Лукашенко подписал очередной одиозный указ, который дает КГБ право круглосуточного доступа к базам данных и информационным системам интернет-ресурсов Беларуси. Проще говоря, теперь любой клик в «беларуском» интернете (речь не только про комментарии, но и, например, заказы товаров) смогут отследить без особого труда — в «целях оперативно-разыскной деятельности». KYKY спросил у пресс-секретаря «киберпартизан» Юлианы Шеметовец, как в новой виртуальной реальности обойти слежку комитетчиков.
Какие сайты будут отслеживать и что вообще в жизни беларусов поменяет этот Указ?
Юлиана Шеметовец: «Указ № 368 нужен для удобства получения информации в реальном времени. Планируемые нововведения позволят вести передачу информации с сайтов, чьи сервера находятся на территории РБ, напрямую на сервера ОАЦ и КГБ. Это значит, что все действия, которые фиксирует провайдер, будут сразу фиксировать в ОАЦ и КГБ. Во-вторых, все регистрационные данные пользователей и их личные переписки, заказы и другие действия на сайтах, чьи сервера находятся в Беларуси, могут быть известны ОАЦ и КГБ. В первую очередь, обяжут предоставлять информацию крупные площадки, например, Onliner, «Куфар», «Яндекс такси».
Нужно учитывать, что эти платформы сами должны будут обеспечить подключение к платформам КГБ, а это дополнительная рабочая сила и технологии. Это позволит избежать бумажной волокиты с постоянными запросами к владельцам сайтов и провайдерам, а еще создавать огромную базу с досье на каждого человека».
Как сделать так, чтобы комитетчики не отследили все мои покупки в разных интернет-магазинах?
«Лучше не оставлять никакой «чувствительной» информации о себе на беларуских и российских сайтах. Например, не писать никому в личке на «Куфаре», что продаешь мебель, лишь бы скорее уехать, а то тебя могут разыскивать. Самые секретные покупки нужно делать за кэш, принимая все меры предосторожности, чтобы не попасть на камеру: ковидная маска, очки и так далее.
Чтобы провайдер не мог фиксировать, чем вы занимаетесь, нужно обязательно использовать VPN (не российского и не беларуского производства!). При этом лучше в комплекте покупать и дополнительные вещи, которые никак не относятся с тем, для чего вы покупаете основной набор товаров — чтобы по цене нельзя было соотнести покупки. Важно пользоваться программами VPN для компьютера или телефона, а не просто встроенными плагинами для браузера. Так как обмениваться трафиком могут многие программы/мессенджеры на вашем устройстве даже без вашего ведома. По этим данным спецслужбы могут вас деанонимизировать, если серьезно поставят цель вас найти. Чтобы детальнее представлять, какую информацию знает провайдер, если не пользоваться VPN, можно почитать вот этот текст.
При этом важно отметить, что VPN — не панацея. Он помогает только замаскировать реальное местоположение юзеров для провайдера и владельцев сайта.
Главный совет по безопасности: заведите отдельную личность (аккаунт) для протестной деятельности. Такой аккаунт не должен быть связан с вашими реальными данными, не должен пересекаться по контактам, постам, интересам. Более подробно, как создать дополнительный гугл аккаунт (почта, документы, ютуб), можно узнать вот в этом видео. Для создания нового аккаунта в телеграме лучше всего следовать советам прямо вот здесь».
Спасет ли режим «инкогнито» и регистрация на «левую» почту, если не хочешь быть замеченным?
«Не спасут — если пользоваться только этим. При режиме «инкогнито», когда закрывается приватное окно, автоматически происходит выход из аккаунта. История просмотров в браузере не сохраняется, при этом без VPN IP-адрес будет отслеживаться провайдером. Поэтому всегда должна быть связка: VPN + режим «инкогнито» (или браузер Тор, в котором режим «инкогнито» всегда по умолчанию стоит) + отдельный протестный аккаунт + самому не писать о себе личную информацию. Подсуммируем вышесказанное:
• VPN маскирует IP-адрес, скрывает от провайдера реальное местоположение пользователя и что именно он делает в сети; также скрывает от владельцев сайтов ваше реальное местоположение (но не скрывает данные, если вы что-то делаете от своего реального имени, например, делитесь чувствительной информацией в комментариях или переписке в «ВКонтакте»);
• Режим «инкогнито» (приватное окно) не сохраняет историю ваших посещений сайтов.
• Отдельный протестный аккаунт избавляет от так называемого цифрового следа, то есть от всей той информации, которую вы за годы сами на себя оставили в интернете».
Что технически могут видеть комитетчики: операции, комментарии, поисковые запросы, транзакции — что-то еще?
«Проще сказать, что увидеть не смогут. Например, какие именно видео человек смотрел на ютубе или кому ставил лайки. Но это только в том случае, если у них нет физического доступа к телефону и почте человека — для этого и нужно всегда иметь альтернативный аккаунт. Почему не смогут? Действия на разных сайтах провайдер видит только при подключении к страницам через протокол http (виден в строке браузера). Если соединение идет через протокол https, провайдер фиксирует только адрес основной страницы, объем трафика, количество времени на этом сайте. Ютуб работает через протокол https, поэтому провайдер увидит только то, что пользователь что-то смотрит на ютубе, но не может узнать, что именно, даже если человек не пользуется VPN.
Чтобы было еще проще, давайте рассмотрим ситуацию, когда пользователь не включает VPN. Если человек заходит на зарубежный сайт, который работает по протоколу https, кгбшники видят только информацию от провайдера, так как владельцы сайта их указам не подчиняются. По информации от провайдера они видят, что пользователь зашел на этот сайт (но не передвижения внутри его страниц), объем отправленных и принятых данных, количество времени на сайте. Например, они не увидят ваши поисковые запросы в гугле и ютубе, потому что эти сайты работают по протоколу https и находятся за рубежом, то есть сами не выдадут информацию о вас. Это защищенный протокол, и провайдер не знает, по каким страницам вы ходите внутри таких порталов.
И даже если человек заходит на беларуский сайт, который работает по протоколу https, по информации, которую кгбшники получают от провайдера, они также ничего не увидят. Но! Силовики могут отправить запрос владельцам этого беларуского сайта и обязать выдать данные о ваших действиях, которую хранят сервера сайта: комментарии, логины и пароли, покупки, поисковые запросы конкретно внутри этого сайта по его поисковику и тому подобное.
Если человек заходит на беларуские или зарубежные сайты, которые работают по протоколу http, то кгбшники знают все, что делает пользователь с конкретным IP адресом: передвижения по сайту, логины и пароли, комментарии, анкетные данные, покупки и пр.
Чтобы понять, протокол — http или https — по которому работает сайт, нужно смотреть на строку браузера, где и пишется адрес сайта. Возле адресов, работающих по https, стоит замочек».
Этот Указ может быть связан с еще одним «свежим» постановлением о регулировании цен?
Например, чтобы в режиме онлайн следить за коммерсантами, которые после проверок могут опять поднять или понизить цены.
Это не первостепенная задача – они явно разрабатывали эти процессы до того, как режим занялся регулированием цен. Конечно, они смогут использовать доступы в реальном времени и для слежения за ценами, если такая команда пойдет сверху. Но при этом нужно учитывать, что человеческих и технологических ресурсов у них недостаточно для того, чтобы отслеживать абсолютно все.
Единственный безопасный вариант для онлайн-покупок — магазины, чьи сервера не находятся в РБ или РФ. Остальные могут передавать информацию КГБ, ведь при покупке вы сами оставляете свой адрес, номер телефона, данные карты — тут даже VPN не спасет.
Поэтому для покупок стоит выбирать иностранные сайты, а сделку проводить в режиме «инкогнито» — так больше гарантий остаться незамеченным. Хотя если человек очень нужен КГБ, покупки даже в иностранных магазинах можно отследить по банковским транзакциям. И тогда многое зависит от того, что именно пишется в информации по банковским платежам. Например, если донатить на Patreon, банк не знает, куда именно человек донатит, но знает, что платеж пошел на платформу Patreon. Соответственно, об этом и не знают кгбшники. Они могут только узнать, что человек в целом куда-то донатил. (Например, вы можете поддержать кукуху и задонатить редакции прямо по этой ссылке).
Нужно понимать, что новый закон не дает кгбшникам каких-то доступов, которых у них не было до этого. Они и раньше могли получить информацию по запросу к владельцам беларуских сайтов о том, что вы покупали. Просто им нужно было этот запрос оформлять, дольше ждать результатов, проходить через обычный бюрократический процесс. А сейчас всё будет быстрее. Но это не значит, что они автоматически видят все, что покупают совершенно все беларусы. Пока вами кгбшники сильно не интересуются, они и не будут знать, что вы там покупаете.
Вместо выводов — семь кратких рекомендаций как безопасно совершать покупки:
• Все уведомления о покупке с электронной почты, если такие подтверждения приходят, нужно стирать.
• Все покупки в интернете нужно делать в режиме «инкогнито» браузера, чтобы не сохранялась история посещения страниц.
• Если КГБ прицельно выслеживают человека, его покупки можно засечь по банковским транзакциям. Поэтому самые секретные покупки нужно делать только за кэш, принимая все меры предосторожности, чтобы не попасть на камеру: ковидная маска, очки и так далее, используя только кэш.
• Если покупки делаются через интернет, то дополнительно в корзину к основному заказу добавляем что-то еще. Это нужно, чтобы невозможно было соотнести стоимость покупки с ценой, если она в открытом доступе. Лучше заказывать на разных зарубежных сайтах, на разные имена, телефоны и средства оплаты, оформленные на разных людей.
• Ни в коем случае нельзя совершать покупки в беларуских маркетплейсах, даже используя все методы предосторожности! Да, вы покупаете в разных магазинах, но платформа видит все ваши заказы, как от одного юзера! Если покупаете в заграничных маркетплейсах, пользуйтесь рекомендациями, изложенными выше.
• Покупать нужно так, чтобы привлекать минимум внимания. Скажем, не стоит сразу брать большие партии товара и в одном месте. Лучше заказывать на разных людей и пользоваться разными средствами оплаты. В противном случае, если все транзакции будут проходить через один кошелек, не спасет даже биток – будет понятно, что покупает один человек.
• Биткоином можно и нужно пользоваться, если есть анонимный кошелек и платформа позволяет провести такую форму оплаты.
Добро пожаловать в реальность!