Introduction



title: ‘Guide to Safer Travel’

abstract: This guide will help you prepare for travels to high-risk countries. The Access Now Helpline is at your service if you have any questions.


Last updated: Dec 2017
Please consider this date when evaluating the accuracy and security of the following guide.

Служба поддержки по цифровой безопасности (Access Now)

Руководство по безопасности поездок

Угрозы

Путешествия сопряжены со многими рисками для вас, ваших устройств и данных. Ноутбуки и прочие гаджеты выходят из строя. Их крадут, они теряются, ломаются, не включаются. Если путешественник отправляет сообщение через точку связи в публичном месте, например, в интернет-кафе или через гостиничный wi-fi, данные могут быть перехвачены. Работая на чужом компьютере, есть риск стать жертвой кейлогера или иной атаки. Информацию нужно защищать.

А если вы пересекаете границу? Пространства для маневра совсем нет. Вряд ли вы скажете “нет” пограничнику или таможеннику, который заинтересуется чем-то из ваших вещей. Например, данными в ноутбуке, цифровой камере, диктофоне или телефоне. Скажем, в США, несмотря на Четвертую поправку, таможенникам не нужно какое-то специальное основание, чтобы посмотреть содержимое вашего устройства и даже изъять его для дальнейшего изучения. В России, Беларуси и других постсоветских странах уже были случаи повышенного интереса контролирующих чиновников к устройствам, пересекавшим границу, в том числе с изъятием этих устройств.

Риски

Допустим, вы потеряли доступ к своему устройству и всем данным на нем. Сможете продолжать работу? А если данные с устройства попадут в третьи руки? Как это отразится на ваших коллегах, единомышленниках, донорах? Не окажутся ли они в опасности? Другой пример: кто-то так или иначе получает информацию о вас и притворяется вами. Это создает угрозу репутации – и вашей, и вашего проекта, и вашей организации. Кто-нибудь из ваших партнеров окажется обманут. Что тогда?

Попробуем уделить немного внимания безопасности. Быть может, нам удастся избежать этих проблем.

Инструменты и практики

Ваши данные можно защитить без особых затрат. Для этого есть немало инструментов и практик.

Например:

Основные правила безопасности

Некоторые из этих советов звучат как общие правила, но в путешествиях они приобретают особое значение.

### Принцип минимума информации

То, чего у вас нет, не потеряется и не попадет в руки ворам. Для начала прикиньте, какие данные вам на самом деле нужны в поездке, а что можно оставить дома. Скопируйте все, что вам в поездке не пригодится, на другой компьютер или жесткий диск. Обеспечьте этому устройству надежное хранение дома или в офисе. Попутно сделайте резервную копию самых важных данных на внешний жесткий диск или USB-флешку. Храните эту флешку в надежном месте отдельно от компьютера. Можно загрузить резервную копию важных данных (в зашифрованном виде) в облачное хранилище файлов.

Убедитесь, что не везете с собой данные, которые считаются противозаконными в стране назначения. В их числе могут оказаться объекты интеллектуальной собственности (например, музыка и видео), порнография, даже невинные домашние фотографии ваших собственных неодетых детей, или материалы, которые власти считают “экстремистскими”. Если подобные материалы будут обнаружены на границе, могут последовать неприятности от разбирательства на месте (возможно, с изъятием компьютера) до ареста и заключения. Избавьтесь от “пиратских” программ и их дистрибутивов; на ваших устройствах должны быть только легально приобретенные программы (возможно, бесплатные, с открытым кодом).

Опытные путешественники рекомендуют другой способов обезопасить данные: хранить их в зашифрованном виде в “облаке”. Там можно разместить и собственно данные, и образ всей системы (вместе с программами). Тогда в поездку вам останется взять “чистый” ноутбук. Прибыв на место назначения, вы можете скачать данные и/или программы, а перед отъездом домой – снова загрузить их в файловое хранилище. Так вы одновременно минимизируете информацию и сделаете доступную резервную копию, хотя и ценой некоторых ограничений работы с данными непосредственно в пути.

Шифрование

Мы всегда советуем шифровать данные на компьютере и на устройствах связи. Но в некоторых странах ввоз, вывоз и использование шифровальных средств могут быть вне закона. Узнайте, так ли это для страны, куда вы отправляетесь. В некоторых случаях понадобится обратиться за разрешением на ввоз или вывоз. Бывает, что использование шифрования запрещено даже в личных целях. Выясните, обязаны ли вы по местным законам отдавать шифровальные ключи по требованию правоохранительных органов. Есть страны, где за “отказ сотрудничать” вам может грозить тюрьма.

Полнодисковое шифрование

Шифрование – мощная технология защиты данных. Если злоумышленник получит доступ к вашему ноутбуку или другому устройству и попробует прочитать зашифрованные данные, не имея пароля, он увидит мешанину из единиц и нулей. Правда, нужно иметь в виду, что при повреждении зашифрованного диска (падении, сильном ударе, ином резком физическом воздействии) данные будет куда сложнее восстановить. Типичная общественная организация не сможет позволить себе такие расходы. Не забывайте регулярно делать резервные копии.

Чтобы выбрать подходящий вариант, пожалуйста, обратите внимание на наши советы о полнодисковом шифровании на разных платформах (ниже).

Защита шифровальных ключей

Если шифруешь свою электронную почту, едва ли не самой большой ценностью, которую всегда носишь с собой, становится закрытый (секретный) шифровальный ключ PGP/GPG. И ключ, и пароль к нему нуждаются в защите. Посторонние люди не должны получить к ним доступ. Оставлять устройства без присмотра, когда другие могут ими воспользоваться, тоже неправильно. Возможно, вы предпочтете вовсе не хранить этот ключ на компьютере. Можно записать его на зашифрованную USB-флешку и носить ее в качестве брелока или украшения на шее. Так ваш ключ всегда будет с вами.

Публичный доступ

Во время путешествия часто попадаются публичные компьютеры и доступ к интернету. Иногда это интернет-кафе или подобные места, но чаще путешественники подключаются к сети (по wi-fi, изредка по проводам) в отелях, на вокзалах, в конференц-залах. Такие ситуации создают особые риски.

Публичные компьютеры

Небезопасная клавиатура

Больше всего рискует тот, кто входит в свои аккаунты на чужом компьютере или терминале. К чужим устройствам доверия по умолчанию нет.

В качестве примера угрозы можно назвать кейлоггеры. Такая программа (или физическое устройство) перехватывает нажатия клавиш и передает эти данные злоумышленнику.

Аппаратные кейлоггеры бывают в стандартах PS/2 и USB. Злоумышленник устанавливает такой кейлоггер в разъем между компьютерным портом и клавиатурным кабелем. Если вынуждены пользоваться чужой клавиатурой, проверьте, нет ли кейлоггера.

Можно путешествовать со своим ноутбуком (см. “Принцип минимума данных”) или, в крайнем случае, со своей клавиатурой, чтобы без перезагрузки подключать ее к чужому компьютеру.

Небезопасные компьютеры

Программный кейлоггер может работать на уровне ядра. Такой “жучок” особенного опасен, потому что его трудно определить. Доверять чужому сомнительному компьютеру – не очень разумно.

В этой ситуации хорошо иметь заранее подготовленную USB-флешку с операционной системой и и основными программами. Вы сможете загрузить операционную систему, которой доверяете, прямо с USB-флешки, и обойти стандартную загрузку чужого компьютера.

Небезопасное подключение к интернету

В поездке то и дело приходится подключаться к интернету через небезопасные точки. Это касается проводных и беспроводных подключений в гостиницах, интернет-кафе, муниципального wi-fi в городе, коммерческих точек и т.д. На небезопасных узлах может быть организована так называемая атака “человек-в-середине”. Это значит, что злоумышленник способен перехватывать адреса сайтов, которые вы посещаете, и почтовые адреса ваших собеседников. А когда вы хотите зайти на какой-нибудь приличный сайт, злонамеренный узел может переадресовать ваш запрос на опасный фейк.

И снова: шифрование – основная технология, с помощью которой можно защитить данные от перехвата. Популярное решение – виртуальная частная сеть (VPN). Она работает так: между вашим компьютером и удаленным сервером, которому вы доверяете, создается зашифрованный канал, и через него идет весь ваш трафик. Доверенный сервис VPN позволяет безопасно работать в сети (см. раздел о VPN далее).

Важно, чтобы сайты, с которыми вы соединяетесь, поддерживали протокол безопасности HTTPS (большинство сайтов поддерживает). Можете установить браузерное расширение HTTPS Everywhere. Оно позволяет всегда быть уверенным, что вы откроете именно HTTPS-версию сайта (если таковая существует).

Какой бы протокол шифрования вы ни использовали, обращайте внимание на окошки с предупреждениями при подключении. Они могут означать атаку “человек-в-середине”. Впрочем, отсутствие таких окошек не гарантирует отсутствие атаки. Некоторые злоумышленники во время атаки умеют перехватить сессию, не вызывая сообщение об ошибке. Как бы то ни было, успешная атака обычно дает злоумышленнику лишь незначительное время для вредоносных действий (он получает лишь ключ к текущей сессии).

Интернет-цензура и блокировки

В России, Украине и некоторых других странах действуют государственные системы блокировки веб-сайтов (отдельных сайтов или целых стран).

VPN

Виртуальная частная сеть (VPN) шифрует ваши запросы и переадресует их на компьютер-посредник. Если этот компьютер находится за пределами страны, чье правительство осуществляет цензуру, VPN можно использовать для доступа к заблокированным веб-сайтам и другим ресурсам, получая при этом защиту трафика от перехвата. Впрочем, компьютер-посредник может вести журналы (логи), по которым нетрудно проследить, что вы делали. Если ваш оппонент обладает серьезной властью, он может надавить на провайдера VPN, чтобы тот выдал данные логов. Вот почему так важно иметь надежного провайдера VPN. В этом руководстве рассказывается, как выбрать VPN. Если собираетесь ехать в зону повышенного риска, можете связаться со Службой поддержки по цифровой безопасности Access Now и задать конкретные вопросы.

Tor

“Tor” расшифровывается как “луковый маршрутизатор” (The Onion Router), название происходит из-за многоступенчатой защиты. Этот инструмент специально придуман для обхода цензуры и обеспечения анонимности при просмотре веб-сайтов и доступе к другим интернет-ресурсам, таким как чаты, и для входа в аккаунты в потенциально небезопасных обстоятельствах. Tor может пригодиться, если вы работаете в стране, где репрессивный режим оказывает давление на работу гражданских организаций и активистов.

Чтобы пользоваться сетью Tor, нужен Tor Browser. Tor может серьезно замедлять ваше соединение, поэтому есть смысл применять его для работы с наиболее важными задачами, а в остальное время обходиться привычным браузером. Но будьте внимательнее с тем, что считать важной информацией. Бывает, что сайт, который выглядит вполне безобидным, раскрывает довольно много данных о вас и ваших намерениях. “Кого, кроме меня, может интересовать план моей поездки или время встречи с коллегами?” – думает человек. А злоумышленник тем временем прикидывает, когда его жертва будет отсутствовать в своем гостиничном номере. Случайная “утечка” может иметь роковое значение. Сомневаетесь? Используйте Tor Browser.

Имейте в виду, что в некоторых странах сеть Tor может быть заблокирована (например, в Казахстане и Китае). Чтобы использовать Tor в таких обстоятельствах, придуманы мосты Tor.

Если в стране заблокирован Tor, разобраться поможет эта статья (англ.).

Другой почтовый адрес

В поездках придется использовать ненадежные подключения и компьютеры. Еще один способ уменьшить ущерб от возможных атак – создать новый адрес веб-почты только на время поездки. Используйте его для всех не самых важных сообщений. Даже если злоумышленник получит доступ к аккаунту, невелика беда: это продлится максимум до конца путешествия. Не входите в свой обычный почтовый ящик, по крайней мере пока не уверены в безопасности подключения и компьютера.

Безопасность мобильных телефонов

Общие рекомендации

По умолчанию мобильные телефоны мы считаем небезопасными. Лучше всего вообще оставить основной телефон дома, а в поездку взять другой, в котором нет всех ваших данных. Но если все-таки приходится ехать с рабочим телефоном, создайте резервную копию всех данных, сохраните ее на другом устройстве и удалите оригинал данных с телефона и карты памяти. Чтобы снизить риски от использования смартфонов, можете обратиться к этому руководству.

Обход цензуры

Для многих инструментов, рекомендованных в этом руководстве (например, VPN и Tor), существуют приложения для мобильных устройств (Android и iOS).

Чтобы запустить Tor для Android, нужно установить приложение Orbot, а затем браузер Orfox, который пропускает трафик через Orbot. Для iOS есть смысл выбрать браузер Onion Browser.

Безопасность коммуникаций

Приложения для смартфона – один из самых быстрых способов защитить коммуникации в поездках. Если ваши собеседники используют мессенджеры вроде Signal или Wire, вы можете применять эти вполне безопасные средства связи для обмена шифрованными сообщениями и файлами, равно как и для шифрованных голосовых звонков. Программы типа WhatsApp и Facebook Messenger мы можем рекомендовать только во вторую очередь, но и они подойдут, если включено шифрование, и если вы не используете их для обсуждения конфиденциальных тем.

Что еще?

Никто не смотрит через плечо

Когда набираете пароль или PIN-код от своей банковской карточки, обращайте внимание на людей вокруг. Если посторонний окажется достаточно близко и заглянет через плечо, он вполне может узнать логин или пароль. Камеры наблюдения тоже, бывает, смотрят прямо на нас. Кстати, именно поэтому современные операционные системы при наборе пароля отображают не его символы, а точки. Иногда ту же информацию можно получить, если наблюдать за нажатиями пальцев на клавиши. В общем, будьте осторожны.

Автоматическое отключение устройства

Большинство операционных систем так или иначе позволяет автоматически блокировать клавиатуру и дисплей, если какое-то время устройство остается не активным. Это хорошая практика (хотя лучше не оставлять устройства без присмотра). Попробуйте изменить настройки устройства так, чтобы оно требовало пароль всякий раз при выходе из спящего режима.

Создание хороших паролей и управление ими

У вас еще нет правил в отношении паролей? Перед поездкой стоило бы подумать о таких правилах.

Пароль должен быть уникальным, то есть, использоваться только для одной конкретной задачи (доступ к аккаунту, расшифровка архива данных и т.д.). Правильный пароль – стойкий, длиной минимум 12 символов, составлен из букв нижнего и верхнего регистров, цифр и спецсимволов. Такие пароли очень трудно запомнить и воспроизводить на клавиатуре. Чтобы не запутаться, лучше использовать парольный менеджер, такой как KeePassXC. Эта программа не только сохранит все ваши пароли в зашифрованном хранилище, но и позволит вставлять их в нужные поля на сайтах, не набирая на клавиатуре (полезно для защиты от чужого глаза).

Правда, некоторые пароли не сохранишь в парольном менеджере. Например, пароль для расшифровки вашего жесткого диска (если вы используете полнодисковое шифрование) и для самого парольного менеджера. Эти пароли придется запоминать. Можно выбрать три или более не связанных между собой слова и добавить к ним произвольные символы и цифры. Для шифровального ключа используйте легко запоминаемую, но длинную парольную фразу (минимум шесть слов). Она должна содержать заглавные буквы, пробелы и пунктуацию и быть трудноугадываемой.

В этом руководстве от Electronic Frontier Foundation (англ.) рассказывается о создании паролей по методу игральных костей.

Не используйте для паролей ваше собственное имя, название организации, какую-либо часть почтового адреса, клички домашних животных, именя супругов или детей. Не применяйте отдельные слова, которые легко могут быть найдены в словарях какого-либо языка. Такие пароли легко взломать. Если вы уже используете надежные, уникальные пароли, но попали с ними в небезопасные условия, подумайте о том, чтобы сменить их, как только окажетесь в безопасной обстановке.

О всех принципах парольной защиты рассказано здесь.

Полнодисковое шифрование на разных платформах

Сегодня для всех распространенных операционных систем, как для компьютеров, так и для мобильных устройств, доступны бесплатные программы с открытым кодом, которые позволяют шифровать жесткий диск целиком.

Полнодисковое шифрование защитит данные на диске, если устройство потеряется или будет украдено.

Пожалуйста, имейте в виду: полнодисковое шифрование не поможет, если кто-то способен принудить вас выдать пароль (а так бывает при пересечении некоторых границ). Хотите, чтобы ваша самая важная информация попала в чужие руки? Нет? Тогда старайтесь вообще не везти информацию с собой или хранить ее в скрытом зашифрованном томе VeraCrypt.

О том, как создать скрытый зашифрованный том VeraCrypt, рассказано в отдельных руководствах для Windows, Mac (англ.) и Linux.

Mac OS X

Проще всего полнодисковое шифрование реализовано на устройствах Mac OS X, потому что оно встроено в операционную систему и включено по умолчанию для новых устройств. Пользователь работает с полнодисковым шифрованием, порой даже не зная этого. Когда вы включаете свой Mac, пароль доступа к аккаунту задействует секретные ключи, с помощью которых расшифровывается ваш жесткий диск.

Чтобы узнать, включено ли полнодисковое шифрование на вашем ноутбуке с Mac OS X, пригодятся эти инструкции.

Microsoft Windows

В операционной системе Windows программа полнодискового шифрования называется BitLocker. Она доступна для Windows 7 / Vista версий Ultimate и Enterprise, а также для Pro-версий Windows 8 и Windows 10.

Если у вас Microsoft Windows без встроенного BitLocker, например, Windows 7 Pro или Windows 10 Home Edition, существует немало бесплатных программ с открытым кодом для полнодискового шифрования, среди которых мы рекомендуем VeraCrypt VeraCrypt.

VeraCrypt умеет шифровать диск целиком или по частям, а также создавать скрытые зашифрованные области, но его может быть непросто настроить для полнодискового шифрования. О том, как это сделать, рассказано здесь (англ.).

Если вы представляете некоммерческую организацию, можно подумать об обращении за версией Windows Pro с Bitlocker и получить скидку (TechSoup).

Linux

В этой операционной системе полнодисковое шифрование обычно предлагается уже при установке. Если оно не было включено, возможно, придется переустановить Linux. Хотите включить полнодисковое шифрование на компьютере с Linux? Обращайтесь к нам в Службу поддержки по цифровой безопасности Access Now.

Мобильные устройства

В iOS, Android Marshmallow и более поздних версий полнодисковое шифрование включено по умолчанию. На устройствах с более ранними версиями Android его можно включить в настройках.

Что почитать и попробовать