Темы

Создание культуры
безопасности
Прочная основа:
Защита
учетных записей и устройств
Коммуникации и
безопасное хранение данных
Безопасность
Интернете
Защита физической
безопасности
Что делать, когда
что-то пошло не так

Безопасность в Интернете

Безопасная работа в сети

Использование протокола HTTPS

Самый важный шаг к тому, чтобы ограничить возможность злоумышленника следить за вашим парламентом в Интернете, — это свести к минимуму объем доступной информации о вас и активности ваших коллег в Интернете. Всегда следите за безопасностью подключения к веб-сайтам: убедитесь, что URL (местоположение) начинается с «https» и в адресной строке браузера отображается маленький значок замка.

Когда вы работаете в Интернете, не используя шифрование, вводимая на сайте информация (включая пароли, номера счетов или сообщения), а также сведения о посещаемом сайте и страницах остаются незащищенными. Это означает, что (1) любые хакеры в вашей сети, (2) ваш сетевой администратор, (3) ваш интернет-провайдер и любая организация, с которой он может обмениваться данными (например, государственные органы), (4) интернет-провайдер сайта, который вы посещаете, и любая организация, с которой он может обмениваться данными, и, конечно же, (5) сам сайт, который вы посещаете, имеют доступ к довольно большому количеству потенциально конфиденциальной информации.

Давайте рассмотрим реальный пример того, как выглядит работа в Интернете без использования шифрования:

Диаграмма просмотра веб-страниц без шифрования с использованием только http
Выдержка из работы Проект Totem «Как работает интернет» (CC–BY–NC–SA)

При работе в Интернете без использования шифрования все ваши данные остаются незащищенными. Как показано выше, противник может увидеть, где вы находитесь, что вы заходите на сайт news.com, просматриваете страницу, посвященную протестам в вашей стране, и, возможно, самое главное, как член парламента или сотрудник парламентского аппарата, увидеть ваш пароль, который вы сообщаете для входа на сайт. Такая информация в чужих руках не только раскрывает вашу учетную запись, но и дает потенциальным злоумышленникам, где бы они ни находились, хорошее представление о том, что вы делаете или о чем думаете.

Использование протокола HTTPS («s» означает «защищенный») предполагает задействование шифрования. Это позволяет существенно повысить уровень защиты. Рассмотрим пример работы в Интернете с использованием протокола HTTPS (предполагающего шифрование):

Диаграмма просмотра веб-страниц с транзитным шифрованием по протоколу https
Выдержка из работы Проект Totem «Как работает интернет» (CC–BY–NC–SA)

При использовании протокола HTTPS потенциальный противник не увидит ваш пароль или иную конфиденциальную информацию, вводимую на веб-сайте. Однако он по-прежнему сможет видеть посещаемые домены (например, news.com). И хотя протокол HTTPS также предполагает шифрование информации о конкретных посещаемых страницах сайта (например, website.com/protests), искушенные противники все равно могут получить доступ к этой информации, просмотрев ваш Интернет-трафик. При использовании протокола HTTPS противник может узнать, что вы перешли на сайт news.com, но он не сможет увидеть ваш пароль, и ему будет сложнее (но не невозможно) узнать, что вы просматриваете информацию о протестах (используя текущий пример). В этом заключается принципиальная разница. Обязательно проверяйте наличие протокола HTTPS, прежде чем перейти к разделам веб-сайта или ввести конфиденциальную информацию. Вы также можете установить расширение браузера HTTPS Everywhere, чтобы протокол HTTPS использовался постоянно, или, если вы используете Firefox, включить режим только HTTPS в браузере.

Если браузер выдает предупреждение о потенциально небезопасном контенте на сайте, не игнорируйте его. Что-то не так. Ситуация может быть как абсолютно безобидной (к примеру, у сайта просрочен сертификат безопасности), так и опасной (сайт может оказаться поддельным или фальшивым). В любом случае, следует прислушаться к предупреждению и не переходить на этот сайт.

Использование зашифрованного протокола DNS

Если вы хотите затруднить (но не исключить) возможность получения сведений о посещаемых вами веб-сайтах провайдером доступа к Интернету, можно использовать зашифрованный протокол DNS. 

Если вам интересно, DNS расшифровывается как «система доменных имен». По сути, это телефонная книга Интернета, переводящая удобные для человека доменные имена (например, ndi.org) в удобные для Интернета адреса интернет-протокола (IP). Это позволяет людям использовать веб-браузеры для простого поиска и загрузки интернет-ресурсов и посещения веб-сайтов. Однако по умолчанию протокол DNS не зашифрован.

Чтобы использовать зашифрованный протокол DNS и в то же время немного повысить безопасность интернет-трафика, можно загрузить и запустить приложение Cloudflare’s 1.1.1.1 на компьютере или мобильном устройстве. Доступны и другие варианты использования зашифрованных протоколов DNS, включая Google 8.8.8.8, но их настройка требует больше технических процедур. В браузере Firefox зашифрованный DNS включен по умолчанию. Пользователи браузеров Chrome или Edge могут включить зашифрованный DNS в расширенных настройках безопасности браузера, включив «использовать безопасный DNS-сервер» и выбрав «С: Cloudflare (1.1.1.1)» или провайдером на выбор.

Cloudflare 1.1.1.1 с WARP шифрует ваш DNS и данные браузера, выполняя функцию обычного VPN. Хотя WARP не может полностью защитить ваше местоположение от всех веб-сайтов, которые вы посещаете, это простая в использовании функция, которая может помочь сотрудникам вашего парламента воспользоваться преимуществами зашифрованного DNS и дополнительной защитой от вашего интернет-провайдера в ситуациях, когда полноценная VPN либо не работает, либо требуется с учетом контекста угрозы. В расширенных настройках DNS-протокола версии 1.1.1.1 с WARP сотрудники могут также включить функцию 1.1.1.1 для членов семьи, чтобы обеспечить дополнительную защиту от вредоносных программ при доступе в Интернет.

HTTPS необходим, а зашифрованный DNS обеспечивает дополнительную защиту от слежки и блокировки сайтов, но если ваш парламент обеспокоен целенаправленной слежкой за вашей деятельностью в Интернете и сталкивается со сложной цензурой в Интернете (например, блокировкой сайтов и приложений), вы можете использовать надежную виртуальную частную сеть (VPN).

Что такое VPN?

VPN — это, по сути, туннель, который защищает от слежки и блокировки интернет-трафика, предотвращая доступ к конфиденциальным данным хакерам, сетевому администратору, провайдеру доступа к Интернету и всем, с кем они могут обмениваться данными. В крупных организациях, таких как парламент, «деловые» или «корпоративные» VPN часто используются для защиты целостности доступа к внутренним системам и приложениям (например, используемым для удаленного голосования). Независимо от того, используется ли личная VPN или предназначенная для деловых целей, концепция защиты вашего интернет-трафика от слежения в целом одинакова, и по-прежнему важно продолжать использовать HTTPS (даже при наличии VPN). Также очень важно убедиться, что вы доверяете VPN, которую использует ваш парламент. Рассмотрим пример работы в Интернете с использованием VPN:

фотография картирования
Выдержка из работы Проект Totem «Как работает интернет» (CC–BY–NC–SA)

Для более подробного описания VPN в данном разделе содержится ссылка на Пособие «Самозащита от слежки» от Фонда электронных рубежей:

Традиционные VPN предназначены для скрытия фактического сетевого IP-адреса пользователя и создания зашифрованного туннеля для Интернет-трафика между вашим компьютером (телефоном или любым сетевым «умным» устройством) и сервером VPN. Трафик в этом туннеле шифруется и отправляется вашему сервису VPN, что значительно затрудняет посторонним, например, провайдерам доступа к Интернету или хакерам в общедоступных сетях Wi-Fi, возможность отслеживать, изменять или блокировать ваш трафик. Трафик, покидающий VPN и направляющийся по адресу назначения, маскирует исходный IP-адрес пользователя. Это позволяет скрыть физическое местоположение пользователя от любого просматривающего трафик, после того как он покинет VPN. VPN обеспечивает большую конфиденциальность и безопасность, однако его использование не означает абсолютную анонимность в Интернете: у оператора VPN по-прежнему остается доступ к трафику. Кроме того, ваш провайдер доступа к Интернету также будет знать, что вы используете VPN, что может повысить ваш профиль риска.

Это означает, что очень важно выбрать надежного поставщика VPN. В некоторых странах, например, в Иране, враждебные правительства фактически создали свои собственные виртуальные частные сети, чтобы иметь возможность отслеживать действия граждан. Чтобы найти VPN, подходящую для вашего парламента и его сотрудников, вы можете оценить VPN, основываясь на их бизнес-модели и репутации, на том, какие данные они собирают или не собирают, и, конечно, на безопасности самого инструмента.

Почему не стоит использовать любой бесплатный VPN? Если коротко, то у большинства бесплатных VPN, включая предустановленные на некоторых смартфонах, есть один большой подвох. Как и все компании и поставщики услуг, VPN должны как-то себя обеспечивать. Если VPN-провайдер не продает свои услуги, то каким образом ему удается поддерживать свой бизнес на плаву? Он собирает пожертвования? Взимает плату за премиальные услуги? Его деятельность поддерживают благотворительные организации или фонды? К сожалению, многие VPN-провайдеры зарабатывают деньги, собирая и продавая данные пользователей.

Лучше всего выбрать VPN-провайдера, который не собирает данные. Если данные не собираются, они не могут быть проданы или переданы иностранному правительству по запросу. Просматривая правило конфиденциальности VPN-провайдера, обратите внимание, собирает ли этот VPN данные пользователей. Если в правиле явно не указано, что данные о пользовательских подключениях не регистрируются, скорее всего, VPN собирает данные пользователей. Даже если компания утверждает, что не регистрирует данные о подключении, это не всегда гарантирует ее правомерное поведение в будущем.

Имеет смысл разузнать об организациях, стоящих за данным сервисом VPN. Одобрен ли он независимыми специалистами по безопасности? Имеются ли о VPN свежие статьи в СМИ? Была ли компания когда-либо уличена в том, что вводила в заблуждение своих клиентов или лгала им? Если сервис VPN основан известными в сообществе информационной безопасности людьми, то ему будут больше доверять. Скептически отнеситесь к сервису VPN, с которым никто не хочет связывать личную репутацию или которым управляет никому не известная компания.

Поддельные VPN-сервисы в реальном мире

Изображение, демонстрирующее поддельную VPN

В конце 2017 года, после всплеска протестов в стране, иранцы начали обнаруживать «бесплатную» (но поддельную) версию популярного VPN-сервиса, распространяемую посредством текстовых сообщений. Бесплатный VPN-сервис, который на самом деле не работал, обещал предоставить доступ к Telegram, который на тот момент был заблокирован властями. К сожалению, поддельное приложение оказалось не чем иным, как вредоносной программой, позволяющей властям отслеживать перемещения и сообщения тех, кто его загрузил.

Так какой же VPN нам использовать?

Если, помимо обеспечения безопасности парламентского интернет-трафика, вам также необходимо решение для надежного ограничения доступа к внутренним парламентским системам и приложениям только для тех, кто находится в вашей парламентской сети (даже при удаленной работе), вам может понадобиться внедрение «деловой» или «корпоративной» VPN. Существует ряд вариантов с использованием различных технологий, которые вы можете рассмотреть, включая AnyConnect от Cisco, Global Protect от PaloAlto или Access от Cloudflare (технически система доступа с нулевым доверием, а не VPN), и это лишь некоторые из них. В любом случае такие системы требуют квалифицированного ИТ-персонала для внедрения и эффективного управления.

Если передовая «корпоративная» VPN-система либо выходит за рамки бюджета, либо слишком сложна для вашего парламента, вы также можете рассмотреть возможность использования персональных вариантов VPN, таких как ProtonVPN или TunnelBear (которые также предлагают план Teams для упрощения управления учетными записями) для всех членов парламента и персонала. Еще один надежный вариант - настроить собственный сервер с помощью Jigsaw Outline, где нет компании, управляющей вашей учетной записью, но взамен вы должны настроить свой собственный сервер.

Хотя производительность и скорость большинства современных VPN-сервисов значительно улучшилась, необходимо помнить, что использование VPN может снизить скорость просмотра, если вы используете сеть с очень низкой пропускной способностью, сталкиваетесь с высоким временем ожидания, задержками в сети или периодическими перебоями в работе Интернета. При работе с быстрым Интернетом рекомендуется по умолчанию использовать VPN все время.

Если вы рекомендуете сотрудникам использовать VPN, также важно убедиться, что VPN остается включенным. Это может казаться очевидным, но важно повторить, что установленный и при этом не работающий VPN не обеспечивает никакой защиты.

анонимность с помощью браузера Tor

Помимо VPN, вы, вероятно, слышали еще об одном инструменте для более безопасного использования Интернета — браузере под названием Tor. Важно понимать, что представляют собой оба вида, и почему вы можете использовать тот или иной.

Tor — это протокол для анонимной передачи данных через Интернет путем маршрутизации сообщений или данных через децентрализованную сеть. Подробнее о принципе работы Tor можно узнать по ссылке, но, если коротко, он направляет ваш трафик к месту назначения через множество узлов, при этом ни на одном узле не остается достаточно информации для раскрытия вашей личности и активности в сети.

Существует несколько отличий Tor от VPN. Самое главное, он отличается тем, что не полагается на доверие какой-либо одной конкретной точки (например, провайдера VPN). 

На следующей графической иллюстрации, разработанной Фондом электронных рубежей, показана разница между традиционным VPN и Tor.

Фотография способов коммуникации

Фотография способов коммуникации

Проще всего использовать Tor через веб-браузер Tor. Он работает как обычный браузер, за исключением того, что он перенаправляет весь трафик через сеть Tor. Браузер Tor можно загрузить на устройства, работающие под управлением ОС Windows, Mac, Linux или Android. Имейте в виду: используя браузер Tor, вы защищаете только ту информацию, доступ к которой получаете через этот браузер. Он не предоставляет никакой защиты для других приложений или загруженных файлов, которые вы можете параллельно открывать на своем устройстве.  Кроме того, имейте в виду, что Tor не шифрует трафик, поэтому, как и при использовании VPN, при работе в Интернете важно использовать передовые методы, включая протокол HTTPS.

Если необходимо, чтобы защита анонимности Tor распространялась на весь компьютер, более технически подкованные пользователи могут установить Tor в качестве общесистемного подключения к Интернету или перейти на операционную систему Tails которая по умолчанию перенаправляет весь трафик через Tor. Пользователи Android также могут использовать приложение Orbot для перенаправления всего интернет-трафика и трафика приложений через Tor. Независимо от того, как именно вы используете Tor, важно помнить, что в этом случае ваш провайдер доступа к Интернету не может видеть, какие именно веб-сайты вы посещаете, но *может* видеть, что вы используете сам Tor. Как и при использовании VPN, это может значительно повысить уровень риска, поскольку Tor не является очень распространенным инструментом и поэтому выделяется для недоброжелателей, которые могут отслеживать ваш интернет-трафик.

Таким образом, хотя, скорее всего, существует очень мало случаев, когда Tor необходимо использовать в парламентском контексте, если вы не можете позволить себе надежную VPN или ваш парламент работает в среде, где VPN регулярно блокируются, Tor может быть хорошим вариантом, если он легален, для ограничения влияния слежки и избежания цензуры в Интернете.

Существуют ли какие-то основания для того, чтобы не использовать VPN или Tor?

Помимо беспокойства по поводу ненадежных VPN-сервисов, самое важное, что следует учитывать, — это то, может ли использование VPN или Tor привлечь нежелательное внимание или, в местном масштабе, быть нарушением закона. Ваш интернет-провайдер не будет знать, какие сайты вы посещаете, используя эти сервисы, однако он может видеть, что вы подключены к Tor или VPN. Если это незаконно там, где работает ваш парламент или его сотрудники, или может вызвать больше внимания или риска, чем простая навигация в Интернете с помощью стандартного HTTPS и зашифрованного DNS, то, возможно, VPN или особенно Tor (который используется гораздо реже и поэтому является большим «красным флажком») не является правильным выбором.

Какой браузер выбрать?

Рекомендуется выбрать надежный браузер, например, Chrome, Firefox, Brave, Safari, Edge или Tor. Браузеры Chrome и Firefox очень широко используются и характеризуются высоким уровнем безопасности. Некоторые пользователи предпочитают Firefox ввиду его ориентации на конфиденциальность. В любом случае, необходимо регулярно перезапускать их и перезагружать компьютер, чтобы поддерживать браузер в актуальном состоянии. Если вам интересно сравнить функции браузеров, рекомендуем посетить данный ресурс Фонда свободы прессы.

Независимо от используемого браузера, рекомендуется использовать расширение или надстройку, например, Privacy Badger, uBlock Origin, или DuckDuckGo’s Privacy Essentials которые не позволяют рекламодателям и другим сторонним трекерам отслеживать посещаемые вами сайты. Кроме того, попробуйте изменить поисковую систему по умолчанию с Google на DuckDuckGo, Startpage или другую поисковую систему, защищающую конфиденциальность пользователя. Этот прием также поможет ограничить рекламодателей и сторонние трекеры.

Безопасность браузера в реальном мире

Adobe Browser

Атаки на расширения или дополнения браузера могут быть не менее опасными, чем вредоносные программы, распространяемые непосредственно через фишинговые загрузки или другое программное обеспечение. Например, искусно разработанная вредоносная надстройка под названием «Компоненты обновления Flash» была нацелена на тибетские политические организации в начале 2021 года. Дополнение было представлено пользователям, которые посещали веб-сайты, связанные с фишинговыми электронными письмами, и после установки оно позволяло хакерам красть электронную почту и данные просмотра.

Дополнения для браузеров также могут быть вектором для заражения парламентских ресурсов, таких как веб-сайты, которые, в свою очередь, могут распространять вредоносные программы среди широкого круга посетителей сайта (включая широкую общественность, сотрудников парламента и самих членов). Возьмем, к примеру, использование хакерами популярной надстройки для браузера Browsealoud (теперь известной как ReachDeck), программы, которая преобразует текст веб-сайта в аудио для слабовидящих пользователей. В 2018 году хакеры внедрили вредоносный код в надстройку браузера, которая использовалась на веб-сайтах различных государственных органов, в том числе парламента штата Виктория в Австралии. Благодаря наличию зараженного дополнения к браузеру и его неправильной настройке, устройства посетителей сайта заражались вредоносным ПО при посещении сайта. В данном случае вредоносное ПО использовалось для использования устройств для добычи криптовалюты, но подобная тактика может быть использована хакерами для распространения вредоносного ПО и в целях кражи данных или шпионажа.