Signal vs Telegram

Signal (https://signal.org) в тренді після твіта Ілона Маска, і все більше людей звертають на нього увагу. Я не великий шанувальник Ілона, в тому сенсі, що мені дуже подобається те, що він робить, але не завжди подобається те, що він говорить. Та в цьому випадку я тішуся, що таке відбувається, бо чим більше людей користуються захищеними та приватними технологіями, тим краще для людства в цілому.

Проте, на фоні цієї невеликої ейфорії, почастішали запитання від друзів, а чим, власне, Signal краще за… Telegram. Людині, яка займається кібербезпекою, таке питання звучить абсурдно. Тому не ображайся, якщо я реагую неочікувано – яке питання, така і відповідь. Але ж питають, тому мушу засунути его поглибше і відповідати.

Отже, на відміну від Telegram, Signal:

  1. Забезпечує наскрізне шифрування (https://uk.wikipedia.org/wiki/Наскрізне_шифрування) з кінця в кінець – по замовчуванню. Вам не треба для цього створювати спеціальні “секретні” чати, вони там всі такі.
  2. Забезпечує цілковиту пряму секретність (https://uk.wikipedia.org/wiki/Пряма_секретність
  3. Шифрує метадані, тобто дані про те звідки, кому, скільки та як часто ви пересилаєте.
  4. Шифрує мережевий трафік на транспортному рівні.
  5. Не зберігає ваші повідомлення та файли на своїх серверах.
  6. Не колекціонує дані про ваші IP-адреси та мітки часу повідомлень.
  7. Як наслідок, сервери Signal не можуть читати ваші повідомлення.
  8. Додатково, ви можете перевірити справжність контакту, в тому числі вручну.
  9. Вам повідомлять про зміни контактів (новий телефон, новий номер тощо).
  10. А ще в Signal, на відміну від Telegram, немає планів на монетизацію.
  11. Він не походить з Росії. 
  12. І він не належить Дурову.

Як бачите, міф про безпечність Телеграму грунтується здебільшого на заявах Павла Дурова. Це непоганий інструмент, але він скоріше нагадує соціальну мережу. Справді, мало є аналогів, де ви можете зібрати тисячі користувачів на канал чи в групу, та миттєво доставляти їм свої повідомлення. І в цьому сенсі, як інструмент соціалізації, Телеграм несе менше загроз приватності, ніж, скажімо, Facebook чи Instagram. Хоча і має при цьому низку вад, таких як слабка модерація та контроль за спамом. Щоправда, це компенсується його низькою популярністю. Але стверджувати, що Телеграм це захищений месенджер – це щонайменше перебільшення.

Вам навряд чи вдасться повністю відмовитись від використання Telegram. Але принаймні не користуватися ним для чогось більш-менш секретного може кожен. Серед інших рекомендованих інструментів можу назвати Wire (https://wire.com) та Keybase (https://keybase.io), щоправда, останній був куплений Zoom і останнім часом знаходиться в медичній комі. Більше даних для порівняння приватності месенджерів ви можете знайти за цим посиланням: https://www.securemessagingapps.com.

Cellebrite vs. Signal

Декілька друзів звернулись до мене днями, вказуючи на статтю на одному з тупорилих пацакських вебсайтів про те, що ніби то Селебрайт зламав Сігнал і ми всі помремо.

Помремо, безумовно, але не від цього.

Ізраїльська фірма Cellebrite заробляє на тому, що розблоковує для копів, федералів та решти нишпорок вилучені у підозрюваних смартфони. І те, що їхню нещодавню заяву про нову можливість розблокування Signal пацакські клікбейтери висвітлюють під кутом “хакери зламали суперзахищений месенджер Сігнал” не може бути ще далі від правди. Офіційну заяву Селебрайту треба читати так:

  1. Якщо у вас досить грошей на наш продукт
  2. Якщо ви забрали у когось смартфон
  3. Якщо наш (чи інший) продукт може його розлочити
  4. Якщо Сігнал буде не оновлено до останньої версії
  5. Ми для вас спи34имо локальні дані з додатка

Якщо такий сценарій входить у вашу модель загроз, то ви напевно наркобарон, терорист номер N (де 1<N<10) або професор-ядерник з Ірану. В будь-якому разі, у вас є серйозніші причини хвилюватись, ніж Селебрайт, який тепер вміє розшифровувати локальне сховище Сігнала.

Якщо ж ви просто крипто-панк, який хоче безпеку через спортивну злість, то можу порадити такі правила:

  • Не читайте про кібербезпеку російською
  • Ввімкніть скрізь тимчасові повідомлення
  • Регулярно видаляйте застарілі чати
  • Нічого не бекапте
  • Не встановлюйте Сігнал на слабко захищені платформи (читати: не iOS)
  • Намагайтесь не про16ати телефон

Якщо ж ваш телефон колись раніше потрапив до ручок ПОО та розвідвідомств, ну тоді в мене для вас погані новини…

Читати офіційний блог компанії.

Чому не варто користуватися VPN сервісом

Чому треба користуватися VPN та не варто користуватися VPN-сервісом. Довгий та детальний пост з аргументами та поясненнями.

Хотів написати довгий та розлогий пост про те, чому вам не потрібно користуватися VPN-сервісами. Але згадав, що Sven Slootweg вже зробив це. В його тексту навіть є переклад російською. А є навіть кращий текст від Dennis Schubert.

Ви все ще тут? Добре, я додам від себе. Чисто з точки зору математики та моделювання загроз, у вас більше шансів стати жертвою (атаки хакерів, глобального спостереження спецслужб, або поведінкового трекінгу мега корпорацій) коли ви користуєтесь найкращим у світі VPN-сервісом, ніж коли не користуєтесь жодним. Справа тут в агрегації ризиків. Я поясню.

Модель загроз

Спершу, згадаймо, що відбувається, коли ви користуєтесь інтернетом. Найпростіший приклад – ви відкриваєте браузер та заходите на facebook.com. Ваше з’єднання розпочинається у вашій локальній мережі, перетинає мережі вашого інтернет-провайдера та кількох (2-5) операторів зв’язку, досягає мережі провайдера вебсайту і зрештою потрапляє на сам вебсайт. (У випадку з Фейсбуком все трохи інакше через його колосальні масштаби, але загалом десь так.)

Тепер, уявімо, від яких загроз на цьому шляху вас, як ви думаєте, захищає VPN-сервіс. Більшість користувачів сприймають VPN-сервіс як засіб захисту від таких загроз:

  1. Ваш провайдер (плюс будь-який інший провайдер на вашому шляху) та будь-хто, кому вдалося змусити його до співпраці (спецслужби, кіберзлочинці, інсайдери тощо) прослуховує та модифікує ваш трафік. Іншими словами, між вами й сайтом є шматок інтернету, і будь-хто, хто його контролює, може втрутитися у ваші із сайтом інтимні стосунки.
  2. Вебсайт за вами слідкує. Причому не лише коли ви на нього заходите, але й коли ви йдете собі далі. Це робиться безліччю способів, від занотовування вашої IP-адреси та розміщення у вашому браузері файлів cookie, до надсучасного профайлінгу зі штучним інтелектом та біг датами. Для цього вебсайти розміщують у себе програми-трекери один одного: відкрийте консоль браузера та самі подивіться що і звідки він завантажує. Facebook Pixel та Google Analytics це найпоширеніші трекінг-платформи, але є й інші.

Проблема в тому, що VPN-сервіс не захищає вас від ані від першого, ані від другого сценаріїв. Не вірите? Ну дивіться самі.

Аналіз ризиків

Далі, уявіть собі, що нас N і ми користуємось умовним VPN-сервісом NeutrinoVPN. Припустимо, кожен із нас становить певний інтерес для агентів загроз, позначимо наш середній рівень ризику як R.

Користуючись сервісом з метою захиститися від першого сценарію атаки, ми трохи змінюємо архітектуру нашого доступу до інтернету. Весь трафік від нашого комп’ютера до нашого VPN-сервіс провайдера буде захищений криптографією (якщо нам пощастить – сильною). Але чи зміниться від цього щось в термінах ризику?

Так, звісно: наш ризик підвищиться. Люди не користуються VPN від нема чого робити: всі N з нас тут через побоювання щодо нашої кібербезпеки (1) та приватності (2). І використовуючи VPN-сервіс ми явно це демонструємо усім зацікавленим особам та організаціям. Тому, коли ви користуєтесь звичайним “наземним” провайдером, середній ризик ваш і ваших сусідів r значно нижчий за наш VPN-юзерський R.

Nr << NR

Архітектура безпеки

Але ж провайдери логують сесії, а VPN-провайдери ні! Ви ніколи цього не взнаєте, тому просто забудьте це як казку про Діда Мороза. Сервіси VPN це повноцінні інтернет-провайдери, особливо в юрисдикціях, в яких не стрьомно розміщувати VPN-сервери. І навіть якщо збирати та зберігати користувацькі логи від них не вимагається по закону, робити це в їхніх інтересах щонайменше з двох причин: для розв’язання юзерських проблем зі з’єднанням, та щоб відвести від себе підозру під час розслідування кіберзлочинів. Але друге лише якщо злочинець буде достатньо дурним і скористається VPN-сервісом.

Ось це і називається агрегація ризиків і в архітектурі безпечних систем це, м’яко кажучи, не вітається. Звісно, коли мова йде про одного юзера, сучасну сім’ю або невелику компанію, “тримати всі яйця в одному кошику” може бути доцільно. На противагу цьому, тримати всі яйця тисяч зацікавлених в кібербезпеці користувачів в одному кошику – пряма дорога до прискіпливої уваги найпотужніших хакерів у світі.

Ризики приватності

Але бог вже з тою кібербезпекою: вона взагалі, як той казав, переоцінена. Що у нас з приватністю? Тут все теж дуже погано. Заміна вашого IP від провайдера на ваш IP від VPN-сервісу – вправа суто теоретична та на ефективність трекінгу не впливає. З цією задачею можна більш-менш впоратись двома шляхами:

  1. На рівні мережевої фільтрації: забанити всі трекери на рівні IP або DNS;
  2. На рівні браузера: аналізувати контент та трафік й різати всі спроби трекерів скористатися механізмами, які виробники браузерів їм надають.

Погані новини в тому, що шлях номер один – недосяжний. VPN-сервіс провайдеру нецікаво фільтрувати ваш трафік (це складно) та й побічні ефекти в цієї фільтрації неприємні вам обом (це ж типу втручання у вашу приватність). Щобільше, за це Facebook просто забанить його адресні простори, а Google перетворить життя його користувачів у суцільний пошук світлофорів та пожежних гідрантів у квадратиках капчі. А шлях номер два реалізується без допомоги VPN. Сучасні приватні браузери, такі як Firefox, Brave та Safari, прекрасно рубають трекери на рівні клієнта, тоді навіщо для цього пускати увесь свій трафік через чужі сервери?

Управління ризиком

Це все цікаво, Стиран, але що робити, якщо приватності та безпеки хочеться так, що аж зуби зціпило? Все просто, треба використовувати інструменти за призначенням. VPN створювався не для спільного використання тисячами не пов’язаних один з одним людей, а для іншого, і він чудово виконує свої оригінальні задачі. І те, що вам потрібно, це VPN. Просто VPN, а не VPN-сервіс.

На щастя, створити власний VPN-сервер не просто, а дуже просто. Для цього є безкоштовні інструменти, які дозволяють і від провайдера й місцевих спецслужб сховатися, і блокування трекерів налаштувати. За відео про налаштування персонального VPN-сервера мені дякують журналісти, юристи, лінгвісти та астрофізики, тому і ви впораєтесь. Так, у вашого VPN не буде гарного логотипу та розпіареної назви. Але разом із лого та назвою не буде й чужих, зайвих для вас ризиків. Ну і на додачу до цього – ви не обдаруєте своїми ризиками когось іншого.

Корисні посилання.

Посібник «Як не стати кібержертвою» переїхав

Мої повідомлення читають тисячі людей, але виявляється, що дехто з них не знає про найважливіше – поради з персональної кібербезпеки під кодовою назвою «Не тисніть каку» або “Don’t Click Shit Guide”. (Є ванільніша назва «Як не стати кібер-жертвою», але це для преси та телебачення.)

Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.

Four stages of cyber security awareness

Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.

Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.

Бережіться, чи шо.

Герої, злодії та дракони: ще раз про приватність в інтернеті

Останнє оновлення Apple iOS та інтеграція автоматичної перевірки витоку паролів у Google Chrome, напевно, є найбільшим в історії приростом приватності користувачів інтернету. Іронія полягає в тому, що ті самі компанії, разом з іншими інтернет-гігантами, такими як Facebook, Microsoft та Amazon, становлять найбільшу загрозу приватності.

Почнемо з хорошого. Apple iOS 14 радує як ніколи. По-перше, розробники вдосконалили контроль доступу додатків. Наприклад, раніше ви могли або надати, або не надати додатку доступ до фоток або геолокації. Відтепер ви можете надати доступ до приблизної геолокації та конкретних фоток. Окремі дозволи вимагаються на трекінг користування додатками та вебсайтами, на зв’язок з іншими пристроями в локальній мережі, на автозаповнення форм контактними даними, і найкрутіше – на доступ до буфера обміну.

Своєю чергою, Google нарешті доробив перевірку безпеки паролів у Chrome на всіх платформах. Тепер паролі, які ви вводите в форми, автоматично перевіряються у відомих базах даних витоків паролів, і так – це безпечно. До речі, аналогічну функцію можна ввімкнути у вбудованому парольному менеджері iOS, але я все що рекомендую користуватися чимось спеціалізованим типу 1Password або KeePass.

А тепер давайте про погане. І тут я навіть не знаю, з чого почати. Якщо ви ще не дивилися документалку the Social Dilemma, я дуже наполегливо раджу вам зробити це сьогодні. Якщо захочете зануритись у тему глибше, рекомендую також ці інтерв’ю: Welcome to the Cult Factory, the Trouble with Facebook та Рене ДіРеста у Джо Рогана. Якщо ви хочете дізнатися ще більше про загрози, які сучасні інтернет-технології становлять для людства, ось вам книжка Шошани Зубової the Age of Surveillance Capitalism.

Slack Wyrm on Facebook
Slack Wyrm on social media.

Але що конкретно не так з Facebook, Google та іншими інтернет-монополіями, які неперервно конкурують за нашу увагу, повністю витіснили природні соціальні контакти віртуальними, маніпулюють нашими рішеннями та продають їх рекламодавцям? Якщо для вас відповідь на це питання не очевидна з формулювання, я нагадаю, що побічним ефектом економіки дії (або спостережного капіталізму) є ізоляція соціальних груп в інформаційних бульбашках. І як наслідок – поляризація та радикалізація суспільства, через яку стаються фантастичні речі, на кшталт Брекзит, президентів Трампа та Зеленського, та (зі свіженького) кандидата в мери Києва Пальчевського.

Друзі та знайомі, особливо батьки, часто питають мене, як зробити використання гаджетів безпечнішим. Як контролювати та захищати цифрове життя дитини? Як допомогти рідним вберегтися від загроз кіберпростору? Сьогодні в мене порада, як захиститися від загроз, про які ви не запитуєте. Як уникнути неявних загроз сучасних цифрових технологій, або хоча б зменшити їхні наслідки.

Головною зброєю цифрового капіталізму є маніпулювання нашою увагою. Найдієвішим способом боротьби з маніпуляцією є уважна медитація (mindful meditation). Вдумливе управління увагою є пріоритетом цієї практики. Тому навчившись контролювати її або принаймні уважніше її розподіляти, ми можемо побудувати необхідний захист. Уважну медитацію рекомендують кілька дослідників цифрової залежності, а також нейропсихолог Сем Харріс та вже згадана винахідниця терміну “спостережний капіталізм” Шошана Зубова.

Щоб розпочати медитувати, багато не треба: встановіть якийсь популярний додаток і вперед. При цьому майже неважливо який, хоча я раджу почати з Headspace або Calm. Якщо вас відлякує певна метафізика медитації – відкиньте це одразу. Ефективність уважної медитації доведена нейробіологами та має мало спільного з релігією, окрім історичної популярності на Сході. Успіх тут неминучий та є функцією від часу. Головне спробувати та зробити медитацію корисною звичкою. І тоді вона відкриє вам двері, про існування яких ви інакше не дізналися б.

Якщо ж медитація це “не ваше, і все”, маю погану новину: другий шлях веде через певні обмеження свободи. Вивчіть інструменти контролю екранного часу у ваших гаджетах (Screen Time в Apple та Google) та зробіть наступне. Накладіть обмеження на доступ до додатків соціальних медіа та інших розваг: Facebook, Instagram, Snapchat, TikTok, Twitter тощо. Комусь навіть знадобиться додати до цієї категорії поштовий клієнт, адже серед нас чимало імейлоголіків. Встановіть ліміт на час використання цих додатків – скажімо, чотири години на добу – та захистіть налаштування кодом доступу. Увага, цей код маєте встановити не ви, а людина, яка справді про вас піклується та якій ви дуже дорогі.

Може здаватися, що це якась психологічна вправа в програмі лікування залежності або викорінення поганої звички. Так і є. Якщо під час налаштування екранного часу ви побачите, що користуєтесь смартфоном понад чотири години на добу, це поганий знак. Вам і справді потрібна допомога, і це не найгірший спосіб її отримати.

Якщо у вас виникли питання щодо описаних в цьому тексті практик, ви можете поставити мені їх у каналі #meditation нашого серверу в Discord. Також, я буду радий поспілкуватися в коментарях під цим постом та скрізь, де ви його знайдете. Соціальні медіа це зручний та дієвий спосіб створювати інформацію та обмінюватися нею. Але, як і багато інших винаходів людства, соцмедіа мають побічні ефекти. Людство завжди адаптується до своїх винаходів, цього разу зробімо це якнайшвидше.