Как сообществам работать безопасно и сообща

Кроме того, есть кросс-платформенная и надежная программа VeraCrypt, которая позволяет шифровать ваши файлы, папки и диски. Но она относительно сложна, и лучше, чтобы ее контролировали дружественные вам спецы и эксперты в сфере IT.

Более простые программы для шифрования — это Picocrypt или доступная в браузере Hat.sh: они позволяют быстро зашифровать именно отдельные файлы.

Но лучший способ защитить ваши данные — это полностью их удалять с «железа». Это стоит делать перед любыми опасными ситуациями, например переходом границы, накануне или после любых акций.

«Единственное, о чем нужно помнить, — после чистки ваше устройство должно выглядеть правдоподобно, — напоминает Ермошина. — Вы чистите все важное, но оставляете книжки, фотографии вашей семьи, что-то должно все равно быть. Иначе будет выглядеть странно, если у вас совсем чистый компьютер».

Но как удалять все нужное, если оно нужно? Тут переходим к пункту два.

Где хранить необходимое для работы

Итак, если в случае опасности (обыск, задержание, досмотр на границе) вы хотите быстро почистить свое устройство, но ничего при этом не потерять, то понятно, что лучше хранить файлы в облаке. К тому же это позволяет наладить совместную работу в сообществе, поскольку данные будут доступны всем членам команды.

Облако — хорошо, но какое?

Пользоваться сервисами от российских разработчиков вроде «Яндекс.Диска» и «Облака» Mail.ru может быть небезопасно. Эксперты Ranking Digital Rights отмечали, что эти компании не предоставляют достаточно информации о своей политике пользовательских данных и о реакции на запросы властей. Кроме того, из российских сервисов в последнее время данные вообще часто утекают.

Приемлемым решением может стать Google-диск, но с ним несколько проблем. Все пользователи Google-сервисов знают, что с началом «специальной военной операции» место в хранилище нельзя оплатить с российских карт.

Кроме того, к аккаунту Google будет привязана ваша электронная почта, а ее потенциально можно взломать. Поэтому лучше вообще избегать объединения личных аккаунтов и тех, которые вы используете для работы. Так что если вы решите в рамках вашего сообщества воспользоваться Google-диском, то стоит завести для него отдельный аккаунт.

Другим выходом может стать облачный сервис Nextcloud — по функционалу он похож на известный Dropbox. Для его работы нужен безопасный сервер, на котором будет размещаться ваше хранилище. Но настройка собственного сервера — дело трудоемкое, а без IT-специалистов вообще малоосуществимое. Поэтому можно обратиться за помощью, например, к «Теплице социальных технологий», которая готова помогать с этим разным НКО.

«Существуют хостинги для Nextcloud, за которыми стоят, например, коллективы европейских активистов, — рассказывает Ксения Ермошина. — За донат или вообще забесплатно они готовы предоставить для коллег пространство для хранения данных».

Как скрыть вашу работу от ненужных глаз

При работе с облаком нужно соблюдать дополнительные меры предосторожности. Интернет-провайдер может видеть, что вы подключаетесь к определенному IP-адресу и загружаете туда крупные файлы. А по «пакету Яровой» провайдеры обязаны хранить данные о вашем трафике и передавать их силовикам по их запросу. Поэтому IP облака можно будет вычислить. А значит, нацелиться на его взлом.

Так что для работы с общими облаками для вашего комьюнити лучше всегда использовать VPN, который позволяет скрыть ваш трафик от провайдера и обеспечить относительную безопасность.

VPN подходит тоже не всякий. «Роскомсвобода» напоминает, что информацию о ваших подключениях видит VPN-провайдер, поэтому к его выбору лучше подходить ответственно. Проект не советует использовать бесплатные сервисы — есть сведения о том, что они продают данные о пользовательском трафике. Хотя, например, у известного и одобренного «Роскомсвободой» сервиса Proton VPN есть бесплатная версия для одного устройства. Но этого мало.

«Люди, которые продолжают работать в России, должны сделать так, чтобы у них был платный VPN. А лучше два, а лучше три, — считает Ксения. — И выходить в интернет для работы в сообществах нужно только под VPN. Сегодня с сервера в Норвегии, завтра во Франции, послезавтра в Германии».

Необходимость иметь несколько VPN связана с тем, что Роскомнадзор «тратит очень много денег» на анализ их структуры и борьбу с ними. Например, протокол WireGuard уже «работает хуже», говорит Ермошина. Сообщения о блокировках VPN в России поступают регулярно.

Чтобы не переживать за блокировку чужих сервисов, можно создать свой собственный VPN. Для этого потребуется чуть больше усилий, чем просто оплатить тариф и скачать клиент, но все та же «Теплица» сделала инструкцию по настройке своего сервера на Outline. Есть и другие варианты.

Есть еще более безопасный способ для серфинга в сети — браузер Tor. Он, как считается, обеспечивает большую анонимность, чем VPN. Принцип работы Tor в том, что он передает ваш трафик в зашифрованном виде и через несколько узлов, то есть его след теряется. Но есть два минуса. Tor довольно медленный. Плюс, например, использовать любые приложения приходится только в их веб-версиях через Tor, иначе трафик не зашифруется. Но веб-версии есть не у всех приложений и не всегда, и это замедляет работу.

Как безопасно общаться в общих чатах и группах

Главное средство кооперации горизонтальных сообществ — это мессенджеры. Но их необдуманное использование тоже небезопасно. Например, Telegram, популярный для коммуникации самоорганизованных объединений, безопасным считать нельзя.

«Когда я звоню в Телеграме, я вижу какие-то эмодзи, которые обещают, что нет никаких людей посредине, перехватывающих наш звонок, — рассказывает Ермошина. — Но исходный код Телеграма не до конца открытый, и я не могу ему доверять на все сто процентов».

Переписка в Telegram не шифруется по умолчанию и хранится на серверах мессенджера. Для личных сообщений можно использовать «секретные» чаты, но для групповых чатов такой функции нет, и все хранится на серверах Telegram. Что там с ними происходит и кому их передают (или не передают), никто не знает. Но известно, например, что Telegram соглашался работать с ФСБ по делам о терроризме. И обещал публиковать отчеты о сотрудничестве с органами раз в полгода. С 2018 года не опубликован ни один.

Чуть лучше обстоят дела в мессенджере Signal, который считается образцом безопасности, и, как ни странно, в WhatsApp: и там, и там сообщения шифруются по умолчанию. Но при этом метаданные (кто, кому и когда писал) хранятся тоже на серверах мессенджеров, а аккаунты привязаны к телефонным номерам.

Поэтому лучше использовать децентрализованные мессенджеры, которые, во-первых, не хранят данные на собственных серверах, во-вторых, не требуют при регистрации номеров ваших мобильных, но позволяют при этом организовать вполне эффективную совместную работу. Ермошина рекомендует Element и Delta Chat: для регистрации в них не нужно ничего, кроме адреса электронной почты. Его, кстати, можно завести на анонимном Proton Mail.

Проблема в том, что Telegram очень популярен в России, и «перетащить» туда всех членов команды может быть сложно. Поэтому несколько советов, как сделать его более безопасным.

Во-первых, скрыть номер телефона для просмотра. Во-вторых, в групповых чатах не пользоваться тем же никнеймом, которым вы пользуетесь в публичных соцсетях. В-третьих, включить двухфакторную аутентификацию. В Telegram для этого вы устанавливаете пароль, который нужно вводить при входе в аккаунт с нового устройства. Так рекомендует сделать даже Минцифры России, и тут с ним сложно не согласиться.

Двухфакторная аутентификация — вообще полезная вещь. Но только не через SMS, потому что они не защищены от вездесущей государственной системы обеспечения оперативно-розыскных мероприятий (СОРМ). А число запросов силовиков в суды на доступ к переписке только растет, как еще в прошлом году писал РБК. Кроме того, появлялись доказательства того, что SMS-коды можно перехватить.

Поэтому для двухфакторной аутентификации лучше использовать приложения вроде Google Authenticator. Его можно привязать к аккаунтам в разных сервисах, и при входе в них аутентификатор будет показывать вам коды, которые нужно вводить после пароля. Такие коды хранятся только на вашем смартфоне, поэтому восстановить их можно исключительно с помощью специальных цифровых комбинаций. Их стоит сохранить в надежном месте, например на бумаге.

Как сделать удобнее общую работу

У горизонтальных сообществ много задач, и для этого есть инструменты, которые сильно облегчают жизнь. Многие из них опять-таки сделала неутомимая «Теплица» (этот текст выглядит как реклама наших коллег, но это не она )).

Например, вам нужно быстро и просто собрать сайт, а на специалистов нет ресурсов. На ум приходит Tilda, но с ней есть проблемы. Платформа жестко выполняет требования Роскомнадзора (по которым блокируют все что угодно) и даже отключает аккаунты. Еще в 2020 году Tilda заявляла, что на ней нельзя делать сайты с «политическим контентом».

Поэтому, возможно, стоит немного разобраться с тем, как запустить сайт на WordPress. А сверстать его при помощи конструктора.

При запуске рассылки для читателей и доноров вас может затянуть в сторону сложных и дорогих сервисов, чьи письма вечно попадают в спам. Но если вам достаточно пока 300 писем в день, то этих проблем можно избежать (с помощью экспертов «Теплицы»).

Нужна карта, на которой пользователи смогут что-то отмечать? Для этого есть плагин. Нужен чат-бот, чтобы работать с целевыми группами или потенциальными участниками сообщества? Решение есть, но чуть более сложное.

А еще Google запустил приличный инструмент для расшифровки аудио (проверено при написании этого материала) и перепечатки текста с pdf и картинок. Нужно только заполнить небольшую анкету, но с той стороны ее, кажется, никто не верифицирует.

Это только малая часть инструментов для тех, кто объединился, чтобы помогать другим и говорить правду. Но все-таки самым значимым риском для работающих в России остается угроза безопасности.

Как вести календарь по лекалам анархистов XIX века

Правильный баланс между безопасностью и эффективностью — одна из проблем самоорганизованных сообществ, рассказывает Ксения Ермошина. Конечно, безопасность важна, но как сообществам обойтись без простых инструментов вроде общих цифровых календарей? А они ведь могут тоже стать источником информации о группах, которой вы не слишком хотите делиться с властями.

Чтобы нивелировать проблемы уязвимости календарей, можно использовать старую методику и шифровать информацию не математически, а используя «код», известный только участникам вашей организации. Например, какую-то встречу можно записать в общем календаре как «стоматолога». По словам Ермошиной, «это практики, которые использовали, например, российские анархисты в XIX веке до появления современных средств криптографии».

Не стоит недооценивать и «человеческий фактор» — например, проверять людей, которых вы допускаете до рискованных сведений. Например, в Беларуси из-за недостаточного внимания в оппозиционном канале по деанонимизации силовиков 10 месяцев работал сотрудник политической полиции. Чтобы этого избежать, не бойтесь задавать вопросы тем, кто интересуется вашими мероприятиями или хочет присоединиться к сообществу. А еще можно воспользоваться инструментами разведки по открытым данным (OSINT) — теми, что в ходу у журналистов-расследователей. Но это тема для отдельного разговора.

Если строить свою стратегию безопасности только вокруг дигитальных инструментов, можно забыть самые элементарные навыки, говорит Ксения Ермошина: «Например, я думаю, я установила себе хороший VPN, Signal, почту на Proton. И всё, теперь я могу свободно обсуждать все наши акции. При этом, когда я работаю в кафе и выхожу в туалет, я оставляю компьютер на столе включенным. А это очевидная угроза».

Поэтому стоит, например, установить видеокамеры в месте встречи членов сообщества, чтобы иметь возможность посмотреть, кто был там до или после вас. Или обзавестись надежной дверью.

Вообще архаичные практики полезны. «В России дверь может вас реально спасти, — советует Ксения. — Например, перевести из уголовки в административку. Или от десяти лет к двум годам. Потому что, если у вас деревянная дверь, у вас минута. А если у вас хорошая стальная дверь, у вас 10–15–20 минут, и за это время вы успеваете очень много».

Понравился материал? Помоги сайту!