Распространенные заблуждения
"ПО с открытым исходным кодом всегда безопасно" или "Проприетарное ПО более безопасно"
Эти мифы проистекают из ряда предрассудков, однако доступность исходного кода и способ лицензирования программного обеспечения по своей сути никак не влияют на его безопасность. Программное обеспечение с открытым исходным кодом имеет потенциал быть более безопасным, чем проприетарное программное обеспечение, но нет абсолютно никаких гарантий, что это так. Когда вы оцениваете программное обеспечение, вы должны смотреть на репутацию и безопасность каждого инструмента в отдельности.
Программное обеспечение с открытым исходным кодом может проверяться третьими сторонами, и зачастую оно более прозрачно в отношении потенциальных уязвимостей, чем проприетарные аналоги. Оно также позволяет просматривать код и отключать любые подозрительные функции, которые вы обнаружите. Однако, если вы не сделаете этого, нет никакой гарантии того, что код когда-либо проверялся, особенно в небольших проектах. Открытый процесс разработки иногда использовался для создания новых уязвимостей, известных как Атаки на цепочку поставок, которые более подробно обсуждаются на странице Распространенные угрозы.1
С другой стороны, проприетарное программное обеспечение менее прозрачно, но это не означает, что оно небезопасно. Крупные проекты по разработке проприетарного программного обеспечения могут подвергаться внутреннему аудиту и аудиту сторонних организаций, а независимые исследователи безопасности все еще могут находить уязвимости с помощью таких методов, как реверс-инжиниринг.
Чтобы избежать необъективных решений, жизненно важно оценить стандарты конфиденциальности и безопасности программного обеспечения, которое вы используете.
"Смещение доверия может повысить уровень конфиденциальности"
Мы часто говорим о "смещении доверия" при обсуждении таких решений, как VPN (смещающие доверие с интернет-провайдера на VPN-провайдера). Хотя это защищает ваши данные конкретно от вашего интернет-провайдера, выбранный вами VPN-провайдер все равно имеет доступ к вашим данным: ваши данные не защищены от всех сторон. Это означает, что:
- Вы должны проявлять осторожность при выборе провайдера, которому вы будете доверять.
- Для полной защиты данных все же следует использовать другие методы, например E2EE. Простое недоверие к одному провайдеру для того, чтобы довериться другому, не обеспечивает безопасность ваших данных.
"Решения, ориентированные на конфиденциальность, по своей сути являются надёжными"
Сосредоточившись исключительно на политике конфиденциальности и маркетинге ПО или провайдера, вы можете не заметить его слабые стороны. Если вы ищете более частное решение, вам следует определить, в чем заключается основная проблема, и найти технические решения этой проблемы. Например, вы не хотите использовать Google Drive, который даёт Google доступ ко всем вашим данным. Основной проблемой в данном случае является отсутствие E2EE, поэтому вы должны убедиться, что провайдер, на которого вы переходите, действительно реализует E2EE, или использовать инструмент (например, Cryptomator), обеспечивающий E2EE на любом облачном провайдере. Переход на провайдера, "ориентированного на конфиденциальность" (который не реализует E2EE), не решает вашу проблему: он просто переносит доверие с Google на этого провайдера.
Политика конфиденциальности и деловая практика выбранных вами провайдеров очень важны, но должны рассматриваться как вторичные по отношению к техническим гарантиям вашей конфиденциальности: Не стоит перекладывать доверие на другого провайдера, когда доверие к провайдеру вообще не является обязательным условием.
"Сложнее - лучше"
Мы часто видим, как люди описывают слишком сложные модели угроз конфиденциальности. Часто эти решения включают такие проблемы, как множество различных учетных записей электронной почты или сложные настройки с большим количеством условий. Ответы, как правило, являются ответами на вопрос "Как лучшего всего сделать X?"
Поиск "лучшего" решения для себя не обязательно означает, что вам нужно безошибочное решение с десятками условий - с такими решениями часто трудно работать в реальности. Как мы уже говорили ранее, безопасность часто достигается ценой удобства. Ниже мы приводим несколько советов:
- Действия должны служить определенной цели: подумайте о том, как сделать то, что вы хотите, с помощью наименьшего количества действий.
- Избегание человеческого фактора: Мы терпим неудачи, устаем и забываем. Чтобы поддерживать безопасность, не полагайтесь на ручные условия и действия, которые вы должны помнить.
- Используйте правильный уровень защиты для того, что вы задумали. Мы часто встречаем рекомендации так называемых решений, защищенных от правоохранительных органов или судебных решений. Они часто требуют специальных знаний и, как правило, не являются тем, что нужно людям. Нет смысла строить сложную модель угроз для анонимности, если вас можно легко деанонимизировать по простой оплошности.
Итак, как это может выглядеть?
Одна из самых четких моделей угроз - это модель, в которой люди знают, кто вы, и модель, в которой они этого не знают. Всегда будут ситуации, когда вы должны объявить свое юридическое имя, а есть такие, где это не нужно.
-
Известная личность – известная личность используется в ситуациях, когда вы обязаны указать свое имя. Существует множество юридических документов и контрактов, где требуется указать личность. Это может быть открытие банковского счета, подписание договора аренды, получение паспорта, таможенные декларации при импорте товаров или любые другие взаимодействия с государственными органами. Как правило, это касается таких данных, как кредитные карты, проверка кредитного рейтинга, номера счетов и, возможно, физические адреса.
Мы не советуем использовать VPN или Tor для этих целей, поскольку ваша личность уже известна с помощью других средств.
Совет
При совершении покупок в Интернете использование почтомата поможет сохранить конфиденциальность вашего физического адреса.
-
Неизвестная личность – это может быть стабильный псевдоним, который вы регулярно используете. Она не анонимна, потому что не меняется. Если вы являетесь частью онлайн-сообщества, возможно, вам захочется сохранить личность, которую знают другие. Этот псевдоним не является анонимным, поскольку, если за ним достаточно долго наблюдать, можно получить дополнительную информацию о его владельце: манеру письма, общие знания по интересующим темам и т. д.
Для этого вы можете использовать VPN, чтобы замаскировать свой IP-адрес. Финансовые операции сложнее замаскировать: Вы можете рассмотреть возможность использования анонимных криптовалют, таких как Monero. Использование альткоинов также может помочь скрыть место происхождения вашей валюты. Как правило, биржи требуют пройти процедуру KYC (know your customer), прежде чем разрешить вам обменять фиатную валюту на любую криптовалюту. Варианты местных встреч также могут быть решением проблемы, однако они зачастую более дорогие и иногда требуют KYC.
-
Анонимная личность - даже при наличии опыта анонимные личности трудно поддерживать в течение длительного времени. Это должны быть краткосрочные и недолговечные личности, которые регулярно меняются.
Использование Tor может помочь в этом. Стоит также отметить, что большая анонимность возможна при асинхронном общении: Общение в реальном времени уязвимо для анализа шаблонов набора текста (т.е. более чем абзац текста, распространяемый на форуме, по электронной почте и т.д.)
Функция "цифрового наследия": Термин "цифровое наследие" подразумевает под собой набор функций, который позволяет вам регулировать права доступа других людей к вашей информации после того, как вы умрете
-
Заметная атака на цепочку поставок произошла в марте 2024 года, когда злоумышленник добавил обфусцированный бэкдор в
xz
, популярную библиотеку сжатия. Бэкдор (CVE-2024-3094) предназначался для предоставления неизвестному лицу удаленного доступа к большинству Linux-серверов через SSH, но он был обнаружен до того, как получил широкое распространение. ↩
Вы читаете Русский перевод сайта Privacy Guides, выполненный нашей невероятной командой переводчиков на платформе Crowdin. Если вы заметили ошибку или непереведенные части на этой странице, пожалуйста, помогите нам! Перейти на Crowdin
You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!