Как лучше всего обезопасить себя и свои источники от проникновения коммерческих программ-шпионов? Когда обычные системы и приложения, используемые для повседневного общения, не прозрачны и лишены действенных мер защиты, применение программ с открытым исходным кодом, обеспеченных шифрованием, может стать самой надежной линией обороны для журналистов.
Попросту говоря, открытый исходный код — это приложения, программы и системы с кодировкой, доступной для всеобщего просмотра и внесения изменений. Эти инструменты предлагают максимальную прозрачность при обеспечении безопасности, а также дают возможность принимать участие в доработке самих программ.
Несмотря на то, что они пока что не получили широкого распространения, журналистам следует использовать преимущества систем с открытым исходным кодом для обеспечения безопасности своих источников, да и своей собственной тоже. Ниже приводится краткое описание популярных приложений, которые можно успешно заменить программами с открытым исходным кодом, и как это сделать.
Signal / Whatsapp
Растущая озабоченность по поводу конфиденциальности вынудила создателей популярных мессенджеров, таких как Whatsapp, являющегося одним из мировых лидеров в сфере приложений для обмена сообщениями, вплотную заняться повышением безопасности передачи информации за счет использования сквозного шифрования. Фактически, протокол шифрования Signal, разработанный Open Whisper Systems, был принят на вооружение многими основными приложениями, включая Whatsapp. Однако при использовании Whatsapp все еще существуют угрозы безопасности в зависимости от количества данных, хранимых в приложении при отправке сообщения.
WhatsApp сохраняет метаданные. Они включают в себя информацию об истории использования и логи, информацию об устройстве, контактную информацию, файлы cookie, обновления статуса и даже геолокацию. Отчасти это связано с тем, что WhatsApp принадлежит Facebook, который использует эти данные для целей рекламы, а также с тем, что само приложение предлагает пользователям набор функций, для которых эти данные необходимы.
В то же время, Signal сохраняет только те данные, которые непосредственно нужны для работы: ключи, номер телефона и информацию о профиле. Кроме того, Signal хранит IP-адреса ровно столько времени, сколько требуется для отправки сообщения.
Такие функции, как исчезающие сообщения, изменение кодов безопасности и невозможность создания скриншотов или просмотра истории браузера, затрудняют злоумышленникам доступ к содержанию конфиденциальных разговоров, если ваш телефон был украден или утерян.
Skype / Jitsi Meet
Хотя Skype совершил революцию в видеосвязи (представлявшей собой дорогой и низкокачественный метод коммуникации вплоть до середины 2000-х годов), внедрив бесплатную и качественную услугу видео-чата, в его программном обеспечении и способах обработки пользовательских данных возникают проблемы с безопасностью.
От установки вредоносного ПО под видом флэш-рекламы до вирусов, делающих компьютер пользователей Skype уязвимым для атак, – все это создает риск несанкционированного доступа не только к потенциально чувствительному содержанию видео-звонков, но и к данным о вызовах (отправитель, получатель, время звонка), местоположении, доступ к веб-камере, интернет-браузерам и всему их содержимому.
Jitsi Meet — это альтернатива Skype с открытым исходным кодом, обеспечивающая как двустороннюю видеосвязь, так и возможность проведения видеоконференций. Он работает практически на всех операционных системах (Windows, Mac OSX, Linus, Android), и его можно использовать либо в качестве загружаемого приложения, либо в браузере с теми же функциями, включающими в себя совместный доступ к экрану, загрузку и редактирование документов на экране.
Все, что вам нужно для начала разговора, – это ввести имя пользователя и пригласить участников по ссылке или по телефонному номеру. Для обеспечения дополнительной безопасности сессии могут быть защищены паролем, а аудио и видеосигналы шифруются.
Gmail / Thunderbird + расширение Enigmail
Одним из самых больших преимуществ использования почтовых веб-служб, таких как Gmail, является уверенность в том, что в случае сбоя компьютера ваш почтовый ящик находится в безопасности на другом сервере, и к нему можно получить доступ через любой браузер, выполнив вход в систему. А вот с точки зрения конфиденциальности это является серьезной проблемой.
В случае с веб-почтой, даже если вы используете шифрование, вся ваша библиотека ключей хранится на другом сервере (обычно принадлежащем крупной корпорации). То есть, теоретически доступ к вашим конфиденциальным электронным письмам может получить любой, кто имеет доступ к этому серверу. Другая серьезная проблема безопасности заключается в том, что службы Google охватывают несколько платформ (YouTube, Google Drive, Google+). С юридической точки зрения, если Google считает, что вы, например, нарушили их Условия обслуживания в Google Music, они могут заблокировать вашу папку входящих сообщений на Gmail на время, необходимое для решения проблемы на их усмотрение.
В довершение всего, практические проблемы, такие как отсутствие внешнего резервного копирования, обязательное условие наличия доступа к Интернету для управления почтовыми ящиками и капризная система шифрования являются аргументами в пользу использования автономных почтовых клиентов.
Thunderbird – это почтовый клиент с открытым исходным кодом, обладающий большим количеством ручных настроек в целях повышения безопасности. Он имеет все функции стандартного почтового клиента (адресная книга, несколько почтовых ящиков, локально сохраненные ключи и т. д.), но с дополнительными настройками безопасности. Он дает возможность отключения загрузки удаленных изображений, могущих содержать скрытые вирусы, а также позволяет отключать Javascript, в результате чего ваши электронные сообщения будут отображаться как обычный HTML-код, где любые вредоносные программы могут быть легко обнаружены.
Enigmail – это расширение Thunderbird, позволяющее осуществлять шифрование сообщений электронной почты в один клик. После того, как вы сгенерируете свой ключ PGP, в каждом сообщении появляется значок, на который вы можете кликнуть, чтобы зашифровать перед отправкой или использовать электронную подпись, подтверждающую, что вы действительно являетесь отправителем. Поделиться вашим открытым ключом так же просто, как нажать Attach>My Public Key.
Аналогично со всеми ресурсами с открытым исходным кодом, по архивам данных кода Thunderbird можно осуществлять поиск, проверку и анализ, используя Github.
Стандартные браузеры / Браузер Tor или браузер + VPN
В то время как большинство современных браузеров зашифровывают трафик браузера, а это означает, что кто-то может видеть, какой сайт вы посещаете, но не содержимое просмотренных страниц или поиска, браузер Tor не позволяет посторонним видеть даже это. Безопасность и анонимность, предлагаемые Tor, были тщательно изучены правоохранительными и государственными органами, увидевшими в нем браузер для террористических групп. В действительности, Tor предлагает безопасный способ доступа к важной информации, особенно журналистам, общающимся со своими источниками. На самом деле, любой, у кого есть законные опасения, что их личная безопасность будет поставлена под угрозу, если их конфиденциальность в Интернете будет нарушена, может получить доступ к важным, жизненно необходимым инструментам и информации с помощью Tor.
Тем не менее, Tor, с его более низкой производительностью и более длительным временем загрузки, может показаться достаточно громоздким в работе. Функции, которыми обладают стандартные браузеры, делающие просмотр веб-страниц простым и удобным, такие как плагины для браузера, часто не отвечают требованиям безопасности и конфиденциальности, и не должны использоваться с Tor. Если у вас есть возможность ограничить свои конфиденциальные разговоры с источниками общением в Signal или с помощью зашифрованной электронной почты, сочетание Google Chrome или Firefox с VPN (виртуальная частная сеть) является хорошей альтернативой Tor. VPN, по сути, предоставляет собой частный зашифрованный туннель между вашим браузером и всем тем, что вам нужно в Интернете. Он подключает ваше устройство к серверу в другой стране, скрывая ваше фактическое местоположение. Если вы пользуетесь публичными сетями Wi-Fi, использование VPN является обязательным условием, поскольку они более уязвимы при атаках цифровых злоумышленников.
Dropbox / OnionShare
Основная проблема с большинством облачных хранилищ заключается в необходимости обмениваться данными со сторонним провайдером услуг. Хранение данных на удаленном сервере вместо вашего устройства — даже если они зашифрованы — делает их уязвимыми для возможного несанкционированного использования. Службы онлайн-хранения часто сохраняют копии ключей шифрования, которые облегчают доступ к информации для их сотрудников, злоумышленников или правоохранительных органов.
Что касается программ для обмена файлами, существует огромный выбор вариантов с открытым исходным кодом, но большинство из них требуют от вас размещения собственного сервера для обеспечения максимальной безопасности. OnionShare, хоть и выглядит достаточно просто с точки зрения дизайна, позволяет безопасно и анонимно обмениваться файлами или папками. Все, что от вас требуется, – это загрузить данные, после чего загруженные вами файлы сохраняются на вашем устройстве и передаются через сеть Tor.
Каждому файлу присваивается уникальный URL .onion, к которому можно получить доступ через браузер Tor.
Будучи пользователем OnionShare, вы полностью контролируете свои файлы, поскольку они передаются с вашего компьютера/телефона напрямую, а не через сторонний сервер.
Дополнительные функции безопасности позволяют ограничить количество загрузок файла, а также назначить таймеры для передачи данных данных с истекающим сроком хранения.
Большинство этих инструментов с открытым исходным кодом бесплатны (за исключением подписки на VPN) и совместимы со всеми основными операционными системами (Windows, Mac OSX, Linux). Использование даже одного-двух инструментов из этого списка поможет вам защитить себя, ваши источники, журналистов, с которыми вы работаете, и ваших близких.
Хотите получить больше советов по разным аспектам работы журналистов-расследователей? Загляните на страницу GIJN на русском.
Катарина Сабадос – независимая журналистка и расследователь Проекта по расследованию организованной преступности и коррупции (OCCRP). Она работала в Сети расследований преступности и коррупции (KRIK) в Сербии, а также над такими проектами OCCRP, как расследование теневых сделок по добыче полезных ископаемых в Таджикистане.