Конфиденциальность в сети Интернет для журналистов от Майкла Дегана

Интереснейшая публикация (с небольшими сокращениями) израильского эксперта о проблемах конфиденциальности и способах защиты информации в сети Интернет для журналистов. Об авторе: Майкл Деган в настоящее время начинает активно занимается контент-маркетингом для развивающихся компаний, до этого он 25 лет занимал руководящие редакторские должности в «Гаарец Груп», ведущем СМИ Израиля. На своем последнем рабочем месте он занимал должность заместителя главного редактора и отвечал за все операции, связанные с распространением печатных и цифровых версий издания на иврите и английском языках; также он отвечал за проведение конференций и аналогичных мероприятий.

  1. Введение

Многие журналисты со стажем (и не только они) не могли не заметить, что все мы вдруг стали постоянно слышать и видеть упоминания Уотергейтского скандала. На полках книжных магазинов стоят экземпляры «1984» Джорджа Оруэлла и подобные им, а угроза свободе слова и свободе печати медленно расползается как черное облако по всему Западному полушарию, заставляя нас вспоминать давние страхи.

Действующий президент США обвиняет экс-президента в тотальной слежке за своими гражданами, он закрывает доступ центральным СМИ США к своим пресс-конференциям, до этого считавшийся неоспоримым правом, он непрерывно обвиняет СМИ в том, что они являются злейшими врагами своей страны. Неудивительно, что на ум после каждого жалостливого твита о выпуске новостей SNL то и дело приходит эпоха президента Никсона. Неудивительно, что даже сенаторы от Республиканской партии, такие как Джон Маккейн, выражают страх за будущее демократии.

И Маккейн не одинок в своих опасениях. Многие журналисты, с которыми я недавно говорил, озабочены тем, что же станет дальше со свободой печати. Во времена, когда можно заявить, что NSA находится под контролем Дональда Трампа, и тебя при этом не просчитают лжецом, возможно все. Добавьте к этому тот факт, что недавние новости, касающиеся ЦРУ, показали нам, что почти каждую систему шифрования можно взломать при достаточной настойчивости, – и вот мы уже на пути к претворению в реальность мрачной антиутопии, где вы не сможете даже расслабиться на своем собственном диване перед своим собственным «умным» телевизором.

Хорошие новости в том, что все же можно помешать тем, кто попытается перехватить ваши электронные письма, сообщения или звонки. Вы можете принять меры, чтобы значительно усложнить жизнь тому, кто захочет раскрыть ваши источники и выудить информацию, которую вам сообщили. Конечно, то, насколько сильно вы готовы постараться защитить свою конфиденциальность, анонимность вашего источника и безопасность информации, всегда должно зависеть от вероятности подвергнуть все это реальной угрозе, будь то взлома или шпионажа.

«Старомодные обещания, типа «Я не раскрою личность своего источника и не отдам третьим лицам свои записи», уже ничего не стоят, если только вы не делаете что-то, что может действительно защитить ваши цифровые данные», – говорит Бартон Джеллман из газеты Washington Post, чей источник, Эдвард Сноуден (бывший служащий Агентства национальной безопасности США), помог обнародовать информацию о ряде операций АНБ и Центра правительственной связи Великобритании, дав интервью Тони Лоци. Сама же Лоци, освещавшая работу американской системы судебной защиты для изданий AP, The Washington Post и USA, и которая была обвинена в неуважении к суду за то, что отказалась открывать свои источники, возможно, одобрила бы это.

Итак, что же нужно сделать, чтобы надежно обезопасить рабочие материалы и источники журналиста? В общих чертах можно распределить советы по следующим категориям:

  1. Защита приложений и функций устройства— Эта тактика известна как уменьшение “поверхности атаки”. По сути, это ограничение числа установленных приложений до необходимого минимума, загрузка приложений только из надежных источников, выбор приложений, которые требуют меньше прав, поддержка системы в работоспособном и обновленном состоянии, а также наличие как можно меньшего количества систем безопасности (исходя из самых актуальных экспертных заключений, конечно же) на устройстве.
  2. Изоляция своих устройств и/или среды, в которой они функционируют— Например, физическая изоляция компьютера с целью работы над документами или использование предоплаченных мобильных устройств.
  3. Осмотрительное поведение как в виртуальном, так и в реальном мире— Этот раздел относится не столько к программному обеспечению, сколько к здравому смыслу. Например, никогда не записывайте имя источника, особенно в приложениях или документах, которые установлены или хранятся на вашем компьютере, и уж тем более нельзя делать этого в файлах, которые хранятся в облаке.

2. Коммуникация с источником и защита конфиденциальной информации

Начнем со списка действий, которые можно выполнить, когда вы общаетесь с источником и фиксируете конфиденциальную информацию, полученную от него:

  1. Не доверяйте программным продуктам крупных компаний:Всегда исходите из того, что в шифровальных системах крупных компаний и, возможно, даже в самых популярных операционных системах (в проприетарном ПО, иначе говоря) есть лазейки, через которые в них могут проникнуть секретные службы стран-производителей (как минимум, США и Великобритании). Брюс Шнайер, эксперт в области безопасности, поясняет эту мысль здесь.
  2. Защищайте данные на своем компьютере:Очень просто взломать обычные пароли, а вот на взлом кодовых фраз (случайных комбинаций слов) можно потратить годы. Мы рекомендуем воспользоваться безопасными системами управления паролями, такими как LastPass, 1Password и KeePassX. Вам нужно будет запомнить только один пароль вместо нескольких. И все же, когда вы работаете с важными сервисами (к примеру, вашей электронной почтой), не полагайтесь на диспетчеры паролей, а просто хорошенько запомните пароль. В интервью Аластейру Райду для издания journalism.co.uk Арьен Кампхёйс, эксперт по информационной безопасности, посоветовал для шифрования жестких дисков, защиты электронных писем и блокировки ноутбуков подбирать пароль, состоящий из более чем 20 символов. Чем длиннее пароль, тем сложнее его взломать… и запомнить. Поэтому эксперт рекомендует использование для этих целей кодовых фраз. «Это может быть что угодно, например, строка из вашего любимого стихотворения, – говорит Кампхёйс, – или строка, написанная вами в девятилетнем возрасте, о которой никто не знает». Райд выразил эту мысль наглядно, прибегнув к подсчетам с помощью вычислителя надежности пароля компании Gibson Research Corporation: пароль типа «F53r2GZlYT97uWB0DDQGZn3j2e», сгенерированный случайным образом, кажется очень надежным, и не зря, поскольку понадобится 1,29 сотен миллиардов триллионов столетий, чтобы перебрать все возможные комбинации, даже учитывая, что вычислительная техника проверяет сто триллионов комбинаций в секунду.
  3. Двухфакторная аутентификация:Это тоже неплохая идея. Используя обычную двухступенчатую аутентификацию, вы входите в систему при помощи своего пароля и получаете второй код подтверждения, обычно в текстовом сообщении, на свой смартфон. Вы можете использовать ключи Yubikey или аппаратный ключ безопасности, чтобы обеспечить еще более надежную защиту конфиденциальных файлов на своем компьютере. Чтобы узнать больше, прочитайте 7 золотых правил защиты с помощью паролей.
  4. Пусть у вас будет отдельный компьютер, на котором вы будете проверять подозрительные файлы и вложения:Самый простой способ распространять вредоносное и шпионское ПО – устанавливать его через USB-устройства или вложения и ссылки в электронных письмах. Поэтому рекомендуется использовать какой-то один физически защищенный компьютер, чтобы просматривать подобные потенциально опасные файлы в режиме карантина. С таким компьютером вы свободно сможете пользоваться USB-устройствами и загружать файлы из Интернет, но не передавайте эти файлы на ваш рабочий компьютер и не используйте на нем эти USB-накопители/устройства.
  5. 3. Как сохранить анонимность в Интернет?

История запросов может раскрыть или дать намеки на тему, над которой вы работаете, или, что еще хуже, намекнуть на личность вашего источника, а то и полностью ее раскрыть. Вот золотые правила безопасной работы в Интернет, а в следующей главе я расскажу, как защитить свою учетную запись электронной почты:

  1. Альтернативные поисковые системы.Самая популярная поисковая система (Google) сохраняет историю ваших запросов, чтобы скорректировать выдачу результатов. Чтобы отключить эту функцию персонализации, нужно щелкнуть на: Инструменты > Все результаты > Точное соответствие (под строкой поиска). Либо войдите в свой аккаунт Google на странице www.google.com/history, найдите список своих предыдущих запросов и удалите то, что вы хотите удалить, нажав кнопку «Удалить».
  2. Прямая обработка кратковременной памяти компьютера:Избавиться от слежения за вашей активностью в сети можно и с помощью удаления кеша DNS (системы доменных имен). Это можно сделать при помощи простых команд в операционной системе. Во время перезагрузки роутера, в котором иногда тоже есть DNS-кеш, или перезагрузки компьютера также перезагружается и DNS-кеш устройств (если в роутере он изначально есть).
  3. Избегайте веб-хранилищ HTML:Функция веб-хранилища встроена в HTML5, и, в отличие от cookie-файлов, сохраненную в нем информацию невозможно отследить или выборочно удалить. Веб-хранилище функционирует по умолчанию, поэтому, если вы пользуетесь браузерами Internet Explorer или Firefox, просто отключите его. Можно также воспользоваться расширением Better Privacy для Firefox, чтобы сохраненная информация удалялась автоматически. То же самое сделает расширение Click and Clean в Google Chrome.
  4. Три дополнительных типа расширений, которые могут повысить вашу безопасность.Чтобы проверить, является ли интернет-протокол, которым вы пользуетесь, защищенным протоколом https, можно установить расширениеHTTPS Everywhere, разработанное некоммерческой организацией Electronic Frontier Foundation (Фонд электронных рубежей), которая в числе прочих финансирует проект Tor Project. Это расширение советуют многие эксперты по информационной безопасности. С ним вы будете уверены, что веб-сайты, которые вы посещаете, используют надежный протокол, что, конечно же, не гарантирует защиту от всего на свете, но уже намного надежнее, чем незащищенный протокол. Второй тип расширений фильтрует данные, которые посредством JavaScript передаются веб-сайтам (чтобы оптимизировать вашу работу в сети, ага). Два самых известных расширения такого типа – этоScriptSafe и NoScript. Третий вариант – браузерное расширение Ghostery. Это расширение покажет, какие из 2000 компаний отслеживают вашу активность, и даст вам заблокировать нежелательных наблюдателей из этого списка. Опция приятная, но вы, скорее всего, не сможете заблокировать АНБ таким образом. Проект Privacy badger, разработанный EFF, работает схожим образом.

4. Как защитить свою электронную почту?

Как нам лучше защитить свою электронную почту? Проблема конфиденциальности электронных писем стоит еще более остро: компании Google и Microsoft скорее всего просто выдадут ваши личные письма госорганам, если их попросят об этом. Что же с этим делать?

  1. Безопасные расширения:Самое простое решение для тех, кто пользуется популярными электронными почтовыми службами типа Yahoo и Google заключается в том, чтобы установить плагин Mailvelope. При этом следует убедиться, что человек на «другом конце провода» тоже это сделал. Это расширение просто шифрует и расшифровывает электронные письма. Похожее, но менее функциональное расширение для Gmail, SecureGmail, работает аналогичным образом. Проходящие через плагин письма шифруются, и Google не может их расшифровать. Также можно воспользоваться простым расширением для Firefox — Encrypted Communication. Здесь вам понадобится придумать пароль, который будет знать получатель, но помните, что нельзя передавать пароли по электронной почте!
  2. Безопасные почтовые домены:Hushmail – пример почтового сервиса, в котором уровень безопасности выше, чем у большинства популярных сетей, которыми вы пользуетесь. Тем не менее, по решению суда правительство США также может обязать этот сервис передать личные письма пользователей, а ведь еще там хранятся записи об IP-адресах! Другой почтовый сервис со схожими функциями и уровнем безопасности – это Kolab Now, который среди прочих своих преимуществ выделяется тем, что все данные хранятся исключительно в Швейцарии.
  3. Одноразовые адреса электронной почты:Речь идет об электронном ящике, который создается специально для конкретной цели, он полностью анонимный и удаляется сразу же после использования. Такое решение широко применяется, когда люди регистрируются на различных сервисах и не хотят получать спам на почту, также это отлично помогает сохранить анонимность. Однако я бы не советовал журналистам общаться с источниками таким образом, поскольку безопасность при этом не на высоте. Есть десятки подобных почтовых сервисов, но британская газета The Guardian, к примеру, рекомендует пользоваться толькоGuerrilla Mail и Mailinator. Если вы будете пользоваться сервисом Guerrilla Mail в браузере Tor, это гарантирует, что даже сам сервис не сможет связать ваш IP-адрес и адреса электронной почты. Таким же образом, если вы пользуетесь специальной программой для шифровки электронных писем типа GnuPG, а также браузером Tor, вы в безопасности. Так что давайте немного поговорим о шифровании электронных писем.
  4. Как зашифровать свою почту? Журнал Wired опубликовал рекомендации от Мики Ли, технического специалиста по конфиденциальности, который работал с организациями EFF и First Look Media (вот его интервью с Эдвардом Сноуденом): шифрование сообщений электронной почты может быть довольно трудным делом. Зачастую пользователю нужно копировать свое сообщение и вставлять его в текстовое окно, а уж потом использовать PGP, чтобы зашифровать или расшифровать его (PGP – «Pretty Good Privacy» — программа шифрования, с помощью которой данные можно зашифровать и распознать). Вот почему Ли предлагает другой способ защиты электронных писем – сервис для работы с электронной почтой, где в приоритете конфиденциальность пользователей, например, net, почтовое приложение Mozilla Thunderbird, плагин шифрования Enigmail и еще один плагин TorBirdy, который направляет сообщения через Tor. В интервью с Капхёйсом для journalism.co.uk Райд пишет, что Гринвальд чуть не потерял свою историю об АНБ, потому что изначально проигнорировал все инструкции Сноудена о шифровании электронных писем. Другими словами, если вы хотите написать материал, который останется в веках, разумно соблюдать правила безопасности. Кампхёйс согласен с тем, что программе PGP можно доверять. Он вместе с Райдом объясняет это так: начав работу с программой PGP, вы получите общедоступный ключ (как номер вашего телефона, который известен всем), а также секретный ключ. Общедоступный ключ можно выложить в профиле Twitter, напечатать на визитках, указывать на веб-сайтах и вообще везде, где публикуются ваши работы, а вот личный ключ необходимо хранить в безопасности, как и другую конфиденциальную информацию. Затем, когда источник захочет поделиться с вами информацией, он воспользуется вашим общедоступным ключом, чтобы зашифровать свое сообщение, а расшифровать его можно будет только при помощи вашего личного ключа безопасности. Кампхёйс также посоветовал в этой связи версию PGP с открытым кодом – GNU Privacy Guard. Эта программа проста в установке, плюс у нее активное сообщество поддержки. Чтобы узнать больше о шифровании файлов, данных и жестких дисков, почитайте его бесплатную электронную книгу,опубликованную совместно с Силки Карло и выпущенную Центром расследовательской журналистики (CIJ); в ней подробно описан весь процесс. Если же вы захотите просто зашифровать сообщение без оглядки на почтовую службу, хорошей идеей будет создать zip-архив, защищенный паролем, а в этом вам поможет программа 7ZIP.
  5. Еще раз о прописных истинах:Да, я знаю, этот пункт снова касается безопасности «для начинающих», но постарайтесь не попадаться на удочку фишинга. Смотрите, чтобы в поле «От» входящего письма имя отправителя было написано абсолютно точно (без опечаток, неточностей и т.д.), поскольку кто-то может захотеть притвориться знакомым вам человеком. И последние несколько строк о шифровании электронных писем. Одна из действительно серьезных проблем, о которых нужно помнить, состоит в том, что даже после того, как вы зашифровали письмо, не все данные зашифрованы. Адреса электронной почты отправителя и получателя, тема письма, а также время и дата отправки письма, — все это остается видимым. Шифруются только само сообщение и приложения к письму.
  6. Заключение

Здесь я расскажу о самых радикальных советах, на которые я натолкнулся, когда писал эту электронную книгу.

Как сказал Мика Ли в своем интервью на тему конфиденциальности для WIRED: «Если ваш компьютер взломают – игра окончена. Создание виртуальной песочницы для серверов, посредством которых вы общаетесь, — хороший способ защитить оставшуюся часть системы. Tor – действительно выдающаяся сеть, которая скроет вашу личность в сети, но если ваш собеседник скомпрометирует себя, ваша анонимность тоже окажется под угрозой. Если вам действительно необходимо сохранить анонимность, вы должны постараться, чтобы защитить себя».

Журналист Тони Лоци описывает эту проблему еще более резкими словами в статье для гарвардского ресурса Nieman Foundation, опубликованной в электронной книге, посвященной будущему международной расследовательской журналистики: «Некоторые журналисты, специалисты в области вычислительной техники и адвокаты, специализирующиеся на защите личной информации, настолько взбудоражены, что советуют репортерам придерживаться методик старой школы… и полагаться на интервью в частном порядке и черепашью традиционную почту».

Я надеюсь, что моя работа помогла людям определенных профессиональных кругов и другим получить некоторое представление о том, что нужно и можно сделать, чтобы обезопасить себя и источники в это неспокойное время.

  1. Список источников настоящего электронного пособия
  • Безопасность для журналистов: как защитить свою информацию и свои источники

http://www.ire.org/blog/car-conference-blog/2016/03/12/security-journalists-how-keep-your-sources-and-you/

  • Как защитить свои данные, свои источники и себя

http://www.ire.org/blog/car-conference-blog/2017/03/05/securing-data-sources-and-yourself/

  • Наблюдение и безопасность: достаточно ли делают репортеры и новостные организации, чтобы защитить свои источники?

http://niemanreports.org/articles/surveillance-and-security/

  • Разоблачения стали мировым трендом: будущее международной расследовательской журналистики

http://niemanreports.org/books/muckraking-goes-global-the-future-of-cross-border-investigative-journalism/

  • Совершенное руководство о том, как сохранить конфиденциальность в сети

https://www.vpnmentor.com/blog/ultimate-guide-online-privacy/

  • Что такое DNS-кеш?

https://www.lifewire.com/what-is-a-dns-cache-817514

  • Как оставаться анонимным, чем бы вы ни занимались в сети

https://www.wired.com/2014/06/be-anonymous-online/

  • 19 способов сохранить анонимность и защитить свою конфиденциальную информацию в сети

https://www.extremetech.com/internet/180485-the-ultimate-guide-to-staying-anonymous-and-protecting-your-privacy-online

  • Эдвард Сноуден о том, как отстоять свое право на конфиденциальность

https://theintercept.com/2015/11/12/edward-snowden-explains-how-to-reclaim-your-privacy/

  • Информационная безопасность для журналистов: как защитить себя в сети?

https://www.journalism.co.uk/news/information-security-for-journalists-/s2/a562525/

  • АНБ отслеживает тех, кто пытается сохранить личные данные в тайне

http://files.gendo.nl/presentaties/CIJ_Infosec&countersurv_4-07-2014.pdf

  • Минюст Обамы официально обвинило журналиста в совершении преступления в деле об утечке информации

https://www.theguardian.com/commentisfree/2013/may/20/obama-doj-james-rosen-criminality

  • Ваши секреты из WhatsApp теперь в безопасности, но Большой Брат все еще следит за вами!

https://www.theguardian.com/commentisfree/2016/apr/10/whatsapp-encryption-billion-users-data-security

  • Преследуя разоблачителей, правительство Обамы грозит всем информаторам

http://www.bloomberg.com/news/2012-10-18/obama-pursuing-leakers-sends-warning-to-whistle-blowers.html

  • 6 ошибок при шифровании, которые приводят к утечке информации

https://www.crypteron.com/blog/the-real-problem-with-encryption/?gclid=Cj0KEQiA9P7FBRCtoO33_LGUtPQBEiQAU_tBgDgBzD9wIXv94vwhj3qwhc6ewEYY
eyjIeiXtMQiwF3caAsFn8P8HAQ

Майкл Деган, источник

 

При использовании материалов сайта обязательна прямая ссылка на grodno-best.info

ОСТАВЬТЕ ОТВЕТ

Загрузка...