Лекция
Максима Луночкина Главные темы:
- 1. Почему мобильная связь самая ненадёжная?
- 2. Интернет-коммуникация: как работает и где опасности?
- 3. Чем отличается оценка рисков от паранойи?
1. Почему мобильная связь самая ненадёжная?
Стандарт мобильной связи разрабатывался очень давно и практически не менялся, поэтому она самая незащищённая.
Ещё в 2010-м году активист Мальт Спиц (Malte Spitz) потребовал у своего сотового оператора биллинги, то есть данные о номере его телефона. На их основе он разработал интерактивную карту, которая показывала, как перемещался человек со своим телефоном, кому звонил, кому писал, где жил, передвигался ли пешком или на определённом транспорте.
Что же хранит мобильный оператор? ID SIM-карт и разные ID мобильного устройства. Если не менять телефон, а просто менять в нём SIM-карты, это не защищает. У мобильного оператора хранится история того, какие SIM-карты и к какому телефону были привязаны, а также история звонков и SMS.
Про геолокацию. Если программа или сервис на вашем телефоне спрашивает, хотите ли вы предоставить доступ к вашей геолокации, и вы нажимаете «отключить», не думайте, что вы её действительно отключили. Это можно сделать только вместе с устройством. Иначе, независимо от настроек, геолокация собирается. Зачем? Мобильный оператор должен знать, к какой мобильной вышке мы присоединены, чтобы направлять нам звонки и SMS.
Что ещё хранит мобильный оператор? Биллинги, то есть услуги, за которые мы заплатили деньги. Плюс – историю посещаемых сайтов, поскольку мобильные операторы сейчас выступают и как провайдеры интернета. Во многих странах закон требует от мобильных операторов хранить эти данные какое-то количество времени. В Беларуси это около трёх лет минимум.
Однако работают роуминг и другие службы, и с зарубежными SIM-картами можно делать все те же операции, что и с вашей национальной.
Какие есть распространённые угрозы мобильной связи? Первое – прослушивание звонков. Скорее всего, прослушивают не всех подряд, это очень ресурсозатратно. Но технологии прослушивания развиваются, и всё возможно в скором будущем.
Как узнать, прослушивают ли ваш мобильный телефон? Многие считают, что на прослушку указывают щелчки, эхо или другие помехи во время разговора. Но нет. Узнать, прослушивают вас сейчас или нет, практически невозможно, поскольку это радиосвязь.
В последнее время активно используются разные технологии перехвата SMS. Мессенджеры и многие сервисы привязываются к номеру телефона. Он стал нашим ID – как бы дополнительным паспортом, по которому можно нас идентифицировать. И если кому-то очень надо взломать какой-то наш сервис, он может воспользоваться такой технологией перехвата SMS.
Ещё работает подмена номера – это когда выпускают виртуальную SIM-карту или крадут наш номер телефона. Также госорганы могут запросить у мобильного оператора информацию о нашем местоположении в прошлом или сейчас. Могут заблокировать услуги связи, что хорошо видно во время массовых акций, когда люди собираются в одном месте и там практически ложится связь. Это может быть вызвано проблемами со связью, но иногда специально обрубают коммуникацию.
Самая базовая рекомендация для защиты коммуникации через мобильную связь: ничего важного по телефону не говорить и не писать в SMS. Безопаснее воспользоваться интернет-сервисами.
2. Интернет-коммуникация: как работает и где опасности?
Бывает, открываешь сайт – и браузер предупреждает, что это соединение не защищено. Перед адресом ещё можно увидеть http. Что это значит?
Тот, кто управляет роутером, и все интернет-провайдеры по пути к сайту могут видеть, на какую именно страницу вы сейчас зашли и сколько времени там провели. Если сервис для общения использует незащищённое соединение, то все, кто хотят прослушать наш трафик, могут видеть, что мы пишем или, например, комментируем под статьёй.
Если мы заходим на сайты с незащищённым соединением, то интернет-провайдеры или кто-то ещё, кто управляет этими коммуникациями, могут подсунуть нам вредоносный код. Или перенаправить на сайт, который может выглядеть, как нужный нам, но будет содержать другую информацию.
Большинство топовых сервисов – такие, как Facebook, Telegram, Skype, Zoom, Gmail, YouTube, – давно использует по умолчанию защищённое соединение. Оно обозначается в адресной строке как https. Когда мы читаем статьи, либо комментируем, либо отправляем какую-то информацию на сайте с защищённым соединением, всё это зашифровано.
При этом администраторы роутера, или хакеры, которые находятся между нашим устройством и сайтом, или интернет-провайдеры видят, какой сайт мы открыли и какие объёмы информации скачали. Но не видят, что мы сейчас конкретно делаем на сайте. Это видно только людям, которые имеют доступ к сайту. Плюс история браузинга хранится на нашем устройстве.
Если вы видите надпись «защищённое соединение», это не значит, что всё зашифровано и на вашем устройстве, и на сайте. Это говорит только о том, что канал связи между вашим устройством и сайтом или сервисом зашифрован. Вы не можете повлиять на то, будет ли соединение защищённым. Это решают разработчики сайта.
Важный момент – юрисдикция сервисов, то есть то, где сервисы находятся. Если говорить о Беларуси, более безопасно пользоваться зарубежными сервисами, к которым местные власти не могут просто так получить доступ. Многие западные сервисы публикуют отчёты – по-английски они называются Transparency Reports. Их можно легко найти в интернете, написав Google Transparency Report или Facebook Transparency Report и так далее. В этих отчётах сервисы публикуют информацию за определённый период о том, сколько раз и какие государства обращались к ним с просьбой выдать информацию об их пользователях.
У нас это СОРМы, в народе – «чёрные коробочки». Они устанавливаются у операторов мобильной связи, интернет-провайдеров и сервис-провайдеров. Сложно сказать, в каких именно сервисах они стоят. Раньше, до появления СОРМов, спецслужбам надо было просить интернет-провайдера выдать такую-то информацию по такому-то пользователю, или по IP, или по дате и месту. Сейчас это всё автоматизировано, централизовано.
Юрисдикция сервисов важна как раз из-за СОРМов. Если сервис базируется в нашей стране, то местным властям не составит труда выудить информацию из него. Если сервис находится в далекой от нашей страны юрисдикции, то им будет очень трудно или практически невозможно получить эту информацию.
В Беларуси есть документ «Об утверждении Положения о порядке взаимодействия операторов электросвязи с органами, осуществляющими оперативно-розыскную деятельность». Там написано, где используются СОРМы, кто и за чьи деньги обязан их устанавливать.
О зашифрованном соединении. Его ещё называют «шифрование из конца в конец», или «end to end encryption». Если сервис использует его, значит, не хранит и не может собирать конфиденциальную информацию. Signal, WhatsApp и Telegram Secret Chat (только Secret-чаты!) технически не могут видеть, о чём мы с вами общаемся в них. У Signal и WhatsApp зашифрованы по умолчанию и групповые чаты, и звонки. Если к этим сервисам придут из правительственных органов или силовых структур и потребуют выдать информацию по какому-то пользователю, сервисы не смогут этого сделать.
Нет самого безопасного мессенджера. Всё зависит от ситуации. Помните, что на ваших устройствах и на устройствах ваших собеседников сообщения не зашифрованы. Нужно дополнительно настраивать защиту устройств.
Говоря о защите коммуникаций, трудно обойти стороной VPN-сервисы. Что же такое VPN-сервис, и от чего он нас защищает, а от чего нет?
VPN-сервис практически всегда состоит из программной части на нашем устройстве, а также VPN-сервера. Если мы запускаем VPN, то между нашим устройством и VPN-сервисом образуется зашифрованный туннель.
Интернет-провайдер видит, что мы соединились с каким-то компьютером, может знать, что мы сейчас используем VPN, но не может видеть, на какие сайты мы ходим и какими сервисами пользуемся, пока подключён VPN. Какие есть подводные камни? VPN-сервис становится тем интернет-провайдером, который собирает всю историю нашего браузинга.
VPN-сервис – дорогостоящая инфраструктура. Бесплатные VPN-сервисы зарабатывают на наших с вами данных или метаданных, которые мы отдаем этим сервисам, – например, подсовывая нам рекламу. Поэтому надо внимательно выбирать VPN-сервисы и пользоваться только теми, которым вы доверяете.
Какой VPN выбрать? Сайт TorrentFreak из года в год опрашивает VPN-сервисы и публикует результаты на английском языке. Один из вопросов, который задают сервисам: храните ли вы детальную информацию о пользователях или об истории браузинга, какие-то логи (автоматически создаваемые хронологические протоколы работы программы или устройства – прим. ред.)? Это исследование может помочь вам выбрать VPN-сервис.
Из бесплатных VPN-сервисов я бы порекомендовал Psiphon. Он живёт на грантовые деньги и разрабатывался изначально как VPN-сервис для журналистов, которые работают в странах со сложными условиями. Можно бесплатно пользоваться этим VPN-сервисом с некоторыми ограничениями по скорости. Дальше идут или условно бесплатные, или платные VPN-сервисы. Они не ограничивают скорость, если вы их купили, и имеют ещё много свойств и плюсов. Например, можно купить один аккаунт и использовать его на многих устройствах.
3. Чем отличается оценка рисков от паранойи?
Чтобы оценить риски, задайте себе несколько вопросов. Что мы хотим защитить? Где это находится? От кого мы хотим это защитить? Что с этим может случиться, и какие будут последствия?
Полученные риски выстройте по приоритету. Если бросаться защищать всё сразу, то, скорее всего, вам не хватит ресурсов на безопасность. А если получится оценить риски и свои усилия и направить ресурсы на самые большие риски, то можно их минимизировать.
Начните с базовой инвентаризации, или самоинвентаризации. Выпишите всё важное, что у вас есть: какие компьютеры и мобильные устройства, на каких операционных системах, какое сетевое оборудование. Если мы говорим о доме или офисе, практически у каждого/ у каждой установлены как минимум роутеры. Посмотрите, какие сервисы вы используете для коммуникации, где больше всего чувствительной информации, какие мессенджеры у вас есть, на какие сайты вы заходите и что из этого вы хотите защитить больше всего.
После этого подумайте, нужен ли вам платный или бесплатный VPN, стоит ли дополнительно защищать ваши каналы коммуникации или сконцентрироваться на других проблемах.
Люди думают, что есть набор программ, утилит, которые установишь – и все вопросы безопасности будут решены. Но это не так. Программы и утилиты – только инструменты, которые нам помогают или, наоборот, создают проблемы.
