теми

Формування культури
безпеки
Міцна основа:
захист облікових записів і
пристроїв
Безпечна комунікація і
зберігання даних
Безпека в
інтернеті
Захист фізичної
безпеки
Що робити, коли
все йде не так

Безпека в Інтернеті

Безпечний перегляд вебсторінок

Останнє оновлення: липень 2022 року

Використання HTTPS

Найважливішим кроком до обмеження можливостей зловмисника стежити за вашою організацією в інтернеті є мінімізація обсягу доступної інформації про вас і вашу діяльність онлайн. Завжди перевіряйте, чи надійне підключення до вебсайтів: переконайтеся, що URL-адреса (розташування) починається з «https», а маленький значок замка відображається в адресному рядку вебоглядача.

Коли ви переглядаєте сторінки в інтернеті без шифрування, інформація, яку ви вводите на вебсайті (наприклад, паролі, номери облікових записів або повідомлення), а також деталі сайту та сторінок, які ви відвідуєте, будуть відкритими. Це означає, що (1) хакери у вашій мережі, (2) ваш адміністратор мережі, (3) ваш інтернет-провайдер і будь-яка організація, з якою він обмінюється даними (наприклад, державні органи), (4) інтернет-провайдер вебсайту, який ви відвідуєте, і будь-яка організація, з якою він обмінюється даними, і, звичайно, (5) сам вебсайт, який ви відвідуєте, має доступ до великої кількості потенційно конфіденційної інформації.

Розглянемо реальний приклад того, як виглядає перегляд вебсторінок без шифрування.

Diagram of browsing without encryption using only http
Адаптовані матеріали брошури Проєкту Totem Як працює інтернет (CC–BY–NC–SA)

Під час перегляду вебсторінок без шифрування всі ваші дані є відкритими. Як вказано вище, зловмисник може побачити, де ви перебуваєте, що ви переходите на news.com, переглядаєте сторінку про протести у вашій країні, і побачить ваш пароль, який ви надаєте для входу на вебсайт. Така інформація в чужих руках не лише ставить під загрозу ваш обліковий запис, але й дає потенційним супротивникам достатнє уявлення про те, що ви робите або про що думаєте.

Використання HTTPS («s» означає «безпечний») означає, що використовується шифрування. Це надає вам набагато більший захист. Подивимося, як виглядає перегляд вебсторінок через HTTPS (тобто із шифруванням):

Diagram of browsing with encryption in transit using https
Адаптовані матеріали брошури Проєкту Totem Як працює інтернет (CC–BY–NC–SA)

Завдяки HTTPS потенційний зловмисник більше не зможе побачити ваш пароль чи іншу конфіденційну інформацію, яку ви можете надавати веб-сайту. Однак він зможе бачити, які домени (наприклад, news.com) ви відвідуєте. І хоча HTTPS також шифрує інформацію про окремі сторінки сайту (наприклад, website.com/protests), які ви відвідуєте, досвідчені зловмисники можуть бачити цю інформацію, перевіряючи ваш інтернет-трафік. За умови використання HTTPS зловмисник може знати, що ви переходите на news.com, але він не зможе побачити ваш пароль, і йому буде важче (але не неможливо) побачити, що ви шукаєте інформацію про протести (до прикладу). Це важлива відмінність. Завжди перевіряйте наявність протоколу HTTPS, перш ніж переходити на вебсайт або вводити конфіденційну інформацію. Ви також можете використовувати розширення для вебоглядача HTTPS Everywhere, щоб переконатися, що ви завжди використовуєте HTTPS, або, якщо ви користуєтеся Firefox, увімкніть режим лише HTTPS у вебоглядачі.

Якщо у вебоглядачі з’являється попередження про те, що вебсайт може бути небезпечним, не ігноруйте його. Щось не так. Це може бути нешкідливим, наприклад, у вебсайта прострочений сертифікат безпеки, або сайт може бути зловмисно фальсифікований або підроблений. У будь-якому випадку важливо дослухатися попередження та не переходити на такий вебсайт.

Використання зашифрованої DNS

Якщо ви хочете ускладнити (але не унеможливити) для провайдера отримання інформації про вебсайти, які ви відвідуєте, ви можете використовувати зашифровану DNS. 

Якщо вам цікаво знати, DNS означає «Система доменних імен» (Domain Name System). По суті, це телефонна книга інтернету, яка перетворює зручні для людини доменні імена (наприклад, ndi.org) на адреси зручних для всесвітньої мережі інтернет-протоколів (IP). Завдяки цій системі люди використовують вебоглядачі для легкого пошуку та завантаження інтернет-ресурсів і відвідування веб-сайтів. Однак за замовчуванням DNS не зашифрована.

Щоб використовувати зашифровану DNS і ще більше захистити свій інтернет-трафік, скористайтеся простим варіантом: завантажити та ввімкнути додаток Cloudflare 1.1.1.1 на вашому комп’ютері та мобільному пристрої. Інші параметри зашифрованої DNS, зокрема Google 8.8.8.8, доступні, але потребують більше технічних кроків для налаштування. Якщо ви використовуєте браузер Firefox, зашифрована DNS увімкнена в ньому за замовчуванням. Користувачі браузерів Chrome і Edge можуть увімкнути зашифровану DNS за допомогою розширених налаштувань безпеки вебоглядача, увімкнувши «використовувати безпечну DNS» і вибравши «З: Cloudflare (1.1.1.1)» або постачальника на вибір.

Cloudflare 1.1.1.1 із WARP шифрує вашу DNS і дані перегляду вебсторінок за допомогою послуги, подібної до традиційної VPN. Хоча WARP не повністю приховує ваше місцезнаходження від усіх вебсайтів, які ви відвідуєте, ця проста у використанні функція може допомогти персоналу вашої організації скористатися перевагами зашифрованої DNS і додаткового захисту від вашого інтернет-провайдера в ситуаціях, коли повна VPN не функціонує або у ній немає потреби з огляду на контекст загроз. У версії 1.1.1.1 із розширеними налаштуваннями DNS WARP співробітники також можуть увімкнути 1.1.1.1 для Сімей, щоб забезпечити додатковий захист від шкідливих програм під час доступу до інтернету.

HTTPS має важливе значення, а зашифрована DNS забезпечує додатковий захист від стеження та блокування сайтів, але якщо ваша організація стурбована цільовим стеженням за вашою діяльністю в інтернеті та стикається із цілеспрямованою онлайн-цензурою (наприклад, блокування вебсайтів і програм), ви можете скористатися віртуальною приватною мережею (VPN), якій довіряєте.

Що таке VPN?

VPN — це, по суті, тунель, який захищає ваш інтернет-трафік від стеження та блокування з боку хакерів у вашій мережі, адміністратора мережі, інтернет-провайдера та будь-кого, з ким вони можуть обмінюватися даними. Разом із тим важливо використовувати HTTPS і переконатися, що ви довіряєте VPN, яку використовує ваша організація. Ось приклад того, як виглядає перегляд вебсторінок за допомогою VPN:

mapping photo
Адаптовані матеріали брошури Проєкту Totem Як працює інтернет (CC–BY–NC–SA)

Детальний опис VPN міститься у Посібнику із самозахисту шляхом спостереження від EFF, матеріали з якого використані в цьому розділі.

Традиційні VPN створені для маскування вашої фактичної мережевої IP-адреси та створення зашифрованого тунелю для інтернет-трафіку між вашим комп’ютером (чи телефоном або будь-яким «розумним» пристроєм, що має доступ до мережі) і сервером VPN. Оскільки трафік у тунелі шифрується та надсилається до вашої VPN, третім сторонам, як-от провайдерам чи хакерам у загальнодоступній мережі Wi-Fi, набагато важче відстежувати, змінювати чи блокувати ваш трафік. Пройшовши через тунель від вас до VPN, ваш трафік потім залишає VPN і переходить до свого кінцевого пункту призначення, маскуючи вашу початкову IP-адресу. Це допомагає приховати ваше фізичне місцезнаходження для тих, хто спостерігає трафік після того, як він покине мережу VPN. Це забезпечує більшу конфіденційність і безпеку, але використання VPN не робить вас повністю анонімними в інтернеті: ваш трафік усе одно буде видно оператору VPN. Ваш інтернет-провайдер також знатиме, що ви використовуєте VPN, що може підвищити ваш профіль ризику.

Це означає, що важливо вибрати надійного постачальника VPN. У деяких місцях, наприклад в Ірані, вороже налаштовані уряди фактично створили власні VPN, щоб мати можливість відстежувати, що роблять громадяни. Щоб знайти VPN, який підходить для вашої організації та її співробітників, ви можете оцінити VPN на основі її бізнес-моделі та репутації, які дані вона збирає, а які ні, і, звичайно, безпеку самого інструменту.

Чому би просто не скористатися безкоштовною VPN? Коротка відповідь полягає в тому, що більшість безкоштовних VPN, включно з тими, які попередньо встановлені на деяких смартфонах, мають значний прихований недолік. Як і всі компанії та постачальники послуг, мережі VPN повинні якимось чином фінансуватися. Якщо послуги VPN безкоштовні, за рахунок чого фінансується цей бізнес? За пожертви? Чи стягується плата за послуги преміум-класу? Її підтримують благодійні організації чи спонсори? На жаль, багато безкоштовних VPN заробляють гроші, збираючи та продаючи ваші дані.

Найкращий вибір — це провайдер VPN, який не збирає дані. Якщо дані не збираються, їх не можна продати або передати уряду на його запит. Переглядаючи політику конфіденційності постачальника VPN, перевірте, чи VPN збирає дані користувачів. Якщо явно не вказано, що дані підключення користувача не реєструються, швидше за все, що дані збираються. Навіть якщо компанія стверджує, що не веде журналів із даними підключення, це не завжди може бути гарантією сумлінної поведінки.

Варто дізнатися про компанію, яка стоїть за VPN. Чи схвалюють цю мережу незалежні фахівці з безпеки? Чи є про цю VPN статті? Чи було коли-небудь цю мережу спіймано на тому, що вона вводила в оману або брехала своїм клієнтам? Якщо мережа VPN була створена людьми, відомими у колах інформаційної безпеки, вона, швидше за все, заслуговує довіри. Ставтеся обережно до VPN, що пропонує послугу, на яку немає професійних відгуків, або до такої, якою керує компанія, про яку ніхто не знає.

Підробки VPN у реальному світі

Image showing a fake VPN

Наприкінці 2017 року, після сплеску протестів у країні, іранці відкрили для себе «безкоштовну» (але підроблену) версію популярної VPN, якою ділилися через текстові повідомлення. Безкоштовна VPN, яка насправді не діяла, обіцяла надати доступ до Telegram, який на той момент був заблокований на місцевому рівні. На жаль, підроблений додаток був не чим іншим, як шкідливою програмою, що дозволяла владі відстежувати переміщення та стежити за спілкуванням тих, хто його завантажив.

Отже, яку VPN слід використовувати?

Якщо використання VPN має сенс для вашої організації, є такі надійні варіанти, як TunnelBear і ProtonVPN. Ще один варіант — налаштувати власний сервер за допомогою Outline від Jigsaw. У цьому випадку немає компанії, що керуватиме вашим обліковим записом, але натомість ви повинні налаштувати власний сервер. Якщо ваша організація велика, ви можете розглянути бізнес-VPN, що надає функції керування обліковим записом, наприклад план Teams від TunnelBear. Для певних кваліфікованих організацій у сфері громадянського суспільства та прав людини TunnelBear надає кредити на безкоштовне користування VPN (зазвичай це коштує близько 3 доларів на місяць). Якщо ви вважаєте, що ваша організація відповідає вимогам і вас цікавить ця тема, зв’яжіться з нами за адресою [email protected] для отримання додаткової інформації.

Хоча більшість сучасних VPN покращили продуктивність і швидкість, варто пам’ятати, що використання VPN може сповільнити швидкість перегляду вебсторінок, якщо ви перебуваєте в мережі з дуже низькою пропускною здатністю, у вашій мережі бувають значні затримки або трапляються періодичні збої доступу до інтернету. Якщо ви користуєтеся швидкою мережею, слід постійно використовувати VPN за умовчанням.

Якщо ви рекомендуєте персоналу використовувати VPN, важливо також переконатися, що співробітники залишають VPN увімкненою. Це може здатися очевидним, але VPN, що встановлена, але не працює, не надає жодного захисту.

Анонімність через Tor

На додачу до VPN, ви, можливо, чули про Tor як ще один інструмент для безпечного користування інтернетом. Важливо розуміти, що являють собою обидва інструменти, чому ви можете використовувати один або інший і як обидва можуть вплинути на вашу організацію.

Tor — це протокол для анонімної передачі даних через інтернет шляхом маршрутизації повідомлень або даних через децентралізовану мережу. Ви можете дізнатися більше про те, як працює Tor, тут, але коротко кажучи, він направляє ваш трафік через кілька точок на шляху до місця призначення таким чином, щоб жодна точка не мала достатньо інформації, що вказує, хто ви є та що ви робите в інтернеті.

Tor відрізняється від VPN у кількох аспектах. Основна відмінність полягає в тому, що він не покладається сліпо на будь-яку конкретну точку (наприклад, провайдера VPN). 

На ілюстрації, розробленій EFF, показана різниця між традиційною VPN і Tor.

Communication methods photo

Communication methods photo

Найпростіший спосіб використовувати Tor – через вебоглядач Tor. Він працює як будь-який звичайний вебоглядач, за винятком того, що спрямовує ваш трафік через мережу Tor. Ви можете завантажити вебоглядач Tor на пристрої Windows, Mac, Linux або Android. Майте на увазі, що використовуючи вебоглядач Tor, ви захищаєте лише ту інформацію, до якої отримуєте доступ, коли знаходитеся у браузері. Він не забезпечує жодного захисту інших програм або завантажених файлів, які ви можете відкривати окремо на своєму пристрої.  Також майте на увазі, що Tor не шифрує ваш трафік, тому, як і під час використання VPN, під час перегляду вебсторінок все одно важливо використовувати найкращі методи, такі як HTTPS.

Якщо ви бажаєте поширити захист анонімності Tor на весь комп’ютер, технічно обізнані користувачі можуть встановити Tor як загальносистемне підключення до інтернету або розглянути можливість використання операційної системи Tails, яка за замовчуванням направляє весь трафік через Tor. Користувачі Android також можуть використовувати додаток Orbot для застосування Tor для всього інтернет-трафіку та програм на своєму пристрої. Незалежно від того, як ви використовуєте Tor, важливо знати, що під час його використання ваш постачальник інтернету не може бачити, які веб-сайти ви відвідуєте, але він «може» бачити, що ви використовуєте сам Tor. Подібно до використання VPN, це може значно підвищити профіль ризику вашої організації, оскільки Tor не є дуже поширеним інструментом і тому може зацікавити супротивників, які можуть стежити за вашим інтернет-трафіком.

Отже, чи варто вашій організації використовувати Tor? Відповідь: це залежить від багатьох речей. Для організацій, що знаходяться у групі ризику, найпростішим і найзручнішим є надійний VPN, що належним чином використовується всіма співробітниками в будь-який час. В епоху все більшого використання VPN у всьому світі малоймовірно, що це може сприйматися як індикатор ризику. Однак якщо ви не можете дозволити собі надійну VPN або працюєте в середовищі, де VPN регулярно блокуються, Tor може стати хорошим варіантом, якщо він є законним, для обмеження стеження й уникнення цензури в інтернеті.

Чи є якісь причини, чому не слід використовувати VPN або Tor?

Окрім занепокоєння з приводу послуг VPN із поганою репутацією, головне, що слід розглянути, це те, чи може використання VPN або Tor привернути небажану увагу або, в деяких юрисдикціях, суперечити закону. Хоча ваш інтернет-провайдер не знатиме, які сайти ви відвідуєте під час використання цих служб, він може побачити, що ви підключені до Tor або VPN. Якщо це незаконно там, де працює ваша організація, або може викликати підвищену увагу чи збільшити рівень ризику, ніж проста навігація в інтернеті за допомогою стандартного HTTPS і зашифрованого DNS, використання VPN і особливо Tor (що використовується набагато рідше, а тому може стати тривожним «дзвіночком») не буде правильним варіантом для вашої організації. Однак, оскільки використання VPN стає все більш поширеним, це менш ризикований варіант. За замовчуванням постійне використання VPN є найкращим вибором, якщо це законно та можливо.

Який вебоглядач слід використовувати?

Використовуйте перевірений вебоглядач, наприклад Chrome, Firefox, Brave, Safari, Edge або Tor. І Chrome, і Firefox дуже широко використовуються та чудово забезпечують захист. Деякі люди віддають перевагу Firefox, зважаючи на його конфіденційність. У будь-якому випадку важливо перезавантажувати їх і комп’ютер відносно часто, щоб ваш вебоглядач регулярно оновлювався. Якщо вам цікаво порівняти функції вебоглядачів, перегляньте цей ресурс від Фонду свободи преси.

Незалежно від вебоглядача також доцільно використовувати розширення чи додатки, як-от Privacy Badger, uBlock Origin або Privacy Essentials від DuckDuckGo що не дозволяє рекламодавцям та іншим стороннім трекерам відстежувати, куди ви ходите та які вебсайти відвідуєте. Для перегляду вебсторінок розгляньте можливість переходу вебпошуку за умовчанням із Google на DuckDuckGo, Startpage або іншу пошукову систему із захистом конфіденційності. Такий перехід також допоможе обмежити рекламу та відстежувачі сторонніх розробників.

Безпека вебоглядача в реальному світі

Adobe Browser

На тибетських громадських активістів була проведена цільова атака на початку 2021 року за допомогою вміло розробленого шкідливого додатку для вебоглядача, що викрадав їхню електронну пошту та дані про перегляд вебсторінок. Додаток під назвою «Flash update components» було представлено користувачам, які відвідували вебсайти, на які вели посилання з фішингових електронних листів. Такі атаки з боку розширень або додатків для вебоглядачів можуть завдавати такої самої шкоди, що і шкідливі програми, які поширюються безпосередньо через фішингові завантаження чи інше програмне забезпечення.