Як захиститись від цифрових загроз? Інструкція для активістів
Понад півсотні цифрових атак на українських журналістів та громадських активістів зафіксували дослідники «Лабораторії цифрової безпеки» за 9 місяців цього року. Найпоширенішими серед них були спроби фішингу та зламу облікових записів у соцмережах або пошти (іноді – успішні).
Що робити правозахисникам та громадським активістам, які мають справу із чутливими даними інших людей, або чия діяльність є ризикованою для них самих, розповідають експерти «Лабораторії цифрової безпеки» Антон Кушнір та Мар’яна Капранова.
Що вам може загрожувати? Оцінка ризиків
Ви можете втратити доступ до чутливої інформації, сторонні люди можуть отримати доступ до такої інформації з тим, щоб якось її використовувати, або, наприклад, вони можуть отримати доступ до ваших сайтів та облікових записів і робити щось від вашого імені.
Також сьогодні серед цифрових загроз для активістів варто вказувати кібербулінг та переслідування в мережі, але оскільки ця проблема є комплексною, ми зупинимось на перших трьох випадках.
Цифрові атаки можуть бути дистанційними або фізичними (якщо у зловмисника є доступ до вашого комп’ютера або інших пристроїв); таргетованими, тобто націленими особисто на вас, та нетаргетованими, які зазвичай є більш примітивними і здійснюються на багатьох людей за одним алгоритмом.
Всім цим атакам можна протидіяти, але потрібно розуміти, що роблячи щось більш захищеним, ми робимо його зазвичай менш зручним у користуванні. Тому перед запровадженням якихось безпекових практик потрібно зробити оцінку ризиків.
Для цього варто відповісти на два запитання:
наскільки погано буде, якщо щось станеться з інформацією, до якої ви маєте доступ (йдеться тільки про ваші репутаційні ризики чи, наприклад, про загрозу життю і здоров’ю людей, з якими ви працюєте, чи існуванню вашої організації або ініціативи);
наскільки ймовірним є те, що це станеться саме з вами – наприклад, якщо активіст стає фігурантом кримінальної справи, імовірність того, що у нього проведуть обшук, заберуть носії інформації або почнуть якось стежити за цим активістом, зростає.
Що таке фішинг і як йому протидіяти?
Статистично, за даними Лабораторії цифрової безпеки, найбільш поширеними проблемами, з якими стикаються активісти та журналісти, є фішинг та спроби підібрати паролі до облікових записів. Такі випадки фіксуються щомісяця по кілька разів.
Фішинг – це різновид шахрайства, під час якого намагаються насамперед «зламати» не технологію, а людину, пробують вплинути на неї, спираючись на особливості людської психіки. Технічно це виглядає так: ви отримуєте лист або інше повідомлення, де вам пропонують щось зробити – заплатити якісь кошти, ввести кудись свої паролі або клікнути на якесь посилання, і після цього зловмисник, може отримати доступ до ваших акаунтів або, наприклад, заразити ваш пристрій якимось вірусом.
А для того, щоб стимулювати вас робити те, чого хочуть зловмисники, вас лякають (що заблокують акаунт, наприклад, або навпаки – пишуть, що вже отримали доступ до вашого акаунта, і будуть розсилати всім контактам якісь чутливі дані, які у них нібито є) або щось вам обіцяють, тобто апелюють насамперед до ваших емоцій.
Наприкінці минулого і на початку цього року «Лабораторія цифрової безпеки» зафіксувала низку таргетованих фішингових атак на українські громадські ініціативи різного спрямування (принаймні чотири такі ініціативи про це повідомили).
У цьому випадку повідомлення були створені спеціально під конкретного користувача: наприклад, людині, яка поза активізмом займається театром, надходив лист від нібито реальної людини із пропозицією співпраці або спочатку людині писали у якийсь месенджер, що надішлють листа, і вже після цього надсилали на пошту фішинговий лист. У деяких випадках гіперпосилання були замасковані під фотографії, які пересилали людині. У цьому конкретному випадку, щоб знизити шанси запустити небажану програму випадково – варто відключити автовідтворення у Windows.
Загалом, єдиного шаблону виявлення і протидії фішингу, який працював би у всіх випадках, немає. Є кілька ознак, які притаманні фішингу: апелювання до емоцій (страх, сором), спонукання до дії, акцент на тому, що діяти треба терміново. Тому експерти рекомендують не поспішати, порадитись (наприклад, тут є опція зв`язатись із фахівцями "Лабораторії цифрової безпеки") та поінформувати своїх безпосередніх колег про ймовірно фішинговий лист, щоб вони теж були уважні та готові до подібного.
Як захистити обліковий запис?
Для потрібно насамперед підбирати надійні паролі (про це далі), де це можливо – налаштувати двофакторну аутентифікацію, коли для входу в обліковий запис потрібно, окрім знання паролю, мати щось іще (смартфон, на який надійде дзвінок від сервісу, додаток на смартфоні, який згенерує ще один код, токен, який треба вставити в роз’єм для флешки).
Найменш захищеним другим фактором є смс-повідомлення, бо їх можна перехопити (з цим стикались деякі українські журналісти-розслідувачі).
У випадку ж, якщо з вашим смартфоном щось станеться (він зламається або розрядиться), варто зберегти собі резервні коди відновлення.
Для відновлення доступу до акаунта, у свою чергу, варто використовувати ті поштові скриньки, які захищені двома факторами і які ви контролюєте.
Важливо також стежити за тим, щоб на пристроях, до яких може мати доступ хтось іще (робочий комп’ютер, якщо ним користується кілька людей), не залишалось відкритих сесій, коли ви припиняєте користуватись цими пристроями. Google та фейсбук мають опцію «вийти з усіх пристроїв», на яких ви зайшли в обліковий запис.
Якщо ж ви часом працюєте у якомусь публічному місці, варто налаштувати автоматичне блокування екрана через певний час або вручну його вимикати, якщо потрібно ненадовго відлучитись (комбінація клавіш Windows + L).
На заблокованому екрані смартфона можуть з’являтись сповіщення (смс, якісь повідомлення у месенджерах тощо), якими можуть скористатись зловмисники, щоб, наприклад, прочитати код із смс, яке у вас налаштоване як другий фактор аутентифікації. Це можна прибрати, зайшовши у «Налаштування» або «Параметри».
Варто також звертати увагу на додатки, які ви завантажуєте, та права, якими ви їх наділяєте. Це можуть бути програми, встановлені на ваш смартфон, або розширення у браузері. Якщо ви бачите, що до ваших облікових записів мають доступ додатки, про встановлення яких ви нічого не пам’ятаєте, варто цих додатків позбутися (у фейсбуці це можна перевірити в меню «налаштування і конфіденційність» / «Налаштування» / «Додатки та сайти»; у гуглі – в меню «Обліковий запис Google»/«Безпека»/«Додатки сторонніх розробників із доступом до облікового запису»). Якщо ви цього не бачите, то таких додатків немає.
Які паролі є надійними, і як їх зберігати, щоб не забути?
Відносно надійним вважається пароль, якщо він унікальний для кожного конкретного облікового запису, достатньо довгий (більший за 8 символів, містить букви, цифри, значки – але це захистить скоріше від автоматичного підбору паролю), а також такий, що не містить особистої інформації (імена родичів, дати народження, номер телефону – це захист від людини, яка шукає інформацію саме про вас).
Минулого року Facebook повідомив, що паролі значної кількості користувачів були доступні для співробітників цієї соцмережі і не були захищені від прочитання, а деякі західні медіа при цьому повідомляють, що ці паролі зберігалися в незахищеному форматі, починаючи з 2012 року.
Схожа ситуація також і з адресами електронної пошти (тут можна подивитись, чи фігурував ваш е-мейл у якихось зливах даних). Саме тому важливо час від часу змінювати свої паролі.
Як зберігати ці паролі, кожен користувач вирішує сам. Як варіант рекомендують використовувати парольні менеджери. Вони бувають онлайнові (як, наприклад, LastPass) і офлайнові (коли зашифроване сховище створюється безпосередньо на пристрої; приклад – KeePass). У цьому випадку всі паролі зберігає менеджер, а користувач має пам’ятати тільки один пароль – до цього застосунку, тому він має бути максимально довгим і складним.
Які месенджери є безпечними, і від чого це залежить?
Як хтось може отримати доступ до вашого діалогу в месенджері?
По-перше, зловмисник може перехопити зміст розмови, по-друге, він може залогінитись від вашого імені або від імені вашого співрозмовника, а також він може витребувати доступ у надавача такої послуги через суд (зазвичай йдеться про запити від силових структур різних держав, і деякі великі міжнародні компанії публікують звіти про те, кому вони надавали такі дані). Третій варіант, як свідчить практика «Лабораторії цифрової безпеки», для України не є характерним.
Якщо йдеться про дані, які пересилаються між користувачами, то варто звернути увагу на ті месенджери, які практикують наскрізне шифрування (це означає, що до даних у незашифрованому вигляді доступ мають тільки учасники розмови, сам месенджер їх не бачить, і на його серверах вони теж у незашифрованому вигляді не зберігаються). Це, наприклад, Wire, Signal, WhatsАpp, Telegram у секретних чатах.
Розробники Viber також стверджують, що використовують наскрізне шифрування, але вони не розкривають, яким саме протоколом шифруються дані.
Водночас WhatsАpp може пропонувати зберігати резервні копії ваших бесід у хмарному сховищі (і там вони лежатимуть у незашифрованому вигляді), а зображення і відео, які ви отримуєте через цей месенджер від співрозмовника, можуть автоматично зберігатись безпосередньо на вашому пристрої.
Як захистити свої пристрої від фізичного доступу?
Якщо є ризик, що ваш пристрій, на якому зберігаються якісь чутливі дані, вилучать на тривалий час або викрадуть, є можливість його захистити через повнодискове шифрування.
В операційній системі Windows 10 є вбудована технологія Bitlocker, яка дає змогу повністю зашифрувати диски на вашому комп’ютері, а також зовнішні носії, наприклад, флешки (тут – інструкція запуску Bitlocker). Потім ці носії можна буде розблокувати за допомогою пароля. Скинути цей пароль не можна, але можна зайти, використовуючи ключі відновлення. Утім, тут треба мати на увазі: якщо комп’ютер старий, або система налаштована некоректно, є ризик втрати даних під час спроби шифрування.
Комп’ютери із macOS мають вбудовану в операційну систему технологію шифрування FileVault (тут – більше про це).
Окрім вбудованих технологій, можна використовувати також інші (наприклад, VeraCrypt), але оскільки це не «рідна» технологія, щось може піти не так.
Водночас, «Лабораторія цифрової безпеки» пропонує використовувати цю технологію для створення криптоконтейнерів – зашифрованих сховищ певного обсягу, які можна зберігати на комп’ютері або зовні – на флешці чи десь у хмарному сховищі, не зашифровуючи весь носій. Для того, щоб відкрити сховище, треба мати у себе цю програму і знати пароль.
Більше корисних порад і новин на цю тему можна знайти на сайті «Лабораторії цифрової безпеки».