Как обнаружить цифровую слежку и понять, кто за ней стоит. Изображение: Марсель Лув для GIJN
Расследование ландшафта цифровых угроз
ЧИТАЙТЕ ЭТУ СТАТЬЮ НА ДРУГИХ ЯЗЫКАХ
Путеводитель Ресурс
Расследование киберугроз: Пособие GIJN для журналистов-расследователей
Глава Путеводитель Ресурс
Расследование киберугроз: Введение
Глава Путеводитель Ресурс
Расследование киберугроз: Дезинформация
Глава Путеводитель Ресурс
Расследование киберугроз: Инфраструктура интернета
Глава Путеводитель Ресурс
Расследование ландшафта цифровых угроз
Глава Путеводитель Ресурс
Расследование киберугроз: Троллинг
Цифровая слежка сейчас – повсюду: стоит утром включить телефон, как вы уже генерируете множество данных о том, какие приложения используете, к каким антеннам сотовой связи подключаетесь и кому звоните. Большая часть этих данных записывается, хранится и либо продаётся частными компаниями для получения прибыли, либо обрабатывается государственными органами для расследования преступлений или незаконной деятельности. В этой главе я расскажу только о самых распространённых формах цифровой слежки, с которыми вы можете столкнуться как журналист, и кратко поясню, как их расследовать и противостоять им.
Что такое цифровая слежка и кто за ней стоит?
Чтобы лучше понять суть цифровой слежки, важно различать две её формы: массовая и целенаправленная слежка.
Массовая слежка – это процесс неизбирательного наблюдения за большой группой населения, независимо от того, подозреваются ли эти люди в правонарушениях или нет. Например, она может осуществляться путем записи всех телефонных разговоров на территории страны или с помощью распознавания лиц на видеокамерах, установленных по всему городу.
Целенаправленная слежка – это наблюдение за конкретными людьми, часто с использованием методов, которые куда сильнее нарушают неприкосновенность частной жизни, например, с помощью шпионских программ или прослушки в доме человека.
Чаще всего слежкой за представителями гражданского общества занимаются государственные агентства (как правило, правоохранительные органы или разведка), но нередко им помогают коммерческие сервисы, которые действуют в условиях слабого регулирования или нечётких этических норм. Брат-близнец государственной слежки – это слежка корпоративная, то есть реализация так называемого надзорного капитализма. Цель надзорного капитализма – получение прибыли за счёт массового сбора частных данных. В этом случае никто не стремится следить именно за журналистами и гражданским обществом, поэтому это несколько выходит за рамки нашей темы. Однако несомненно, что корпорации можно вовлечь в целенаправленную цифровую слежку за журналистами, и что корпоративную слежку нужно учитывать при анализе угроз.
Государственное наблюдение часто выполняется осторожно и тайно. Спецслужбы предпочитают не раскрывать свои возможности и стремятся избежать контроля и надзора. Тем не менее, собрать информацию о том, как работает эта отрасль, вполне реально, причём в разных источниках.
- Они хотят действовать скрытно, но им необходимо существовать. Хотя эти компании продают услуги слежки, им всё равно нужно выполнять обычные требования для юридических лиц. То есть где-то они зарегистрированы, где-то набирают сотрудников, размещают предложения о работе на LinkedIn или в других местах, а иногда им необходимо привлекать инвесторов. Для отслеживания таких компаний можно использовать все традиционные журналистские инструменты.
- Они хотят действовать скрытно, но им нужно рекламировать себя. Ежегодно поставщики систем слежения и правоохранительные органы собираются на десятках конференций по всему миру, таких как ISS World или Milipol. Хотя на большинство этих мероприятий не пускают журналистов, иногда даже публично доступные списки участников, спонсоров и докладчиков дают интересную информацию о продуктах и компаниях. Например, NSO Group выступила ведущим спонсором ISS World Europe в июне 2023 года в Праге. Часто в публичном доступе есть брошюры по продуктам для слежки или каталоги оборонной промышленности некоторых стран, в частности Министерства обороны Израиля. Во многих случаях форма слежки описывается уклончиво, а вместо слов «шпионское ПО» используются эвфемизмы вроде «удалённого извлечения данных».
- Они хотят действовать скрытно, но им нужно делать свою работу. Любая форма цифровой слежки использует цифровую инфраструктуру, которая часто оставляет следы в сети. (См. главу об отслеживании цифровой инфраструктуры).
Различные формы государственного надзора
Из-за изменчивости и сложности ландшафта цифровой слежки трудно составить полную и точную картину этой отрасли. Но важно знать её основные формы, используемые государством для мониторинга гражданского общества.
Мониторинг телефонных сетей
Мониторинг телефонных сетей – это, пожалуй, одна из старейших и наиболее узаконенных форм цифровой слежки. Почти во всех странах существует система прослушивания обычных телефонных звонков и перехвата SMS-сообщений правоохранителями для проведения следственных действий. Такие системы также широко используются спецслужбами, причём не всегда под надлежащим контролем.
Развитие мобильных телефонов расширило эти возможности, поскольку мобильные подключаются к вышкам сотовой связи. Это позволяет третьим лицам определять местоположение мобильного телефона в любой момент времени. Такая геолокация доступна с разной степенью точности. В зависимости от того, собирает ли система данные только о вышке сотовой связи, к которой был подключен телефон (что позволяет определить местоположение на расстоянии от нескольких сотен метров до нескольких сотен километров, в зависимости от плотности расположения вышек); или же она осуществляет активное отслеживание геолокации, триангулируя сигнал по нескольким вышкам (при этом местоположение может быть определено с точностью до нескольких метров).
Мобильные телефоны рассчитаны на подключение к ближайшей сотовой вышке с максимальным уровнем сигнала. Соответственно, можно создать портативные сотовые вышки, способные подключать к себе близлежащие устройства. Такие инструменты называются IMSI-кэтчер и доступны правоохранительным органам во многих странах. В более современных мобильных протоколах эти атаки осложнены. Сегодня уровень проникновения зависит от аппаратного обеспечения и его конфигурации. Простые системы могут только идентифицировать сотовые телефоны поблизости, а более сложные системы способны перехватывать и подменять данные, передаваемые с этих телефонов.
Международная телефонная сеть основана на старом протоколе под названием ОКС-7, который, как известно, имеет серьезные проблемы с безопасностью, отчасти потому, что телефонные компании не заинтересованы инвестировать в безопасность своей сети. Эта уязвимость позволила некоторым компаниям, занимающимся видеонаблюдением (например, Circles), зарегистрироваться в качестве операторов ОКС-7 (или заплатить существующим операторам за доступ к их сети) и использовать доступ для удаленного отслеживания сотовых телефонов по всему миру. Такой подход использовался для слежки за принцессой Латифой аль-Мактум, когда она пыталась сбежать от своего отца, правителя Дубая шейха Мохаммеда, в 2018 году.
Стоит отметить, что метаданные (например, номер звонящего, номер адресата и время звонка) иногда интереснее и важнее для анализа чем само содержимое звонка. Доступ к метаданным правоохранители часто имеют без особого контроля, а таким образом можно выявить сети людей, работающих вместе.
Мониторинг интернет-сетей
В 2011 году во время гражданской войны в Ливии, положившей конец правлению Муаммара Каддафи, небольшая группа активистов обнаружила скрытый правительственный центр наблюдения, оснащенный системами, установленными французской компанией Amesys (позже переименованной в Nexa Technologies). Эти системы могли отслеживать и записывать все данные, проходящие через ливийский интернет, извлекать электронную почту, чаты, звонки, голосовое общение по IP-телефонии и историю подключений. Во многих случаях данные, полученные с помощью этих систем наблюдения, использовались для арестов, допросов, а иногда и пыток активистов.
Слежка через Интернет стала обычным инструментом, с помощью которого страны контролируют деятельность своих граждан. Разоблачения Сноудена позволили впервые взглянуть на возможности Соединенных Штатов по мониторингу Интернета, а секретные программы, такие как XKEYSCORE, позволили государственным органам проводить подробный анализ данных. Схожие инструменты стали более доступными и для стран с меньшим бюджетом, во многом благодаря технологиям, разработанным в Северной Америке, Европе и Израиле. Например, в 2021 году Amnesty International рассказала о том, как израильская компания Verint продала Южному Судану оборудование для мониторинга сетей, и каковы были последствия постоянной слежки для активистов.
С распространением шифрования многие государства переходят к атакам на конечные устройства или учётные записи с помощью фишинга или шпионских программ. Фишинг – это форма социальной инженерии, при которой злоумышленники рассылают сообщения или электронные письма, чтобы обманом заставить человека открыть вредоносный файл (чаще всего содержащий шпионское ПО) или ввести логин и пароль на вредоносном сайте. Шпионские программы – это вредоносные программы, которые скрытно отслеживают активность устройства и собирают данные.
В некоторых случаях инструменты и специалисты для таких атак готовят госорганы, которые вкладывают ресурсы в собственных разработчиков шпионских программ. Но многим странам проще положиться на коммерческую индустрию шпионского софта. Первоначально эта индустрия появилась в Европе благодаря таким компаниям как FinFisher и Hacking Team, а затем в Израиле с такими компаниями, как NSO Group и Paragon. Услуги слежки, предлагаемые этой отраслью, документируются уже более 15 лет, в том числе они были направлены против сотен журналистов и активистов. Индустрия шпионского программного обеспечения часто может похвалиться передовыми инструментами, например, Pegasus от NSO Group, которые могут дать доступ к смартфону, используя неизвестные разработчику уязвимости в программном обеспечении (так называемые уязвимости нулевого дня). В первые годы своего существования Pegasus заражал устройства посредством отправленных по SMS ссылок, которые после нажатия незаметно давали хакерам доступ к телефону.
В 2018-19 годах NSO Group перешла к так называемым zero-click эксплойтам – атакам, совершаемым без какого-либо взаимодействия с пользователем (атаки с нулевым кликом). Иными словами, телефон пользователя может быть тихо заражен, даже без нажатий на вредоносную ссылку. Такие атаки используют либо уязвимости в приложениях (например, WhatsApp в 2019 году), либо сетевые инъекции, которые перенаправляют браузеры и приложения жертвы на вредоносные сайты.
Хотя эти атаки технически очень продвинуты и часто попадают в заголовки, большинство шпионских и фишинговых атак против журналистов и активистов куда менее сложны. Подавляющее большинство атак, с которыми я сталкивался за свою карьеру, это простые вариации фишинга. Один из классических примеров – электронное письмо, выдающее себя за онлайн-платформу (например, Google или Yahoo), чтобы обманом заставить пользователя предоставить свои логины и пароли. Другой вариант – отправка файлов или даже приложений в чатах, чтобы заставить жертву открыть или установить вредоносные файлы.
Многие атаки на гражданское общество основаны на социальной инженерии – тактике, которая предполагает манипулирование объектом атаки с целью убедить его совершить какое-либо действие, например, передать пароль или другую ценную информацию. Это может быть сделано путем выдачи себя за существующие надёжные организации или даже путём создания поддельных НКО. В одной из технологий, так называемом спуфинге (англ. spoofing — подмена), опасные ссылки маскируются под знакомые адреса электронной почты. Все эти атаки гораздо менее технически сложны, чем Pegasus, и намного дешевле в исполнении – а эффективность против гражданского общества часто всё равно достаточна высока.
Инструменты для криминалистического анализа
При аресте журналистов или активистов власти часто конфискуют устройства, чтобы извлечь данные с помощью инструментов компьютерной криминалистики (цифровой экспертизы). Иногда это инструменты разработаны самими судебно-экспертными центрами, но чаще их приобретают у специализированных компаний, таких как Cellebrite или Magnet Forensics.
Cellebrite и других поставщиков криминалистического ПО часто критиковали за продажу продуктов авторитарным правительствам Бангладеш, Беларуси и Мьянмы.
Эффективность этих инструментов зависит от многих факторов, например, от того, насколько старый и насколько защищённый телефон, а также от цены и сложности используемых полицией инструментов. Например, в 2015-16 годах велись активные дебаты вокруг уголовного дела, в ходе которого государственные органы США, в первую очередь ФБР, пытались заставить Apple ослабить шифрование своих iPhone. Это произошло после того, как ФБР не смогло извлечь данные из телефона, принадлежавшего подозреваемому в массовом расстреле. После долгой судебной тяжбы ФБР отозвало свой запрос, поскольку нашло стороннюю компанию, которая смогла извлечь данные, используя проблему безопасности в устройстве. Подобные случаи позволяют под другим углом посмотреть на возможности, доступные правоохранительным органам. Стоит отметить, что во многих случаях власти пытаются заставить пользователя предоставить доступ к устройству с помощью юридических или физических угроз. Например, во Франции отказ предоставить пароль к мобильному является уголовным преступлением.
Платформы сбора открытых данных
И наконец, более современный вид слежки – это OSINT: разведка по открытым источникам и анализ Интернета. Специальные платформы собирают данные с общедоступных веб-сайтов и социальных сетей. Они упорядочивают всё в централизованные базы данных, и позволяют картографировать всю активность человека. Может показаться, что это относительно безопасная деятельность, раз исходные данные изначально публичны, но иногда данные дополняются и частной информацией, например, провайдеры связи могут их дополнять информацией о телефонных соединениях, или их сопоставляют с информацией о геолокации, которую тайком собирают установленные в телефоне приложения. Так пользователи платформы могут уже довольно точно отслеживать активность человека.
Отчёт компании Meta за декабрь 2022 года об индустрии слежки и недавние публикации консорциума Forbidden Stories свидетельствуют о том, что эта индустрия растет. Недавние разоблачения в Колумбии, например, ясно показывают, как этими инструментами можно злоупотреблять для преследования журналистов и представителей гражданского общества.
Советы и инструменты по обеспечению цифровой безопасности
После прочтения этого руководства по жуткому ландшафту цифровой слежки у вас может появиться чувство беспомощности, и вы решите, что цифровая безопасность – дело заведомо проигрышное. Это не так.
Конечно, сложно долго оставаться неуязвимым в противостоянии с целеустремлённым и хорошо обеспеченным ресурсами противником, но есть много полезных инструментов и процедур, которые помогут значительно усилить свою цифровую безопасность. И не всегда нужно быть идеально защищённым – достаточно быть защищённым ровно настолько, чтобы противостоять слежке именно за вами.
Всеобъемлющее руководство по цифровой безопасности не получится втиснуть в рамки этой главы, но в её последней части я попробую подчеркнуть важные методы и инструменты, о которых вы должны знать как профессиональный журналист.
Инструменты
Используйте для чатов приложения со сквозным шифрованием. Сквозное шифрование означает, что сервер, обрабатывающий обмен данными между пользователями, не может видеть содержимое этих данных. Тогда, если шифрование выполнено правильно, становится уже не важно, доверяем ли мы этой компании и её сотрудникам. Самый известный мессенджер со сквозным шифрованием – это Signal. Сквозное шифрование применяется и в других программах, например для передачи файлов (как Tresorit) или даже редактирования общих документов (как CryptPad). В таких мессенджерах как Signal обязательно включите функцию исчезающих сообщений, чтобы архив конфиденциальных разговоров не хранился на самом телефоне.
Максимально обезопасьте свой телефон. Защита смартфонов ещё далека от идеала, но всё же совершенствуется. Некоторые простые действия помогут обезопасить ваши устройства. Если вы используете Android, убедитесь, что в телефоне регулярно обновляются средства безопасности от производителя, и что сама система и используемые приложения тоже обновлены. (Технически подкованным стоит подумать о переходе на GrapheneOS!) Пользователям iPhone обязательно стоит обновлять ПО телефона до последней версии. Если есть риск, что против вас будут применять специализированное ПО, обязательно включите режим блокировки Apple, который, как недавно выяснила лаборатория Citizen Lab, помогает блокировать атаки с использованием эксплойтов нулевого дня от NSOGroup. В обоих случаях постарайтесь ограничить количество установленных приложений и старайтесь иметь отдельные личные и рабочие телефоны.
Используйте двухфакторную аутентификацию. Двухфакторная аутентификация (2FA) требует использования не только пароля, но и дополнительного способа подтверждения входа. Это может быть код, отправленный по SMS (что не идеально, но лучше, чем ничего), или код, сгенерированный приложением на вашем телефоне, например FreeOTP (это надежно), или даже номер, автоматически сгенерированный аппаратным ключом, например Yubikey (что довольно безопасно). Двухфакторка – один из самых сильных инструментов против фишинговых атак, и я настоятельно рекомендую включать её на всех аккаунтах. Если вы уже подвергались фишинговым атакам, стоит потратить немного времени и денег на аппаратные ключи. Так называемые U2F-ключи – это небольшие устройства, которые обычно вставляются в USB-порт и помогают сделать ваши учётные записи практически пуленепробиваемыми для взлома.
Методы
Оцените угрозы, с которыми вы сталкиваетесь. Не обязательно защищаться от всего, достаточно защититься от наиболее актуальных угроз. Подумайте о том, какую работу вы выполняете и с какими видами цифровой слежки вы можете столкнуться. Пересмотрите, с чем вы уже сталкивались, посоветуйтесь с людьми, выполняющими такую же работу, и составьте список сценариев. Затем для каждого случая пропишите, что вы можете улучшить в своей безопасности. (Учебник Frontline Defenders по безопасности поможет понять, как это сделать). Если вы работаете в редакции или входите в сеть журналистских организаций, то предложите всем сделать то же самое. Цифровая безопасность – это командная работа.
Если не выходит обеспечить безопасность в каждый момент, делите её на сегменты. Иногда не получается сделать свои устройства или учётные записи достаточно безопасными для той работы, которую вы выполняете. Тогда стоит подумать о сегментировании. Например, используйте отдельные рабочий и личный телефоны или разные учётные записи электронной почты для разных проектов. Если вы работаете над очень секретным расследованием, возможно стоит иметь устройства и учетные записи, предназначенные для него. Также можно использовать отдельную операционную систему, например Tails, которая предназначена для защиты от цензуры и слежки. Если вы работаете с чрезвычайно секретными данными или файлами, можно использовать не подключенный к Интернету компьютер. Если в нём заблокирован доступ к сетям, в том числе и беспроводным (Wifi, Bluetooth), его невероятно сложно взломать.
Разбирайтесь в вопросах цифровой безопасности и знайте, в какой момент стоит обратиться за поддержкой. Как журналисту вам не нужно быть экспертом в области цифровой безопасности, но стоит иметь базовые знания, например, изложенные в этой главе – и знать, когда пора обратиться за советом к специалисту. Если есть возможность, заведите контакты среди технических экспертов, которым вы доверяете и которые могут помочь, когда вы столкнетесь с проблемой или новой угрозой. Если вы начинаете более резонансные расследования, чем делали ранее, то лучше предусмотреть как можно больше вариантов. Всегда лучше проявить чрезмерную бдительность.
Отличные ресурсы по цифровой безопасности можно найти на портале Electronic Frontier Foundation Surveillance Self-Defense или на сайте Security in a Box компании Frontline Defenders. GIJN также имеет несколько полезных ресурсов по этой теме. Если вам как журналисту нужна поддержка в области цифровой безопасности, можно обратиться в службу поддержки цифровой безопасности Access Now.
Практические примеры
Материалы Сноудена. Трудно говорить о цифровой слежке, не упомянув о материалах Сноудена, которые полностью изменили всю картину слежки и привлекли внимание мировой общественности к широкомасштабному шпионажу со стороны Агентства национальной безопасности США (АНБ). Масштабы этих разоблачений огромны, а их освещение продолжалось более года. Я рекомендую ознакомиться с кратким изложением разоблачений Сноудена на сайте Lawfare и архивами Сноудена на сайте The Intercept. Для понимания контекста стоит также посмотреть отмеченный наградами документальный фильм Citizenfour Лоры Пойтрас.
Проект Raven. В январе 2019 года агентство Reuters сообщило, что Объединенные Арабские Эмираты наняли бывших сотрудников АНБ для разработки наступательных возможностей цифрового шпионажа в стране. Затем эти инструменты использовались для атак на глав государств и правозащитников.
Проект Pegasus. В июле 2021 года консорциум журналистов, координируемый Forbidden Stories, техническим партнером которого выступила Лаборатория безопасности Amnesty International, раскрыл злоупотребления с использованием шпионского ПО Pegasus компании NSO Group. Отправной точкой стал список из 50 000 телефонных номеров, отобранных для слежки клиентами NSO в 11 странах, включая Саудовскую Аравию, Марокко, Венгрию, Индию и Мексику.
Внутри глобальной индустрии хакеров по найму. В 2022 году журналисты британского Бюро журналистских расследований и газеты Sunday Times встретились под прикрытием с людьми, стоящими у истоков растущей индустрии хакеров-наемников в Индии. Эта история дает представление о том, как хакерские инструменты, которые раньше были доступны только правительствам, становятся орудием частных лиц.
Убийцы истории. В начале 2023 года консорциум Forbidden Stories опубликовал сериал «Убийцы истории», который изучает индустрию дезинформации по найму. Это, конечно, не совсем цифровая слежка, но теневая индустрия дезинформации и методы цифрового наблюдения часто пересекаются.
Этьен «Тек» Майнье – исследователь в Лаборатории безопасности Amnesty International. С 2016 года занимается расследованием цифровых атак на гражданское общество; опубликовал множество расследований о фишинге, шпионских программах и дезинформационных кампаниях. Его можно найти на сайте или на Mastodon.