Безпечна цифрова комунікація для активістів – що робити?
29 березня 2019 року в рамках проекту «Протидія радикалізму і популізму, захист прав ЛГБТКІ спільноти, організацій та ініціативних груп, що працюють в сфері захисту прав ЛГБТКІ і протидії ...
Додано:
makiss
29 березня 2019 року в рамках проекту «Протидія радикалізму і популізму, захист прав ЛГБТКІ спільноти, організацій та ініціативних груп, що працюють в сфері захисту прав ЛГБТКІ і протидії дискримінації, засобами освітніх та адвокаційних заходів» відбувся вебінар організований УГСПЛ на тему “Безпечна цифрова комунікація для активістів”.
Вебінар проводив експерт та тренер Лабораторії Цифрової Безпеки Вадим Гудима.
Під час заходу планувалось обговорити такі питання:
- Що безпечніше використовувати у активістській діяльності: смартфон чи кнопковий телефон?
- Як вибрати безпечний месенджер?
- Чи існують безкоштовні VPN сервіси?
Відповідаючи на заплановані питання, Вадим Гудима виокремив такі недоліки кнопкового телефону з точки зору цифрової комунікації:
- неможливо захистити аудіо-переговори від прослуховування;
- неможливо захистити переписку (SMS/MMS) від перехоплення;
- неможливо захистити дані та контакти на пристрої.
Натомість, перевагами смартфона є те, що його технічні характеристики дають змогу:
- захищати комунікації ДО сервіс-провайдера;
- захищати комунікації МІЖ телефонами;
- захищати сам телефон (шифрування диску та SD-карти).
Під час вебінару багато уваги було приділено питанню вибору безпечного месенджера.
Для отримання відповіді на це питання потрібно враховувати коло спілкування користувача та популярність самого месенджера:
- чим більше людей користується програмою, тим важче відслідкувати дії окремого користувача;
- якщо не змінюється модель поведінки користувача – він продовжує користуватись сервісом, який використовував раніше – це менш підозріло і залишає небагато шансів на серйозну помилку в користуванні при переході на новий месенджер.
- популярні месенджери мають репутацію, яку треба берегти, тому в них більше стимулів захищати кінцевого користувача від несанкціонованого доступу та оскаржувати судові рішення по наданню інформації.
Важливо дізнатись як захищається переписка в месенджері. Якщо використовується звичайне шифрування (https:// – від вашого пристрою до сервіс-провайдера).
Якщо це:
- FB Messenger;
- Telegram (звичайні чати);
- Skype;
- Slack
то сервіс провайдер має доступ до змісту Вашої переписки і метаданих.
Якщо використовується наскрізне шифрування (від Вашого пристрою до пристрою адресата), то найкращими месенджерами будуть:
- WhatsApp;
- Signal;
- Wire;
- Telegram (secret chats)
Тут сервіс-провайдер має доступ лише до метаданих – хто, кому, коли, і якого розміру повідомлення.
Необхідно враховувати і модель фінансування:
- наші дані та реклама (Skype, FB Messenger, Viber);
- преміум-підписка (Slack, Wire);
- продаж коду іншим месенджерам (Signal);
- фонди та опенсорс-девелепори (Signal).
При виборі месенджера треба зважати й на те, чи «відкритий код» і чи хтось його перевіряв (аудит безпеки)?
- відкритий і перевірявся: Signal; Wire.
- частково відкритий: WhatsApp, Telegram, Skype.
- закритий: Viber.
Важливо враховувати, чи зберігаються в месенджері дані користувачів та які саме:
- зберігають усе: FB Messenger, Skype, Telegram, Viber (до 2017 року);
- зберігають метадані: WhatsApp, шифровані Telegram та Skype, Viber.
- Не зберігають нічого, окрім даних реєстрації: Signal, Wire.
Остання група питань, що розглядалися під час вебінару, стосувалася того, як обрати VPN сервіс.
Для цього потрібно розуміти, перш за все, кому належить VPN сервіс:
- персональний/робочий (OpenVPN, Outline, AlgoVPN);
- сторонній сервіс.
Слід також зважати на модель фінансування сервісу:
- шляхом оформлення підписки (TunnelBear, Private Internet Access);
- за рахунок поширення реклами та фондування (Psiphon);
- завдяки продажу даних користувачів третім сторонам або навіть зловмисникам.
І, врешті-решт, варто враховувати юрисдикцію – у яких країнах розташовані сервери VPN сервісу, адже якщо Ваші дані з якоїсь причини були втрачені і виникне необхідність вирішення питань у правовій площині, то Вам доведеться враховувати відмінності у законодавстві країни Вашого перебування та країни, де сервіс розроблено та ліцензовано.
Технічні характеристики сервісу розглядаються у останню чергу та не мають суттєвого значення для безпеки комунікації.
Наостанок експерт Лабораторії Цифрової Безпеки рекомендував слухачам використовувати сервіс That One Privacy Site – VPN Section (https://thatoneprivacysite.net/simple-vpn-comparison-chart) для здійснення самостійного вибору сервісу для звичайної комунікації.
Утім, якщо втрата або витік інформації може призвести до трагічних наслідків – втрата життя, здоров’я або свободи – то в цьому випадку варто порадитись зі спеціалістом, щоб мінімізувати можливі ризики.
Вебінар проведено в рамках проекту за підтримки Фонду сприяння демократії Посольства США в Україні. Погляди авторів не обов’язково збігаються з офіційною позицією уряду США. / Supported by the Democracy Grants Program of the U.S. Embassy to Ukraine. The views of the authors do not necessarily reflect the official position of the U.S. Government.