разбор

Из дела Ивана Сафронова стало понятнее, как именно российские силовики взламывают компьютеры и телефоны Вот инструкция «Медузы» — как себя защитить

Источник: Meduza

Личные устройства россиян, в том числе журналистов и активистов, все чаще подвергаются взломам со стороны силовиков. Так государство пытается получить доступ к данным, которые можно использовать для уголовного преследования. Как именно это происходит, частично показывают материалы засекреченного дела Ивана Сафронова — бывшего журналиста «Коммерсанта» и «Ведомостей» требуют приговорить к 24 годам лишения свободы; его обвиняют в госизмене. Это дело с крайне сомнительной доказательной базой: журналисты издания «Проект» изучили обвинительное заключение и выяснили, что почти все якобы секретные сведения, которые передавал Сафронов, есть в открытом доступе в интернете. Иными словами, следствие, по всей видимости, искало в действиях Сафронова хоть что-нибудь «подозрительное», на чем могло построить свои выводы. «Медуза» рассказывает, как можно хотя бы отчасти обезопасить свои гаджеты и усложнить работу силовикам (и мошенникам) — понимая, что полная безопасность в российских условиях недостижима.


Сначала главное: выключенная биометрия и общение в зашифрованных приложениях — это не пожелание, а необходимость

Из-за засекреченного характера дела сложно делать уверенные выводы о ряде деталей, в том числе о том, как именно силовики получали доступ к персональным данным журналиста. Но можно быть максимально подготовленным к этому.

Включенные Face ID и Touch ID существенно упрощают взлом как для силовиков, так и для мошенников. Так что лучше выключите их. Полезная привычка — переписываться только в тех мессенджерах, где поддерживается end-to-end шифрование (например, Signal, WhatsApp и секретные чаты Telegram), а также пользоваться автоудалением сообщений раз в какое-то время. Если вся важная информация быстро исчезнет, то и предъявлять вам будет нечего.

Стоит еще раз проверить, везде ли (где возможно) настроена двухфакторная аутентификация 

Дело Сафронова

При обыске у журналиста в июле 2020 года изъяли iPhone и iPad. Позднее силовики получили, судя по всему, полный доступ к смартфону. Например, следствие исследовало фотогалерею и обнаружило там снимки Ивана Сафронова с Мартином Ларышем, нашло карточку чеха в книге контактов, а также изучило переписки в Telegram, Facebook, Twitter и WhatsApp. То, как именно силовики «вскрыли» айфон, вопрос открытый, но частично подготовиться к такой попытке можно — и как минимум выиграть время.

Рекомендации

С двухфакторной аутентификации начинается, кажется, любая инструкция по цифровой безопасности — но повторить это крайне важно, поскольку этот уровень защиты уже сильно затрудняет взлом. Самый простой вариант, когда первый фактор — пароль, а второй — SMS, считается в IT-сообществе небезопасным из-за уязвимостей и опасности перехвата сообщений. Предпочтительнее приложения-генераторы одноразовых кодов вроде Google Authenticator, Authy и FreeOTP.

Возможно, вы пользуетесь одним из приложений для хранения паролей, например 1Password. Само по себе это хорошее решение, но если вы используете его еще и как аутентификатор, то удобство в этом случае неизбежно ведет к снижению уровня безопасности.

Правда, если при обыске изымут устройства с двухфакторной аутентификацией, то владелец сам останется без доступа к аккаунтам. Порой на этот случай достаточно списка из одноразовых кодов (например, для Google), но хранить его стоит не дома, а в другом, не очевидном для силовиков месте. Иначе они запросто получат доступ к вашим персональным данным.

Лучше забыть про облачные сервисы, если нужно передать что-то очень важное 

Дело Сафронова

Журналиста обвиняют также в том, что он якобы использовал облачный сервис Microsoft One Drive и менее известное хранилище Box.com для передачи данных за границу. 

Рекомендации

Специалисты по IT-безопасности, с которыми пообщалась «Медуза», называют использование облаков любых коммерческих компаний небезопасным — вне зависимости от юрисдикции их владельцев. Нужно быть готовым, что российские спецслужбы могут запросить доступ к конкретным данным того или иного пользователя. 

Если компания — владелец «облака» намерена хоть в каком-то виде оставаться в России и сочтет обращение «корректным», то есть составленным согласно ее внутренним правилам, она одобрит этот запрос. Скорее всего, так поступят даже западные компании, и даже после начала войны — они, пусть и более осторожно, реагируют на обращения российских властей, несмотря на собственные ограничения и «приостановки» в работе. То есть по большому счету не так важно, чем вы пользуетесь — «Яндекс.Диском» или «Google.Диском».

От файлообменников или других сервисов, которые включены в реестр организаторов информации Роскомнадзора, тоже следует воздержаться.

Облаками пользоваться куда безопаснее, если они используют end-to-end шифрование: к примеру, Proton Drive, Keybase Filesystem или Tresorit. При защищенном обмене данных владельцы виртуальных хранилищ попросту не смогут ничего выдать — доступа у них нет.

Но Ивану Сафронову это, скорее всего, не помогло бы: из материалов дела следует, что задолго до ареста, в 2018 году, следователи получили доступ к его компьютеру (и к облачным хранилищам соответственно). В таком случае можно обратиться к opensource-решениям по безопасной передаче данных. Например, Wormhole или Croc. На страницах утилит указаны подробные инструкции (специальных технических навыков не нужно).

Если пересказать кратко работу этих утилит, то при выборе файла, который необходимо отправить, генерируется код; его нужно сообщить адресату любым защищенным способом (например, голосом в мессенджере Signal); тот его вводит, после чего устанавливается прямое зашифрованное соединение между двумя людьми. Лучше всего при отправке включать прокси-сервер или VPN, чтобы скрыть IP-адрес и следы устройства, с которого совершаются потенциально подозрительные для силовиков действия.

Вы наверняка пользуетесь VPN хотя бы иногда — лучше делать это все время

Дело Сафронова

Информация из материалов обвинения про облако Box.com интересна еще и тем, что следователи зафиксировали, сколько раз и когда именно журналист подключался к этому сервису. Это удалось, поскольку Сафронов, судя по всему, использовал незащищенное соединение: силовики получили эти данные, обратившись к его интернет-провайдерам.

Рекомендации

Используйте VPN-сервисы всегда. Кажется, в России так часто возникают ситуации, когда приходится применять способы обхода блокировок, что практически каждый пользовался ими хотя бы однажды.

Записывая файлы на флешку, будьте аккуратны. Не забудьте удалять их — причем полностью

Дело Сафронова

При обыске у журналиста изъяли несколько стандартных USB-флешек. Силовики восстановили удаленные им файлы, записали на компакт-диски и приобщили к делу.

Рекомендации

Обычного удаления данных с флеш-карты или другого физического носителя недостаточно. Более того, даже если файлы сильно повреждены, у силовиков, вероятно, будет возможность восстановить их благодаря сохранившимся фрагментам.

Зачастую даже популярные сервисы по умолчанию предлагают быстрое форматирование, которое позволяет восстановить удаленные данные. Поэтому имеет смысл полнодисковое шифрование флешек и других физических накопителей (самое простое решение — BitLocker на Windows и FileVault на Mac) — это в значительной степени решает проблему корректного уничтожения файлов.

Конечно, надежнее всего хранить флешку с чувствительной информацией, например, в сейфе или другом офлайн-хранилище. А при необходимости лучшим уровнем защиты выступит молоток, то есть физическое уничтожение носителя.

Мало хранить информацию в зашифрованном виде — нужно отказаться еще от части удобств

Дело Сафронова

В материалах дела указано, что спецслужбы вскрыли криптоконтейнеры VeraCrypt — они зашифрованы симметрично, то есть один ключ шифрования используется и владельцем, и адресатом (если такой есть). Для этого ключ нужно сгенерировать (подробная инструкция есть на сайте VeraCrypt) и передать: по версии ФСБ, Сафронов использовал для составления паролей фрагменты книги «Путешествие через эру Ельцина» на английском языке.

Рекомендации

Скорее всего, ФСБ обошла VeraCrypt с помощью физического доступа к компьютеру Сафронова. Можно предположить, что журналист вместо выключения ПК оставлял его в спящем режиме. В таком случае пароль VeraCrypt мог остаться записанным — и позже быть извлеченным. Чувствовать себя увереннее поможет отключение компьютера вместо введения его в режим сна.

Следить могут, перехватывая данные с клавиатуры. Спасают (не всегда) бдительность и осторожность

Дело Сафронова

Есть вероятность, что на компьютер журналиста заранее поставили кейлоггер — программу, которая отслеживает все нажатия клавиш и сравнима с наличием персонального силовика за плечом. К такой версии склоняются журналисты. Впрочем, считать ее подтвержденной нельзя.

Из обвинительного заключения следует, что у следствия оказались «снимки экрана с пошаговым алгоритмом действий» с домашнего компьютера Сафронова — «во время сеанса связи» с Ларышем. Согласно одной из версий журналистов, силовики с помощью кейлоггера подтвердили переписку Сафронова с Ларышем, а забрали эти данные, физически получив доступ к компьютеру.

Рекомендации

Шансов не заметить кейлоггер или стилер намного больше у пользователей Windows, чем у владельцев Mac. Самый простой совет — оперативно устанавливать последние обновления операционной системы (и рабочих браузеров). Обычно в апдейтах закрываются устаревшие уязвимости, которыми могут воспользоваться мошенники или спецслужбы. 

Меньше всего технологических возможностей для кейлоггеров оставляет Apple — так что журналистам, правозащитникам и активистам безопаснее всего пользоваться iPhone и iPad. 

Хотя кейлоггеры не могут отследить то, что не набирается на компьютере, функция запоминания паролей, скажем, в Google Chrome не слишком надежна. Так что и здесь лучшее средство — менеджер паролей (1Password, Secure Safe или Dashlane) и двухфакторная аутентификация.

Несколько довольно очевидных, но важных советов:

  • сохраняйте бдительность, если получаете подозрительные письма в почте (в том числе со ссылками, документами Office и PDF-файлами) и сообщения в соцсетях;
  • не скачивайте программы из сомнительных источников и не подключайте к ноутбуку носители, если не уверены, что там внутри;
  • чтобы защитить клавиатуру от несанкционированного доступа, порой хватает зарекомендовавших себя антивирусов, но и они не всегда успевают обезвредить уязвимости нулевого дня, российскими мы точно пользоваться не советуем;
  • если же вдруг самое страшное — взлом с помощью кейлоггера — уже произошло (и вы это заметили), то не вводите пароли и другие персональные данные до обнаружения и удаления вредоносной (или как минимум подозрительной) программы. А затем смените все пароли.

Как вы уже поняли, ни в коем случае не стоит оставлять без присмотра смартфон и компьютер — это грозит очень плохими последствиями 

Дело Сафронова

В материалах обвинения среди прочего рассказывается, что следствие получило доступ к переписке Сафронова и Ларыша.

Рекомендации

Даже самых изощренных способов цифровой безопасности будет недостаточно, если, например, оставить в общественном месте смартфон или ноутбук незащищенным и отойти по делам. В этом случае есть риск получить на устройство вредоносную программу. 

Надежное решение — сделать так, чтобы ввод пароля требовался после каждого закрытия крышки ноутбука. В Windows достаточно включить эту функцию в «действиях при закрытии крышки» (раздел «Электропитание»), в Mac — в основном подразделе меню «Защита и безопасность».

Если вы, к примеру, находитесь в гостинице и хотите оставить ноутбук в номере, можно сделать контрольные фотографии «до» и «после». Сделайте снимок задней части ноутбука, оставьте устройство в сейфе, уйдите, а по возвращении сделайте второй (с того же ракурса) и сравните внешний вид, в том числе «пломбы» (она ставится самостоятельно), на предмет несанкционированного доступа. Для Android есть даже специальное приложение, помогающее сравнивать фотографии в мельчайших деталях (вот еще решение для очень тревожных людей, но для него потребуется знание Linux). Если есть подозрение, что кто-то все же пользовался устройством в ваше отсутствие, то следует в первую очередь отключить его от интернета.

Конечно, нельзя исключать, что любые уровни защиты в итоге могут обойти с помощью психологического и физического давления со стороны силовиков. Но если следовать базовым советам, вы сможете чувствовать себя увереннее, подготовиться к обыскам и выиграть время на общение с адвокатом без угрозы для собственных персональных данных.

Сергей Звезда

Редакция благодарит за помощь в подготовке материала Артема Козлюка и Саркиса Дарбиняна из проекта «Роскомсвобода», а также IT-специалиста и автора подкаста «Запуск завтра» Самата Галимова

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.