Даты
Парады

Тэлефон шмат ведае пра вас. Ці здасць ён вас КДБ?

04.05.202112:56

Спыталі спецыялістаў пра пагрозы інфармацыйнай бяспекі, актуальныя ў Беларусі 2021 года. Галоўная пагроза – фізічны гвалт. Але яна не адзіная.

Фота: ЛП / Белсат

Што найперш варта зрабіць дзеля інфармацыйнай бяспекі?Сцісла:

  • Не весці важных размоваў праз звычайныя тэлефанаванні і SMS.
  • Не публікаваць у адкрытым доступе ў інтэрнэце свае прыватныя звесткі, як то нумар банкаўскай карткі ці хатні адрас.
  • Карыстацца VPN пры перадачы асабістых звестак ці наведванні сайтаў, за якія могуць пакараць з палітычных прычынаў.
  • Пазбягаць выкарыстання мабільных праграмаў дзяржаўных органаў ці каляўладных арганізацыяў, карыстацца іх ўэб-старонкамі.
  • Пры ўсталёўванні любой праграмы глядзець, што ёй дазволена, і па магчымасці забараняць праграме доступ да таго, што ёй не патрэбна.
  • Выдаляць перапіску з асабістымі звесткамі або наладзіць аўтавыдаленне перапіскі.
  • Па магчымасці выкарыстоўваць двухэтапную аўтэнтыфікацыю праз пароль і праграму генерацыі кодаў (але не праз SMS).
  • Рэгулярна абнаўляць праграмнае забеспячэнне і карыстацца антывіруснымі праграмамі на неабноўленых аперацыйных сістэмах (або на тэлефонах, на якія ўсталёўваеце праграмы з неафіцыйных крыніцаў).

Тэлефанаванні і SMS могуць перахапіць без праблем

Сябра праваабарончай арганізацыі «Human Constanta» Аляксей Казлюк называе мабільны тэлефон «фактычна прыладай, якая сочыць за намі», але пытанне ў тым, каму належаць звесткі, атрыманыя праз такое сачэнне.

«Геалакацыя любога абанента ў Беларусі адсочваецца, і доступ да гэтай геалакацыі могуць атрымаць зламыснікі, а таксама сілавікі ў пэўных прадугледжаных законам выпадках. – нагадвае Казлюк. – Інфармацыя, якая перадаецца праз звычайныя каналы сувязі, як то тэлефанаванне ці SMS, можа быць лёгка перахопленая, а сілавікі могуць атрымаць у рэальным часе доступ праз сістэму аператыўна-вышуковых мерапрыемстваў. Чалавек пра гэта ведаць не будзе, як і мабільны аператар».

Пры тым, кажа Казлюк, зламыснікі могуць перахопліваць і SMS-паведамленні, якія выкарыстоўваюцца для двухэтапнай аўтэнтыфікацыі (калі разам з паролем трэба ўводзіць дадатковы код). У Беларусі гэта ўжо «сталая практыка», сцвярджае ён. Некаторыя праграмы, мэсэнджары і сацсеткі дазваляюць рабіць двухэтапную аўтэнтыфікацыю праз праграму – генератар кодаў. Калі ёсць магчымасць карыстацца ёй, лепей адмовіцца ад кодаў праз SMS.

Перахапіць інтэрнэт-трафік цяжэй

Больш складанае пытанне з перахопліваннем інтэрнэт-трафіку: тут карыстальнікі могуць сябе абараніць, бо большая частка інтэрнэт-трафіку зашыфраваная, тлумачыць ён. Але ёсць тры асноўныя выключэнні.

  1. Да сілавікоў можа трапіць разблакаваны тэлефон ці камп’ютар (затрыманы чалавек можа адмовіцца паведаміць пароль, але праваабаронцы ведаюць пра выпадкі збіцця дзеля здабычы паролю).
  2. Правайдары абавязаныя захоўваць як мінімум цягам году гісторыю злучэнняў усіх абанентаў (змест кантэнту не бачны, але бачна, з якіх сайтаў ці праграмаў гэта чытаецца), і сілавікі могуць законна атрымаць гэтую інфармацыю.
  3. Зламыснікі могуць усталяваць на разблакаваны ці ўзламаны тэлефон ці камп’ютар шпіёнскую праграму (нядаўнія змены ў закон «Аб аператыўна-вышуковай дзейнасці» дазваляюць сілавікам рабіць такое).

«Самы просты спосаб узлому – гэта фізічны гвалт, – кажа «Белсату» яшчэ адзін спецыяліст у інфабяспецы, які пажадаў застацца ананімным. – Тут як цяпер працуе: спачатку чалавека бяруць, а пасля ўжо пачынаюць шукаць, вымушаюць разблакаваць тэлефон, глядзяць ягоныя кантакты, перапіску, перадусім у Telegram».

Спецыяліст раіць наладзіць аўтаматычнае выдаленне паведамленняў у мэсэнджарах, калі ў вашай перапісцы штосьці можа абурыць сілавікоў. Той жа Telegram умее аўтаматычна выдаляць паведамленні праз 1 дзень ці праз тыдзень.

Аўтавыдаленне перапіскі ў Telegram уключаецца не самым відавочным шляхам: трэба зайсці ў кожны чат, дзе хочаце наладзіць выдаленне, у меню знайсці пункт «Ачысціць гісторыю», і ўжо ў ім наладзіць аўтаматычнае ачышчэнне. Скрыншот: belsat.eu

«Жучком» тэарэтычна можа быць любая праграма

Многія мабільныя праграмы для сваёй працы патрабуюць доступ да месцазнаходжання карыстальніка, да камеры, мікрафона, календара, файлавай сістэмы і іншых функцый.

Праграмы, створаныя ў Беларусі, таксама просяць такія дазволы. У ліку праграмы ад дзяржаўнага тэлеканалу, сэрвісу аплаты праезду ў грамадскім транспарце, папулярнай сеткі крамаў з дастаўкаю тавараў. Спецыяліст у інфармацыйнай бяспецы разважае: цяпер «ніхто не можа забараніць беларускім сілавікам запатрабаваць доступ да гэтых звестак» у распрацоўнікаў, якія застаюцца ў Беларусі.

Дазволы, якія просяць беларускія мабільныя праграмы дзяржаўнага тэлеканалу (злева), аплаты праезду (у цэнтры) і дастаўкі харчоў (справа). Скрыншот: belsat.eu

Спецыяліст заклікае ацэньваць, наколькі той ці іншай праграме патрэбныя такія дазволы: калі ад навігатару мала сэнсу без дазволу да лакацыі, то для дастаўкі прадуктаў такі дазвол не абавязковы, адрас можна ўвесці і ўручную. Некаторыя праграмы адмаўляюцца запускацца без усіх дазволаў, іншыя ж працуюць, нават калі ім забараніць карыстацца камерай, мікрафонам ці лакацыяй.

Пэўная абарона ўбудаваная ў аперацыйную сістэму: праграмам нельга без «асэнсаванага» дазволу ад карыстальніка сачыць за лакацыяй у фонавым рэжыме або таемна ўключаць мікрафон. Некаторыя версіі аперацыйных сістэмаў дазваляюць даць «дазвол на адзін раз».

Дазвол на доступ да вашай камеры можа папрасіць і «Белсат». Але толькі тады, калі вы самі націсніце на кнопку «выслаць фота» і вырашыце зрабіць гэтае фота праз праграму «Белсату». Скрыншот: belsat.eu

На практыцы АМАП таннейшы за хакераў

Аляксей Казлюк кажа, што не чуў , каб беларускія сілавікі выкарыстоўвалі для сачэння звычайныя праграмы кшталту аплаты праезду ці дастаўкі ежы. Але адзначае: нельга дакладна казаць, якія метады не выкарыстоўваюцца сілавікамі, бо вядома толькі пра тое, што заўважылі пацярпелыя.

Напрыклад, з адкрытых дзяржаўных закупаў было вядома, што следчыя збіраліся набыць прылады для ўзлому тэлефонаў пры фізічным доступе да апарата. А пра закупы праграмаў-жучкоў не паведамлялі.

«Ёсць розныя варыянты, як атрымаць інфармацыю, – разважае Казлюк. – Напрыклад, Саудаўская Аравія, каб праслухоўваць прылады актывістаў, выкарыстоўвала ўразлівасці, узлом якіх каштаваў каля мільёна долараў. Зразумела, што беларускія ўлады наўрад ці будуць выдаткоўваць такія грошы, ведаючы, што можна тое самае рабіць дастаткова таннай працай АМАПу».

Hавiны
«Засунулі гранату ў майткі». Дзве гісторыі затрымання ў Менску
2020.08.13 20:05
Даведка
VPN – віртуальная прыватная сетка. Шматлікія праграмы, платныя і бясплатныя, даюць доступ у інтэрнэт праз такую сетку. Правайдар тады не бачыць, якія сайты наведвае карыстальнік. Многія VPN-сервісы яшчэ і шыфруюць трафік.

Тэарэтычна спецслужбы могуць даведацца, колькі байтаў на які сайт ці ў якую праграму карыстальнік адсылаў у канкрэтную секунду. Хадзілі чуткі, што праз гэта нібы вылічвалі ананімных адміністратараў Telegram-каналаў і чатаў: сілавікі нібыта глядзелі, хто з абмежаванай групы людзей загружаў у Telegram у нейкі момант відэа ці фота вядомага памеру.

Спецыяліст у інфабяспецы кажа, што, паводле яго звестак, выкарыстанне такога складанага спосабу маларэалістычнае, дый ад гэтага можна лёгка абараніцца, калі ўключыць VPN-сервіс. А VPN-сервісамі ў Беларусі пасля 2020 года ўмеюць карыстацца многія.

Ці бяспечна казаць «Голасу», што вы «за» ці «супраць» плану Ціханоўскай?

Даведка
Платформа «Голас» збірала ад карыстальнікаў фота бюлетэняў на прэзідэнцкіх выбарах 2020 года і ладзіла шэраг апытанняў беларусаў. Для «кантакту» з платформай выкарыстоўваюцца мэсэнджары Telegram і Viber. Паводле звестак «Голасу», на ім зарэгістраваліся звыш 1,6 млн карыстальнікаў.

Месяц таму ў адным з Telegram-каналаў з’явілася заява пра тое, што база нумароў тэлефонаў карыстальнікаў платформы «Голас» выстаўленая на продаж. Стваральнік платформы Павел Лібер катэгарычна абвяргаў гэта: казаў, уцечак не было, платформа вельмі сур’ёзна клапоціцца пра бяспеку. З таго часу «злітую базу» не публікавалі ні цалкам ні часткова, а пра «пакаранні за карыстанне» платформай не паведамлялі.

«Viber і Telegram гарантуюць высокую бяспеку карыстальнікам ботаў, – тлумачыць Лібер «Белсату». – Платформы перадаюць ботам мінімум звестак: унутраны id карыстальніка на платформе, звесткі яго публічнага профілю, у выпадку Viber – выбраную мову. І Viber, і Telegram дазваляюць запытаць тэлефон карыстальніка, на які зарэгістраваны акаўнт, і лакацыю – але з абавязковым пацвярджэннем карыстальніка».

Hавiны
«Голас» абвяргае ўзлом сваёй базы: Дадзеныя карыстальнікаў у поўнай бяспецы
2021.04.03 15:05

Мэсэнджары цяпер самі шыфруюць перапіску і хаваюць камунікацыю між карыстальнікам і серверам – нельга дыстанцыйна адсачыць, што карыстальнік піша менавіта чат-боту «Голасу», а не іншаму чалавеку. Нумар тэлефона, які пры рэгістрацыі запытвае ў мэсэнджара «Голас», захоўваецца ў зашыфраваным (а дакладней, загэшаваным) выглядзе, таму базы нумароў тэлефонаў не мае нават распрацоўнік, запэўнівае Лібер.

Ён згадвае, што пры стварэнні платформы разглядалі ў якасьці магчымага варыянт не з мэсэнджарамі, а з ўэб-старонкай галасавання. Але тады б давялося высылаць SMS-коды, каб пацвердзіць, што чалавек мае беларускую сім-карту (так хацелі абараніцца ад «накрутак» галасавання з-за мяжы), а для гэтага прыйшлося б або прывязваць да платформы беларускую юрыдычную асобу, або слаць коды з-за мяжы, што каштавала б дорага.

Спецыяліст у інфармацыйнай бяспецы кажа, што давядзецца верыць або не верыць на слова стваральнікам «Голасу» адносна бяспечнага захоўвання базы карыстальнікаў – нейкага незалежнага аўдыту іх сістэмы не публікавалі, а ўвесь праграмны код не выкладвалі ў вольны доступ для праверкі экспертамі.

Ды і сам Павел Лібер заклікае ацэньваць рызыкі ў кожным выпадку, калі вы перадаяце камусьці свае персанальныя звесткі. Але ён схіляецца да таго, што ў лічбавым асяродку больш трэба сцерагчыся махляроў:

«Звычайна зламыснікам патрэбныя вашыя грошы, а не вы самі, у адрозненне ад спецслужбаў, – разважае ён. – А ў спецслужбаў дастаткова спосабаў знайсці вас і без хакерства: камеры назірання і вышкі сотавай сувязі ёсць амаль усюды».

АА belsat.eu

інфармацыяКДБмабільнікі
Стужка навінаў