Пост-навигация по рубрикам нашего канала:
#ваши_акции – фото, видео, рассказы, идеи ваших антивоенных акций и инициатив.
#голоса_украин_ок – анонимные и неанонимные истории украин_ок о войне.
#голоса_россиян_ок – анонимные и неанонимные истории россиян_ок, выступающих против войны в Украине.
#голоса_нацмен_ок – анонимные и неанонимные истории нацмен_ок о жизни в России и дискриминации.
#листовка – готовые дизайны и шаблоны листовок и стикеров от наших участн_иц.
#женщины_в_чёрном – фото, видео, истории с акций «Женщины в чёрном».
#Мариуполь5000 – фотографии с одноименной акции, в рамках которой россиян_ки устанавливают во дворах и парках самодельные мемориальные кресты в память о погибших жителях Мариуполя.
#фас_ячейка – рассказываем про разные ячейки Феминистского антивоенного сопротивления.
#психологическая_поддержка – материалы и предложения от нашей психологической линии.
#газета – наша антивоенная газета «Женская правда», которую можно печатать и распространять.
#координатор_ки_пишут – истории о работе в антивоенном сопротивлении от первого лица.
#активист_ки_пишут – ваши истории участия в антивоенном сопротивлении.
#безопасность – гайды, чек-листы и инструкции по физической безопасности для активист_ок.
#цифровая_безопасность – гайды, чек-листы и инструкции по кибербезопасности для активист_ок.
#дайджест – воскресная подборка с самыми важными постами за неделю.
#ваши_акции – фото, видео, рассказы, идеи ваших антивоенных акций и инициатив.
#голоса_украин_ок – анонимные и неанонимные истории украин_ок о войне.
#голоса_россиян_ок – анонимные и неанонимные истории россиян_ок, выступающих против войны в Украине.
#голоса_нацмен_ок – анонимные и неанонимные истории нацмен_ок о жизни в России и дискриминации.
#листовка – готовые дизайны и шаблоны листовок и стикеров от наших участн_иц.
#женщины_в_чёрном – фото, видео, истории с акций «Женщины в чёрном».
#Мариуполь5000 – фотографии с одноименной акции, в рамках которой россиян_ки устанавливают во дворах и парках самодельные мемориальные кресты в память о погибших жителях Мариуполя.
#фас_ячейка – рассказываем про разные ячейки Феминистского антивоенного сопротивления.
#психологическая_поддержка – материалы и предложения от нашей психологической линии.
#газета – наша антивоенная газета «Женская правда», которую можно печатать и распространять.
#координатор_ки_пишут – истории о работе в антивоенном сопротивлении от первого лица.
#активист_ки_пишут – ваши истории участия в антивоенном сопротивлении.
#безопасность – гайды, чек-листы и инструкции по физической безопасности для активист_ок.
#цифровая_безопасность – гайды, чек-листы и инструкции по кибербезопасности для активист_ок.
#дайджест – воскресная подборка с самыми важными постами за неделю.
Основы кибербезопасности: какими должны быть пароли?
Если вы занимаетесь активизмом в России, то вам необходимо знать основы кибербезопасности. У государства огромные возможности для слежки за вами: данные сотовых операторов, данные интернет-провайдеров, данные, которые о вас собирают корпорации (на словах, чтобы втюхивать вам рекламу и обеспечивать ваш комфорт, а на деле — ради эффективной слежки за вами). Помимо этого, Россия — коррумпированная страна, где любой желающий может получить доступ к информации о вас за скромную сумму. Вспомните слив из «Яндекс.Еды» — по сути это бесплатная база актуальных адресов россиян.
Пароли — это первая линия защиты ваших данных. Вот какими они должны быть и где их стоит и не стоит хранить.
📌Пароль должен быть уникальным
Сливы паролей происходят регулярно и в огромных масштабах: например, год назад произошла утечка 8,4 млрд паролей, а до этого — утечка 3,2 млрд паролей. Если вы используете один или несколько паролей для всех аккаунтов, ваши пароли наверняка есть в этих базах. Вот, например, фантастическая история про программиста, который отвечает за наведение российских ракет по целям в Украине, а в свободное от убийств мирных украинцев время чатится с секс-работницами. Журналисты нашли его слитый пароль, зашли в аккаунт и наскринили кринжа!
📌Пароль должен быть сложным
Состоящим из заглавных и строчных букв, цифр и специальных знаков. Длиной пароль должен быть не менее 12 символов. Чем длиннее пароль, чем вам самим сложнее его запомнить — тем лучше.
📌Пароли не нужно запоминать
Их нужно записывать в менеджер паролей, а в голове держать только один пароль — от вашего хранилища. Менеджеры паролей бывают локальные (хранят ваши данные у вас на устройстве, для работы не нужен интернет) и облачные (хранят ваши данные на сервере компании, есть автоматическая синхронизация между вашими устройствами). Первые считаются более безопасными, а вторые — более удобными для неопытного юзера. Из локальных менеджеров паролей специалисты рекомендуют KeePassXC, а из облачных — Bitwarden.
📌Пароли нельзя хранить в браузере
Вы живете в стране, где в любой момент времени к вам могут ворваться неприятные мужчины в форме и украсть у вас все ваши устройства. Добраться до сохраненных в вашем браузере паролей для них — дело двух кликов (да, даже если само ваше устройство запаролено). Отключите функцию автосохранения паролей и удалите все сохраненные пароли из браузера (перенесите их в менеджер паролей).
📌Будьте умнее ГРУшников
…И заботьтесь о своей анонимности. Если вы не хотите, чтобы вашу деятельность в интернете связали с вашей реальной личностью, то не используйте в паролях никаких идентифицирующих данных. Пароль IvanovaMasha1986! — плохой, несмотря на соответствие формальным критериям, потому что сразу сообщает всю информацию о владельце аккаунта. Вот, например, материал про бразильского шпиона из ГРУ, чью настоящую личность журналисты вычислили благодаря тому, что этот гений шпионажа использовал свою настоящую фамилию в качестве пароля (и этот пароль слили).
Подробнее про пароли можно прочитать тут.
#цифровая_безопасность
Если вы занимаетесь активизмом в России, то вам необходимо знать основы кибербезопасности. У государства огромные возможности для слежки за вами: данные сотовых операторов, данные интернет-провайдеров, данные, которые о вас собирают корпорации (на словах, чтобы втюхивать вам рекламу и обеспечивать ваш комфорт, а на деле — ради эффективной слежки за вами). Помимо этого, Россия — коррумпированная страна, где любой желающий может получить доступ к информации о вас за скромную сумму. Вспомните слив из «Яндекс.Еды» — по сути это бесплатная база актуальных адресов россиян.
Пароли — это первая линия защиты ваших данных. Вот какими они должны быть и где их стоит и не стоит хранить.
📌Пароль должен быть уникальным
Сливы паролей происходят регулярно и в огромных масштабах: например, год назад произошла утечка 8,4 млрд паролей, а до этого — утечка 3,2 млрд паролей. Если вы используете один или несколько паролей для всех аккаунтов, ваши пароли наверняка есть в этих базах. Вот, например, фантастическая история про программиста, который отвечает за наведение российских ракет по целям в Украине, а в свободное от убийств мирных украинцев время чатится с секс-работницами. Журналисты нашли его слитый пароль, зашли в аккаунт и наскринили кринжа!
📌Пароль должен быть сложным
Состоящим из заглавных и строчных букв, цифр и специальных знаков. Длиной пароль должен быть не менее 12 символов. Чем длиннее пароль, чем вам самим сложнее его запомнить — тем лучше.
📌Пароли не нужно запоминать
Их нужно записывать в менеджер паролей, а в голове держать только один пароль — от вашего хранилища. Менеджеры паролей бывают локальные (хранят ваши данные у вас на устройстве, для работы не нужен интернет) и облачные (хранят ваши данные на сервере компании, есть автоматическая синхронизация между вашими устройствами). Первые считаются более безопасными, а вторые — более удобными для неопытного юзера. Из локальных менеджеров паролей специалисты рекомендуют KeePassXC, а из облачных — Bitwarden.
📌Пароли нельзя хранить в браузере
Вы живете в стране, где в любой момент времени к вам могут ворваться неприятные мужчины в форме и украсть у вас все ваши устройства. Добраться до сохраненных в вашем браузере паролей для них — дело двух кликов (да, даже если само ваше устройство запаролено). Отключите функцию автосохранения паролей и удалите все сохраненные пароли из браузера (перенесите их в менеджер паролей).
📌Будьте умнее ГРУшников
…И заботьтесь о своей анонимности. Если вы не хотите, чтобы вашу деятельность в интернете связали с вашей реальной личностью, то не используйте в паролях никаких идентифицирующих данных. Пароль IvanovaMasha1986! — плохой, несмотря на соответствие формальным критериям, потому что сразу сообщает всю информацию о владельце аккаунта. Вот, например, материал про бразильского шпиона из ГРУ, чью настоящую личность журналисты вычислили благодаря тому, что этот гений шпионажа использовал свою настоящую фамилию в качестве пароля (и этот пароль слили).
Подробнее про пароли можно прочитать тут.
#цифровая_безопасность
Двухфакторная аутентификация: что это и с чем её едят
Двухфакторная аутентификация или 2FA — это такой метод идентификации пользователя для входа в сервис, при котором пользователю нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта.
2FA защитит вас в случае, если ваш пароль попал в руки к недоброжелателям. Если недоброжелатель попробует войти в ваш аккаунт с вашим паролем, то мессенджер попросит его ввести одноразовый код. Чаще всего, этот код присылается по SMS. Таким образом, если у недоброжелателя нету доступа к вашему телефону, то он не сможет войти в ваш аккаунт, даже если знает пароль.
2FA — это обязательный элемент защиты ваших аккаунтов, включайте её везде, где это возможно. Однако помните, что жизнь в мрачной автократии накладывает свои коррективы, поэтому вот что важно иметь в виду:
📌SMS — ненадежный способ связи
Данные сотовой связи легко перехватываются, а ещё силовики имеют к ним доступ согласно «закону Яровой». Поэтому 2FA через SMS — это защита от примитивного мошенничества, но вообще не защита от полиции.
📌Симсваппинг
Помните, что российские менты могут вас арестовать в любой момент по надуманному поводу и отобрать у вас телефон. И пока вы будете сидеть в ИВС, полицейские переставят вашу SIM-карту в другое устройство и будут радостно хлопать в ладоши, получая одноразовые коды от ваших аккаунтов. Защититься от этого можно, установив PIN-код на SIM-карту.
📌Дубликат SIM-карты
PIN-код на SIM-карту — это отличная защита в случае, например, ареста после митинга, когда задержанных много, и копаться в лично вашем телефоне у полицейских нет желания. Но если лично ваш телефон их сильно интересует, то за скромную взятку сотруднику салона сотовой связи любой желающий может получить дубликат вашей SIM-карты. И, как следствие, беспрепятственный доступ ко всем вашим аккаунтам.
📌И что делать?
Все вышесказанное — совершенно не повод бежать отключать 2FA. Однако стоит в качестве «второго фактора» выбрать код из приложения, а не из SMS. Существуют специальные приложения, которые генерируют одноразовые коды для 2FA. Вы привязываете к этому приложению аккаунт, а когда надо залогиниться, то открываете его, в приложении генерируется код и его вы используете для входа. Просто, быстро, безопасно. Примеры таких приложений — Google Authenticator или Authy. Установите его, и ваш уровень защиты от неприятностей в мрачной автократии значительно вырастет.
#цифровая_безопасность
Двухфакторная аутентификация или 2FA — это такой метод идентификации пользователя для входа в сервис, при котором пользователю нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта.
2FA защитит вас в случае, если ваш пароль попал в руки к недоброжелателям. Если недоброжелатель попробует войти в ваш аккаунт с вашим паролем, то мессенджер попросит его ввести одноразовый код. Чаще всего, этот код присылается по SMS. Таким образом, если у недоброжелателя нету доступа к вашему телефону, то он не сможет войти в ваш аккаунт, даже если знает пароль.
2FA — это обязательный элемент защиты ваших аккаунтов, включайте её везде, где это возможно. Однако помните, что жизнь в мрачной автократии накладывает свои коррективы, поэтому вот что важно иметь в виду:
📌SMS — ненадежный способ связи
Данные сотовой связи легко перехватываются, а ещё силовики имеют к ним доступ согласно «закону Яровой». Поэтому 2FA через SMS — это защита от примитивного мошенничества, но вообще не защита от полиции.
📌Симсваппинг
Помните, что российские менты могут вас арестовать в любой момент по надуманному поводу и отобрать у вас телефон. И пока вы будете сидеть в ИВС, полицейские переставят вашу SIM-карту в другое устройство и будут радостно хлопать в ладоши, получая одноразовые коды от ваших аккаунтов. Защититься от этого можно, установив PIN-код на SIM-карту.
📌Дубликат SIM-карты
PIN-код на SIM-карту — это отличная защита в случае, например, ареста после митинга, когда задержанных много, и копаться в лично вашем телефоне у полицейских нет желания. Но если лично ваш телефон их сильно интересует, то за скромную взятку сотруднику салона сотовой связи любой желающий может получить дубликат вашей SIM-карты. И, как следствие, беспрепятственный доступ ко всем вашим аккаунтам.
📌И что делать?
Все вышесказанное — совершенно не повод бежать отключать 2FA. Однако стоит в качестве «второго фактора» выбрать код из приложения, а не из SMS. Существуют специальные приложения, которые генерируют одноразовые коды для 2FA. Вы привязываете к этому приложению аккаунт, а когда надо залогиниться, то открываете его, в приложении генерируется код и его вы используете для входа. Просто, быстро, безопасно. Примеры таких приложений — Google Authenticator или Authy. Установите его, и ваш уровень защиты от неприятностей в мрачной автократии значительно вырастет.
#цифровая_безопасность
Двухфакторная аутентификация: что еще важно знать
В прошлом посте мы рассказали, как работает двухфакторная аутентификация. Сегодня попробуем разобраться, как этот процесс устроен в различных мессенджерах.
📌 Telegram
Как настроить?
Конфиденциальность > Включить двухэтапную аутентификацию
Важно: 2FA в Telegram устроена таким образом, что если атакующий имеет доступ к коду из SMS, но при этом не знает пароль от аккаунта, то он сможет угнать ваш аккаунт, но не получит доступ к переписке. При попытке входа Telegram сначала отправит код на другие ваши устройства, если они недоступны, то отправит одноразовый код через SMS. Дальше спросит у атакующего пароль, и в случае, если атакующий его не знает, то Telegram отправит вам на электронную почту код сброса пароля. Если и к почте у атакующего нету доступа, то Telegram предложит ему либо всё-таки вспомнить пароль, либо сбросить аккаунт. На практике это означает, что атакующий сможет войти в ваш аккаунт и писать сообщения от вашего имени, но при этом не получит доступ к истории переписок. Вашим собеседникам при этом придет уведомление будто бы вы только что зарегистрировались в Telegram, а ваш аккаунт в общих чатах будет отражаться как удалённый.
📌 Signal
Как настроить?
В Signal двухфакторная аутентификация называется PIN-кодом. Вам нужно будет кликнуть на фото профиля > зайти в настройки > выбрать Учётная запись > Установить PIN-код. После установки PIN-кода обязательно нужно включить «Блокировка регистрации» — это и есть двухэтапная аутентификация.
В противном случае, вас может ожидать та же проблема, что и с Telegram: злоумышленник сможет угнать ваш аккаунт и переписываться от вашего имени, хоть он и не получит доступа к переписке.
📌 WhatsApp
Как настроить?
Настройки > Аккаунт > Двухшаговая проверка
После этого WhatsApp предложит вам ввести и повторить 6-значный PIN-код. По желанию, введите e-mail для сброса PIN-кода. Следует использовать только защищенную почту, на которой также настроена двухфакторная аутентификация. Вы можете пропустить добавление почты, но тогда не сможете восстановить доступ к своей учетной записи в случае, если забудете PIN-код.
#цифровая_безопасность
В прошлом посте мы рассказали, как работает двухфакторная аутентификация. Сегодня попробуем разобраться, как этот процесс устроен в различных мессенджерах.
📌 Telegram
Как настроить?
Конфиденциальность > Включить двухэтапную аутентификацию
Важно: 2FA в Telegram устроена таким образом, что если атакующий имеет доступ к коду из SMS, но при этом не знает пароль от аккаунта, то он сможет угнать ваш аккаунт, но не получит доступ к переписке. При попытке входа Telegram сначала отправит код на другие ваши устройства, если они недоступны, то отправит одноразовый код через SMS. Дальше спросит у атакующего пароль, и в случае, если атакующий его не знает, то Telegram отправит вам на электронную почту код сброса пароля. Если и к почте у атакующего нету доступа, то Telegram предложит ему либо всё-таки вспомнить пароль, либо сбросить аккаунт. На практике это означает, что атакующий сможет войти в ваш аккаунт и писать сообщения от вашего имени, но при этом не получит доступ к истории переписок. Вашим собеседникам при этом придет уведомление будто бы вы только что зарегистрировались в Telegram, а ваш аккаунт в общих чатах будет отражаться как удалённый.
📌 Signal
Как настроить?
В Signal двухфакторная аутентификация называется PIN-кодом. Вам нужно будет кликнуть на фото профиля > зайти в настройки > выбрать Учётная запись > Установить PIN-код. После установки PIN-кода обязательно нужно включить «Блокировка регистрации» — это и есть двухэтапная аутентификация.
В противном случае, вас может ожидать та же проблема, что и с Telegram: злоумышленник сможет угнать ваш аккаунт и переписываться от вашего имени, хоть он и не получит доступа к переписке.
Как настроить?
Настройки > Аккаунт > Двухшаговая проверка
После этого WhatsApp предложит вам ввести и повторить 6-значный PIN-код. По желанию, введите e-mail для сброса PIN-кода. Следует использовать только защищенную почту, на которой также настроена двухфакторная аутентификация. Вы можете пропустить добавление почты, но тогда не сможете восстановить доступ к своей учетной записи в случае, если забудете PIN-код.
#цифровая_безопасность
Безопасность в Telegram
Вопреки распространённому мнению, Telegram не является ни анонимным, ни безопасным мессенджером: например, беларусское издание «Наша Нiва» описывает 20 способов деанона пользователей Telegram. Ни один из этих способов не включает в себя передачу ваших данных ментам лично Пашей Дуровым, поэтому восклицать «Да толку от ваших мер, всё равно нас всех давно читают!» нет никакого смысла. Но, как видите, ментам и не особо-то нужна помощь Дурова.
Итак, как силовики деанонят Telegram-юзеров и как от этого защититься?
📌 Строго обязательно: настройки приватности
Выставите максимальные настройки приватности: в разделе настроек «Приватность и безопасность» запретите всем видеть ваш номер телефона и находить вас по нему. Запретите отображение вашего аккаунта в пересланных сообщениях. Закройте доступ к фотографиям вашего профиля или вовсе удалите их. Запретите всем видеть, когда вы последний раз были в сети.
Все вышеперечисленное — это самые базовые меры, которые должен использовать каждый. Если вы пренебрегаете хотя бы одним из этих пунктов, то сдеанонить вас — буквально дело пары кликов. Помните: ваш номер телефона равносилен паспорту, а одной фотографии силовикам достаточно, чтобы узнать про вас всё.
📌 База Telegram-юзеров
Если вы прочитали пункт выше и побежали менять настройки приватности аккаунта, то вы — большой молодец. Но, к сожалению, от деанона вас это может не спасти. Вероятность того, что силовики создали свою базу пользователей Telegram крайне велика.
Работает это так: у силовых структур есть доступ к полной базе телефонных номеров. Каждый аккаунт в Telegram привязан к номеру телефона и имеет уникальный идентификационный номер — Telegram ID. Силовики берут базу номеров телефона и последовательно добавляют в контакты, чтобы проверить, есть ли юзер с таким номером в Telegram и таким образом формируют базу номер телефона — Telegram ID. Эта база еще и самообновляющаяся: если номер телефона переходит к новому владельцу и он заново регистрируется в Telegram, то всем его контактам приходит всем знакомое уведомление «Username присоединился к Telegram!», которое невозможно отключить.
Известно, что в Беларуси силовики составляли такую базу с 2019 года, еще до всяких протестов, когда большинство людей забивало на свою безопасность. Мы не знаем, сделали ли такую базу российские силовики, но логично предположить, что у наших эшников с беларусским ГУБОПиКом происходит зловещий нетворкинг и прочий обмен худшими практиками.
Иными словами, у силовиков, скорее всего, уже есть довольно полная база российских Telegram-юзеров. Если вы забивали на свою безопасность раньше, то с высокой долей вероятности вы уже есть в этой базе.
📌 Номер телефона
Чтобы обезопасить себя, зарегистрируйте новый аккаунт на зарубежный номер телефона (или хотя бы на анонимный российский, но риски, связанные с этим, мы описывали в этом посте). Зарегистрируйте именно новый аккаунт (да-да, не меняйте номер с российского на зарубежный в профиле, я смотрю на тебя, эмигрант), потому что в противном случае ваш Telegram ID в связке с российским номером всё еще будет в базе. Зарубежный номер можно достать через друзей за границей или купить одноразовый номер на специальных агрегаторах. Загуглите «виртуальный номер для приема смс». Стоит дешево, оплачивать лучше нероссийской картой или криптовалютой, в идеале Monero.
📌 Анонимность — это процесс, а не набор настроек
Всё вышеперечисленное — это отличные меры, которые всем однозначно стоит соблюдать. Они действительно могут вас спасти! Но сдеанонить человека иногда можно по косвенным данным: например, вы используете в своем анонимном аккаунте тот же ник, что и в своём неанонимном твиттере. Или вы сидите в своём домовом чате — согласитесь, это уже сильно сужает круг подозреваемых. Вы упомянули в своих анонимных соцсетях своего неанонимного партнёра? По биллингам партнёра легко вычислить, с кем он проводит много времени. Поэтому перед тем, как что-то писать в соцсети, старайтесь взвешивать риски и оценивать, не компрометирует ли вашу анонимность та или иная информация.
#цифровая_безопасность
Вопреки распространённому мнению, Telegram не является ни анонимным, ни безопасным мессенджером: например, беларусское издание «Наша Нiва» описывает 20 способов деанона пользователей Telegram. Ни один из этих способов не включает в себя передачу ваших данных ментам лично Пашей Дуровым, поэтому восклицать «Да толку от ваших мер, всё равно нас всех давно читают!» нет никакого смысла. Но, как видите, ментам и не особо-то нужна помощь Дурова.
Итак, как силовики деанонят Telegram-юзеров и как от этого защититься?
📌 Строго обязательно: настройки приватности
Выставите максимальные настройки приватности: в разделе настроек «Приватность и безопасность» запретите всем видеть ваш номер телефона и находить вас по нему. Запретите отображение вашего аккаунта в пересланных сообщениях. Закройте доступ к фотографиям вашего профиля или вовсе удалите их. Запретите всем видеть, когда вы последний раз были в сети.
Все вышеперечисленное — это самые базовые меры, которые должен использовать каждый. Если вы пренебрегаете хотя бы одним из этих пунктов, то сдеанонить вас — буквально дело пары кликов. Помните: ваш номер телефона равносилен паспорту, а одной фотографии силовикам достаточно, чтобы узнать про вас всё.
📌 База Telegram-юзеров
Если вы прочитали пункт выше и побежали менять настройки приватности аккаунта, то вы — большой молодец. Но, к сожалению, от деанона вас это может не спасти. Вероятность того, что силовики создали свою базу пользователей Telegram крайне велика.
Работает это так: у силовых структур есть доступ к полной базе телефонных номеров. Каждый аккаунт в Telegram привязан к номеру телефона и имеет уникальный идентификационный номер — Telegram ID. Силовики берут базу номеров телефона и последовательно добавляют в контакты, чтобы проверить, есть ли юзер с таким номером в Telegram и таким образом формируют базу номер телефона — Telegram ID. Эта база еще и самообновляющаяся: если номер телефона переходит к новому владельцу и он заново регистрируется в Telegram, то всем его контактам приходит всем знакомое уведомление «Username присоединился к Telegram!», которое невозможно отключить.
Известно, что в Беларуси силовики составляли такую базу с 2019 года, еще до всяких протестов, когда большинство людей забивало на свою безопасность. Мы не знаем, сделали ли такую базу российские силовики, но логично предположить, что у наших эшников с беларусским ГУБОПиКом происходит зловещий нетворкинг и прочий обмен худшими практиками.
Иными словами, у силовиков, скорее всего, уже есть довольно полная база российских Telegram-юзеров. Если вы забивали на свою безопасность раньше, то с высокой долей вероятности вы уже есть в этой базе.
📌 Номер телефона
Чтобы обезопасить себя, зарегистрируйте новый аккаунт на зарубежный номер телефона (или хотя бы на анонимный российский, но риски, связанные с этим, мы описывали в этом посте). Зарегистрируйте именно новый аккаунт (да-да, не меняйте номер с российского на зарубежный в профиле, я смотрю на тебя, эмигрант), потому что в противном случае ваш Telegram ID в связке с российским номером всё еще будет в базе. Зарубежный номер можно достать через друзей за границей или купить одноразовый номер на специальных агрегаторах. Загуглите «виртуальный номер для приема смс». Стоит дешево, оплачивать лучше нероссийской картой или криптовалютой, в идеале Monero.
📌 Анонимность — это процесс, а не набор настроек
Всё вышеперечисленное — это отличные меры, которые всем однозначно стоит соблюдать. Они действительно могут вас спасти! Но сдеанонить человека иногда можно по косвенным данным: например, вы используете в своем анонимном аккаунте тот же ник, что и в своём неанонимном твиттере. Или вы сидите в своём домовом чате — согласитесь, это уже сильно сужает круг подозреваемых. Вы упомянули в своих анонимных соцсетях своего неанонимного партнёра? По биллингам партнёра легко вычислить, с кем он проводит много времени. Поэтому перед тем, как что-то писать в соцсети, старайтесь взвешивать риски и оценивать, не компрометирует ли вашу анонимность та или иная информация.
#цифровая_безопасность
Не храните данные
Все мы храним огромное количество данных в своих телефонах: фотографии, видео, переписки в мессенджерах, базы контактов. Зачастую мы храним какие-то данные без конкретной цели, исключительно по привычке, в надежде, что когда-нибудь это обязательно пригодится — но на практике забываем о том, что сохранили, на следующий же день. При этом важно понимать, что в России в любой момент вас могут арестовать или прийти с обыском, и в этом случае ваша болтовня про политику в личной переписке с другом или фотки с митинга могут лечь в материалы уголовного дела и грозить вам реальным сроком. Поэтому мы просим вас: не храните данные. Авторка этого поста перед публикацией удалила с телефона 550 скриншотов и 30 гигов кэша в Telegram, и ничем из этого ни разу не воспользовалась до удаления. Вас я призываю сделать то же самое.
В этом посте я расскажу вам, как функционал мессенджеров позволит вам не хранить на своих устройствах ничего лишнего и таким образом защитить себя в случае неожиданного ареста или обыска.
📌 Кэш
Telegram автоматически сохраняет все файлы на ваше устройство. Это делает работу приложения быстрее. И это очень, очень опасно: все эти данные с вашего устройства может извлечь недоброжелатель в случае, если устройство окажется у него. Поэтому настройте автоудаление кэша. Для этого зайдите в «Настройки» -> «Данные и память» и в разделе «Хранить медиа» выставьте ползунок на минимум. В разделе «Память устройства» нажмите «Очистить кэш».
То же самое нужно сделать с WhatsApp, если вы им пользуетесь. Зайдите в «Настройки» -> «Данные и хранилище» и отключите автозагрузку медиа для всех типов связи и файлов. В разделе «Управление хранилищем» очистите кэш.
📌 Переписки
Ненужные переписки тоже лучше не хранить. И, чтобы каждый раз не заниматься ручным удалением чатов, где может быть состав уголовного дела (наверняка ещё что-то забудете!), лучше включите автоудаление по таймеру. Раньше эта функция была доступна только в секретных чатах, но недавно Telegram выпустил обновление, в котором она стала доступна для всех чатов. Включить автоудаление можно в каждом отдельном чате: для этого нажмите на верхнюю плашку в нужном чате, потом на три точки сверху справа и выберите функцию «Автоудаление». Либо же настройте автоудаление для всех чатов разом: для этого зайдите в «Настройки» -> «Конфиденциальность» -> «Автоудаление сообщений». Для отдельных чатов автоудаление можно будет отключить.
Также схожий функционал есть у Signal: для автоудаления всех чатов зайдите в «Настройки» -> «Конфиденциальность» -> «Исчезающие сообщения» и выставьте подходящий вам таймер. Вы также можете включить автоудаление для отдельных чатов: для этого кликните на верхнюю плашку в чате и настройте «Исчезающие сообщения».
Я очень рекомендую воспользоваться этим функционалом небольшим активистским группам и ячейкам ФАС в России. Вам не нужно и не стоит хранить в чатах весь архив своей деятельности, потому что полезно это бывает очень редко, но создаёт серьезные дополнительные риски. Представьте себе ситуацию: одну из ваших активисток ловит полиция за, например, распространением агитации, забирает телефон, а там чат с архивом десятка акций и всеми организаторами. Это состав уголовного дела, которого можно избежать, перестав хранить данные.
#цифровая_безопасность
Все мы храним огромное количество данных в своих телефонах: фотографии, видео, переписки в мессенджерах, базы контактов. Зачастую мы храним какие-то данные без конкретной цели, исключительно по привычке, в надежде, что когда-нибудь это обязательно пригодится — но на практике забываем о том, что сохранили, на следующий же день. При этом важно понимать, что в России в любой момент вас могут арестовать или прийти с обыском, и в этом случае ваша болтовня про политику в личной переписке с другом или фотки с митинга могут лечь в материалы уголовного дела и грозить вам реальным сроком. Поэтому мы просим вас: не храните данные. Авторка этого поста перед публикацией удалила с телефона 550 скриншотов и 30 гигов кэша в Telegram, и ничем из этого ни разу не воспользовалась до удаления. Вас я призываю сделать то же самое.
В этом посте я расскажу вам, как функционал мессенджеров позволит вам не хранить на своих устройствах ничего лишнего и таким образом защитить себя в случае неожиданного ареста или обыска.
📌 Кэш
Telegram автоматически сохраняет все файлы на ваше устройство. Это делает работу приложения быстрее. И это очень, очень опасно: все эти данные с вашего устройства может извлечь недоброжелатель в случае, если устройство окажется у него. Поэтому настройте автоудаление кэша. Для этого зайдите в «Настройки» -> «Данные и память» и в разделе «Хранить медиа» выставьте ползунок на минимум. В разделе «Память устройства» нажмите «Очистить кэш».
То же самое нужно сделать с WhatsApp, если вы им пользуетесь. Зайдите в «Настройки» -> «Данные и хранилище» и отключите автозагрузку медиа для всех типов связи и файлов. В разделе «Управление хранилищем» очистите кэш.
📌 Переписки
Ненужные переписки тоже лучше не хранить. И, чтобы каждый раз не заниматься ручным удалением чатов, где может быть состав уголовного дела (наверняка ещё что-то забудете!), лучше включите автоудаление по таймеру. Раньше эта функция была доступна только в секретных чатах, но недавно Telegram выпустил обновление, в котором она стала доступна для всех чатов. Включить автоудаление можно в каждом отдельном чате: для этого нажмите на верхнюю плашку в нужном чате, потом на три точки сверху справа и выберите функцию «Автоудаление». Либо же настройте автоудаление для всех чатов разом: для этого зайдите в «Настройки» -> «Конфиденциальность» -> «Автоудаление сообщений». Для отдельных чатов автоудаление можно будет отключить.
Также схожий функционал есть у Signal: для автоудаления всех чатов зайдите в «Настройки» -> «Конфиденциальность» -> «Исчезающие сообщения» и выставьте подходящий вам таймер. Вы также можете включить автоудаление для отдельных чатов: для этого кликните на верхнюю плашку в чате и настройте «Исчезающие сообщения».
Я очень рекомендую воспользоваться этим функционалом небольшим активистским группам и ячейкам ФАС в России. Вам не нужно и не стоит хранить в чатах весь архив своей деятельности, потому что полезно это бывает очень редко, но создаёт серьезные дополнительные риски. Представьте себе ситуацию: одну из ваших активисток ловит полиция за, например, распространением агитации, забирает телефон, а там чат с архивом десятка акций и всеми организаторами. Это состав уголовного дела, которого можно избежать, перестав хранить данные.
#цифровая_безопасность
Кибербезопасность: самые частые ошибки активисто_к
28 января отмечается День защиты персональных данных. Из-за постоянных утечек и сотрудничества российских компаний с силовиками возникает серьёзная угроза безопасности — особенно для активисто_к. В карточках рассказываем о самых распространнёных ошибках, которые совершают активист_ки.
Подборка наших материалов о кибербезопасности:
🔐 Основы кибербезопасности: какими должны быть пароли
🔐 Двухфакторная аутентификация: что это и с чем её едят
🔐 Двухфакторная аутентификация: что ещё важно знать
🔐 Безопасность в Telegram
🔐 Не храните данные
🔐 О метаданных
#цифровая_безопасность
28 января отмечается День защиты персональных данных. Из-за постоянных утечек и сотрудничества российских компаний с силовиками возникает серьёзная угроза безопасности — особенно для активисто_к. В карточках рассказываем о самых распространнёных ошибках, которые совершают активист_ки.
Подборка наших материалов о кибербезопасности:
🔐 Основы кибербезопасности: какими должны быть пароли
🔐 Двухфакторная аутентификация: что это и с чем её едят
🔐 Двухфакторная аутентификация: что ещё важно знать
🔐 Безопасность в Telegram
🔐 Не храните данные
🔐 О метаданных
#цифровая_безопасность
Почему вам нужно переносить общение в Element как можно скорее?
Element — это одновременно и мессенджер, и приложение для совместной работы. Он работает на Matrix, открытом децентрализованном протоколе, а значит ваши сообщения не хранятся в одном месте, принадлежащем какой-то одной компании. Кроме того, вы можете даже настроить свой собственный сервер и хранить все на нём.
Вот главное, что следует о нём знать:
1. Element может использоваться на любом устройстве, или вообще в веб-версии.
2. Для регистрации вам не нужен номер телефона: просто создайте имя пользователя, добавьте к нему учетную запись электронной почты (заведите отдельную, лучше всего на Proton!) и можно пользоваться. Также приложение защищает вас от нежелательной рекламы и коммерческого сбора данных.
3. Благодаря сквозному шифрованию и перекрестной проверке устройств, Element защищает все ваши данные, видео- и голосовую связь .
4. Element поддерживает групповые чаты, голосовую связь, видеозвонки, совместное использование файлов и экрана. Кроме того, в Element обмениваться сообщениями можно и с другими мессенджерами, например, Telegram, Discord, Slack и WhatsApp.
🚩Чтобы начать осваивать Element можно присоединиться к нашему чату-болталке. Приходите туда обсуждать бредовые законопроекты, кидать мемы, а ещё делиться вашими чувствами и переживаниями с единомышлени_цами.
Устанавливайте Element и проходите по ссылке. Добро пожаловать!
Важно! При регистрации в почтовом сервисе и мессенджере не указывайте свои реальные имя и фамилию и выбирайте ник, который не используете в других соцсетях.
#цифровая_безопасность
Element — это одновременно и мессенджер, и приложение для совместной работы. Он работает на Matrix, открытом децентрализованном протоколе, а значит ваши сообщения не хранятся в одном месте, принадлежащем какой-то одной компании. Кроме того, вы можете даже настроить свой собственный сервер и хранить все на нём.
Вот главное, что следует о нём знать:
1. Element может использоваться на любом устройстве, или вообще в веб-версии.
2. Для регистрации вам не нужен номер телефона: просто создайте имя пользователя, добавьте к нему учетную запись электронной почты (заведите отдельную, лучше всего на Proton!) и можно пользоваться. Также приложение защищает вас от нежелательной рекламы и коммерческого сбора данных.
3. Благодаря сквозному шифрованию и перекрестной проверке устройств, Element защищает все ваши данные, видео- и голосовую связь .
4. Element поддерживает групповые чаты, голосовую связь, видеозвонки, совместное использование файлов и экрана. Кроме того, в Element обмениваться сообщениями можно и с другими мессенджерами, например, Telegram, Discord, Slack и WhatsApp.
🚩Чтобы начать осваивать Element можно присоединиться к нашему чату-болталке. Приходите туда обсуждать бредовые законопроекты, кидать мемы, а ещё делиться вашими чувствами и переживаниями с единомышлени_цами.
Устанавливайте Element и проходите по ссылке. Добро пожаловать!
Важно! При регистрации в почтовом сервисе и мессенджере не указывайте свои реальные имя и фамилию и выбирайте ник, который не используете в других соцсетях.
#цифровая_безопасность
Как хранить пароли
Пароли должны быть сложными, уникальными и регулярно меняться. Чтобы удобно и безопасно их хранить существуют специальные программы — менеджеры паролей. Они бывают локальные и облачные.
Облачным хранилищам лучше не доверять, так как нет 100% уверенности, что на сторонних серверах не произойдет утечка, или что пароли действительно хранятся в зашифрованном виде и не будут выданы по запросу силовиков.
Локальные менеджеры паролей — работают полностью оффлайн, интернет им нужен только для того, чтобы один раз скачать программу на устройство и позднее регулярно обновляться. Они работают автономно, а пароли ни с чем не синхронизируются, если не сделать этого вручную.
Пожалуй, лучшее решение здесь — KeePass, либо более универсальный, подходящий почти для всех операционных систем KeePassXC. Они хранят пароли в зашифрованном виде и регулярно обновляются. Подробнее про функционал и самые частые вопросы можно почитать здесь и здесь. Пошаговые инструкции здесь и здесь.
Мастер пароль — самый главный пароль от программы, который нужно запомнить. После его ввода откроется база данных, где хранятся остальные пароли, которые уже не нужно запоминать из-за их сложности. Перечисленные программы также позволяют создавать файл-ключи для открытия зашифрованного блокнота со всеми паролями! И работает это только в паре: Самый Главный Пароль + файл-ключ в дополнение. Потеряли файл-ключ — потеряли доступ ко всем паролям.
Файл-ключ, который вы можете сгенерировать с помощью программы, можно хранить и на внешнем накопителе. Например, на малюсенькой MicroSD-флешке. И в случае, если к вам приходят нежданные гости, такую маленькую флешку с ключом можно случайно потерять в канализации. Тогда до паролей будет невозможно добраться физически. Даже вам самим, если не сделали копию (бэкап) в очень безопасном месте.
Если сначала создаёте файл-ключ/базу паролей на компьютере, а потом переносите его/её на внешнюю флешку, не забудьте удалить файл с компьютера так, чтобы его было невозможно восстановить.
#цифровая_безопасность
Пароли должны быть сложными, уникальными и регулярно меняться. Чтобы удобно и безопасно их хранить существуют специальные программы — менеджеры паролей. Они бывают локальные и облачные.
Облачным хранилищам лучше не доверять, так как нет 100% уверенности, что на сторонних серверах не произойдет утечка, или что пароли действительно хранятся в зашифрованном виде и не будут выданы по запросу силовиков.
Локальные менеджеры паролей — работают полностью оффлайн, интернет им нужен только для того, чтобы один раз скачать программу на устройство и позднее регулярно обновляться. Они работают автономно, а пароли ни с чем не синхронизируются, если не сделать этого вручную.
Пожалуй, лучшее решение здесь — KeePass, либо более универсальный, подходящий почти для всех операционных систем KeePassXC. Они хранят пароли в зашифрованном виде и регулярно обновляются. Подробнее про функционал и самые частые вопросы можно почитать здесь и здесь. Пошаговые инструкции здесь и здесь.
Мастер пароль — самый главный пароль от программы, который нужно запомнить. После его ввода откроется база данных, где хранятся остальные пароли, которые уже не нужно запоминать из-за их сложности. Перечисленные программы также позволяют создавать файл-ключи для открытия зашифрованного блокнота со всеми паролями! И работает это только в паре: Самый Главный Пароль + файл-ключ в дополнение. Потеряли файл-ключ — потеряли доступ ко всем паролям.
Файл-ключ, который вы можете сгенерировать с помощью программы, можно хранить и на внешнем накопителе. Например, на малюсенькой MicroSD-флешке. И в случае, если к вам приходят нежданные гости, такую маленькую флешку с ключом можно случайно потерять в канализации. Тогда до паролей будет невозможно добраться физически. Даже вам самим, если не сделали копию (бэкап) в очень безопасном месте.
Если сначала создаёте файл-ключ/базу паролей на компьютере, а потом переносите его/её на внешнюю флешку, не забудьте удалить файл с компьютера так, чтобы его было невозможно восстановить.
#цифровая_безопасность
Как безопасно хранить пароли
Пароли должны быть действительно сложными. В идеале такими, чтобы даже вы сами, как бы ни старались, не смогли их запомнить. А ещё пароли для разных аккаунтов должны сильно отличаться. Кроме того, их нужно регулярно менять. И уж тем более лучше почаще их менять там, где находится самая-самая конфиденциальная информация, или когда появились новости про очередные утечки.
Как же тогда это все добро запомнить? Кто-то создает на рабочем столе компьютера блокнотик со всеми паролями. Кто-то записывает их на стикер и клеит на стену прямо около компьютера. Кто-то хранит всё в различных менеджерах паролей. Первые два варианта, конечно, абсурдные. А вот тому, кто придумал менеджеры паролей, нужно поставить памятник.
О том, как правильно и безопасно хранить пароли и управлять ими, читайте в наших карточках.
☑️ Полезные ссылки:
– Скачать KeePass или KeePassXC.
– Подробнее про функционал и самые частые вопросы можно почитать здесь и здесь.
– Пошаговые инструкции здесь и здесь.
#цифровая_безопасность
Пароли должны быть действительно сложными. В идеале такими, чтобы даже вы сами, как бы ни старались, не смогли их запомнить. А ещё пароли для разных аккаунтов должны сильно отличаться. Кроме того, их нужно регулярно менять. И уж тем более лучше почаще их менять там, где находится самая-самая конфиденциальная информация, или когда появились новости про очередные утечки.
Как же тогда это все добро запомнить? Кто-то создает на рабочем столе компьютера блокнотик со всеми паролями. Кто-то записывает их на стикер и клеит на стену прямо около компьютера. Кто-то хранит всё в различных менеджерах паролей. Первые два варианта, конечно, абсурдные. А вот тому, кто придумал менеджеры паролей, нужно поставить памятник.
О том, как правильно и безопасно хранить пароли и управлять ими, читайте в наших карточках.
☑️ Полезные ссылки:
– Скачать KeePass или KeePassXC.
– Подробнее про функционал и самые частые вопросы можно почитать здесь и здесь.
– Пошаговые инструкции здесь и здесь.
#цифровая_безопасность
Как безопасно использовать публичный Wi-Fi (спойлер: никак)
Надежный VPN может защитить вас от провайдера и силовиков, пытающихся перехватить передаваемый вами трафик. Но для хорошо подготовленного злоумышленника не представляет большой проблемы в обход VPN влезть в компьютер через публичный Wi-Fi и, например, скачать какие-то документы или перехватить управление для установки программы-шпиона.
Самый простой совет пользователям популярных операционных систем, которые действительно заботятся о своей цифровой безопасности, это не подключаться к публичным Wi-Fi-сетям. Никогда. Ни при каких условиях. В этой теме слишком много переменных, чтобы их все можно было учесть и обезопасить себя на 100%.
Лучше использовать мобильный трафик при работе с телефона и активировать собственную точку Wi-Fi для выхода в сеть с ноутбука. Эта функция доступна на всех современных смартфонах.
Но бывают ситуации, когда вы просто не можете не использовать публичный Wi-Fi. Например, вы в другой стране, местной сим-ки у вас нет, а доступ к интернету критически важен. Вот несколько способов, которые помогут уменьшить (но не исключить!) риск:
1. Брандмауэр (файервол, межсетевой экран). Основная задача – блокировка непрошенных входящих соединений. Это встроенная функция во всех операционных системах. Проверьте, что она активирована и настроена на максимальный уровень защиты.
2. Удаленный рабочий стол и общий доступ нужно запретить: это функции для удобства, а не для безопасности. То же касается и смартфонов: проверьте в настройках, не активированы ли какие-нибудь «Подключенные устройства» или «Подключение и общий доступ».
3. И последний вариант — вместо подключения к публичным Wi-Fi постараться найти надежного и доброго человека, который раздаст вам интернет со своего смартфона.
#цифровая_безопасность
Надежный VPN может защитить вас от провайдера и силовиков, пытающихся перехватить передаваемый вами трафик. Но для хорошо подготовленного злоумышленника не представляет большой проблемы в обход VPN влезть в компьютер через публичный Wi-Fi и, например, скачать какие-то документы или перехватить управление для установки программы-шпиона.
Самый простой совет пользователям популярных операционных систем, которые действительно заботятся о своей цифровой безопасности, это не подключаться к публичным Wi-Fi-сетям. Никогда. Ни при каких условиях. В этой теме слишком много переменных, чтобы их все можно было учесть и обезопасить себя на 100%.
Лучше использовать мобильный трафик при работе с телефона и активировать собственную точку Wi-Fi для выхода в сеть с ноутбука. Эта функция доступна на всех современных смартфонах.
Но бывают ситуации, когда вы просто не можете не использовать публичный Wi-Fi. Например, вы в другой стране, местной сим-ки у вас нет, а доступ к интернету критически важен. Вот несколько способов, которые помогут уменьшить (но не исключить!) риск:
1. Брандмауэр (файервол, межсетевой экран). Основная задача – блокировка непрошенных входящих соединений. Это встроенная функция во всех операционных системах. Проверьте, что она активирована и настроена на максимальный уровень защиты.
2. Удаленный рабочий стол и общий доступ нужно запретить: это функции для удобства, а не для безопасности. То же касается и смартфонов: проверьте в настройках, не активированы ли какие-нибудь «Подключенные устройства» или «Подключение и общий доступ».
3. И последний вариант — вместо подключения к публичным Wi-Fi постараться найти надежного и доброго человека, который раздаст вам интернет со своего смартфона.
#цифровая_безопасность