Изображение: Shutterstock.
Когда речь заходит о цифровой безопасности, что общего между журналистом из Западной Африки, сирийским журналистом в Турции и французским журналистом в Кашмире? Ответ: очень мало. Каждый из них работает в совершенно разных условиях. Но все они должны защищать свои данные, свои сообщения и свои источники, и каждый из них должен делать это по-своему, используя методы, адаптированные к их конкретной ситуации.
Вы наверняка посещали тренинги по цифровой безопасности, и вас учили, как создавать надежные пароли и активировать двухфакторную аутентификацию, шифровать папки или жесткий диск. Это отлично. Но этого часто недостаточно. Что вам действительно нужно изучить, так это то, какие инструменты и передовые практики соответствуют вашей конкретной ситуации и среде. Например, журналист, работающий во Франции, тоже должен научиться защищать свои источники, но ситуация (и, следовательно, инструменты, которые он будет использовать) сильно отличаются от тех, которые необходимы в странах, где нет верховенства права.
Мы с моим коллегой Жаном-Марком Бургиньоном проработали 10 лет в области цифровой безопасности и взлома: Жан-Марк как хакер, а я – как журналист и работник НПО, и в 2017 году основали Nothing2Hide, поскольку так и не смогли найти ни одной организации, работающей с журналистами и правозащитниками, которая имела бы технологию в своей ДНК. Наша миссия состоит в том, чтобы помочь защитить информацию и коммуникацию журналистов, блогеров, юристов, правозащитников и всех граждан. Независимо от того, проводим ли мы семинар по цифровой безопасности, аудит безопасности для СМИ или используем инструменты для обхода цензуры, мы всегда начинаем с разговора о потребностях тех, с кем работаем. Такие специалисты в области безопасности, как мы, могут обладать техническими знаниями, но журналисты и правозащитники лучше, чем кто-либо, знают свой контекст, поэтому мы должны начать с диалога.
Вот три примера того, как мы адаптировали методы цифровой безопасности к различным ситуациям журналистов.
Избегайте изменения методов работы
Журналисты из независимого сирийского СМИ, базирующегося в Стамбуле, попросили нас помочь сделать их системы безопасными. У них очень деликатная ситуация: они ежедневно работают с журналистами из Сирии.
Мы начали с наблюдения за их методами работы. Только потом мы внедряли решения, адаптированные к их потребностям, всегда имея в виду один и тот же девиз: «Всё должно оставаться простым, «для чайников». Это позволяет нам создавать решения, которые легко внедрять и применять постоянно.
- Файловый хостинг. Мы не могли использовать Google или Dropbox – это был четкий запрос журналистов. Пусть продукты Google или Dropbox безопасны, но этим журналистам не очень хотелось хранить свои самые важные файлы в американской компании. Поэтому мы сохранили их файлы на сервере, принадлежащем Nothing2Hide. Мы установили программное обеспечение, которое позволяет команде сохранять и шифровать файлы одним щелчком мыши. Файлы хранятся и шифруются на наших серверах, но у нас нет ключа для расшифровки; только их журналисты могут получить доступ к файлам.
- Безопасное соединение. Поскольку VPN находятся в «серой зоне» в Турции, лучше использовать их с осторожностью. Мы решили использовать WireGuard, а не классический VPN. WireGuard гораздо более скрытен и, следовательно, его труднее обнаружить и заблокировать, чем широко используемые инструменты, такие как OpenVPN или PPPT. Вместо того чтобы устанавливать программное обеспечение на каждом компьютере, мы установили подключенное к Интернету устройство, к которому журналисты имеют доступ через Wi-Fi. Как только это соединение Wi-Fi активировано, весь их трафик зашифрован. Все, что журналисты должны сделать, это выбрать правильную сеть Wi-Fi.
Мы почти не меняли методы работы команды, потому что точно знаем, что изменение привычек журналистов – самый короткий путь к провалу. Чтобы заставить людей принять меры безопасности на длительный срок, важно, чтобы все было просто, и обеспечивалась долгосрочная техническая поддержка.
Превращение вашего смартфона в сейф может оказаться непродуктивным
В начале этого года мы провели семинар в Гане с участием двух десятков журналистов и активистов из разных африканских стран. Некоторые участники работали в условиях постоянных репрессий. В странах, где царит беззаконие, превращать смартфоны и ноутбуки в цифровые сейфы бессмысленно и даже опасно: аресты, насилие и пытки могут обойти самые надежные пароли.
Мы показали участникам, как оставлять на своих смартфонах как можно меньше следов. Для этого мы зарегистрировали для них учетные записи на ProtonMail – зашифрованном почтовом сервисе.
Как и многие почтовики, ProtonMail также предлагает приложение для мобильных телефонов. Но мы посоветовали не использовать его – идея состояла в том, чтобы хранить как можно меньше информации на своих телефонах. Вместо этого они открывали ProtonMail в отдельных вкладках в своих веб-браузерах, используя VPN. Таким образом, если один из журналистов будет арестован, на его смартфоне нельзя будет обнаружить никаких следов сообщений ProtonMail. Более того, даже местные телефонные компании, о которых известно, что они сотрудничают с властями, не смогут увидеть, кто использует ProtonMail.
Удаление следов на компьютере
Во Франции фотожурналисты спросили нас, как они могут защитить фотографии, которые они собирались отснять во время поездки в Кашмир – регион, где иностранные журналисты рискуют быть арестованы и депортированы.
Вот система, которую мы внедрили: во время своей командировки фотожурналисты отправляли свои снимки раз в день на один из наших серверов. Когда загрузка была завершена, файлы копировались на другой сервер и удалялись с первого. Таким образом, даже если кто-то получит доступ к компьютеру журналистов, он не сможет увидеть фотографии или даже узнать, что какие-либо снимки были сохранены на компьютере.
Мы также предоставили им план B на случай, когда у них нет доступа к Интернету, создав контейнер Veracrypt, в котором они могли хранить свои фотографии. (Как создать и использовать такую зашифрованную папку можно прочитать на сайте Security in a box – примечание редактора). Контейнер был замаскирован под видеофайл, и хранился среди сотен других видеофайлов, поэтому отличить его от реального видео стало почти нереально.
Кстати, любой желающий может использовать этот план B – с локальным зашифрованным архивом. Вам нужно просто изменить имя контейнера Veracrypt и добавить расширение .mpg, чтобы он выглядел, как видео. План A – то есть удаленное хранилище, немного сложнее внедрить, так как он требует некоторых технических навыков. Однако этот метод доступен большинству: все, что требуется, – это FTP-сервер, скрипт и FileZilla.
Грегуар Пуже является соучредителем и президентом Nothing2Hide . Он десять лет работал журналистом, веб-редактором и разработчиком в СМИ, прежде чем присоединиться к «Репортерам без границ», где он занимался проектами по борьбе с онлайн-слежкой и цензурой. Он также был техническим директором в «Библиотеке без границ» (Library Without Borders), где он создавал бесплатное программное обеспечение с открытым исходным кодом.
