Коли Росія вторглася в Україну, хакери, кіберзлочинці та інші кіберспеціалісти зайняли «світлу» сторону і багато хакерів захотіли допомогти забезпечити цифрову безпеку людей в Україні принаймні дистанційно. Однією з них є Руна Сандвік, яка працює над наданням безкоштовного доступу до віртуальних приватних мереж (VPN), які допомогають захистити онлайн-діяльність від Інтернет-провайдерів створивши видимість, ніби користувачі підключаються з інших віддалених мереж, а також над іншою технічною допомогою журналістам на місцях.
Довідково: Руна Сандвік — експертка із конфіденційності та безпеки з багатим послужним списком захисту репортерів у всьому світі за допомогою технічних засобів, включаючи захист журналістів з New York Times та Фонду свободи преси. Журналісти, які шукають доступ до VPN або іншої допомоги, можуть просто надіслати Сандвік повідомлення в Twitter.
Пані Сандвік розповіла «The Record Friday» про роботу, яку вона виконує, щоб підтримати журналістів в Україні, і про те, які основні кроки безпеки, як-от перехід зв’язку на наскрізні зашифровані сервіси, зокрема Signal, перевірку конфіденційності на таких сервісах, як Twitter і Facebook, які може зробити кожен, щоб підняти базовий рівень безпеки своїх соціальних мереж. Це інтерв’ю було трохи відредаговано для лаконічності та ясності.
Інтерв’ю провів Андреа Петерсон – старший кореспондент з питань політики в The Record і багаторічний журналіст з кібербезпеки, який неодноразово висвітлював технологічну політику ThinkProgress (RIP), а потім і The Washington Post з 2013 по 2016 рік, перш ніж провести глибоке дослідження публічних даних у Проекті «Урядовий нагляд та американський нагляд». Їхні роботи також були опубліковані в Slate, Politico, The Daily Beast, Ars Technica, Protocol та інших. Петерсон також створює незалежні творчі проекти під своїм брендом Plain Great Productions, знайти в Інтернеті її можна як kansasalps.
Національна спілка журналістів України пропонує ознайомитися із адаптованим перекладом матеріалу.
Андреа Петерсон: Що ви робили для підтримки журналістів у ситуації, що розвивається в Україні цього тижня?
Руна Сандвік: У мене є друзі в Україні. Просто приємно спробувати зробити хоч щось, а не просто сидіти тут і прокручувати Twitter цілий день і просто дивитися, що відбувається. Враховуючи всю роботу, яку я історично виконувала у захисті редакцій та позаштатних репортерів, я закликала усіх журналістів в Україні надати безоплатну допомогу в цифровій безпеці. Тепер я також можу надавати журналістам в Україні безкоштовні VPN, якщо їм це потрібно.
AП: Чому журналісти повинні особливо турбуватися про свою безпеку?
РС: Я думаю, що є люди, які залишаються в країні, щоб звітувати про те, що відбувається на місцях. Деякі з них є досвідченими репортерами з розвинутих медіа-організацій, які мають все, що їм потрібно, як з точки зору фізичних засобів безпеки, так і будь-яких засобів цифрової безпеки, які їм можуть знадобитися.
Але деякі працюють на невеличкі ГО, або просто фрілансери, які просто намагаються щось дізнатись.
Деякі, можливо, навіть не були репортерами ще вчора чи позавчора, а зараз просто намагаються донести інформацію. Найменше, що я можу зробити, це підтримати їх інструментами та вказівками.
Я думаю, що дуже важливо переконатися, що вони можуть продовжувати робити те, що вони роблять, але безпечним способом. У цей момент ми можемо поглянути на фізичну та емоційну безпеку. Ми можемо розглянути захист онлайн-рахунків.
Ми можемо розглянути використання VPN, щоб надати їм конфіденційність місцезнаходження, тож, принаймні, їхні Інтернет-зв’язки між пристроєм, ноутбуком і телефоном зашифровані. Це зрозуміло?
AП: Чи можете ви пояснити, чому використання VPN важливе на конфліктних територіях для всіх, але особливо для журналістів?
РС: Звичайно. Зазвичай, коли ви не використовуєте VPN, у вас просто є ноутбук або телефон і просто підключено до Інтернету, з технічної точки зору можливо, що адміністратор Wi-Fi, або постачальник Інтернет послуг зможуть бачити, до яких сайтів ви підключаєтеся. Оскільки багато з цих сайтів уже шифрують трафік між вашим браузером і сайтом, постачальник не обов’язково бачитиме, скажімо, те, що ви шукаєте в Google, або що ви вводите в електронний лист у Gmail, або те, що ви пишете у Твіттері.
Але вони можуть побачити, що ви відвідуєте Google.com — що ви читаєте про новини в Україні, наприклад, що ви перебуваєте на веб-сайті The New York Times чи Washington Post.
Використовуючи VPN, ваше місцезнаходження конфіденційне в тому сенсі, що постачальник Інтернет-послуг у країні може бачити лише те, що ви підключені до VPN. Але вони не дізнаються, чи ви в Google, чи в Twitter, чи на веб-сайті Washington Post і тд.
Це надає вам можливість продовжувати безпечно виконувати свою роботу зменшуючи ризик спостереження. (Примітка редакції: це технічні зміни конфіденційності в Інтернеті, які стали доступні протягом останнього десятиліття.)
AП: Як журналістам застосовувати той самий підхід у своїх каналах спілкування? Які ще інструменти ви б порадили?
РС: Думаю, що це важливо знати, коли ви, скажімо, користуєтесь соціальними мережами або знаходитесь в готелі чи в дорозі і використовуєте Інтернет. Важливо знати те, хто потенційно може зрозуміти, що ви робите, що вас цікавить, і які облікові записи ви використовуєте, з ким ви спілкуєтесь, щоб потім просто вжити заходів і переконатися, що ви можете, наприклад, зашифрувати це якимось чином.
Якщо більш конкретно відповідати на ваше запитання, я думаю, що використання такої програми, як Signal, для наскрізного зашифрованого зв’язку на мобільних телефонах є чудовим варіантом. Думаю, що WhatsApp також хороший варіант. Facebook Messenger підтримує наскрізне шифрування в програмі Secret Conversations, яку ви також можете використовувати.
Я вважаю, що це дійсно хороші варіанти, щоб гарантувати, що швидкість зв’язку, ваші повідомлення чи телефонні дзвінки зашифровані з вашого телефону та телефону людини, з якою ви розмовляєте.
АП: Ще одна річ, яку варто зазначати в контексті України, — це популярність твердження, що Telegram зашифрований за замовчуванням, і популярність самої програми. Наприклад, Моксі Марлінспайк (який, безперечно є зацікавленою особою, тому що він є засновником компанії Signal, що є конкурентом Telegram) стверджував, що ЗМІ вводять в оману українців, коли називають Telegram «зашифрованим» додатком, адже він не має наскрізного шифрування за замовчуванням. В свою чергу, люди впевнені, що їхні комунікації безпечні, а насправді, дані залишаються під загрозою. Чи згодні ви з такою оцінкою?
РС: Абсолютно. Telegram роками характеризували як безпечний зашифрований месенджер і часто в тому ж контексті, що й Signal і WhatsApp. Та якщо вникнути в невеликі нюанси, то Telegram за замовчуванням не зашифрований. Він не шифрує групові чати. Це налаштування, яке ви повинні ввімкнути самостійно в додатку, на відміну від Signal і WhatsApp, які активують цю опцію за замовчуванням для кожного чату, який у вас є.
Я думаю, що замовчуючи цей нюанс, ми, на жаль, продовжуємо поширювати ідею, що Telegram такий же безпечний, як і інші програми.
AП: Чи є певні ризики для безпеки, якщо покладатися на Facebook Messenger, замість переходу на Signal або інший варіант, який наскрізно зашифрований за замовчуванням ?
РС: Так. Коли ви зараз просто спілкуєтеся з людьми у Facebook Messenger між вашим комп’ютером і Facebook.com зашифровано.
Але повідомлення, які ви надсилаєте своїм друзям туди-сюди, не зашифровані в тому сенсі, що компанія Facebook може отримати доступ до цього чату і може бачити, про що і з ким ви розмовляєте, коли, як часто. Якщо ваша розмова наскрізно зашифрована, як у WhatsApp, Facebook все одно зможе бачити, з ким ви розмовляєте, коли і як часто, але не може бачити вміст, оскільки вміст захищений наскрізним шифруванням.
Тепер, якщо ви відкриєте Facebook Messenger на своєму телефоні та виберете нову розмову у верхньому правому куті, є можливість увімкнути те, що називається секретним чатом, тобто наскрізне шифрування у Facebook Messenger.
AП: Якщо ви журналіст, чи варто вам використовувати наскрізне шифрування з усією вашою мережею, щоб уникнути тієї ситуації, коли VPN розкриває ваші джерела?
РС: Так, зараз 2022 рік. Користуватися Signal або WhatsApp неважко. Можна з телефона, можна з комп’ютера. Його легко налаштувати та використовувати, він набагато безпечніший, ніж звичайні телефонні дзвінки чи SMS. Немає причин не використовувати ці інструменти.
AП: Що ще можуть зробити журналісти чи інші особи, щоб покращити цифрову стійкість своєї спільноти, саме стосовно України?
РС: Ще одна річ, яку ви можете зробити, наприклад, якщо у вас є друзі в Україні, ви можете переглянути налаштування безпеки та конфіденційності для свого облікового запису в соціальних мережах, щоб, наприклад, якщо ми з вами друзі у Facebook, а ваші налаштування конфіденційності полягають у тому, що будь-хто в будь-якій точці світу може переглядати всіх ваших друзів, усі ваші фотографії та всі ваші повідомлення, то це дозволяє комусь через ваш загальнодоступний профіль, з’ясовувати деталі про мене, просто тому що ми друзі, і ваші налаштування так працюють.
Переконавшись, що ви контролюєте налаштування конфіденційності та безпеки, які є у вашому обліковому записі Facebook, ви також вживаєте заходів для забезпечення конфіденційності та безпеки будь-яких ваших друзів на платформі.
Андреа Петерсон
26 лютого 2022 року
