Сегодня я расскажу вам о том, как именно это происходит, и дам советы, как можно хотя бы отчасти обезопасить свои гаджеты и усложнить работу силовикам (и хакерам).
Всем салют, дорогие друзья! Личные устройства россиян, все чаще подвергаются взломам со стороны силовиков. Да, время сейчас такое, вас легко могут заподозрить в чем-то противозаконном, пусть даже вы ничего и не делали. Государство предпринимает все больше усилий, в попытках получить доступ к данным, которые можно использовать для уголовного преследования. Сегодня я расскажу вам о том, как именно это происходит, и дам советы, как можно, хотя бы отчасти, обезопасить свои гаджеты и усложнить работу силовикам (и хакерам).
Сначала главное: выключенная биометрия и общение в зашифрованных приложениях — это не пожелание, а необходимость
⚠️ Включенные Face ID и Touch ID существенно упрощают взлом как для силовиков, так и для хакеров. Так что лучше выключите их.
✅ Полезная привычка — переписываться только в тех мессенджерах, где поддерживается end-to-end шифрование (например, Session или секретные чаты Telegram), а также пользоваться автоудалением сообщений раз в какое-то время.
Если вся важная информация быстро исчезнет, то и предъявлять вам будет нечего.
Стоит еще раз проверить, везде ли (где возможно) настроена двухфакторная аутентификация
⚠️ С двухфакторной аутентификации начинается, кажется, любая инструкция по цифровой безопасности — но повторить это крайне важно, поскольку этот уровень защиты уже сильно затрудняет взлом.
❌ Самый простой вариант, когда первый фактор — пароль, а второй — SMS, считается в IT-сообществе небезопасным из-за уязвимостей и опасности перехвата сообщений.
✅ Предпочтительнее приложения-генераторы одноразовых кодов вроде Google Authenticator, Authy и FreeOTP.
Правда, если при обыске изымут устройства с двухфакторной аутентификацией, то владелец сам останется без доступа к аккаунтам. Порой на этот случай достаточно списка из одноразовых кодов (например, для Google), но хранить его стоит не дома, а в другом, неочевидном для силовиков месте. Иначе они запросто получат доступ к вашим персональным данным.
Лучше забыть про облачные сервисы, если нужно передать что-то очень важное
⚠️ Запомните: использование облаков любых коммерческих компаний — небезопасно. Вне зависимости от юрисдикции их владельцев. Нужно быть готовым, что российские спецслужбы могут запросить доступ к конкретным данным того или иного пользователя.
❌ Если компания — владелец «облака» намерена хоть в каком-то виде оставаться в России и сочтет обращение «корректным», то есть составленным согласно ее внутренним правилам, она одобрит этот запрос. Скорее всего, так поступят даже западные компании, и даже после начала войны — они, пусть и более осторожно, реагируют на обращения российских властей, несмотря на собственные ограничения и «приостановки» в работе. То есть по большому счету не так важно, чем вы пользуетесь — «Яндекс.Диском» или «Google.Диском».
❌ От файлообменников или других сервисов, которые включены в реестр организаторов информации Роскомнадзора, тоже следует воздержаться.
✅ Облаками пользоваться куда безопаснее, если они используют end-to-end шифрование: к примеру, Proton Drive, Keybase Filesystem или Tresorit. При защищенном обмене данных владельцы виртуальных хранилищ попросту не смогут ничего выдать — доступа у них нет.
Если пересказать кратко работу этих утилит, то при выборе файла, который необходимо отправить, генерируется код; его нужно сообщить адресату любым защищенным способом (например, голосом в мессенджере Signal); тот его вводит, после чего устанавливается прямое зашифрованное соединение между двумя людьми. Лучше всего при отправке включать прокси-сервер или VPN, чтобы скрыть IP-адрес и следы устройства, с которого совершаются потенциально подозрительные для силовиков действия.
Вы наверняка пользуетесь VPN хотя бы иногда — лучше делать это все время
Кажется, в России так часто возникают ситуации, когда приходится применять способы обхода блокировок, что практически каждый пользовался ими хотя бы однажды. Я советую использовать VPN всегда.
✅ Лучшим вариантом будет поднятие собственного VPN, об этом я уже подробно рассказывал на канале.
Записывая файлы на флешку, будьте аккуратны. Не забудьте удалять их — причем полностью
❌ Обычного удаления данных с флеш-карты или другого физического носителя недостаточно. Более того, даже если файлы сильно повреждены, у силовиков будет возможность восстановить их благодаря сохранившимся фрагментам.
⚠️ Зачастую даже популярные сервисы по умолчанию предлагают быстрое форматирование, которое позволяет восстановить удаленные данные.
Поэтому имеет смысл полнодисковое шифрование флешек и других физических накопителей с помощью утилиты VeraCrypt. О ней я, опять же, уже рассказывал на канале.
✅ Конечно, надежнее всего хранить флешку с чувствительной информацией, например, в сейфе или другом офлайн-хранилище. А при необходимости лучшим уровнем защиты выступит молоток, то есть физическое уничтожение носителя.
Мало хранить информацию в зашифрованном виде — нужно отказаться еще от части удобств
⚠️ Кстати, о VeraCrypt. В некоторый случаях ФСБ удавалось обходить шифрование VeraCrypt с помощью физического доступа к компьютеру. Это происходило из-за того, что человек вместо выключения ПК оставлял его в спящем режиме. В таком случае пароль VeraCrypt мог остаться записанным в ОЗУ — и позже мог быть извлечен.
✅ Чувствовать себя увереннее поможет отключение компьютера вместо введения его в режим сна.
Следить могут, перехватывая данные с клавиатуры. Спасают (не всегда) бдительность и осторожность
⚠️ Шансов не заметить кейлоггер или стилер намного больше у пользователей Windows, чем у владельцев Mac.
✅ Самый простой совет — оперативно устанавливать последние обновления операционной системы (и рабочих браузеров). Обычно в апдейтах закрываются устаревшие уязвимости, которыми могут воспользоваться мошенники или спецслужбы.
✅ Меньше всего технологических возможностей для кейлоггеров оставляет Apple — так что журналистам, правозащитникам и активистам безопаснее всего пользоваться iPhone и iPad.
✅ Хотя кейлоггеры не могут отследить то, что не набирается на компьютере, функция запоминания паролей, скажем, в Google Chrome не слишком надежна. Так что и здесь лучшее средство — менеджер паролей.
⚡️ Несколько довольно очевидных, но важных советов:
Сохраняйте бдительность, если получаете подозрительные письма в почте (в том числе со ссылками, документами Office и PDF-файлами) и сообщения в соцсетях;
Не скачивайте программы из сомнительных источников и не подключайте к ноутбуку носители, если не уверены, что там внутри;
Чтобы защитить клавиатуру от несанкционированного доступа, порой хватает зарекомендовавших себя антивирусов, но и они не всегда успевают обезвредить уязвимости нулевого дня, российскими мы точно пользоваться не советуем;
Если же вдруг самое страшное — взлом с помощью кейлоггера — уже произошло (и вы это заметили), то не вводите пароли и другие персональные данные до обнаружения и удаления вредоносной (или как минимум подозрительной) программы. А затем смените все пароли.
Ни в коем случае не стоит оставлять без присмотра смартфон и компьютер — это грозит очень плохими последствиями
❌ Даже самых изощренных способов цифровой безопасности будет недостаточно, если, например, оставить в общественном месте смартфон или ноутбук незащищенным и отойти по делам. В этом случае есть риск получить на устройство вредоносную программу.
✅ Надежное решение — сделать так, чтобы ввод пароля требовался после каждого закрытия крышки ноутбука. В Windows достаточно включить эту функцию в «действиях при закрытии крышки» (раздел «Электропитание»), в Mac — в основном подразделе меню «Защита и безопасность».
⚠️ Если вы, к примеру, находитесь в гостинице и хотите оставить ноутбук в номере, можно сделать контрольные фотографии «до» и «после». Сделайте снимок задней части ноутбука, оставьте устройство в сейфе, уйдите, а по возвращении сделайте второй (с того же ракурса) и сравните внешний вид, в том числе «пломбы» (она ставится самостоятельно), на предмет несанкционированного доступа. Для Android есть даже специальное приложение, помогающее сравнивать фотографии в мельчайших деталях (вот еще решение для очень тревожных людей, но для него потребуется знание Linux).
⚡️ Конечно, нельзя исключать, что любые уровни защиты в итоге могут обойти с помощью психологического и физического давления со стороны силовиков. Но если следовать базовым советам, вы сможете чувствовать себя гораздо увереннее.
