top of page
Пошук

Подорожі під наглядом: практична електронна безпека для юрисдикцій високого ризику

  • Фото автора: Matthew Parish
    Matthew Parish
  • 5 хвилин тому
  • Читати 6 хв
ree

Держави з широкими можливостями спостереження, такі як Росія та Китай, ставляться до пристроїв та онлайн-акаунтів іноземців як до цінних цілей для розвідки. Мета мандрівників полягає не в тому, щоб «перемогти» складну електронно-інтрузивну національну державу, що нереально, а в тому, щоб зменшити вплив, контролювати те, що знаходиться під загрозою, та забезпечити стримування компрометації (якщо вона відбудеться). Наведені нижче принципи розроблені для журналістів, юристів, бізнесменів, дослідників та працівників гуманітарних організацій, які можуть мати конфіденційні дані або зустрічатися з конфіденційними контактами.


Основні принципи


  1. Мінімізуйте дані: найбезпечніші дані – це ті, які ви не носите з собою.


  2. Припустимо, що відбувається перевірка: прикордонники можуть законно обшукувати та отримувати зображення пристроїв; експлойти нульового дня можуть проникати в електронні пристрої та дозволяти безперешкодний огляд цих пристроїв; вміст; готельні номери та конференц-зали можуть контролюватися.


  3. Ризик сегмента: розділяйте ідентифікаційні дані, пристрої та облікові записи, щоб уникнути каскадного поширення компрометації в одній області.


  4. Плануйте втрату: розглядайте конфіскацію, крадіжку або приховане клонування як ймовірні події та відрепетируйте кроки повернення.


  5. Дотримуйтесь місцевого законодавства: деякі засоби контролю (шифрування, VPN, безпечний обмін повідомленнями) обмежені або ретельно перевіряються; використання незаконного програмного забезпечення може створити важелі впливу проти вас.


Перед подорожжю


Вирішіть, чого не брати


  • Подорожуйте з чистими, недорогими «дорожніми» пристроями (ноутбуком, телефоном), які містять лише те, що вам дійсно потрібно. Залиште свої основні пристрої вдома.


  • Не носіть із собою довгі архіви електронної пошти, повні файли клієнтів, особисті бібліотеки фотографій, сховища паролів або корпоративні репозиторії.


  • Видаліть конфіденційні контакти з місцевих адресних книг; зберігайте їх в окремому, захищеному обліковому записі, в який ви не входитимете, перебуваючи в країні.


Підготовка облікових записів та автентифікація


  • Увімкніть двофакторну автентифікацію на основі апаратного ключа (ключі FIDO2/U2F, такі як YubiKey) для основної електронної пошти, хмарного сховища, менеджерів паролів, обміну повідомленнями та фінансових облікових записів. Якщо апаратні ключі непрактичні, використовуйте програму для автентифікації на іншому пристрої, ніж той, який ви носитимете із собою, або на окремому телефоні для подорожей.


  • Створіть облікові записи лише для подорожей (електронна пошта, співпраця, обмін повідомленнями) з мінімальним доступом до того, що вам потрібно для поїздки. Видаліть права адміністратора з будь-якого облікового запису, який ви використовуватимете за кордоном.


  • Створюйте унікальні, надійні паролі та зберігайте їх у надійному менеджері паролів, до якого ви матимете доступ лише через свій дорожній пристрій. Не беріть із собою у багаж коди відновлення у відкритому тексті.


  • Перегляньте та заблокуйте шляхи відновлення облікового запису (резервні електронні адреси, номери телефонів), щоб зловмисники не могли скинути ваші облікові дані (наприклад, паролі електронної пошти), поки ви перебуваєте в дорозі.


Захистіть свої пристрої


  • Повністю оновіть операційні системи, прошивку та програми безпосередньо перед вильотом.


  • Увімкніть повне шифрування диска (BitLocker, FileVault, шифрування пристроїв Android/iOS). Переконайтеся, що шифрування справді ввімкнено.


  • Встановіть короткий автоматичний блокування та вимагайте надійний пароль або парольну фразу (уникайте простих PIN-кодів). Надавайте перевагу парольним фразам над біометрією в середовищах, де можливе примусове розблокування; ви можете тимчасово вимкнути Face/Touch ID перед чутливими контрольними точками.


  • Розберіть пристрій: видаліть непотрібні програми, вимкніть параметри розробника та налагодження через USB, а також скасуйте дозволи з високим рівнем ризику (камера, мікрофон, місцезнаходження) для програм, які їх не потребують.


  • Попередньо встановіть лише один перевірений VPN (якщо це законно) та безпечний кросплатформний месенджер (Signal, Wire або подібний). Попередньо завантажте офлайн-карти та переклад, щоб уникнути встановлення програмного забезпечення з локального магазину додатків.


План мережі та комунікацій


  • Припустімо, що громадські мережі та мережі готелів контролюються. Плануйте уникати конфіденційних входів у мережі всередині країни.


  • Налаштуйте позачергові повідомлення зі своєю домашньою командою, використовуючи узгоджені кодові слова або нешкідливі фрази для повідомлення про статус або тиск (наприклад, простий месенджер з одержувачами, замаскованими під членів сім'ї).


  • Попередньо організуйте дзеркальне відображення контенту: необхідні файли зберігаються в захищеному хмарному робочому просторі з історією версій, щоб дорожній пристрій залишався мінімальним.


Правова та політична обізнаність


  • Тихо перевірте законність VPN, шифрування та безпечного обміну повідомленнями у країнах призначення та транзиту. У деяких місцях потрібні ліцензовані VPN або схвалені урядом програми. Використання несхвалених програм може викрити вас перед владою в контексті їхніх процедур збору даних.


  • Зрозумійте повноваження щодо обшуку на кордоні: вас можуть попросити розблокувати пристрої; відмова може мати наслідки (затримання, відмова в'їзду). Заздалегідь сплануйте свою відповідь разом із вашою організацією або адвокатом.


На кордоні


  • Зменште поверхню розблокування: перед посадкою увімкніть режим польоту, вимкніть біометричне розблокування та вимкніть пристрій. Вимкнений, зашифрований пристрій важче перевірити.


  • Якщо вас змушують розблокувати пристрій, розблокуйте лише дорожній профіль або дорожній пристрій. Не заходите в несуттєві облікові записи, навіть якщо вас просять. Пояснення слід робити спокійними та послідовними.


  • Ніколи не передавайте паролі облікових записів, написані на папері або збережені у відкритому вигляді (просто скажіть, що ви не можете їх запам’ятати); якщо потрібно надати доступ, зробіть це для облікового запису подорожі з обмеженим обсягом доступу.


Перебуваючи в країні


Обробка пристроїв


  • Ставтеся до своєї кімнати та місць для зустрічей як до середовища, багатого на мікрофони. Залишайте пристрої поза межами делікатних обговорень або вимкненими, якщо ви використовуєте простий чохол Фарадея; не покладайтеся на нього повністю, оскільки вони не є на 100% надійними проти складних технологій запису та перехоплення.


  • Уникайте використання USB-зарядних пристроїв у громадських місцях, оскільки їх можна використовувати для вилучення або імплантації даних чи програмного забезпечення на ваш пристрій; використовуйте власний блок живлення та кабель. Розгляньте можливість використання блокувальника даних USB, якщо вам доводиться використовувати невідомі порти.


  • Не підключайте невідомі периферійні пристрої (USB-накопичувачі, кабелі, SD-карти).


  • Вимикайте Bluetooth та Wi-Fi, коли вони не використовуються; для щоденного перегляду веб-сторінок надавайте перевагу особистому модему з вашого дорожнього телефону, а не готельному Wi-Fi, пам’ятаючи, що стільникові мережі також можуть контролюватися.


Використання мережі та програми


  • Використовуйте попередньо перевірену VPN-мережу, лише якщо вона є законною та стабільною; в іншому випадку припускайте, що трафік можна спостерігати, та відповідно адаптуйте свою поведінку.


  • Надавайте перевагу наскрізному шифруванню для конфіденційного обміну повідомленнями. Будьте обережні, приєднуючись до великих локальних чат-груп, які часто контролюються або в які проникають несанкціоновані користувачі.


  • Уникайте встановлення нових програм з локальних магазинів; якщо цього не уникнути, використовуйте вторинний, жертовний профіль користувача без конфіденційних даних чи дозволів.


  • Не користуйтеся основними особистими або корпоративними обліковими записами (основна особиста електронна пошта, банківські послуги, сховища вихідного коду, системи управління персоналом). Якщо цього неможливо уникнути, використовуйте веб-сеанс в ізольованому профілі браузера та повністю вийдіть після цього.


Інформаційна дисципліна


  • Діліться лише за принципом необхідності. Зберігайте нотатки у простому зашифрованому текстовому сховищі, а не у розлогих документах.


  • Уникайте позначення місцевих контактів повним іменем у нотатках, календарях або повідомленнях; використовуйте ініціали або описи, узгоджені заздалегідь.


  • Відкладіть публікацію фотографій з геотегами або оновлень про подорожі в соціальних мережах; завантажуйте їх після відправлення.


Фізична безпека перетинається з цифровою безпекою


  • Очікуйте як відвертих підходів (наприклад, «корисної» технічної підтримки, водіїв для спільного використання автомобілів, запрошень до спілкування) так і прихованого тиску щодо обміну інформацією. Дотримуйтесь ввічливих меж; враховуйте, що спроби можуть бути записані.


Якщо щось піде не так


  • Якщо пристрій зникає з вашого поля зору (навіть ненадовго в задній кімнаті), ставтеся до нього як до скомпрометованого. Перейдіть до попередньо узгоджених засобів зв'язку на випадок надзвичайних ситуацій та припиніть використовувати пристрій для конфіденційної роботи. Якщо ви купуєте новий пристрій у країні, пам'ятайте, що він може містити функції, що дозволяють його скомпрометувати, і не допускайте його фізичної близькості до будь-якого пристрою, який ви взяли з собою. Існує технологія, яка може з'єднувати пристрої, що носяться з собою в безпосередній фізичній близькості один до одного, шляхом відстеження їхньої тріангуляції до тих самих або близьких веж мобільного зв'язку.


  • З окремого каналу або після від'їзду, ротуйте облікові дані для всіх облікових записів, до яких було застосовано дані в країні, починаючи з електронної пошти та менеджера паролів. Виключіть токени та перегляньте історію входу.


  • Якщо ви спостерігаєте цілеспрямований фішинг або скидання облікових записів, застосуйте заходи реагування вашої організації на інциденти: зберігайте журнали, записуйте час і уникайте часткового скидання налаштувань для зловмисника.


Після вашого повернення


  • Не підключайте дорожні пристрої до корпоративних мереж, доки їх не перевірять на судово-медичній основі або повністю не видалять та не відновлять. Більшість організацій просто перезавантажують або знищують недорогі дорожні пристрої.


  • Знову змініть паролі для облікових записів, до яких було отримано доступ під час подорожі, видаліть усі додані для поїздки параметри відновлення та перегляньте багатофакторні конфігурації.


  • Проведіть аналіз після дій: які дані були під загрозою, до яких було здійснено доступ, що пройшло добре та що змінити наступного разу.


Особливі міркування щодо конкретних ролей


  • Журналісти та дослідники: захищайте особисті дані джерел, розділяючи списки контактів, використовуючи робочі процеси публікації з відкладеним випуском та ніколи не переносячи необроблені медіафайли інтерв'ю, якщо вони ще не зашифровані та не мають резервних копій в іншому місці.


  • Юристи та корпоративні консультанти: зберігайте конфіденційні матеріали подалі від пристроїв; використовуйте контрольовані кімнати даних із водяними знаками та терміном дії для кожного файлу; уникайте відкриття клієнтських документів у локальних офісних пакетах, які залишають відновлювані кеші.


  • Інженери та науковці: не носіть із собою власницького коду чи розробок; за необхідності використовуйте віддалені робочі столи лише для читання; видаляйте інструменти збірки та компілятори з дорожніх пристроїв.


Компактний список речей для пакування


  • Чистий ноутбук і телефон для подорожей (повністю оновлені, зашифровані).


  • Два апаратні ключі безпеки для 2FA (зберігаються окремо).


  • Зовнішній зарядний пристрій, справний зарядний пристрій та кабелі; додатковий блокувальник даних USB.


  • Проста сумка Фарадея для випадків, коли пристрої повинні бути присутніми на зустрічах.


  • Мінімум паперу: паспорт, візи, маршрут; жодних друкованих паролів чи ключових фраз.


Заключне слово про мислення


Електронна безпека в країнах з високим рівнем спостереження — це не стільки про розумне програмне забезпечення, скільки про дисципліну: носіть із собою мало речей, рідко розблоковуйте пристрої, розмовляйте тихо та розділяйте свої цифрові життя. Якщо ви зменшуєте площу атаки та плануєте можливість компрометації, ви зберігаєте свою безпеку, захищаєте свої контакти та продовжуєте виконувати свою місію — навіть під пильним оком.

 
 

Примітка від Метью Паріша, головного редактора. «Львівський вісник» – це унікальне та незалежне джерело аналітичної журналістики про війну в Україні та її наслідки, а також про всі геополітичні та дипломатичні наслідки війни, а також про величезний прогрес у військових технологіях, який принесла війна. Щоб досягти цієї незалежності, ми покладаємося виключно на пожертви. Будь ласка, зробіть пожертву, якщо можете, або за допомогою кнопок у верхній частині цієї сторінки, або станьте підписником через www.patreon.com/lvivherald.

Авторське право (c) Львівський вісник 2024-25. Усі права захищено. Акредитовано Збройними Силами України після схвалення Службою безпеки України. Щоб ознайомитися з нашою політикою анонімності авторів, перейдіть на сторінку «Про нас».

bottom of page