Несмотря на то, что Интернет объединяет огромное пространство, личного пространства у человека становится всё меньше. Технология, которая призвана давать людям свободу слова и возможность открыто выражать свои мысли, с годами стала инструментом контроля и подавления. Из за технологических особенностей Сети, за каждым пользователем тянется цифровой след из всей его активности. Тот, кто имеет возможности собирать эти данные, получает возможность использовать её против пользователей. Свобода слова не может существовать в условиях, когда за слова можно наказать любого. Даже сама по себе возможность быть наказанным воздвигает стену из цензуры и самоцензуры, делая невозможным публичное открытое обсуждение. Без этой открытости начинается стагнация, что начинают эксплуатировать обладающие ресурсами силы. Таким образом, к функции подавления и контроля добавляется функция пропаганды. Из за своей открытой природы, цифровой след доступен третьим лицам, которые могут использовать её для вмешательства в личную жизнь. То, что должно оставаться секретом, может стать публичным достоянием. В такой ситуации единственный эффективный способ сохранить свою свободу слова и приватность — через анонимное поведение, то есть не давать никому и никогда возможности соединить след от деятельности в Сети со своей реальной личностью. Всегда будут некие силы, которые будут пытаться отнять свободу выражения различными способами. Для противостояния этим силам есть множество средств. Ниже мы приводим наиболее общие методы обеспечения анонимности и повышения информационной безопасности, разделённые на категории по степени важности. Методы каждой категории дополняют предыдущие. CriticalОн напрямую связан с именем в физическом мире (через контракт с провайдером, а при динамическом IP— через логи подключения). Запись о подключении какоголибо клиента к серверу может храниться на этом сервере практически вечно. Для смены IP удобно использовать Tor. Это анонимизирующая сеть, которая, грубо говоря, является цепочкой прокси и помогает легко сменить IP. ПользователиWindows могут установить портативный Tor Browser Bundle. Пользователи Linux могут установить его из большинства пакетных менеджеров. Смена IP касается не только сёрфинга сайтов, но и любых других Интернет подключений к серверам — Jabber, мессенджеры и всё остальное. Тот же Tor может проксировать почти любой вид подключения, достаточно указать в настройках прокси хост 127.0.0.1 и порт 9050 или 9150. Некоторые сайты могут блокировать Tor изза вредоносной активности. Через него также невозможно скачивать торренты, так как реальный IP будет «протекать». В таких случаях можно использовать VPN. Они бывают платные или бесплатные. Перечисленные средства смены IPадреса следует применять для всего без исключений, или как минимум для работы, требующей анонимности. AdvancedОбязательно удалять метаданные при публикации любых файлов.Метаданные могут содержать записи, на основе которых можно полностью деанонимизировать пользователя. Современные цифровые камеры могут вшивать в фотографию номер модели и производителя данной камеры. Некоторые смартфоны вшивают в фотографии GPSкоординаты места съёмки. Чтобы избежать деанонимизации, нужно предварительно очищать любые публикуемые файлы. Для этого существуют специальные инструментов, например Metadata Anonymisation Tool для Linux и Exiftool для Windows, и множество похожих программ. Повысить безопасность вебсёрфинга.Есть несколько расширений для популярных браузеров, позволяющих устранить некоторые уязвимости.Использовать OTR для защиты приватности в личных чатах.Личные сообщения передаются в открытом виде, их может прочитать администратор сервера или вообще кто угодно, установив прослушку. OffTheRecord — это схема сквозного шифрования, которая автоматически создает одноразовые сессионные ключи и шифрует ими все сообщения(кроме самого первого). После завершения сессионные ключи уничтожаются и восстановить их, как и весь диалог в чате, злоумышленник не сможет. Ещё OTR имеет функции аутентификации — через обмен идентификаторами постоянных ключей через другое средство связи типа телефона, либо через общий секрет, о котором надо договориться заранее при личной встрече. Плагины OTR доступны для большинства мессенджеров, хорошо работают поверх XMPP, IRC и других протоколов. Для электронной почты применять шифрование GPG, которому посвящена отдельная статья в этом номере.Использовать специальные средства для хранения паролей.Хранить их воткрытом виде в текстовом файле или на бумаге — плохая идея. Их могут украсть различными методами. Такие программы как KeePassX и Password Safe создают шифрованную базу данных, запертую одним мастерключом, то есть достаточно придумать и запомнить один стойкий пароль. Хранилища паролей также имеют функцию генерации длинных паролей из случайных символов. Это удобно — они сразу записываются в базу данных, а изза случайности и большой длины взломать их подбором сложно.Не использовать проприетарное программное обеспечение.Из-за того, что невозможно просмотреть внутреннее содержимое программы, нельзя узнать все её функции и убедиться, что в ней нет встроенных чёрных ходов для спецслужб. Только закрытость системы позволяет встроить закладки, выполняющие любые функции по сбору может просмотреть целиком любой желающий. Кроме проверки на закладки, свободное ПО имеет полностью открытый цикл разработки, который гораздо более эффективен за счёт цепи обратной связи — системы типа GitHub позволяют связаться с автором программы напрямую и оперативно решить любые обнаруженные уязвимости и баги. Прежде чем скачивать какуюлибо программу, надо убедиться что она открытая и свободная. Это обычно указанно насайте программы. Если нет — надо найти открытый аналог. Использование открытых операционных систем (различные дистрибутивы Linux и системы BSD) также поможет повысить свою безопасность.ParanoidОсвоив открытые ОС типа Linux, продвинутые пользователи могут повысить безопасность своих систем ещё сильнее. Методы и инструменты повышения безопасности обычно зависят от конкретных задач. В некоторых случаях может пригодиться Whonix. Этот дистрибутив позволяет создавать изолированные виртуальные машины, трафик которых полностью проксирован через Tor. В самой виртуальной машине можно запустить любую другую ОС, даже Windows, и весь трафик виртуальной машины будет анонимизирован.Whonix идеально подходит для тех, кому нравится изолирование системы через виртуализацию, однако для него требуется достаточно мощное железо. Любители Gentoo могут повысить безопасность, используя ядро от GrSecurity, этот дистрибутив называется Hardened Gentoo. Такое ядро имеет большое количество патчей, которые устраняют низкоуровные уязвимости, присущие обычному ядру Linux. Также существует SELinux, система контроля доступа на основе ролей. Изначально это средство было создано АНБ для защиты своих компьютеров. На сетевом уровне есть iptables, позволяющий создатьэффективный firewall. Все упомянутые средства (и не упомянутые тоже) подходят только для действительно опытных пользователей, и их настройка требует внимания и осторожности. При установке различных программ, необходимо сверять чексуммы скачанных файлов с теми, что размещены в источниках программы. Это поможет убедиться в их целостности. В случае, если файлы были испорчены при скачивании или преднамеренно изменены злоумышленником даже на один байт, чексумма будет полностью другая. Достигается это за счёт лавинообразного эффекта хэшфункций. Помимо чексумм, некоторые разработчики используют GPGподписи файлов и сборок. Подписывает обычно релизменеджер своим ключом, выступая гарантом надёжности. Например, сборки Tor на протяжении многих лет подписывает Erinn Clarke. Проверка подписей скачиваемого ПО является хорошей практикой, так как помогает установить достоверность и целостность критически важных программ. Защитить компьютер от физического доступа помогут инструменты для дискового шифрования. Они расшифровывают раздел при запуске операционной системы и зашифровывают обратно при отключении. У пользователей Linux есть встроенный инструмент dmcrypt, имеющий все необходимые утилиты для дискового шифрования. Нужно только иметь в виду, что в Linux придётся шифровать не только root, но и swap, в противном случае некоторые данные будут не защищены. Также необходимо предварительно настроить DE на моментальное выключение машины, так как только выключение помогает надёжно запереть данные в экстренной ситуации. Полезной в некоторых случаях функцией может оказаться шифрование с убедительной отрицаемостью. Проще говоря, создание в шифрованных разделах скрытого «двойного дна» с другими разделами без какихлибо меток, запертого другим паролем. Эффективно доказать существование такого «двойного дна» не сможет никакая экспертиза, возможно только предположить по размеру общего раздела.
По возможности, нужно уменьшить площадь физической атаки. При наличии встроенной карты WiFi, её следует удалить и использовать внешнюю, подключаемую через USB. Это позволит полностью и надёжно отключать компьютер от сети при необходимости, изолируя и уменьшая площадь атаки (физический способ изоляции компьютера от точек подключения Сети называется «Air gap»). Следует остерегаться встроенной Access Management System. Эта система предоставляет производителю удалённый полный доступ к машине. Изначально эта система используется для отслеживания при краже, однако её можно использовать для чего угодно. Не стоит покупать компьютеры с доставкой по почте. У АНБ есть подразделение под названием Tailored Access Operations, работа которого заключается в перехвате почтовых посылок с компьютерами, установке аппаратных и программных закладок и дальнейшей отправке получателю. По мнению агенства, подобная схема считается одной из самых эффективных для внедрения в нужную систему. Основа информационной безопасности — это знания. Лучший способ повысить свою безопасность — изучать системы, криптографические алгоритмы и протоколы. Это долгий процесс, требующий терпения и времени. Наградой за труд станет возможность самому разбираться в уязвимостях и решать их. У отдельно взятого пользователя не существует чётких границ между состоянием «аноним/неаноним». Это состояние напрямую зависит от модели угроз, потому что разным злоумышленникам доступны разные ресурсы для атаки на этого пользователя. Для защиты от случайных факторов хватит и базовых средств, для сопротивления работе спецслужб потребуются лучшие техники. Не имея достаточно данных о своей модели угроз, выбор применяемых средств следует делать на основе компромисса. С одной стороны лежит привычное удобство, с другой стороны лежит огромный риск раскрытия чувствительных данных, генерируемых по умолчанию и независимо от пользователя. Также стоит иметь в виду, что 90% данных, добываемых разведкой, происходят из открытых источников, в основном из Сети. Другими словами, в цифровом веке пользователи по незнанию сами составляют на себя досье. Обладание личными данными даёт власть, поэтому владение ими всегда будет предоставлять интерес. Анонимность — это сложно, информационная безопасность — ещё сложней. Каждый должен усвоить только одно: никто не защитит твои данные, никто не сохранит приватность, кроме тебя самого. |