– Вы потеряли флешку, – насупив брови, произнес ведущий сессии. – А на ней важные документы. Что будете делать?
– Не проблема, – весело отозвалась девушка с польской фамилией. – Есть резервная копия. Флешка зашифрована. Куплю новую.
– Э-э-э, – запротестовал парень из Мексики. – Слишком просто. Зашифрована, ага. Как будто их кто-нибудь и правда шифрует. Вот скажите, у кого из вас зашифрованы флешки?
Тридцать человек из пятидесяти подняли руки.
– О-о-о, вас много! – уважительно произнес мексиканец.
Этот диалог произошел на крупнейшем международном «Фестивале свободы Интернета», в котором участвовали гражданские активисты, журналисты, разработчики программ и сервисов, исследователи, переводчики, консультанты и тренеры по безопасности. Встреча прошла с 1 по 5 апреля 2019 года в испанском городе Валенсия. О том, как это было, рассказывает участник фестиваля, эксперт по цифровой безопасности Сергей Смирнов.
В 2011 году организация Open Internet Tools Project, которая занималась поддержкой инструментов и сервисов для противодействия сетевой цензуре, провела первую рабочую встречу Circumvention Tech Summit. Потом ежегодная встреча разработчиков выросла до международного фестиваля с более чем тысячей участников. «Фестиваль свободы Интернета» (Internet Freedom Festival, IFF) проходит каждую весну. Программа IFF фокусируется на темах, связанных с цензурой и другими ограничениями прав человека во всемирной сети.
«На IFF замечательное сообщество. Люди со всего мира поддерживают друг друга. Здесь неформальная обстановка, все равны, нет «суперзвезд». Я встретил тех, кто использует мою программу против цензуры уже двадцать лет. Активисты, которые работают в очень опасных регионах, по-настоящему храбрые люди». Джеймс Маршалл (James Marshall), разработчик CGIProxy.
Инструменты для гражданских активистов
На IFF съехались представители разных некоммерческих организаций – международных, национальных, совсем небольших. Все они ведут работу по защите цифровых прав, а некоторые занимаются еще и обучением. Было интересно, как разные инструменты и практики работают у коллег.
В свою очередь, разработчики программ и сервисов традиционно используют IFF для обратной связи с пользователями, чтобы лучше понимать их ожидания и потребности, сильные и слабые места своих продуктов. В 2019 году на IFF были представлены, в частности:
- Tor, широко известный инструмент для обеспечения анонимности в Интернете;
- Umbrella App, приложение для мобильных устройств с базовыми рекомендациями по цифровой безопасности, а также советами, что делать при инцидентах безопасности;
- CGIProxy, одно из старейших средств для преодоления цензуры;
- Psiphon, простой в использовании инструмент для безопасного обхода блокировок;
- Check, сервис для журналистского командного факт-чекинга;
- SecureDrop, сайт, который позволяет журналистам обеспечить прием важной информации от анонимных источников;
- Emergency VPN, инструмент, с помощью которого гражданский активист удаленно (и бесплатно) может проверить безопасность своего смартфона.
Несколько сессий затрагивало Tor. Разработчики поделились опытом продвижения этого инструмента в странах так называемого «глобального юга» (Латинская Америка, Индонезия, некоторые африканские страны и другие). Само понятие анонимности порой не воспринимается людьми как ценность, а законодательство или не видит эту тему вовсе, или вводит неадекватные ограничения. Там, где существуют такие белые пятна, команда Tor с помощью местных активистов занимается просветительской работой, а операторам узлов рекомендуется сотрудничать с властями. Но, например, в Бразилии анонимность ограничена, а в нестабильной Венесуэле, где правительство стремится контролировать Интернет, и вовсе запрещена. И здесь уже речь идет об использовании мостов для подключения к сети Tor. При сохраняющемся векторе государственной борьбы с анонимностью эта судьба ждет и российских пользователей.
Еще по теме: «Сетевой апрель»: Угрозы для общества в реальном и виртуальном мире
Я озвучил проблемы, которые, на мой взгляд, влияют на эффективное продвижение этого инструмента в среде гражданских активистов. Tor Browser, увы, тормозит на медленных соединениях, и бывает непросто объяснить человеку, что «новый браузер» стоит продолжать использовать. А еще Tor Browser основан на Mozilla Firefox, хотя гражданские активисты активнее используют Google Chrome. Привычки значат много. Совет от разработчиков: не акцентируйте внимание на том, что Tor Browser, по сути (и по названию), является браузером; описывайте его как специальную программу (обеспечение анонимности, обход цензуры).
Было и третье замечание: репутации Tor в новичковой аудитории вредит раздуваемая правительственной пропагандой практика использования этого мощного инструмента преступниками. Разработчики не согласились, призывали не сгущать краски и утверждали, что подобные случаи статистически редки. Исследователи и тренеры, работающие «в поле», настаивали, что не так уж редки, впрочем, для пропаганды довольно и малого. Конец сессии прервал этот незавершенный спор.
На другой сессии Вероника Валерос (Veronica Valeros) с коллегами презентовала инструмент под названием Emergency VPN. Это инструмент, разработанный CivilSphere Project, технически размещается в Пражском университете и предназначен для оценки уязвимости смартфонов.
Хотите удостовериться, что на вашем смартфоне нет вредоносного кода, что он не является частью бот-сети? Подключитесь к Emergency VPN на срок до трех дней (по запросу и только для гражданских активистов). Команда экспертов по безопасности проанализирует ваш трафик, определит, есть ли проблемы, и пришлет вам отчет.
«Мне было очень интересно познакомиться с разработчиками программ вроде Tor и Psiphon, которые помогают пользователям защищаться от угроз в Интернете. Ведь мы тоже рекомендуем эти инструменты в Umbrella», – отметила Мэдлин Эрп (Madeline Earp), специалист из команды разработчиков Umbrella App.
Обучение, консультации, аудит
Тренеры и консультанты по безопасности делились методиками и новыми взглядами на образовательный процесс. Например, в Латинской Америке тренерское сообщество в последние годы создало разветвленную сеть. Эксперты не только делятся новостями, но и подстраховывают друг друга, помогают проводить тренинги со сложными и большими группами.
Активистам из Беларуси помогает Белорусский дом прав человека (а в последние годы еще и Human Constanta), в Украине успешно работает «Лаборатория цифровой безопасности». В России темой защиты Интернета и его пользователей от цензуры занимается «Роскомсвобода», но сильной устойчивой коалиции тренеров и консультантов по безопасности в регионе пока, увы, нет.
Еще по теме: Саркис Дарбинян: «цифровые репрессии усилятся»
Люди, технологии, процессы: эти три составляющие, по мнению экспертов из «Лаборатории цифровой безопасности», являются ключевыми в работе консультанта для НКО, и технологии – меньшая из проблем. Излишняя зацикленность на технологиях и неподготовленность консультанта к работе в локальном контексте приносят вред.
«Не используйте Java!» – советует эксперт, упуская из виду тот факт, что многие банковские приложения написаны на Java. «Переходите с Windows на Linux!» – призывает другой консультант из самых благих побуждений. Но у команды нет ни опыта работы в Linux, ни толковой техподдержки на месте, которая что-то понимала бы в этой операционной системе.
Эксперты уезжают, отчитываются о достигнутом успехе и положительных переменах, а «благополучатели» фактически не используют то, о чем им рассказали. Бывает и так, что у НКО остается ложное ощущение безопасности. «Мы были на тренинге по безопасности, нам рассказали, как устанавливать двухфакторную аутентификацию, теперь наша почта защищена». На самом деле нет: почтовый сервис с готовностью помогает правительству по всем запросам, но учесть это может лишь тот, кто знает локальный контекст.
Помимо собственно повышения квалификации консультантов эксперты Ирина Чуливська и Антон Кушнир советуют вкладывать в первое знакомство с НКО меньше ожиданий, не давить на собеседников и приготовиться к длительным отношениям с «подопечным».
В кулуарах мы говорили о том, что общеобразовательные тренинги «для всех и обо всем» уступают место аудитам конкретных НКО, разработкам практик безопасности, целевой консультативной помощи.
«Мне нравится, что за последние четыре года на IFF стали больше уделять внимание нашему региону. Когда я была тут в первый раз, про Восточную Европу говорили совсем мало. Африканские страны, Латинская Америка – да. Но в сторону Восточной Европы в смысле безопасности Интернета почти не смотрели. А сейчас люди из нашего региона становятся более активными, продвигают эту тему, мы более видимы для международного сообщества». Ирина Чуливська, специалист «Лаборатория цифровой безопасности», Киев.
Сессия для тренеров по безопасностибыла посвящена тому, как порой тренеры перестают обращать внимание на угрозы им самим, что из этого выходит и как с этим работать. Советы имели в основном психологический характер: индивидуальный отдых, переключение (помогают хобби, разнообразные упражнения); преодоление традиционных НКО-шных табу вроде запроса адекватной оплаты; не принимать решения за клиента и вообще не пытаться прыгнуть выше головы; всегда иметь кого-то, с кем можно обсудить проблему (родственника, друга, коллегу).
Пришли к выводу, что для тренера неплохо иметь страховку и обязательно развивать сотрудничество с другими тренерами и консультантами. Одним из преимуществ тренерского сообщества (хотя бы в рамках региона) мог бы стать фонд экстренной помощи для коллег, попавших в беду. Тем, кто находится на грани эмоционального выгорания, вероятно, способны помочь «шелтеры», которые уже существуют для гражданских активистов.
Особое внимание уделили SAFETAG, популярной и динамично развивающейся методике аудита цифровой безопасности в некоммерческой сфере. Внешний аудит помогает команде взглянуть на ситуацию с безопасностью «незамыленным» глазом и логично расставить приоритеты. Одной из проблем может стать значительное расхождение в понимании «как надо» между айтишником-аудитором, системным администратором команды и ее менеджментом.
Пример – подробный, насыщенный терминами отчет, призванный устранить большинство технических уязвимостей. Такой отчет способен вызвать неприятие у местного системного администратора (с ним не согласовали детали, а он тревожится за свой авторитет в команде) и отторжение у менеджмента (слишком много и сложно, требует чересчур больших ресурсов для внедрения). Как бы ни хотелось аудитору детально изложить все найденные им проблемы, отчету надлежит быть лаконичным и согласованным со всеми заинтересованными сторонами.
Трудности перевода
Огромную работу для инструментов и практик в области безопасности делают переводчики (локализаторы). Сообщество Localization Lab организовало на IFF встречу переводчиков из разных стран, а также отдельную сессию, где переводчики общались с разработчиками программ и сервисов.
О каких проблемах шла речь? Например, об отсутствии глоссариев. В некоторых странах мира базовое понятие «приватность» не имеет внятного перевода, и его то превращают в «конфиденциальность» (а это не одно и то же), то разворачивают в сухое юридическое «право на неприкосновенность частной жизни» (трудно для неподготовленного читателя), то подменяют маловразумительным «прайвеси».
Мы в России прошли этот этап в 90-х годах, слово «приватность» прижилось, но осталось множество специальных терминов, которые переводятся по-разному, и это порой вызывает непонимание у читателей и пользователей программ. Как правильно называть шифровальный ключ: «приватный», «секретный» или «закрытый»? «Оконечное» шифрование или все-таки «сквозное»?
Договориться о глоссарии, на первый взгляд, несложно. Но сообщество локализаторов в России совсем не организовано. Популярные локализаторские онлайновые платформы Transifex и Weblate – инструменты, присоединиться к которым может любой. Переводчики выступают под разными псевдонимами, а не реальными именами. Нередки ситуации, когда самоуверенный аноним предлагает свой перевод программы, и разработчик, не знающий местный язык, соглашается. Переводчик же использует собственный глоссарий или придумывает термины на ходу, или вовсе пропускает трудные моменты. Решить эту проблему, вероятно, можно только регулярным общением локализаторов между собой и развитием профессионального сообщества.
Многие полезные продукты нуждаются не только в переводе, но и в адаптации с учетом локального контекста. Свежие примеры на IFF – раздаточные материалы команды разработчиков Tor Project. В одном из таких материалов фигурирует группа бразильских женщин, обсуждающих тему абортов, а поскольку в Бразилии аборты запрещены (за исключением последствий изнасилования и угрозы жизни матери), женщины вынуждены искать более безопасные способы для онлайновых дискуссий, чтобы не оказаться в тюрьме. Хотя в России тема абортов является одной из общественно значимых и активно обсуждаемых, здесь нет законодательного запрета и уголовного преследования сторонников абортов. Бразильский пример нашему читателю не очень подходит, он не сможет легко «примерить его на себя». Подобных ситуаций немало в описании разных инцидентов безопасности, и хороший локализатор по согласованию с автором и разработчиком может адаптировать материал для местной аудитории.
Площадка для всех
Обсуждали на IFF и организационное развитие активистских групп, уязвимости и ресурсы, специфичные для организаций, занимающихся гендерной тематикой, для ЛГБТ+. «Технари» объясняли новичкам, как самостоятельно «поднять» VPN, как оценить собственную уязвимость в сети, как работают IMSI-ловушки. Приводили в качестве примера специальную «горячую линию» по цифровой безопасности, которую поддерживает Access Now. Исследователи могли поделиться результатами своих проектов, поговорить с донорами, собрать дополнительную информацию.
Например, одна из сессий IFF была посвящена экономическим последствиям цензуры Интернета в разных странах. Участники фестиваля обсуждали, как отключение государством Интернета для своих граждан влияет на ситуацию в стране, и что делать людям, которые все-таки хотят общаться друг с другом и с внешним миром (актуальный вопрос для активистов из Зимбабве и Венесуэлы).
Пара сессий была посвящена налаживанию коммуникаций в местности с плохим Интернетом или его полным отсутствием. На IFF обсуждали темы, актуальные для журналистов: как фейковые новости влияют на современные медиа; что делать журналисту, которого атакуют в социальных сетях; насколько безопасны популярные мессенджеры; как создать простой, но безопасный канал для приема информации онлайн, если источник желает сохранять анонимность; как, работая в команде, где все участники разбросаны по разным городам, облегчить факт-чекинг; какова специфика нынешней работы журналиста в Китае, Нигерии, Камбодже, Украине и других странах.
Из года в год IFF показывает, насколько технологии важны для современного гражданского общества, как много здесь вопросов для обсуждения и проблем. С тем, что использование технологий необходимо для работы, а иногда и для выживания гражданских активистов и журналистов, кажется, согласны все, но как повысить «качество продукта»? Как сделать онлайновый сервис более понятным (и применимым), а образовательную программу более масштабируемой? IFF помогает налаживать связи экспертам из разных областей, и если на встречах пятилетней давности можно было заметить осторожные попытки установить контакт, то сегодня хорошо работает обмен практическим опытом вплоть до эффективных международных проектов.
Рекомендации по базовой и дополнительной цифровой безопасности Теплицы можно почитать по ссылке.