Основы безопасности для революционеров. Выпуск четвёртый
Время чтения ~ 50 минут
В этом выпуске:
Глава 8. Коммуникация: как не написать письмо товарищу майору
Перед тем, как мы рассмотрим популярные средства связи в Интернете и их пригодность для конфиденциальной, анонимной и удобной переписки в рамках деятельности революционной организации, нужно сделать три предварительных замечания:
1. Стоит ещё раз вернуться к теме из начала книги: подумайте, какая у вас модель угроз и какая организационная политика безопасности из неё следует. Исходя из этого сформулируйте правила насчёт того, что и кому в вашей организации говорить можно, а что и кому нельзя. Если революционеры из-за недостатка чётко обозначенной конспиративной дисциплины будут регулярно пробалтываться друг перед другом или, что ещё хуже, перед третьими лицами, то никакие программы и аппараты достичь приватности не помогут.
2. Есть одно общее правило: удобство и безопасность обратно пропорциональны друг другу. Каждая организация должна сама найти сбалансированное решение, адекватно отвечающее как её модели угроз, так и её потребностям и возможностям.
3. При рассмотрении инструментов онлайн-коммуникации в этой главе я не буду стремиться к тому, чтобы дать как можно более широкую картину, и опишу только те средства, с которыми достаточно хорошо знаком сам и могу оценить их пригодность для практического применения.
1. Стоит ещё раз вернуться к теме из начала книги: подумайте, какая у вас модель угроз и какая организационная политика безопасности из неё следует. Исходя из этого сформулируйте правила насчёт того, что и кому в вашей организации говорить можно, а что и кому нельзя. Если революционеры из-за недостатка чётко обозначенной конспиративной дисциплины будут регулярно пробалтываться друг перед другом или, что ещё хуже, перед третьими лицами, то никакие программы и аппараты достичь приватности не помогут.
2. Есть одно общее правило: удобство и безопасность обратно пропорциональны друг другу. Каждая организация должна сама найти сбалансированное решение, адекватно отвечающее как её модели угроз, так и её потребностям и возможностям.
3. При рассмотрении инструментов онлайн-коммуникации в этой главе я не буду стремиться к тому, чтобы дать как можно более широкую картину, и опишу только те средства, с которыми достаточно хорошо знаком сам и могу оценить их пригодность для практического применения.
Facebook, Instagram, ВКонтакте и другие социальные сети
Кому-то может казаться очевидным, что этот вариант — вообще не вариант, но почему-то соцсети до сих пор часто используются левыми для внутренней коммуникации, в том числе и для обсуждения щекотливых тем.
Чтобы не тратить время впустую, в этой главе считаю достаточным просто напомнить, что корпорация Meta, владеющая Facebook, Instagram и WhatsApp, не только сливает ваши данные спецслужбам, но и продаёт их частным лицам, а переписки в социальной сети ВКонтакте даже без каких-либо запросов моментально попадают в распоряжение российских карательных органов.
Telegram
Здесь всё весьма непросто. С одной стороны, Telegram, пожалуй, — самый удобный мессенджер из существующих. Кроме того, в Telegram каждый пользователь бесплатно получает неограниченное облачное хранилище, что не может не радовать. С другой стороны, самореклама Telegram как «приватного мессенджера» не соответствует истине уже довольно давно, задолго до событий августа 2024-го.
Что не так с приватностью в Telegram?
1. Первая проблема встречает нас уже на этапе регистрации по номеру телефона. В главе про безопасность мобильника мы подробно разберёмся, насколько серьёзным фактором деанонимизации является номер, а пока спойлер: в определённых случаях информация про номер телефона может оказаться даже полезнее, чем ФИО подозреваемого.
Безусловно, вы можете скрыть отображение номера телефона своего аккаунта в настройках конфиденциальности, но есть рабочие способы раскрытия номера БЕЗ содействия со стороны корпорации Telegram. В частности, даже если в настройках конфиденциальности у вас всё скрыто, и найти вас по номеру не может «никто», то противник всё равно способен провернуть следующую схему: записать в телефонной книге очень много контактов, создать новый аккаунт в Telegram и воспользоваться функцией автоматического поиска контактов из телефонной книги. Таким образом, можно путём перебора установить привязанный к аккаунту номер телефона. Это вполне реальная угроза, вовсе не требующая больших ресурсов для реализации.
2. Закрытая серверная часть. Открытый исходный код в Telegram только у клиентских приложений, но о том, что происходит на серверах Telegram, мы можем только догадываться.
3. В Telegram есть хвалёное сквозное шифрование: ключи шифрования хранятся только у переписывающихся, сам сервер Telegram видит только зашифрованный поток данных в виде какой-то белиберды, да и вообще всё будто бы замечательно. Проблема в том, что сквозное шифрование работает только в секретных чатах Telegram, которые доступны только с мобильных устройств и только для личных переписок. Сквозного шифрования для групповых чатов в Telegram нет.
Следовательно, все чаты в Telegram кроме секретных — будь то личные чаты с настройками по умолчанию или любые групповые чаты — работают не со сквозным шифрованием, а с шифрованием типа клиент-сервер. Что это значит? Ваша переписка не видна интернет-провайдеру или другим посредникам между вами и сервером Telegram, зато вот у самой корпорации Telegram есть возможность прочитать и в случае чего раскрыть содержимое ваших чатов третьим лицам.
Кому-то может казаться очевидным, что этот вариант — вообще не вариант, но почему-то соцсети до сих пор часто используются левыми для внутренней коммуникации, в том числе и для обсуждения щекотливых тем.
Чтобы не тратить время впустую, в этой главе считаю достаточным просто напомнить, что корпорация Meta, владеющая Facebook, Instagram и WhatsApp, не только сливает ваши данные спецслужбам, но и продаёт их частным лицам, а переписки в социальной сети ВКонтакте даже без каких-либо запросов моментально попадают в распоряжение российских карательных органов.
Telegram
Здесь всё весьма непросто. С одной стороны, Telegram, пожалуй, — самый удобный мессенджер из существующих. Кроме того, в Telegram каждый пользователь бесплатно получает неограниченное облачное хранилище, что не может не радовать. С другой стороны, самореклама Telegram как «приватного мессенджера» не соответствует истине уже довольно давно, задолго до событий августа 2024-го.
Что не так с приватностью в Telegram?
1. Первая проблема встречает нас уже на этапе регистрации по номеру телефона. В главе про безопасность мобильника мы подробно разберёмся, насколько серьёзным фактором деанонимизации является номер, а пока спойлер: в определённых случаях информация про номер телефона может оказаться даже полезнее, чем ФИО подозреваемого.
Безусловно, вы можете скрыть отображение номера телефона своего аккаунта в настройках конфиденциальности, но есть рабочие способы раскрытия номера БЕЗ содействия со стороны корпорации Telegram. В частности, даже если в настройках конфиденциальности у вас всё скрыто, и найти вас по номеру не может «никто», то противник всё равно способен провернуть следующую схему: записать в телефонной книге очень много контактов, создать новый аккаунт в Telegram и воспользоваться функцией автоматического поиска контактов из телефонной книги. Таким образом, можно путём перебора установить привязанный к аккаунту номер телефона. Это вполне реальная угроза, вовсе не требующая больших ресурсов для реализации.
2. Закрытая серверная часть. Открытый исходный код в Telegram только у клиентских приложений, но о том, что происходит на серверах Telegram, мы можем только догадываться.
3. В Telegram есть хвалёное сквозное шифрование: ключи шифрования хранятся только у переписывающихся, сам сервер Telegram видит только зашифрованный поток данных в виде какой-то белиберды, да и вообще всё будто бы замечательно. Проблема в том, что сквозное шифрование работает только в секретных чатах Telegram, которые доступны только с мобильных устройств и только для личных переписок. Сквозного шифрования для групповых чатов в Telegram нет.
Следовательно, все чаты в Telegram кроме секретных — будь то личные чаты с настройками по умолчанию или любые групповые чаты — работают не со сквозным шифрованием, а с шифрованием типа клиент-сервер. Что это значит? Ваша переписка не видна интернет-провайдеру или другим посредникам между вами и сервером Telegram, зато вот у самой корпорации Telegram есть возможность прочитать и в случае чего раскрыть содержимое ваших чатов третьим лицам.
Добьём тем, что недавно появилась возможность отправлять жалобы1 на сообщения в частных группах, то есть в любой момент любой участник чата при желании может привлечь внимание модераторов Telegram к переписке.
4. В последнее время в Telegram стремительно происходит коммерциализация: становится всё больше платного функционала, которого раньше не было. Не исключено, что со временем Telegram будет мало отличаться от какого-нибудь Facebook.
5. Ранее в Telegram обнаруживались достаточно опасные уязвимости. Например, одна такая позволяла атаковать пользователя с помощью отправки замаскированного под видео вредоносного файла HTML.
6. Telegram сотрудничает с «правоохранителями» многих стран, а с недавних пор уже открыто сливает IP-адреса и телефоны подозреваемых в ответ на запросы. С другой стороны, информацией о сотрудничестве Telegram именно с украинскими мусорами я не обладаю, и, судя по всему, наши хозяева жизни не просто так время от времени поднимают вопрос о блокировке Telegram в Украине.
Резюмирую: Telegram не подходит для конфиденциальной внутриорганизационной коммуникации. Обсуждать в этом мессенджере советую только то, что вы не очень сильно боитесь раскрыть.
Тем не менее, в силу широкой распространённости Telegram всё же стоит оставить несколько рекомендаций по повышению анонимности и безопасности в этом мессенджере:
0. С самого начала, то есть с момента регистрации, бесперебойно используйте VPN/Tor, чтобы не раскрывать Telegram свой настоящий IP-адрес. Конечно, это касается не только Telegram, но и вообще любых мест в Интернете, которые вы посещаете в своей подпольной жизни, но не помешает лишний раз повторить.
1. Регистрируйте фейковые аккаунты на виртуальные мобильные номера, а лучше — покупайте готовые Telegram-аккаунты. Соответствующих сервисов в Интернете очень много, так что кто хочет, тот сам найдёт. Учитывайте, что после создания/покупки фейка важно первое время не проявлять на нём активность, чтобы не получить блокировку.
Примечание: фейковые аккаунты нужны именно новые. Если вы просто переименуете свой основной аккаунт с Иван Иванов на Потужнопитек Незламныч, то анонимности это вам не прибавит, ведь инструментами OSINT можно отследить историю смены ников. Точно так же бессмысленно менять или удалять имя пользователя (тэг, начинается на @), потому что у каждого Telegram-аккаунта есть неизменный идентификатор Telegram ID.
2. Обязательно сразу после приобретения аккаунта поставьте на него облачный пароль в настройках конфиденциальности, чтобы защититься от взлома.
3. В тех же настройках конфиденциальности оставьте только минимально необходимые разрешения.
4. Запретите Peer-to-Peer в настройках звонков.
5. В настройках устройств проверьте, есть ли на аккаунте незнакомые вам устройства, и при наличии отключите их.
5. Ранее в Telegram обнаруживались достаточно опасные уязвимости. Например, одна такая позволяла атаковать пользователя с помощью отправки замаскированного под видео вредоносного файла HTML.
6. Telegram сотрудничает с «правоохранителями» многих стран, а с недавних пор уже открыто сливает IP-адреса и телефоны подозреваемых в ответ на запросы. С другой стороны, информацией о сотрудничестве Telegram именно с украинскими мусорами я не обладаю, и, судя по всему, наши хозяева жизни не просто так время от времени поднимают вопрос о блокировке Telegram в Украине.
Резюмирую: Telegram не подходит для конфиденциальной внутриорганизационной коммуникации. Обсуждать в этом мессенджере советую только то, что вы не очень сильно боитесь раскрыть.
Тем не менее, в силу широкой распространённости Telegram всё же стоит оставить несколько рекомендаций по повышению анонимности и безопасности в этом мессенджере:
0. С самого начала, то есть с момента регистрации, бесперебойно используйте VPN/Tor, чтобы не раскрывать Telegram свой настоящий IP-адрес. Конечно, это касается не только Telegram, но и вообще любых мест в Интернете, которые вы посещаете в своей подпольной жизни, но не помешает лишний раз повторить.
1. Регистрируйте фейковые аккаунты на виртуальные мобильные номера, а лучше — покупайте готовые Telegram-аккаунты. Соответствующих сервисов в Интернете очень много, так что кто хочет, тот сам найдёт. Учитывайте, что после создания/покупки фейка важно первое время не проявлять на нём активность, чтобы не получить блокировку.
Примечание: фейковые аккаунты нужны именно новые. Если вы просто переименуете свой основной аккаунт с Иван Иванов на Потужнопитек Незламныч, то анонимности это вам не прибавит, ведь инструментами OSINT можно отследить историю смены ников. Точно так же бессмысленно менять или удалять имя пользователя (тэг, начинается на @), потому что у каждого Telegram-аккаунта есть неизменный идентификатор Telegram ID.
2. Обязательно сразу после приобретения аккаунта поставьте на него облачный пароль в настройках конфиденциальности, чтобы защититься от взлома.
3. В тех же настройках конфиденциальности оставьте только минимально необходимые разрешения.
4. Запретите Peer-to-Peer в настройках звонков.
5. В настройках устройств проверьте, есть ли на аккаунте незнакомые вам устройства, и при наличии отключите их.
Signal
В сравнении с Telegram позиционирование Signal как приватного мессенджера более оправдано: все чаты, включая групповые, шифруются с помощью проверенного временем и аудиторами протокола сквозного шифрования, поэтому конфиденциальность переписки в Signal действительно на высоком уровне, но и здесь снова есть свои НО: не стоит путать конфиденциальность переписки с анонимностью. С последней в Signal тоже всё не слава богу в силу регистрации по номеру телефона и сотрудничества с фараонами. И имейте в виду, что сообщения хоть и под сквозным шифрованием, но переписываетесь-то вы всё равно посредством серверов Signal, что может быть использовано против вас.
В общем, если нужна относительно надёжная тайна переписки, но не нужна надёжная тайна личности, то Signal — неплохой вариант, который ещё и хорош своим удобством в эксплуатации.
Для повышения анонимности и безопасности в Signal следуйте всё тем же рекомендациям, что описаны в части про Telegram. Дополнительно акцентирую ваше внимание на том, чтобы вы не ставили в Signal простой PIN из четырёх цифр, а использовали надёжный пароль. Также в настройках учётной записи включите блокировку регистрации ради лучшей защиты от хакерских атак.
XMPP (Jabber)
Jabber — это не мессенджер, а открытый протокол мгновенного обмена сообщениями. У сети Jabber федеративная структура, то есть каждый может поднять свой Jabber-сервер, по умолчанию коммуникация между пользователями разных серверов не ограничена. В этом отношении Jabber можно сравнить с электронной почтой.
Jabber имеет довольно широкий инструментарий для обеспечения безопасности вроде сквозного шифрования OTR и OMEMO. Кроме того, Jabber очень гибок, что позволяет хорошо модифицировать его под конкретные нужды.
Примечание: во многих Jabber-клиентах сквозное шифрование по умолчанию не включено, а для его использования может быть необходимо полазить в настройках или установить дополнения. Это очень важный момент, потому что если что-то не настроено по умолчанию, то, как показывает практика, какая-то часть товарищей этого не настроит даже при наличии инструкций, и тогда кому-то точно придётся заниматься уморительной работой по разъяснению элементарных вещей. Sad but true.
Анонимность в Jabber зависит от сервера. Популярные публичные сервера при регистрации обычно требуют электронную почту, но иногда нужны только ник и пароль.
Во много раз лучше как для безопасности, так и для стабильности работы развернуть собственный сервер. Если у вас есть товарищи с навыками системного администрирования, то это вполне реализуемая задача, стоящая своих усилий и затрат. Злонамеренный администратор стороннего сервера может сильно навредить вам, даже если вы используете сквозное шифрование.
Хотя у Jabber и есть свои преимущества, я не могу советовать его для переписки на уровне организации, так как он недостаточно удобен. Нормального единого мультиплатформенного клиента нет, так что под каждую ОС надо искать что-то своё. Все клиентские программы на ПК, которые я видел, навевают ностальгию по 2010-му, и пользоваться ими нынче не в удовольствие. На телефонах некоторые приложения получше, но и там ситуация не самая приятная. Ну а если вы захотите использовать шифрование OTR или OMEMO, то с ума сойдёте объяснять каждому товарищу, как это включать и как устранять неполадки. Проверено практикой.
Протокол Matrix и клиент Element
Протокол Matrix, как и Jabber, открытый и федеративный, однако имеет ряд преимуществ перед последним:
В сравнении с Telegram позиционирование Signal как приватного мессенджера более оправдано: все чаты, включая групповые, шифруются с помощью проверенного временем и аудиторами протокола сквозного шифрования, поэтому конфиденциальность переписки в Signal действительно на высоком уровне, но и здесь снова есть свои НО: не стоит путать конфиденциальность переписки с анонимностью. С последней в Signal тоже всё не слава богу в силу регистрации по номеру телефона и сотрудничества с фараонами. И имейте в виду, что сообщения хоть и под сквозным шифрованием, но переписываетесь-то вы всё равно посредством серверов Signal, что может быть использовано против вас.
В общем, если нужна относительно надёжная тайна переписки, но не нужна надёжная тайна личности, то Signal — неплохой вариант, который ещё и хорош своим удобством в эксплуатации.
Для повышения анонимности и безопасности в Signal следуйте всё тем же рекомендациям, что описаны в части про Telegram. Дополнительно акцентирую ваше внимание на том, чтобы вы не ставили в Signal простой PIN из четырёх цифр, а использовали надёжный пароль. Также в настройках учётной записи включите блокировку регистрации ради лучшей защиты от хакерских атак.
XMPP (Jabber)
Jabber — это не мессенджер, а открытый протокол мгновенного обмена сообщениями. У сети Jabber федеративная структура, то есть каждый может поднять свой Jabber-сервер, по умолчанию коммуникация между пользователями разных серверов не ограничена. В этом отношении Jabber можно сравнить с электронной почтой.
Jabber имеет довольно широкий инструментарий для обеспечения безопасности вроде сквозного шифрования OTR и OMEMO. Кроме того, Jabber очень гибок, что позволяет хорошо модифицировать его под конкретные нужды.
Примечание: во многих Jabber-клиентах сквозное шифрование по умолчанию не включено, а для его использования может быть необходимо полазить в настройках или установить дополнения. Это очень важный момент, потому что если что-то не настроено по умолчанию, то, как показывает практика, какая-то часть товарищей этого не настроит даже при наличии инструкций, и тогда кому-то точно придётся заниматься уморительной работой по разъяснению элементарных вещей. Sad but true.
Анонимность в Jabber зависит от сервера. Популярные публичные сервера при регистрации обычно требуют электронную почту, но иногда нужны только ник и пароль.
Во много раз лучше как для безопасности, так и для стабильности работы развернуть собственный сервер. Если у вас есть товарищи с навыками системного администрирования, то это вполне реализуемая задача, стоящая своих усилий и затрат. Злонамеренный администратор стороннего сервера может сильно навредить вам, даже если вы используете сквозное шифрование.
Хотя у Jabber и есть свои преимущества, я не могу советовать его для переписки на уровне организации, так как он недостаточно удобен. Нормального единого мультиплатформенного клиента нет, так что под каждую ОС надо искать что-то своё. Все клиентские программы на ПК, которые я видел, навевают ностальгию по 2010-му, и пользоваться ими нынче не в удовольствие. На телефонах некоторые приложения получше, но и там ситуация не самая приятная. Ну а если вы захотите использовать шифрование OTR или OMEMO, то с ума сойдёте объяснять каждому товарищу, как это включать и как устранять неполадки. Проверено практикой.
Протокол Matrix и клиент Element
Протокол Matrix, как и Jabber, открытый и федеративный, однако имеет ряд преимуществ перед последним:
- весьма удобное по сравнению с любым Jabber-клиентом мультиплатформенное приложение Element2;
- сквозное шифрование по умолчанию для всех приватных чатов;
- возможность создавать защищённые голосовые чаты.
Важный минус: нельзя скрыть историю группового чата для новых пользователей, что приводит к необходимости создавать новые чаты или пересоздавать старые, если вы хотите добавить кого-то без раскрытия ему предыдущей переписки.
В общем, на мой взгляд, Matrix в сочетании с клиентом Element — это достаточно хорошая альтернатива Jabber, которую точно стоит рассматривать как один из вариантов при выборе организационного мессенджера.
В общем, на мой взгляд, Matrix в сочетании с клиентом Element — это достаточно хорошая альтернатива Jabber, которую точно стоит рассматривать как один из вариантов при выборе организационного мессенджера.
Как и в Jabber, здесь доступна нормальная анонимность без регистрации по номеру телефона и прочей ереси. Как и в Jabber, подчеркну ещё раз, при наличии прямых рук будет многократно лучше развернуть свой сервер, чем пользоваться каким-либо из открытых, даже если применяется сквозное шифрование, потому что у злонамеренного администратора Matrix-сервера всегда есть очень большой арсенал для пассивного наблюдения и активных атак3 против пользователей.
SimpleX Chat4
Молодой и во многом уникальный приватно-ориентированный мессенджер, который уже успел получить большое внимание интересующихся приватностью и прошёл несколько аудитов5. Мессенджер децентрализованный, доступно разворачивание своего сервера, но благодаря специфике SimpleX можно достичь приличных анонимности и конфиденциальности даже при использовании серверов от разработчиков.
Перечислю несколько примечательных свойств SimpleX:
1. Для регистрации не требуется абсолютно ничего кроме никнейма. В отличие от обычных мессенджеров, в SimpleX нет хранящейся на каком-то сервере учётной записи как таковой, то есть ваш аккаунт — это данные приложения на вашем устройстве. Таким образом, аккаунту SimpleX даже не нужен пароль, ведь всё хранится у вас локально. При желании можно поставить пароль на само приложение.
2. SimpleX — единственный известный мне мессенджер, в котором вообще нет фиксированных идентификаторов профиля, даже случайных цифр: для установки соединения используются либо одноразовые, либо постоянные ссылки. Последние можно в любой момент изменить, при этом сама ссылка не даёт никакой информации о пользователе, включая его никнейм, а любой нежеланный запрос на соединение можно отклонить.
3. Коммуникация осуществляется посредством интересной системы однонаправленных (симплексных) очередей сообщений: две разные очереди для получения и отправки, разные пары очередей для разных чатов. Сервера ничего не хранят и лишь передают данные, которые сохраняются только на клиентских устройствах. Всё это усиливает защиту пользователей от ряда атак.
4. Сквозное шифрование по умолчанию (и без возможности его отключить) для ЛС, групповых чатов и голосовых звонков. Применяются алгоритмы шифрования с сильной криптостойкостью, в том числе постквантовые.
5. Возможность включать и гибко настраивать исчезающие сообщения, что во многих случаях крайне полезно.
6. Режим инкогнито — уникальная для SimpleX опция, при включении которой у вас создаётся новый случайный ник, когда вы впервые подключаетесь к какому-либо чату. Таким образом, вы можете сидеть в разных чатах под разными никами без создания кучи аккаунтов, что экономит время.
Кроме всего сказанного, по меркам приватно-ориентированных мессенджеров у SimpleX неплохой пользовательский интерфейс и хорошая поддержка от разработчиков с регулярными обновлениями и исправлениями ошибок.
Кто-то сейчас спросит: «а минусы будут?», и я отвечу, что да.
1. Для регистрации не требуется абсолютно ничего кроме никнейма. В отличие от обычных мессенджеров, в SimpleX нет хранящейся на каком-то сервере учётной записи как таковой, то есть ваш аккаунт — это данные приложения на вашем устройстве. Таким образом, аккаунту SimpleX даже не нужен пароль, ведь всё хранится у вас локально. При желании можно поставить пароль на само приложение.
2. SimpleX — единственный известный мне мессенджер, в котором вообще нет фиксированных идентификаторов профиля, даже случайных цифр: для установки соединения используются либо одноразовые, либо постоянные ссылки. Последние можно в любой момент изменить, при этом сама ссылка не даёт никакой информации о пользователе, включая его никнейм, а любой нежеланный запрос на соединение можно отклонить.
3. Коммуникация осуществляется посредством интересной системы однонаправленных (симплексных) очередей сообщений: две разные очереди для получения и отправки, разные пары очередей для разных чатов. Сервера ничего не хранят и лишь передают данные, которые сохраняются только на клиентских устройствах. Всё это усиливает защиту пользователей от ряда атак.
4. Сквозное шифрование по умолчанию (и без возможности его отключить) для ЛС, групповых чатов и голосовых звонков. Применяются алгоритмы шифрования с сильной криптостойкостью, в том числе постквантовые.
5. Возможность включать и гибко настраивать исчезающие сообщения, что во многих случаях крайне полезно.
6. Режим инкогнито — уникальная для SimpleX опция, при включении которой у вас создаётся новый случайный ник, когда вы впервые подключаетесь к какому-либо чату. Таким образом, вы можете сидеть в разных чатах под разными никами без создания кучи аккаунтов, что экономит время.
Кроме всего сказанного, по меркам приватно-ориентированных мессенджеров у SimpleX неплохой пользовательский интерфейс и хорошая поддержка от разработчиков с регулярными обновлениями и исправлениями ошибок.
Кто-то сейчас спросит: «а минусы будут?», и я отвечу, что да.
Во-первых, отсутствие функционала популярных мессенджеров, в особенности групповых звонков и нормального файлообмена6, а также в целом неудобство при работе в больших группах, что может быть важно для многих организаций.
Во-вторых, стабильность соединения в SimpleX порой нарушается: у кого-то могут перестать приходить или отправляться сообщения, прекратить работать отдельные чаты или даже накрываться аккаунты целиком. Лично сталкивался с такими проблемами пару раз.
В-третьих, SimpleX по меркам некоммерческих проектов поддерживается разработчиками как-то очень хорошо, а среди спонсоров числится Джек Дорси, что может быть основанием для подозрений. С другой стороны, исходный код как у клиента, так и у сервера открытый.
В-третьих, SimpleX по меркам некоммерческих проектов поддерживается разработчиками как-то очень хорошо, а среди спонсоров числится Джек Дорси, что может быть основанием для подозрений. С другой стороны, исходный код как у клиента, так и у сервера открытый.
По моему мнению, SimpleX прекрасен в качестве дополнительного мессенджера, когда требуется повышенная степень приватности7 и общение происходит в небольшой группе. В качестве основного мессенджера лучше выбрать что-то централизованное и самостоятельно разворачиваемое на собственном сервере умными людьми из IT-отдела. Тут подойдут уже упомянутый Matrix или Mattermost.
Mattermost
Если вы когда-то пользовались корпоративным мессенджером Slack, то Mattermost — это примерно то же самое, но с открытым исходным кодом. В отличие от всех предыдущих мессенджеров, в Mattermost нет ни центральных серверов, ни федеративной сети, потому что он сделан исключительно для самостоятельного развёртывания на собственном сервере.
Если вы когда-то пользовались корпоративным мессенджером Slack, то Mattermost — это примерно то же самое, но с открытым исходным кодом. В отличие от всех предыдущих мессенджеров, в Mattermost нет ни центральных серверов, ни федеративной сети, потому что он сделан исключительно для самостоятельного развёртывания на собственном сервере.
По задумке доступ к серверу Mattermost должен быть только у самой организации, которая им пользуется. Соответственно, приватность коммуникации обеспечивается шифрованием типа клиент-сервер и руками из нужного места у администраторов, а сквозное шифрование типа клиент-клиент не применяется8 из-за отсутствия в этом большой необходимости с одной стороны и неизбежного возникновения неудобств от клиент-клиентского шифрования с другой.
Безопасность мессенджера проверена временем и большим опытом: Mattermost используется несколькими крупными корпорациями и даже ВВС США. Тем не менее, у Mattermost есть схожий с Matrix значимый недостаток в приватности: не скрывается история группового чата для новых участников.
В этом мессенджере встречаются слегка непривычные моменты, но в целом — достаточно удобно как для пользователей, так и для администраторов. Поскольку исходный код открыт, Mattermost поддаётся гибкой настройке и установке множества плагинов. Радует, что есть клиенты под все распространённые ОС и возможность заходить через веб-версию, в том числе через Tor Browser.
Исходя из своей практики, я могу советовать данный мессенджер как подходящий для организационной коммуникации по большинству вопросов, а особо интересные дискуссии можно проводить в чатах SimpleX с исчезающими сообщениями.
Jitsi
Инструмент для голосовых конференций, поддерживающий сквозное шифрование. Можно развернуть на своём сервере или пользоваться публичным. У обоих вариантов использования Jitsi есть свои минусы.
С одной стороны, эксплуатация приложения может оказывать сильную нагрузку на ресурсы вашего сервера, особенно если в голосовом чате сразу много пользователей.
С другой стороны, публичный сервер хоть и не требует регистрации от всех участников конференции, но заставляет модератора зайти через Google или GitHub, а так как для создания комнаты нужен хотя бы один модератор, то кому-то придётся это сделать. Этому кому-то лучше заходить через GitHub, потому что на нём проще создавать фейковые аккаунты.
Чтобы зарегистрироваться на GitHub, вам понадобится электронная почта, к чему и переходим.
Электронная почта
В качестве приватных почтовых сервисов больше всего рекламируют себя Proton и Tuta. Хоть они и действительно пожирают намного меньше данных о пользователях, чем всякие гуглы и яндексы, но всё так же работают в легальном поле. Неудивительно, что и швейцарский Proton, и немецкая Tuta идут на сотрудничество с «правоохранителями», ведь другого выхода у них как легальных компаний быть и не может.
В этом мессенджере встречаются слегка непривычные моменты, но в целом — достаточно удобно как для пользователей, так и для администраторов. Поскольку исходный код открыт, Mattermost поддаётся гибкой настройке и установке множества плагинов. Радует, что есть клиенты под все распространённые ОС и возможность заходить через веб-версию, в том числе через Tor Browser.
Исходя из своей практики, я могу советовать данный мессенджер как подходящий для организационной коммуникации по большинству вопросов, а особо интересные дискуссии можно проводить в чатах SimpleX с исчезающими сообщениями.
Jitsi
Инструмент для голосовых конференций, поддерживающий сквозное шифрование. Можно развернуть на своём сервере или пользоваться публичным. У обоих вариантов использования Jitsi есть свои минусы.
С одной стороны, эксплуатация приложения может оказывать сильную нагрузку на ресурсы вашего сервера, особенно если в голосовом чате сразу много пользователей.
С другой стороны, публичный сервер хоть и не требует регистрации от всех участников конференции, но заставляет модератора зайти через Google или GitHub, а так как для создания комнаты нужен хотя бы один модератор, то кому-то придётся это сделать. Этому кому-то лучше заходить через GitHub, потому что на нём проще создавать фейковые аккаунты.
Чтобы зарегистрироваться на GitHub, вам понадобится электронная почта, к чему и переходим.
Электронная почта
В качестве приватных почтовых сервисов больше всего рекламируют себя Proton и Tuta. Хоть они и действительно пожирают намного меньше данных о пользователях, чем всякие гуглы и яндексы, но всё так же работают в легальном поле. Неудивительно, что и швейцарский Proton, и немецкая Tuta идут на сотрудничество с «правоохранителями», ведь другого выхода у них как легальных компаний быть и не может.
Так или иначе, Proton и Tuta — пожалуй, меньшее из зол в сравнении с популярными аналогами. При использовании учитывайте, что, во-первых, за свою анонимность в сети отвечаете только вы, и, во-вторых, если вы переписываетесь без сквозного шифрования9, то почтовому сервису будет доступно содержание ваших писем.
Помимо Proton и Tuta следует вспомнить onionmail10: почта с простой и анонимной регистрацией. На бесплатной версии нельзя отправлять сообщения, но можно принимать, и учётная запись автоматически удаляется после 3 месяцев без активности. Годится для регистрации по электронной почте на всяких сайтах, которые вы не планируете долго использовать11. К сожалению, многие сервисы блокируют onionmail, и в таких ситуациях приходится искать что-то другое.
Ссылки с одноразовыми записками
Одноразовые записки нужны при передаче чувствительных данных, особенно паролей, чтобы не оставлять их навеки покоиться в открытом виде где-то на дне в пучине чата мессенджера.
Больше всего среди сервисов одноразовых записок известен privnote, но его не советую: утомляет тем, что постоянно спрашивает какие-то дурацкие разрешения на сбор данных для своих партнёров. Намного лучше cryptgeon: не предлагает продаваться в рабство Google, можно использовать сервер разработчика или разворачивать у себя, исходный код открытый.
Другая достойная альтернатива — Nextcloud Secrets — инструмент экосистемы Nextcloud, о которой пойдёт речь далее.
Nextcloud
Из-за широты функционала и обилия плагинов нелегко дать исчерпывающее определение тому, чем именно является Nextcloud. Прежде всего, это хорошее ПО с открытым исходным кодом для создания облачного хранилища на сервере, но кроме самого облака в Nextcloud есть:
В общем, это не только облако, но и бесценная для организации коллективной работы штука, которая ощутимо упрощает жизнь. Если есть возможность поставить Nextcloud на свой сервер, то ставьте, чтобы не мучиться с файлообменом и управлением задачами в мессенджере и не использовать какие-то сомнительные сторонние решения.
Примечание: в этой главе много раз рекомендуется разворачивание мессенджера на собственном сервере, однако критически важно, чтобы администрированием IT-инфраструктуры организации занимались компетентные и доверенные товарищи, причём под товарищами имеются ввиду исключительно члены организации — аутсорсеров к таким делам пускать нельзя.
Как только у вас появляется свой сервер, то появляются и новые направления атак против вас. Если на данный момент у вас нет достаточно компетентных кадров для того, чтобы грамотно настроить сервер и его безопасность (что не так просто, как хотелось бы, а сам сервер после настройки требует постоянной поддержки), то вполне вероятен сценарий, при котором использование своего сервера потенциально будет даже хуже, чем использование сторонних ресурсов.
Одноразовые записки нужны при передаче чувствительных данных, особенно паролей, чтобы не оставлять их навеки покоиться в открытом виде где-то на дне в пучине чата мессенджера.
Больше всего среди сервисов одноразовых записок известен privnote, но его не советую: утомляет тем, что постоянно спрашивает какие-то дурацкие разрешения на сбор данных для своих партнёров. Намного лучше cryptgeon: не предлагает продаваться в рабство Google, можно использовать сервер разработчика или разворачивать у себя, исходный код открытый.
Другая достойная альтернатива — Nextcloud Secrets — инструмент экосистемы Nextcloud, о которой пойдёт речь далее.
Nextcloud
Из-за широты функционала и обилия плагинов нелегко дать исчерпывающее определение тому, чем именно является Nextcloud. Прежде всего, это хорошее ПО с открытым исходным кодом для создания облачного хранилища на сервере, но кроме самого облака в Nextcloud есть:
- Deck, невероятно полезный в проектной деятельности инструмент по управлению задачами команды — как Trello, только лучше. Если вы однажды начнёте работать с ним, то уже никогда не сможете работать без него;
- Calendar за себя говорит названием. Взаимодействует с Deck;
- Collectives для ведения документации, баз знаний и прочих стен текста. Можно красиво оформлять и разбивать на категории;
- Talk, простенький мессенджер;
- Secrets, приложение для одноразовых записок;
- Интеграция с OnlyOffice, отличная альтернатива Google Docs.
В общем, это не только облако, но и бесценная для организации коллективной работы штука, которая ощутимо упрощает жизнь. Если есть возможность поставить Nextcloud на свой сервер, то ставьте, чтобы не мучиться с файлообменом и управлением задачами в мессенджере и не использовать какие-то сомнительные сторонние решения.
Примечание: в этой главе много раз рекомендуется разворачивание мессенджера на собственном сервере, однако критически важно, чтобы администрированием IT-инфраструктуры организации занимались компетентные и доверенные товарищи, причём под товарищами имеются ввиду исключительно члены организации — аутсорсеров к таким делам пускать нельзя.
Как только у вас появляется свой сервер, то появляются и новые направления атак против вас. Если на данный момент у вас нет достаточно компетентных кадров для того, чтобы грамотно настроить сервер и его безопасность (что не так просто, как хотелось бы, а сам сервер после настройки требует постоянной поддержки), то вполне вероятен сценарий, при котором использование своего сервера потенциально будет даже хуже, чем использование сторонних ресурсов.
Глава 9. Криптовалюты: перенимаем криминальный опыт
Существует ли полностью анонимный способ передачи денег?
Ясно, что переводить деньги непосредственно получателю с банковского счёта на своё имя — не вариант. Есть недоступный для подавляющего большинства, но рабочий метод — использовать карты подставных лиц, однако большинство банкингов собирают довольно много данных о пользователях и агрессивно реагируют на инструменты анонимизации, а на банкоматах или возле них почти всегда есть камеры. Конечно, можно поручить работу со счетами подставным лицам и контролировать их, однако тут встают вопросы о доверии и путях конечного вывода средств. В любом случае, следы будут, и в немалом количестве. Почему тогда те же днепровские мошенники ведут свою деятельность годами без особых трудностей? Ответ прозаичен: их безопасность обеспечивается не продвинутыми мерами анонимности, а мусорским крышеванием и/или нацеленностью на жертв за границей.
Намного лучше банковских переводов выглядит старая добрая наличность. И действительно: отказ от высоких технологий — тоже защита против высокотехнологичной слежки. Для минимизации рисков при передаче наличных денег можно выбирать специфические места, где легко снизить эффективность наружного наблюдения до приемлемого уровня, а также оставлять денежные закладки вместо передачи из рук в руки. Риски здесь всё равно остаются как со стороны доверия людям, с которыми вы встретитесь или которые оставят/заберут конверт в точке X, так и со стороны того, что полностью исключить наружное наблюдение порою трудно. В общем, свои угрозы, как и везде, тут присутствуют, но передача налички — если уметь её правильно организовывать — в определённых ситуациях может оказаться наилучшим вариантом с точки зрения анонимности. Обо всём этом мы ещё поговорим подробнее в третьем разделе книги.
Впрочем, любые пересечения в реальной жизни в большей или меньшей мере сопряжены с риском провалиться, занимают много времени, а при большой географической отдалённости могут быть и просто невозможными в обозримой перспективе. В качестве быстрого, дистанционного и в то же время анонимного способа передачи денег, на первый взгляд, хорошо подходят криптовалюты. Перейдём же к ним.
Ясно, что переводить деньги непосредственно получателю с банковского счёта на своё имя — не вариант. Есть недоступный для подавляющего большинства, но рабочий метод — использовать карты подставных лиц, однако большинство банкингов собирают довольно много данных о пользователях и агрессивно реагируют на инструменты анонимизации, а на банкоматах или возле них почти всегда есть камеры. Конечно, можно поручить работу со счетами подставным лицам и контролировать их, однако тут встают вопросы о доверии и путях конечного вывода средств. В любом случае, следы будут, и в немалом количестве. Почему тогда те же днепровские мошенники ведут свою деятельность годами без особых трудностей? Ответ прозаичен: их безопасность обеспечивается не продвинутыми мерами анонимности, а мусорским крышеванием и/или нацеленностью на жертв за границей.
Намного лучше банковских переводов выглядит старая добрая наличность. И действительно: отказ от высоких технологий — тоже защита против высокотехнологичной слежки. Для минимизации рисков при передаче наличных денег можно выбирать специфические места, где легко снизить эффективность наружного наблюдения до приемлемого уровня, а также оставлять денежные закладки вместо передачи из рук в руки. Риски здесь всё равно остаются как со стороны доверия людям, с которыми вы встретитесь или которые оставят/заберут конверт в точке X, так и со стороны того, что полностью исключить наружное наблюдение порою трудно. В общем, свои угрозы, как и везде, тут присутствуют, но передача налички — если уметь её правильно организовывать — в определённых ситуациях может оказаться наилучшим вариантом с точки зрения анонимности. Обо всём этом мы ещё поговорим подробнее в третьем разделе книги.
Впрочем, любые пересечения в реальной жизни в большей или меньшей мере сопряжены с риском провалиться, занимают много времени, а при большой географической отдалённости могут быть и просто невозможными в обозримой перспективе. В качестве быстрого, дистанционного и в то же время анонимного способа передачи денег, на первый взгляд, хорошо подходят криптовалюты. Перейдём же к ним.
Насколько анонимна криптовалюта?
Зависит от криптовалюты.
В третьей главе говорилось: «На самом деле, криптовалюты лишь потому и могут быть независимыми от внешних регуляторов, что используют особую технологию, благодаря которой история ВСЕХ переводов должна сохраняться у ВСЕХ узлов сети. В каком-то смысле баланс любого криптокошелька является не балансом в привычном смысле, а историей всех переводов на него и из него, и эта история публично доступна для всех желающих».
Это утверждение верно для всех криптовалют, таков принцип их работы. Можете сами посмотреть переводы в том же Bitcoin на соответствующих ресурсах (пример). Бывают модели угроз, в которых такая прозрачность приемлема: например, когда есть уверенность, что противник по каким-то причинам не сможет получить информацию про свои цели от точек обмена криптовалюты на фиат, но понятно, что даже если это так, то на данный фактор всё равно нельзя положиться полностью.
К счастью, существуют две приватно-ориентированные криптовалюты, в которых история транзакций исследуется не так просто: Zcash и Monero.
В Zcash анонимизируются только специфические транзакции, а остальные работают как в обычных криптовалютах вроде Bitcoin, что может вносить путаницу. В настоящей главе мы рассмотрим только Monero, где анонимность предоставляется по умолчанию.
Monero
В Monero применяются очень интересные технологии, про которые можно долго говорить, но будет лучше сослаться на уже существующую хорошую серию видео от Tor Zireael. Здесь дам лишь общую схему того, как Monero защищает адрес получателя и адрес отправителя.
Для защиты адреса получателя используются стелс-адреса — одноразовые адреса, создающиеся во время перевода, которые не пересекаются с действительными реквизитами Monero-кошелька. В каждой транзакции используется два таких стелс-адреса: стелс-адрес самого получателя и стелс-адрес отправителя для получения сдачи. Кому какой стелс-адрес принадлежит — со стороны не ясно.
Для защиты адреса отправителя используются кольцевые подписи: в качестве отправителей указываются сразу шестнадцать стелс-адресов. Пятнадцать из них — это произвольно выбранные чужие стелс-адреса, то есть приманки, которые на деле к транзакции отношения не имеют и нужны только для анонимизации. Единственный настоящий стелс-адрес в кольцевой подписи — это тот, на который отправитель получал деньги в прошлом. С другой стороны, сам стелс-адрес отправителя тоже будет служить в качестве приманки в чьих-точужих транзакциях. Таким образом, становится сложно понять, откуда и куда переводятся средства в Monero. Правда, нужно учесть нюансы, о которых упомянем через пару абзацев.
Зависит от криптовалюты.
В третьей главе говорилось: «На самом деле, криптовалюты лишь потому и могут быть независимыми от внешних регуляторов, что используют особую технологию, благодаря которой история ВСЕХ переводов должна сохраняться у ВСЕХ узлов сети. В каком-то смысле баланс любого криптокошелька является не балансом в привычном смысле, а историей всех переводов на него и из него, и эта история публично доступна для всех желающих».
Это утверждение верно для всех криптовалют, таков принцип их работы. Можете сами посмотреть переводы в том же Bitcoin на соответствующих ресурсах (пример). Бывают модели угроз, в которых такая прозрачность приемлема: например, когда есть уверенность, что противник по каким-то причинам не сможет получить информацию про свои цели от точек обмена криптовалюты на фиат, но понятно, что даже если это так, то на данный фактор всё равно нельзя положиться полностью.
К счастью, существуют две приватно-ориентированные криптовалюты, в которых история транзакций исследуется не так просто: Zcash и Monero.
В Zcash анонимизируются только специфические транзакции, а остальные работают как в обычных криптовалютах вроде Bitcoin, что может вносить путаницу. В настоящей главе мы рассмотрим только Monero, где анонимность предоставляется по умолчанию.
Monero
В Monero применяются очень интересные технологии, про которые можно долго говорить, но будет лучше сослаться на уже существующую хорошую серию видео от Tor Zireael. Здесь дам лишь общую схему того, как Monero защищает адрес получателя и адрес отправителя.
Для защиты адреса получателя используются стелс-адреса — одноразовые адреса, создающиеся во время перевода, которые не пересекаются с действительными реквизитами Monero-кошелька. В каждой транзакции используется два таких стелс-адреса: стелс-адрес самого получателя и стелс-адрес отправителя для получения сдачи. Кому какой стелс-адрес принадлежит — со стороны не ясно.
Для защиты адреса отправителя используются кольцевые подписи: в качестве отправителей указываются сразу шестнадцать стелс-адресов. Пятнадцать из них — это произвольно выбранные чужие стелс-адреса, то есть приманки, которые на деле к транзакции отношения не имеют и нужны только для анонимизации. Единственный настоящий стелс-адрес в кольцевой подписи — это тот, на который отправитель получал деньги в прошлом. С другой стороны, сам стелс-адрес отправителя тоже будет служить в качестве приманки в чьих-точужих транзакциях. Таким образом, становится сложно понять, откуда и куда переводятся средства в Monero. Правда, нужно учесть нюансы, о которых упомянем через пару абзацев.
Для того, чтобы завести Monero-кошелёк, советую использовать программу Feather Wallet12 — она простая, легковесная, с открытым исходным кодом и грамотно настроена на анонимность по умолчанию (при установке и эксплуатации можно всё оставлять как есть). В отличие от официального клиента, Feather Wallet стабильно работает на Whonix.
ОБЯЗАТЕЛЬНО храните мнемоническую фразу (16 слов, которые программа показывает при создании кошелька) в надёжном месте и сделайте резервные копии на другие носители. Помните, что мнемоническая фраза — это пароль от вашего кошелька, так что по ней можно получить доступ к деньгам с любого устройства. Потеря или кража мнемонической фразы приведёт к необратимой потере средств.
Поскольку криптовалютные сбережения являются популярными целями хакерских атак, есть смысл использовать отдельную виртуальную машину или даже отдельный компьютер, где не будет ничего кроме криптокошельков.
Нюансы
1. Точки входа и выхода. Как и где покупать и продавать Monero? Вопрос сразу же разбивается на два подвопроса: спреды (разницы обменных курсов) и анонимность точек входа и выхода.
Очень важно: если вы покупаете Monero для того, чтобы что-то оплатить или сделать пожертвование, то не поленитесь создать свой кошелёк в Feather Wallet и покупайте Monero на него, а не напрямую на счёт получателя. В противном случае, так как биржи и обменники записывают данные о транзакциях, будет указано, что такой-то Иван Иванов обменял гривны на Monero, которые отправились на такой-то криптокошелёк Партии умеренного прогресса. Вернёмся к теме.
Наиболее выгодно покупать валюту на централизованных криптобиржах (CEX). Из-за борьбы с отмыванием денег большинство бирж не продают Monero, но некоторые всё ещё это делают. А как же анонимность? Биржи, как и банки, требуют регистрации по паспортным данным.
На фоне бирж в выгодном свете могут представляться обменники, на которых необязательна регистрация и требуется меньше личных данных (или можно указать ненастоящие). Тем не менее, если у вас нет подставного лица, то вы будете переводить деньги обменнику со своей реальной банковской карты, поэтому обменник всё равно может предоставить мусорам достаточно информации для выхода на вас.
Если же подставное лицо у вас таки есть, то почему бы не зарегистрировать на его имя счёт на бирже? Спреды там ниже, чем на обменниках, так что это будет намного выгоднее.
Поскольку криптовалютные сбережения являются популярными целями хакерских атак, есть смысл использовать отдельную виртуальную машину или даже отдельный компьютер, где не будет ничего кроме криптокошельков.
Нюансы
1. Точки входа и выхода. Как и где покупать и продавать Monero? Вопрос сразу же разбивается на два подвопроса: спреды (разницы обменных курсов) и анонимность точек входа и выхода.
Очень важно: если вы покупаете Monero для того, чтобы что-то оплатить или сделать пожертвование, то не поленитесь создать свой кошелёк в Feather Wallet и покупайте Monero на него, а не напрямую на счёт получателя. В противном случае, так как биржи и обменники записывают данные о транзакциях, будет указано, что такой-то Иван Иванов обменял гривны на Monero, которые отправились на такой-то криптокошелёк Партии умеренного прогресса. Вернёмся к теме.
Наиболее выгодно покупать валюту на централизованных криптобиржах (CEX). Из-за борьбы с отмыванием денег большинство бирж не продают Monero, но некоторые всё ещё это делают. А как же анонимность? Биржи, как и банки, требуют регистрации по паспортным данным.
На фоне бирж в выгодном свете могут представляться обменники, на которых необязательна регистрация и требуется меньше личных данных (или можно указать ненастоящие). Тем не менее, если у вас нет подставного лица, то вы будете переводить деньги обменнику со своей реальной банковской карты, поэтому обменник всё равно может предоставить мусорам достаточно информации для выхода на вас.
Если же подставное лицо у вас таки есть, то почему бы не зарегистрировать на его имя счёт на бирже? Спреды там ниже, чем на обменниках, так что это будет намного выгоднее.
Когда нужна повышенная анонимность, то вместо того, чтобы брать Monero на бирже непосредственно, можно на той же бирже покупать что-то обычное вроде Litecoin13 и потом обменивать его на Monero на каком-нибудь сервисе без KYC, желательно децентрализованном (DEX). При такой схеме усложняется поиск связи между карточкой Ивана Иванова и его Monero-кошельком.
Теперь про то, как продавать Monero. Если покупать Monero на бирже с соблюдением всех остальных правил анонимности приемлемо во многих моделях угроз, то вот заводить Monero на свой биржевой счёт для последующей продажи уже не так хорошо, потому что с каждым разом это значительно облегчает отслеживание транзакций. Лучше обменивайте Monero на другую валюту, тот же Litecoin, и продавайте уже его за фиат.
Также существуют различные способы купить Monero оффлайн за наличку, но они сильно разнятся от страны к стране, поэтому здесь проводите самостоятельное исследование. Много где можно купить Bitcoin за кэш с помощью криптоматов, после чего обменять Bitcoin на Monero, но учитывайте фактор камер и очень невыгодные обменные курсы.
В целом, невозможно дать универсальных советов по конкретным формам осуществления обмена, поэтому каждая организация, которая использует Monero, должна самостоятельно найти адекватное своей ситуации решение.
Также существуют различные способы купить Monero оффлайн за наличку, но они сильно разнятся от страны к стране, поэтому здесь проводите самостоятельное исследование. Много где можно купить Bitcoin за кэш с помощью криптоматов, после чего обменять Bitcoin на Monero, но учитывайте фактор камер и очень невыгодные обменные курсы.
В целом, невозможно дать универсальных советов по конкретным формам осуществления обмена, поэтому каждая организация, которая использует Monero, должна самостоятельно найти адекватное своей ситуации решение.
2. Волатильность. Как и Bitcoin или Ethereum, Monero подвергается сильным колебаниям. За год цена на один Monero может подняться со 120 долларов до 230, а потом точно так же упасть до 190. Из-за этого Monero пригодно как средство обращения и платежа, но не как средство накопления. Если вы не хотите рисковать, храня деньги в Monero, чтобы вас не порешал крипторыночек, то придётся время от времени обменивать Monero на фиат или стейблкоины14 вроде USDT и USDC.
3. Плохие узлы. В сети Monero, как и в сети Tor, существуют плохие узлы15, которые отслеживают активность пользователей. К счастью, в Feather Wallet по умолчанию настроена маршрутизация через Tor и подключение к Monero-узлам в зоне onion, то есть между вами и узлом будет аж шесть переходов. Для большей надёжности, как и всегда, также самостоятельно скрывайте свой IP, чтобы не полагаться только на Feather Wallet.
Те, кто обладает временем, навыками, небольшой суммой денег для оплаты тарифа и совсем не доверяет чужим узлам, могут развернуть свой собственный узел Monero на удалённом сервере и сделать его публичным, чтобы он не был связан только с вами. Для запутывания следов первое время не пользуйтесь своим узлом самостоятельно.
4. Время. Для того, чтобы ваш настоящий стелс-адрес не выделялся в кольцевой подписи транзакции как наиболее молодой, не отправляйте Monero куда-либо сразу после получения, а подождите несколько часов или пару дней. Тогда в списке стелс-адресов кольцевой подписи он окажется ближе к середине и будет менее примечательным.
4. Время. Для того, чтобы ваш настоящий стелс-адрес не выделялся в кольцевой подписи транзакции как наиболее молодой, не отправляйте Monero куда-либо сразу после получения, а подождите несколько часов или пару дней. Тогда в списке стелс-адресов кольцевой подписи он окажется ближе к середине и будет менее примечательным.
Чтобы ещё больше усложнить работу потенциальным аналитикам, перед отправкой конечному получателю попробуйте с разными временными интервалами погонять16 валюту по двум-трём своим кошелькам. Каждая новая транзакция — новая кольцевая подпись и новая головная боль для наблюдателя.
5. Множественные траты. Когда вы в рамках одной транзакции отправляете деньги на один и тот же адрес получателя сразу с нескольких своих кошельков, это значительно упрощает отслеживание. Если вам нужно перевести Monero куда-либо с двух и более кошельков, перед отправкой конечному получателю сначала киньте всю сумму на один из своих, выждите время и уже потом проводите целевой платёж с этого единого кошелька.
Глава 10. Мобильник: набор базовых рекомендаций для перехода от «плохо» к «посредственно»17
Название главы может разочаровать, но такова реальность — обеспечить конфиденциальность и безопасность на мобильном устройстве намного сложнее, чем на компьютере. Кроме того, приватный телефон неизбежно связан с ощутимыми неудобствами.
Перед тем, как тратить время на дальнейшее чтение этой главы, задумайтесь: а так ли вам нужен телефон для работы в организации? Если в рамках своей революционной деятельности вы просто пишете статьи и ничего более не предпринимаете, то можно с тем же успехом выполнять свои обязанности, пользуясь только безопасно настроенным компьютером, а телефон оставить девственно чистым. В такой ситуации преимущества очевидны: чем меньше точек входа в систему, тем меньше направлений атак на неё. Недостатки же незначительны: не получится переписываться с товарищами в дороге или лёжа на диване.
Перед тем, как тратить время на дальнейшее чтение этой главы, задумайтесь: а так ли вам нужен телефон для работы в организации? Если в рамках своей революционной деятельности вы просто пишете статьи и ничего более не предпринимаете, то можно с тем же успехом выполнять свои обязанности, пользуясь только безопасно настроенным компьютером, а телефон оставить девственно чистым. В такой ситуации преимущества очевидны: чем меньше точек входа в систему, тем меньше направлений атак на неё. Недостатки же незначительны: не получится переписываться с товарищами в дороге или лёжа на диване.
С другой стороны, могут быть ситуации, когда телефон объективно необходим, к примеру, для координации работы в оффлайне18, при длительных командировках и когда надо дать по тапкам. Что делать тогда?
Лучше всего проводить до конца принцип разделения подпольной и обыденной деятельности, то есть использовать два телефона: по одному для каждой стороны вашей жизни. Это важно как для защиты от угроз из киберпространства (по аналогии с тем, как это разделение ранее предлагалось для компьютеров и жёстких дисков), так и для защиты от физического доступа в странах вроде восточнославянских, где мусора или другие недоброжелатели могут потребовать отдать разблокированный телефон.
Если во время проверки где-то на блокпосту вы решите козырнуть поверхностными познаниями в юриспруденции и скажете, что они не имеют права, что у вас есть тайна частной жизни и прочий бред из шизофренических фантазий, то вы определённо создадите себе проблемы19. Лучше сделать вид, что вы законопослушный дурачок, которому нечего скрывать, и просто отдать мобилу, на которой заведомо нет ничего интересного. Очень важно, чтобы отданное устройство не было совсем пустым как после сброса до заводских, потому что иначе подозрений не избежать.
Примечание: если вы, как и я, обладаете специфическим чувством юмора, то можете заполнить белый телефон чем-то шокирующим, но не противозаконным. Подойдёт творчество GG Allin и вокально-инструментального ансамбля AxCx. Полицаи посчитают вас не вполне вменяемым, а с таких, как известно, спросу нет.
Описанный выше способ подходит для случаев, когда вас просят добровольно отдать мобилу. Если же вас обыскивают20, то найдут второе устройство. К счастью, и на такой случай существует несколько мер предосторожности, самой простой из которых является создание второго пользователя в настройках: пользуйтесь рабочей учётной записью только во время самой работы, после чего сразу же возвращайтесь на некомпрометирующую вторую и оставайтесь на ней до следующей необходимости использовать рабочий профиль.
Разумеется, подставная учётная запись чёрной мобилы тоже должна быть с каким-то содержимым. Выдумайте сами, для чего вам нужен второй телефон, и скачайте на его второе пространство соответствующий легенде контент. Как вариант, можно установить второму пользователю игры и говорить, что вы используете этот телефон для мобильного гейминга.
Таким образом, всего у вас будет три среды:
Таким образом, всего у вас будет три среды:
- Основная белая мобила.
- Подставной пользователь чёрной мобилы с играми/музыкой/фильмами/священным писанием.
- Рабочий пользователь чёрной мобилы.
Обязательно учитывайте, что все описанные меры со второй мобилой и вторым пользователем подходят только на случай будничной проверки при отсутствии серьёзных подозрений в чём-то конкретном, как это происходит в Украине на блокпостах, а в условиях более серьёзного настроя ментов эти меры перестанут работать. Если вы пересекаете границу, на которой могут дотошно изучать электронику21, то следуйте инструкциям из следующей главы. Если же в дверь ломятся маски шоу, то компромат прятать поздно и пора уничтожать.
У кого-то наверняка возник вопрос: что делать, если сейчас нет денег на вторую мобилу? В качестве временного решения подойдёт, опять же, эксплуатация двух учётных записей. Разделение деятельности на подпольную и обыденную по двум пространствам одного телефона тоже снизит ряд рисков, хоть и не так эффективно, как использование двух отдельных устройств. При необходимости избавиться от компромата будет достаточно целиком уничтожить свой чёрный профиль.
Отступление про альтернативные прошивки
Отступление про альтернативные прошивки
В вашей модели угроз может быть крайне желательно избавиться от тотальной слежки со стороны корпорации Google22, которая уж больно сильно залезает своими загребущими лапами в ОС Android. В таком случае могу порекомендовать установить на рабочий телефон кастомную прошивку, где не будет назойливого гугловского соседа. Хороших прошивок существует много, но особое внимание стоит уделить CalyxOS.
CalyxOS — это операционная система на основе Android, ориентированная на приватность по умолчанию. Также сразу после установки вы получите набор полезных инструментов: брандмауэр, VPN, Tor, microG («затычка», которая позволяет при необходимости включать отдельные сервисы Google и использовать их более приватно23), красная кнопка для экстренной очистки данных и многое другое.
Желающие начать пользоваться CalyxOS могут столкнуться со следующими трудностями:
- Систему поддерживают не все телефоны, а только указанные на сайте разработчиков.
- Даже те телефоны, которые указаны, иногда могут не подойти. Например, на моделях от американских мобильных провайдеров нельзя разблокировать загрузчик, что не позволяет их перепрошивать, поэтому перед покупкой мобильника под CalyxOS проверьте, доступна ли разблокировка загрузчика.
- Для установки CalyxOS вам понадобятся компьютер с бесперебойником24 или ноутбук, базовые технические навыки, руки из плеч и умение находить и применять инструкции из Интернета.
- Перепрошивка телефона может привести к потере гарантии, что неприятно, но не должно быть критично.
Настройки Android
В настройках есть пять ключевых моментов:
1. Шифрование. Просто убедитесь, что оно есть. Начиная с десятой версии Android шифрование должно стоять по умолчанию.
В настройках есть пять ключевых моментов:
1. Шифрование. Просто убедитесь, что оно есть. Начиная с десятой версии Android шифрование должно стоять по умолчанию.
2. Метод блокировки экрана — исключительно PIN-код25 от 6 цифр и более или пароль. Также полностью скройте показ уведомлений на экране блокировки, отключите анимацию ввода и старайтесь отходить от людей при использовании устройства, чтобы PIN или пароль нельзя было подсмотреть.
Биометрия небезопасна! Даже если вы думаете, что никто никогда не приложит силой ваш палец к телефону, то не используйте биометрию хотя бы потому, что биометрические данные в случае кражи могут быть очень жестоко использованы против вас, а изменить биометрию, в отличие от пароля, невозможно.
3. Включение kill switch для VPN/Tor. Зайдите в раздел Сеть и Интернет в настройках устройства, перейдите в подраздел VPN, выберите нужное приложение и активируйте Постоянная VPN и Блокировать соединения без VPN.
4. Минимизация телеметрии. Если у вас не кастомная прошивка, то хотя бы запретите Google всё, что можно запретить, отключите персонализацию рекламы, удалите рекламный идентификатор и просто сократите использование всего, что связано с корпорацией зла. По возможности всё-таки перепрошейте мобилу и скажите наркотикам Google нет.
5. Управление разрешениями. Это — самое важное. Не разрешайте ничего сверх того, что необходимо. Если вам нужно отправить один скриншот в мессенджере, то дайте доступ только к этому скриншоту, а не ко всем фото на устройстве. Если вы не собираетесь указывать своё местоположение в календаре, то не давайте ему права на геолокацию. Если текстовый редактор просит доступ к журналу звонков, то ни на что не соглашайтесь и удалите этот дебильный текстовый редактор.
Полезные приложения
Для начала разберёмся, как их устанавливать. Поскольку нам не нравится Google Play, мы начинаем любить F-Droid — репозиторий Android-приложений с открытым исходным кодом. Там есть большинство необходимых программ или их опенсорсные аналоги, ищущий найдёт. Приложения из списка ниже устанавливайте оттуда.
3. Включение kill switch для VPN/Tor. Зайдите в раздел Сеть и Интернет в настройках устройства, перейдите в подраздел VPN, выберите нужное приложение и активируйте Постоянная VPN и Блокировать соединения без VPN.
4. Минимизация телеметрии. Если у вас не кастомная прошивка, то хотя бы запретите Google всё, что можно запретить, отключите персонализацию рекламы, удалите рекламный идентификатор и просто сократите использование всего, что связано с корпорацией зла. По возможности всё-таки перепрошейте мобилу и скажите наркотикам Google нет.
5. Управление разрешениями. Это — самое важное. Не разрешайте ничего сверх того, что необходимо. Если вам нужно отправить один скриншот в мессенджере, то дайте доступ только к этому скриншоту, а не ко всем фото на устройстве. Если вы не собираетесь указывать своё местоположение в календаре, то не давайте ему права на геолокацию. Если текстовый редактор просит доступ к журналу звонков, то ни на что не соглашайтесь и удалите этот дебильный текстовый редактор.
Полезные приложения
Для начала разберёмся, как их устанавливать. Поскольку нам не нравится Google Play, мы начинаем любить F-Droid — репозиторий Android-приложений с открытым исходным кодом. Там есть большинство необходимых программ или их опенсорсные аналоги, ищущий найдёт. Приложения из списка ниже устанавливайте оттуда.
NetGuard — брандмауэр26. Запрещаем доступ к интернету для всего, чему этот доступ не нужен или чем мы пользуемся редко.
KeePassDX — менеджер паролей, полноценный аналог KeePassXC для Android.
Кастомные клавиатуры — устанавливаем любую понравившуюся из F-Droid, чтобы не пользоваться клавиатурой от Google.
Приватные браузеры —на F-Droid есть DuckDuckGo, вне F-Droid есть IronFox. Не так хороши, как LibreWolf, но на Android выбор невелик. Ещё есть мобильный Tor Browser.
Orbot и его аналог InviZible Pro — маршрутизация трафика отдельных приложений или всего устройства через сеть Tor. InviZible Pro помимо смешного названия хорош удобной и гибкой настройкой подключения, в том числе перечня разрешённых и запрещённых узлов по странам.
AdAway — блокировщик рекламы.
Organic Maps — оффлайн карты, скачиваем перед походом в лес с большими чёрными мусорными пакетами.
Extirparter — затиратель свободного места на диске для Android, неполный аналог BleachBit. Применяем после сессий удаления чувствительных файлов.
Cryptomator — кроссплатформенная программа для пофайлового шифрования.
Duress и Wasted — обязательные приложения на случай ЧП.
Duress сбрасывает систему до заводских настроек при вводе ложного PIN-кода. Сделайте ложный PIN простым и легко запоминающимся вроде 000000, чтобы не забыть его в стрессовой ситуации. Обязательно сначала проверьте работоспособность Duress во вкладке Test. Если в ответна ложный PIN появится уведомление, то перейдите в раздел Wipe, включите его и дайте Duress нужные права. Убедитесь, что Wipe стоит на ВКЛ, и можете больше никогда не открывать это приложение. Кстати, довольно неочевидно, что если после включения сброса по ложному PIN-коду вы переходите в другие вкладки приложения, то Wipe автоматически отключается, поэтому лучше один раз настроить и не трогать.
Примечание: этот фальш-PIN нужен для того, чтобы не тратить бесценные секунды на поиск сброса до заводских в настройках тогда, когда в дверь уже ломятся незваные гости. Если во время обычного осмотра вы введёте ложный PIN-код и телефон сразу очистится, то, поверьте, ментам это очень не понравится. На рядовую проверку даётся специально подготовленный белый телефон, а не сброшенный до заводских, точка.
Wasted осуществляет тот же сброс при выполнении настраиваемых пользователем условий. Самым полезным триггером в Wasted является Lock — сброс до заводских настроек, если устройство не разблокируется за указанное количество временных единиц. Советую настраивать Lock на 24 часа в обычных ситуациях и на 12 часов в потенциально щекотливых, в последнем случае не забывайте разблокировать телефон перед сном и после него. С триггером USB будьте осторожны, у некоторых он может реагировать на зарядку.
Способы слежки за мобильными устройствами
Здесь существуют свои особые методы в дополнение к тем, которые применимы к подключённым к сети компьютерам вообще. Ниже мы разберём, в частности, слежку по SIM, Wi-Fi/Bluetooth и push-уведомлениям.
1. SIM. Зная номер телефона, можно установить примерную локацию устройства. У каждого телефона есть IMEI-номер, данные о котором передаются оператору сотовой связи, поэтому замена скомпрометированной SIM-карты не поможет: оператор увидит, что телефон, на котором раньше была симка A, теперь использует симку B. В общем, скомпрометированная SIM-карта автоматически «пачкает» телефон, и наоборот — скомпрометированный телефон автоматически «пачкает» SIM-карту.
Что-то скрыть здесь практически нереально. Можно определить, какие устройства находятся в относительной близости к телефону с симкой A, поэтому даже комбинация левого телефона с левой симкой не сильно улучшает ситуацию.
Кастомные клавиатуры — устанавливаем любую понравившуюся из F-Droid, чтобы не пользоваться клавиатурой от Google.
Приватные браузеры —на F-Droid есть DuckDuckGo, вне F-Droid есть IronFox. Не так хороши, как LibreWolf, но на Android выбор невелик. Ещё есть мобильный Tor Browser.
Orbot и его аналог InviZible Pro — маршрутизация трафика отдельных приложений или всего устройства через сеть Tor. InviZible Pro помимо смешного названия хорош удобной и гибкой настройкой подключения, в том числе перечня разрешённых и запрещённых узлов по странам.
AdAway — блокировщик рекламы.
Organic Maps — оффлайн карты, скачиваем перед походом в лес с большими чёрными мусорными пакетами.
Extirparter — затиратель свободного места на диске для Android, неполный аналог BleachBit. Применяем после сессий удаления чувствительных файлов.
Cryptomator — кроссплатформенная программа для пофайлового шифрования.
Duress и Wasted — обязательные приложения на случай ЧП.
Duress сбрасывает систему до заводских настроек при вводе ложного PIN-кода. Сделайте ложный PIN простым и легко запоминающимся вроде 000000, чтобы не забыть его в стрессовой ситуации. Обязательно сначала проверьте работоспособность Duress во вкладке Test. Если в ответна ложный PIN появится уведомление, то перейдите в раздел Wipe, включите его и дайте Duress нужные права. Убедитесь, что Wipe стоит на ВКЛ, и можете больше никогда не открывать это приложение. Кстати, довольно неочевидно, что если после включения сброса по ложному PIN-коду вы переходите в другие вкладки приложения, то Wipe автоматически отключается, поэтому лучше один раз настроить и не трогать.
Примечание: этот фальш-PIN нужен для того, чтобы не тратить бесценные секунды на поиск сброса до заводских в настройках тогда, когда в дверь уже ломятся незваные гости. Если во время обычного осмотра вы введёте ложный PIN-код и телефон сразу очистится, то, поверьте, ментам это очень не понравится. На рядовую проверку даётся специально подготовленный белый телефон, а не сброшенный до заводских, точка.
Wasted осуществляет тот же сброс при выполнении настраиваемых пользователем условий. Самым полезным триггером в Wasted является Lock — сброс до заводских настроек, если устройство не разблокируется за указанное количество временных единиц. Советую настраивать Lock на 24 часа в обычных ситуациях и на 12 часов в потенциально щекотливых, в последнем случае не забывайте разблокировать телефон перед сном и после него. С триггером USB будьте осторожны, у некоторых он может реагировать на зарядку.
Способы слежки за мобильными устройствами
Здесь существуют свои особые методы в дополнение к тем, которые применимы к подключённым к сети компьютерам вообще. Ниже мы разберём, в частности, слежку по SIM, Wi-Fi/Bluetooth и push-уведомлениям.
1. SIM. Зная номер телефона, можно установить примерную локацию устройства. У каждого телефона есть IMEI-номер, данные о котором передаются оператору сотовой связи, поэтому замена скомпрометированной SIM-карты не поможет: оператор увидит, что телефон, на котором раньше была симка A, теперь использует симку B. В общем, скомпрометированная SIM-карта автоматически «пачкает» телефон, и наоборот — скомпрометированный телефон автоматически «пачкает» SIM-карту.
Что-то скрыть здесь практически нереально. Можно определить, какие устройства находятся в относительной близости к телефону с симкой A, поэтому даже комбинация левого телефона с левой симкой не сильно улучшает ситуацию.
Конечно, есть вариант где-то спрятать конспиративный мобильник и ездить туда, оставляя основную мобилу дома27, но резкое понижение активности в определённые временные интервалы на одном устройстве параллельно с повышением активности на другом в долгосрочной перспективе может быть замечено.
Кроме того, если вы — любитель пообщаться по сотовой связи, то не забывайте, что ваши разговоры в любом случае будут в лёгкой доступности для оператора и, соответственно, полицаев.
Разбираться в дальнейших деталях можно, но не нужно, и достаточно усвоить одно простое правило: сотовая связь не анонимна и не конфиденциальна. Для регистрации где-либо по номеру телефона используйте виртуальные SIM-карты или покупайте готовые аккаунты, а для коммуникации используйте защищённые мессенджеры.
Примечание: сказанное выше применимо и к LTE-модемам, так как у них тоже есть IMEI-номера. Хотите запутать след на случай, если ваше подключение по модему когда-то будет скомпрометировано? Меняйте и модем, и симку раз в N недель, но имейте ввиду, что это не панацея.
2. Wi-Fi/Bluetooth. Возможно, при использовании навигаторов вы замечали, что для уточнения геолокации они иногда просят включить поиск сетей Wi-Fi. На самом деле, отслеживать примерное местоположение можно даже без GPS, основываясь исключительно на данных о ближайших Wi-Fi-сетях и Bluetooth-устройствах, и существуют даже специальные противоугонные средства, которые это используют. Таким образом, если вы хотите скрыться, то выключайте не только GPS, но и Wi-Fi с Bluetooth, а ещё лучше — заведите себе привычку не держать их постоянно включенными.
3. Push-уведомления. Вещь, безусловно, полезная и нужная, но есть одна большая проблема: для отправки push-уведомлений, как правило, используются сервера Google, и уже были случаи, когда ФБР эксплуатировало это на практике против своих объектов.
Проблема вполне решается только отключением гугловских push-уведомлений (не просто отключением показа пушей, а именно отключением самих пушей, для чего оптимально использовать приватную прошивку). Смягчением риска со стороны приватности содержимого уведомлений (но не со стороны анонимности) является настройка уведомлений в приложениях на минимальную информацию: например, чтобы показывалось не всё сообщение из мессенджера, а только отправитель или вообще только факт наличия нового сообщения.
Если указанные варианты действий не подходят, то придётся принять угрозу или попытать счастья с UnifiedPush, однако последний поддерживают не все приложения.
Разбираться в дальнейших деталях можно, но не нужно, и достаточно усвоить одно простое правило: сотовая связь не анонимна и не конфиденциальна. Для регистрации где-либо по номеру телефона используйте виртуальные SIM-карты или покупайте готовые аккаунты, а для коммуникации используйте защищённые мессенджеры.
Примечание: сказанное выше применимо и к LTE-модемам, так как у них тоже есть IMEI-номера. Хотите запутать след на случай, если ваше подключение по модему когда-то будет скомпрометировано? Меняйте и модем, и симку раз в N недель, но имейте ввиду, что это не панацея.
2. Wi-Fi/Bluetooth. Возможно, при использовании навигаторов вы замечали, что для уточнения геолокации они иногда просят включить поиск сетей Wi-Fi. На самом деле, отслеживать примерное местоположение можно даже без GPS, основываясь исключительно на данных о ближайших Wi-Fi-сетях и Bluetooth-устройствах, и существуют даже специальные противоугонные средства, которые это используют. Таким образом, если вы хотите скрыться, то выключайте не только GPS, но и Wi-Fi с Bluetooth, а ещё лучше — заведите себе привычку не держать их постоянно включенными.
3. Push-уведомления. Вещь, безусловно, полезная и нужная, но есть одна большая проблема: для отправки push-уведомлений, как правило, используются сервера Google, и уже были случаи, когда ФБР эксплуатировало это на практике против своих объектов.
Проблема вполне решается только отключением гугловских push-уведомлений (не просто отключением показа пушей, а именно отключением самих пушей, для чего оптимально использовать приватную прошивку). Смягчением риска со стороны приватности содержимого уведомлений (но не со стороны анонимности) является настройка уведомлений в приложениях на минимальную информацию: например, чтобы показывалось не всё сообщение из мессенджера, а только отправитель или вообще только факт наличия нового сообщения.
Если указанные варианты действий не подходят, то придётся принять угрозу или попытать счастья с UnifiedPush, однако последний поддерживают не все приложения.
Глава 11. Сборная солянка: важные вещи, которые не вошли в остальные главы
В настоящем разделе эта глава, как говорят англосаксы, last but not least. Никогда не стоит пренебрегать мелочами, потому что порою они способны оказаться более значимыми, чем то, о чём думается в первую очередь.
Приватный поиск
Среди приватных поисковиков наиболее популярен DuckDuckGo. По сравнению с Google он, безусловно, хорош, но не без ложки дёгтя: своя телеметрия тоже присутствует. Если в вашей модели угроз это неприемлемо, то можете использовать ещё более приватные сервисы, к примеру, Qwant. К сожалению, DuckDuckGo и Qwant во время поиска по узкоспециализированным темам иногда выдают недостаточно релевантные ответы, в таких случаях есть смысл заходить на Google под Tor Browser.
Метаданные
Метаданные — это данные про данные. У каждого файла есть время создания и изменения, остальные метаданные зависят от формата и особенностей отдельных файлов.
Некоторые метаданные могут привести к деанонимизации, наиболее опасны геолокация фотографии и имя создателя текстового документа. Метаданные — это недооценённый вектор атаки, ведь по невнимательности при отправке файлов можно моментально раскрыть критическую информацию.
Для удаления метаданных с фото, видео и файлов pdf установите утилиту ExifTool.
Для того, чтобы освободиться от инфернального рабства у Microsoft, и чтобы у вас не указывались лишние метаданные на текстовых файлах при их создании, используйте LibreOffice или OnlyOffice вместо MS Office и свободный формат odt вместо docx.
И в ExifTool, и в LibreOffice/OnlyOffice ничего сложного нет, но это не отменяет того, что они практически обязательны для приватности, если вы работаете с файлами.
VirusTotal и конвертеры
VirusTotal — это популярный сайт для проверки файлов на вредоносные компоненты. VirusTotal действительно хорошо их находит, потому что пользуется базами сразу многих антивирусов, однако этот сервис на деле не бесплатен: проверку на вирусы вы оплачиваете данными из проверяемых файлов, которыми VirusTotal потом торгует. Сказанное не является конспирологией: так-то при использовании вы добровольно на это подписываетесь, даже если не читаете соглашение. В общем, не могу сказать, что VirusTotal нужно совсем отбросить, потому что вещь толковая, но не проверяйте на нём ничего содержащего конфиденциальные/компрометирующие данные.
Другое дело — онлайн-конвертеры файлов. Не поленитесь скачать себе оффлайновый конвертер с открытым исходным кодом, потому что ничего незаменимо полезного в онлайн-конвертерах нет, а вот слив данных оттуда происходит очень шибко.
Вас это может удивить, но даже в серьёзных коммерческих организациях VirusTotal и онлайн-конвертеры являются весьма и весьма распространёнными источниками утечек информации.
Небезопасные USB-устройства
Чем может быть опасна флешка? Очевидно, что вредоносным ПО. Менее очевидно, что под флешку может быть замаскирована USB-клавиатура, после чего такая «флешка» используется как инструмент удалённого доступа. Похожую маскировку под другое устройство, кстати, можно выполнить и для телефонной зарядки. Вывод? Не вступайте в незащищённые USB-подключения и ограничьте количество USB-партнёров ваших устройств до того минимума, при котором можно быть уверенным в отсутствии риска заражения.
Приватный поиск
Среди приватных поисковиков наиболее популярен DuckDuckGo. По сравнению с Google он, безусловно, хорош, но не без ложки дёгтя: своя телеметрия тоже присутствует. Если в вашей модели угроз это неприемлемо, то можете использовать ещё более приватные сервисы, к примеру, Qwant. К сожалению, DuckDuckGo и Qwant во время поиска по узкоспециализированным темам иногда выдают недостаточно релевантные ответы, в таких случаях есть смысл заходить на Google под Tor Browser.
Метаданные
Метаданные — это данные про данные. У каждого файла есть время создания и изменения, остальные метаданные зависят от формата и особенностей отдельных файлов.
Некоторые метаданные могут привести к деанонимизации, наиболее опасны геолокация фотографии и имя создателя текстового документа. Метаданные — это недооценённый вектор атаки, ведь по невнимательности при отправке файлов можно моментально раскрыть критическую информацию.
Для удаления метаданных с фото, видео и файлов pdf установите утилиту ExifTool.
Для того, чтобы освободиться от инфернального рабства у Microsoft, и чтобы у вас не указывались лишние метаданные на текстовых файлах при их создании, используйте LibreOffice или OnlyOffice вместо MS Office и свободный формат odt вместо docx.
И в ExifTool, и в LibreOffice/OnlyOffice ничего сложного нет, но это не отменяет того, что они практически обязательны для приватности, если вы работаете с файлами.
VirusTotal и конвертеры
VirusTotal — это популярный сайт для проверки файлов на вредоносные компоненты. VirusTotal действительно хорошо их находит, потому что пользуется базами сразу многих антивирусов, однако этот сервис на деле не бесплатен: проверку на вирусы вы оплачиваете данными из проверяемых файлов, которыми VirusTotal потом торгует. Сказанное не является конспирологией: так-то при использовании вы добровольно на это подписываетесь, даже если не читаете соглашение. В общем, не могу сказать, что VirusTotal нужно совсем отбросить, потому что вещь толковая, но не проверяйте на нём ничего содержащего конфиденциальные/компрометирующие данные.
Другое дело — онлайн-конвертеры файлов. Не поленитесь скачать себе оффлайновый конвертер с открытым исходным кодом, потому что ничего незаменимо полезного в онлайн-конвертерах нет, а вот слив данных оттуда происходит очень шибко.
Вас это может удивить, но даже в серьёзных коммерческих организациях VirusTotal и онлайн-конвертеры являются весьма и весьма распространёнными источниками утечек информации.
Небезопасные USB-устройства
Чем может быть опасна флешка? Очевидно, что вредоносным ПО. Менее очевидно, что под флешку может быть замаскирована USB-клавиатура, после чего такая «флешка» используется как инструмент удалённого доступа. Похожую маскировку под другое устройство, кстати, можно выполнить и для телефонной зарядки. Вывод? Не вступайте в незащищённые USB-подключения и ограничьте количество USB-партнёров ваших устройств до того минимума, при котором можно быть уверенным в отсутствии риска заражения.
Проверка техники на границе28
Как проводить зачистку данных на чёрных устройствах перед пересечением границы?
1. Сперва делаем резервные копии важных файлов в криптоконтейнер и отправляем это зашифрованное добро на приватное облако.
2. Ссылку на криптоконтейнер в облаке кидаем доверенному товарищу, который не потеряет ссылку и с которым ничего не случится в ближайшее время. Просим друга сохранить у себя локально и ссылку, и по возможности контейнер. Продумываем, как мы свяжемся после перехода. Удаляем переписку и теряем свой доступ к облаку, чтобы данные хранились только у нашего товарища. Это защитит нас от давления, потому что мы обладаем лишь ключом от сейфа (паролем), но без товарища не сможем получить сам сейф (криптоконтейнер) даже при всём желании.
1. Сперва делаем резервные копии важных файлов в криптоконтейнер и отправляем это зашифрованное добро на приватное облако.
2. Ссылку на криптоконтейнер в облаке кидаем доверенному товарищу, который не потеряет ссылку и с которым ничего не случится в ближайшее время. Просим друга сохранить у себя локально и ссылку, и по возможности контейнер. Продумываем, как мы свяжемся после перехода. Удаляем переписку и теряем свой доступ к облаку, чтобы данные хранились только у нашего товарища. Это защитит нас от давления, потому что мы обладаем лишь ключом от сейфа (паролем), но без товарища не сможем получить сам сейф (криптоконтейнер) даже при всём желании.
3. Проводим полную очистку от компромата29.
Чёрный телефон сбрасываем30 до заводских и для легенды накачиваем на него чего-нибудь непримечательного. На ПК чёрные виртуальные машины и жёсткие диски стираем до блеска посредством BleachBit. Очищенный жёсткий диск, как и сброшенный телефон, надо заполнить каким-то неинтересным содержимым.
Важно, чтобы у вас было хотя бы по одному белому диску и телефону, на которых много давно накапливающегося хлама, потому что только тогда пустоватые вторые устройства не будут выделяться. Если же отсутствие сколько-нибудь длительной истории пользования обнаружится не на паре устройств из многих, а вообще на всех, то для проверяющего это будет выглядеть совершенно иначе.
Лишний раз повторю: пустой телефон — гарантированные подозрения. Должно быть белое устройство, которое безопасно отдавать в мусорские лапы. Если у вас есть только один мобильник, то см. рекомендации выше касательно второго пространства и его сноса.
4. Приезжаем на кордон, без возражений всё показываем и отвечаем на все глупые вопросы спецслужбистов, притворяемся обыкновенным скучным лохом.
5. После пересечения границы восстанавливаем контакт с товарищем и получаем обратно криптоконтейнер с нашими данными.
Лишний раз повторю: пустой телефон — гарантированные подозрения. Должно быть белое устройство, которое безопасно отдавать в мусорские лапы. Если у вас есть только один мобильник, то см. рекомендации выше касательно второго пространства и его сноса.
4. Приезжаем на кордон, без возражений всё показываем и отвечаем на все глупые вопросы спецслужбистов, притворяемся обыкновенным скучным лохом.
5. После пересечения границы восстанавливаем контакт с товарищем и получаем обратно криптоконтейнер с нашими данными.
Примечания:
1. В том числе по уморительным причинам Мне не нравится и Не нарушает закон, но надо удалить. Будем надеяться, что в Telegram эту дичь добавили специально для того, чтобы игнорировать такие жалобы и не перегружать модераторов дебильной работой.
3. Статья с описанием атак со стороны администратора сервера Matrix и сравнением с SimpleX: https://telegra.ph/SimpleX---ubijca-Matrixorg-polnaya-statya-12-29
4. Официальный сайт: https://simplex.chat/
6. Нормальный файлообмен в SimpleX, видимо, реализовать в принципе невозможно, потому что это потребовало бы централизации.
7. Кстати, для обсуждения всяких особо секретных дел в SimpleX не забывайте включать исчезающие сообщения, чтобы не накапливать компромат.
8. Вроде бы его всё же можно сделать какими-то плагинами, но на практике я их не проверял.
9. К счастью, его можно включить и в Proton, и в Tuta.
11. Есть ещё сервисы временных почт на 10-15 минут, но и для удобства, и для безопасности лучше потратить полминуты на регистрацию в onionmail. После регистрации можно на той же учётной записи спамить новые ящики.
13. Подойдёт и любая другая валюта, у которой хорошая ликвидность и низкие комиссии.
14. А стейблкоины уже неанонимны и под контролем регуляторов, что не стоит забывать.
15. Подробнее см. разбор методов Chainalysis в той же серии видео от Tor Zireael.
16. Гонять последовательно, не переводить обратно на уже использованные адреса.
17. По ряду причин в этой главе говорится только про Android. Если у вас iPhone, то оставьте его в качестве «чистого» телефона, а для революционной деятельности купите что-то нормальное.
18. Хотя при должной дисциплине и уверенности, что все будут приходить в заранее оговоренное место в заранее оговоренное время, можно обойтись без телефонов и в таких случаях, о чём в разделе про некомпьютерную безопасность.
19. В Украине у органов действительно нет законного права принуждать вас к выдаче пароля, зато есть вполне легальные полномочия для того, чтобы подпортить вам жизнь, даже если вы ничего не нарушили.
20. На обыск, в том числе и на принуждение к выворачиванию карманов, без соответствующего определения суда украинские «правоохранители» тоже не имеют права, но на практике они любят превышать полномочия.
21. Речь не только про наши восточноевропейские трущобы, но и про всякие либеральные государства первого мира. В Австралии, например, вы законно ОБЯЗАНЫ раскрыть пароль от ноутбука, если это потребуют в аэропорту.
22. Кроме того, инфраструктура Google на вашем телефоне может оказаться удобной для криминалистов, потому что позволяет добывать много информации даже без доступа к устройству.
23. Тем не менее, если стоит цель максимизировать приватность, то вы должны полностью отказаться от всех сервисов Google на рабочем устройстве, включая push-уведомления. MicroG хоть и сокращает объём слежки, но не останавливает её полностью.
24. Перебой электричества во время прошивания может окирпичить телефон.
25. Пожалуйста, не делайте PIN-код «1917». Спасибо.
26. На CalyxOS есть собственный, актуально для пользователей обычного Android.
27. Или всегда держать левый телефон в режиме полёта, включая и выключая самолёт только где-то подальше от места жительства. Зачем подальше? Подключение к соте и отключение от неё тоже фиксируются оператором.
28. Для украинских мужчин неактуально, но я оптимист, поэтому пусть будет с расчётом на будущее.
29. Здесь предлагается сносить всё в ноль, потому что на практике очень легко пропустить что-то важное при избирательной очистке, а у нас в этой схеме всё равно подразумевается наличие показных устройств.
30. Также в который раз напомню об удобстве рабочих профилей: снёс профиль — снёс данные.
17 мая 2025
Автор: Носферату
В том числе по уморительным причинам Мне не нравится и Не нарушает закон, но надо удалить. Будем надеяться, что в Telegram эту дичь добавили специально для того, чтобы игнорировать такие жалобы и не перегружать модераторов дебильной работой.
https://element.io/ (кстати, на Linux Mint установлен по умолчанию).
Статья с описанием атак со стороны администратора сервера Matrix и сравнением с SimpleX: https://telegra.ph/SimpleX---ubijca-Matrixorg-polnaya-statya-12-29
Официальный сайт: https://simplex.chat/
Нормальный файлообмен в SimpleX, видимо, реализовать в принципе невозможно, потому что это потребовало бы централизации.
Кстати, для обсуждения всяких особо секретных дел в SimpleX не забывайте включать исчезающие сообщения, чтобы не накапливать компромат.
Вроде бы его всё же можно сделать какими-то плагинами, но на практике я их не проверял.
К счастью, его можно включить и в Proton, и в Tuta.
Есть ещё сервисы временных почт на 10-15 минут, но и для удобства, и для безопасности лучше потратить полминуты на регистрацию в onionmail. После регистрации можно на той же учётной записи спамить новые ящики.
Подойдёт и любая другая валюта, у которой хорошая ликвидность и низкие комиссии.
А стейблкоины уже неанонимны и под контролем регуляторов, что не стоит забывать.
Подробнее см. разбор методов Chainalysis в той же серии видео от Tor Zireael.
Гонять последовательно, не переводить обратно на уже использованные адреса.
По ряду причин в этой главе говорится только про Android. Если у вас iPhone, то оставьте его в качестве «чистого» телефона, а для революционной деятельности купите что-то нормальное.
Хотя при должной дисциплине и уверенности, что все будут приходить в заранее оговоренное место в заранее оговоренное время, можно обойтись без телефонов и в таких случаях, о чём в разделе про некомпьютерную безопасность.
В Украине у органов действительно нет законного права принуждать вас к выдаче пароля, зато есть вполне легальные полномочия для того, чтобы подпортить вам жизнь, даже если вы ничего не нарушили.
На обыск, в том числе и на принуждение к выворачиванию карманов, без соответствующего определения суда украинские «правоохранители» тоже не имеют права, но на практике они любят превышать полномочия.
Речь не только про наши восточноевропейские трущобы, но и про всякие либеральные государства первого мира. В Австралии, например, вы законно ОБЯЗАНЫ раскрыть пароль от ноутбука, если это потребуют в аэропорту.
Кроме того, инфраструктура Google на вашем телефоне может оказаться удобной для криминалистов, потому что позволяет добывать много информации даже без доступа к устройству.
Тем не менее, если стоит цель максимизировать приватность, то вы должны полностью отказаться от всех сервисов Google на рабочем устройстве, включая push-уведомления. MicroG хоть и сокращает объём слежки, но не останавливает её полностью.
Перебой электричества во время прошивания может окирпичить телефон.
Пожалуйста, не делайте PIN-код «1917». Спасибо.
На CalyxOS есть собственный, актуально для пользователей обычного Android.
Или всегда держать левый телефон в режиме полёта, включая и выключая самолёт только где-то подальше от места жительства. Зачем подальше? Подключение к соте и отключение от неё тоже фиксируются оператором.
Для украинских мужчин неактуально, но я оптимист, поэтому пусть будет с расчётом на будущее.
Здесь предлагается сносить всё в ноль, потому что на практике очень легко пропустить что-то важное при избирательной очистке, а у нас в этой схеме всё равно подразумевается наличие показных устройств.
Также в который раз напомню об удобстве рабочих профилей: снёс профиль — снёс данные.
