стеження, шпигунство, безпека журналістів, цифровий захист, хакери, кібершпигунство
стеження, шпигунство, безпека журналістів, цифровий захист, хакери, кібершпигунство

Як виявити цифрове стеження і зрозуміти, хто за ним стоїть. Зображення: Марсель Лув для GIJN

Цифрове стеження зараз — усюди: варто вранці увімкнути телефон, як ви вже генеруєте безліч даних про те, які програми використовуєте, до яких антен стільникового зв’язку підключаєтеся й кому телефонуєте. Більшість цих даних записується, зберігається або продається приватними компаніями для отримання прибутку, або обробляється державними органами для розслідування злочинів чи незаконної діяльності. У цьому розділі я розповім лише про найпоширеніші форми цифрового стеження, з якими ви можете зіткнутися як журналіст, і коротко поясню, як їх розслідувати та протистояти їм.

Що таке цифрове стеження і хто за ним стоїть?

Щоб краще зрозуміти суть цифрового стеження, важливо розрізняти дві його форми: масове та цілеспрямоване стеження.

Масове стеження — це процес невибіркового спостереження за великою групою населення, незалежно від того, чи підозрюють цих людей у правопорушеннях чи ні. Наприклад, його можуть здійснювати шляхом запису всіх телефонних розмов на території країни або розпізнаванням облич на відеокамерах, встановлених по всьому місту.

Цілеспрямоване стеження — це спостереження за конкретними людьми, часто з використанням методів, які суттєво порушують недоторканність приватного життя, наприклад, за допомогою шпигунських програм або прослуховування в будинку людини.

Найчастіше стеженням за представниками громадянського суспільства займаються державні агенції (як правило, правоохоронні органи чи розвідка), але іноді їм допомагають комерційні сервіси, які діють в умовах слабкого регулювання чи нечітких етичних норм. Брат-близнюк державного стеження — це стеження корпоративне, тобто реалізація так званого наглядового капіталізму. Мета наглядового капіталізму — отримання прибутку завдяки масовому збору приватних даних. У цьому випадку ніхто не прагне стежити саме за журналістами та громадянським суспільством, тому це дещо виходить за межі нашої теми. Однак, безперечно, корпорації можна залучити до цілеспрямованого цифрового стеження за журналістами, тому корпоративне стеження потрібно враховувати при аналізі загроз.

Державне спостереження часто ведуть обережно й таємно. Спецслужби вважають за краще не розкривати свої можливості та прагнуть уникнути контролю та нагляду [з боку громади]. Тим не менше, зібрати інформацію про те, як працює ця галузь, цілком реально, причому у різних джерелах.

  • Вони хочуть діяти потайки, але їм необхідно існувати. Хоча ці компанії продають послуги стеження, їм усе одно потрібно виконувати звичайні вимоги до юридичних осіб. Тобто, десь вони зареєстровані, десь набирають співробітників, розміщують вакансії на LinkedIn або в інших місцях, а іноді їм необхідно залучати інвесторів. Для відстеження таких компаній можна використовувати традиційні журналістські інструменти.
  • Вони хочуть діяти потай, але їм потрібно рекламувати себе. Щорічно постачальники систем стеження та правоохоронні органи збираються на десятках конференцій по всьому світу, таких як ISS World або Milipol. Хоча на більшість цих заходів не пускають журналістів, іноді навіть публічно доступні списки учасників, спонсорів та доповідачів дають цікаву інформацію про продукти та компанії. Наприклад, NSO Group виступила провідним спонсором ISS World Europe у червні 2023 року у Празі. Часто в публічному доступі є брошури про продукти для стеження або каталоги оборонної промисловості деяких країн, зокрема Міністерства оборони Ізраїлю. У багатьох випадках про стеження пишуть описово, скажімо, замість слів «шпигунське ПЗ» використовують евфемізм на кшталт «дистанційне вилучення даних».
  • Вони хочуть діяти крадькома, але їм потрібно виконувати свою роботу. Будь-яка форма цифрового стеження використовує цифрову інфраструктуру, яка часто залишає сліди у мережі. (Див. розділ про відстеження цифрової інфраструктури) .

Різні форми державного нагляду

Через мінливість та складність ландшафту цифрового стеження важко скласти повну й точну картину цієї галузі. Але важливо знати його основні форми, що їх використовують держави для моніторингу громадянського суспільства.

Моніторинг телефонних мереж

Моніторинг телефонних мереж — це, мабуть, одна з найстаріших та найбільш узаконених форм цифрового стеження. Майже в усіх країнах існує система прослуховування звичайних телефонних дзвінків та перехоплення SMS-повідомлень правоохоронцями для проведення слідчих дій. Такі системи широко використовують спецслужби, причому не завжди під належним контролем.

Розвиток мобільних телефонів розширив ці можливості, оскільки мобільні підключаються до вежі стільникового зв’язку. Це дозволяє третім особам визначати розташування мобільного телефону у будь-який момент часу. Така геолокація доступна з різним ступенем точності. Залежно від того, чи збирає система дані тільки про вежу стільникового зв’язку, до якої був підключений телефон (що дозволяє визначити місце розташування на відстані від кількох сотень метрів до кількох сотень кілометрів, залежно від щільності розташування веж); або вона здійснює активне відстеження геолокації, тріангулюючи сигнал по кількох вежах (при цьому місцезнаходження може бути визначене з точністю до декількох метрів).

Мобільні телефони розраховані на підключення до найближчої стільникової вежі з максимальним рівнем сигналу. Відповідно, можна створити портативні стільникові вежі, здатні підключати до себе пристрої, які знаходяться неподалік. Такі інструменти називаються IMSI-кетчер і доступні правоохоронним органам у багатьох країнах. У сучасних мобільних протоколах ці атаки ускладнені. Сьогодні рівень проникнення залежить від апаратного забезпечення та його конфігурації. Прості системи можуть лише ідентифікувати стільникові телефони поблизу, а складніші системи здатні перехоплювати та підміняти дані, що передаються з цих телефонів.

Традиційний IMSI-кетчер. Зображення: Відомство за патентами та товарними знаками США

Міжнародна телефонна мережа заснована на старому протоколі під назвою ЗКС-7, який, як відомо, має серйозні проблеми з безпекою, частково тому, що телефонні компанії не зацікавлені в інвестуванні в безпеку своєї мережі. Ця вразливість дозволила деяким компаніям, які займаються відеоспостереженням (наприклад, Circles), зареєструватися як оператори ЗКС-7 (або заплатити операторам за доступ до їхньої мережі) та використовувати доступ для віддаленого відстеження мобільних телефонів по всьому світу. Такий підхід використовували для стеження за принцесою Латіфою аль-Мактум, коли вона намагалася втекти від свого батька, правителя Дубая шейха Мохаммеда, у 2018 році.

Варто зазначити, що метадані (наприклад, номер телефону, номер адресата і час дзвінка) іноді цікавіші і важливіші для аналізу, ніж сам зміст дзвінка. Доступ до метаданих правоохоронці часто мають без особливого контролю, а таким чином можна виявити мережі людей, які працюють разом.

Моніторинг інтернет-мереж

У 2011 році під час громадянської війни в Лівії, що поклала край правлінню Муаммара Каддафі, невелика група активістів виявила прихований урядовий центр спостереження, оснащений системами, встановленими французькою компанією Amesys (пізніше перейменованою в Nexa Technologies). Ці системи могли відстежувати та записувати всі дані, що проходять через лівійський інтернет, отримувати електронну пошту, чати, дзвінки, голосове спілкування по IP-телефонії та історію підключень. У багатьох випадках дані, отримані за допомогою цих систем спостереження, використовували для арештів, допитів, а іноді й іноді тортур активістів.

Стеження через інтернет стало звичайним інструментом, за допомогою якого країни контролюють діяльність своїх громадян. Викриття Сноудена дозволили вперше поглянути на можливості Сполучених Штатів в галузі моніторингу Інтернету, а секретні програми, такі як XKEYSCORE, дозволили державним органам проводити детальний аналіз даних. Подібні інструменти стали доступнішими й для країн з меншим бюджетом, багато в чому завдяки технологіям, розробленим у Північній Америці, Європі та Ізраїлі. Наприклад, у 2021 році Amnesty International розповіла про те, як ізраїльська компанія Verint продала Південному Судану обладнання для моніторингу мереж, і якими були наслідки постійного стеження для активістів.

З поширенням шифрування багато держав переходять до атак на кінцеві пристрої або облікові записи за допомогою фішингу або шпигунських програм. Фішинг — це форма соціальної інженерії, при якій зловмисники розсилають повідомлення або електронні листи, щоб обманом змусити людину відкрити шкідливий файл (який найчастіше містить шпигунське ПЗ) або ввести логін і пароль на шкідливому сайті. Шпигунські програми — це шкідливі програми, які таємно відстежують активність пристрою та збирають дані.

У деяких випадках інструменти та фахівці для таких атак готують держоргани, які вкладають ресурси у власних розробників шпигунських програм. Але багатьом країнам простіше покластися на комерційне виробництво шпигунського софту. Спочатку ця індустрія з’явилася в Європі завдяки таким компаніям як FinFisher і Hacking Team, а потім в Ізраїлі з такими компаніями, як NSO Group та Paragon. Послуги стеження, що пропонує ця галузь, документуються вже понад 15 років, зокрема вони були спрямовані проти сотень журналістів та активістів. Індустрія шпигунського програмного забезпечення часто може похвалитися передовими інструментами, наприклад, Pegasus від NSO Group, який може дати доступ до смартфона, використовуючи невідомі розробнику вразливості в програмному забезпеченні (так звані вразливості нульового дня). У перші роки свого існування Pegasus заражав пристрої за допомогою відправлених через SMS посилань, які після натискання непомітно давали хакерам доступ до телефону.

Посилання шпигунської програми Pegasus надіслані на номер Ахмеда Мансура, правозахисника з Об’єднаних Арабських Еміратів, у серпні 2016 року. Зображення: Скріншот, Citizen Lab

У 2018-2019 роках NSO Group перейшла до так званих zero-click експлойтів — атак, що здійснюються без будь-якої взаємодії з користувачем (атаки з нульовим кліком). Іншими словами телефон користувача може бути тихо заражений, навіть без натискань на шкідливе посилання. Такі атаки використовують або вразливості у додатках (наприклад, WhatsApp в 2019 році), або мережеві ін’єкції, які перенаправляють браузери та програми жертви на шкідливі сайти.

Хоча ці атаки технічно дуже просунуті й часто потрапляють у заголовки, більшість шпигунських та фішингових атак проти журналістів та активістів значно банальніші. Переважна більшість атак, з якими я стикався за свою кар’єру, це прості варіації фішингу. Один із класичних прикладів — електронний лист, який видає себе за онлайн-платформу (наприклад, Google або Yahoo), щоб обманом змусити користувача надати свої логіни та паролі. Інший варіант — надсилання файлів або навіть програм у чатах, щоб змусити жертву відкрити або встановити шкідливі файли.

Зловмисник намагається обманом змусити жертву встановити шкідливий додаток. Зображення: Скріншоти, Amnesty International

Багато атак на громадянське суспільство засновані на соціальній інженерії — тактиці, яка передбачає маніпулювання об’єктом атаки з метою переконати його вчинити якусь дію, наприклад, передати пароль чи іншу цінну інформацію. Це можуть робити, видаючи себе за надійні організації або навіть шляхом створення фальшивих НПО. В одній із технологій, так званому спуфінгу (англ. spoofing — підміна), небезпечні посилання маскуються під знайомі адреси електронної пошти. Всі ці атаки набагато простіші технічно, ніж Pegasus, і набагато дешевші у виконанні — а ефективність проти громадянського суспільства часто все одно досить висока.

Інструменти для криміналістичного аналізу

Пристрій Cellebrite UFED – один із найпоширеніших інструментів для криміналістичних досліджень, які використовуються правоохоронними органами. Зображення: Вікіпедія, Creative Commons

Під час арешту журналістів або активістів представники влади часто конфіскують пристрої, щоб витягти дані за допомогою інструментів комп’ютерної криміналістики (цифрової експертизи). Іноді ці інструменти розроблені самими судово-експертними центрами, але частіше їх купують у спеціалізованих компаній, таких як Cellebrite або Magnet Forensics.

Cellebrite та інших постачальників криміналістичного ПЗ часто критикували за продаж продуктів авторитарним урядам Бангладеш, Білорусі та М’янми.

Ефективність цих інструментів залежить від багатьох факторів, наприклад, від того, наскільки старий і наскільки захищений телефон, а також від ціни та складності інструментів, що використовує поліція. Наприклад, у 2015-16 роках точилися активні дебати навколо кримінальної справи, під час якої державні органи США, насамперед ФБР, намагалися змусити Apple послабити шифрування своїх iPhone. Це сталося після того, як ФБР не змогло витягти дані з телефону, який належав підозрюваному у масовому розстрілі. Після довгого судового розгляду ФБР відкликало свій запит, оскільки знайшло сторонню компанію, яка змогла скачати дані, використовуючи проблему безпеки в пристрої. Подібні випадки дають змогу під іншим кутом подивитися на можливості, доступні правоохоронним органам. Варто зазначити, що в багатьох ситуаціях влада намагається змусити користувача надати доступ до пристрою за допомогою юридичних чи фізичних загроз. Наприклад, у Франції відмова надати правоохоронцям пароль до мобільного є кримінальним злочином.

Платформи збору відкритих даних

І нарешті, більш сучасний вид стеження — це OSINT: розвідка на основі відкритих джерел та аналізу інтернету. Спеціальні платформи збирають дані з загальнодоступних веб-сайтів та соціальних мереж. Вони впорядковують все до централізованих баз даних, і дозволяють картографувати всю активність людини. Може здатися, що це відносно безпечна діяльність, оскільки вихідні дані від початку публічні, але іноді дані доповнюються й приватною інформацією, наприклад, провайдери зв’язку можуть їх доповнювати інформацією про телефонні з’єднання, або їх зіставляють з інформацією про геолокацію, яку потай збирають встановлені в телефоні програми. Таким чином користувачі платформи можуть уже досить точно відстежувати активність людини.

Звіт компанії Meta за грудень 2022 року про індустрію стеження та нещодавні публікації консорціуму Forbidden Stories свідчать про те, що ця індустрія зростає. Нещодавні викриття в Колумбії, наприклад, ясно показують, як цими інструментами можна зловживати для переслідування журналістів та представників громадянського суспільства.

Поради та інструменти для забезпечення цифрової безпеки

Після прочитання цього посібника про жахливий ландшафт цифрового стеження у вас може з’явитися почуття безпорадності, і ви вирішите, що цифрова безпека — справа явно програшна. Це не так.

Звичайно, складно довго залишатися неушкодженим у протистоянні з цілеспрямованим та добре забезпеченим ресурсами супротивником, але є багато корисних інструментів та процедур, які допоможуть значно посилити свою цифрову безпеку. І не завжди потрібно бути ідеально захищеним — достатньо бути захищеним рівно настільки, щоб протистояти стеженню саме за вами.

Всеосяжний посібник із цифрової безпеки не вдасться вмістити в рамки цього розділу, але в його останній частині я спробую окреслити важливі методи та інструменти, про які ви повинні знати як професійний журналіст.

Інструменти

Використовуйте для чатів програми із наскрізним шифруванням. Наскрізне шифрування означає, що сервер, який обробляє обмін даними між користувачами, не може бачити вміст цих даних. Тоді, якщо шифрування виконано правильно, стає вже не важливо, чи довіряємо ми цій компанії та її співробітникам. Найвідоміший месенджер із наскрізним шифруванням — це Signal. Наскрізне шифрування застосовують й інші програми, наприклад, для передачі файлів (Tresorit) і навіть для редагування спільних документів (CryptPad). У таких месенджерах, як Signal, обов’язково увімкніть функцію зникаючих повідомлень, щоб архів конфіденційних розмов не зберігався на телефоні.

Максимально захистіть свій телефон. Захист смартфонів ще далекий від ідеалу, але все ж постійно вдосконалюється. Деякі прості дії допоможуть захиститит ваші пристрої. Якщо ви використовуєте Android, переконайтеся, що в телефоні регулярно оновлюються засоби безпеки від виробника, і що сама система та програми також оновлені. (Технічно підкованим варто подумати про перехід на GrapheneOS!) Користувачам iPhone обов’язково варто оновлювати телефон до останньої версії. Якщо є ризик, що проти вас будуть застосовувати спеціалізоване програмне забезпечення, обов’язково увімкніть режим блокування Apple, який, як нещодавно з’ясувала лабораторія Citizen Lab, допомагає блокувати атаки з використанням експлойтів нульового дня від NSOGroup. В обох випадках постарайтеся обмежити кількість встановлених програм і намагайтеся мати окремі особисті та робочі телефони.

Використовуйте двофакторну аутентифікацію. Двофакторна аутентифікація (2FA) вимагає використання не лише пароля, а й додаткового способу підтвердження входу. Це може бути код, відправлений через SMS (що не ідеально, але краще, ніж нічого), або код, згенерований додатком на вашому телефоні, наприклад FreeOTP (це надійно), або навіть номер, автоматично згенерований апаратним ключем, наприклад Yubikey (це досить безпечно). Двофакторка — один із найсильніших інструментів проти фішингових атак, і я наполегливо рекомендую вмикати її на всіх акаунтах. Якщо ви вже зазнавали фішингових атак, варто витратити трохи часу та грошей на апаратні ключі. Так звані U2F-ключі — це невеликі пристрої, які зазвичай вставляються в USB-порт і допомагають зробити ваші облікові записи практично куленепробивними для злому.

Методи

Оцініть загрози, з якими ви стикаєтесь. Не обов’язково захищатися від усього, достатньо захиститись від найбільш актуальних загроз. Подумайте про те, яку роботу ви виконуєте та з якими видами цифрового стеження ви можете зіткнутися. Перегляньте, з чим ви вже стикалися, порадьтеся з людьми, які виконують таку ж роботу, і складіть список сценаріїв. Потім для кожного випадку пропишіть, що ви можете покращити у своїй безпеці. (Підручник Frontline Defenders з безпеки або відеопоради експертки Лабораторії цифрової безпеки допоможуть зрозуміти, як це зробити). Якщо ви працюєте в редакції або входите до мережі журналістських організацій, то запропонуйте всім зробити те саме. Цифрова безпека — це командна робота.

Якщо не виходить забезпечити безпеку в кожний момент, поділіть її на сегменти. Іноді не вдається зробити свої пристрої або облікові записи досить безпечними для роботи, яку ви виконуєте. Тоді варто подумати про сегментування. Наприклад, використовуйте окремі робочі та особисті телефони або різні облікові записи електронної пошти для різних проектів. Якщо ви працюєте над дуже секретним розслідуванням, можливо, варто мати пристрої та облікові записи, призначені для нього. Також можна використовувати окрему операційну систему, наприклад Tails, яка призначена для захисту від цензури та стеження. Якщо ви працюєте з надзвичайно секретними даними або файлами, можна використовувати комп’ютер, який не підключений до інтернету. Якщо в ньому також заблокувати доступ до мереж, у тому числі бездротових (Wifi, Bluetooth), його неймовірно складно зламати.

Розбирайтеся в питаннях цифрової безпеки та знайте, у який момент варто звернутися за підтримкою. Як журналісту вам не потрібно бути експертом у галузі цифрової безпеки, але варто мати базові знання, наприклад, викладені в цьому розділі — і знати, коли настав час звернутися за порадою до фахівця. Якщо є можливість, заведіть контакти серед технічних експертів, яким ви довіряєте та які можуть допомогти, коли ви зіткнетеся з проблемою чи новою загрозою. Якщо ви починаєте більш резонансні розслідування, ніж робили раніше, то краще передбачити якомога більше варіантів. Завжди краще проявити надмірну пильність, ніж недостатню.

Корисні ресурси для цифрової безпеки можна знайти на порталі Electronic Frontier Foundation Surveillance Self-Defense або на сайті Security in a Box компанії Frontline Defenders. GIJN також має кілька корисних ресурсів на цю тему. Якщо вам як журналісту потрібна підтримка цифрової безпеки, можна звернутися до служби підтримки цифрової безпеки Access Now [або до Лабораторії цифрової безпеки примітка редактора].

Практичні приклади

Матеріали Сноудена. Важко говорити про цифрове стеження, не згадавши про матеріали Сноудена, які повністю змінили всю картину стеження та привернули увагу світової громадськості до широкомасштабного шпигунства з боку Агентства національної безпеки США (АНБ). Масштаби цих викриттів величезні, а їхнє висвітлення тривало більше року. Я рекомендую ознайомитися з коротким викладом викриття Сноудену на сайті Lawfare та архівами Сноудену на сайті The Intercept. Для розуміння контексту варто також переглянути відзначений нагородами документальний фільм Citizenfour Лори Пойтрас.

Проект Raven. У січні 2019 року агентство Reuters повідомило, що Об’єднані Арабські Емірати найняли колишніх співробітників АНБ для розробки нових можливостей цифрового шпигунства в країні. Потім ці інструменти використовували для атак на очільників держав і правозахисників.

Проект Pegasus. У липні 2021 року консорціум журналістів, який координує Forbidden Stories, технічним партнером якого виступила Лабораторія безпеки Amnesty International, розкрив зловживання з використанням шпигунського ПЗ Pegasus компанії NSO Group. Відправною точкою став список із 50 000 телефонних номерів, відібраних для стеження клієнтами NSO в 11 країнах, включаючи Саудівську Аравію, Марокко, Угорщину, Індію та Мексику.

Всередині глобальної індустрії хакерів за наймом. У 2022 році журналісти британського Бюро журналістських розслідувань і газети Sunday Times зустрілися під прикриттям з людьми, що стоять біля витоків індустрії хакерів-найманців в Індії. Ця історія дає уявлення про те, як хакерські інструменти, які раніше були доступні лише урядам, стають знаряддям приватних осіб.

Вбивці історії. На початку 2023 консорціум Forbidden Stories опублікував серіал «Вбивці історії», який вивчає індустрію дезінформації за наймом. Це, звичайно, не зовсім цифрове стеження, але тіньова індустрія дезінформації та методи цифрового спостереження часто перетинаються.


Етьєн «Тек» МайньєЕтьєн «Тек» Майньє — дослідник у Лабораторії безпеки Amnesty International. З 2016 року займається розслідуванням цифрових атак на громадянське суспільство; опублікував безліч розслідувань про фішинг, шпигунські програми та дезінформаційні кампанії. Його можна знайти на сайті або на Mastodon.

Republish our articles for free, online or in print, under a Creative Commons license.

Republish this article


Material from GIJN’s website is generally available for republication under a Creative Commons Attribution-NonCommercial 4.0 International license. Images usually are published under a different license, so we advise you to use alternatives or contact us regarding permission. Here are our full terms for republication. You must credit the author, link to the original story, and name GIJN as the first publisher. For any queries or to send us a courtesy republication note, write to hello@gijn.org.

Читати далі

Ресурс

Екстрена допомога журналістам

Список організацій, які допомагають журналістам в разі небезпеки. Підтримка варіюється від фінансової, медичної та юридичної – до евакуації журналіста за кордон.

Поради Путівник Ресурс Розділ

Найновіші інструменти для розслідувань в Telegram

Журналістка-розслідувачка й дослідниця дезінформації Джейн Литвиненко пропонує досконало опанувати навички пошуку та аналізу даних у Telegram, використовуючи постійно оновлюваний список інструментів і пошукових систем.

Путівник Ресурс Розділ

Необхідні кроки для журналістів у екстрених ситуаціях

Якщо ви живете в нестабільному регіоні або розслідуєте діяльність небезпечних людей, варто мати під рукою план від’їзду та важливі документи. Ці документи не тільки стануть у нагоді в поїздці, але й допоможуть при необхідності переїхати до більш безпечного регіону або країни. Ми підготували список документів, які журналістам необхідно покласти в тривожну валізку, а також організацій, які надають підтримку репортерам під час вимушеного переселення.

Безпека та захист

Чеклист з фізичної та цифрової безпеки для журналістів

Як захистити себе, свої пристрої, джерела інформації та персональні дані. Експерти Комітету із захисту журналістів (КЗЖ) зібрали ресурси та поради з 5 основних напрямів: захист телефона, переслідування в Інтернеті, арешт і затримання, захист конфіденційних джерел, правовий захист.