Як оцінити ризики для своєї цифрової безпеки: про месенджери та смартфони
Як оцінити ризики для своєї цифрової безпеки: про месенджери та смартфони
Дослідниця громадянських веб-технологій та криптографії Ксенія Єрмошина вважає: українці поки що рідко замислюються про свою цифрову безпеку. На її думку, більше дбати про захист персональних даних наші співвітчизники почнуть через кілька років.
Не плутати приватність та безпеку
«Дуже різні тенденції можна простежити в Західній та Східній Європі. Вони проходять по так званій лінії GAFA: це Google, Amazon, Facebook та Apple. Це служби, яким у Західній Європі все менше довіряють. А у Східній Європі вони є інструментами, які справді можуть дати рішення ваших проблем. Ви можете використовувати Gmail та Facebook із певною часткою впевненості, що вам принаймні завтра це не зашкодить», — розповіла пані Єрмошина під час лекції в Центрі візуальної культури.
Дослідниця звертає увагу на те, що поняття приватності (privacy) та безпеки (security) дещо відмінні. «Межі між особистими звичками та цифровою безпекою розмиті. Від накопичення різноманітних даних про користувача й до ситуації, коли йому відмовлять у медичному страхуванні, — один крок. У Європі поширена практика, коли людині відмовляють або підвищують ціну страховки, якщо “розумний” фітнес-трекер зафіксував зниження активності його власника або порушення в харчуванні. Слово “небезпека” до подібних ситуацій, мабуть, не підходить. Мова про те, наскільки ви хочете відчувати себе у “скляному будинку”, відкритим усім вітрам», — пояснює Ксенія Єрмошина.
Дослідити, який цифровий слід ви лишаєте після себе, можна за допомогою інструмента myshadow.org. Достатньо лише дотримуватися вказівок із розділу «Tracking» — так ви зрозумієте, які компанії збирають дані про вас, що це за дані та з якою метою вони можуть потім використовуватись. А ось для того, щоби подбати про безпеку (security), спершу потрібно виокремити, власне, які ризики вас підстерігають.
Безпека — питання правильних звичок
Вадим Гудима, тренер із цифрової безпеки для журналістів та активістів, радить почати зі складання списку всіх девайсів, якими ви користуєтеся: комп’ютер, ноутбук, планшет, смартфон тощо.
«Цифрова безпека — це не стільки про інструменти, скільки про практики, звички й ставлення до того, що користувач робить в інтернеті. Треба виходити з кількох базових тез: абсолютного захисту не існує; цифрова безпека — це питання того, як збільшити ціну атаки проти вас, щоби більшість потенційних супротивників цим не займалися», — вважає пан Гудима.
Тренер пояснює, що захист доцільно починати з низу догори. Тобто спершу потрібно захищатися від найдешевших способів дістатися до вашої інформації, сформулювавши реальні загрози. «Хороші новини — від порядку 90 % загроз можна захиститися звичайному користувачеві, не маючи суперспеціалізованого набору знань і технологій. Погані новини — список кроків, які необхідно здійснити для власного захисту, досить великий. Подекуди це просто набір звичок, які треба себе змусити виробити. Основна проблема — подолати розрив між, з одного боку, людьми та інструментами, які вони використовують, та, з іншого боку, між інструментами й контекстом їх використання», — розповідає Вадим Гудима.
Серед найбільш популярних пристроїв, якими володіють користувачі, — комп’ютер, лептоп, планшет, смартфон. Серед засобів комунікації — різноманітні месенджери: Viber, Telegram, Whatsapp, Hangouts. У багатьох є акаунти у Gmail, Facebook.
Яке коло ризиків для власника цих пристроїв та акаунтів? Пристрої можуть фізично забрати; отримати до них доступ, поки ви не стежите за ними; через зламані акаунти може статися витік інформації, її знищення або розповсюдження компромату.
«Загроза смартфона в тому, що ми постійно залоговані через нього в один чи два акаунти. Якщо зловмисник отримує ваш смартфон і той буде незахищеним — він отримує доступ до цих акаунтів. Через номер телефону можна отримати доступ до Telegram. Тому важливо, щоби сервіси, які прив'язані до номера телефону, були налаштовані таким чином, щоби зловмисники не могли взяти їх під контроль», — пояснює тренер. Він радить встановлювати паролі на пристрої — вони не зупинять зловмисників, але можуть їх затримати. Крім того використовувати повнодискове шифрування. Цей процес за певним алгоритмом перетворить усі дані на невпізнавані. Перед початком роботи система буде запитувати в користувача пароль. Для Windows є система шифрування BitLocker, для Linux — LUKS або VeraCrypt, для MacBook- FileVault. На пристроях Apple воно встановлене за замовчуванням.
«Хакери або ваші супротивники — ліниві й економлять гроші. Вони намагатимуться дістатися до ваших даних простим та економним способом. Тому треба починати від найпростішого, найбільш імовірного», — зазначає Вадим Гудима. Один із таких дешевих способів — спробувати підібрати пароль до акаунта, базуючись на інформації з витоків даних великих мереж. Мережа LinkedIn зазнала хакерської атаки в 2012 році. Тоді в мережу, за різними оцінками, потрапило близько 117 млн паролів. «Якщо ви не змінювали пароль або використовуєте один і той самий пароль до кількох акаунтів, це простий спосіб зламати їх, не докладаючи великих зусиль. Тому також важливо налаштовувати, де можливо, двофакторну аутентифікацію. Так доступ до акаунта користувача контролюється за допомогою кількох етапів перевірки, а їх вже складніше оминути».
Оцінюємо месенджери
У першу чергу треба звернути увагу, де розташовані сервери компанії, як шифрується комунікація, яка практика в цій компанії щодо розкриття інформації. Наприклад, Facebook Messenger належить Facebook, у ньому наскрізне шифрування не встановлено за замовчуванням. Hangouts належить Google, у ньому цього шифрування немає.
Тобто, ці компанії знають про ваші комунікації. У разі, якщо правоохоронні органи зацікавляться ними, вони можуть надіслати запит на розкриття даних. Але скільки реальних випадків ми знаємо? У 2015 році українські правоохоронцізапросили у Google розкриття даних дев'ятьох користувачів. У Facebook за період із липня 2015 року по грудень 2015-го було теж дев'ять запитів із України. Процедура запиту та його обґрунтування доволі довга. «До того ж є сумніви, що компанії стануть розкривати дані, наприклад, щодо журналіста правоохоронним органам. Їм дуже довго доведеться пояснювати, який їх інтерес. Якщо оцінювати, то тут простіше просто відібрати пристрій або найняти того, хто зламає акаунт», — порівнює ризики тренер Вадим Гудима.
Месенджер Whatsapp використовує той тип шифрування, коли він лише фіксує, коли і з ким ви спілкувалися, але не знає змісту повідомлень (так зване наскрізне шифрування). Міжнародна правозахисна організація Amnesty International назвала WhatsApp та Facebook Messenger найбільш захищеними месенджерами.
Сервери месенджера Telegram розташовані у п'ятьох різних країнах. Точно відомо про три дата-центри в Лондоні, Сингапурі та Сан-Франциско. Але цей месенджер не шифрує повідомлень і таким чином має дані про зміст листування. І якщо компанії доведуть, що користувач, наприклад, поширював дитячу порнографію або влада країни, в якій розташовані сервери, вирішить їх вилучити, листування можуть відкрити. Хоча ймовірність цього дуже мала. Також при крадіжці телефона, через номер мобільного можна отримати доступ до Telegram — номер використовується як логін, а одноразовий пароль для входу щоразу приходить через SMS.
У месенджера Viber є сервери в Ізраїлі, Білорусі, Росії. Також відомо, що шифрування Viber не захищає листування від самої компанії. Тому для чутливої комунікації цей месенджер краще не використовувати. Також не варто надто довіряти Skype, що належить Microsoft. У цій програмі не використовується наскрізне шифрування, а організація Amnesty International звертає увагу на те, що Microsoftвідкриває дані щодо листування користувачів на запити уряду.
Месенджер Signal захищає дані про листування користувачів трохи краще, ніж WhatsApp, до того ж належить незалежній компанії Open Whisper Systems. Але тут присутній той розрив між людьми та інструментами, які вони використовують: якщо більшість ваших колег та друзів користуються Facebook Messenger, буде складно переманити їх на іншу платформу комунікації.
Що робити в підсумку?
- Встановлювати паролі на своїх пристроях (смартфон, комп’ютер, тощо).
- Не залишати пристроїв без нагляду.
- Використовувати криптостійкі паролі.
- Використовувати повнодискове шифрування.
- Встановлювати унікальні паролі для кожного акаунту.
- Налаштувати двофакторну аутентифікацію.
- Зважати, яким ви месенджером користуєтеся для чутливого листування.
- Використовувати антивіруси, регулярно проводити перевірку пристроїв на наявність вірусів.
- Використовувати ліцензійне програмне забезпечення, оновлювати його до останніх версій.
- Не завантажувати файлів із незнайомих джерел.