Переклав Вадим Гудима

Передмова перекладача

Ці правила підготовані експертом з цифрової безпеки the grugq для американських активістів, що все більше втягуються у спротив ультраконсервативному повороту політики США.

Експерти з цифрової безпеки, що працюють з активістами у Центрально-Східній Європі, зазвичай не розглядають американські спецслужби (FBI чи NSA) та компанії (як от Twitter) у якості реальних супротивників.

Утім, зі змінами політичного клімату в США та інших країнах Західної Європи активістам, що використовують популярні веб-сервіси для поширення своїх поглядів, варто ще раз переглянути власну модель загроз.  

Сподіваємося, що цей гід буде вам корисним або принаймні змусить задуматись про те, як ви використовуєте соціальні мережі. 

 

Правила для безпечнішого спротиву 

Багато людей долучаються до політичної активності у спосіб, що, на їх думку, може мати негативні наслідки для їхньої роботи, кар’єри чи життя. Важливо зрозуміти, що ці страхи реальні, але публічність та відкритість спротиву критично важлива для його [спротиву – пер.] політичної легітимності. Цей гід може допомогти зменшити персональні ризики індивідів, водночас надаючи їм можливість діяти більш безпечно.

Я не активіст і майже точно не живу у вашій країні. Ці керівні принципи є достатньо загальними і можуть бути корисними якомога більшій кількості людей. 

Обов’язкові принципи безпеки

Базові принципи операційної безпеки є насправді досить простими:

  • Прикриття
  • Приховування
  • Розмежування

Звісно, серйозна контррозвідувальна робота має й інші аспекти, але давайте запам’ятаємо ці три. Найбільш критичним є дотримання принципів розмежування та приховування. На практиці це означає, що вам потрібно повністю відділити ваше приватне життя від Twitter-акаунту, який ви використовуєте для спротиву.

Правила розмежування

  1. Створіть нову, унікальну email-адресу, яка буде використовуватись лише для цього Twitter-акаунту. Є різні варіанти, але всерйоз обдумайте використання SIGAINT чи іншого сервісу, базованого поза межами США. Завжди застосовуйте Tor для доступу до цієї email-cкриньки, не користуйтесь нею ні для чого, окрім вашого активістського профілю. Розмежування!
  2. Twitter поводиться як остання сука в плані збору телефонних номерів, і його дуже складно використовувати без надання хоча б якогось номеру. Вам знадобиться одноразовий телефон з оплаченою SIM-картою (burner phone), або ж створіть одноразовий номер через VoIP (я не раджу використовувати Google Voice, тому що він вразливий для супротивників “державного” рівня, інші сервіси також можуть бути слабко захищеними). 
  3. Використовуйте Тor для створення вашого Twitter-акаунту і для будь-якого доступу до нього в майбутньому. IP-адреса, разом з технічними файлами-cookies та іншими трекерами, буде в розпорядженні компанії Twitter (і, потенційно, журналістів-розслідувачів/медіа). 
  4. Не користуйтесь Twitter-додатком на вашому смартфоні для входу в активістський акаунт. IP-адреса буде напряму пов’язана з вашим телефонним обліковим записом, і вас буде легко виявити технічними засобами. Якщо ви все ж змушені використовувати Twitter на вашому телефоні, нехай це буде спеціально призначений лише для цього пристрій без жодної додаткової інформації на ньому (на зразок особистих контактів, фото і тому подібного). Окрім цього, варто використовувати Tor (Orbot) на Android або VPN (Algo, якщо ви технічно “підковані”, і  Freedome якщо ні), щоб мінімізувати шанси вашого розкриття. 
  5. Не відповідайте на приватні повідомлення чи відповіді, особливо якщо в них містяться URL (лінки) – вони можуть бути використані для фіксації вашої IP-адреси чи зламу пристрою. Серйозно, не переходьте за посиланнями, які вам надіслали у коментарях чи у приватних повідомленнях, особливо, якщо вони сховані за URL-скороченням, просто не робіть цього. Варто також зауважити, що УСІ лінки на Twitter перенаправляються через його власний сервіс скорочень (t.co) та аналітичні інструменти, і навіть “безпечний” лінк від знайомої та довіреної особи може розкрити IP акаунта, який клікнув по ньому.
  6. Ніяк не взаємодійте з вашим приватним акаунтом чи акаунтами пов’язаних із вами осіб. Загалом, намагайтесь підтримувати односторонній зв’язок – інформуйте публіку, але не вступайте в дискусії та не робіть нічого “приватного” з цього профілю. На Twitter немає приватності, і ваші читачі можуть бути з однаковою ймовірністю як “засланими козачками”, так і щирими прихильниками. Вам не потрібен цей зайвий ризик. 
  7. Не підписуйтесь на ваш особистий акаунт. Взагалі не підписуйтесь на жодні акаунти або слідкуйте лише за такими, що є публічними й анонімними.
  8. Не публікуйте приватні фото з вашого активістського акаунту. Це стосується скріншотів чи будь-чого, що має особистий характер. Якщо ви додаєте картинку, обріжте її таким чином, щоб не можна було побачити телефонний провайдер або вкладки у браузері.
  9. Переконайтесь, що ви використовуєте анонімну аватарку. 

Правила приховування 

  1. Нікому не показуйте та не розказуйте про вашу діяльність, уникайте навіть натяків. Яку б публічну позицію ви не займали, у приватному житті, якщо ви, наприклад, відвідуєте марші чи демонстрації, підписуєте петиції чи якось інакше підтримуєте рух спротиву, не кажіть нікому про ваш активістський Twitter-акаунт. Ні друзям. Ні дружині. Ні вашим дітям. Ні колегам або співробітникам. Єдиний спосіб зберегти секрет, це тримати його в секреті.
  2. Не використовуйте робочий комп’ютер (чи мережу!) для протестної активності. У вас немає жодного контролю за ними, їх можуть відібрати чи обшукати без вашого дозволу й відома. Компанія чи установа, де ви працюєте, може також встановити на них шпигунське програмне забезпечення, щоб моніторити вашу активність і впевнитись, що ви не марнуєте час на Twitter чи “Політичну критику”. 
  3. Захистіть свій пристрій: увімкніть повнодискове шифрування, використовуйте сильний пароль та парольний менеджер (краще той, що зберігає паролі локально, а не у “хмарі”), завжди встановлюйте оновлення і (якщо всупереч усім порадам ви все ж таки користуєтесь смартфоном для активістського Twitter-акаунту) не використовуйте відбиток пальця для розблокування екрану – законними, або й не зовсім, методами вас можуть змусити надати доступ до  пристрою. 
  4. Змініть свій стиль письма, коли використовуєте ваш акаунт для спротиву.  Пародіювання когось іншого або утримання від  улюблених слівець може стати в нагоді.
  5. Ніяк не взаємодійте з вашими друзями чи персональним акаунтом, чи жодним іншим чином не руйнуйте своє прикриття. Ніщо не має пов’язувати вас з вашою реальною особистістю чи соціальною групою.

Практика веде до досконалості

Аматори тренуються, поки вони не навчаться робити правильно, професіонали тренуються, поки не звикнуть не робити неправильно.

Існує досить багато складних операційних правил та принципів, яких ви маєте дотримуватись неухильно та дисципліновано. Якщо ви будете “вчитись на помилках”, то вас пов’яжуть з акаунтом, який ви намагаєтесь захистити. Найкраще, якщо ви спробуєте пройти усі кроки з дотриманням усіх правил на не “чутливому” профілі. Впевніться, що ви до них звикли, що знаєте, як використовувати усі потрібні інструменти, що розумієте, як потрібно діяти та чому. 

Деякі підпільні організації мають, те що називається “першою та останньою помилкою” –  порушення правил безпеки веде до розкриття та викриття. Ви – спротив, і тому зобов’язані переконатись, що ви можете використовувати інструменти спротиву не припускаючись помилок. Тому практикуйтесь у безпечному середовищі, позбудьтесь притаманних початківцям помилок і вже потім впроваджуйте ці правила й інструменти та безпечно дійте там, де це справді важливо. 

Супротивник

Є кілька серйозних супротивників, що можуть деанонімізувати користувача Twitter-акаунту. Ось їх неповний перелік: 

  1. Сама компанія Twitter
  2. Email/Телефонний номер, прив’язаний до акаунту
  3. Правоохоронні органи (або інші державні органи чи відповідні служби інших держав)
  4. Служби новин/журналісти-розлідувачі
  5. Колеги, друзі, сім’я 

Їх здібності, мотивації та можливості різняться, і щоб уникнути викриття та захистити себе від них потрібно застосовувати різні техніки. Хоча перед викривальними силами таких масштабів може стати страшно, ви в силах досить добре себе захистити. Більшість із потрібних кроків не вимагають важкої роботи, втім, підтримка сильного захисту протягом тривалого часу може вимагати дисципліни. 

Пам’ятайте – авторитарні режими не займають весь свій час полюванням на малу здобич. Малоймовірно, що вся сила державного апарату буде скерована на вас, якщо ви не сприймаєтесь як проблема. Вашою найбільшою загрозою буде, ймовірно, ваша ж балакучість, а найбільшим ризиком – втрата роботи (чи чогось подібного) й посилена увага публіки протягом одного-двох циклів новин. Це може бути неприємно, але ви це переживете. Страх того, що може статись, часто гірший самої події, намагайтесь через це не доводити себе до стресу. 

Психологічні ризики

Після того, як ви захистили себе технічними засобами та правилами безпеки, найбільшою вашою загрозою будете ви самі. Створення та підтримка секретної ідентичності може бути дуже стресовим заняттям, що потребує певного роздвоєння особистості. У довготривалій перспективі це може бути дуже травматичним для вашого психічного здоров’я, саме тому куратори шпигунів часто виступають для останніх в ролі психологів – створюють усі можливості, щоб ті могли безпечно та вільно розповісти про себе та свої переживання. 

Twitter

Будучи веб-сервісом, Twitter збирає (і купує у так званих “дата-брокерів”) дуже багато інформації про своїх користувачів. Влада і, до певної міри, громадськість матимуть доступ до цієї інформації через судові запити або інші юридичні інструменти. 

1-aRDQFMamdTJPCMjmBaiuZA

“Федерали” знатимуть:

  • Ім’я
  • Адресу
  • Тривалість користування сервісом
  • Записи транзакцій для усіх служб (та акаунтів) від моменту створення

Додаткова інформація, до якої Twitter може мати доступ:

  • Фізична адреса
  • IP-адреса
  • Тип браузера
  • Домен, з якого ви прийшли
  • Взаємодія з рекламою (через яку накопичується значна кількість даних)
  • Cookies 

Ця інформація постійно зберігається у Twitter і може бути отримана владою будь-якого моменту. Агенти уряду захочуть отримати всі зібрані дані й будуть шукати будь-які зачіпки. ФБР – великі знавці в роботі з мережею Tor і швидко знаходять потрібні публічні вихідні вузли (Tor exit relays). Будь-який VPN-сервіс може отримати вимогу передати свою інформацію, яка, скорш за все, міститиме прості для ідентифікації рахунки про сплату послуг. Якщо VPN-провайдер використовує приватний хостинг  (як, наприклад, Algo чи Streisand), то власник цих серверів також отримає вимогу про передачу інформації – знову ж таки, рахунки про сплату та IP-адреса, використана для створення акаунту, будуть найбільш інкримінуючими. 

Найбезпечнішою опцією буде використовувати Tor, і робити це з фанатичною відданістю. З моменту створення акаунту, під час публікації кожного твіту та будь-якої взаємодії в Інтернеті. 

Альтернативою може бути зміна призначення старого існуючого акаунту, створеного кимось, хто вас не зрадить. Це все одно ризиковано, адже чим більше людей знатимуть про акаунт та хто стоїть за ним, тим більш імовірним є витік інформації. І, звісно, коли у вас буде акаунт, завжди використовуйте Tor. 

Коротка версія

  • Замовкніть (не кажіть нікому хто ви й чим займаєтесь)
  • Завжди використовуйте Tor (Tor-браузер достатньо хороший, просто не забувайте закривати програму після закінчення роботи, щоб не залишати слідів)
  • Не використовуйте робочі чи шкільні комп’ютери/мережі, найімовірніше вони моніторяться
  • Будьте обережними, але не параноїками
  • Хай вам щастить! 

Якщо ви помітили помилку, виділіть її і натисніть Ctrl+Enter.