EFF: Основы интернет-безопасности

Фонд электронных рубежей (EFF) – это, пожалуй, крупнейшая некоммерческая организация, защищающая права и свободы в цифровом пространстве. Им доверяют и к их авторитету прислушиваются. Зачастую именно Eff публикует подробности пока незакрытых уязвимостей и ищет способы их устранения. И именно Eff так ненавидел Тревор Дж. Стратмор, заместитель оперативного директора АНБ из «Цифровой крепости» Дэна Брауна.

В рамках проекта «Security Education Companion» (SEC) сотрудники фонда объясняют основы цифровой безопасности и учат пользователей защищать своё право на личное пространство. Если вы ищите «учебники по безопасности», SEC – это как раз то, что вам нужно!

Основы интернет-безопасности

Для чего мы используем браузер? Для того, чтобы общаться с людьми, который нет рядом, чтобы совершать покупки, не выходя из дома, чтобы давать советы и получать указания, чтобы проводить исследования и публиковать результаты своих трудов, чтобы задавать вопросы, которые мы стесняемся задать постороннему. Неудивительно, что вопрос «А как я мог бы защитить свой браузер?» приходит в голову каждому, кто начинает интересоваться цифровой безопасностью. Вот только методов защиты так много, что разобраться в них поначалу не так просто. К тому же во многих случаях эти методы настолько противоречивы, что, если вы попробуете применить их все, ничего не выйдет: они просто напросто будут мешать друг другу. Поэтому мы решили рассказать вам о нескольких основных и особенно эффективных способах защиты информации, учитывая все их плюсы и минусы.


HTTPS против HTTP

Для веб-сайта существует лишь два способа добраться до вашего браузера: HTTP и HTTPS. Разница лишь в букве «S», но в данном случае «S» обозначает «безопасность» (от англ. «secure»).

Если вы видите в адресной строке надпись «https» и маленький зеленый замочек рядом с ней, это означает, что сайт использует безопасное соединение. Скорее всего, вы уже замечали этот значок на сайтах онлайн-магазинов или банков. Долгое время владельцы веб-сайтов использовали https-соединение только для тех страниц, которые предполагали работу с конфиденциальными данными (например, с именами пользователей и их паролями или номерами кредитных карт).

Однако сейчас большинство сайтов стремятся полностью перейти на использование HTTPS вместо устаревшего HTTP. Старому стандарту соединения не хватает той самой безопасности, к которой все мы стремимся. Если сайт всё ещё использует http-соединение, ваш трафик может быть перехвачен: злоумышленники могут украсть ваши данные, скопировав ваши файлы cookies, или наоборот подменить часть содержимого сайта заражённым контентом или вовсе удалить с него информацию, которою вы «не должны» видеть.

Если кто-то следит за вашей сетью и пытается узнать, какие сайты вы посещаете, HTTP категорически вам не подходит, поскольку не обеспечивает совершенно никакой защиты. HTTPS же скрывает адрес конкретной страницы, на которой вы находитесь. В худшем случае злоумышленник удастся узнать лишь адрес самого сайта, а всё, что находится за косой чертой «/» будет скрыто от посторонних. Например, если, используя https-соединение, вы откроете www.eff.org/ssd, хакер увидит лишь www.eff.org. То есть, даже если кому-то удастся перехватить ваш трафик, он сможет увидеть лишь сайты, которые вы посетите, но не сможет узнать, какие именно публикации привлекли ваше внимание.


VPN

VPN (Virtual Private Networks – частная виртуальная сеть) скрывает от посторонних ваш интернет-трафик. Если кто-то решит отследить вашу активность, он увидит лишь одно соединение – с самим VPN-серсивом. Обычно сигнал от вашего компьютера идёт напрямую к вашему интернет-провайдеру, а тот в свою очередь соединяет вас с нужным вам сайтом. В случае с VPN провайдер сперва соединит вас с сервером VPN, и уже через него будут проходить все необходимые соединения. Если кто-то шпионит за вашей локальной сетью и пытается отследить сайты, которые вы посещаете, они увидят лишь соединение с VPN-сервисом, но не смогут узнать сайты, которыми вы пользовались.

Кроме того, VPN скрывает ваш трафик и от вашего интернет-провайдера. Однако в этом случае весь ваш трафик будет доступен владельцу сервиса VPN! Владелец сервиса сможет отследить, сохранить или модифицировать ваш трафик. По большому счёту, используя VPN, вы прячете трафик от своего интернет-провайдера, передавая его в руки провайдеру услуг VPN. Вот почему так важно выбрать надёжный сервис, которому действительно можно верить.

И хотя нас довольно часто спрашивают «Какой VPN выбрать?», рекомендовать конкретный сервис не так просто, как кажется на первый взгляд. Уж лучше мы просто объясним основы работы VPN и расскажем вам, на что стоит обращать внимание при их выборе. Универсального ответа попросту не существует. К тому же сам сервис со временем может измениться, и мы не можем гарантировать вам, что он не изменит своё отношение к вашей конфиденциальности. Да и проверить, действительно ли администрация выполняет свои обещания, зачастую довольно сложно. Разные VPN-сервисы предлагают разные способы защиты от потенциальных угроз, что существенно осложняет выбор подходящего VPN для определённой аудитории или конкретного человека. Если вы рекомендуете кому-то конкретный VPN-сервис, постарайтесь объяснить, почему вы доверяете именно ему. Просто потому что пользуетесь им долгие годы и он до сих пор вас не подводил? Потому что у сервиса незапятнанная репутация? Вы уверены в его надёжности? Уверены, что он действительно выполняет все обещания? И зачем вообще вы используете VPN? Для защиты личных данных? Или для обхода цензуры в интернете?

Подробнее о VPN вы можете узнать из гайда That One Privacy Site или обзора TorrentFreak’s 2018 VPN.


Браузер Tor

Tor – это анонимный браузер, предназначенный для защиты личных данных и реального местоположения пользователя во время работы с сайтами. Вместо того, чтобы соединить вас с сайтом напрямую, Tor прогонит ваше соединение через цепочку специальных «узлов» (компьютеры энтузиастов, поддерживающих сеть Tor). Узнать кто вы и откуда вы вышли в сеть в конце этой цепочки будет уже невозможно. Следить за вашими действиями в интернете будет намного сложнее. Сайтам тоже будет сложнее идентифицировать вас и отследить.

Но важно понимать, что Tor защищает вашу конфиденциальность только внутри сети Tor. Наличие анонимного браузера, установленного на ваш ПК, не делает ваш компьютер более защищённым. Tor не защищает вас от слежки в других браузерах! К тому же Tor не пытается маскироваться под другие браузеры: ваш трафик может быть в безопасности, но злоумышленники и администрация сайтов смогут узнать, что вы используете именно Tor.

Tor не шифрует ваш трафик! Для этого вам всё ещё нужно использовать https-соединение. Другими словами, без HTTPS браузер Tor будет не так эффективен, как вам хотелось бы. Важно использовать их в связке. Это обеспечит вашу безопасность и анонимность во время работы с интернет-сайтами. У нас есть специальная страница, на которой вы можете узнать, насколько эффективно HTTPS и Tor работают друг с другом или по отдельности.

Electronic Frontier Foundation
Division of Surveillance Self-Defense
Security Education Companion

Comment