СОРМ следит за вами

Мессенджеры вместо соцсетей

Я не использую социальные сети для общения с друзьями — у меня нет друзей (шутка). У меня есть несколько аккаунтов, зарегистрированных для просмотра скрытых от гостей разделов и поиска интересующих меня людей, но публиковать все свои социальные связи нет никакого желания. С друзьями общаюсь при помощи мессенджеров. Настоящее имя для общения в Сети я никогда не использовал, в публичном пространстве Сети, вроде бы, тоже. Конечно, это не касается интернет-банков или Paypal. Для физической безопасности сегодня выгоднее быть известным и узнаваемым. Я скоро открою свое имя, но не собираюсь становиться публичной фигурой.

Как поддерживать связь со знакомыми, если вас нет в соцсетях? Элементарно: сообщаете сотням френдов, как с вами связаться, и удаляете аккаунт. Если вы кому-то нужны, пара человек с вами свяжется. Если не связался никто, то конфиденциальность в сети — не главная ваша проблема.

Мне, к сожалению, приходится пользоваться разными мессенджерами из-за выбора собеседника. Это Jabber, Gmail, Skype, Bitmessage. Все зависит от конфиденциальности данных. Рабочие моменты, если собеседник так желает, можно обсудить в Skype, для личного используется Jabber.

У меня есть простое правило, чтобы решить, какой канал использовать. Если я и мой собеседник допускаем публикацию и хранение передаваемой информации третьей стороной — подойдет любой незашифрованный канал. Если кто-то из нас этого не приемлет — используются иные способы связи. Среди тех, с кем я общаюсь, таких, как я, 3-4 человека. Не могу сказать, сколько нас в среднем, — не знаю, как считать, — но точно знаю, что таковых крайне мало.

Вообще сборная солянка разных протоколов обмена сообщениями — это головная боль для того, кто хочет какого-нибудь одного конфиденциального, простого и универсального средства для общения с друзьями. В середине 2000-х, когда дни закрытого и небезопасного протокола ICQ были сочтены, мало кто ожидал, что вместо массовой миграции на свободный, открытый и стандартизированный Jabber все рванут в черный ящик под названием Skype и неконфиденциальные социальные сети. Почти каждая социальная сеть проталкивает свой мессенджер, несовместимый с другими. Приходится лавировать.

Не делитесь личными данными

Я пользуюсь интернетом 10 лет. В самом начале о приватности переписки я не задумывался, однако в публичный доступ личные данные, фото и видео не выкладывал никогда. Я понимал, что это стакан-непроливайка: залить информацию можно, вылить нет.

Вообще меня удивляет беспечное отношение к личным данным. К тем же фотографиям в соцсетях. Хотите проверить — скопируйте прямую ссылку на изображение во Вконтакте (***.jpg), удалите его и пройдите по ссылке.

Я привык контролировать личную информацию. Публикуя ее, я теряю над ней контроль. Все, что опубликовано в Сети, может быть использовано против вас, и неизвестно через сколько лет и как.

Выражение «честному человеку скрывать нечего» — это психологический приём. Можете опубликовать номер вашей кредитки? Пароль от Facebook? Медкнижку? Выложить списки покупок? Повесить в спальне камеру и транслировать в режиме 24/7? Если вы можете всё это сделать, то вам действительно нечего скрывать. Проблема в том, что это могут сделать и без вашего участия.

Откажитесь от Skype и Gmail

Я соблюдаю не все правила интернет-гигиены — это все же удел криптоанархистов. Мои пробелы — это публичные сервисы, Skype, мобильный телефон. Смартфон, кстати, когда умер, оказался не так уж нужен. Телефоном для GSM-связи я практически не пользовался, для удаленного общения текст гораздо удобнее.

Мобильник — это самая большая проблема для приватности. В отличие от интернета оператор сотовой связи может записывать все sms, разговоры и передвижения в пространстве. Причем за последнее им платят рекламщики, по неподтвержённым данным, коллекторы и, разумеется, госорганы.

Сложно сказать, что именно можно узнать обо мне без конкретной цели. Перечислю то, что мне следовало бы сделать.

Следовало бы постоянно, а не только для обхода блокировок, использовать VPN. Это удаленный сервер, через который шифруют и пускают интернет-трафик, лишая провайдера и местные спецслужбы возможности фиксировать незашифрованные данные посещаемых сайтов. Хорошо бы отказаться от Gmail и настроить личный почтовый сервер, чтобы исключить доступ к контактам и переписке. Полностью отказаться от мобильного, по которому можно определить мое местонахождение. Перенести все свои данные с популярных облаков на собственные мощности, благо альтернативы есть, было бы время и желание. Есть Bitsync вместо Dropbox, Bitmessage вместо Email, Tox вместо Skype.

Настоящая анонимность — очень сложная и дорогая штука. Быть анонимным, ведя какую-то постоянную деятельность, невероятно трудно. Я на самом деле — просто неуловимый Джо из анекдота: «А почему он неуловимый? — А потому что никому он не нужен». Однако всегда можно что-нибудь придумать.

Другое дело — приватность. С ней всё гораздо хуже. С июля каждый провайдер обязан установить систему СОРМ-3. Она записывает весь ваш трафик и хранит его от 12 часов до трех лет. Интересуетесь политикой? Посещаете оппозиционные ресурсы? Присматриваете в интернет-магазине какой-нибудь щекотатель? Всё это может быть использовано против вас как угодно.

Уйти от прослушки можно. СОРМ становится дорогущей грудой железа, если вы используете иностранный VPN — трафик будет зашифрован и бесполезен для анализа. Это стоит от 5 долларов в месяц. Думаю, следующим шагом Госдумы будет запрет VPN, хотя это тоже не будет апокалипсисом Рунета.

Как можно запретить VPN? Россия — страна возможностей. Здесь можно запретить что угодно, не задумываясь, как это исполнять. Да, можно банить адреса VPN-сервисов, как в Китае, тогда люди будут покупать обычный хостинг и устанавливать VPN сами. Разработчики напишут программку, которая будет делать это в два клика. Если уже не написали. То же может произойти и с proxy. Можно ввести лицензии на шифрование и отлавливать тех, чей трафик не могут читать органы. А гики будут прятать оппозиционные статьи в картинки с котиками.

Забудьте про девичью фамилию матери

Если рядом посторонние, я, отходя от компьютера, блокирую его. А на смартфоне у меня стоит пароль. Я всегда протираю дисплей после ввода пароля на сенсорном экране. Не остаюсь залогиненным где-то на чужом устройстве. Лучше не хранить письма в почтовых ящиках, тогда при взломе злоумышленник не сольет их. Лучше еще запомнить длинный пароль из слов, чем записать короткий из знаков. Про девичью фамилию матери, думаю, не стоит говорить?

Если не хотите, чтобы ваша переписка и документы попали в руки хакеру, стоит позаботиться о надежности интернет-соединения. Избегайте публичных WiFi, либо используйте VPN. Обращайте внимание на HTTPS. Если браузер ругается на SSL-сертификат — вероятно, кто-то его подменил с целью прослушки. Не храните важные данные онлайн. Лучше просто потерять аккаунт, чем потерять его с мегабайтами писем, документов, логинов и паролей. Используйте двухфакторную авторизацию, но не забывайте, что, привязывая телефонный номер, вы подписываетесь паспортными данными.

Какой пароль стоит на вашем роутере? А какая прошивка? Большинство пользователей пренебрежительно относятся к обновлениям. Работает — и ладно. А пока набирает обороты массовая атака на роутеры с устаревшими прошивками, в которых найдены уязвимости или установлены словарные пароли. Злоумышленник подменяет DNS-записи и подсовывает вам фальшивые страницы социальных сетей и банков. Тысячи IP-камер с заводскими паролями до сих пор транслируют видеопоток из квартир отелей и офисов со всего мира.

Если вам не нравится, что корпорации в промышленных масштабах собирают на вас досье для таргетированной рекламы — что вы искали в сети, какие сайты посещали — сокращайте количество «жучков». Проще всего установить для браузера плагины, которые будут вырезать счетчики, виджеты, социальные кнопки.

Если нужно остаться анонимным ненадолго, например, чтобы задать вопрос на медицинском сайте, используйте браузер Tor, а для регистрации на сайтах (если требуется подтверждение по email) пользуйтесь сервисами, предоставляющими короткоживущие email-адреса или каталоги публичных аккаунтов.

Сколько стоит приватность

Я трачу около 20 долларов в месяц на свой сервер. Сколько денег тратит настоящий параноик — не знаю, там важнее не деньги, а время на изучение. Необходимо понимать, как все работает, досконально настроить софт, использовать только Open Source, следить за всеми обновлениями и новостями. Люди, которые плотно занимаются информационной безопасностью, обычно живут этим.

Сколько у меня это все отнимает времени? Основные пароли стараюсь менять раз в 2-3 месяца, ну и, конечно, для каждого сайта использую отдельный пароль. Пароли в браузере не сохраняю никогда, это первая цель для злоумышленника. Основные пароли помню наизусть, а остальные складываю в запароленный архив. Хотя для этого есть средства вроде KeePass и LastPass.

Историю браузера чищу редко, потому как пользуюсь поиском по ней.не чищу, просто использую приватный режим браузера, если не хочу оставлять информацию в истории или использую чужое устройство. Программы настраиваются один раз при их установке или установке системы. А вот обновления системы и всех программ я устанавливаю практически каждый день. Для приватности серфинга использую плагины для браузера: AdBlock (блокирует рекламу), Ghostery (блокирует «жучки»), HTTPS Everythere (если сайт поддерживает SSL-шифрование, плагин переадресует на страницу с ним).

Не доверяйте протоколу http://

Общаясь дистанционно, вы доверяете информацию собеседнику. Неважно, потеряет ли он пароль от аккаунта, будет ли вести запись троянский вирус на его компьютере, украдет ли кто-то бумажное письмо из его почтового ящика или вашим другом притворится сторонний человек. Знаете такое советское понятие «это не телефонный разговор»?

Главное, насколько мы можем избежать утечки информации. Незашифрованная информация, которая передаётся по любому каналу, может быть записана злоумышленником, который находится «между» вами и вашим собеседником.

Возьмем WiFi в кафе. Часто используется такая схема: вы подключаетесь к первой попавшейся сети FreeWiFi, а это, оказывается, точка, которую создал посетитель. Вы ничего не замечаете, а он записывает весь ваш трафик.

Единственный способ избежать этого — сделать так, чтобы расшифровать его мог только ваш собеседник или сервер сайта. Узнать, защищено ли соединение, можно, посмотрев в адресную строку браузера. Если протокол https:// или есть значок закрытого замочка в адресной строке — данные доступны только вашему компьютеру и серверу сайта. Если используется протокол http://, замочек отсутствует или выглядит сломанным — ваш логин, пароль, номер кредитки, аккаунт могут быть похищены в любой точке между вашим компьютером и конечным сервером.

Исключите публичные сервисы

Все популярные почтовые сервисы используют SSL по умолчанию. То есть, диалог между alice@gmail.com и bob@yandex.ru могут прочитать не только Алиса и Боб, но также Google и Яндекс. Ева и интернет-провайдер прочитать переписку не могут. То же и с сайтами, если они используют шифрование. А если исключить публичные сервисы, такие как Яндекс и Google, можно сократить количество сторон до вас и вашего собеседника.

После того, как приняли законы о цензуре Сети, фильтрация производится провайдером на основании списка запрещенных страниц. При использовании шифрования провайдер не может определить конкретную страницу, которую вы посещаете, только адрес сайта. Следовательно, провайдер может либо заблокировать ресурс полностью, либо не блокировать ничего. Вот список запрещенных статей Википедии, все они открываются. А некоторые провайдеры боятся быть оштрафованными за неисполнение закона и подменяют SSL-сертификаты, что грубо нарушает правила вашей безопасности.

Самое мерзкое — это беспечное отношение к чужим личным данным, начиная от публикаций ваших фотографий с отметками друзей и заканчивая крупнейшими банками и компаниями, которые скрывали угрозу безопасности пользователей и врали, когда была обнаружена самая масштабная уязвимость за всю историю интернета под названием HeartBleed.

Используйте Tor с осторожностью

То, что МВД хочет получить сведения о пользователях Tor, вполне реально. Вообще я не могу назвать Tor безопасной штукой, с точки зрения анонимности. Это, скорее, средство для восстановления доступа к заблокированному контенту. Самый очевидный метод получить о его пользователях данные, который уже используется, — атака по времени. Tor — это, грубо говоря, множество прокси-серверов, IP-адреса которых публичны.

Система СОРМ может сверять ваши подключения с публичным списком Tor-нод («узлов») и записывать время соединения. Потом органы запросят данные у ресурса, на котором вы оставили сообщение, и сверят время вашего соединения с сетью Tor и время публикации комментария. Думаю, отсюда и растет закон о хранении данных на территории России.

Помешать этому можно, установив у себя Tor-relay в режиме работы 24/7, тогда вы окажетесь постоянно подключенным к нему. Чем больше таких — тем шире круг подозреваемых. Но вам придётся пожертвовать частью интернет-канала.

Не лайкайте!

Есть распространенное заблуждение, что ответственность для пользователя за обход ограничений в интернете не наступает. Да, обходить блокировки легко, но кто-то же эту информацию размещает. Например, прокуратура Татарстана за лайк кадра из фильма «Американская история X» предъявила обвинение в распространении нацистской символики. За размещение в социальной сети хентая (рисованная порнография) на два года условно осужден житель Вологды за распространение детского порно. Детской же порнографией признан фильм «Жизнь Адель», обладатель «Золотой пальмовой ветви». Перепостите его на свою страничку — окажетесь распространителем детского порно. Если потребуется, разумеется.

Понимаете, все эти законы работают в ручном режиме, поэтому вы не всегда замечаете их действие. Ну, кого-то посадили, ну, заблокировали сайт роддома за то, что тот находится на том же IP-адресе, что запрещенный сайт. А Википедию не заблокируют, потому что вы это заметите. Эти законы не могут работать иначе, потому что тогда придется посадить полстраны и устроить Чебурашку вместо интернета.