Copy
View this email in your browser

Рассылка Школы лічбавай бяспекі DSS375 Беларускага дома правоў чалавека распавядае аб значных падзеях у IT-сферы і тлумачыць, чаму гэтыя падзеі важныя (ці не) для Беларусі і працы праваабаронцаў і грамадскіх актывістаў.

ФІЛАСОФІЯ ЛІЧБАВАЙ БЯСПЕКІ

Чаму рэйтынгі бяспечных мэсэнджэраў не толькі пазбаўленыя карысці, але яшчэ і шкодныя; як любоў і палітыка ўплываюць на наш выбар паштовага сервіса; чаму пабудову стратэгіі лічбавай бяспекі трэба пачынаць з аналіза свайго жыцця; што каштоўней для нас: бяспека ці зносіны - і іншыя пытанні аб лічбавай бяспецы ў новым выпуску рассылкі Школы лічбавай бяспекі DSS375 Беларускага дома правоў чалавека імя Барыса Звозскава.


ЦІ ПРАЦУЮЦЬ РЭЙТЫНГІ БЯСПЕЧНЫХ МЭСЭНДЖЭРАЎ?

 На шляху да бяспекі спакушаюць адназначнымі адказамі рэйтынгі анлайн-мэсэнджэраў. Што бяспечней: Signal ці WhatsApp? Viber або сакрэтныя чаты Telegram?
 

З той жа оперы – параўнанні розных сервісаў электроннай пошты. Хто з большай верагоднасцю чытае наша ліставанне: Яндэкс, Google ці Yahoo?

 
Насамрэч такія рэйтынгі не вельмі карысныя – а калі паглядзець глыбей, то нават і шкодныя. Не таму, што інфармацыя ў гэтых рэйтынгах - непраўдзівая. Інфармацыя рыхтык адпавядае рэчаіснасці. Усе сервісы розныя. У кожнага – сваё рашэнне праблемы бяспекі. Але гэтыя рэйтынгі ні на крок не набліжаюць нас да жаданай бяспекі. Наадварот, яны ствараюць лішнія складанасці. Напрыклад, змушаюць пераходзіць на іншыя мэсэнджэры і адмаўляцца ад любімых і зручных.
 

А як хацелася б атрымаць просты адказ! Якія сервісы ў інтэрнэце – самыя бяспечныя? І непаразуменне выклікае сустрэчнае пытанне «Ад чаго вы хочаце абараніцца?» Хіба гэта важна? Я ўсталюю поўную бяспеку і буду абаронены ўвогуле ад любой пагрозы.

Але ці магчыма абараніцца ад «любой пагрозы»?

Возьмем прыклад, дзе экспертам ёсць кожны з нас: як зрабіць бяспечным уласны дом?

Паставіць жалезныя дзьверы з добрым замком і краты на вокны? Але калі галоўная небяспека - не рабаўнікі, а тарнада, якія віруюць навокал і гатовыя знесці жытло разам з жалезнымі дзьвярыма і закратаванымі вокнамі? Так, калі гаворка – аб бяспецы дома, мы ўдакладнім, ад якой атакі трэба абараніцца: ад холада, рабаўнікоў, пажараў, навадненняў, тарнада, артылерыйскага абстрэла ці шпіянажа.
 
 

Нам абсалютна зразумела, што для бяспекі жытла рэйтынг спосабаў абароны не спрацуе. Краты на вокнах добра абараняюць ад рабаўнікоў, але смяротна небяспечныя пры пажары; а калі вы жывяце бліжэй да экватара, вас хвалюе толькі, ці ёсць маскітная сетка на вакне.

Тады чаму ў выпадку з лічбавай бяспекай мы хочам атрымаць адзін універсальны адказ? Можа, таму, што добра разумеем, як уладкаваны дом – але не вельмі ўяўляем сабе «ўладкаванне» інтэрнэта?

Адкладзем у бок рэйтынгі бяспечных мэсэнджэраў і сэрвісаў электроннай пошты. З чаго трэба пачынаць пабудову ўласнай стратэгіі бяспекі?

БЯСПЕКА - ГЭТА НЕ ГАЛОЎНАЕ. А ШТО ГАЛОЎНАЕ?

Найперш трэба зразумець, што бяспека пры камунікацыі ў інтэрнэце – не галоўная каштоўнасць для нас. Абсалютная каштоўнасць – гэта самі камунікацыі. Мы пішам адно адному не дзеля бяспекі, а каб заставацца на сувязі з важнымі людзьмі.

 

Памятаць пра гэта трэба, каб не зашкодзіць той самай камунікацыі, забяспечваючы сабе занадта высокі, абсалютна не патрэбны ўзровень бяспекі.

І з гэтага моманту пачынаецца найбольшае непаразуменне. Як абраць мэсэнджэр ці пошту? Ці трэба адмаўляцца ад севісаў, якімі мы карыстаемся цяпер?

ТЭСТ. ЧАГО БОЛЬШ У ТВАІМ ЖЫЦЦІ: ЛЮБОВІ, ПАЛІТЫКІ ЦІ МАТЭМАТЫКІ?

Прааналізуем спачатку, чаму мы выбіраем тыя ці іншыя сэрвісы. На чым заснаваны наш давер?

ЛЮБОЎ

Можа быць, мы самі таго не заўважаем, але часта нашыя перавагі заснаваныя на эмацыйных довадах: сімпатыях ці антыпатыях. А любоў далёка не заўсёды рацыянальная.

 
Павел Дураў

Але менавіта любоў вельмі добра дапамагае ў прасоўванні сервіса. Напрыклад, многім падабаецца прычоска Паўла Дурава – ды што там прычоска, многія ў яго проста таемна закаханыя – і на гэтай падставе гатовыя давяраць Telegram. А камусці больш па душы дрэды Моксі Марлінспайка, заснавальніка і распрацоўніка Signal.

 
Моксі Марлінспайк

ІДЭАЛОГІЯ

А той, каму не важны вонкавы выгляд уладальніка, як ён абірае паміж Signal и WhatsApp? Магчыма, чалавек, які аддае перавагу Signal, проста паведамляе, што ён – супраць капіталізма і карпарацый, затое анархісты з іх ідэалогіяй яму вельмі сімпатычныя?

Ці разумеем мы, што часта наш выбар заснаваны не на рацыянальным, а на эмацыйным? «Ну, гэта не пра мяне!» - скажаце вы. А ці здаралася так, што вы пераконвалі некага пераходзіць на  Linux (Signal, Whatsapp і т.д.)? Вы ў той момант казалі не пра бяспеку, а пра перавагу адкрытага кода: выдавалі перакананні за факт.


Не, ніхто не спрачаецца з перакананнямі. Яны могуць быць супер-добрымі: гуманізм, экалогія, анархія, правы чалавека – але перакананні не маюць дачынення да бяспекі.

 

СТАТЫСТЫКА

Сімпатыі пры выбары сервіса – і ўсёй стратэгіі бяспекі – могуць быць заснаваныя на нечым больш грунтоўным. Напрыклад, на статыстыцы пагроз.

 

Беларуская статыстыка кажа, што ніякіх размоваў голасам па Skype, Telegram, WhatsApp не перахоплівалі ніколі – затое часта канфіскуюць абсталяванне і ўганяюць паролі з дапамогай фішынгавых сайтаў.

 

І калі вы абаранілі акаўнт паролем, двухфактарнай аўтэнтыфікацыяй, не ходзіце на фішынгавыя сайты – ці можна быць упэўненым у тым, што сам Google не выдасць вашае ліставанне па запыце беларускай міліцыі ці КДБ? На дапамогу прыходзіць статыстыка выдачы звестак аб карыстальніках дзяржаве.

 

Гэтая статыстыка іначай завецца «Справаздача аб празрыстасці». Дзяржавы ўвесьц час звяртаюцца да сервісаў з патрабаваннем выдаць ім звесткі карыстальнікаў, і сервісы ў рэшце рэшт уніфікавалі ўласныя патрабаванні да ўладаў і змясцілі іх у адкрытым доступе, а таксама сталі рэгулярна публікаваць статыстыку: колькі разоў, якой дзяржаве і якія звесткі яны выдалі. Фэйсбук, Твітэр і астатнія сервісы публікуюць іх. У гэтых справаздачах аб празрыстасці вы знойдзеце і Беларусь.

 

І ХТО Ж БОЛЬШ БЯСПЕЧНЫ?

Артыкул прымае пагрозлівыя памеры, а мы яшчэ не далі ніводнай канкрэтнай парады: як вам забяспечыць лічбавую бяспеку?

Ці можна карыстацца, напрыклад, поштай Gmail?  Так, калі вы абаранілі прыладу і ўваход у акаўнт.


А мэсэнджэры? WhatsApp, Telegram, Signal – які абраць? Абірайце любы! Той, які болей падабаецца: колерам, будовай чатаў ці стыкерамі. Кожны з іх дазваляе весці абароненую камунікацыю. Паміж гэтымі мэсэнджэрамі ёсць унутраная розніца. Кожны з іх па-свойму вырашае праблемы бяспекі. Як менавіта? – ці важна гэта нам, як карыстальнікам, а не распрацоўнікам?
 

Праграмы, да якіх мы самі адкрываем доступы: ці бяспечна гэта? Напрыклад, праграме для чытання ПДФ мы самі адкрылі доступ да гугл-докаў - іначай як гэтая праграма прачытае нашыя дакументы? Тэарэтычна пасля адкрыцця доступа нехта можа лазіць па гэтых дакументах, але мы верым, што такога не адбываецца. Не Google камусьці даў доступ за нашай спінай – мы самі пагадзіліся.

Так, Google и Facebook чытаюць звесткі карыстальнікаў: гэта іх бізнэс-мадэль; такім чынам яны паказваюць нам вельмі дакладна таргетаваную рэкламу. Можа быць, перастаць карыстацца Гуглам ці Фэйсбукам? Прымайце рашэнне самастойна.
 

 

ЦІ ГАТОВЫЯ ВЫ ПЕРАСТАЦЬ КАРЫСТАЦЦА GOOGLE І FACEBOOK?

Тое, чым вы будзеце карыстацца, з вялікай доляй верагоднасці залежыць ад таго, чым карыстаюцца ўсе астатнія. Бо мэта нашай камунікацыі, як мы адзначылі, – гэта не заставацца ў бяспецы, а падтрымліваць сацыяльныя сувязі. Бяспека – гэта не абсалютная каштоўнасць; абсалютная каштоўнасць – гэта камунікацыя з людзьмі, якія нам патрэбныя.

 

А КАЛІ МЫ ВЕДАЕМ РЭАЛЬНУЮ БЯСПЕКУ?

Дапусцім, мы ведаем рэальную бяспеку, якая нам пагражае. Напрыклад, вынікам перахопа нашай інфармацыі можа стаць крымінальная справа. Ці падыходзіць для гэтай мэты Google або WhatsApp?

Залежыць ад таго, што мы хочам схаваць. Калі мы хочам схаваць факт размовы – тады лепш скарыстацца Гуглам. Размова выглядацьме, нібыта два карыстальнікі пагаварылі з Google, а не міжсобку.


Калі вы хочаце схаваць змест размовы – абірайце зашыфраваны мэсэнджэр (які заўгодна). Ён схавае змест, але запіша вашыя мета-звесткі: хто з кім і калі размаўляў.

 

Некаторым людзям увогуле няма чаго прыхоўваць. Калі вы не маеце сакрэта, то вам не патрэбная і абарона.

 

Нарэшце мы дайшлі да крытэраў, з дапамогай якіх мы можам абраць стратэгію лічбавай бяспекі.

 

ПАПУЛЯРНАСЦЬ

Калі няма патрабаванняў да сакрэтнасці – тады трэба карыстацца тым, чым вы ўмееце карыстацца.

 

ЮРЫСДЫКЦЫЯ

Калі вы хочаце схаваць змест размовы – падыйдзе любы замежны сервіс: той краіны, якая не выдасць нашыя звесткі дзяржаве, яд якой мы хочам схавацца. Нас тады будзе абараняць не бяспека перамоваў, а іншая юрысдыкцыя!


МАТЭМАТЫКА

Калі мы не давяраем юрысдыкцыі, тады на дапамогу прыйдзе матэматыка, а менавіта – алгарытмы, якімі мэсэнджэры шыфруюць нашыя ліставанні (гаворка ідзе пра скразное шыфраванне, яно ж - шыфраванне ад карыстальніка да карыстальніка). У выпадку запыта яны здадуць уладам факт перамоваў (запісаўшы нашыя мета-звесткі: хто, калі і з кім размаўляў), але не змест.
 

МАРАЛЬ 

Не існуе гатовага рэцэпта «Як абараніць сябе ў сеціве», бо мадэляў рызыкаў – вялікае мноства. Як мы не раз пісалі, стоадсоткава пазбегнуць уцечкі інфармацыі – не паведамляць яе нікому.

Ці азначае гэта, што не варта нават спрабаваць абараніць сваю інфармацыю? Зусім наадварот! проста трэба пачынаць не са спрэчкі (хто мацнейшы: Рэмба ці Рабакоп) хто бяспечней: Signal или Google, а з таго, ці маем мы сакрэт і як яго ў нас паспрабуюць выведаць.

_______

Школа лічбавай бяспекі DSS375 Беларускага дома правоў чалавека спадзяецца, што мы хаця б трошкі наблізілі вас да разумення  таго, што такое лічбавая бяспека. Мы будзем радыя зваротнай сувязі. Пішыце нам, калі маеце пытанні: coordinator@dss375.org

Маеце прапановы?

Калі вы хочаце болей ведаць пра іншыя навіны IT-сферы; маеце пытанні, адказы на якія спатрэбяцца іншым - прапануйце свае тэмы для наступнай рассылкі Школы лічбавай бяспекі DSS375 у адказе на гэты ліст.

Патрэбная дапамога?

Калі з вамі адбыўся інцыдэнт, звязаны з лічбавай бяспекай (дагляд і выманне тэхнікі на мяжы, канфіскацыя тэхнікі пры вобшуку, узламалі ці спрабавалі ўзламаць пошту і г.д.), і вы падазраеце, што гэта звязана з вашай прафесійнай дзейнасцю;

калі вам патрэбная дапамога ці парада – калі ласка, паведаміце нам пра гэта:

ЗАПОЎНІЦЕ АНКЕТУ

альбо звяжыцеся наўпрост па адрасе: coordinator@dss375.org

Copyright © 2018 Школа лічбавай бяспекі DSS375, All rights reserved.