Поки ви читаєте це, вас читають спецслужби. Як убезпечити своє листування в інтернеті
Думайте двічі, кому і що ви говорите, як передаєте повідомлення і як зберігаєте листування в інтернеті.
Нещодавно в пресі прокотилися хвилі паніки. Перша пов'язана з наскрізним шифруванням у WhatsApp, мовляв воно не настільки вже й наскрізне, якщо вже Facebook найняв тисячу модераторів для розбору скарг. Друга — навколо ProtonMail, вони передали IP та інформацію про броузер французьких екоактивістів владі. Мабуть, люди почали забувати, що таке інтернет і чим безпека відрізняється від анонімності, передача даних (data at motion) і їх зберігання (data at rest).
Пошта (зокрема звичайна паперова) повинна знати, кому адресовано лист. Адресу потрібно написати на конверті, щоб було зрозуміло, куди його відправляти. Можна, звичайно, вкласти лист у два конверти, і попросити першого адресата розкрити перший конверт і переслати його далі.
Вітаю, ми тільки що заново винайшли ремейлер, TOR і меш-мережі. Про що прямо сказано в Privacy policy ProtonMail, вони не зобов'язані вести логи, але якщо до них приходить влада з рішенням суду, то вони включають їх на вимогу. Користуйтеся TOR. Поштовий сервіс не може забезпечити вам анонімність, навіть якби хотів. З Протоном усе в порядку.
Більше того, є інша жахлива загроза — вміст листування може розголосити одержувач.
Він його бачить. Очима. І ніякі зникнення повідомлень і заборони скріншотів не завадять йому сфотографувати екран телефону, записати повідомлення на папір і прокричати його на майдані через мегафон. Не кажучи вже про показання під присягою. Навіть "мусора" про це знають. У випадку з whatsapp в одержувача є можливість одним кліком відправити вже отримані і розшифровані повідомлення модератору.
Іноді вміст повідомлень і не потрібен. Рік тому в Польщі затримали українця. Гліба Іванова-Толпінцева підозрюють у тому, що він підбирав перебором доступи до комп'ютерів через RDP і продавав їх на чорному ринку. Зараз його екстрадують у США (чомусь Україна в цьому випадку не рвалася допомагати своїм громадянам). Зловила його податкова служба (IRS) І знайшла буквально за IP
Гліб продавав аки на чорному форумі, а спілкувався через Jabber швидше за все з шифруванням OTR (золотий стандарт андеграунду). Тільки jabber-сервер xmpp [.] Ru аж ніяк не в Росії, а у Філадельфії. Усе, що залишалося зробити податківцям, переглянути повідомлення на форумі, зв'язати їх зі зверненнями до jabber, знайти e-mail адреси й отримати з ордером вміст поштових скриньок з Google. А в пошті скани паспортів, номери рахунків та інші деталі. Класичний traffic analysis.
Це вам не "Гроверів" за нікнеймами гуглити. І "з'єднали крапки" податківці, не федерали навіть. Шифрування від такого не захищає.
Тому думайте двічі, кому і що ви говорите, як передаєте повідомлення і як зберігаєте листування.
Першоджерело: телеграм-канал автора.