123

123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123

Безопасность электронных устройств

О том, как защитить ваши смартфоны, компьютеры, флешки и жесткие диски от бдительных органов.

Смартфоны

Лучше купить два смартфона — один «для активизма», а один — чтобы носить с собой. С тем смартфоном, который у вас на руках, нельзя входить в «активистские» аккаунты и хранить там важную информацию. Активистский смартфон лучше использовать только из дома. Не устанавливайте на ваш активистский смартфон все подряд — только нужные для действий приложения.

Любой смартфон зашифрован и запаролен, это правило. Да, именно запаролен, графический ключ и прочие суррогаты не защитят его.

Лучше будет, если оба ваши смартфона будут куплены либо с рук, либо с помощью никак не связанных с вами операций — например, за наличные в магазине. Кроме того, лучше пользоваться сим-картами, которые невозможно напрямую связать с вами на раз-два.

Никогда не бери смартфон на конфиденциальные встречи. Вы не узнаете, следят ли за вами через него и скомпрометирован ли аппарат или сим-карта. Требуйте того же и от других активистов.

А еще удаляй все данные, которые тебе не нужны для активизма, но которые могут тебя выдать, как можно быстрее.

Android

Как надежно зашифровать телефон? Если ваш телефон не старый, то, скорее всего, он шифруется «из коробки» в случае, когда вы включаете блокировку экрана паролем. При этом пароль надежный и достаточно длинный. Пароль нельзя записывать — запомни. Кроме того, выключи оповещения на экране блокировки, чтобы без разблокировки нельзя было посмотреть, что же тебе написали. Также включи наискорейшую автоматическую блокировку телефона при бездействии — это исключит получение случайного доступа к телефону, если тебя с ним задержат или его украдут.

Особо стоит отметить некоторые модели телефонов с новыми прошивками от Xiaomi. По загадочной причине, в них шифрование работает только в случае, если включить его аж меню разработчика. Чтобы его включить, нажми 5 раз по строке «Номер сброки» в разделе настроек «О телефоне». Только, пожалуйста, ничего там не меняй, кроме включения Шифрования, иначе ты можешь все сломать.

На большинстве телефонов выпуска до 2019 года нужно отдельно включить режим «Безопасная загрузка». Обычно система сама предлагает включить этот режим во время установки пароля, но если ты не знал или забыл, то просто отключи пароль и включи его снова, и по идее система должна либо предложить тебе его включить, либо включить автоматически. Кроме того, настройки могут отличаться для разных моделей смартфонов — если у тебя сходу не получилось включить безопасную загрузку, воспользуйся Google и проверь.

Чтобы проверить, зашифрован ли телефон, скачай приложение termux. Введи туда команду: adb shell getprop ro.crypto.state. Если ответ encrypted, то это значит, что телефон по крайней мере зашифрован. Правда, без безопасной загрузки это бесполезно. Введи в termux команду adb shell getprop ro.crypto.type. Если ответ FBE, то безопасная загрузка тебе нужна — этот типа шифрования новее, основан на другом принципе и его это не касается. Если ты не уверен, что режим безопасной загрузки активен, перепроверь.

Другие способы защиты данных. В меню разработчика убедитесь, что выключены опции отладки по USB (USB Debugging) и OEM unlock. Если они включены, то большинство мероприятий по защите смартфона бесполезны. Также убедись, что при подключении телефона к компьютеру по умолчанию его можно только заряжать.

Отключи Smart Lock и все его вариации, а также разблокировку по пальцу и лицу.

Включи везде, где можно, двухфакторную аутентификацию и поставь пароли на приложения.

Используй безопасное пространство или отдельного пользователя для ценных данных (в зависимости от устройства). Оно есть на любом более-менее новом Android-устройстве, поройся в настройках или поищи в Google. Пароль безопасного пространства сделай отличающимся от основого.

Регулярно устанавливай обновления смартфона, как только они приходят.

Не ставь все приложения подряд, особенно из неизвестных источников. Не давай сторонним приложениям быть «Администраторами устройства».

Не храни пароли в браузере. Для хранения сложных паролей лучше использовать менеджер паролей, но только надежный. Например, KeePassDroid или KeePass2Android. Есть и более простые решения, но они либо платные, либо сомнительные.

Чтобы избежать деанонимизации по источнику трафика, постоянно используй доверенный VPN при выходе в интернет. Чтобы избежать случайной выдачи геолокации, скачай приложение вроде «Fake GPS». Отключай геолокацию, если она не нужна в моменте.

Также стоит отключать Wi-Fi и Bluetooth, если ты им не пользуешься — иначе, например, смартфон может сам подключаться к WiFi и выдавать местоположение открытой точке Wi-Fi или устройству Bluetooth. То же касается и NFC.

Когда ты не пользуешься самим телефоном — выключи его.

IoS

Хорошая новость в том, что смарфтоны от Apple в целом намного безопаснее, чем на базе Android — из-за малого числа устройств это сравнительно просто обеспечить. Плохая в том, что чтобы так было нужно все равно постараться.

Не устанавливайте на ваш «активистский» IPhone ничего лишнего — ни приложений для транспорта, ни приложений для оплаты, НИ-ЧЕ-ГО, кроме того, что вам нужно для активизма.

Установите сложный и длинный пароль для разблокировки экрана. Отключите TouchID и FaceID. Кроме того, сделайте так, чтобы он немедленно блокировался при неактивности.

Отключите параметр, который называется «Significant Locations» и запоминает «важные» местоположения". Находится эта настройка по пути Privacy -> Location Services -> System Services -> Significant Locations.

Отключите все уведомления на экране блокировки. Выключайте телефон, когда вы им не пользуетесь.

Круто будет, если вы купите специальный безопасный экран, который уменьшит диапазон видимости на экране смартфона и не позволит нехорошим людям видеть содержимое экрана под большинством углов.

Компьютеры, ноутбуки и устройства хранения информации

Для Windows простой совет: обязательно зашифруй всю память компьютера либо VeraCrypt, либо Bitlocker от Microsoft. Проблема BitLocker в том, что он проприетарный (т.е. принадлежит компании), платный и поэтому есть не во всех версиях Windows.

VeraCrypt же хорош всем, кроме несколько меньшей удобности и чуть ограниченной поддержки некоторых видов дисков. В частности, он вообще не шифрует т.н. гибридные диски (SSHD). Для них вам придется сначала переносить данные на внешнее устройство, а потом создавать контейнер VeraCrypt внутри диска. Как все это делать — читайте здесь.

Для Mac все проще: там есть встроенное решение FileVault. Находится он по пути: Apple menu > System Preferences > Security & Privacy > FileVault. Выберите «Locked» и введите пароль. Запретите получать ключ с помощью ICloud, создав локальную копию ключа расшифровки. Сохраните ее в надежном менеджере паролей, доступном с другого зашифрованного устройства. После окончания шифрования, ваш компьютер защищен.

Linux шифруется через командную строку. Здесь есть инструкция для Ubuntu, а здесь — для всех UNIX-based систем.

Если ваш компьютер не зашифрован, то дела ваши плохи и почти вся «защита» совершенно бессмысленна. Конечно, если в компьютере вы буквально не только играете и смотрите фильмы, что маловероятно.

Вообще же сборки Linux могут обеспечить наилучшую безопасность. Существует Tails, которой пользовался Эдвард Сноуден и которая запускается с флешки и не оставляет следов на машине, с которой вы работали, а также на флешке. Кроме того, отличная сборка — Whonix. Обе не позволяют никому видеть ваш реальный IP-адрес, полностью тунелируют интернет-трафик, грамотно спроектированы и при аккуратном использовании делают вас практически неуязвимым. Tails тоже прост, но там весьма обрезан функционал. Whonix среди всех трех позволяет гибко настраивать систему, реализуя, к примеру, сценарий VPN-TOR-VPN. Есть сборка Kodachi, который работает «из коробки», имеет кучу полезных предустановленных программ и работает сетью по схеме VPN-TOR, но к нему есть вопросы. Есть также Kali, специально сделанная для аудитов безопасности сетей, гибкая и достаточно хорошая, но сложная в понимании и настройке для новичков. Здесь хорошее и объемное руководство по использованию Tails, здесь — по Whonix, здесь — по Kali, здесь — по Kodachi.

Кроме того, активистский Linux можно установить на уже зашифрованную машину с Windows или Mac на виртуальную машину (например, с помощью Virtual Box). Это позволит использовать удобную и привычную ОС для рутинных дел, а заниматься активизмом в защищенной среде. Это — наилучший вариант с точки зрения безопаности. К тому же, это несложно. Мы не будет рассказывать, как это делать на практике потому, что для этого нужно писать еще одну статью, но в интернете есть множество руководств по теме (Tails и Whonix, остальные легко находятся через гугл).

Главная проблема Linux — для него не существует многих рабочих или учебных программ, не получится играть в большинство компьютерных игр или делать «обычные» дела. Но для активизма устройство на базе Linux, а особенно на базе защищенной его сборки — это сильный вариант.

Пароли, которые вы не сможете запомнить, нужно хранить в надежном менеджере паролей. Я рекомендую KeePass как бесплатный и Open-Source'ный, но вообще пойдет любой из популярных. Позаботьтесь о том, чтобы вы имели доступ к ним как минимум с двух устройств, чтобы если одно из них сломается, вы могли его восстановить.

Не устанавливайте на свой компьютер абы-что, не пользуйтесь сомнительными сервисами.

Безопасное хранение, перенос и удаление данных

Самый простой и очевидный вариант для безопасного обмена данными с помощью флешки или внешнего жесткого диска — сначала зашифровать их с помощью тех же Veracrypt или Bitlocker с помощью сложных паролей, потом монтировать их в этих программах, а потом переносить данные с уже зашифрованного компьютера.

Точно так же храните и переносите данные на смартфон — только если он зашифрован и соблюдены все перечисленные выше меры безопасности.

Для хранения данных в облаке нужно использовать BoxCryptor. Она дополнительно шифрует ваши данные перед загрузкой в облако. Бесплатная версия поддерживает только одного провайдера облачного хранилища (на ваш выбор) и немного ограничена, но ее функций вполне достаточно, чтобы защитить данные.

Для безопасного удаления или переноса файлов используйте бесплатную программу, которая называется Eraser. Для переноса — опцию Secure Move, а для удаления Erase. Не забывайте проверять и очищать журнал программы.

Не все знают, но файлы после удаления с комьютера, и даже после очистки корзины, не удаляются. Они просто вычеркиваются из условного «списка файлов» на компьютере — то есть, как бы помечаются как удаленные, но на компьютере остаются. Это как написать в книге «не читать с 5 по 8 страницы». Потом, в процессе использования диска компьютера, они перезаписываются, но безопасно и надежно удалить их в моменте можно только с помощью специальных алгоритмов, которые после удаления файлов несколько раз перезаписывают по различным алгоритмам те файлы, которые там хранились. Самый быстрый из надежных алгоритмов — трехпроходный DoD 5220.22-M, я всегда предпочитаю его и его стоит выбирать в настройках CCleaner и прочих программ.

Использование небезопасных устройств

Если пришлось сделать что-то по активистской линии с незащищенного устройства (например, с рабочего ПК), то вот, как себя обезопасить:

После использования компьютера очищайте следы активности и логи ваших файлов. Сделать это можно с помощью CCleaner. Там же можно настроить, чтобы файлы удалялись безопасно с помощью разных алгоритмов многопроходного удаления файлов.

Переносите или удаляйте конфиденциальные файлы только с помощью Eraser или его аналогов. Иначе вы наверняка оставите кучу цифровых следов.

После нужно очистить следы вашей активности в использованных программах, которые сохраняют логи и не чистятся CCleaner. В любой программе есть функция удаления или очистки списка последних открытых или использованных документов — нужно ей воспользоваться. Например, если вам срочно пришлось что-то подправить в Photoshop, который установлен на компьютере.

Носите все файлы и программы, которые могут понадобиться вам, на зашифрованной флешке или храните в зашифрованном контейнере Veracrypt на устройстве (в случае рабочего компьютера). Никогда не переносите конфиденциальные файлы в «обычное» хранилище.

Никогда не используйте полную версию браузера, установленную на устройстве — воспользуйтесь версией Portable, которую можно спрятать в небольшой контейнер, созданный Portable-версией Veracrypt. Для использования интернета, особенно из-под рабочего Proxy, пользуйтесь Psiphon или TOR Browser. Оба они имеют Portable-версии и позволяют обходить Proxy. Если сайт Psiphon заблокирован, то можно получить ссылку, написав на e-mail get@psiphon3.com. А для подключения к TOR через прокси нужно использовать Мосты (Bridges). При этом учтите — они шифруют трафик, но сам факт использования этих инструментов виден администратору сети, то есть, легко доказать, что факт их использования был.

Хранить любую из этих программ нужно также, как и браузер — в зашифрованном контейнере.

Если вы решили использовать Telegram Desktop, то точно также установите его Portable-версию в зашифрованный контейнер, а также используйте Psiphon или пустите трафик через TOR (инструкция — здесь или в гугле).

Со смартфонами единственный совет — постарайтесь вручную очистить все следы вашей активности. Удаляйте диалоги в Telegram для обоих сторон, пользуйтесь режимом инкогнито в браузерах, вручную удаляйте заметки, адреса и историю поиска.

Никогда не входите в ваши личные активистские аккаунты с небезопасного устройства, если вы не убедились, что вы делаете это в защищенном контейнере и с помощью портативной версии программы. Не пользуйтесь на таких устройствах полными версиями программ, установленными на них, без острой нужды.

Пользуйтесь такими устройствами только при необходимости — например, если вам экстренно что-то сделать во время работы.

Что делать в случае, если все сломалось и я потерял доступ к данным?

Хорошо, а что, если я потеряю доступ к своим устройствам, например, в случае обыска или утери, или форс-мажорных обстоятельств? Я же, мол, потеряю тонны данных.

Это маловероятно, но такое действительно может произойти. Во-первых, от такого исхода поможет резервное копирование (о физической безопасности данных мы расскажем в Главе 6). Во-вторых, это лучше, чем если бы ваши данные попали в руки органов следствия или злоумышленников.

Резюме и что дальше

После прочтения ты знаешь, как защитить свой компьютер, смартфон, винчестер и флешку, а также — как правильно удалять данные и не оставлять видимых следов и использовать небезопасные устройства.

Соблюдая вышеперечисленные меры, ты защитишь себя. Да, это требует времени — освоить платформу, разобраться с настройками, возможно, освоить Linux, постоянно быть настороже.

Но старания вернутся сторицей, если подумать о том, какие возможности это открывает: устойчивый активизм и уверенное движение к победе народа Беларуси без ненужных страхов и опасений. Когда все продумано и защищено, когда ты заранее знаешь, что тебе делать с устройствами, когда ты решил для себя эту проблему — ты спокоен и движешься к цели дальше.

Наш список довольно большой, но не исчерпывающий. Наверняка мы что-то упустили, а что-то пропустили. Например, мы мало рассказали о Linux и не учим им пользоваться, ничего не рассказали о таких платформах, как Windows Phone и Blackberry.