Спросили специалистов об угрозах информационной безопасности, актуальных в Беларуси 2021 года. Главная угроза – физическое насилие. Но она не единственная.
Что прежде всего стоит сделать для информационной безопасности? Коротко:
- Не вести важных разговоров через обычные звонки и SMS.
- Не публиковать в открытом доступе в интернете свои частные данные, как то номер банковской карточки или домашний адрес.
- Пользоваться VPN при передаче личных данных или посещении сайтов, за которые могут наказать по политическим причинам.
- Избегать использования мобильных приложений государственных органов или околовластных организаций, пользоваться их веб-страницами.
- При установке любой программы смотреть, что ей разрешено, и по возможности запрещать программе доступ к тому, что ей не нужно.
- Удалять переписку с личными данными или настроить автоудаление переписки.
- По возможности использовать двухэтапную аутентификацию через пароль и программу генерации кодов (но не через SMS).
- Регулярно обновлять программное обеспечение и пользоваться антивирусными программами на необновленных операционных системах (или на телефонах, на которые устанавливаете программы из неофициальных источников).
Телефонные разговоры и SMS могут перехватить без проблем
Член правозащитной организации Human Constanta Алексей Козлюк называет мобильный телефон «фактически устройством, которое следит за нами», но вопрос в том, кому принадлежат данные, полученные из-за такой слежки.
«Геолокация любого абонента в Беларуси отслеживается, и доступ к этой геолокации могут получить злоумышленники, а также силовики в определенных предусмотренных законом случаях. – напоминает Козлюк. – Информация, передаваемая через обычные каналы связи, как то звонок или SMS, может быть легко перехвачена, а силовики могут получить в реальном времени доступ через систему оперативно-розыскных мероприятий. Человек об этом знать не будет, как и мобильный оператор».
При том, говорит Козлюк, злоумышленники могут перехватывать и SMS-сообщения, используемые для двухэтапной аутентификации (когда вместе с паролем нужно вводить дополнительный код). В Беларуси это уже «постоянная практика», утверждает он. Некоторые программы, мессенджеры и соцсети позволяют делать двухэтапную аутентификацию через программу-генератор кодов. Если есть возможность пользоваться ею, лучше отказаться от кодов через SMS.
Перехватить интернет-трафик труднее
Более сложный вопрос с перехватыванием интернет-трафика: здесь пользователи могут себя защитить, так как большая часть интернет-трафика зашифрована, поясняет он. Но есть три основных исключения.
- К силовикам может попасть разблокированный телефон или компьютер (задержанный человек может отказаться сообщить пароль, но правозащитники знают о случаях избиения ради добычи пароля).
- Провайдеры обязаны хранить как минимум в течение года историю соединений всех абонентов (содержание контента не видно, но видно, с каких сайтов или программ это читается), и силовики могут законно получить эту информацию.
- Злоумышленники могут установить на разблокированный или взломанный телефон или компьютер шпионскую программу (недавние изменения в закон «Об оперативно-розыскной деятельности» позволяют силовикам делать такое).
«Самый простой способ взлома – это физическое насилие, – говорит «Белсату» еще один специалист по инфобезопасности, пожелавший остаться анонимным. – Тут как сейчас работает: сначала человека берут, а потом уже начинают искать, вынуждают разблокировать телефон, смотрят его контакты, переписку, прежде всего в Telegram».
Специалист советует наладить автоматическое удаление сообщений в мессенджерах, если в вашей переписке что-то может возмутить силовиков. Тот же Telegram умеет автоматически удалять сообщения через 1 день или через неделю.
«Жучком» теоретически может быть любая программа
Многие мобильные программы для своей работы требуют доступ к местоположению пользователя, к камере, микрофону, календарю, файловой системе и другим функциям.
Программы, созданные в Беларуси, также просят такие разрешения. В том числе программы от государственного телеканала, сервиса оплаты проезда в общественном транспорте, популярной сети магазинов с доставкой товаров. Специалист по информационной безопасности рассуждает: сейчас «никто не может запретить белорусским силовикам потребовать доступ к этим данным» у разработчиков, которые остаются в Беларуси.
Специалист призывает оценивать, насколько той или иной программе нужны такие разрешения: если от навигатора мало смысла без разрешения к локации, то для доставки продуктов такое разрешение необязательно, адрес можно ввести и вручную. Некоторые программы отказываются запускаться безо всех разрешений, другие же работают, даже если им запретить пользоваться камерой, микрофоном или локацией.
Определенная защита встроена в операционную систему: программам нельзя без «осмысленного» разрешения от пользователя следить за локацией в фоновом режиме или тайно включать микрофон. Некоторые версии операционных систем позволяют дать «разрешение на один раз».
На практике ОМОН дешевле хакеров
Алексей Козлюк говорит, что не слышал, чтобы белорусские силовики использовали для слежки обычные программы вроде оплаты проезда или доставки еды. Но отмечает: нельзя точно говорить, какие методы не используются силовиками, так как известно только о том, что заметили пострадавшие.
Например, из открытых государственных закупок было известно, что следователи собирались приобрести устройства для взлома телефонов при физическом доступе к аппарату. А о закупках программ-жучков не сообщали.
«Есть разные варианты, как получить информацию, – рассуждает Козлюк. – Например, Саудовская Аравия, чтобы прослушивать устройства активистов, использовала уязвимости, взлом которых стоил около миллиона долларов. Понятно, что белорусские власти вряд ли будут тратить такие деньги, зная, что можно то же делать достаточно дешевым трудом ОМОНа».
Теоретически спецслужбы могут узнать, сколько байтов на какой сайт или в какую программу пользователь отсылал в конкретную секунду. Ходили слухи, что через это якобы высчитывали анонимных администраторов Telegram-каналов и чатов: силовики якобы смотрели, кто из ограниченной группы людей загружал в Telegram в какой-то момент видео или фото известного размера.
Специалист по инфобезопасности говорит, что, по его данным, использование такого сложного способа малореалистично, да и от этого можно легко защититься, если включить VPN-сервис. А VPN-сервисами в Беларуси после 2020 года умеют пользоваться многие.
Безопасно ли говорить «Голасу», что вы «за» или «против» плана Тихановской?
Платформа «Голос» собирала от пользователей фото бюллетеней на президентских выборах 2020 года и проводила ряд опросов белорусов. Для «контакта» с платформой используются мессенджеры Telegram и Viber. По данным «Голоса», на нем зарегистрировались свыше 1,6 млн пользователей.
Месяц назад в одном из Telegram-каналов появилось заявление о том, что база номеров телефонов пользователей платформы «Голос» выставлена на продажу. Создатель платформы Павел Либер категорически опровергал это: говорил, утечек не было, платформа очень серьезно заботится о безопасности. С тех пор «слитую базу» не публиковали ни полностью, ни частично, а о «наказании за пользование» платформой не сообщали.
«Viber и Telegram обеспечивают высокую безопасность пользователям ботов, – объясняет Либер «Белсату». – Платформы передают ботам минимум сведений: внутренний id пользователя на платформе, данные его публичного профиля, в случае Viber – выбранный язык. И Viber, и Telegram позволяют запросить телефон пользователя, на который зарегистрирован аккаунт, и локацию – но с обязательным подтверждением пользователя».
Мессенджеры теперь сами шифруют переписку и скрывают коммуникацию между пользователем и сервером – нельзя дистанционно отследить, что пользователь пишет именно чат-боту «Голоса», а не другому человеку. Номер телефона, который при регистрации запрашивает у мессенджера «Голос», хранится в зашифрованном (а точнее, в хешированном виде) виде, поэтому базы номеров телефонов не имеет даже разработчик, уверяет Либер.
Он вспоминает, что при создании платформы рассматривали в качестве возможного вариант не с мессенджерами, а с веб-страницей голосования. Но тогда бы пришлось высылать SMS-коды, чтобы подтвердить, что человек имеет белорусскую сим-карту (так хотели защититься от «накруток» голосования из-за границы), а для этого пришлось бы или привязывать к платформе белорусское юридическое лицо, или слать коды из-за границы, что стоило бы дорого.
Специалист по информационной безопасности говорит, что придется верить или не верить на слово создателям «Голаса» относительно безопасного хранения базы пользователей – какого-либо независимого аудита их системы не публиковали, а весь программный код не выкладывали в свободный доступ для проверки экспертами.
Да и сам Павел Либер призывает оценивать риски в любом случае, если вы передаете кому-то свои персональные данные. Но он склоняется к тому, что в цифровой среде больше нужно остерегаться мошенников:
«Обычно злоумышленникам нужны ваши деньги, а не вы сами, в отличие от спецслужб, – рассуждает он. – А у спецслужб достаточно способов найти вас и без хакерства: камеры наблюдения и вышки сотовой связи есть почти везде».
АА/ИР belsat.eu
