Конфиденциальность в сети интернет (руководство для журналистов и не только)

[MaryB]

Конфиденциальность в сети Интернет для журналистов.

1. Введение

Что нужно сделать, чтобы надежно обезопасить рабочие материалы и источники журналиста? В общих чертах можно распределить советы по следующим категориям:

1. Защита приложений и функций устройства — Эта тактика известна как уменьшение “поверхности атаки”. По сути, это ограничение числа установленных приложений до необходимого минимума, загрузка приложений только из надежных источников, выбор приложений, которые требуют меньше прав, поддержка системы в работоспособном и обновленном состоянии, а также наличие как можно меньшего количества систем безопасности (исходя из самых актуальных экспертных заключений, конечно же) на устройстве.

2. Изоляция своих устройств и/или среды, в которой они функционируют — Например, физическая изоляция компьютера с целью работы над документами или использование предоплаченных мобильных устройств.

3. Осмотрительное поведение как в виртуальном, так и в реальном мире — Этот раздел относится не столько к программному обеспечению, сколько к здравому смыслу. Например, никогда не записывайте имя источника, особенно в приложениях или документах, которые установлены или хранятся на вашем компьютере, и уж тем более нельзя делать этого в файлах, которые хранятся в облаке.

2. Коммуникация с источником и защита конфиденциальной информации

Начнем со списка действий, которые можно выполнить, когда вы общаетесь с источником и фиксируете конфиденциальную информацию, полученную от него:

1. Не доверяйте программным продуктам крупных компаний: Всегда исходите из того, что в шифровальных системах крупных компаний и, возможно, даже в самых популярных операционных системах (в проприетарном ПО, иначе говоря) есть лазейки, через которые в них могут проникнуть секретные службы стран-производителей (как минимум, США и Великобритании). Брюс Шнайер, эксперт в области безопасности, поясняет эту мысль здесь.

2. Всегда шифруйте любые данные: Эксперты по безопасности прибегают к простейшей математике, чтобы донести до нас свою мысль: как только вы повышаете стоимость расшифровки своего файла (к примеру, для спецслужб, таких как АНБ), вы автоматически увеличиваете усилия, потраченные на слежку за собой. Если вы не являетесь при этом Челси Мэннинг, Джулианом Ассанжем или Эдвардом Сноуденом и не находитесь в зоне активного наблюдения где-то поблизости от апартаментов Трамп-тауэр, возможно, на вас махнут рукой, даже если вы храните зашифрованные файлы.

3. Выполняйте полное шифрование дисков: Это нужно делать на тот случай, если ваш компьютер или телефон попадет к третьим лицам. Полностью зашифровать данные на диске можно с помощью FileVault, VeraCrypt или BitLocker. Если вы оставляете компьютер в спящем режиме, а не выключаете его или не переводите в режим гибернации, злоумышленник может легко обойти защиту. Здесь вы найдете подробные инструкции от Мики Ли о том, как зашифровать свой ноутбук.

4. Избегайте общения с источниками по телефону: Все телефонные компании хранят данные, связанные с номерами телефона звонящего и принимающего звонок, а также данные о местоположении устройств на момент совершения звонка. В США и ряде других стран такие компании по закону обязаны предоставлять информацию о зарегистрированных звонках своей сети. Что можно сделать в этом случае? Вам следует пользоваться безопасными приложениями для голосового общения – например, приложением Signal, которое неоднократно тестировалось на предмет безопасности. Хоть это и означает, что и вам, и вашему источнику нужно будет загрузить и установить приложение, но процесс занимает всего несколько минут.

5. Отдавайте предпочтение защищенным мессенджерам: Ваши звонки (как по сотовому, так и по стационарному телефону) могут отслеживаться правоохранительными структурами, и каждое SMS-сообщение подобно почтовой открытке, т.е. любой текст полностью видим для тех, кто перехватит его. Поэтому пользуйтесь такими мессенджерами, при помощи которых можно совершить прямой вызов абонента: Signal, который уже упоминался выше, и Telegram считаются самыми безопасными (хотя веб-приложения Telegram и WhatsApp ранее были взломаны, но затем эти уязвимости закрыли). Некоторые эксперты также утверждают, что в этих целях можно пользоваться SMSSecure, Threema и даже Whatsapp. Вообще-то говоря, протокол Signal уже внедрен в WhatsApp, Facebook Messenger и Google Allo, поэтому разговоры, осуществляемые при помощи этих сервисов, шифруются. Тем не менее, в отличие от Signal и WhatsApp, Google Allo и Facebook Messenger не шифруют данные по умолчанию и даже не уведомляют пользователей, что изначально разговоры не шифруются, хотя в дополнительном режиме можно настроить межабонентское шифрование. Вы также должны иметь в виду, что оба мессенджера (Facebook и WhatsApp) принадлежат Facebook. Adium и Pidgin – два наиболее популярных клиента мгновенного обмена сообщениями для Mac и Windows, которые поддерживают протокол шифрования OTR (Off the Record) и Tor – самый лучший зашифрованный браузер в сети, к которому мы еще вернемся позже (посмотрите, как подключить Tor к Adium здесь, а к Pidgin – здесь). Естественно, вы можете пользоваться непосредственно Tor Messenger, который, вероятно, является самым безопасным из всех.

6. Не пользуйтесь чатами организаций: Не заходите в Slack, Campfire, Skype и Google Hangouts для ведения конфиденциальных переговоров. Эти сервисы легко взломать, и они обязаны предоставлять частную информацию по требованию суда или для разрешения юридических вопросов на рабочем месте. Следовательно, лучше избегать их, и не только когда дело касается общения с источником, но и во время общения с коллегами, редакторами и т.д., когда вам нужно передать информацию, полученную от источника, чья личность должна оставаться тайной. Во многих популярных VoIP-сервисах (например, в Jitsi) есть встроенные функции чата, а в нескольких из них даже есть большинство тех же функций, что и у Skype, поэтому они могут стать отличной заменой.

7. В крайних случаях попробуйте воспользоваться Blackphone: Этот телефон, разработчики которого стремятся обеспечить непробиваемую защиту во время работы в сети, совершения звонков, отправки текстовых сообщений и электронных писем, является, вероятно, наилучшей заменой обычному телефону, если вы собираетесь свергнуть правительство или готовите публикацию секретных военных сведений. Пуленепробиваемый жилет тоже может пригодиться. Как вариант, постарайтесь обойтись без мобильного телефона, либо возьмите на вооружение блокирующий сигнал чехол для сотового, работающий по технологии RFID. Всегда остается вероятность, что даже криптофон можно отследить по его номеру IMEI (международному идентификатору мобильного устройства).

8. Защищайте данные на своем компьютере: Очень просто взломать обычные пароли, а вот на взлом кодовых фраз (случайных комбинаций слов) можно потратить годы. Мы рекомендуем воспользоваться безопасными системами управления паролями, такими как LastPass, 1Password и KeePassX. Вам нужно будет запомнить только один пароль вместо нескольких. И все же, когда вы работаете с важными сервисами (к примеру, вашей электронной почтой), не полагайтесь на диспетчеры паролей, а просто хорошенько запомните пароль. В интервью Аластейру Райду для издания journalism.co.uk Арьен Кампхёйс, эксперт по информационной безопасности, посоветовал для шифрования жестких дисков, защиты электронных писем и блокировки ноутбуков подбирать пароль, состоящий из более чем 20 символов. Чем длиннее пароль, тем сложнее его взломать… и запомнить. Поэтому эксперт рекомендует использование для этих целей кодовых фраз. «Это может быть что угодно, например, строка из вашего любимого стихотворения, – говорит Кампхёйс, – или строка, написанная вами в девятилетнем возрасте, о которой никто не знает». Райд выразил эту мысль наглядно, прибегнув к подсчетам с помощью вычислителя надежности пароля компании Gibson Research Corporation: пароль типа «F53r2GZlYT97uWB0DDQGZn3j2e», сгенерированный случайным образом, кажется очень надежным, и не зря, поскольку понадобится 1,29 сотен миллиардов триллионов столетий, чтобы перебрать все возможные комбинации, даже учитывая, что вычислительная техника проверяет сто триллионов комбинаций в секунду.

9. Двухфакторная аутентификация: Это тоже неплохая идея. Используя обычную двухступенчатую аутентификацию, вы входите в систему при помощи своего пароля и получаете второй код подтверждения, обычно в текстовом сообщении, на свой смартфон. Вы можете использовать ключи Yubikey или аппаратный ключ безопасности, чтобы обеспечить еще более надежную защиту конфиденциальных файлов на своем компьютере. Чтобы узнать больше, прочитайте 7 золотых правил защиты с помощью паролей.

10. Пусть у вас будет отдельный компьютер, на котором вы будете проверять подозрительные файлы и вложения: Самый простой способ распространять вредоносное и шпионское ПО – устанавливать его через USB-устройства или вложения и ссылки в электронных письмах. Поэтому рекомендуется использовать какой-то один физически защищенный компьютер, чтобы просматривать подобные потенциально опасные файлы в режиме карантина. С таким компьютером вы свободно сможете пользоваться USB-устройствами и загружать файлы из Интернет, но не передавайте эти файлы на ваш рабочий компьютер и не используйте на нем эти USB-накопители/устройства.

11. Как приобрести защищенный компьютер: Эксперт по безопасности Арьен Кампхёйс советует купить IBM ThinkPad X60 или X61, выпущенный до 2009 года. Это единственные более-менее современные модели ноутбуков с достаточно современным ПО, где можно заменять низкоуровневые программы. Другой совет, который стоит принять во внимание – не покупайте компьютер через Интернет, поскольку его могут перехватить во время доставки. Кампхёйс советует покупать ноутбук в магазине подержанных товаров за наличные. Он также настаивает на том, что нужно убрать из ноутбука все средства связи с другими устройствами: Ethernet, модем, модули Wi-Fi и Bluetooth. Лично я знаю экспертов по безопасности, которые и таким компьютерам не доверяют.

12. Проведите ликбез источникам: Всегда есть вероятность того, что к тому времени, как вы получите эксклюзивную и ценную информацию, будет уже слишком поздно. Ваш источник мог сделать какую угодно ошибку и оставить за собой хвост улик. Вы должны не только защитить имеющиеся у вас на руках данные, но и приложить все усилия, чтобы научить источники прятать их: безопасно хранить информацию, безопасно общаться при помощи защищенных устройств. Большинство людей вообще не имеют ни малейшего представления о том, как обращаться с конфиденциальной информацией. Пытаясь связаться с вами, мало кто из источников будет иметь четкое представление о том, с чем они вообще столкнулись.

13. Пользуйтесь защищенной выделенной системой для передачи документов: Замените Dropbox или Google Drive на что-то менее популярное и более безопасное. Например, SecureDrop – это выделенная система, в которой вы можете получать сообщения от анонимных источников, а также безопасно просматривать и сканировать эти файлы. Эдвард Сноуден отзывался о Dropbox как о «враге конфиденциальности» и советовал вместо этого сервиса использовать Spideroak. OnionShare — еще один бесплатный сервис, где можно просто и анонимно передавать файлы.

14. Никаких заметок! Не фиксируйте имена источников, их инициалы, номера телефонов, адреса электронной почты и имена пользователей в мессенджерах ни на ноутбуке, ни в календарях, ни в списке контактов своего мобильного телефона, и уж тем более – в компьютере или облачном хранилище. Просто никогда так не делайте.

15. Визуальное слежение: По пути на конфиденциальные встречи не пользуйтесь общественным транспортом, своему источнику посоветуйте сделать так же. Не встречайтесь, к примеру, в современных торгово-развлекательных центрах, где за вами повсюду следят камеры.

16. Как не попасть в социальные сети? Некоторые люди предпочитают подходить к вопросу анонимности радикально. Если по какой-то причине вам нужно исчезнуть с лица земли, не оставив при этом в каждой из возможных социальных сетей чересчур подробный профиль, полностью и безвозвратно удалите свои учетные записи. Это не то же самое, что «деактивировать» их, потому что в этом случае вся информация сохраняется, а сам профиль можно заново активировать.

17. Заведите несколько друзей-хакеров: Это поможет вам не совершить фатальных ошибок, сбережет ваше время и нервы, а еще вы всегда будете в курсе новинок технологической гонки вооружений.

18. Способы оплаты: Всегда и везде платите наличными; подумайте, а не перейти ли вам на биткойны? Их нужно покупать анонимно (для этого воспользуйтесь вот этим руководством на Business Insider), и если кто-то готов будет принять их, воспользуйтесь платежной системой Darkcoin. Предоплаченная банковская карта, полученная через онлайн-магазин, тоже вполне себе вариант.

19. Делая пометки на бумаге, будьте благоразумны: Если вы набросали какую-то информацию на клочке бумаги (в доисторическую эпоху наши предки называли это «заметка»), уничтожьте ее. И не забудьте про тот бумажный замятыш на самом дне своего кармана. Да, тот, который к жвачке прилип.

3. Как сохранить анонимность в Интернет?

Помимо того, что вы обезопасите общение со своим источником и закроете уязвимости, чтобы не допустить кражи конфиденциальной информации, которой владеете, вы также должны быть начеку, чтобы вас не отследили во время работы с веб-сайтами. История запросов может раскрыть или дать намеки на тему, над которой вы работаете, или, что еще хуже, намекнуть на личность вашего источника, а то и полностью ее раскрыть. Вот золотые правила безопасной работы в Интернет, а в следующей главе я расскажу, как защитить свою учетную запись электронной почты:

1. Работа в Интернет в режиме инкогнито
2. Пользуйтесь альтернативными интернет-браузерами
3. TOR
4. Альтернативные поисковые системы
5. Прямая обработка кратковременной памяти компьютера
6. Избегайте веб-хранилищ HTML
7. Работайте с VPN
8. Устраняйте DNS-утечки
9. Используйте виртуальные вычислительные машины
10. Используйте прокси-сервер

4. Как защитить свою электронную почту?

Как нам лучше защитить свою электронную почту? Проблема конфиденциальности электронных писем стоит еще более остро: компании Google и Microsoft скорее всего просто выдадут ваши личные письма госорганам, если их попросят об этом. Что же с этим делать?

1. Безопасные расширения: Самое простое решение для тех, кто пользуется популярными электронными почтовыми службами типа Yahoo и Google заключается в том, чтобы установить плагин Mailvelope. При этом следует убедиться, что человек на «другом конце провода» тоже это сделал. Это расширение просто шифрует и расшифровывает электронные письма. Похожее, но менее функциональное расширение для Gmail, SecureGmail, работает аналогичным образом. Проходящие через плагин письма шифруются, и Google не может их расшифровать. Также можно воспользоваться простым расширением для Firefox — Encrypted Communication. Здесь вам понадобится придумать пароль, который будет знать получатель, но помните, что нельзя передавать пароли по электронной почте!

2. Безопасные почтовые домены: Hushmail – пример почтового сервиса, в котором уровень безопасности выше, чем у большинства популярных сетей, которыми вы пользуетесь. Тем не менее, по решению суда правительство США также может обязать этот сервис передать личные письма пользователей, а ведь еще там хранятся записи об IP-адресах! Другой почтовый сервис со схожими функциями и уровнем безопасности – это Kolab Now, который среди прочих своих преимуществ выделяется тем, что все данные хранятся исключительно в Швейцарии.

3. Одноразовые адреса электронной почты: Речь идет об электронном ящике, который создается специально для конкретной цели, он полностью анонимный и удаляется сразу же после использования. Такое решение широко применяется, когда люди регистрируются на различных сервисах и не хотят получать спам на почту, также это отлично помогает сохранить анонимность. Однако я бы не советовал журналистам общаться с источниками таким образом, поскольку безопасность при этом не на высоте. Есть десятки подобных почтовых сервисов, но британская газета The Guardian, к примеру, рекомендует пользоваться только Guerrilla Mail и Mailinator.

4. Как зашифровать свою почту? Журнал Wired опубликовал рекомендации от Мики Ли, технического специалиста по конфиденциальности, который работал с организациями EFF и First Look Media (вот его интервью с Эдвардом Сноуденом): шифрование сообщений электронной почты может быть довольно трудным делом. Зачастую пользователю нужно копировать свое сообщение и вставлять его в текстовое окно, а уж потом использовать PGP, чтобы зашифровать или расшифровать его (PGP – «Pretty Good Privacy» — программа шифрования, с помощью которой данные можно зашифровать и распознать). Вот почему Ли предлагает другой способ защиты электронных писем – сервис для работы с электронной почтой, где в приоритете конфиденциальность пользователей, например, Riseup.net, почтовое приложение Mozilla Thunderbird, плагин шифрования Enigmail и еще один плагин TorBirdy, который направляет сообщения через Tor. В интервью с Капхёйсом для journalism.co.uk Райд пишет, что Гринвальд чуть не потерял свою историю об АНБ, потому что изначально проигнорировал все инструкции Сноудена о шифровании электронных писем. Другими словами, если вы хотите написать материал, который останется в веках, разумно соблюдать правила безопасности. Кампхёйс согласен с тем, что программе PGP можно доверять. Он вместе с Райдом объясняет это так: начав работу с программой PGP, вы получите общедоступный ключ (как номер вашего телефона, который известен всем), а также секретный ключ. Общедоступный ключ можно выложить в профиле Twitter, напечатать на визитках, указывать на веб-сайтах и вообще везде, где публикуются ваши работы, а вот личный ключ необходимо хранить в безопасности, как и другую конфиденциальную информацию. Затем, когда источник захочет поделиться с вами информацией, он воспользуется вашим общедоступным ключом, чтобы зашифровать свое сообщение, а расшифровать его можно будет только при помощи вашего личного ключа безопасности. Кампхёйс также посоветовал в этой связи версию PGP с открытым кодом – GNU Privacy Guard. Эта программа проста в установке, плюс у нее активное сообщество поддержки. Чтобы узнать больше о шифровании файлов, данных и жестких дисков, почитайте его бесплатную электронную книгу, опубликованную совместно с Силки Карло и выпущенную Центром расследовательской журналистики (CIJ); в ней подробно описан весь процесс. Если же вы захотите просто зашифровать сообщение без оглядки на почтовую службу, хорошей идеей будет создать zip-архив, защищенный паролем, а в этом вам поможет программа 7ZIP.

5. Еще раз о прописных истинах: Да, я знаю, этот пункт снова касается безопасности «для начинающих», но постарайтесь не попадаться на удочку фишинга. Смотрите, чтобы в поле «От» входящего письма имя отправителя было написано абсолютно точно (без опечаток, неточностей и т.д.), поскольку кто-то может захотеть притвориться знакомым вам человеком. И последние несколько строк о шифровании электронных писем. Одна из действительно серьезных проблем, о которых нужно помнить, состоит в том, что даже после того, как вы зашифровали письмо, не все данные зашифрованы. Адреса электронной почты отправителя и получателя, тема письма, а также время и дата отправки письма, — все это остается видимым. Шифруются только само сообщение и приложения к письму.

Источник:
https://ru.vpnmentor.com/blog/конфиденциальность-в-сети-интернет-д/

[Федор]

5. Еще раз о прописных истинах: Да, я знаю, этот пункт снова касается безопасности «для начинающих», но постарайтесь не попадаться на удочку фишинга. Смотрите, чтобы в поле «От» входящего письма имя отправителя было написано абсолютно точно (без опечаток, неточностей и т.д.), поскольку кто-то может захотеть притвориться знакомым вам человеком.

Дайте мне ваш e-mail, и вы постоянно будете получать письма от Д.Трампа.

[Mendes]

Попал я как-то на сайт https://buy.fineproxy.org/home.html   на котором есть много интересных  и видов прокси, которые подобраны на одной ссылке, для новичка как раз самое то, можно все просмотреть и сверить, выбираете нужный вам по стране и доступу, просматриваете информацию, и покупаете. А дальше вам остается только работать на своем прокси и не париться вообще.