Сілавікі рэгулярна даюць справаздачу па затрыманнях беларусаў, зарэгістраваных у ботах пратэстных ініцыятыў — найчасцей гаворка ідзе пра чат-боты плана «Перамога» і палка Кастуся Каліноўскага. Аўтары відэа з прапагандысцкіх каналаў любяць папярэджваць, што з ГУБАЗіКу прыйдуць і да іншых карыстальнікаў і прапануюць ім «пакаяцца» і не чакаць непазбежнага візіту. «Медыязона» паразмаўляла з экспертамі па лічбавай бяспецы пра тое, наколькі проста ідэнтыфікаваць чалавека ў тэлеграме і што рабіць, каб ускладніць аператыўнікам гэтую задачу.
Фота: mediazona.by
Якія дадзеныя могуць збіраць боты?
Пасля націску кнопкі Start любы бот можа атрымаць доступ да ID карыстальніка, пададзеным ім падчас рэгістрацыі ў тэлеграме імя і прозвішча, нікнейму, раздзелу «Пра сябе» і абранай мове, кажа адзін са стваральнікаў дадатку «Партызанскі тэлеграм» Ілля.
Акрамя таго, калі гэта дазволена наладамі прыватнасці, бот можа атрымаць доступ да фота профілю і нумару тэлефона.
Ад распрацоўшчыка залежыць, ці будзе бот захоўваць усе гэтыя дадзеныя. Калі бот захавае ID карыстальніка, ён зможа атрымаць доступ да вашых дадзеных і пазней, нават калі вы яго заблакуеце. Пры гэтым, па словах Іллі, новыя, змененыя пасля блакіроўкі дадзеныя бот атрымаць ужо не зможа. Калі вы хочаце, каб бот не мог збіраць вашыя дадзеныя, схавайце іх у наладах прыватнасці.
Ці можна ідэнтэыфікаваць асобу карыстальніка па ID у тэлеграме?
Сам па сабе ID — гэта проста набор лічбаў, але небяспека заключаецца ў яго нязменнасці, тлумачыць Ілля.
— Некаторыя карыстальнікі думаюць, што яны могуць схаваць нумар тэлефона, фота профілю, змяніць імя і нікнэйм, і сілавікі не пазнаюць яго. Аднак калі да гэтага чалавек напісаў у які-небудзь публічны чат або ў каментарыі з адкрытым фота профілю і нумарам тэлефона, сапраўдным імем, гэтыя дадзеныя маглі быць кімсьці захаваныя, — кажа ён.
Па словах Іллі, сілавікі часта экспартуюць дадзеныя з адкрытых чатаў. Эксперт па лічбавай бяспецы Нікалаі Кванталіяні дадае, што многія кампаніі збіраюць інфармацыю пра карыстальнікаў з адкрытых крыніц. На падставе гэтага ствараюцца базы дадзеных, якія змяшчаюць звязку «тэлеграм-ID — імя карыстальніка — нумар тэлефона». Каб засцерагчы сябе, для адчувальных перапісак і чытання забароненага ў Беларусі кантэнту лепш завесці другі акаўнт на замежны тэлефонны нумар.
Другая небяспечнасць — апавяшчэнні выгляду «імярэк далучыўся да Telegram», якія прыходзіць усім, хто занёс ваш нумар тэлефона ў спіс кантактаў і што дазваляе звязаць ID з канкрэтнай асобай. Акаўнт, прывязаны да новага замежнага нумара, дапаможа гэтага пазбегнуць.
Чытайце яшчэ: Як наладзіць свой дэвайс, калі я з’ехаў з Беларусі?
Яшчэ адна невідавочная праблема крыецца ў тым, што пабочныя сэрвісы, такія як TGStat і Telemetr, дазваляюць індэксаваць карыстальнікаў па публічных групах, адзначае Кванталіяні. Па яго словах, тэарэтычна гэтыя інструменты могуць быць выкарыстаныя для звужэння кола пошуку, калі сілавікам трэба ідэнтыфікаваць канкрэтнага чалавека.
— Напрыклад, вы знаходзіцеся ў публічнай групе «Беларусы ў Вільні». Я ведаю толькі ваш ID, закідваю гэтую інфармацыю ў TGStat, і ён паказвае, дзе яшчэ сустракаецца ваш ID. І калі там ёсць нейкія іншыя публічныя чаты, то гэта дазваляе звузіць кола пошуку і зразумець, да якога ісці — дапусцім, «Каменная горка Мінск», — прыводзіць прыклад спецыяліст. — І тады сілавік разумее, што гэты карыстальнік з Каменнай горкі, адпаведна, трэба каго-небудзь адтуль затрымаць і пашукаць у яго тэлефоне сярод кантактаў.
Як сілавікі могуць даведацца, ці запускаў карыстальнік бот, і ці могуць атрымаць дадзеныя, якія ён перадаў боту?
Па ўсім, самы просты і распаўсюджаны спосаб — затрымаць чалавека і атрымаць доступ да яго тэлеграма.
Для таго, каб паглядзець, якія боты запускаў карыстальнік, трэба ўвесці слова bot у радок пошуку — нават калі перапіска з ботам выдалена, з пошуку яна знікне не адразу, кажа Кванталіяні.
Акрамя таго, праверыць могуць і спіс заблакаваных карыстальнікаў, куды трапляюць боты, якія былі няправільна спыненыя, дадае ён. Калі вам трэба выдаліць іх так, каб не засталося слядоў, карыстайцеся інструкцыяй «Кіберпартызан»: разблакуйце ўсе боты ў чорным спісе, увядзіце bot у радок пошуку, абярыце бот, які трэба выдаліць і націсніце «ачысціць гісторыю». Пасля зноў напішыце bot у радку пошуку, і на гэты раз абярыце «выдаліць чат».
Пачакайце каля сутак. Калі на працягу гэтага часу бот не выдаліўся, паўтарыце дзеянні ў апісанні вышэй.
Кансультанты па кібербяспецы з калектыву CyberBeaver называюць яшчэ некалькі спосабаў, з дапамогай якіх сілавікі могуць атрымаць доступ да дадзеных карыстальніка: стварэнне фэйкавага бота, пранікненне ў каманду бота, узлом акаўнтаў адміністратараў, затрыманне стваральнікаў бота і выкарыстанне баз дадзеных праз уцечкі.
Эксперты раяць пісаць толькі ў тыя боты, спасылкі на якія размяшчаюць афіцыйныя тэлеграм-каналы ініцыятыў (пераканайцеся, што канал не фэйкавы) і ўважліва правяраць назвы ботаў.
— Бот @ By_PoI несапраўдны, а @ By_Pol — сапраўдны. Розніца ў апошняй літары: у першым выпадку гэта вялікая літара i, а ў другім — маленькая l, — прыводзіць прыклад Кванталіяні.
Калі сілавікі ўкаранілі агента ў каманду адміністратараў або ўзламалі акаўнт аднаго з іх, то яны могуць з дапамогай адмысловага софту хутка сцягнуць дадзеныя, якія карыстальнікі перадавалі бота, кажа ён.
— Калі бот ніяк не захоўваў дадзеныя аб карыстальніках, не перасылаў ID, юзэрнэймы ў іншыя чаты або выдаляў адпаведныя паведамленні, то, магчыма, атрымаецца выняць толькі публічныя дадзеныя, — мяркуе Ілля.
Такім чынам, сілавікі не змогуць атрымаць дадзеныя, якія вы перадалі боту, калі ў іх няма доступу альбо да вашага акаўнта, альбо да бота. Яны могуць запрасіць гэтыя дадзеныя ў тэлеграма, але такая спроба амаль дакладна будзе беспаспяховай, мяркуе эксперт.
Ці можна знайсці чалавека па метададзеных файла, які ён адпраўляе ў бот?
Метададзеныя файла — гэта дадатковая інфармацыя, зашыфраваная ў структуры самога файла. Напрыклад, мадэль прылады, на якой ён быў створаны, час і месца стварэння, фармат і памер файла.
Знайсці карыстальніка з дапамогай метададзеных файла, адпраўленага ў бот, патэнцыйна магчыма, кажа Ілля. Калі карыстальнік адправіць у бот фота ці відэа без сціскання, то з файлаў можна будзе атрымаць інфармацыю, напрыклад, аб мадэлі тэлефона, з дапамогай якога вялася здымка. Пры адпраўленні файлаў са сцісканнем метададзеныя аўтаматычна выдаляюцца, таму карыстальніку можна не хвалявацца.
Аднак калі адпраўляць фота і відэа ў zip-архіве, то ў файлах застанецца геалакацыя, па якой можна будзе ідэнтыфікаваць асобу, якая адпраўляла паведамленне. Метададзеныя могуць заставацца ў файлах іншых тыпаў — напрыклад, у дакуменце Microsoft Office у файле будзе імя карыстальніка, які яго стварыў.
Акрамя таго, дапамагчы сілавікам знайсці карыстальніка можа, напрыклад, лакацыя, дзе адбываліся здымкі.
— Адзінае, што трэба зрабіць, каб вас знайсці — гэта прабіць усе тэлефоны, якія знаходзіліся ў лакацыі здымак. І сярод людзей, якія пражываюць у гэтым раёне, можна будзе знайсці вас. Далей можна звузіць — напрыклад, прабіць па базах людзей, якія ўдзельнічалі ў пратэстах. Ёсць вялікая верагоднасць таго, што можна знайсці людзей, якія ўжо прыцягваліся за нешта, — прыводзіць прыклад Кванталіяні.
Але калі падчас здымкі перавесці тэлефон у рэжым палёту, кажа эксперт, вызначыць яго месцазнаходжанне па мабільным нумары і IMEI будзе немагчыма.
Ці можа карыстальнік хаця б прыблізна ацаніць бяспечнасць бота?
Эксперты ў адзін голас кажуць, што не існуе вонкавых прыкмет, якія дазваляюць ацаніць бяспеку бота.
— Карыстальнік не можа ведаць, які код выконваецца ботам, і ці захоўвае ён нейкія дадзеныя. Яны могуць захоўвацца нават без злога намеру. Напрыклад, часта боты зваротнай сувязі перасылаюць імя, прозвішча карыстальніка і яго нікнейм мадэратарам, — тлумачыць Ілля.
Тым не менш, адзначаюць кансультанты CyberBeaver, карыстальніку варта пашукаць інфармацыю пра тое, ці былі ў бота ўцечкі дадзеных.
Фота: mediazona.by
Што трэба рабіць карыстальніку тэлеграма, каб пазбавіцца небяспекі?
Як бы банальна гэта ні гучала, карыстайцеся VPN
Карыстальніка можна ідэнтыфікаваць з дапамогай знешняй спасылкі, калі той будзе пераходзіць па ёй, не выкарыстоўваючы VPN, распавядае эксперт па лічбавай бяспецы Нікалаі Кванталіяні. Не адкрываць падазроныя спасылкі нескладана, але такую спасылку сілавікі могуць адправіць і з акаўнта затрыманага чалавека, якому вы давяраеце, таму лепш заўсёды карыстацца VPN.
Памятайце пра двухфактарную аўтэнтыфікацыю
На думку Іллі, рабіць гэта варта, нават калі карыстальнік з’ехаў з Беларусі і/ці зарэгістраваў акаўнт на замежны ці віртуальны нумар.
Завядзіце другі акаўнт
Зарэгіструйце асобны акаўнт на замежны ці віртуальны нумар, калі вы займаецеся актывізмам, чытаеце «экстрэмісцкія» рэсурсы, пішаце каментары ў сацсетках або дзеліцеся інфармацыяй з чат-ботамі.
Усталюйце такія налады прыватнасці, каб ваш «актывісцкі» акаўнт нельга было звязаць з вашай рэальнай асобай: прыдумайце нікнэйм замест сапраўднага імя, не выкарыстоўвайце сваю фатаграфію і нумар тэлефона, абмяжуйце званкі, адлюстраванне нумара, перадасланых паведамленняў, раяць кансультанты з CyberBeaver.
Другі, «чысты», акаўнт яны рэкамендуюць выкарыстоўваць для перапісак з сябрамі і знаёмымі. У ім таксама варта абмежаваць адлюстраванне нумара тэлефона і фатаграфіі, каб пра вас збіралі менш інфармацыі. Для перапісак на адчувальныя тэмы варта ўсталяваць аўтаматычнае выдаленне, нагадвае Кванталіяні.
Наяўнасць двух акаўнтаў дазволіць без страты кантактаў выдаліць першы ў выпадку небяспекі. У «Партызанскім тэлеграме» можна наладзіць выхад з «актывісцкага» акаўнта так, каб у выпадку затрымання яго не знайшлі сілавікі, нагадвае Ілля.
Падрабязеней пра функцыі «Партызанскага тэлеграма» напісана тут, а спампаваць яго можна па гэтай спасылцы.
Калі ў вас ёсць падазрэнні, што адбылася ўцечка дадзеных — выдаліце акаўнт і завядзіце новы
Нават калі зарэгістраваць новы акаўнт на той жа нумар тэлефона, што і стары, пасля гэтага зменіцца ваш ID у тэлеграме — цяпер, калі вас затрымаюць або ўзламаюць, а новы ID праб’юць па базах дадзеных, там будзе адлюстроўвацца стары ID, звязаць які з вамі будзе ўжо складаней, тлумачаць у CyberBeaver.
Больш радыкальны варыянт — зарэгістраваць новы акаўнты на новы нумар тэлефона, а адразу пасля рэгістрацыі ўсталяваць двухфактарную аўтэнтыфікацыю і налады прыватнасці, апісаныя пунктам вышэй.
Чытайце яшчэ: Як абараніць смартфон свайго дзіцяці
