Школа DSS375. Философия цифровой безопасности

Почему рейтинги безопасных мессенджеров не только бесполезны, но еще и вредны; как любовь и политика влияют на наш выбор почтового сервиса; что ценнее: безопасность или общение – и другие вопросы о цифровой безопасности в новом выпуске рассылки Школы цифровой безопасности DSS375 Белорусского дома прав человека имени Бориса Звозскова.

Работают ли рейтинги безопасных мессенджеров?

На пути к безопасности искушают простотой, предлагая однозначный ответ, рейтинги онлайн-мессенджеров. Что безопаснее: Signal или WhatsApp? Viber или секретные чаты Telegram?

Из той же оперы – сравнения различных сервисов электронной почты. Кто с большей вероятностью читает нашу переписку: Яндекс, Google или Yahoo?

На самом деле такие рейтинги не очень полезны – а если посмотреть глубже, то и вредны. Не потому, что информация в этих рейтингах – ложная. Информация как раз правдивая. Все сервисы разные. У каждого – свое решение проблемы безопасности. Но эти рейтинги ни на малость не приближают нас к желанной безопасности. Наоборот, они создают лишние сложности. Например, вынуждают переходить на другие мессенджеры, отказываясь от любимых и удобных.

А ведь так хотелось бы получить простой ответ! Какие сервисы в интернете – самые безопасные? И недоумение вызывает встречный вопрос «От чего вы хотите защититься?». Разве это важно? Я установлю полную безопасность и буду защищен вообще от любой угрозы.

Но возможно ли защититься от «любой угрозы»? 

Возьмем пример, эксперт в котором – каждый: как сделать безопасным собственный дом?

Поставить железную дверь с хорошим замком и решетки на окна? Но если главная опасность – не воры, а торнадо, бушующие вокруг и готовые унести жилище вместе с железной дверью и зарешеченными окнами? Да, когда речь идет о безопасности дома, мы уточним, от какой атаки нужно защититься: от холода, воров, пожаров, наводнений, торнадо, артиллерийского обстрела или шпионажа.

Нам совершенно ясно, что для безопасности жилища рейтинг способов защиты не сработает. Решетка на окне хорошо защищает от воров, но смертельно опасна при пожаре; а если вы живете поближе к экватору, то вас волнует только, есть ли москитная сетка на окне.

Так почему в случае с цифровой безопасностью мы хотим получить один универсальный ответ? Может быть, потому что хорошо понимаем, как устроен дом – но не очень представляем себе «строение» интернета?

Итак, отложим рейтинги безопасных мессенджеров и сервисов электронной почты. С чего надо начинать построение собственной стратегии безопасности?

Digital security concept. Abstract illustration

БЕЗОПАСНОСТЬ – ЭТО НЕ ГЛАВНОЕ. А ЧТО ГЛАВНОЕ?

Сперва надо понять, что безопасность при общении в интернете – не главная ценность для нас. Абсолютная ценность – это само общение. Мы пишем друг другу не ради безопасности, а чтобы поддерживать контакты с нужными людьми.

Помнить об этом нужно для того, чтобы не затруднить то самое общение, обеспечивая себе слишком высокий, совершенно не нужный уровень безопасности.

И с этого места начинается самое большое непонимание. Как выбрать мессенджер или почту? Нужно ли отказываться от сервисов, которыми мы пользуемся сейчас?

ТЕСТ. ЧЕГО БОЛЬШЕ В ТВОЕЙ ЖИЗНИ: ЛЮБВИ, ПОЛИТИКИ ИЛИ МАТЕМАТИКИ?

Проанализируем сначала, почему мы выбираем те или иные сервисы. На чём основано наше доверие?

ЛЮБОВЬ

Может быть, мы сами того не замечаем, но зачастую наши предпочтения основаны на эмоциональных доводах: симпатиях или антипатиях. А любовь далеко не всегда рациональна.

Но именно любовь очень хорошо помогает в продвижении сервиса. Например, многим нравится прическа Павла Дурова – да что там прическа, многие в него просто тайно влюблены – и на этом основании готовы доверять Telegram. А кому-то больше по душе дреды Мокси Марлинспайка, основателя и разработчика Signal.

ИДЕОЛОГИЯ

А если кому-то не важен внешний вид владельца, как он выбирает между Signal и WhatsApp? Может быть, человек, отдавая предпочтение Signal, просто сообщает, что он – против капитализма и корпораций, зато анархисты с их идеологией ему очень симпатичны?

Отдаем ли мы себе отчет в том, что часто наши предпочтения основаны не на рациональном, а на эмоциональном? «Ну, это не про меня!» – скажете вы. А бывало ли так, что вы убеждали кого-то переходить на Linux (Signal, Whatsapp и т.д.)? Ведь вы говорили в тот момент не о безопасности, а о преимуществах открытого кода: выдавали убеждение за факт.

Нет, никто не спорит с убеждениями. Они могут быть супер-хорошими: гуманизм, экология, анархия, права человека – но убеждения не имеют отношения к безопасности.

СТАТИСТИКА

Симпатии при выборе сервиса – и всей стратегии личной безопасности – могут быть основаны на чем-то более существенном. Например, на статистике угроз.

Белорусская статистика говорит, что никаких разговоров голосом по Skype, Telegram, WhatsApp не перехватывали никогда – но зато часто изымают оборудование и угоняют пароли с помощью фишинговых сайтов.

И если вы защитили аккаунт паролем, двухфакторной аутентификацией, не ходите на фишинговые сайты – можно ли быть уверенным в том, что сам Google не сдаст вашу переписку по запросу белорусской милиции или КГБ? На помощь придет статистика выдачи данных о пользователях государству.

Эта статистика иначе называется «Отчет о прозрачности». Государства постоянно обращаются к сервисам с требованием выдать им данные о пользователях, и сервисы в конце концов унифицировали собственные требования к властям и разместили их в открытом доступе, а еще стали регулярно публиковать статистику: сколько раз, какому государству и какие данные они выдали. Фейсбук, Твиттер и остальные сервисы публикуют их. В этих отчетах о прозрачности можно найти и Беларусь.

Digital security concept. Abstract illustration

ТАК КТО ЖЕ БЕЗОПАСНЕЕ?

Статья принимает угрожающие размеры, а мы еще не дали ни одного конкретного совета: как же вам обеспечить цифровую безопасность?

Можно ли пользоваться, например, почтой Gmail? Да, если вы защитили устройство и вход в аккаунт.

А мессенджеры? WhatsApp, Telegram, Signal – какой выбрать? Выбирайте любой! Тот, который больше нравится: цветом, строением чатов или стикерами. Каждый из них позволяет нам вести защищенную коммуникацию.  Между этими мессенджерами есть внутренняя разница. Все они по-своему решают задачи безопасности. Как именно? – важно ли нам это, как пользователям, а не разработчикам?

Приложения, которым мы сами даем доступы: безопасно ли это? Например, приложению для чтения ПДФ мы сами дали доступ к гугл-докам, иначе как это приложение прочитает наши документы? Теоретически после открытия доступа кто-то может лазить по этим документам, но мы верим, что такого не происходит. Не Google кому-то дал доступ за нашей спиной – мы сами согласились.

Да, Google и Facebook читают данные пользователей: это их бизнес-модель; таким образом они показывают нам очень точно таргетированную рекламу. Может быть, перестать пользоваться Гуглом и Фейсбуком? – принимайте решение самостоятельно. Да, у вас, как и у любого человека, есть право не пользоваться тем сервисом, которым пользуются все.

Digital security concept. Abstract illustration

ГОТОВЫ ЛИ ВЫ ПЕРЕСТАТЬ ПОЛЬЗОВАТЬСЯ GOOGLE И FACEBOOK?

То, чем вы будете пользоваться, с большой долей вероятности зависит от того, чем пользуются все остальные. Ведь цель нашего общения, как мы говорили, – это не оставаться в безопасности, а поддерживать социальные связи. Безопасность – это не абсолютная ценность; абсолютная ценность – это контакты с людьми, которые нам нужны.

А ЕСЛИ МЫ ЗНАЕМ РЕАЛЬНУЮ ОПАСНОСТЬ?

Из всех угроз безопасности можно выделить три основных:

1.       кто-то овладел нашим устройством;

Могут ли у вас забрать (при обыске, например) смартфон и ноутбук? Если такая вероятность есть, то защитите устройство либо не имейте на нем секретов.

1.       кто-то перехватил наш разговор голосом в месенджере;

За всю историю человечества не известно ни одного такого случая. Никто еще не зафиксировал, например, перехват разговора в Скайпе.

1.       кто-то атаковал сам сервис, который мы использовали для обмена сообщениями: украл пароль, взломал электронную почту.

А если мы знаем реальную опасность, которая нам угрожает? Например, итогом перехвата нашей информации может стать уголовное дело. Подходит ли для этой цели Google или WhatsApp?

Смотря что мы хотим скрыть. Если мы хотим скрыть факт разговора – тогда лучше воспользоваться Гуглом. Разговор будет выглядеть, как будто два пользователя поговорили с Google, а не между собой.

Если вы хотите скрыть содержание разговора – выбирайте шифрованный мессенджер (любой). Он скроет содержание, но запишет ваши метаданные: кто с кем и когда говорил.

Некоторым людям вообще нечего скрывать. Если у вас нет секрета, вам не нужна защита.

Итак, наконец, мы дошли до критериев, с помощью которых мы можем выбрать стратегию цифровой безопасности.

ПОПУЛЯРНОСТЬ

Если нет требований к секретности – то тогда надо пользоваться тем, чем вы умеете пользоваться.

ЮРИСДИКЦИЯ

Если вы хотите скрыть содержание разговора – подойдет любой иностранный сервис: той страны, которая не выдаст наши данные государству, от которого мы хотим скрыться. Нас тогда будет защищать не безопасность переговоров, а другая юрисдикция!

МАТЕМАТИКА

Если мы не доверяем юрисдикции, тогда на помощь придет математика, а именно – алгоритмы, которыми мессенджеры шифруют наши переписки. В случае запроса они сдадут властям факт переговоров (записав наши метаданные: кто, когда и с кем говорил), но не содержание.

МОРАЛЬ

Не может быть готового рецепта «Как защитить себя в сети», потому что моделей рисков – огромное множество. Как мы уже не раз писали, стопроцентно избежать утечки информации – это не сообщать ее никому.

Значит ли это, что не стоит даже и пытаться защитить свою информацию? Конечно, нет! Просто нужно начинать не со споров кто сильнее: Рембо или Робокоп что безопаснее: Signal или Google, а с того, есть ли у нас секрет и как его у нас попытаются выведать.

_____________________________________________

Школа цифровой безопасности DSS375 Белорусского дома прав человека имени Бориса Звозскова надеется, что мы хотя бы чуть-чуть приблизили вас к пониманию того, что же такое цифровая безопасность. Мы будем рады обратной связи. Ничуть не сомневаясь, пишите нам, если у вас есть вопросы: coordinator@dss375.org

Вы можете подписаться на новые выпуски рассылки Школы цифровой безопасности DSS375  и прочитать предыдущие выпуски здесь.