Журналисты всегда сталкивались с проблемами шпионажа и сохранения конфиденциальности информации, но угроза цифровых атак заставляет их обратить на это особенное внимание.
Обычные способы доступа к большинству веб-сайтов в Интернете, например, HTTP, не зашифрованы (не защищены). Это означает, что доступ к информации этих сайтов делает пользователей уязвимыми для множества потенциальных угроз. Те, кто охотится за вашей информацией, с помощью HTTP сайтов могут как минимум видеть, какие страницы посетил пользователь и сколько времени он провел на каждой из них.
Чтобы защитить журналистов и читателей, издание The New York Times начало непростой процесс перевода своего сайта с HTTP на HTTPs – коммуникационный протокол для безопасной связи в сети (s означает "безопасный"). Раджив Пант, технический директор The New York Times недавно опубликовал твит, призывающий все новостные сайты перейти на HTTPs к концу 2015 года.
Том Ловенталь, сотрудник технического отдела Комитета по защите журналистов (CPJ), согласен с тем, что для журналистов и медиаорганизаций настало время серьезно подойти к вопросу снижения рисков. В недавнем сообщении в блоге Ловенталь описал три типа противников, с которыми журналисты могут столкнуться в Интернете: "пассивные слушатели", активные ("человек посередине" – MIM) перехватчики каналов связи и продвинутые стойкие угрозы (АСТ). Тут много жаргона, но идея проста: существует три основных уровня тяжести угроз.
Ловенталь отметил, что продвинутые угрозы "сложны, но возникают редко". С другой стороны, пассивная угроза безопасности информации широко распространена. "По большей части даже Агентство национальной безопасности, как показали сведения, обнародованные Эдвардом Сноуденом, просто выступает как пассивный перехватчик сообщений, способный только смотреть на метаданные и просматривать незашифрованные сообщения", – сказал он.
В публикации в блоге он приводит несколько шагов, которые журналистам стоит предпринять, чтобы предотвратить угрозу ежедневного прослушивания и защитить себя и свои источники информации. Эти действия не защитят журналистов от всех возможных угроз (только от основных), но, по словам Ловенталя, даже противники самого низкого уровня – хорошая отправная точка, [чтобы начать выстраивать свою защиту].
Веб-сайты
"Каждое ненадежное соединение – возможность для атаки вредоносных программ, которые могут захватить контроль над вашим компьютером", – пишет Ловенталь.
Ловенталь рекомендует журналистам использовать надстройку браузера HTTPs-Everywhere, разработанную группой защитников гражданских прав в Интернете Electronic Frontier Foundation. HTTPs-Everywhere содержит список популярных сайтов, которые используют HTTPs. Эта надстройка заставляет браузер использовать шифрование HTTPs при заходе на любой сайт, поддерживающий соответствующий протокол, даже если пользователь не набрал "https://" в адресной строке.
"Журналисты, работающие в новостных сайтах, которые не доступны через HTTPs, должны спросить своих коллег, почему [ситуация такова]", – рекомендует Ловенталь.
"Электронная почта – привлекательная мишень для тех, кто хочет украсть вашу информацию", – пишет Ловенталь. – Там содержатся сведения не только о том, с кем общается журналист, но и о том, о чем он или она говорят, какие истории готовятся рассказать и на какие источники опираются". К счастью, "пассивным слушателям" легко противостоять [с помощью] любого шифрования".
Ловенталь напоминает, что протокол передачи почты (SMTP) так же, как и HTTP, не использует шифрование по умолчанию. Это означает, что способ отправки сообщений от одного провайдера к другому не является безопасным, а это делает возможным перехват электронной почты. В такой ситуации даже "пассивные перехватчики" могут увидеть, от кого и кому отправлено письмо, а также что в нем говорится.
Во многих случаях можно использовать улучшенную версию электронной почты, дающую возможность шифрования. Чтобы выяснить, предоставляет ли такую возможность ваш провайдер, посетите starttls.info. Просто введите доменное имя вашего провайдера электронной почты, и сайт оценит шифрование вашей электронной почты, с указанием того, поддерживается ли шифрование входящих сообщений.
Для журналистов, работающих с расследованиями или с особенно чувствительной информацией, Ловенталь рекомендует программное обеспечение PGP (Pretty Good Privacy) для "криптографической защиты и аутентификации при передаче данных". С помощью этого инструмента сообщение шифруется на компьютере отправителя и может быть расшифровано только получателем. Но имейте в виду: такие инструменты, как PGP, работают только тогда, когда обе стороны знают, как их использовать.
Другое
Такие коммуникационные каналы, как текстовые сообщения, мгновенные сообщения и телефонные звонки также могут быть зашифрованы. Ловенталь рекомендует такие инструменты, как TextSecure и RedPhone для Android или Signal для iOS.
По материалам Committee to Protect Journalists.
Изображение пользователя Brook Ward, лицензия CC сайта Flickr.