70-дневный план действий по веб-безопасности для художников и активистов, находящихся в осаде

У нас есть 70 дней, пока Дональд Трамп не вступит в должность. Крайне важно, чтобы люди, находящиеся в осаде (POC, LGBTQ +, представители коренных народов, иммигранты, мусульмане, люди с ограниченными возможностями и т. Д.), Особенно художники и активисты, предпринимали шаги для защиты своих данных и конфиденциальности в Интернете.

Я не специалист по информационной безопасности и не юрист. Это всего лишь предложения. Этот список не является исчерпывающим или единственным способом защиты ваших данных.

Веб-безопасность похожа на дерево. Молодое дерево можно сломать кулаком. По мере того как деревья выращивают слои и корни, им требуются знания, оборудование и энергия для вырубки. Я пытаюсь помочь вам добавить уровни безопасности в вашу повседневную жизнь. Мне не нравятся слова «безопасный» или «безопасный», потому что ничто не вписывается в эти категории. Единственное, что мы можем сделать, это стать безопаснее и безопаснее. Каждый пункт маркировки - это слой, шаг, который должен сделать другой человек или агентство, чтобы получить доступ к вашей информации и обменяться ею. Я попытался выбрать слои, которые имеют максимальную отдачу от ваших инвестиций во времени и деньгах. Подумайте о своей ситуации и ресурсах и создайте свой собственный план действий.

Я буду обновлять эту статью с изменениями, поскольку я узнаю новую информацию и лучшие способы сделать вещи. Если у вас есть какие-либо идеи или изменения, пожалуйста, напишите мне или прокомментируйте.

Я хочу определить предположения, которые лежат в основе этой статьи:

  • Небольшой первый шаг снижает ваши умственные барьеры.
  • Изменение рабочих процессов сложно и требует практики. Идите в своем собственном темпе и будьте спокойны с собой.
  • COINTELPRO (и подобные программы) не просто «случились». Это происходит и будет нарастать.
  • Правительственные и неправительственные органы уже держат вас в поле зрения: они знают, что вы не согласны с каким-то элементом статус-кво и что вы находитесь в осаде (черный, POC, мусульманин, странник, человек с физическими или умственными недостатками, недавний иммигрант, коренной и т. д.).
  • Многие из ваших личных сообщений находятся на учетных записях электронной почты и устройствах ваших друзей и семьи.
  • Наблюдение за капитализмом опасно. Мы не знаем, как технические компании извлекают выгоду из данных своих клиентов. Большинство людей не понимают, что такие корпорации, как Facebook и Google, знают о них, как данные используются / покупаются / продаются / агрегируются / продаются / развертываются, и если корпорации уже передали информацию правительственным группам. Отсутствие прозрачности + колониализм / капитализм + технологическое превосходство = СТРАННАЯ ОПАСНОСТЬ.

Предупреждение о привилегиях. У меня есть привилегия тратить время на размышления и снимать деньги с кредитной карты для покрытия некоторых расходов, связанных с приобретением VPN-доступа, физических сейфов и технических услуг. Эта статья просто быстрая мозговая разрядка. Следующий шаг для нас - организовать и помочь тем, у кого нет такого же уровня привилегий. Не забудьте защитить свою кислородную маску, прежде чем помогать своему соседу.

ПОСЛЕДНИЕ ОБНОВЛЕНИЯ: 24.11.16 в 11:30 EST (29k просмотров с 11/10)

ноябрь

  • Снимите 10–40 долларов наличными в своем банке.
  • Купите подарочную карту Starbucks за наличные.
  • Используйте подарочную карту, чтобы приобрести VPN-доступ от 1 месяца до 1 года на https://www.privateinternetaccess.com (или аналогичную службу по вашему выбору. Спросите или прочитайте онлайн-обзоры. Убедитесь, что служба не ведет журналы ваша деятельность). Имейте в виду: лучше покупать VPN с кредитной / дебетовой картой, чем вообще ничего не покупать. Кроме того, это всего лишь небольшой слой, и все еще можно выяснить, какой VPN-сервис вы используете.
  • Загрузите и начните использовать Tor в качестве основного браузера. Обязательно следуйте инструкциям и предупреждениям безопасности здесь: https://www.torproject.org/download/download-easy.html.en#warning
  • Поскольку невозможно следовать всем предупреждениям и существуют ограничения для Tor, хорошей идеей является также использование VPN. Если вы не используете VPN, хорошее начало - Tor + Chrome / Firefox с расширением HTTPS Everywhere.
  • Скачайте Signal на свой телефон и предложите всем, с кем вы общаетесь в частном порядке, использовать его. Используйте его вместо iMessage, SMS, WhatsApp, сообщения Facebook и т. Д. Вы также можете совершать звонки. Настольная версия может использоваться вместо Skype, Slack и т. Д.
  • Включите двухфакторную аутентификацию на всех почтовых, финансовых и т. Д. Сервисах.
  • Проведите аудит информационной безопасности - начните обсуждать, как вы используете социальные сети, электронную почту, мобильные устройства и облачное хранилище. Как вы используете эти услуги? Какие коммуникации необходимо перевести на защищенные каналы? Сохраняются ли конфиденциальные документы в облаке? Можете ли вы вообще выйти из Facebook, Twitter, Google и Amazon?
  • Выберите сильные и четкие парольные фразы. У Intercept есть удобное руководство: https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
  • @AllBetzAreOff рекомендует использовать не облачный менеджер паролей для генерации и защиты ваших паролей. Более подробная информация здесь: https://securityinabox.org/en/guide/keepassx/windows
  • Важно включить автоматическое обновление программного обеспечения, чтобы вы были защищены от известных уязвимостей программного обеспечения. (Спасибо Дэну Салливану, Ph.D. за этот совет! Посмотрите его превосходный комментарий для получения дополнительной информации.)
  • Зашифруйте свои мобильные устройства. iPhone автоматически шифруется, но многие используют неадекватные коды доступа. Сброс вашего кода до длинной случайной строки чисел (убедитесь, что вы записали это, пока вы записываете его в память). Пользователи Android могут включить шифрование в приложении «Настройки».
  • Зашифруйте свой компьютер с помощью BitLocker (Windows) или FileVault (Mac).

Декабрь

  • Если у вас есть (или вы хотите) веб-сайт, база данных или приложение, присоединитесь к зашифрованному хостингу, например, MayFirst.
  • Приобретите физический сейф (например, SentrySafe SFW123DSB) для важных документов, жестких дисков / USB-ключей и иллюстраций. Вы можете разделить эту стоимость с людьми, которые живут поблизости. Если ваша работа больше обычного домашнего сейфа, и вы хотите поболтать, пингуйте меня. Нам нужно подумать, как помочь осажденным художникам защитить свое искусство от разрушения. Исследуйте сейф, чтобы удостовериться, что электроника не окислится, или купите пакеты с осушителем силикагеля / специальные рукава.
  • Купите жесткий диск, который может хранить ваши цифровые файлы. Зашифруй это. В будущем подумайте о покупке нескольких накопителей и храните наиболее ценную информацию в нескольких местах. Если вы купили сейф, держите жесткий диск там. Вам также следует подготовиться к тому моменту, когда доступ к Интернету или ваша информация, хранящаяся в Интернете, будут полностью недоступны для вас.
  • Аудит вашего облачного хранилища. Где вы храните файлы? Какая информация хранится? Где самая конфиденциальная информация?
  • Начните ломать свою зависимость от облачного хранилища (когда это возможно): iPhoto, Google Photos, Google Drive, DropBox и т. Д. Структурируйте свои файловые системы так, чтобы их было легко перемещать без возможностей поиска Google.
  • Посмотрите, сможете ли вы сократить использование Chrome / Firefox / Safari / etc до конца месяца. Деннис Кэхиллэйн говорит:
«Да, я не рекомендую использовать надстройку Firefox, которую вы устанавливаете самостоятельно. Я рекомендую загрузить комплект Tor Browser непосредственно из проекта Tor здесь https://www.torproject.org/download/download. Использование комплекта Tor Browser легко для нетехнических пользователей, но вы быстро разочаруетесь в его ограничениях. Когда вы не используете Tor, я рекомендую Firefox или Chrome со следующими дополнениями: HTTPS Everywhere, uBlock Origin ».
  • Загрузите все свои файлы на свой компьютер + внешний жесткий диск. Это может занять некоторое время, чтобы вы могли делать выпечку в день. Начните с самой конфиденциальной информации. (Это только начало. Есть способы получить доступ к зашифрованному облачному хранилищу, я думаю, что люди могут подумать об этом после Нового года, после того как они сделали первоначальную передачу и сломали свою зависимость от простых в использовании облачных сервисов).
  • Если вы хотите, выберите провайдера электронной почты активиста, которого вы будете использовать вместо Gmail (или службы, такой как ProtonMail). Вы также должны будете зацикливаться на своих друзьях и семье. Джейми Макклелланд, соучредитель MayFirst / PeopleLink, говорит:
«Использование Gmail - определенно плохая идея. При Обаме мы значительно расширили шпионскую инфраструктуру федерального правительства, и они определенно нацелены на крупных корпоративных провайдеров - либо компрометируя их, либо просто отправляя им повестку в суд. И теперь все это будет принадлежать Трампу.
Для электронной почты, оставайтесь с активистами. И * каждый * должен это сделать. Если у вас есть групповой разговор, и только один человек находится в Gmail, то все идет в Gmail.
Если все находятся на MF / PL, то они никогда не покидают наши серверы, и их намного сложнее перехватить. Если некоторые люди на Riseup, а некоторые на MF / PL, это тоже хорошо - так как MF / PL и Riseup будут шифровать сообщения между серверами.
Однако ... даже со всеми этими средствами защиты я бы посоветовал не полагаться на электронную почту в случае чего-либо деликатного.
Если вы этого еще не сделали, я бы предложил заменить любую программу, которую вы используете для отправки SMS-сообщений, на Сигнал (https://whispersystems.org/). Это на iPhone и Android. Это простой в использовании и очень безопасный.
Я бы также предложил использовать Jabber (см. Страницу MF / PL здесь: https://support.mayfirst.org/wiki/how-to/jabber).
Оба сигнала и Jabber работают на вашем телефоне и обеспечивают гораздо лучшее шифрование и конфиденциальность, чем когда-либо электронной почты.

Примечание по электронной почте: Дэн Салливан, доктор философии. оставил соответствующую критику учетных записей электронной почты активиста в комментариях:

Кроме того, Infosec - это в основном битва технических навыков и ресурсов. У Google больше обоих, чем у любого другого поставщика электронной почты или другого облачного провайдера Я использую Gmail с двухфакторной аутентификацией и буду придерживаться его. Конечно, агентство может получить ордер на электронные письма в Google, но вероятность успешного взлома инфраструктуры Google для получения этих электронных писем меньше, чем взлом другого провайдера с меньшими ресурсами.

Я отвечаю:

Электронная почта кажется невозможной для защиты. Я уже начинаю отдаляться от электронной почты как своего основного средства общения. Хотя я мог бы использовать сквозную зашифрованную службу, PGP и т. Д. 95% моих контактов не имеют доступа к этой технологии. Итак, вопрос в том, где я хочу хранить свои незашифрованные электронные письма и метаданные? Кому я больше доверяю - Google или группы активистов? Хотя группы активистов привлекают к себе внимание, я доверяю репутации Riseup и MayFirst по противодействию судебным повесткам из американских жюри, агентств США и многих других правительственных / правовых систем по всему миру. Из-за идентичности и идеологий художников-диссидентов правительство уже знает, что мы активисты. Я бы предпочел сотрудничать с группами, которые работают над этим вопросом уже довольно давно. Я также опасаюсь капитализма наблюдения, потому что он идет рука об руку с состоянием наблюдения. COINTELPRO и другие проекты по надзору, которые повлияли на движения под руководством POC, находятся в моей памяти, когда я принимаю эти решения. У Google есть деньги и ноу-хау, но они не заботятся обо мне или моей борьбе. Они не собираются идти на матрасы для меня. Мне не нравятся поставщики демографических и психометрических данных, такие как Google и Facebook (и отсутствие прозрачности того, как эта информация используется). Я - художник-диссидент, который готов потратить столько усилий, чтобы как можно больше избавиться и стать участником политических технических групп.

Вот короткий клип о тренинге по шифрованию электронной почты, который я дал в Eyebeam.

январь

  • Поделитесь тем, что вы узнали из этого процесса. Помогите другим художникам начать укреплять свою безопасность. Если вы единственный человек, который использует Signal или активную учетную запись электронной почты, он не будет вам полезен.
  • Чтобы повысить безопасность вашей электронной почты, начните использовать PGP. А еще лучше, проведите вечеринку PGP, на которой вы, ваши близкие друзья, семья и коллеги установите GPG Tools и создадите ключи вместе. У Мэтта Митчелла есть отличное руководство (черновик а) о том, как раскрутить PGP без установки поставщика электронной почты: https://docs.google.com/document/d/1Zn62XjVRkt6_nvtgUvWO4WLo4VTQ3WQ98WKc5gkPb8w/edit
  • Организовать - сотрудничать с другими и исследовать групповые действия (собирать деньги для людей, которые не могут позволить себе услуги, приобретать безопасные единицы хранения для больших работ, создавать личные библиотеки книг и информации, на которые можно было бы ориентироваться и т. Д.). Попробуйте найти группы, такие как стороны безопасности Мэтта Митчелла CryptoHarlem: https://twitter.com/cryptoharlem
  • Если ваша информация достаточно скопирована, рассмотрите следующие шаги (т.е. удаление ее из облака).
  • Подумайте об использовании хвостов. @ciakraa из @hackblossom хорошо объясняет это в своем ОТЛИЧНОМ руководстве по феминистской кибербезопасности:
Существует бесчисленное множество ситуаций, в которых хвосты могут стать бесценным инструментом для вашей конфиденциальности. Активисты, желающие организоваться, несмотря на государственное наблюдение, могут использовать «хвосты» для эффективного общения. Люди, отслеживаемые хищными злоумышленниками, могут использовать хвосты для доступа в Интернет, не рискуя своим физическим местонахождением или данными. Кто-то, кто хочет использовать общедоступные компьютеры или интернет-сети, может сделать это, сохраняя при этом свою конфиденциальность. В любое время, когда вы хотите быть максимально приватным в своей деятельности и своих данных, Tails - это невероятный инструмент, который вы можете получить!

Известны следующие шаги и вопросы

  • Как организаторы могут использовать PGP, чтобы избежать проникновения? (У меня есть 9 приглашений Keybase. Пинг мне, если хотите)
  • Как мы можем сделать зашифрованное онлайн-хранилище простым в использовании для людей, которые не имеют опыта работы с IT / DevOps / tech?
  • Какие инструменты нужны людям, находящимся в осаде, чтобы избежать использования Google, Twitter, Facebook, Amazon и других сервисов?
  • Должны ли измениться наши банковские привычки (кредитные карты, онлайн-банкинг, криптовалюта и т. Д.)?

Сообщества и организации

Мистер Роджерс однажды сказал, что когда он был маленьким мальчиком и произошла национальная трагедия, его мама сказала ему: «Ищите помощников. Всегда есть помощники ». В течение 6 часов после публикации сообщения, добрые специалисты по безопасности связались со мной и хотели помочь вам быть в безопасности в Интернете. Надеюсь, что после того, как вы защитите кислородную маску, вы сделаете то же самое для своей семьи, друзей и сотрудников. Вот сообщества, к которым вы можете присоединиться:

  • MayFirst / People Link - https://mayfirst.org/en/index.html
May First / People Link участвует в создании движений, продвигая стратегическое использование и коллективный контроль технологий для локальной борьбы, глобальных преобразований и эмансипации без границ. Исходя из этой миссии, наша организация переопределяет концепцию «Интернет-провайдера» коллективно и совместно. Как и любая демократическая членская организация, мы собираемся каждый год, чтобы оценить прошлогодний опыт, спланировать работу на следующий год и избрать руководящий комитет, чтобы применить то, что мы решили. Как кооператив, мы платим взносы, покупаем оборудование, а затем используем все это оборудование для веб-сайтов, электронной почты, списков адресов электронной почты и почти для всего остального, что мы делаем в Интернете. Как организация движения, мы участвуем (и часто возглавляем) в кампаниях, борьбе, коалициях и сети левых, прогрессивных и организаций социальной справедливости в США, Мексике и на международном уровне.
  • Riseup - https://riseup.net/
Riseup предоставляет инструменты онлайн-общения для людей и групп, работающих над освободительными социальными изменениями. Мы являемся проектом по созданию демократических альтернатив и практике самоопределения, контролируя наши собственные безопасные средства связи.

24.11.16: заметка о Riseup: загадочные твиты и устаревшее канарейка означают, что Riseup могли быть скомпрометированы. Если вы используете Riseup, вы должны: A. Пожертвовать им и B. Решить, будете ли вы продолжать пользоваться сервисом или перейти на другой, пока канарейка не будет обновлена. Есть аргументы для ожидания и аргументы для резервного копирования данных и использования другого поставщика, пока канарейка не будет обновлена. Проверьте статью ниже для получения дополнительной информации.

  • CryptoParty NYC - https://www.cryptoparty.in
С CryptoParty вы создаете среду, в которой люди из разных слоев общества собираются вместе и учатся друг у друга. Следовательно, вы можете включить людей разного возраста, пола, наследия и опыта.
Двери открываются, люди прибывают, находят место и общаются. Короткое вступление официально открывает событие, а затем оно выходит за столы. Каждая таблица охватывает тему, и люди решают, что они хотели бы выучить или преподать.
Людям будет удобнее, если у них будет достаточно времени для общения. Тогда они будут чаще задавать вопросы. Но это также требует среды, в которой они чувствуют себя комфортно, общаясь. Задание сцены - ваша задача.
  • CryptoHarlem - https://twitter.com/cryptoharlem
  • Технологический кооператив Паланте - http://palantetech.coop/
Технологический кооператив Palante помогает прогрессивным некоммерческим организациям продвигаться вперед с помощью технологий. Мы приходим к этой работе с техническим опытом, глубоким пониманием особых потребностей общественных организаций и давней приверженностью работе в интересах социальной справедливости.

Ресурсы

  • Что нужно знать о веб-безопасности до инаугурации Трампа: руководство по снижению вреда - https://medium.com/@kappklot/things-to-know-about-web-security-before-trumps-inauguration-a-harm-reductionist- гид-c365a5ddbcb8
  • Как зашифровать всю свою жизнь менее чем за час
  • Вот дерьмо! Что мне делать до января? (руководство написано с учетом интересов ЛГБТ +) - https://docs.google.com/document/d/1QjiJi4YBbmdnWyTdKDb-IgLvTjYKWx3WqNirAkGMQV8/edit#heading=h.ln4kek81khwg
  • Руководство для активистов по архивированию видео: https://archiving.witness.org/archive-guide/
  • Как добраться до перехвата: https://theintercept.com/2015/01/28/how-to-leak-to-the-intercept/
  • Руководство по феминистской кибербезопасности, сделанное своими руками - https://tech.safehubcollective.org/cybersecurity/
  • Ресурсы: что вы можете сделать прямо сейчас - http://entropymag.org/resources-what-you-can-do-right-now/
  • Зашифруйте свой ноутбук, как вы хотите - https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/
  • Наблюдение за самообороной против администрации Трампа - https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/
  • Стартовый пакет безопасности Фонда электронной границы - https://ssd.eff.org/en/playlist/want-security-starter-pack