Искусство цифровой самозащиты - Артимович Дмитрий
Вот кто-то после СОРМа за нас и заказал. Я, конечно, подозреваю, кто именно. Но не могу показать пальцем, а то еще расценят как клевету. Но, наверное, это те, кто позже получил по 20 лет за государственную измену.
Так что важность шифровать данные, например, до сервера в Германии есть. Все-таки в Европе, чтобы получить разрешение на съем данных с канала, нужно предоставить веские доказательства в суде. Не как у нас, когда решения суда потом штампуются задним числом. Особенно на фоне всяких «законов Яровой». Напомню, что закон Яровой заставляет всех операторов связи (интернета в том числе) хранить ваши звонки, СМС, исходящий трафик. Хоть закон и пропихивался под громкие антитеррористические лозунги, но я не верю в нашу правоохранительную систему. Оба моих столкновения с ней показывали мне только личную заинтересованность конкретных лиц. И это очень плохо.
Итак, я теперь пользуюсь OpenVPN – проектoм некоммерческим, с открытым исходным кодом. Информация о том, как настроить OpenVPN-сервер, выходит за рамки этой книги, да и в интернете много материалов по этой теме. Вы, конечно, можете воспользоваться платными сервисами, но помните:
• Крайне бесполезное ведомство Роскомнадзор периодически любит блокировать IP-адреса таких сервисов.
• Нельзя быть на 100 % уверенным, что ваш трафик не будет мониториться в случае чего.
• Исключите использование VPN-сервисов, принадлежащих компаниям с русскими корнями. Особенно в свете предыдущего пункта.
Файервол
Очень полезно настроить файервол на блокирование интернета без VPN: мало ли, у вас разорвется соединение. Правда, не все файерволы это умеют делать. Точно умеет делать ESET. Для этого нужно:
1. В Advanced Settings создать два профайла – Global и VPN. По умолчанию поставить профиль Global, а для TAP адаптеров OpenVPN (там же, в настройках) задать профиль VPN.
2. Дальше создаете 3 правила в разделе Rules. Одна правило для профиля Global – блокировать весь интернет; следующее правило – разрешить подключение (TCP или UDP) к IP-адресу VPN-сервера; и последнее, третье правило – разрешить все протоколы на профиле VPN.
В общем-то, логика простая: как только VPN подключается, весь интернет идет через профиль VPN, отключается через Global, который его блокирует.
На других антивирусах, я, конечно, пробовал не всё, так настроить интернет у меня не получилось. Например, на том же Касперском при такиx же настройках VPN-адаптер не работает.
Мессенджеры
Если вы дорожите приватностью вашей деловой переписки, помните: ни один мессенджер не безопасен. WhatsApp, Facetime, Viber читаются американскими спецслужбами, Telegram – российскими.
Telegram – это вообще отдельная история и целый спектакль. Напомню, что в марте 2018 года основатель Telegram Павел Дуров заявил, что мессенджер не выдаст ФСБ ключи шифрования даже под угрозой блокировки в России. По его словам, «абсолютная конфиденциальность» пользователей важнее всего. 13 апреля 2018 года Таганский суд Москвы вынес решение в пользу Роскомнадзора, тем самым позволив начать блокировку мессенджера на территории России.
Меня всегда настораживало то, что решением суда, в общем-то, всё и ограничилось. Никто не пошел заставлять Google и Apple удалить приложение Telegram из Google Play и App Store. Зато бесполезное ведомство Роскомнадзор стало рьяно что-то там блокировать, но Telegram оказался круче – он всех победил. Вдумайтесь: ведь бред же! Можете со мной не согласиться, но это был хорошо срежисcированный спектакль.
Вот вам ещё: внутренность работы Telegram описана на сайте Палача [56]. Telegram по умолчанию шифрует данные только до сервера (т. е., по сути, вся ваша переписка доступна), исходный код Telegram не такой уж и открытый – он публикуется только в части клиентских приложений пару раз в год, а часть, отвечающая за шифрование, и вообще закрыта.
Мой совет: не ведите важные переговоры с телефона. По сути, я не знаю ни одного мессенджера для телефона, который бы удовлетворял конфиденциальности переписки на все 100 %.
Мой второй совет: для защищенной переписки на компьютере используйте джаббер (Jabber) с плагином OTR, например Pidgin. И сам клиент, и плагин шифрования к нему OTR – ПО с открытым исходным кодом.
Я не встречал ни одного клиента Jabber с OTR, корректно работающего на смартфоне.
Всё написанноe выше так же относится и к общению в социальных сетях. Все они читаются.
Виртуализация
Какой бы хороший антивирус у вас ни стоял, как бы часто вы ни обновляли систему, всё равно риск заражения есть, особенно если вы активно серфите [57] по интернету. Поэтому я использую виртуализацию для изоляции наиболее ценных активов – например, криптокошельков, доступов к онлайн-банкам и т. д. Т. е. если вы подхватите какую-то заразу на основную систему, вряд ли она проникнет на виртуалку. Это еще удобно тем, что виртуалки можно бекапить и в случае чего очень быстро развернуть на другом компе, особенно если онлайн-банки требуют установки каких-либо сертификатов (чего стоит только наша Крипто-ПРО).
Из виртуализации выбирайте то, что нравится: VMWare или Virtual PC.
Смартфоны
По поводу телефонов:
Все андроиды с 6-й версии идут с шифрованием диска тоже. Проверить, закриптован ли телефон, можно через режим отладки утилитой ADB. У Google, скорее всего, есть резервный ключ, но русским его точно не дадут.
В любом случае я не рекомендую хранить на телефонах что-то важное и конфиденциальное. Конечно, вы можете установить на свой смартфон какую-нибудь операционную систему с открытым исходным кодом, найти шифровальщик. И при этом всё равно будете пользоваться всё теми же мессенджерами или вести переписку в соцсетях, так что толку не будет.
Как СССР следил за дипломатами США через печатные машинки
Вирус CIH
Заключение
Вы предприняли все действия для защиты ваших данных от кражи или злоупотребления служебным положением сотрудниками правоохранительных органов. Перечислим их снова:
1. Зашифровали системный диск, флешки, внешние накопители, используя сложные длинные пароли.
2. Установили сложный пароль на вход в операционную систему.
3. Отключили спящий режим, настроили гибернацию.
4. Позаботились о периодическом создании резервных копий.
5. Настроили VPN.
6. Разнесли важные финансовые данные на изолированные виртуальные машины.
Хотите больше?
1. Никогда не оставляйте компьютер включенным без присмотра. Если ваш компьютер изымут включенным, то теоретически можно будет вытащить ключи шифрования из оперативной памяти.