Журналисты в изгнании сталкиваются с целым рядом проблем в вопросах цифровой безопасности, которые часто зависят от индивидуальных обстоятельств. К ним относятся попытки взлома их учетных записей (аккаунтов), онлайн-преследование и атаки на их веб-сайты или блоги.
В данном руководстве, созданном правозащитной организацией "Комитет защиты журналистов", предлагаются практические шаги, которые помогут усилить безопасность.
• Журналистам следует исследовать технологические возможности тех, кто может им угрожать. Для этого вы можете ввести в поисковике базовые данные, такие как имя, и найти человека, группу или орган власти, угрожающих вам; можно также использовать такие ключевые слова, как шпионское ПО, фишинговые атаки, слежка и взлом.
• Ознакомьтесь с законами и правилами страны, в которую вы едете или через которые проезжаете, касающихся шифрования и использования пиратского программного обеспечения (ПО). Для получения дополнительной информации прочтите руководство КЗЖ по вопросам пересечения границ и цифровой безопасности.
• Будьте в курсе последних новостей о технологиях, особенно в том регионе, из которого вы родом, и в регионе, где вы сейчас живете. Подпишитесь на информационные бюллетени о технологиях, которые часто выпускаются крупными новостными агентствами. Следите за новостями о хакерстве, изменениях в законах о слежке и шифровании, а также о событиях в связанном с технологиями бизнесе.
• Если вам нужно зайти на правительственный веб-сайт чтобы просмотреть информацию и/или загрузить документы и вы не хотите, чтобы этот сайт регистрировал ваш адрес интернет-протокола (IP), используйте виртуальную частную сеть (VPN). Это замаскирует ваш IP-адрес, включая данные о вашем местоположении.
Журналисты могут стать объектом попыток взлома их аккаунтов со стороны правительств, сторонников правительства и других лиц. Это может быть попытка получить информацию, содержащуюся в учетных записях, использовать аккаунты для публикации неверной и ошибочной информации или заблокировать журналистам доступ к своим аккаунтам. В приведенных ниже инструкциях объясняется, как лучше всего защитить себя.
Двухфакторная аутентификация (2FA)
Лучший способ защитить аккаунты от взлома — включить 2FA. Это дополнительный уровень безопасности в форме кода, отправляемого на ваш телефон через приложение или SMS. Чтобы войти в свой аккаунт, вам понадобится адрес электронной почты, пароль, а затем код. Включение 2FA предотвратит доступ других лиц к вашему аккаунту, если у них нет доступа к коду.
• Все основные онлайн-сервисы теперь предлагают двухфакторную аутентификацию, и вам следует включить ее для всех своих учетных записей, а не только для электронной почты и социальных сетей.
• Используйте приложения, такие как Authy, для 2FA. Загрузите приложение на свой телефон и следуйте инструкциям по его настройке. Затем перейдите в онлайн-аккаунт, который вы хотите защитить, например, в свой Gmail-аккаунт. Зайдите в раздел настроек аккаунта, а затем в раздел конфиденциальности и безопасности и добавьте двухфакторную аутентификацию. Выберите вариант приложения и следуйте инструкциям, чтобы связать приложение с аккаунтом.
• Код не будет запрашиваться при каждом входе в систему, а только в том случае, если вы входите в систему с другого устройства. Служба может время от времени запрашивать код 2FA, чтобы убедиться, что все работает.
• Каждая онлайн-служба, предлагающая 2FA, должна также предлагать возможность сохранения резервного кода или кодов. Это одноразовый код, который вы можете использовать, если потеряете доступ к своей 2FA и не сможете войти в свою учетную запись.
Обязательно сохраните копию резервного кода или кодов для каждой учетной записи, в которой у вас включена 2FA.
Храните резервные коды в надежном месте. Это может включать их запись и хранение в безопасном месте, распечатку или сохранение в приложении 2FA или менеджере паролей (дополнительную информацию о менеджерах паролей см. в разделе о создании безопасных паролей).
Какой метод вы используете, зависит от вашего риска. Например, если вы много путешествуете или чувствуете, что и дома небезопасно, то записывать их может быть нелучшим вариантом.
Если вы из страны, где правительство имеет историю организованных и успешных хакерских атак на журналистов, в том числе журналистов в изгнании, вам следует рассмотреть возможность использования ключа безопасности в качестве 2FA. Это устройство, которое вы вставляете в свой телефон или ноутбук, чтобы получить доступ к своей учетной записи. Примеры ключей включают Yubikey и Google Titan.
Вам понадобятся два ключа, один из которых будет запасным на случай, если вы потеряете другой.
Большинство крупных онлайн-сервисов предлагают возможность использовать ключ безопасности в качестве 2FA. Чтобы настроить его, следуйте инструкциям в разделах «Настройки», «Конфиденциальность» и «Безопасность», а также добавьте свой ключ безопасности в виде 2FA.
Убедитесь, что приобретенные вами ключи совместимы с вашими устройствами.
Рассмотрите возможность подписки на схему дополнительной защиты Google (Google’s Advanced Protection). Эта программа предназначена для журналистов и правозащитников и обеспечивает дополнительную защиту ваших сервисов Google. Для использования этой услуги вам потребуются ключи безопасности.
Создание надежных паролей
• Надежный пароль — это длинный пароль, в котором больше 15 символов. Чем длиннее пароль, тем сложнее его взломать алгоритму или кому-то угадать.
• Пароль может представлять собой комбинацию цифр, символов и букв или набор слов, не имеющих отношения друг к другу, известный как парольная фраза. Примером парольной фразы является Elephanticecreamswimmingtelephone (слонмороженоеплаваниетелефон). Парольные фразы зачастую легче запомнить.
• Не используйте личную информацию, такую как дата вашего рождения или имя домашнего животного, в своем пароле. Это информация о вас, которую можно легко найти в интернете и которую можно использовать для подбора пароля.
• Не используйте повторно пароли аккаунтов. Вы должны использовать разные пароли для каждого онлайн-аккаунта. Это связано с тем, что если вы используете тот же пароль для онлайн-сервиса, например службы доставки еды, что и для своей электронной почты, и онлайн-сервис взломан, ваш пароль будет доступен в интернете для преступников и других лиц, чтобы его можно было просмотреть и/или купить. Тогда у них также будет пароль к вашей электронной почте.
• Иногда трудно запомнить столько паролей. Используйте менеджер паролей, например 1Password, для создания, хранения и автозаполнения паролей на веб-сайтах. Вам не придется запоминать все свои пароли, но вам придется создать надежный пароль для вашего менеджера паролей и запомнить его. Если вы не подвергаетесь риску дома, не часто путешествуете и не подвергаетесь риску ареста и задержания, возможно, вы захотите записать свои пароли на листке бумаги или в блокноте и хранить их в безопасном месте. Это безопаснее, чем использование коротких паролей или повторное использование паролей.
Защита от фишинга и целевого фишинга
Фишинг — это когда вам отправляют стандартное сообщение с просьбой срочно что-то сделать, например, нажать на ссылку или загрузить документ. Целенаправленный фишинг — это когда злоумышленник изучает человека, которого хочет фишинговать, и адаптирует сообщение специально под него. Оба таких сообщения могут быть отправлены через SMS, электронную почту, приложения для обмена сообщениями и социальные сети, а цель — заразить ваше устройство вредоносным ПО.
• Подумайте, прежде чем переходить по ссылкам или загружать документы. Попробуйте проверить, кто отправил вам информацию. Проверьте, доступна ли эта информация где-либо еще, например, на веб-сайте.
• Используйте предварительный просмотр вложений в электронном письме с помощью кнопки предварительного просмотра, доступной в большинстве почтовых служб. Либо загрузите документ на аккаунт на облаке, связанный с электронным письмом. Это позволит вам просмотреть документ, но он не будет загружен на ваше устройство.
• Просмотрите ссылку и убедитесь, что она выглядит настоящей. Для этого наведите курсор на ссылку, пока она не отобразится полностью. Просмотрите, но не нажимайте, пока не убедитесь, что ссылка содержит информацию, соответствующую отправителю. Например, если ссылка исходит от компании, она должна содержать данные о компании, такие как название.
• Помните, что ссылки и документы, которыми делятся в групповых чатах с большим количеством участников, могут быть попытками заразить пользователей вредоносным ПО.
• Используйте менеджер паролей. Менеджер паролей будет вводить ваши пароли только на настоящем веб-сайте, например на странице входа в Gmail. Он не будет вводить ваши пароли на поддельных сайтах, предназначенных для кражи паролей вашей учетной записи.
Узнать больше о защите от фишинга можно с помощью Руководства КЗЖ по цифровой безопасности.
Данные о себе, которые вы и другие размещаете в интернете, могут выдать информацию о вашем местонахождении, распорядке дня и могут быть использованы для преследования вас и вашей семьи. Для большей безопасности выполните следующие действия.
• Просмотрите информацию о себе в интернете, используя все поисковые системы, и запишите все, что вам не хотелось бы иметь в открытом доступе. Возможно, вы также захотите ввести в поисковик имена членов вашей семьи, поскольку они также могут стать объектом преследования.
• В идеале любые данные, которые могут быть использованы для того, чтобы определить ваше местонахождение, связаться с вами нежелательными для вас способами, или любая информация, которая может быть использована для кражи ваших личных данных, например дата вашего рождения, не должна храниться в интернете.
• Примите меры по удалению ваших личных данных в интернете. Это может включать удаление или сокрытие контента в ваших собственных аккаунтах в социальных сетях, а также в аккаунтах других лиц. Просмотрите данные, хранящиеся на сторонних платформах, например в общедоступной базе данных, и проверьте, сможете ли вы их удалить.
• Подумайте, какими данными вы делитесь в интернете о себе и других людях, которые могут находиться в изгнании вместе с вами. Будьте осторожны, публикуя фотографии и информацию, которая может выдать ваше местоположение. Это может включать в себя отметки мест или обмен изображениями достопримечательностей в районе, где вы остановились.
• Вы лучше защитите свое местоположение, если отключите локацию, то есть данные о местоположении для приложений и онлайн-сервисов, если в этом нет серьезной необходимости.
Для получения дополнительной информации о том, как защитить ваши данные в интернете, прочтите Руководство КЗЖ по злоупотреблениям в интернете и защите личных данных.
Общение с людьми, включая с источниками, на родине, т.е. в стране вашего происхождения может подвергнуть риску как вас, так и их. Следуйте приведенным ниже инструкциям, чтобы обеспечить максимальную безопасность ваших коммуникаций.
• Учтите, что человек, с которым вы хотите поговорить, может находиться под наблюдением или ему может грозить арест. Следует подумать и о том, что их устройства могут быть заражены шпионским ПО, домашний телефон прослушиваться, они могут находиться под физическим наблюдением или же могут быть задержаны, а их устройства подвергнуты обыску.
• Подумайте, не станете ли вы объектом цифрового наблюдения. Это может включать в себя фишинговые атаки высокого уровня с целью заражения ваших устройств шпионским ПО. Узнайте, использовало ли ваше правительство шпионское ПО против журналистов, особенно когда они находятся за пределами страны своего происхождения.
• Подумайте о чем вы хотите поговорить. Чем деликатнее тема разговора, тем больше риск для человека в стране, а также для вас самих.
• Используйте приложения для обмена сообщениями со сквозным шифрованием, такие как WhatsApp и Signal, для общения с другими. Весь контент, отправляемый через эти приложения, зашифрован, что означает, что его невозможно перехватить. На сервере компании контент хранится также в зашифрованном виде, что означает, что он не может быть законно запрошен правительством.
• Следуйте рекомендациям по обеспечению безопасности приложений для обмена сообщениями и общения с другими людьми; например, включив исчезающие сообщения.
• Убедитесь, что люди из вашей страны, с которыми вы разговариваете, не сохраняют разговоры или контент, которым с вами поделились, на своем телефоне на случай, если их задержат и их устройства будут подвергнуты обыску. Поощряйте их регулярно удалять контент со своих телефонов.
• Помните, что любой контакт с другими людьми, который не зашифрован, потенциально может быть доступен другим лицам, включая правительства и операторов мобильной связи.
• Если вы журналист в изгнании, родом из страны, где правительство уже неоднократно применяло физические угрозы за пределами своей юрисдикции, тщательно подумайте о том, какие подробности вы раскрываете во время разговора. Будьте осторожны, делясь подробностями о своем местонахождении, распорядке дня и людях, с которыми вы проводите время.
• Имейте в виду, что если на вашем телефоне или у человека, с которым вы разговариваете, установлено шпионское ПО, то можно будет получить доступ ко всем формам связи, включая звонки и сообщения, даже если вы используете приложение для обмена сообщениями со сквозным шифрованием, такое как Signal или WhatsApp. Это связано с тем, что само устройство скомпрометировано.
• Пользователи устройств Apple с iOS 16 или устройств, использующих новейшее программное обеспечение компании, включая телефоны, ноутбуки, iPad и часы Apple, могут лучше защитить себя от шпионского ПО, включив режим блокировки (Lockdown Mode). О том, как лучше защитить себя от шпионского ПО, можно узнать из рекомендаций КЗЖ по безопасности о шпионском ПО Pegasus.
• Для работающих с конфиденциальными источниками журналистов, узнать больше о том, как лучше защитить свои источники можно, ознакомившись с руководством КЗЖ по защите конфиденциальных источников.
Дополнительную информацию о защите приложений для обмена зашифрованными сообщениями и работе с источниками для управления контентом на телефонах можно получить из руководства КЗЖ по зашифрованным сообщениям.
Если вы ведете свой собственный веб-сайт или блог и опасаетесь, что он может стать объектом попыток взлома или быть отключен от сети, то следующие шаги помогут вам наилучшим образом защитить его.
• Регулярно создавайте резервные копии контента веб-сайта на случай, если он будет атакован и данные будут утеряны. Есть два способа сделать это. Если вы используете размещенный сервис, например WordPress, экспортируйте свои страницы, комментарии и публикации в один XML-файл. Имейте в виду, что это не приведет к резервному копированию изображений (фотографий). Второй способ резервного копирования контента — создание зеркала сайта. Вы можете прочитать больше о создании зеркальных сайтов в этом руководстве организации Electronic Frontier Foundation (EFF).
• Убедитесь, что вы соблюдаете правила обеспечения безопасности аккаунтов на своем веб-сайте, включая использование менеджера паролей и включение двухфакторной аутентификации. Дополнительную информацию смотрите выше в разделе об обеспечении безопасности учетных записей.
• Если вы владеете веб-доменом, персональные данные, которые вы использовали для регистрации сайта, а также другие данные, например, о хостинг-провайдере, скорее всего, будут доступны другим лицам для просмотра в интернете. Проверить это можно с помощью такого сервиса, как Whois Look Up. Если ваши данные общедоступны, вам следует обратиться в службу домена, чтобы узнать, смогут ли они удалить эти данные. За это может взиматься плата.
• Защитите свой сайт от DDoS-атак, зарегистрировав его в такой службе, как Project Shield.
• Убедитесь, что ваша система управления контактами (CMS) и все плагины, которые вы используете на своем сайте, регулярно обновляются.
• Подумайте, хотите ли вы, чтобы на вашем сайте были включены комментарии. Если вы разрешаете комментарии, лучше модерировать их до публикации. Это уменьшит количество спама и оскорбительных комментариев. Если вы чувствуете, что не можете самостоятельно модерировать эти комментарии, вы можете делегировать эту задачу коллеге или доверенному лицу.
Арыгінальная публікацыя на сайце Камітэта абароны журналістаў