумышленника, то, скорее всего, он получит доступ ко всем этим учётным записям. Поэтому весьма важно иметь множество надёжных и уникальных паролей.

    В этом вам поможет менеджер паролей. Это специальная программа, которая создаёт и хранит пароли. Чтобы вы, в свою очередь, могли использовать множество паролей на разных сайтах без необходимости запоминать их. Менеджеры паролей:

    • создают пароли, которые невозможно отгадать человеку,
    • надёжно хранят пароли (и ответы на секретные вопросы),

    • с помощью главного мастер-пароля (или парольной фразы) защищают все ваши пароли.

    Например, KeePassXC - бесплатный менеджер паролей с открытым исходным кодом. Вы можете установить эту программу на свой компьютер или интегрировать в браузер. KeePassXC не сохраняет автоматически изменения в базе данных паролей. Следовательно, если случится сбой в процессе добавления пароля, вы можете потерять изменения навсегда. Эту настройку можно изменить.

    Действительно ли вам необходимо использовать менеджер паролей? В случае, если могущественный злоумышленник (например, правительственные службы) посчитали вас своей целью, то, скорее всего, вам не стоит его использовать.

    Запомните:

    • Использование менеджера паролей – все равно что сложить все яйца в одну корзину.

    • Менеджер паролей – это очевидная цель для злоумышленников.

    • Исследования показали, что множество менеджеров паролей имеют уязвимости.

    Если вы обеспокоены возможностью мощной атаки, рассмотрите менее технологичный вариант. Вы самостоятельно можете создать надёжные пароли (ознакомьтесь со следующим разделом «Создание надёжного пароля с помощью игральной кости»), записать их и хранить в надёжном месте.

    Постойте, но мы же должны запоминать пароли и никогда не записывать их? Вообще-то, записать их на бумаге и положить куда-нибудь (например, в бумажник) достаточно полезно. По крайней мере вы заметите исчезновение бумаги с записанными паролями.

    Создание надёжного пароля с помощью игральной кости

    Вы непременно должны запомнить несколько очень надёжных паролей:

    • пароль от своего устройства,
    • пароль шифрования (например, если вы полностью зашифровали жесткий диск),
    • мастер-пароль или «парольную фразу» от менеджера паролей,
    • пароль от электронной почты.

    Одна из многих сложностей при выборе человеком пароля заключается в том, что что люди изначально не сильны в действительно непредсказуемом и случайном выборе чего-либо. Эффективным способом создания надёжного и легко запоминающегося пароля является выбор слов из списка с помощью игральной кости. Выбранные случайно слова сформируют вашу «парольную фразу». Это то же самое что и пароль, только длиннее и надёжнее. Мы рекомендуем использовать минимум 6 слов для парольной фразы от менеджера паролей или шифрования диска.

    Почему нужно использовать не менее шести слов? Зачем использовать игральную кость для случайного выбора слов? Чем длиннее и случайнее будет пароль, тем сложнее его будет подобрать как для человека, так и для компьютера. Вот видео, объясняющее, зачем нужен такой длинный пароль, который сложно угадать.

    Попробуйте создать парольную фразу, используя один из списков слов от EFF.

    Если ваш компьютер или другое устройство подверглось атаке, и на него было установлено шпионящее программное обеспечение, оно сможет проследить за тем, как вы набираете мастер-пароль. Тогда все содержимое базы данных менеджера паролей может стать известно злоумышленникам. Поэтому очень важно убедиться в том, что на устройстве, на котором вы пользуетесь менеджером паролей, нет никаких вредоносных приложений.

    Пара слов о «секретных вопросах»

    С осторожностью подходите к выбору ответа на «секретный вопрос», который веб-сайты используют для подтверждения вашей личности. Честные ответы на такие вопросы злоумышленник зачастую сможет легко найти в открытом доступе, и с их помощью обойти вашу парольную защиту.

    Лучше, напротив, использовать придуманные вами ответы, которые никто кроме вас знать не может. Например, секретный вопрос:

    «Какова кличка вашего первого домашнего животного?»

    Вашим ответом может стать любое сочетание слов, букв, цифр и символов, созданное вашим менеджером паролей. Данный ответ вы также можете хранить в том же менеджере паролей.

    Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены этих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов на различных веб-сайтах и сервисах.

    Синхронизация паролей между несколькими устройствами

    Многие менеджеры паролей имеют встроенную функцию синхронизации. При синхронизации файла с паролями они обновляются на всех ваших устройствах.

    Менеджеры паролей могут хранить файл с паролями «в облаке». Это значит, что ваши пароли будут записаны в зашифрованном виде на удалённом сервере. По мере необходимости пароли будут извлекаться из базы на сервере и расшифровываться автоматически. Менеджеры паролей, которые используют собственные серверы для хранения паролей или обеспечивают синхронизацию данных, удобны, но чуть более уязвимы к атакам. Если вы храните пароли и на своём компьютере, и в облаке, то для получения ваших паролей злоумышленнику не будет нужен доступ к компьютеру. Хотя ему придётся подобрать парольную фразу к менеджеру паролей.

    Если это вас беспокоит, отключите синхронизацию с облаком и храните пароли только на устройстве.

    На всякий случай делайте резервную копию базы с паролями. Это может оказаться полезным, в случае утери базы данных в результате сбоя или утраты устройства. Менеджеры паролей обычно имеют функциональность, позволяющую создавать резервную копию базы данных с паролями. Также вы можете использовать обычную программу резервного копирования.

    Многофакторная аутентификация и одноразовые пароли

    Надёжные и уникальные пароли весьма затрудняют злоумышленникам задачу по получению доступа к вашей учетной записи. Вам не стоит останавливаться на этом. Включите двухфакторную аутентификацию!

    Некоторые сервисы предлагают использовать двухфакторную (двухэтапную) аутентификацию, которая предполагает помимо введения пароля еще и обладание пользователем неким вторым компонентом (второй фактор). Им может стать единовременный код или число, генерируемое приложением на вашем мобильном устройстве.

    Двухфакторная аутентификация с помощью телефона может быть реализована двумя способами:

    • 1. Использование приложения аутентификации, которое будет генерировать защитные коды на вашем телефоне (например Google Authenticator или Authy). Также можно воспользоваться специальным устройством (YubiKey).
    • 2. Отправка на телефон SMS-сообщения с дополнительным защитным кодом, который нужно ввести на сайте каждый раз при входе на сервис.

    Если у вас есть выбор, то лучше использовать приложение на телефоне или специальное устройство вместо получения кодов по SMS, так как злоумышленник сможет переадресовать сообщения с кодами на свой телефон.

    Некоторые сервисы (например, Google) позволяют генерировать список одноразовых паролей. Идея в том, чтобы вы записали их и носили с собой. Каждый пароль – однократный. Если при вводе его перехватит шпионская программа, злоумышленник не сможет использовать этот пароль в будущем.

    Если ваша организация использует собственную коммуникационную инфраструктуру, то можно использовать бесплатные программы двухфакторной аутентификации для доступа к вашим системам. Поищите программу, поддерживающую открытый стандарт Time-Based One-Time Passwords или RFC 6238.

    В некоторых случаях вам придётся раскрыть свой пароль

    Законы о разглашении паролей отличаются в зависимости от вашего местонахождения. В некоторых юрисдикциях вы сможете на законных основаниях опротестовать требование раскрытия вашего пароля, в то время как в других странах местное законодательство позволит правительственным структурам требовать раскрытия пароля даже под угрозой тюремного заключения лишь за подозрение в обладании ключом или паролем. Угроза физического насилия также может быть использована для получения от вас пароля. Также вы можете оказаться в ситуации, когда при пересечении границы у вас изымут устройства или вас задержат до тех пор, пока вы не предоставите властям пароли от устройств или не разблокируете их самостоятельно.

    У нас вы найдете отдельное Руководство по пересечению границы США, в котором указаны рекомендации, связанные с запросами властей на доступ к устройствам при пересечении границы Соединённых Штатов в любом направлении. В иной ситуации вам следует подумать о том, каким образом вас или кого-нибудь ещё могут заставить выдать пароли и каковы будут последствия.

    Последнее обновление: 
    29-10-2018
  • Обеспечение безопасности данных

    Если у вас есть смартфон, ноутбук или планшетный компьютер, то это значит, что вы постоянно носите с собой огромное количество данных. Ваши контакты, конфиденциальная переписка, личные документы и фотографии (многие из которых могут содержать ещё и конфиденциальные данные десятков, сотен и даже тысяч людей) – лишь небольшой пример того, какие данные могут содержаться на ваших устройствах. Из-за большого объема хранящихся данных, которые мы постоянно носим с собой, может быть весьма сложно обеспечить безопасность этой информации, особенно из-за возможности относительно лёгкого изъятия носителей информации.

    Ваши данные могут быть изъяты на границе, украдены на улице или из вашего дома и скопированы за считанные секунды. К сожалению, блокировка устройства паролями, ПИН-кодами или жестами может не защитить ваши данные, если само ваше устройство будет изъято. Злоумышленнику относительно легко будет обойти блокировки, потому что сама информация хранится в легко читаемой форме на носителе внутри устройства. Ему останется лишь получить прямой доступ к хранилищу и скопировать данные без указания какого-либо пароля.

    С учётом вышесказанного, вы можете существенно затруднить получение ваших конфиденциальных данных злоумышленниками, физически получившими доступ к вашему устройству. Далее мы расскажем о нескольких способах уберечь свои данные.

    Зашифруйте свои данные

    Если вы будете использовать шифрование, то злоумышленнику понадобится физически обладать вашим устройством и знать пароль для расшифровки данных. Таким образом, наиболее надёжным способом хранения данных будет полное шифрование всего хранилища данных вашего устройства, а не нескольких избранных папок. Большинство смартфонов и компьютеров предлагают опцию полного шифрования диска.

    Для смартфонов и планшетных компьютеров:

    • На новых устройствах Android предлагает применить полное шифрование хранилища данных при первом запуске. На старых устройствах включить эту функцию можно в разделе «Security».
    • На устройствах Apple (например, iPhone или iPad) эта функция называется «Data Protection». Включить ее можно, установив пароль.

    На персональных компьютерах:

    • Apple предлагает встроенную в macOS функцию полного шифрования диска под названием FileVault.
    • Дистрибутивы Linux обычно предлагают включить полное шифрование диска при установке ОС.
    • Версии Windows, начиная с Vista и новее, включают в себя функцию шифрования под названием BitLocker.

    Программный код BitLocker закрыт и находится под защитой патента, что усложняет независимым экспертам работу по оценке его надёжности. Использование BitLocker предполагает доверие компании Microsoft в том, что она предоставляет надёжную систему хранения зашифрованных данных без каких-либо уязвимостей. С другой стороны, если вы и так используете Windows, то вы уже доверились компании Microsoft в той же степени. Если вы обеспокоены возможностью слежки за вами благодаря осведомлённости злоумышленников о каких-либо уязвимостях Windows или BitLocker, то следует рассмотреть возможность использования операционной системы с открытым исходным кодом (GNU/Linux или BSD). Мы рекомендуем использовать одну из специализированных ОС с усиленной защитой против атак, например, Tails или Qubes OS. В качестве альтернативы вы можете установить отдельно программу для полного шифрования диска под названием Veracrypt.

    ВАЖНО: вне зависимости от названия шифрование хорошо лишь настолько, насколько надёжен ваш пароль. Если злоумышленник завладеет вашим устройством, у него будет достаточно времени на подбор вашего пароля. Эффективным способом создания надёжного и запоминающегося пароля является использование игральной кости и списка слов для случайного выбора парольной фразы. Парольная фраза является более длинным паролем для совершенствования уровня безопасности. Для шифрования диска мы рекомендуем использовать парольную фразу, состоящую минимум из шести слов. Дополнительную информацию вы можете получить в нашем Руководстве по созданию надёжных паролей.

    Мы не настолько наивны и понимаем, что для вас может быть сложно запомнить и вводить длинные парольные фразы. Поэтому важно помнить, что шифрование поможет предотвратить лишь случайный неавторизованный доступ к данным. По-настоящему конфиденциальные данные должны храниться в физически недоступном для злоумышленников месте или на гораздо более защищённом устройстве.

    Создайте защищённое устройство

    Постоянно поддерживать безопасность данных может быть утомительно. В лучшем случае вам нужно будет сменить пароли, привычки и, возможно, программное обеспечение на вашем компьютере или устройстве. В худшем же случае придётся постоянно задумываться о возможной утечке конфиденциальной информации или использовании небезопасных методов хранения данных. Даже если вам известно о проблемах, вы, возможно, не сможете ничего исправить из-за того, что ваши корреспонденты не пользуются безопасными способами передачи и хранения данных. Например, коллеги могут отправить вам письмо и попросить открыть вложение, несмотря на то, что вам известно о возможной попытке злоумышленников прислать вам вредоносное приложение под видом безопасного вложения от имени ваших коллег.

    Так каково же решение данной проблемы? Рассмотрите возможность отдельного хранения ценных данных и средств связи на более защищённом устройстве. Вы можете использовать безопасное устройство для хранения первичных копий конфиденциальных данных. Используйте это устройство только в случае острой необходимости при обязательном соблюдении особых мер предосторожности. Если вам понадобится открыть вложение электронной почты, или использовать приложение, которому вы не доверяете полностью, то сделайте это на другом устройстве.

    Дополнительный, безопасный компьютер не обязательно должен быть дорог. Компьютер для редкого использования всего лишь нескольких программ не должен быть непременно новым или мощным. Вы можете приобрести старый нетбук, который будет в разы дешевле современных ноутбуков или телефонов. Преимущество покупки старого компьютера заключается в более высокой вероятности устойчивой работы безопасной ОС (например, Tails), чем на современных компьютерах. Некоторые общие рекомендации почти всегда верны. При покупке устройства или операционной системы необходимо скачивать актуальные обновления. Они зачастую исправляют в старом программном коде связанные с безопасностью ошибки, которые используют злоумышленники. Обратите внимание на то, что обновления (даже связанные с безопасностью) для некоторых старых операционных систем могут уже не выпускаться производителем.

    Что нужно сделать при настройке компьютера, чтобы от стал безопасным?

    1. Надёжно спрячьте это устройство и не обсуждайте ни с кем его местонахождение. Храните его, например, в закрытом шкафу – так вы сможете понять, пытался ли кто-нибудь получить доступ к устройству.
    2. Зашифруйте жёсткий диск компьютера используя надёжный пароль. В этом случае, даже если компьютер выкрадут, данные без пароля прочесть не удастся.
    3. Установите операционную систему, специально настроенную на обеспечение высшей степени конфиденциальности и безопасности данных (например, Tails). Возможно, вы не сможете или не захотите использовать в повседневной работе операционную систему, основанную на открытом исходном коде. Но для хранения данных на безопасном компьютере, а также для отправки и получения конфиденциальных сообщений Tails идеально подойдет с его настройками по умолчанию, обеспечивающими высокую степень безопасности.
    4. Устройство не должно быть подключено к сети интернет. Неудивительно, что лучшим способом предотвратить атаки из интернета и слежку в сети будет полный отказ от подключения устройства к сети. Следует убедиться в отсутствии связи с локальной сетью (беспроводной и проводной) и копировать файлы, используя исключительно физические носители: DVD-диски или USB-накопители. В сетевой безопасности есть такое понятие как «воздушный зазор» между компьютером и остальным миром. Несмотря на то, что этот способ защиты является экстремальным, вы, возможно, используете его при желании защитить данные, к которым вам лишь изредка нужен доступ, но которые ни в коем случае нельзя потерять (ключ шифрования, список паролей или копия конфиденциальных данных, переданных вам на хранение). В большинстве случаев вам, вполне вероятно, хватит и USB накопителя вместо целого компьютера. Зашифрованный и надёжно спрятанный накопитель почти настолько же полезен (или же бесполезен) как и полноценный компьютер, отключенный от сети интернет.
    5. Не пользуйтесь своими обычными учётными записями. Если вы подключаете свое безопасное устройство к сети интернет, создайте отдельные учетные записи электронной почты или интернет-сервисов для использования исключительно на этом устройстве и используйте Tor (Руководство по использованию Tor для Linux, macOS и Windows) для сокрытия вашего IP-адреса от этих интернет-сервисов. Если кто-либо захочет определить вашу личность с помощью вредоносного приложения или перехватить вашу корреспонденцию, именно использование отдельных учётных записей и Tor не позволит связать вас с данным устройством, с которого вы вышли в сеть интернет.

    Владение единственным безопасным устройством, содержащим важную конфиденциальную информацию, может помочь защитить её от злоумышленников, но при этом создаст очевидную для них цель. Также при уничтожении устройства присутствует риск утраты информации, существующей в единственном экземпляре. Если злоумышленник выиграет от потери вами данных, не храните их в одном месте, вне зависимости от степени его надёжности. Зашифруйте копию и храните её в другом месте.

    Вариацией идеи о существовании безопасного устройства станет владение незащищённым устройством, которым вы будете пользоваться лишь в опасных местах, или при проведении рискованных операций. Многие журналисты и активисты, например, в дорогу берут с собой обычный ноутбук. Для минимизации ущерба при его конфискации или осмотре на этом ноутбуке нет никаких документов, контактной информации или сообщений. Вы также можете применить данную стратегию для мобильных телефонов. Если вы обычно пользуетесь смартфоном, купите дешевый одноразовый телефон для поддержания связи в поездке.

    Последнее обновление: 
    12-11-2019
  • Что мне нужно знать о шифровании?

    Возможно, вы уже слышали термин «шифрование» - в разном контексте и в связке с другими словами. В целом шифрование - это математический процесс преобразования сообщения в вид, нечитаемый для всех, кроме того человека или устройства, у которого имеется ключ для «расшифровки» этого сообщения обратно в читаемый вид.

    На протяжении тысячелетий люди использовали шифрование для обмена сообщениями, которые (как они надеялись) невозможно прочитать постороннему. В настоящее время у нас есть компьютеры, способные осуществлять шифрование информации за нас. Технология цифрового шифрования ушла далеко за рамки тайной переписки. Сейчас мы можем использовать данную технологию для более сложных целей, например для проверки подлинности авторства сообщения.

    Шифрование является лучшей имеющейся в наличии технологией, для защиты данных от злоумышленников, правительств, поставщиков услуг. На текущий момент оно достигло такого уровня развития, что при корректном использовании его практически невозможно взломать.

    В данном руководстве мы рассмотрим две главные области применения шифрования: шифрование данных, хранящихся на различных носителях, и шифрование информации, находящейся в процессе передачи.

    Шифрование данных, хранящихся на различных носителях

    «Хранящиеся» данные находятся, например, в памяти мобильного телефона, на жёстком диске ноутбука, сервера или на внешнем жёстком диске. Говоря, что данные «хранятся», мы имеем в виду, что они не передаются из одного места в другое.

    Одной из форм использования шифрования для защиты «хранящихся» данных является полное шифрование диска (иногда называемое также «шифрованием устройства»). Включив полное шифрование диска, вы зашифруете всю хранящуюся на нём информацию и защитите её паролем или другим способом аутентификации. На мобильном устройстве или ноутбуке это будет выглядеть как обычный экран блокировки, запрашивающий пароль, парольную фразу или отпечаток пальца. Однако обычная блокировка устройства (т.е. требование ввести пароль для «разблокировки» устройства) далеко не всегда означает, что включено полное шифрование диска.

         
    И смартфон, и ноутбук имеют свои защищённые паролем экраны блокировки.

    Проверьте, как именно ваша операционная система осуществляет полное шифрование диска. Одни операционные системы используют полное шифрование диска по умолчанию, другие нет. А это значит, что кто-то сможет получить доступ к данным на вашем мобильном устройстве, просто взломав блокировку и даже не утруждаясь необходимостью взлома ключа шифрования, т.к. само устройство не было зашифровано. Некоторые системы до сих пор хранят обычный текст в незашифрованном виде в ОЗУ, даже при использовании полного шифрования диска. ОЗУ – это временное хранилище, что означает, что через некоторое время после отключения устройства обычно эту память уже нельзя прочитать. Однако опытный злоумышленник может попытаться произвести атаку методом холодной перезагрузки и завладеть содержимым ОЗУ.

    Полное шифрование диска может защитить ваше устройство от злоумышленников, получивших физический доступ к устройству. Это очень поможет при желании защитить данные от соседей по комнате, сотрудников или работодателей, должностных лиц, членов семьи, партнёров, полиции, или прочих представителей правоохранительных органов. Также это будет служить защитой данных при краже устройства или его потере, например, если вы забудете устройство в автобусе или ресторане.

    Существуют и другие способы шифрования данных, хранящихся на носителе. Одним из них является «шифрование файлов», с помощью которого можно зашифровать отдельные файлы на компьютере или другом устройстве хранения данных. Ещё один способ – «шифрование диска». С его помощью можно зашифровать данные, записанные на логическом разделе жёсткого диска.

    Вы можете комбинировать различные способы шифрования данных, находящихся на устройствах хранения данных. Например, вы хотите защитить конфиденциальную информацию в ваших медицинских документах. Вы можете использовать шифрование файла, чтобы отдельно зашифровать файл, хранящийся на вашем устройстве, а затем использовать шифрование диска, зашифровав логический раздел вашего жёсткого диска, где и хранится тот файл с конфиденциальной медицинской информацией. И наконец вы можете включить полное шифрование диска вашего устройства, и все данные – включая медицинскую информацию вместе с прочими файлами на диске, – и даже файлы операционной системы будут зашифрованы.

    Проект «Самозащита от слежки» имеет пару руководств по шифрованию ваших устройств. И хотя в сети (и на нашем сайте) вы можете найти подробные инструкции по шифрованию данных, хранящихся на запоминающих устройствах, имейте в виду, что средства шифрования быстро меняются (обновляются) и эти инструкции могут очень скоро стать неактуальны.

    Шифрование информации, находящейся в процессе передачи

    На изображении показано движение незашифрованных данных. Зачастую именно такие настройки по умолчанию используются интернет-провайдерами. В левой части рисунка смартфон отправляет зелёное незашифрованное сообщение на смартфон, находящийся в правой части. По пути следования вышки сотовой связи передают сообщение на сервера компании, а затем снова на другие вышки сотовой связи. И все они могут видеть незашифрованное сообщение «Hello». Все компьютеры и сети, передающие незашифрованное сообщение, способны видеть его содержание. И в конце концов другой смартфон получает это незашифрованное сообщение «Hello».

    Передающиеся данные - это информация, которая перемещается по сети из одного места в другое. Например, когда вы отправляете сообщение в мессенджере, это сообщение отправляется с вашего телефона на сервер компании (владельца мессенджера), а затем на устройство получателя сообщения. Другим примером будет просмотр сайта: когда вы заходите на какой-либо сайт, данные с серверов этого сайта направляются браузеру вашего устройства.

    Некоторые популярные приложения предлагают настройки, которые якобы защищают сообщения (например, исчезающие сообщения). Однако то, что общение (чат или обмен сообщениями) может казаться безопасным, не означает что оно на самом деле является защищённым. Компьютеры, передающие ваше сообщение, могут иметь доступ к его содержимому.

    Важно удостовериться в том, что общение между вами и вашим собеседником зашифровано. Более того, нужно знать каким именно образом оно зашифровано: с помощью шифрования транспортного уровня или сквозного шифрования.

    Существует два способа шифрования данных при их передаче: шифрование транспортного уровня и сквозное шифрование. Важным фактором при решении, каким именно сервисом пользоваться, может стать поддерживаемый тип шифрования. Приведённые ниже примеры проиллюстрируют разницу между шифрованием транспортного уровня и сквозным.

    Шифрование транспортного уровня

    На изображении показано движение данных, зашифрованных с помощью шифрования транспортного уровня. В левой части смартфон отправляет зелёное незашифрованное сообщение «Hello». Это сообщение шифруется и передаётся на вышку сотовой связи. По пути следования сервера компании могут расшифровать сообщение, снова его зашифровать и передать дальше на следующую вышку сотовой связи. В конце другой смартфон получает это зашифрованное сообщение, расшифровывает его и позволяет прочитать «Hello».

    Шифрование (или безопасность) транспортного уровня (Transport Layer Security - TLS), осуществляет защиту сообщений при их передвижении с вашего устройства на сервера мессенджера, а затем с этих серверов на устройство вашего собеседника. Посередине (между вашим устройством и устройством вашего собеседника) находится поставщик услуг обмена сообщениями, вебсайт, который вы просматриваете, или приложение, которым вы пользуетесь. И каждый из них может просматривать ваши незашифрованные сообщения. В связи с тем, что ваши сообщения могут просматриваться серверами поставщика услуг (а зачастую и храниться на них), конфиденциальность сообщений будет под угрозой из-за возможных запросов правоохранительных органов или утечки данных при взломе этих серверов.

    Пример шифрования транспортного уровня: HTTPS

    Замечали ли вы значок с изображением зелёного замка и «https://» перед адресом ssd.eff.org в адресной строке браузера? Протокол HTTPS – пример шифрования транспортного уровня, с которым мы сталкиваемся в сети достаточно часто и который обеспечивает существенно больший уровень безопасности по сравнению с незашифрованным протоколом HTTP. Почему? Потому что сервера сайта, использующего HTTPS, видят то, что вы вводите на этом сайте (например, сообщения, поисковые запросы, номера кредитных карт, логины). Однако эта информация остаётся недоступной для тех, кто попытается перехватить эту информацию в сети.

    Если кто-либо шпионит в сети и попытается узнать, какие страницы сайта вы посещаете, протокол соединения HTTP не обеспечит защиты. А вот HTTPS сохранит в тайне, на какие конкретные страницы сайта вы заходили – все, что в адресе будет указываться после знака «/». Например, при использовании HTTPS, открывая страницу https://ssd.eff.org/en/module/what-encryption, злоумышленник сможет увидеть только https://ssd.eff.org.

    В настоящее время уже около половины ресурсов в сети используют HTTPS на всех страничках. Это связано с тем, что в HTTP отсутствует какая-либо значимая защита, а HTTPS безопасен по умолчанию. Сайты, использующие HTTP, уязвимы для перехвата, внедрения контента, кражи файлов куки, логина и пароля, подвержены целевой цензуре и множеству других проблем безопасности.

    Мы рекомендуем использовать расширение браузера от EFF под названием HTTPS Everywhere. Расширение позволит автоматически переключаться на HTTPS-версии сайтов (использующих этот протокол) и обеспечит наибольшую степень защиты.

    Использование сервисом протокола HTTPS ещё не означает защиту конфиденциальности его пользователей, заходящих на сайт сервиса. Например, сайт, защищённый протоколом HTTPS, всё равно может использовать шпионящие куки-файлы или содержать вредоносные приложения.

    Пример шифрования транспортного уровня: виртуальная частная сеть (VPN)

    Виртуальная частная сеть (VPN) является другим примером шифрования транспортного уровня. Без VPN ваш трафик идёт с использованием соединения вашего интернет-провайдера. При использовании VPN ваш трафик также использует соединение с интернет-провайдером, но при этом трафик будет зашифрован по пути от вас до поставщика услуги VPN. И если кто-либо шпионит за вашей локальной сетью и пытается узнать, на какие сайты вы заходите, то он лишь увидит, что вы подсоединились к VPN. Информация о том, на какие сайты вы заходите, в итоге будет недоступна для этого злоумышленника. Ваш интернет-провайдер может определить, каким именно ресурсом VPN вы пользуетесь.

    Несмотря на то, что VPN спрячет информацию о вашем трафике от вашего интернет-провайдера, эта информация будет в полной мере доступна самому поставщику VPN. Этот поставщик будет иметь возможность просматривать ваш трафик, хранить и даже изменять его. По сути, использование VPN просто перенесёт всю полноту вашего доверия от интернет-провайдера к поставщику услуги VPN. Следовательно, вы должны быть уверены в надёжности вашего поставщика VPN.

    Дальнейшие рекомендации по выбору подходящего VPN вы найдёте в соответствующем руководстве SSD.

    Сквозное шифрование

    На изображении показан принцип работы сквозного шифрования. В левой части смартфон отправляет зелёное незашифрованное сообщение «Hello». Это сообщение шифруется и передаётся на вышку сотовой связи и на сервера компании. На другом конце смартфон собеседника получает это зашифрованное сообщение, расшифровывает его и позволяет прочитать «Hello». В отличие от шифрования транспортного уровня, в данном случае сервера вашего интернет-провайдера не смогут расшифровать это сообщение. Ключи для расшифровки сообщения имеются только на конечных устройствах (первоначальном устройстве, с которого сообщение было отправлено, и на устройстве получателя).

    Сквозное шифрование обеспечивает безопасность и конфиденциальность на всем пути сообщения от отправителя до получателя. Оно обеспечивает превращение информации в тайное послание от первоначального отправителя и возможность его расшифровки исключительно конечным получателем. Никто, включая используемое приложение, не сможет «подсмотреть» содержимое сообщения.

    Использование сквозного шифрования в мессенджере на вашем устройстве означает, что сам разработчик мессенджера не сможет получить доступ к содержимому сообщений. Это является ключевой характеристикой хорошего шифрования – даже люди, создавшие и внедрившие это шифрование, не смогут его взломать.

    Проект «Самозащита от слежки» предлагает изучить инструкцию по использованию средств сквозного шифрования в руководстве по общению в сети.

    Шифрования транспортного уровня или сквозное шифрование?

    Для того чтобы решить, какой тип шифрования подойдёт вам (шифрование транспортного уровня или сквозное шифрование), необходимо задать себе некоторые вопросы. Доверяете ли вы используемому приложению или сервису? Доверяете ли вы его технической инфраструктуре? Надёжна ли его политика в отношении защиты от запросов правоохранительных органов?

    Если вы ответите «нет» на один из этих вопросов, то вам необходимо сквозное шифрование. Если ответы на вопросы будут положительными, то вам подойдёт и сервис, поддерживающий шифрование транспортного уровня. Однако в любом случае лучше по возможности пользоваться сервисами, поддерживающими сквозное шифрование.

     

    Мы создали анимацию, демонстрирующую работу сквозного шифрования и шифрования транспортного уровня при передаче данных. Слева представлен чат, использующий сквозное шифрование (протокол шифрования мгновенный сообщений OTR, или Off-the-Record). Справа – чат, использующий шифрование транспортного уровня (с помощью использования HTTPS сайтом Google Hangouts).

    На GIF-анимации первый пользователь печатает сообщение в окне чата Google Hangouts:

    «Hi! This is not end-to-end encrypted. Google can see our conversation.» (Привет! Это сообщение не использует сквозное шифрование. Google может читать наши сообщения.)

    У этого пользователя также открыто и окно чата Off-the-Record (OTR), и он включает режим «private conversation» (защищённая переписка). В окне чата OTR сопроводительный текст гласит:

    «Attempting to start a private conversation with [gmail account]. Private conversation with [gmail account] has started. However, their identity has not been verified.» (Попытка начала защищённого диалога с [аккаунт gmail]. Защищённый диалог с [аккаунт gmail] начат. Однако идентичность собеседника не подтверждена.)

    Одновременно с этим в окне чата Google Hangouts текст шифруется и заменяется на тарабарщину, что означает использование пользователями протокола OTR со сквозным шифрованием. Каждое сообщение, переданное с помощью окна чата OTR, также отображается и в окне чата Google Hangouts, однако в виде, не позволяющем понять содержимое сообщения. Первый пользователь пишет:

    «Now conversation is end-to-end encrypted. Google can see that we`re chatting, but is unable to read what we`re actually saying.» (Теперь наша беседа защищена сквозным шифрованием. Google может видеть, что мы общаемся, но не сможет узнать, о чем именно.)

    Другой пользователь печатает сообщение в OTR клиенте:

    «It looks like gibberish to anyone else.» (Для любого другого пользователя это сообщение выглядит как полный бред.)

    Первый пользователь пишет:

    «Yup, it looks like nonsense.» (Ага, выглядит бессмысленно.)

    Другой пользователь отправляет смайлик.

    На что не способно шифрование при передаче данных

    Шифрование не является панацеей. Даже если вы отправляете зашифрованное послание, оно будет расшифровано вашим собеседником. Если устройства, которыми вы пользуетесь при общении, окажутся скомпрометированными, то и ваша шифрованная переписка может также оказаться под угрозой. Кроме этого, ваш собеседник может делать снимки экрана или хранить историю переписки.

    Если вы автоматически сохраняете резервные копии зашифрованных переписок «в облаке» (на других компьютерах), имейте в виду, что эти копии также должны быть зашифрованы. Это означает, что текст вашей переписки зашифрован не только при передаче данных, но и при хранении на жёстком диске.

    При шифрованной передаче данных будет защищено только содержимое вашего общения, метаданные зашифрованы не будут. Например, вы можете зашифровать общение с другом, но это шифрование не сможет скрыть

    • тот факт, что вы общаетесь друг с другом;
    • то, что вы используете шифрование при этом общении;
    • другие виды информации, относящейся к вашему общению (местоположение, время и продолжительность общения).

    Люди, серьёзно озабоченные возможностью слежки за ними (например, беспокоящиеся о том, что за их сетевым общением активно наблюдают), могут поставить себя под удар, лишь используя шифрование во время проведения каких-либо особых акций (политического противостояния, протестов). Почему? Если вы используете шифрование лишь время от времени, то можете неосознанно привязать ваши метаданные к заметным датам и к определённому времени. Таким образом, использовать шифрование необходимо как можно чаще, даже при обычной деятельности.

    Кроме того, если вы являетесь единственным человеком, использующим шифрование в сети, эти метаданные могут показаться подозрительными. Поэтому каждому рекомендуется по возможности всегда использовать инструменты шифрования и сделать привычкой использование шифрования людьми, которые действительно в нём нуждаются.

    И всё вместе

    Совместное использование шифрования как передачи данных, так и их хранения на диске обеспечит наибольший уровень защиты, нежели использование какого-либо одного из этих видов шифрования. Эксперты по безопасности называют такой способ «глубокой защитой». Используя несколько способов защиты данных, вы можете достигнуть максимального уровня безопасности.

    Например, если вы отсылаете незашифрованные сообщения (не шифруете передающиеся данные) с зашифрованного мобильного устройства (которое шифрует все хранящиеся данные), эти сообщения будут уязвимы для перехвата со стороны правительств, поставщиков услуг или технически подкованных злоумышленников. А сообщения, записанные на мобильном устройстве, напротив будут защищены от злоумышленников, имеющих физический доступ к устройству, но не знающих пароля.

    И наоборот, если вы отправляете сообщение с использованием сквозного шифрования (шифруя передающиеся данные) на устройство, не использующее шифрование (не шифрующее хранящиеся на нём данные), эти сообщения будут недоступны для шпионов в сети. Однако если кто-либо получит физический доступ к этому мобильному устройству, то он получит доступ к сообщению и сможет его прочитать.

    Учитывая приведённые примеры, идеальным способом защиты от широкого круга угроз станет шифрование данных, как хранящихся на устройстве, так и передаваемых в сети.

    Для получения более подробной информации по использованию шифрования обратитесь к нашему руководству «Ключевые концепции шифрования».

    Последнее обновление: 
    24-11-2018
Next:
JavaScript license information