Армия

Как защитить себя от слежки в интернете и вторжения в личные данные?


«РосКомСвобода» запустила проект «SAFE» — чтобы пользователи интернета могли защитить личные данные и переписку. Обсудили с экспертом киберугрозы, существующие в России.
Эксперт: Станислав Шакиров — технический директор организации «РосКомСвобода».

*Техническая расшифровка эфира

Валентина Ивакина: Здравствуйте, уважаемые радиослушатели. Это программа «Zoom» на радио СОЛЬ, у микрофона Валентина Ивакина. И в рамках этого эфира мы с вами будем искать ответ на вопрос, как защитить себя от слежки в интернете и вторжения в личные данные. В рамках эфира мы будем беседовать со Станиславом Шакировым, техническим директором организации «РосКомСвобода». Станислав, здравствуйте!

Станислав Шакиров: Здравствуйте!

В.И.: Для начала нужно сказать, что ваша организация, специалисты «РосКомСвободы» запускают новый проект под названием «SAFE», который позволит пользователям Сети получить полезные знания, и эти знания при применении позволят пользователям интернета обезопасить себя от взломов или каких-либо других неприятных ситуаций. Можете рассказать, что это за проект, подробнее?

С.Ш.: Да, так и есть, запустились мы вчера. Проект направлен на самообразование наших граждан и повествует о средствах самозащиты от слежки, нежелательного вторжения в профессиональные данные, частную переписку, в любые личные коммуникации. На самом деле, достаточно трудоемкий процесс, потому что в интернете очень много инструкций, которые написаны гиками для гиков, либо англоязычных материалов. А на русском языке подробно, со скриншотами, которые доступны абсолютно всем нашим гражданам, таких материалов почти нету. Плюс ко всему, эти материалы, весь софт меняется, мессенджеры меняются, программы, которые шифруют почту, меняются, и нужно постоянно актуализировать эту информацию, чтобы в каждый этап времени все инструкции, которые там предложены, были релевантны тому, что есть в этом софте. И достаточно трудоемкий процесс — отслеживать все эти изменения, вносить изменения в энциклопедии и так далее. Поэтому достаточно большая работа и была проведена, и предстоит еще провести для актуализации информации.

В.И.: Правильно я понимаю, что вы будете собирать самую последнюю информацию и ту информацию, которая существует на данный момент, как-то доступным языком ее излагать, чтобы любой среднестатистический пользователь Сети, выйдя на страничку проекта «SAFE» в интернете, смог понять, что же ему делать, чтобы обезопасить себя в Сети?

С.Ш.: Да, так и есть.

В.И.: Насколько это сложная работа? Потому что, вот честно, любые аналогичные проекты, когда выходишь и зачитываешь инструкцию, то порой после прочтения ничего в голове не откладывается, если ты не разбираешься в терминологии и в принципе не имеешь с этим дело, то очень сложно понять, что же нужно делать. Как вы будете добиваться этой простоты изложения?

С.Ш.: Здесь у наших редакторов большой опыт работы, десятки лет обучения различных гражданских активистов, не имеющих никакого представления о компьютерах в области информационной безопасности. Поэтому уже накоплен достаточно большой багаж, как людям, не имеющим никакого отношения к IT, объяснять такие базовые вещи, как настройка шифрования и так далее. Здесь будем просто опытом брать.

В.И.: Почему решили запустить такой проект именно сейчас? Это как-то связано с ситуацией в стране, с последними событиями или не имеет отношения к тому, что происходит вокруг?

С.Ш.: В любом случае, подобные идеи возникают не на пустом месте. Конечно, она возникла, просто видя то, что в России происходит в законодательном процессе относительно интернета. И закон Яровой стал, в общем-то, последней каплей, которая показала, что да, пора делать.

В.И.: Можете перечислить те события, которые послужили «пинком» для того, чтобы проект «SAFE» был создан?

С.Ш.: Это, во-первых, то, что в 2012 году был принят закон о возможности блокировки сайтов. Дальше взбудоражили весь мир «сливы» Сноудена о том, как нас прослушивают.

В.И.: Связь у нас немного прерывается. Мы говорим о новом проекте «РосКомСвобода», который называется «SAFE», что в переводе значит «защищенный». Этот проект должен будет позволить пользователям интернета защитить себя от слежки, от вторжения хакеров, от кибератак. Зачитаю комментарий Сергея Смирнова, специалиста по информационной безопасности «РосКомСвободы»: «Наша конкретная задача — увеличение количества полезной, практической информации о том, как защитить себя в современном „цифровом мире“. Цель — повышение уважения в обществе к базовым правам человека, таким, как неприкосновенность частной жизни, свобода слова, свобода убеждений. Попробуйте эти инструменты, научитесь ими пользоваться, и ваша жизнь в цифровом мире станет безопаснее».

Станислав снова на связи. Станислав, а есть ли необходимость среднестатистическому пользователю интернета читать инструкции, которые будут выложены на проекте «SAFE»? Есть ли в этом необходимость?

С.Ш.: Здесь, наверное, вопрос из плоскости: если я ничего не нарушаю, чего мне бояться? Естественно, да, потому что такой подход, в общем-то, ведет к тому, что если мы разрешаем государству или криминальным структурам как-то следить за нами, потому что мы ничего не нарушаем, в конечном итоге все это заканчивается не самым приятным построением общества. Давая возможность следить за всеми гражданами, мы лишаемся возможности в принципе какой-то политической конкуренции в будущем, мы лишаемся возможности противостоять какому-то криминалу в будущем, который может сращиваться с какими-то правоохранительными структурами и т. д. Этот принцип о том, что мне нечего скрывать, потому что я законопослушный, это действительно так, скрывать-то ничего, но скрывать свою переписку принципиально надо, чтобы базовые права человека соблюдались и чтобы, рано или поздно, если ваша жена кому-то понравилась, и вы стали кому-то неугодны, нельзя было нажать на кнопку и вас просто отключить от этого мира, сделать с вами все, что угодно. Поэтому, в любом случае, мы все не нарушаем закон, но при этом мы все шифруются, просто для того, чтобы это было.

В.И.: Чуть раньше я вам задала вопрос, какие были предпосылки для создания проект «SAFE». Вы успели обозначить два пункта. Можете продолжить?

С.Ш.: Первый пункт был — закон о блокировке сайтов в России. Мы сделали уже проект достаточно быстро, OpenRunet, который позволял делать обзор инструментов как раз в такой пошаговой инструкции для того, как эти доступы к заблокированным сайтам восстанавливать. Второе — это «сливы» Сноудена о том, как вообще за нами следят американские спецслужбы, потому что на данный момент они следят за нами значительно больше, чем российские. И последнее, это наша отечественная инициатива о том, что давайте мы будем всех читать, закон Яровой, давайте хранить пользовательские данные, трафик, давайте смотреть трафик через DPI, то, что сейчас пытается Минкомсвязи внедрить, когда у нас весь трафик должен проходить через российские точки обмена трафиком, это значит, что они там могут что-то блокировать, не блокировать и т. д. Это закон о локализации данных в России. Понятно, что его будет достаточно сложно исполнить с целью слежки, у него цели немножечко другие — заставить крупные американские телекоммуникационные компании сесть за стол переговоров с российским государством, чтобы как-то там можно было выторговывать возможности слежки за российскими гражданами. Это заставляет задуматься о том, как бы сделать так, чтобы государство имело меньше возможности смотреть, что у нас происходит в личной жизни.

В.И.: Правильно я понимаю, что рычажков, чтобы посмотреть, из чего состоит жизнь того или иного человека, очень много? Я как среднестатистический пользователь интернета, в первую очередь, воспринимаю это как социальные сети и, допусти, электронная почта. Только электронная почта дает доступ к большому количеству ресурсов, если ее кто-то взломает. Какие еще рычаги существуют через Сеть, доступ к которым могут получить люди с не очень хорошим умыслом, просто взломав?

С.Ш.: Главное, что сейчас все пытаются ломать, это мессенджеры, потому что основное общение происходит через них. Ну, телефонные звонки, SMS, понятно, что для государства, на территории которого совершаются эти звонки и пишутся SMS, это просто решето, и они в прямом виде это могут читать и слушать. А вообще, все правильно, соцсети, почта — это, вообще говоря, метаданные. Не важен контент, который мы оставляем там, а информация, которая сопровождает этот контент: с кем, когда, сколько раз мы обменивались геоданными, — если саккумулировать метаданные все в одном месте и обработать, то узнать можно действительно достаточно много. И здесь как раз, кроме шифрования, необходимо заниматься в том числе и законодательным лоббированием, чтобы такая обработка метаданных тоже было ограничена для государства.

В.И.: Еще такая информация иногда появляется в просторах Сети, что, элементарно взломав телефон, хакер может понять, как вы перемещались по городу, по миру в последнее время. Потому что в телефоне есть геолокация, он отслеживает твои передвижения, соответственно, тебя можно выследить.

С.Ш.: Более того, если мы имеем доступ к оператору связи, то можно вычислить, не взламывая телефон, а просто по положению телефона, там с точностью до 3 метров определяется по базовым станциям, к которым он подключен. С точки зрения слежки по GSM сигналу, государственные безграничны возможности определять, где он находится.

В.И.: А кроме определения местоположения? Вы ранее сказали, что хакеры при желании могут буквально блокировать человека от мира.

С.Ш.: Да. Вопрос в том, что если мы государству даем в руки всевозможные механизмы влияние на нас, как-то: мы имеем банковские карты, банки выполняют то, что им скажет государство, мы имеем какое-нибудь медицинское страхование, мы имеем автомобиль и камеры фиксации нарушений. В случае, если какие-нибудь криминальные структуры, срощенные с государством, хотят вам как-то навредить, то им, в случае, если всё это сводится в единый центр, достаточно нажать одну кнопку, и вы не можете получить медицинские услуги, вы не можете снять деньги в банкомате, вы не можете купить какие-то товары в магазине, вы не можете проехать на автомобиле и тем более пересечь границу. Здесь понятно, что в базовом случае нарушаются права человека, разные абсолютно, свобода передвижения и так далее, не говоря уже о каких-то услугах, которые государство берет на себя, как медицинское обслуживание и так далее. Здесь мы же все считаем, что сначала суд, а потом какое-то действие. А здесь наоборот, мы говорим, что можно без суда все, что угодно делать, Вот вам все рычаги, поэтому суд не нужен.

В.И.: А вам известны такие случаи в России, в отношении кого-нибудь такие меры уже предпринимались, что нажатием одной кнопки полностью блокируются любые действия человека, будь то захочет он что-то оплатить, куда-то поехать и так далее?

С.Ш.: Нет, это же я говорю в абсолюте, то, куда наше общество стремится, и российское, и американское, зачастую европейское. Против этого как раз на законодательном уровне часто происходят некоторые дебаты, принимаются решения, что архитектура государственных IT-услуг населению строится таким образом, чтобы нельзя было нажать эту кнопку и все это отключить. В России этого просто не происходит, это тоже одна из опасностей, но она меньше технологическая, которая наш проект закроет. Вопрос в том, что это нужно было общественным организациям, гражданам лоббировать на уровне принятия законов и инструкций по применению законов.

В.И.: То есть у этого проекта возможно еще другое развитие в законодательном плане?

С.Ш.: В любом случае, во все законодательные инициативы, которые касаются регулирования IT-рынка либо цифровых продаж, мы лазим. Раньше довести глас общества до законодателей, потому что сейчас практически всегда этот голос не слышат, и в обсуждении участвует государство, с одной стороны, и бизнес, в лучшем случае, с другой. А общество не представлено нигде.

В.И.: Вы же сможете в нашем эфире озвучить небольшую инструкцию для пользователей интернета, которые, может, впервые услышали о том, что можно как-то в этом смысле себя обезопасить в интернете и что это необходимо делать? Какие существую элементарные правила?

С.Ш.: Я не цитирую проект «SAFE», туда лучше зайти и прочитать и по шагам эту инструкцию выполнить. Первое правило — что нужно потихонечку отказываться от звонков и SMS, которые мы делаем через телефон. Уже существуют мессенджеры очень давно, переписка в них и звонки через них — это намного более безопасно, чем звонки по телефону и SMS, более того, дешевле, сейчас все тарифы мобильных операторов включают уже бесплатный интернет в каком-то объеме. Это можно говорить всем: SMS и звонки не надо использовать. Сейчас мы общаемся по телефону, потому что мы в прямом эфире, нас и так слышат. Дальше электронная почта. Первое базовое правило, которое надо понимать, — нужно оценивать юрисдикцию, в которой вы находитесь и в которой находятся сервисы, которые вы используете. Если вы находитесь в России и используете российские сервисы, значит, вы уязвимы перед Российским государством и криминальными структурами. Если вы находитесь в Америке и используете американские сервисы, вы уязвимы перед американскими спецслужбами. Поэтому нужно оценивать, какие страны имеют влияние на какие сервисы, и исходя из этого, их использовать. Понятно, что в России в случае почты лучше использовать не российские сервисы, потому что в российские сервисы приходят запросы, без решения суда ваша переписка уходит. Здесь базовое правило — смотреть на юрисдикцию. Когда вы используете компьютер, если вы понимаете, что в случае компрометации информация, которая находится на компьютере, может вам как-то навредить, то нужно ставить блокировку, шифрование всего жесткого диска. Благо, сейчас это сделать несложно. В MacBook это делается нажатием одной кнопки, включение в Firewall в настройках безопасности. В Windows есть BitLocker или VeraCrypt, это сторонний софт, который можно поставить. VeraCrypt мы уже описали на нашем проекте.

В.И.: Это позволит тем, кто взламывает ваш компьютер, не получить те данные, которые в нем находятся, правильно я понимаю?

С.Ш.: Это не позволит взломать ваш компьютер. В случае даже физического доступа к компьютеру они никогда его не откроют и не посмотрят, что внутри. То, что мы говорим гражданским активистам, которые занимаются какой-то достаточно тонкой работой, за которой может охотиться представитель государственной власти, что в этом случае вам просто нужно закрыть крышку ноутбука, на этом все. Если вы успели закрыть крышку ноутбука, пока к вам бежали, то в этом случае никакие ваши данные уже не будут восстановлены. В принципе, то же самое можно сделать и с телефоном, потому что телефоны достаточно сложновзламываемые. Единственное, что Android более уязвим для вирусов. Поэтому продукция Apple считается более защищенной. Там можно, во-первых, заранее активировать функцию поиска устройства, во-вторых, настроить возможность удаленной очистки телефона, это через интернет можно сделать. Если вы — гражданский активист, у вас могут изъять телефон, не забывайте протирать телефон, когда кладете его в карман или куда-то, потому что обычно графические ключи и пинкоды просто на экране видны по следу жира от пальца на экране. С точки зрения мессенджеров, WhatsApp, который все используют, в целом WhatsApp в случае России нормально. Но есть более защищенные мессенджеры, которые не менее удобны. Это Signal, который как раз Эдвард Сноуден тоже считает самым защищенным. Использовать Skype недопустимо, как и продукцию компании Microsoft, тоже очень аккуратно нужно использовать.

В.И.: А Telegram, Viber, такие мессенджеры?

С.Ш.: Viber взламывали уже, насколько я помню, были прецеденты, когда полиция приносила в суд данные из Viber без изъятия телефона у человека. Viber я не готов назвать сейчас защищенным месенджером для России. Telegram пока себя не скомпрометировал, Telegram, по-моему, использовать можно. Единственное, надо понимать, что в случае, если вы хотите совсем конфиденциальную переписку вести, то лучше в Telegram делать секретный чат, потому что в этом случае происходит шифрование не на сервере, как в случае обычной переписки, а напрямую между двумя пользователями, между вами и вашим собеседником. В этом случае даже при злом умысле Павла Дурова он не сможет вас прочитать.

В.И.: Потому что ему нужно будет иметь на руках два телефона, два источника информации, между которыми ведется переписка, правильно я понимаю?

С.Ш.: Ну, хотя бы один. Facebook-мессенджер тоже сейчас имеет такую встроенную функцию шифрования. В целом, продукция Facebook достаточно безопасна. Кроме того, что Facebook использует метаданные для настройки рекламы конкретно под вас. Обычно специалисты по информационной безопасности тоже не любят, когда метаданные используются. Но в целом продукция Facebook в России достаточно безопасна.

В.И.: Другие социальные сети, кроме Facebook, не отличаются безопасностью, правильно понимаю? Тот же самый «ВКонтакте». В июне прошлого года были сообщения, что пароли огромного количества пользователей были взломаны.

С.Ш.: Здесь скорее не к «ВКонтакте» претензии по поводу взломанных паролей. Потому что он является самой популярной соцсетью, «Одноклассники» меньше аудиторию имеют в России. «ВКонтакте» взламывается обычно фишингом, когда вам приходит письмо «вас взломали, пройдите по ссылке, чтобы активировать свой аккаунт заново». Вы не понимаете, что это письмо мошенническое, потому что не посмотрели отправителя, нажали на страницу, которая похожа на «ВКонтакте». Она визуально идентична, единственная разница, что в адресе одна буква добавлена, вы ее не заметили. Вы туда ввели свой стандартный логин и пароль, после этого вам сказали «спасибо, что хорошо», перенаправили вас на страницу «ВКонтакте». Тем самым логин и пароль ушел злоумышленнику. То есть вы на другом сайте ввели пароль от «ВКонтакте» и все. И вот таким образом уходят пароли от «Вконтакте».

В.И.: Правильно я понимаю, что аналогичный механизм может использоваться и на других ресурсах?

С.Ш.: Конечно. Я думаю, вы слышали о том, что были взломаны почти демократических партий, Хилари Клинтон и кого-то еще. Это все делается через фишинг. Нет никаких сложных способов расшифровки сообщений и т. д. Просто мы кидаем человеку письмо, которое он принимает за письмо какого-то известного ему сервиса, переходит по ссылке, вводит логин и пароль от этого сервиса — все, привет. Все это громкие взломы почты в основном сделаны таким образом. Там никакой науки особо нет. И это может быть любой сервис — как почта демократической партии, так и «ВКонтакте», Gmail, все, что угодно. Поэтому нужно просто включать двухфакторную аутентификацию. Это когда вам приходят SMS на телефон «введите код подтверждения», как это обычно в российских банках делается. Другой вид — это приложение Google Authenticator или Яндекс. Ключ, который по хитрому алгоритму вам показывает каждые 30 секунд новые цифры. Обычно два этих способа используются. И лучше это использовать, чтобы вы в меньше степени были подвержены фишингу.

Так вот, если вернуться к социальным сетям. Российские соцсети небезопасны, потому что они очень быстро и очень ответственно сливают информацию о своих пользователях различным правоохранительным органам. В России за последний год было штук 30 уголовных дел на людей, которые делают репосты по каким-то чувствительным для государства темам.

В.И.: И лайки ставят. Это все продолжается и в этом году.

С.Ш.: Да. Если вы посмотрите, там Facebook не было, только «ВКонтакте». Потому что с ним проще вести следственные действия. Facebook нужно писать, у них там 3 месяца на рассмотрение, действительно ли был суд, законное ли это требование и т. д. Без решения суда они в принципе ничего не дадут. А к нашим можно просто позвонить: «Вот этот пользователь, нам нужны данные». И наши эти данные спокойно передают. Им хватает предписания прокурора. В этом случае да, вся ваша переписка, все ваши действия, лайки и т. д., которые вы делали во «ВКонтакте» и в «Одноклассниках», они напрямую ложатся на стол тому, кому это надо. Но опять же, с запдными соцсетями достаточно просто работать американским спецслужбам, намного проще, чем нашим. Поэтому тут нужно определять, юрисдикцию, в которой вы живете.

В.И.: Вы уже несколько моментов, на которые стоит обратить внимание, обозначили. Может быть, вкратце о том, о чем не успели рассказать, что обязательно нужно иметь в виду пользователям интернета?

С.Ш.: Обязательно прочитайте на нашем сайте, как выбирать пароли, и вообще, там есть статья о принципах парольной защиты. Это одно из самых важных, то, почему многие сервисы и сайты бывают взломаны. Второе — задумайтесь на тему приобретения VPN-сервиса, который шифрует ваш трафик до какого-то сервера в другой стране, и уже вы выходите в интернет как бы с компьютера другой страны. А ваше соединение от вашего рабочего ноутбука до VPN-сервиса шифровано и недоступно ни провайдеру, ни российским спецслужбам. Вот это два момента, которые мы не успели обсудить. Они являются тоже очень важными.

В.И.: Про пароль — буквально информация вчерашнего дня, что специалисты компании Keeper выяснили, что пароль «123456» вновь стал одним из самых популярных в мире. Его используют 17% интернет-пользователей. И только в прошлом году таким образом было взломано 10 млн человек. Опять же, используют люди qwerty, qwerty1, 66666, такие элементарные пароли, про которые, казалось бы, ты должен знать, что нельзя так делать.

С.Ш.: Для этого существуют программки специальные, которые умеют генерировать сложные пароли. Нужно в голове держать только один большой сложный пароль, все остальное будет подставляться автоматически. То есть она сама хранит созданные пароли, сама их подставляет на нужные сайты, это все делается на разных устройствах, браузерах и т. д. И она шифрует это все так, что это невозможно расшифровать без вашего этого большого пароля, который вы храните у себя в голове. Больше вам ничего знать не надо. У нас это в статье написано, используйте.

В.И.: Спасибо большое, что побеседовали с нами! Сегодня экспертом у нас выступил Станислав Шакиров, технический директор организации «РосКомСвобода». Это была программа «Zoom», прощаюсь с вами. Пока-пока!

Мнение участников программы может не совпадать с мнением редакции.
Фудшеринг и фриганство

Понравилась статья? Поделись с друзьями!

comments powered by HyperComments