Искање


Означено з Протекување на податоци x Gabim x Employer x Sexual Harassment x Digital evidence x

TOR и VPN

Интернетот вообичаено ни дава лажно чувство на анонимност, иако повеќето корисници ќе ви речат дека единственото нешто што постои е лажна анонимност. Речиси секој може да биде идентификуван на интернет според својата IP-адреса , која е единствениот идентификатор што вашиот давател на интернет-услуга (ISP) ви го доделува за да можете да се поврзете на интернет.

Сепак, има алатки кои можат да ви помогнат да ја маскирате вашата вистинска IP-адреса и со тоа да обезбедите дополнителен слој на заштита за вашиот идентитет на интернет. Ова може да се постигне со користење на услугите на прелистувачот Tor Browser или со виртуелна приватна мрежа (Virtual Private Network - VPN).

Tor прелистувачот е бесплатен софтвер со отворен код којшто е приспособен за работа со мрежата на Tor. Се заснова на Mozilla Firefox, го шифрира сообраќајот додека работите на интернет (прелистувате) и ви дава нов идентитет, т.е. нова IP-адреса. Исто така е особено корисен за пристап до веб-локации кои се блокирани на вашата мрежа. Има и некои недостатоци, бидејќи мрежата на Tor генерално е бавна кога се работи на интернет и идентитетот на корисниците може да се открие доколку тие не го користат Tor на правилен начин.

Виртуелна приватна мрежа (VPN) е услуга која им овозможува на корисниците да се поврзат на интернет преку приватна мрежа, со обезбедување дополнителен енкриптиран слој на приватност и со маскирање на вистинската IP-адреса на корисникот. Постојат голем број даватели на VPN-услуги, но корисниците сепак треба да внимаваат и да бидат свесни за евентуалните аспекти поврзани со безбедноста, како што се:

  • Законодавството, односно во која земја се наоѓа компанијата која обезбедува VPN услуги. Генерално, треба да се избегнуваат земјите кои се членки на сојузот за масовно набљудување (mass surveillance alliance) наречен „Пет очи“ (Five Eyes) (тоа се САД, Обединетото Кралство, Канада, Нов Зеланд, Австралија);

  • Политиката да не се чуваат траги (логови – logs), што значи дека давателот на VPN не го евидентира интернет-сообраќајот што сте го направиле преку неговата мрежа;

  • Редовните независни контроли (ревизии) на безбедноста, кои обично се документираат на веб-страницата на давателот на VPN-услугата;

  • Цената – некои VPN-услуги се мошне скапи, но треба да бидете внимателни и во однос на VPN-апликациите кои се целосно бесплатни, бидејќи е речиси сигурно дека нивниот бизнис-модел се заснова врз следење на корисниците. Во секој случај, има некои даватели на платени услуги кои секако нудат бесплатни планови, но со ограничени можности, како што се помали брзини и помал број на сервери.

IP адреса Дигитална хигиена Претражувач Апликации Енкрипција Протекување на податоци Безбедност

Добри безбедносни практики

Без разлика што правите на интернет, секогаш треба да ги следите добрите безбедносни практики кои генерално се применуваат:

  • Бидете внимателни со вашите лични податоци;

  • Почитувајте ја приватноста на другите на интернет;

  • Преземајте (download) датотеки и инсталирајте софтвер само од познати и сигурни извори;

  • Редовно ажурирајте го целиот софтвер и оперативниот систем на вашите уреди за да го намалите ризикот од напади;

  • Користете уникатни и сложени лозинки и безбедно чувајте ги во програми за менаџирање со лозинки;

  • Воведете автентикација (најава) на повеќе нивоа во однос на вашите сметки на интернет секогаш кога е можно;

  • Користете софтвер за антивирус/антималвер;

  • Шифрирајте сè што можете да шифрирате (енкрипција);

  • Ако користите јавен компјутер, водете сметка да не оставите никакви траги зад себе;

  • Ако вашиот USB флеш-уред којшто бил користен на јавен или на незаштитен компјутер, скенирајте го уште еднаш со софтвер за антивирус/антималвер пред да го користите. Генерално, се препорачува преносните уреди, на пр. USB флеш-уреди или надворешни хард дискови, да се скенираат секогаш кога ќе се поврзат на компјутер;

  • Имајте ги предвид ризиците кои се составен дел од секоја ваша активност на интернет – приватноста не значи дека имате помала одговорност;

  • Барем набрзина прочитајте ги условите за користење/услугата пред да кликнете на „Прифаќам“.

Дигитална хигиена Телефон/таблет Протекување на податоци Безбедност Компјутер/лаптоп

Лоши безбедносни практики

Навиките тешко се менуваат, но треба да се потрудите да ги избегнете овие лоши практики во зачувувањето на безбедноста:

  • Никогаш не испраќајте лозинки, лични податоци, ниту финансиски информации преку е-пошта во вид на обичен текст;

  • Не пристапувајте до мрежи или до други системи за кои немате овластување, дури и ако некако сте добиле одредени податоци со кои можете да се најавите (корисничко име, лозинка). Ова не значи дека ви е дадено овластување да ги користите;

  • Не инсталирајте сомнителни додатоци и софтверски ажурирања;

  • Не кликајте на сомнителните линкови што сте ги добиле преку е-пошта, без разлика колку е интересна пораката;

  • Избегнувајте користење јавни или незаштитени компјутери;

  • Избегнувајте користење мобилни уреди на други луѓе;

  • Не пишувајте ги вашите лозинки на обично ливче! Аман, сериозно, немојте!

  • Не користете како лозинки имиња или датуми на раѓање на блиски лица;

  • Не оставајте ги вашите уреди без надзор и отклучени;

  • Не игнорирајте ги сомнителните активности – понекогаш е добро да бидете параноични;

  • Не користете пиратски софтвер. Ако не сакате да плаќате за софтвер, побарајте бесплатен софтвер или софтвер со отворен код;

  • Не живејте само во вашата комфорна зона. Понекогаш вреди да се вложат малку време и труд и да се научат основите за тоа како да се биде безбеден на интернет.

Дигитална хигиена Телефон/таблет Протекување на податоци Безбедност Компјутер/лаптоп

Енкриптирање на дисковите

Енкриптирањето е процес на заштита на податоците со користење сложена шифра, нејзино мешање (scrambling) за да може да ѝ се пристапи (да се дешифрира) само со лозинка или клуч, што понекогаш бара дополнителен фактор за автентикација, на пр. дигитален сертификат. Енкриптирањето хард дискови и уреди кои можат да се отстрануваат, како што се USB-дискови, е нешто што особено им се препорачува на оние лица кои работат со доверливи информации, пред сè, на новинари и на активисти за човекови права.

VeraCrypt е мултиплатформски (Windows, Linux, MacOS X) бесплатен софтвер со отворен код, којшто е наменет за енкриптирање дискови и којшто има напредни можности. Може да се користи за енкриптирање само на некои датотеки, на цели партиции на хард диск, на отстранливи дискови, како и на партиција или диск каде што е инсталиран Windows ( автентикација пред подигнување (pre-boot) на системот).

Cryptomator

ви овозможува енкриптирање на датотеките кои ги чувате во облак (cloud) за сервиси како што се Dropbox или Google Drive. Датотеките се енкриптираат во безбеден сеф (vault), којшто потоа се складира на облакот кај давателите на услугата, кои самите не можат да пристапат до податоците. Cryptomator има отворен код и е достапен за Windows, Linux, MacOS X, како и за мобилни платформи (iOS, Android).

Дигитална хигиена Апликации Енкрипција Протекување на податоци Клауд

Сервер за електронска пошта

Е-поштата се смета за чувствителен вид податоци во секоја организација. Од безбедносни причини, секоја организација треба да има посебен сервер што ќе се користи само за е-пошта. На овој начин се овозможува заштитува од напади и од други злонамерни активности.

Покрај содржината на е-поштата, уште едни податоци кои се важни а се дел од секојдневната комуникација се таканаречените метаподатоци – тоа се информации кои се генерираат и се разменуваат од софтвер и од уреди што се користат за испраќање и за примање пораки. Ако ги прашате напаѓачите, за нив метаподатоците најчесто се многу поважни од содржината на самиот текст во електронската пошта, бидејќи содржат точни информации за дигиталниот контекст на комуникацијата. Метаподатоците се чуваат на серверот за електронска пошта, така што нивната заштита е специфична. Главен чекор тука е да се блокираат сите протоколи (на пример, FTP или HTTP) кои на серверот не му се потребни за да ја извршува својата примарна функција, односно примањето и испраќањето електронски пораки. Посебен сервер исто така може и да се изнајми во рамките на хостинг пакет или други услуги, или, пак, организацијата може да купи сервер што има специјален софтвер. Пример за таков софтвер еiRedMail.

Освен тоа,

непрофитните организации може да користат G Suite

, односно пакетот за продуктивност на Google којшто вклучува неколку популарни алатки и производи како што се Gmail, Google Drive, Google Calendar итн. Сепак, треба да се напомене дека деловниот модел на Google се заснова врз профилирање на корисниците и анализа на личните податоци што ги собира од оние кои ги користат неговите услуги.

Сервер Протекување на податоци Клауд

Општи препораки за заштита на инфраструктурата

Ова се некои општи препораки за заштита на инфраструктурата:

  • Рутерите може да се нагодат така што ќе го одбиваат автоматското собирање информации за системот преку т.н. метод на отпечатоци (footprinting method). Овој метод подразбира правење скица на мрежата врз основа на отпечатоците што се генерираат со испраќање дигитални сигнали. Треба, исто така, да се посочи дека рутирањето на податоците се одвива според различни протоколи, бидејќи тие можат да бидат главен извор на информации за напаѓачите. Мапирањето на правците преку кои се пренесуваат податоците (tracerouting), откривањето на уредите кои се активни на мрежата (ping) и слични методи можат да му ја откријат на напаѓачот целата инфраструктура, односно тој да го знае бројот и видот на рутерите, компјутерите и начинот како се поврзани. Добрата пракса налага ICMP-барањата (ICMP requests) да бидат овозможени како опции на веб-серверот, а конфигурацијата на другите сервери и на интерната мрежа да биде поставена така што овие барања да се одбиваат;

  • Треба да се оневозможат протоколите на серверот кои не се неопходни. На пример, на серверот за електронска пошта може да се блокира буквално сè, освен протоколите што се користат за е-пошта (IMAP, POP, итн.), додека структурата на веб-серверите може да се нагоди така што пристапот е овозможен само до ресурси што се јавно достапни. Исто така, треба да се оневозможи и пристапот до други фолдери и датотеки, како и до администраторскиот дел на порталот, за да се избегне неовластен пристап и протекување податоци;

  • Затворете ги непотребните порти (ports) што ниту една апликација на серверот не ги користи, така што ќе направите соодветно нагодување на мрежните бариери (заштитен ѕид или firewall).

  • Се користат системи за откривање упад (intrusion detection) со кои се прави идентификација и отфрлање на сомнителниот сообраќај, а исто така се евидентираат и сите обиди за оставање отпечаток (footprinting);

  • Со користење сервиси кои овозможуваат анонимна регистрација, може да се сокријат информациите за тоа кој го регистрирал доменот. Притоа, треба да се има предвид дека угледот на една организација која има кредибилитет се гради токму преку транспарентност, и затоа оваа техника не се препорачува да се користи во секоја ситуација.

Сервер Протекување на податоци Хостинг Клауд

Трајно бришење на податоците

Вообичаениот начин на бришење податоци од некој уред не е ефикасно решение ако сакаме трајно да ги избришеме податоците, бидејќи постојат начини за нивно враќање со помош на специјален софтвер. Решението за ова се програми кои користат сложени алгоритми за разложување (decomposing) на податоците во дигитална „каша“, која повеќе не може да се врати во својата оригинална форма. Eraser e бесплатна апликација за Windows [APPLICATION] која може целосно да ги отстрани податоците од хард дисковите со тоа што ќе ги пребрише неколку пати, со користење внимателно одбрани начини.

Што се однесува на оптичките дискови (CD-а, DVD-а), најелегантeн начин за нивно трајно уништување е да се користи специјален шредер (shredder) којшто, освен хартија, може да уништува и дискови. На интернет можат да се најдат мошне опасни начини за тоа како физички да се уништат хард дискови, со користење киселина врз дискот или со негово горење, и нивната употреба не се препорачува. Хард дисковите содржат разни штетни хемикалии, кои можат да доведат до отровни и запаливи испарувања.

Ако старата опрема е подготвена за продажба или ако хард дискот е наменет за фрлање, ќе треба да направиме темелно чистење, дури и ако не работат. Софтверот што го прави ова на многу ефикасен начин еDarik's Boot и Nuke. Добрата пракса упатува на тоа дека, кога се ослободуваме од старата опрема (откако специјален софтвер направил темелно чистење на дисковите), таа се расклопува за да се уништат портите и да се скршат пиновите на конекторите.

Дигитална хигиена Апликации Протекување на податоци

Известување за инцидент

За целите на овој прирачник, поимот ’инцидент‘ ќе го дефинираме како настан што има негативно влијание врз безбедноста на мрежните и информациските системи. Тука може да станува збор за различни кризни ситуации, од сложени и софистицирани технички напади до неисправност на системот предизвикана од човечка грешка.

Меѓутоа, кога станува збор за информациско-комуникациски системи од посебно значење, како што се оние кои ја сочинуваат критичната инфраструктура на земјата (електрична енергија, телекомуникации итн.) или се користат за банкарски услуги, кај нив постои обврска да пријават инциденти во своите системи до надлежните државни тела и органи. На пример, доколку инцидентот се случил во банкарскиот сектор, операторот на информациско-комуникацискиот систем треба да ја извести Народна банка.

Во случај на посериозни инциденти и напади, кои можат значително да влијаат врз одбраната или врз националната безбедност на државата, потребно е да се известат и соодветните разузнавачки и безбедносни служби и агенции (воени или цивилни). Дополнително, кога некој инцидент опфаќа и влијае врз личните податоци, потребно е исто така да се извести и Дирекцијата за заштита на лични податоци.

Понекогаш е многу тешко да се направи разлика помеѓу видовите инциденти, бидејќи тие може да се случат во исто време. Подолу е дадена листа на некои од видовите инциденти за кои обично постои обврска да се испрати известување за инцидент до надлежните државни органи:

  • Упад во информациско-комуникациски систем: напад на компјутерска мрежа и серверска инфраструктура којшто, преку нарушување на мерките за заштита, овозможил пристап до информациско-комуникацискиот систем и неовластено влијание врз неговото работење;

  • Протекување податоци: кога заштитени податоци се достапни надвор од кругот на лицата кои се овластени за пристап до тие податоци;

  • Неовластена промена на податоците;

  • Загуба на податоци;

  • Прекин во функционирањето на системот или дел од системот;

  • Напади за одбивање на услугата [DDoS];

  • Инсталација на малициозен софтвер во информациско-комуникацискиот систем;

  • Неовластено собирање податоци преку неовластен надзор на комуникациите или општествен инженеринг;

  • Постојан напад на одредени ресурси;

  • Злоупотреба на овластувањата за пристап до ресурсите на информациско-комуникацискиот систем;

  • Други инциденти.

ДДос напад Оштетување Протекување на податоци ЦЕРТ Сајбер криминал

Пријавете кај платформата

Во случај некој да се претставува како да сте вие преку лажна е-пошта или преку сметка на социјалните мрежи, или ако сте предмет на вознемирување преку интернет, како што се кампањи за оцрнување, закани, ширење говор на омраза или демнење, треба да ја користите опцијата „Пријави“ (Report) за да ја информирате платформата за постоењето на овој проблем. Кога ќе го пријавите профилот или пораката за која станува збор, обично добивате опција да означите како биле прекршени вашите права и Условите за користење на платформата (некој се претставува како вас, вознемирување, итн.). Повеќе детали за ова може да се најдат на интернет-страницата на американскиот ПЕН центар .

Со цел да се спречи понатамошно вознемирување, силно се препорачува да ги блокирате тие корисници.

Дигитални докази Пријава на платформата Блокирање на корисникот Протекување на податоци Сајбер криминал

Пријавете кај надлежните институции

Во случаи на вознемирување преку интернет или други видови кршење на личните права (на пр., загрозување на безбедноста преку закани), овие инциденти може да се пријават во полиција или до друг државен орган (јавен обвинител) кој е задолжен за истрага или за гонење компјутерски криминал, бидејќи тие можат да претставувааткривични дела кои се казниви со закон.

Дигитални докази Протекување на податоци Сајбер криминал Кривична пријава Полиција

Поднесете пријава

Во контакт со полицијата, важно е да обезбедите колку што е можно повеќе докази во врска со делото и сторителот/напаѓачот. Сочувајте ги пораките и другите докази, доколку ги има. Доколку сте свесни за постоење докази до кои немате пристап, информирајте ги надлежните органи да преземат понатамошни мерки.

Ова честопати не е едноставна работа бидејќи бара техничко знаење и трпение, за што малкумина луѓе кои биле вознемирени од нападот може да имаат нерви. Ако ова е премногу за вас, повикајте пријател, колега или член на семејството да ви помогне. Тие исто така можат да евидентираат докази за сторениот напад, но и да постапуваат со вашата сметка на платформата на која се случува нападот. Користењето табела може да биде погодно, бидејќи така нападите ќе може да се подредат по време, локација, причина, времетраење и вид на напад, пријави испратени до платформата и одговорот. Сето ова се важни информации за адвокатите, за полицијата и за понатамошната истрага и судските постапки. Обидете се да го идентификувате видот на нападот, бидејќи некои видови закани преку интернет сè уште не ѝ се познати на пошироката јавност, а понекогаш дури ни на полицијата. Сето ова ќе им помогне на истражителите подобро да разберат што се случило и ќе им овозможи поефикасно да ги бараат сторителите.

Прво, треба да ги наведете релевантните линкови или URL-адреси онакви какви што биле, во нивната интегрална форма. Со други зборови, ако нападот се случил на социјалните мрежи, тогаш треба интегрално да го наведете линкот од сметката која ви испратила закана. Потоа, треба да зачувате копија од пораката во интегрална форма која содржи метаподатоци, т.е.заглавија (headers) на е-пошта.

Понатаму, би било добро да се направи слика од екранот (screenshot/print-screen) на пораката, сликата или видеото што биле вклучени во инцидентот. Од друга страна, ако станува збор за неколку сегменти во инцидентот (на пример, сте добиле повеќе СМС-пораки, или пораки преку апликација на компјутер или на телефон, итн.), треба да направите слика од екранот од секој од нив или, евентуално, да направите видео од целиот процес.

Дополнително, доколку вознемирувањето се случило преку телефонска комуникација, тогаш пријавата треба да содржи логови за остварените повици кои се издадени од телефонскиот оператор, бидејќи тие го содржат времето на повикот и бројот од кој е упатен повикот, што може да ја олесни понатамошната истрага. Дополнително, во вашата држава можете да се обратите на компјутерски тим што е задолжен да реагира во итни случаи. Тој ќе може да обезбеди техничка поддршка и да ја ублажи штетата. Реакција исто така е можна и до државните органи задолжени да истражуваат случаи на компјутерски криминал.

Дигитални докази Протекување на податоци ЦЕРТ Сајбер криминал Кривична пријава Полиција

ДОКСИНГ (DOXXING)

Јавно откривање лични информации за жртвата, како што се домашната адреса, семејниот статус, банкарските и деталите од кредитната картичка, датумот на раѓање итн. Сите овие информации може да се објавуваат на една или на повеќе различни платформи, било во делот за коментари, било преку видео или текст.

Без разлика на тоа дали обелоденетите податоци се користат за вознемирување или не, самиот чин на неовластено објавување податоци се квалификува како доксинг и се смета за вид напад преку интернет. Кога доксингот доведува до непосредна опасност за безбедноста, тука е членот 144 од Кривичниот законик (Загрозување на сигурноста), којшто може да обезбеди правна заштита. Во овој случај, јавните обвинители и полицијата имаат мандат да следат, да истражуваат и да бидат одговорни за давање заштита. Како странка која поднесува, вие сте одговорни за собирање на доказите што се потребни за поднесување кривична пријава. Оваа можност е особено релевантна за новинарките, затоа што ваквите обвинувања предвидуваат и построги санкции.

СОВЕТ: Објаснете ѝ на полицијата детално како, зошто и кога се чувствувате небезбедно и детално објаснете зошто сте загрижени за безбедноста на вашето семејство и на најблиските. Овие податоци би можеле да бидат клучни за успех во судски постапки. Во определени ситуации, може да биде корисно да се обратите и до Агенцијата за заштита на лични податоци.

Според член 149 од Кривичниот законик, тој што спротивно на условите утврдени со закон без согласност на граѓанинот прибира, обработува или користи негови лични податоци, ќе се казни со парична казна или со затвор до една година.

Документирајте го секој случај и локација на која се објавени вашите лични податоци и поднесете ги овие докази во полиција.

Веднаш пријавете доксинг и секакво друго неовластено објавување лични податоци на веб-локациите или на платформите каде што се објавени, како и на полицијата.

Интересирајте се редовно за она што сте го пријавиле за да бидете сигурни дека оние кои треба ќе одговорат. Итното делување е од клучна важност за да се спречи понатамошно ширење на вашите лични податоци на интернет.

На телефонот исклучете ги опциите за следење на локацијата, Google Maps и другите апликации што собираат ваши чувствителни податоци (локација, адреса, итн.).

Ставете строги контроли за приватност на вашите профили на социјалните мрежи и системи за автентикација во два чекори за сите најавувања на веб-локации кои ги чуваат вашите чувствителни податоци.

Разговарајте со луѓе на кои им верувате – колеги, пријатели, работодавци. Побарајте од полицијата да ја предупреди платформата да ги отстрани вашите лични податоци и користете механизми за пријавување што се достапни на самите веб-страници и на платформата.

Алатката DeleteMe ви помага во пронаоѓањето и отстранувањето на чувствителни податоци на интернет.

Ако некогаш имате чувство дека насилството кое го доживувате преку интернет е можно да премине и во физичкиот свет, веднаш повикајте полиција!

Дигитални докази Лозинка Резервен профил Дигитална хигиена Телефон/таблет Локација Пријава на платформата Протекување на податоци Репутација Безбедност Сексуално вознемирување Идентитет Кориснички профил Компјутер/лаптоп Кривична пријава