Третья, финальная часть статьи Джеймсона Лоппа, ведущего разработчика keys.casa, о том, как сохранить конфиденциальность в эпоху тотальной слежки. Первая часть — тут, вторая — здесь.
***
Защити свой ПК
Первое, что надо сделать — прикрыть все вебкамеры. Вредоносные программы легко могут получить к ним доступ. Мне нравится магнитная SpiShutter для MacBook. Другой достойный вариант — простые самоклеящиеся шторки.
На уровне софта лучше самому контролировать все процессы, происходящие в твоем ПК. Отличное решение для этого — Little Snitch. Для борьбы с разнообразными шпионскими приложениями можно использовать программу Micro Snitch, которая предупредит о попытках неизвестных приложений получить доступ к микрофону или камере. Если хотите максимально себя обезопасить, то вообще откажитесь от OS X и Windows. В Linux дела с защитой конфиденциальности обстоят гораздо лучше.
Если ваша паранойя дошла до уровня Эдварда Сноудена, то разберите свой комп и отсоедините шлейфы от камеры и микрофона. Эдвард утверждает, что это — просто «боль в заднице», от которой необходимо избавиться.
Если вы фанат Linux, но не хотите разбирать свой комп, обратите внимание на ноутбуки с открытым исходным кодом компании Librem. На них есть аппаратные выключатели для веб-камеры, микрофона, WiFi и Bluetooth. Эти ноутбуки работают на чистой операционной системе Debian.
Защити свои профили в сети
Это очевидно: необходимо сделать все, чтобы не оставить непрошеным гостям шанса завладеть доступом к вашим профилям в соцсетях, и особенно к электронной почте. Обычный юзер использует один, максимум три пароля для всех своих учетных записей. А это — единая точка отказа. Если один из сервисов взломают, то, будьте уверены, логин и пароль продадут на черном рынке и скормят ботам, которые попытаются использовать их на всех возможных онлайн-сервисах. Возможно, вашими данными уже пользуются, просто вы об этом еще не знаете.
Обзаведитесь хорошим менеджером паролей, например, LastPass, 1Password, KeePass. Сгенерируйте сильный и уникальный пароль для каждого онлайн-сервиса и добавьте двухфакторную аутентификацию. Не лишним будет защитить и менеджер паролей, используя один из аппаратных ключей безопасности: Yubikey, Trezor или Ledger.
Несмотря на то, что вы передаете свою личную информацию третьим лицам, перечисленные выше менеджеры паролей удобны и достаточно безопасны. Тем не менее, и у этих сервисов есть недостатки. Их тоже могут взломать и украсть все ваши логины/пароли. Есть менее удобные, но гораздо более безопасные менеджеры паролей с аппаратными криптографическими ключами (hardware tokens), с помощью которых вы можете управлять своими персональными данными. Ланс Вик, ведущий инженер систем безопасности в BitGo, написал отличный гид о том, как это работает.
Особое внимание следует уделить безопасности электронной почты. Многие люди пользуются только одним адресом. И в этом ящике может храниться уйма личной информации. Если кто-то взломает его, то вероятнее всего, использует полученную информацию для смены паролей всех других ваших учетных записей в сети. Так что один адрес электронной почты — это, опять таки, единая точка отказа. Заведите несколько адресов для разных целей. И не забывайте о двухфакторной аутентификации.
Защита каналов связи
Отправленное письмо, текстовое сообщение, телефонный звонок могут быть перехвачены, поскольку они отправляются через общедоступные каналы связи без шифрования. Программа PGP (Pretty Good Privacy) не решит проблемы. Попробуйте воспользоваться защищенной почтой, например Registered Envelope Service от Cisco. Еще можно завести себе «одноразовый телефон», на котором будут установлены мессенджеры со сквозным шифрованием (Signal, Whatsapp или Telegram). Так можно обезопасить свои телефонные звонки и текстовые сообщения. Для передачи больших файлов подойдут сервисы типа Send Safely.
Signal, Whatsapp и Telegram — это закрытые и централизованные платформы, которые не имеют возможности читать содержимое ваших сообщений, но, теоретически, могут торговать вашими метаданными. Все эти сервисы запрашивают номер телефона при регистрации, а это — брешь в защите вашей конфиденциальности, так как они будут знать, с кем и когда вы говорили. Есть более защищенная, хотя и менее удобная альтернатива: децентрализованные мессенджеры с открытым кодом, такие как Riot, использующие протоколы XMPP/OTR и IRC/OTR.
Защити свои финансовые данные
Большинство финансовых сервисов крайне небезопасны, а с защитой персональных данных там вообще все плохо. Это достаточно просто исправить, используя упомянутые выше стратегии защиты онлайн-аккаунтов: надежный пароль и аппаратный модуль с двухфакторной аутентификацией. Запомните, не указывайте ваш реальный адрес нигде и никогда!
Бюро кредитных историй — это агентства, которые централизованно хранят массу персональных данных множества людей. Эта информация может быть украдена. И естественно, базы этих бюро время от времени взламывают.
Большинство граждан США знают лишь о «большой тройке» кредитных бюро, но на самом деле их гораздо больше.
Лучшее, что вы можете сделать — это заморозить свои кредитные отчеты (Credit freeze), что не даст возможности посторонним лицам получить доступ к вашим личным данным. Далее — несколько линков на страницы крупнейших кредитных бюро США, на которых вы можете сделать это:
- TransUnion;
- Equifax;
- Experian;
- Innovis;
- SageStream;
- Advanced Resolution Services ;
- Clarity Services ;
- CoreLogic.
Идеальный вариант — вообще отказаться от кредитных карт.
Защити информацию о покупках
Наличные — самый удобный и безопасный способ оплаты. Но наличные используются все реже и не годятся для покупок в сети.
Дебетовая или подарочная карта пока остается наиболее безопасным и удобным способом оплаты. Идеальный вариант — оформить карту на ваше «ООО Без имени». Только убедитесь, что в данных о компании нет ваших персональных данных. Для отправки счетов указывайте адрес «ООО Без имени» (это может быть адрес вашего агента или почтового ящика). Есть небольшой нюанс: выпуская карту, банки хотят узнать ваше настоящее имя. У меня нет конкретного решения для этой проблемы. Возможно, вы сможете завести друзей, работающих в банке, которые помогут заставить систему работать на вас.
Отличный вариант — виртуальные одноразовые карты. Они более безопасны, так как вы самостоятельно устанавливаете лимиты по каждой карте, а продавцы при оплате фиксируют разные реквизиты.
- Можно иметь до 10 предоплаченных карт одновременно;
- Взимается дополнительная плата.
- Доступна предоплаченная физическая карта Visa;
- Лимит для снятия: до €100 без удостоверения личности;
- Взимается дополнительная плата.
- Виртуальные предоплаченные карты Visa или Mastercard;
- Взимается дополнительная плата.
- Возможность создания неограниченного количества виртуальных карт Visa;
- Каждую карту можно настроить отдельно;
- Необходимо указать информацию о текущем счете;
- Бесплатно.
- Создание предоплаченных виртуальных или пластиковых карт Mastercard;
- Взимается дополнительная плата.
- Виртуальные подарочные карты для продавцов товаров и услуг;
- Бесплатно.
Для тех, у кого открыт банковский счет в США, самым удобным вариантом будет Privacy.com. Учтите, что они по умолчанию запросят логин и пароль для входа в вашу учетную запись интернет-банкинга. Чтобы защитить себя, попросите подключить свой банковский аккаунт через Автоматизированную клиринговую палату (Automated Clearing House), чтобы не дать возможности Privacy.com отслеживать движение средств на вашем счете.
Обратите внимание, Privacy.com не сообщает о сумме ежедневного и ежемесячного лимита. Я не уверен в цифрах, заданных по умолчанию, но дневной лимит, кажется, составляет менее $2000. Можно написать в центр поддержки и увеличить его, но результат будет зависеть от истории платежей по вашей карте.
Есть еще один нюанс, касающийся использования виртуальных одноразовых карт Privacy.com. Некоторые магазины снимают с них деньги несколько раз. Чаще всего это происходит потому, что продавцы производят предварительное снятие средств для проверки карты, после чего они его отменяют, а плата за товар списывается уже в момент его отправки. Еще с одной проблемой я столкнулся, когда оформлял покупку в Home Depot. У этой компании несколько служб доставки (локальная и удаленная). В итоге, даже если вы сделали один заказ, оплата происходит не одной, а несколькими транзакциями. И еще: некоторые сервисы вообще отказываются принимать виртуальные дебетовые карты, так как продавцы считают подобные операции рискованным.
Также стоит отметить, что Privacy.com запрещает создание нескольких виртуальных карт для одной компании. Во время настройки учетной записи об этом не упоминается. Узнаете вы об этом только после того, как Privacy.com отклонит платеж.
И последнее: для выхода на следующий уровень безопасности вы можете создать двойной прокси, то есть зарегистрировать на Privacy.com аккаунт, привязанный к счету вашего «ООО Без имени». В этом случае Privacy.com, скорее всего, не сразу подтвердит создание вашей новой учетной записи. Этот сервис ориентирован в основном на работу со счетами физических лиц. Но в течение нескольких дней, после проверки системой безопасности Privacy.com, это должно произойти.
Защити данные твоих водительских прав
С этим сложнее. В США водительские права должны соответствовать требованиям закона об удостоверении личности, REAL ID Act. То есть необходимо предоставить информацию о фактическом месте проживания, предъявив полученные по этому адресу счета или финансовые отчеты. Если вы следовали инструкциям, описанным в этой статье, то вы не можете получать корреспонденцию на свое имя. Службы переадресации, о которых я писал выше, здесь не помогут. Для того, чтобы ими воспользоваться, необходимо указать реальное место проживания.
Простому человеку сложно получить доступ к информации о ваших водительских правах. Но частные детективы легко могут это сделать. Кроме того, ваши данные доступны тысячам государственных служащих, и они у них буквально под рукой. За последнее время было зафиксированно огромное количество нарушений, связанных с использованием личных данных. Более того, аминистрации некоторых штатов зарабатывают десятки миллионов долларов, продавая данные водительских прав третьим лицам. Так что необходимо понять, от кого вы хотите защитится. Если вы предполагаете, что кто-то хочет нанять частного детектива и выследить вас — надо позаботиться о защитите данных водительских прав.
Как я уже писал ранее, можно почитать форумы, посвященные кочевому образу жизни и поискать там полезную информацию. Создается впечатление, что кочевники просто находят друзей вблизи своего припаркованного трейлера и пользуются их адресом. Разумеется, вы должны доверять человеку, который получает вашу почту и его адрес никак не может быть связан с вашим именем. Вы же не хотите подставлять своего друга?
Кроме того, всегда есть возможность воспользоваться услугами местного юриста, который поможет решить вопрос. Как я уже говорил, если есть деньги — снимите дешевую квартиру и используй ее как официальное место жительства. И постарайтесь появляться там как можно реже.
Пока вы решаете, что делать с водительским удостоверением, задумайтесь о получении ID-карты, если она выдается в вашей стране. ID-карту можно предъявлять как документ, подтверждающий личность, не раскрывая адрес проживания. В паспорте гражданина США он не указывается.
Путешествия и пересечение границ
Если вы путешествуете на машине, есть вероятность того, что камеры зафиксируют номерной знак, отсканируют его и идентифицируют его и вас. Существует ряд девайсов, маскирующих номера, но я сомневаюсь в их эффективности.
В этом случае вам опять может помочь регистрация автомобиля на компанию «ООО Без имени». Вниманию мега-параноиков: помните, что новые модели автомобилей оснащены системами GPS трекинга, такими как OnStar. Ее следует отключить или просто не покупать автомобиль в такой комплектации.
Если хотите достичь топ-уровня конфиденциальности, то вообще не покупайте автомобиль. Без машины можно легко обойтись в густонаселенных районах, хотя, в сельской местности без машины будет сложно. В районах со средней плотностью населения можно пользоваться сервисами каршеринга и совместных поездок. Аккаунт, разумеется, лучше завести на компанию «ООО Без имени».
Пересекая границы, будьте готовы к проверкам службами безопасности. Здесь есть два пути:
- Везите все необходимые данные с собой в зашифрованном виде
За: Это удобно
Против: Вы не сможете отрицать, что это — ваше - Не везите данные с собой
За: Пограничные службы могут вас обыскать, но ничего не найдут
Против: Данные надо будет передавать другим способом
Если вы не хотите везти через границу устройства для хранения данных, заранее перешлите диск с зашифрованными данными в пункт назначения. Можно также создать образ диска, зашифровать его и загрузить в облако. Еще один вариант — хранить все ваши данные на постоянно работающем домашнем компьютере. В этом случае вам всегда будет открыт доступ к файлам через протокол SFTP/SCP или более понятные программы, типа Syncthing. Можно также управлять своим компьютером через сторонний сервер и работать с ноутбуком как с тонким клиентом, используя протоколы RDP и SSH для удаленного доступа.
Джонатан Корган написал программу для создания полностью зашифрованного образа диска Ubuntu, с возможностью выбора настроек. Полученный ISO-образ можно записать на DVD, флешку или запустить образ на виртуальном компьютере.
Возможно, вы замечали, что во время прохождения паспортного контроля паспорт сканируют и делают фото. У вас нет выбора и вы обязаны пройти эту процедуру, если не являетесь гражданином страны, в которую въезжаете. Но если вы возвращаетесь к себе домой, то имеете полное право отказаться от этого.
Прибыв в место назначения, вы, скорее всего, поселитесь в гостинице. Во время регистрации пользуйтесь псевдонимом. Раньше с этим было проще: можно было назвать любое имя и заплатить наличными. Сейчас большинство отелей просят ID и банковскую карту. JJ Luna рекомендует добавить еще одного «авторизованного пользователя» к банковской карте с именем, которое вы будете использовать как псевдоним. Администраторам отелей чаще всего бывает все равно, совпадает ли имя того, кто зарезервировал номер, и того, кто за него заплатил. Так делают писатели, актеры и музыканты. Если вас все же спросят, почему имена не совпадают, скажите, что номер зарезервирован на ваш сценический псевдоним и на него же оформлена карта.
Выборы
Голосуя на выборах, вы светитесь в открытых реестрах. Добавить здесь нечего.
Преступление
Понятно, что совершать преступления не стоит. Если поймают, то информация о вас появится во многих базах данных. Но есть и другая проблема — что, если вы сами станете жертвой преступления*? Последствия будут столь же печальны — ваши данные попадут во всевозможные базы данных. Единственное, что можно посоветовать — держитесь подальше от плохих компаний и избегайте стремных ситуаций. Если вы вдруг стали свидетелем преступления или чрезвычайного происшествия и решили позвонить в полицию, то воспользуйтесь одноразовым телефоном и ни в коем случае не оставляйте контактные данные.
Защити свою семью
Тут тоже все очень сложно. Чем больше членов семьи проживают с вами, тем выше уровень угрозы конфиденциальности. То есть вы должны не только обезопасить себя лично, но и позаботиться о надлежащем уровне защиты данных всех членов семьи. В этой ситуации не должно быть ни одного слабого звена.
Бракосочетание: создается запись в государственном реестре о вашей связи с кем-то. Учитывая факт, что свадьба, как правило, мероприятие публичное, проводить ее желательно вдали от места фактического проживания.
Дети: вам необходимо будет получить свидетельство о рождении, медицинскую карту и школьные документы. Последний пункт обойти сложнее всего. Это очень дорого, но если вам по карману, можно перевести ребенка на домашнее обучение или отправить в частную школу.
Сверхзадача: запутать след
Если вам позволяют средства, подумайте о том, как расставить ложные указатели. У тех, кто вас выслеживает, скорее всего, ограниченный бюджет. Специально допуская утечку ложной информации, вы можете отправить преследователей по ложному следу и завести их в тупик.
Как можно это устроить?
- Выберите адрес, куда вы могли бы переехать;
- Расскажите о нем друзьям и знакомым, которые точно туда никогда не приедут;
- Измените место проживания в социальных сетях;
- Заведите профили в соцсетях, привязанные к этому адресу, чтобы они засветились в открытых базах данных.
Время у всех ограничено. Деньги — тоже. Так что в большинстве случаев люди, которые хотят вас найти, перестанут искать вас после нескольких неудачных попыток.
Чистим историю и удаляем данные
В некоторых странах/штатах можно отправить в официальные органы запрос на удаление персональной информации из баз данных различных служб. Впрочем, это может оказаться пустой тратой времени, так как нельзя быть на 100% уверенным, что все ваши данные действительно удалят.
Если вы решительно настроены покончить со «старой жизнью» и начать все заново, то вам вообще не стоит волноваться об оставшейся в реестрах личной информации — ее можно оставить как ложный след.
Последнее предупреждение
Пользуясь этими рекомендациями, вы не сможете скрыться от правительственных спецслужб. Кроме того, помните о камерах видеонаблюдения. Они торчат на каждом углу и объединены в сеть, так что скрыться от «Большого Брата» в городских условиях крайне сложно. С полной уверенностью можно предположить, что существует множество компаний, которые обрабатывают записи с этих камер, используя алгоритмы распознавания лиц, татуировок, походки, а потом продают данные третим лицам.
Самое слабое звено вашей защиты – это люди, с которыми вы общаетесь. За последнее время я несколько раз сталкивался с идиотами, которые сливали информацию обо мне. С некоторыми случаями утечки данных я разобрался, с остальными — буду надеяться, что пронесет. Чтобы избежать подобных ситуаций, никогда и ни при каких обстоятельствах не указывайте ваш реальный номер телефона и адрес электронной почты.
Будьте предельно внимательны и постоянно следите за действиями сервисов, которыми пользуетесь. У меня было несколько моментов, когда приходилось вмешиваться в их деятельность. Например, однажды банк отправил мне анкету для выдачи дебетовой карты на «ООО Без имени», причем на бланке было указано мое реальное имя. Это могло привести к серьезной утечке информации и любой продавец смог бы отследить связь между мной и «ООО Без имени».
Стресс-тест
Единственный способ проверить, насколько хорошо вы спрятались, – нанять специалистов, которые попытаются преодолеть все установленные вами барьеры. Наймите опытного частного детектива. Или двух, и попросите их покопаться в вашей жизни. После этого вы сможете понять, насколько глубоко нужно будет копать и какова цена вопроса, чтобы вычислить вас. По большому счету, все зависит от мотивации ваших преследователей.
Опытный частный детектив в поисках ваших следов исследует самые разнообразные базы данных. И если он ничего не найдет – не останавливайтесь. Попросите его выйти на след кого-то из ваших друзей или родственников, которые способны слить информацию о вас.
Если вы считаете себя экспертом в этой области, можете указать на пробелы в моей системе безопасности, или просто хотите что-то добавить — пишите на [email protected]. Давайте поговорим.
***
Вот еще несколько полезных источников информации, которыми я пользовался, но не упомянул в этом тексте: