29 березня 2019 року в рамках проекту УГСПЛ відбувся вебінар для активістів правозахисних організацій і ініціативних груп, які працюють в сфері захисту прав ЛГБТКІ і протидії дискримінації на тему безпечної цифрової комунікації.

Вебінар проводив експерт та тренер Лабораторії Цифрової Безпеки Вадим Гудима.

Під час заходу планувалось обговорити такі питання:

1. Що безпечніше використовувати у активістській діяльності: смартфон чи кнопковий телефон?
2. Як вибрати безпечний месенджер?
3. Чи існують безкоштовні VPN сервіси?

Відповідаючи на заплановані питання, Вадим Гудима виокремив такі недоліки кнопкового телефону з точки зору цифрової комунікації:

• неможливо захистити аудіо-переговори від прослуховування;
• неможливо захистити переписку (SMS/MMS) від перехоплення;
• неможливо захистити дані та контакти на пристрої.

Натомість, перевагами смартфона є те, що його технічні характеристики дають змогу:

• захищати комунікації ДО сервіс-провайдера;
• захищати комунікації МІЖ телефонами;
• захищати сам телефон (шифрування диску та SD-карти).

Під час вебінару багато уваги було приділено питанню вибору безпечного месенджера.

Для отримання відповіді на це питання потрібно враховувати коло спілкування користувача та популярність самого месенджера:

• чим більше людей користується програмою, тим важче відслідкувати дії окремого користувача;
• якщо не змінюється модель поведінки користувача – він продовжує користуватись сервісом, який використовував раніше – це менш підозріло і залишає небагато шансів на серйозну помилку в користуванні при переході на новий месенджер.
• популярні месенджери мають репутацію, яку треба берегти, тому в них більше стимулів захищати кінцевого користувача від несанкціонованого доступу та оскаржувати судові рішення по наданню інформації.

Важливо дізнатись як захищається переписка в месенджері. Якщо використовується звичайнешифрування (https:// – від вашого пристрою до сервіс-провайдера).

Якщо це:

• FB Messenger;
• Telegram (звичайні чати);
• Skype;
• Slack

то сервіс провайдер має доступ до змісту Вашої переписки і метаданих.

Якщо використовується наскрізне шифрування (від Вашого пристрою до пристрою адресата), то найкращими месенджерами будуть:

• WhatsApp;
• Signal;
• Wire;
• Telegram (secret chats)

Тут сервіс-провайдер має доступ лише до метаданих – хто, кому, коли, і якого розміру повідомлення.

Необхідно враховувати і модель фінансування:

• наші дані та реклама (Skype, FB Messenger, Viber);
• преміум-підписка (Slack, Wire);
• продаж коду іншим месенджерам (Signal);
• фонди та опенсорс-девелепори (Signal).

При виборі месенджера треба зважати й на те, чи «відкритий код» і чи хтось його перевіряв (аудит безпеки)?

• відкритий і перевірявся: Signal; Wire.
• частково відкритий: WhatsApp, Telegram, Skype.
• закритий: Viber.

Важливо враховувати, чи зберігаються в месенджері дані користувачів та які саме:

• зберігають усе: FB Messenger, Skype, Telegram, Viber (до 2017 року);
• зберігають метадані: WhatsApp, шифровані Telegram та Skype, Viber.
• Не зберігають нічого, окрім даних реєстрації: Signal, Wire.

Остання група питань, що розглядалися під час вебінару, стосувалася того, як обрати VPN сервіс.

Для цього потрібно розуміти, перш за все, кому належить VPN сервіс:

• персональний/робочий (OpenVPN, Outline, AlgoVPN);
• сторонній сервіс.

Слід також зважати на модель фінансування сервісу:

• шляхом оформлення підписки (TunnelBear, Private Internet Access);
• за рахунок поширення реклами та фондування (Psiphon);
• завдяки продажу даних користувачів третім сторонам або навіть зловмисникам.

І, врешті-решт, варто враховувати юрисдикцію – у яких країнах розташовані сервери VPN сервісу, адже якщо Ваші дані з якоїсь причини були втрачені і виникне необхідність вирішення питань у правовій площині, то Вам доведеться враховувати відмінності у законодавстві країни Вашого перебування та країни, де сервіс розроблено та ліцензовано.

Технічні характеристики сервісу розглядаються у останню чергу та не мають суттєвого значення для безпеки комунікації.

Наостанок експерт Лабораторії Цифрової Безпеки рекомендував слухачам використовувати сервіс That One Privacy Site – VPN Section (https://thatoneprivacysite.net/simple-vpn-comparison-chart) для здійснення самостійного вибору сервісу для звичайної комунікації.

Утім, якщо втрата або витік інформації може призвести до трагічних наслідків – втрата життя, здоров’я або свободи – то в цьому випадку варто порадитись зі спеціалістом, щоб мінімізувати можливі ризики.

Вебінар проведено в рамках проекту за підтримки Фонду сприяння демократії Посольства США в Україні.Погляди авторів не обов’язково збігаються з офіційною позицією уряду США. / Supported by the Democracy Grants Program of the U.S. Embassy to Ukraine. The views of the authors do not necessarily reflect the official position of the U.S. Government.