Спыталі спецыялістаў пра пагрозы інфармацыйнай бяспекі, актуальныя ў Беларусі 2021 года. Галоўная пагроза – фізічны гвалт. Але яна не адзіная.
Сябра праваабарончай арганізацыі «Human Constanta» Аляксей Казлюк называе мабільны тэлефон «фактычна прыладай, якая сочыць за намі», але пытанне ў тым, каму належаць звесткі, атрыманыя праз такое сачэнне.
«Геалакацыя любога абанента ў Беларусі адсочваецца, і доступ да гэтай геалакацыі могуць атрымаць зламыснікі, а таксама сілавікі ў пэўных прадугледжаных законам выпадках. – нагадвае Казлюк. – Інфармацыя, якая перадаецца праз звычайныя каналы сувязі, як то тэлефанаванне ці SMS, можа быць лёгка перахопленая, а сілавікі могуць атрымаць у рэальным часе доступ праз сістэму аператыўна-вышуковых мерапрыемстваў. Чалавек пра гэта ведаць не будзе, як і мабільны аператар».
Пры тым, кажа Казлюк, зламыснікі могуць перахопліваць і SMS-паведамленні, якія выкарыстоўваюцца для двухэтапнай аўтэнтыфікацыі (калі разам з паролем трэба ўводзіць дадатковы код). У Беларусі гэта ўжо «сталая практыка», сцвярджае ён. Некаторыя праграмы, мэсэнджары і сацсеткі дазваляюць рабіць двухэтапную аўтэнтыфікацыю праз праграму – генератар кодаў. Калі ёсць магчымасць карыстацца ёй, лепей адмовіцца ад кодаў праз SMS.
Больш складанае пытанне з перахопліваннем інтэрнэт-трафіку: тут карыстальнікі могуць сябе абараніць, бо большая частка інтэрнэт-трафіку зашыфраваная, тлумачыць ён. Але ёсць тры асноўныя выключэнні.
«Самы просты спосаб узлому – гэта фізічны гвалт, – кажа «Белсату» яшчэ адзін спецыяліст у інфабяспецы, які пажадаў застацца ананімным. – Тут як цяпер працуе: спачатку чалавека бяруць, а пасля ўжо пачынаюць шукаць, вымушаюць разблакаваць тэлефон, глядзяць ягоныя кантакты, перапіску, перадусім у Telegram».
Спецыяліст раіць наладзіць аўтаматычнае выдаленне паведамленняў у мэсэнджарах, калі ў вашай перапісцы штосьці можа абурыць сілавікоў. Той жа Telegram умее аўтаматычна выдаляць паведамленні праз 1 дзень ці праз тыдзень.
Многія мабільныя праграмы для сваёй працы патрабуюць доступ да месцазнаходжання карыстальніка, да камеры, мікрафона, календара, файлавай сістэмы і іншых функцый.
Праграмы, створаныя ў Беларусі, таксама просяць такія дазволы. У ліку праграмы ад дзяржаўнага тэлеканалу, сэрвісу аплаты праезду ў грамадскім транспарце, папулярнай сеткі крамаў з дастаўкаю тавараў. Спецыяліст у інфармацыйнай бяспецы разважае: цяпер «ніхто не можа забараніць беларускім сілавікам запатрабаваць доступ да гэтых звестак» у распрацоўнікаў, якія застаюцца ў Беларусі.
Спецыяліст заклікае ацэньваць, наколькі той ці іншай праграме патрэбныя такія дазволы: калі ад навігатару мала сэнсу без дазволу да лакацыі, то для дастаўкі прадуктаў такі дазвол не абавязковы, адрас можна ўвесці і ўручную. Некаторыя праграмы адмаўляюцца запускацца без усіх дазволаў, іншыя ж працуюць, нават калі ім забараніць карыстацца камерай, мікрафонам ці лакацыяй.
Пэўная абарона ўбудаваная ў аперацыйную сістэму: праграмам нельга без «асэнсаванага» дазволу ад карыстальніка сачыць за лакацыяй у фонавым рэжыме або таемна ўключаць мікрафон. Некаторыя версіі аперацыйных сістэмаў дазваляюць даць «дазвол на адзін раз».
Аляксей Казлюк кажа, што не чуў , каб беларускія сілавікі выкарыстоўвалі для сачэння звычайныя праграмы кшталту аплаты праезду ці дастаўкі ежы. Але адзначае: нельга дакладна казаць, якія метады не выкарыстоўваюцца сілавікамі, бо вядома толькі пра тое, што заўважылі пацярпелыя.
Напрыклад, з адкрытых дзяржаўных закупаў было вядома, што следчыя збіраліся набыць прылады для ўзлому тэлефонаў пры фізічным доступе да апарата. А пра закупы праграмаў-жучкоў не паведамлялі.
«Ёсць розныя варыянты, як атрымаць інфармацыю, – разважае Казлюк. – Напрыклад, Саудаўская Аравія, каб праслухоўваць прылады актывістаў, выкарыстоўвала ўразлівасці, узлом якіх каштаваў каля мільёна долараў. Зразумела, што беларускія ўлады наўрад ці будуць выдаткоўваць такія грошы, ведаючы, што можна тое самае рабіць дастаткова таннай працай АМАПу».
Тэарэтычна спецслужбы могуць даведацца, колькі байтаў на які сайт ці ў якую праграму карыстальнік адсылаў у канкрэтную секунду. Хадзілі чуткі, што праз гэта нібы вылічвалі ананімных адміністратараў Telegram-каналаў і чатаў: сілавікі нібыта глядзелі, хто з абмежаванай групы людзей загружаў у Telegram у нейкі момант відэа ці фота вядомага памеру.
Спецыяліст у інфабяспецы кажа, што, паводле яго звестак, выкарыстанне такога складанага спосабу маларэалістычнае, дый ад гэтага можна лёгка абараніцца, калі ўключыць VPN-сервіс. А VPN-сервісамі ў Беларусі пасля 2020 года ўмеюць карыстацца многія.
Месяц таму ў адным з Telegram-каналаў з’явілася заява пра тое, што база нумароў тэлефонаў карыстальнікаў платформы «Голас» выстаўленая на продаж. Стваральнік платформы Павел Лібер катэгарычна абвяргаў гэта: казаў, уцечак не было, платформа вельмі сур’ёзна клапоціцца пра бяспеку. З таго часу «злітую базу» не публікавалі ні цалкам ні часткова, а пра «пакаранні за карыстанне» платформай не паведамлялі.
«Viber і Telegram гарантуюць высокую бяспеку карыстальнікам ботаў, – тлумачыць Лібер «Белсату». – Платформы перадаюць ботам мінімум звестак: унутраны id карыстальніка на платформе, звесткі яго публічнага профілю, у выпадку Viber – выбраную мову. І Viber, і Telegram дазваляюць запытаць тэлефон карыстальніка, на які зарэгістраваны акаўнт, і лакацыю – але з абавязковым пацвярджэннем карыстальніка».
Мэсэнджары цяпер самі шыфруюць перапіску і хаваюць камунікацыю між карыстальнікам і серверам – нельга дыстанцыйна адсачыць, што карыстальнік піша менавіта чат-боту «Голасу», а не іншаму чалавеку. Нумар тэлефона, які пры рэгістрацыі запытвае ў мэсэнджара «Голас», захоўваецца ў зашыфраваным (а дакладней, загэшаваным) выглядзе, таму базы нумароў тэлефонаў не мае нават распрацоўнік, запэўнівае Лібер.
Ён згадвае, што пры стварэнні платформы разглядалі ў якасьці магчымага варыянт не з мэсэнджарамі, а з ўэб-старонкай галасавання. Але тады б давялося высылаць SMS-коды, каб пацвердзіць, што чалавек мае беларускую сім-карту (так хацелі абараніцца ад «накрутак» галасавання з-за мяжы), а для гэтага прыйшлося б або прывязваць да платформы беларускую юрыдычную асобу, або слаць коды з-за мяжы, што каштавала б дорага.
Спецыяліст у інфармацыйнай бяспецы кажа, што давядзецца верыць або не верыць на слова стваральнікам «Голасу» адносна бяспечнага захоўвання базы карыстальнікаў – нейкага незалежнага аўдыту іх сістэмы не публікавалі, а ўвесь праграмны код не выкладвалі ў вольны доступ для праверкі экспертамі.
Ды і сам Павел Лібер заклікае ацэньваць рызыкі ў кожным выпадку, калі вы перадаяце камусьці свае персанальныя звесткі. Але ён схіляецца да таго, што ў лічбавым асяродку больш трэба сцерагчыся махляроў:
«Звычайна зламыснікам патрэбныя вашыя грошы, а не вы самі, у адрозненне ад спецслужбаў, – разважае ён. – А ў спецслужбаў дастаткова спосабаў знайсці вас і без хакерства: камеры назірання і вышкі сотавай сувязі ёсць амаль усюды».
АА belsat.eu