2754

Как читают вашу онлайн-переписку и что с этим делать. Обзор полезных приложений, советы

18.09.2018 Крыніца: Анна Любакова для baj.by

"Дело БелТА" показало, что любое слово из вашей личной переписки или телефонного разговора может стать поводом для возбуждения уголовного дела. Если вы не заботитесь о информационной безопасности, значит ставите под угрозу свою репутацию или даже свободу. И не только свою.

Прийти с обыском могут в любую редакцию, даже если вы пишете о культуре или недвижимости. Приехать могут на вашу дачу во время отпуска, забрать не только ваш компьютер, но и технику членов вашей семьи. Из ваших личных переписок можно узнать, чем вы занимаетесь в данный момент, с кем будете встречаться и куда собираетесь ехать.

Конечно, вам нечего скрывать, вы ничего такого не делаете, поэтому зачем защищать свои каналы связи? Однако следует помнить, что собранную информацию можно исказить и использовать против вас, а также против людей в вашем окружении.

 

Даже если вы не хакер и не шпион

Представьте, что ваш источник на условиях анонимности переслал на ваш email конфиденциальную информацию о местном чиновнике. Поскольку шифровать эту переписку вам не хотелось, третьи лица смогли перехватить сообщение и получили два типа информации: установили личность информатора и содержание вашей переписки.

Что может угрожать вашему источнику? А вам?

Кроме органов госбезопасности, интересоваться вашими данными могут сотрудники милиции, маркетологи, конкуренты, хакеры и злоумышленники.

Если вы журналист, правозащитник, блогер или гражданский активист, вы тем более находитесь в группе риска.

Есть много инструментов, как обезопасить коммуникацию, но, чтобы правильно их выбрать, сначала нужно оценить возможные угрозы и последствия. Полагайтесь на то, что вам уже известно:

  • Во-первых, ответьте на вопрос, что вы хотите защитить? Назовём это вашим ресурсом. В вашей квартире это могут быть фамильные драгоценности или важные документы, а в вашей почтовом ящике — конфиденциальная информация, фотографии или финансовые отчёты.

  • От кого вам нужно защитить ваш ресурс? Это могут быть воры, соседи, хакеры, конкуренты или люди, которые пришли с обыском.

  • Что случится, если вы не сможете это защитить? Задайте себе такие вопросы: есть ли у меня копия и смогу ли я заменить исчезнувшие вещи или информацию? Навредит ли мне их пропажа? А моим близким или коллегам?

  • Какова вероятность того, что вам придется это защищать? Есть ли в районе, где вы живёте, история взломов? Случалось ли это с другими людьми, которые занимаются похожей деятельностью? Какими техниками владеют те, кто не должен получить вашу информацию, на что они способны?

  • На что вы готовы пойти, чтобы предотвратить потенциальные последствия? Есть ли у вас возможность купить дорогой замок или сигнализацию? Хотите ли вы специальный сейф для документов? Нужно ли вам установить новую аппликацию, которая шифрует все ваши сообщения?

  • Эксперты по информационной безопасности называют это моделированием угроз или оценкой риска (threat modelling and risk assessment). Эти пять универсальных вопросов помогут вам определить, что именно и как вам следует защищать.

 

Как читают вашу почту

Во время обыска по "делу БелТА" владелец одного крупного портала написал, что его корпоративную почту скопировали, и скорее всего, всю рабочую переписку прочли.

Доступ к вашей электронной почте не так сложно получить и без конфискации вашей техники. Вся незашифрованная электронная переписка обычно открыто передается по цепочке серверов. Перед тем, как попасть к адресату, её сначала получает ваш интернет-провайдер, затем сервер вашего email, провайдер вашего адресата и так далее. На любом участке пути письма его можно перехватить.

Большинство популярных почтовых служб обеспечивают безопасный доступ к вашему аккаунту, но подразумевает это в основном только то, что надёжно защищён ваш пароль, а не сама переписка.

Некоторые почтовые системы и вовсе указывают IP адрес вашего компьютера в отправленных письмах. (По IP адресу можно узнать, где вы находитесь, что также может угрожать вашей безопасности). В Gmail ваш IP адрес засекречен, но как известно, Google сканирует и сохраняет вашу коммуникацию, а также может раскрыть ваши данные властям.

Защитить вашу переписку от посторонних возможно. Что нужно сделать? Можно зарегистрироваться в почтовой службе RiseUP. Вся ваша переписка, адреса, резервные копии, дата последнего входа в почтовый ящик шифруются, также как все данные на серверах этой компании и коммуникация между ними. Эта почтовая служба предоставляет бесплатную лицензию, но с рядом условий.

ProtonMail и Tutanota — это безопасные почтовые службы, которые по умолчанию шифруют ваши сообщения. Конечно, только в том случае, если служба вашего адресата тоже шифрует письма автоматически. Минус — пользование этими безопасными, но менее популярными ящиками уже может вызвать подозрение и привлечь лишнее внимание.

 

Несколько советов при выборе почтовой службы:

  • Использует ли она шифрованные каналы связи (https:// — буква "s" как раз говорит о том, что это соединение безопасно, то есть ваши пароли засекречены).

  • Возможно ли, что третье лицо получит доступ к вашим данным через серверы email? 

  • Где географически находятся серверы и законам какой страны они подчиняются?

Скорее всего, вашу переписку сканирует почтовая служба для обеспечения работы спам-фильтров. Gmail же использует полученную информацию в целях маркетинга, что также может предоставлять угрозу, если доступ к вашим данным получат третьи лица. Сканировать незашифрованные сообщения могут и правительства через интернет провайдера или национальный шлюз.

Настроить же программу для сканирования можно на такие фразы, как "права человека", "свобода слова" или "Дзень Волі". Сообщения с такими фразами могут быть отфильтрованы, заблокированы и не дойти до адресата. Личность отправителя тоже легко установить. 

 

Как легко шифровать переписку

Шифровать переписку вы можете используя вашу обычную почту через так называемую криптографию открытого ключа. Таким образом, содержание вашего email будет скрыто ещё до отправки, поэтому ни один из первичных "получателей" (интернет провайдер, администратор сервера и т. д.) не сможет его прочитать.

Механизм действия достаточно прост: у вас есть минимум два ключа, которые работают только в паре: открытый ключ, которым вы можете делиться с каждым, а также закрытый ключ, который не должен знать никто кроме вас. Чтобы прислать вам зашифрованное письмо отправитель должен знать ваш открытый ключ (public key). Письмо вы расшифруете вашим закрытым ключом (private key).

Чтобы понять, как работает шифрование, вы можете начать использовать расширение Mailvelope, которое подходит для работы с такими популярными почтовыми клиентами, как Gmail. После добавления расширения к вашему браузеру, вы сможете генерировать ваш секретный и открытый ключи, обмениваться ключами других людей и шифровать, шифровать, шифровать. Это очень лёгкий и удобный инструмент, интегрирование которого займёт очень мало времени. Минус - тема вашего письма будет видна, шифруется только само содержание переписки.

Есть и более громоздкий, но в перспективе более удобный способ использовать шифрование. Вы можете установить Thunderbird — это бесплатный почтовый клиент с открытым кодом, в котором можно работать без использования браузера. Для того, чтобы шифровать письма в этом клиенте, нужно установить расширение Enigmail, которое доступно в настройках Thunderbird. Если у вас ещё нет пары ключей для шифрования, вы можете создать их прямо в Enigmail. Если вы уже создали ключи через другие расширения или программы (например, Mailvelope, GPG Suite (подходит для MacOS) или Gpg4win, который подходит для Windows), их можно импортировать в Enigmail. Подробное и понятное руководство по установке Thunderbird можно найти здесь.

С помощью этих инструментов вы также можете создать свою цифровую подпись (digital signature), а также сверить подписи других отправителей. Не путайте с классической подписью, которую вы устанавливаете в обычных настройках вашего ящика. Цифровая подпись поможет понять, не подделал ли отправитель электронный адрес знакомого вам человека или организации.

Альтернативные почтовые клиенты или похожие инструменты с возможностью шифрования: Evolution, Sylpheed, Claws Mail, MailPile, OpenKeychain (доступно для Android).

 

Безопасен ли Skype, Viber и другие мессенджеры?

На днях Microsoft наконец-то добавил в Skype безопасное шифрование end-to-end, или сквозное. Новость хороша тем, что теперь сообщения отправляются от адресата к получателю минуя сервера, которые можно взломать. Эта функция называется Private Conversations и введена она была в партнёрстве с мобильным мессенджером Signal.

Бессмертный Skype, который до сих пор остаётся одной из самых популярных площадок для обмена сообщения и звонками, и раньше использовал шифрование, но не end-to-end. Но даже несмотря на новую безопасную функцию тайных разговоров, сам Skype — это программа з закрытым кодом, а это значит, что мы не можем проверить, каким образом разработчики гарантируют защиту коммуникаций. Например, некоторое время назад в Китае переписку в локальной версии TOM-Skype можно было отслеживать и фильтровать.

Signal — один из самых безопасных мессенджеров по версии Эдварда Сноудена. Это мобильное приложение использует шифрование вида end-to-end и является бесплатным проектом с открытым кодом (open source). Мессенджер имеет также десктопную версию и такую функцию, как исчезающие сообщения (например, сразу же после прочтения). Протоколом Signal пользуются, кстати, WhatsApp, Facebook Messenger и Google Allo. Два последних мессенджера, правда, не добавляют функцию шифрования по умолчанию, но в опциях она доступна.

Популярный в Беларуси Viber также использует полноценное сквозное шифрование, которое отличается от того, что использует Signal. Разработчики белорусско-израильского мессенджера говорят, что написали эту реализацию алгоритма с нуля.

В популярном в России Telegram сквозное шифрование используется только в тайных разговорах (secret chats). Ваша обычная переписка не шифруется по умолчанию.

Wireopen source альтернатива для Skype и других программ. Все ваши чаты, видео и аудиоконференции, звонки и файлы будут защищены end-to-end шифрованием. Вы также можете создать несколько аккаунтов в одной аппликации. Например, рабочий и личный. Исходный код Wire доступен на GitHub, где каждый может его проверить, модифицировать или улучшить.

Хорошим вариантом может быть также Jitsi, ещё один проект с открытым кодом. Плюсом этих мессенджеров является то, что вы не обязаны регистрировать в программе свой телефонный номер, по которому вас можно идентифицировать.

Отличием проекта с открытым кодом (open source) от программы с закрытым кодом: пользователь может проверить, нет ли лазеек, ошибок и проблем с безопасностью. Во втором случае приходится верить разработчикам на слово.

Ещё несколько советов для защиты вашей онлайн-переписки:

  • Помните, что не все прикреплённые файлы и ссылки стоит открывать. Особенно если это письма и сообщения от незнакомых людей или организаций. Даже если это файлы Word, архивы или картинки. Ваш отправитель может маскироваться под легальную организацию или человека, которого вы знаете. Вряд ли этот пресс-релиз настолько важен, что вы хотите рисковать безопасностью вашего компьютера.

  • Если вы всё же считаете, что в прикреплённом файле может быть нужная информация, это легко проверить. Сообщите отправителю, что файл поврежден и попросите переслать его обычным вклеенным текстом в письме. Если это большой файл, его также можно опубликовать на диске Google и прислать вам ссылку. Если у вашего отправителя нет намерений заразить ваш компьютер вирусом или выудить полезную информацию (phishing), он, скорее всего, пойдёт вам навстречу.

  • Старайтесь не заполнять анкет через email или делиться вашими персональными данными с людьми, которым вы не доверяете, даже если вам обещают крупный выигрыш или поездку на конференцию.

  • Создавая почтовый ящик, вы можете указать ненастоящие имя и фамилию, а также придумать адрес email, который не позволит вас идентифицировать.

  • Ваш почтовый провайдер может использовать спам-фильтры, которые могут удалять или блокировать нужные письма. Проверьте, есть ли у вашей электронной почты внешние "чёрные списки" и можно ли их отключить. Старайтесь не использовать ключевых слов, которые могут быть отфильтрованы (например, "права человека", "свобода слова").

  • Помните, что обычная почта, городской телефон и мобильная связь также не могут обеспечить безопасность, если вы находитесь под пристальным вниманием. SMS-сообщения особенно легко перехватываются, а по вашему мобильному телефону можно проследить ваше передвижение. Если вы подозреваете, что за вами установили слежку, вы можете посылать сообщения через кодовые слова, придумать, как не называть настоящих мест, названий или имён, а также раздобыть sim-карту, зарегистрированную не на ваше имя.

  • Если это возможно, не подключайтесь к публичному (открытому) Wi-Fi. Пароли, банковские данные или вашу переписку легко получить.

  • И ещё раз: старайтесь заходить на сайты только с использованием защищённого протокола (https://), где буква "s" в адресной строке вашего браузера говорит о том, что соединение безопасно. Если её нет, все ваши пароли могут оказаться в открытом доступе для тех, кто захочет их получить.

  • Шифрование и коммуникация через безопасные мессенджеры работает только тогда, когда их используют обе стороны. Ваша безопасность зависит не только от вас, поэтому уговаривайте, объясняйте и ставьте ультиматумы.

  • Советы по информационной безопасности также устаревают, потому что появляются новые инструменты слежки и защиты от слежки. Но шифрование — это один из самых верных, надёжных и доступных нам инструментов, который защищает нашу коммуникацию.

Зачем нам всё это? Потому что мы закрываем двери на замок, вешаем шторы на окнах, не публикуем свои паспортные данные, пароли и пин-код от банковской карточки. Мы считаем нормальным и разумным защитить себя и своих близких, а также заботимся о своей приватности и праве на частную жизнь. Безопасность нашей коммуникации и каналов связи — это тоже защита нашей личной или конфиденциальной информации, нашей анонимности, а иногда и свободы.

Ілюстрацыі: pixabay.com, tut.by, Уладзь Грыдзін, "Радыё Свабода"

(НЕ) снимай меня, фотограф! Какие данные нельзя публиковать без согласия

Нельзя себя обезопасить, но риск можно минимизировать — о чем нужно знать журналисту-расследователю

Як пісаць пра судовыя справы: рыхтуйцеся і шукайце новыя павароты. Парады Адар'і Гуштын