Аюулгүй байдал ба Нууцлал
Ертөнц бол аюултай газар бөгөөд хүн бүр л таны эсрэг байгаа мэт.
За, магадгүй тийм биш байж болох ч энэ нь та өөрийн бүх нууцаа ил задгай тавих хэрэгтэй гэсэн үг биш юм. Аюулгүй байдал (болон нууцлал) нь ерөнхийдөө халдагчдын хувьд босгыг өндөрсгөх тухай асуудал юм. Та өөрийн заналхийллийн загварыг (threat model) тодорхойлж, түүндээ тохируулан аюулгүй байдлын механизмаа зохион бүтээгээрэй! Хэрэв таны заналхийллийн загвар нь NSA (АНУ-ын Үндэсний аюулгүй байдлын агентлаг) эсвэл Моссад бол танд магадгүй маш хэцүү байх болно.
Техникийн хувьд өөрийгөө илүү аюулгүй болгох маш олон арга бий. Бид энд олон ерөнхий сэдвийг хөндөх боловч энэ нь тасралтгүй үргэлжлэх үйл явц бөгөөд өөрийгөө боловсрох нь хамгийн шилдэг алхмуудын нэг юм. Тэгэхээр:
Зөв хүмүүсийг дагах (Follow the Right People)
Аюулгүй байдлын талаарх мэдлэгээ дээшлүүлэх хамгийн сайн аргуудын нэг бол аюулгүй байдлын талаар идэвхтэй дуугардаг хүмүүсийг дагах явдал юм. Зарим зөвлөмж:
Илүү олон зөвлөмжийг энэхүү жагсаалтаас харна уу.
Аюулгүй байдлын ерөнхий зөвлөгөө
Tech Solidarity нь сэтгүүлчдэд зориулсан зөвлөмжүүдийн маш сайн, харьцангуй шинэчлэгдсэн жагсаалттай байдаг. @thegrugq мөн аяллын үеийн аюулгүй байдлын зөвлөгөө бүхий сайн нийтлэл бичсэн нь уншууртай. Бид эдгээр эх сурвалжуудын зөвлөгөөг энд зарим зүйлсээр баяжуулан давтах болно. Түүнчлэн, USB өгөгдөл хаагч авахыг зөвлөж байна, учир нь USB төхөөрөмж нь аюултай байж болдог.
Баталгаажуулалт (Authentication)
Хэрэв та хараахан амжаагүй бол хамгийн түрүүнд хийх ёстой зүйл бол нууц үг зохицуулагч (password manager) татаж авах явдал юм. Санал болгох зарим сайн хэрэгсэл:
Хэрэв та маш болгоомжтой байхыг хүсэж байвал нууц үгээ серверт хадгалахын оронд өөрийн компьютер дээр локалоор шифрлэж хадгалдаг хэрэгслийг ашиглаарай. Үүнийг ашиглан одоо өөрийн бүх чухал вэбсайтуудын нууц үгийг шинээр үүсгэж аваарай. Дараа нь хоёр шатлалт баталгаажуулалтыг (two-factor authentication) идэвхжүүлж, боломжтой бол FIDO/U2F холбогч ашиглаарай (жишээ нь, YubiKey, үүнд оюутнуудад 20%-ийн хөнгөлөлт байдаг). TOTP (Google Authenticator эсвэл Duo гэх мэт) мөн түр зуур ашиглахад зүгээр боловч фишинг халдлагаас хамгаалж чаддаггүй. Сүлжээгээр таны нууц үгийг замаас нь шүүрч авах тохиолдлоос бусад үед SMS баталгаажуулалт бараг тус болдоггүй.
Мөн цаасан түлхүүрүүдийн (paper keys) талаар тэмдэглэхэд. Ихэнхдээ үйлчилгээнүүд танд хоёр дахь баталгаажуулалтаа алдах тохиолдолд ашиглах “нөөц түлхүүр” өгдөг (дашрамд хэлэхэд, үргэлж нөөц тоног төхөөрөмжөө найдвартай газар хадгалаарай!). Та тэдгээрийг өөрийн нууц үг зохицуулагч дотроо хадгалж болох боловч хэрэв хэн нэгэн таны нууц үг зохицуулагч руу нэвтэрвэл та бүх зүйлээ алдах болно. Хэрэв та үнэхээр болгоомжтой байхыг хүсэж байвал эдгээр цаасан түлхүүрүүдийг хэвлэж аваад, дижитал хэлбэрээр хэзээ ч бүү хадгалж, бодит амьдрал дээрх сейфэнд хадгалаарай.
Хувийн харилцаа (Private Communication)
Signal-ийг ашиглаарай (тохируулах зааварчилгаа). Wire мөн давгүй; WhatsApp нь гайгүй; харин Telegram-ийг бүү ашиглаарай). Десктоп чатлах программууд нь эмзэг байдаг (энэ нь ихэвчлэн аюулгүй байдлын сул талтай Electron фрэймворк дээр суурилдагтай холбоотой).
И-мэйл нь PGP шифрлэлт ашигласан ч маш их асуудал дагуулдаг. Энэ нь ирээдүйн аюулгүй байдлыг хангахгүй (forward-secure биш) бөгөөд түлхүүр түгээх асуудал нь нэлээд төвөгтэй байдаг. Үүнд keybase.io тусалж чадах бөгөөд өөр олон зорилгоор ашиглаж болно. Мөн PGP түлхүүрүүд нь ихэвчлэн десктоп компьютер дээр боловсруулагддаг бөгөөд энэ нь хамгийн сул хамгаалалттай орчны нэг юм. Үүнтэй холбоотойгоор Chromebook авах эсвэл зүгээр л гартай таблет ашиглах талаар бодоорой.
Файлын аюулгүй байдал (File Security)
Файлын аюулгүй байдлыг хангах нь хэцүү бөгөөд олон түвшинд ажилладаг. Та юуны эсрэг хамгаалалт хийх гэж байгаа вэ?
- Офлайн халдлагууд (хэн нэгэн таны лаптопыг унтарсан байхад нь хулгайлах): дискийг бүхэлд нь шифрлэх (full disk encryption) тохиргоог асаана уу (Linux-д cryptsetup + LUKS, Windows-д BitLocker, macOS-д FileVault). Хэрэв халдагч таныг барьцаалж нууц үгийг тань авахыг оролдвол энэ нь тус болохгүй гэдгийг анхаарна уу.
- Онлайн халдлагууд (хэн нэгэн таны лаптопыг асаалттай байхад нь олж авах):
файлын шифрлэлт ашиглана уу. Үүнд хоёр үндсэн механизм бий:
- Шифрлэгдсэн файлын системүүд (Encrypted filesystems): файлын системийн шифрлэлтийн программууд нь бүх дискийг биш харин файлуудыг тус бүрээр нь шифрлэдэг. Та шифр тайлах түлхүүрийг оруулж эдгээр файлын системийг холбож аваад доторх файлуудыг чөлөөтэй үзэх боломжтой. Холболтыг салгахад тэдгээр файлууд хандалтгүй болно. Орчин үеийн шийдлүүдээс дурдвал gocryptfs болон eCryptFS орно. Илүү нарийн харьцуулалтыг эндээс болон эндээс харна уу.
- Шифрлэгдсэн файлууд: файлуудыг тус бүрээр нь симметрик шифрлэлтээр
(
gpg -cхарна уу) болон нууц түлхүүрээр шифрлэх. Эсвэлpassшиг түлхүүрээ өөрийн нийтийн түлхүүрээр шифрлэх бөгөөд ингэснээр зөвхөн та өөрийн хувийн түлхүүрээр сэргээн унших боломжтой болно. Шифрлэлтийн нарийн тохиргоонууд маш чухал!
- Үгүйсгэх боломжтой шифрлэлт (Plausible deniability): ихэвчлэн гүйцэтгэл бага бөгөөд өгөгдөл алдах эрсдэл өндөр байдаг. Үнэхээр үгүйсгэж болохуйц шифрлэлтийг (deniable encryption) хангаж чадах эсэхийг батлахад хэцүү! Энэхүү хэлэлцүүлгийг уншаад, дараа нь VeraCrypt (хуучин TrueCrypt-ийн шинэчлэгдсэн хувилбар)-ийг ашиглах талаар бодоорой.
- Шифрлэгдсэн нөөцлөлтүүд: Tarsnap эсвэл
Borgbase ашиглах.
- Халдагчид таны лаптопыг гартаа оруулбал таны нөөцлөлтүүдийг устгаж чадах эсэх талаар тунгааж үзээрэй!
Интернетийн аюулгүй байдал ба нууцлал
Интернет бол маш аюултай газар. Нээлттэй WiFi сүлжээнүүд нь маш аюултай байдаг. Тэдгээрийг ашигласны дараа системээсээ устгаж байгаарай, эс бөгөөс таны утас дараа нь ижил нэртэй сүлжээ тааралдах бүрт автоматаар холбогдох болно!
Хэрэв та итгэхгүй сүлжээндээ холбогдож байгаа бол VPN хэрэг болж магадгүй ч та VPN үйлчилгээ үзүүлэгчид маш их итгэж байгаа гэдгээ санаарай. Та тэдэнд өөрийн ISP-ээс (интернет үйлчилгээ үзүүлэгч) илүү итгэж байна уу? Хэрэв та үнэхээр VPN ашиглахыг хүсэж байвал найдвартай, төлбөртэй үйлчилгээг сонгоорой. Эсвэл өөртөө WireGuard тохируулаарай – энэ нь гайхалтай сайн!
Мөн сүлжээний олон програмуудад зориулсан аюулгүй тохиргооны заавруудыг cipherlist.eu-ээс үзэж болно. Нууцлалыг маш ихээр чухалчилдаг бол privacytools.io нь маш сайн эх сурвалж юм.
Зарим нь Tor-ийн талаар гайхаж магадгүй. Tor нь дэлхийн хэмжээний хүчирхэг халдагчдын эсрэг сайн хамгаалалт болж чаддаггүй бөгөөд урсгалын шинжилгээний халдлагын эсрэг сул байдаг гэдгийг анхаарна уу. Энэ нь бага хэмжээний урсгалыг нуухад тустай байж болох ч нууцлалыг бүрэн хангаж чадахгүй. Анхнаасаа илүү аюулгүй үйлчилгээнүүдийг (Signal, TLS + certificate pinning г.м.) ашиглах нь илүү дээр юм.
Вэб аюулгүй байдал (Web Security)
Тэгэхээр та вэбээр бас аялахыг хүсэж байна уу? Бурхан минь, та үнэхээр эрсдэлтэй алхам хийж байна.
HTTPS Everywhere суулгаарай. SSL/TLS технологи нь маш чухал бөгөөд энэ нь зөвхөн шифрлэлтийн тухай биш, харин таны холбогдож буй үйлчилгээ үнэхээр зөв эх сурвалж мөн эсэхийг баталжуулдаг! Хэрэв та өөрийн вэб серверийг ажиллуулдаг бол түүнийгээ тестэлж үзээрэй. TLS тохиргоо нь төвөгтэй байж болдог. HTTPS Everywhere нь боломжтой бол таныг HTTP сайт руу орохоос сэргийлэхийг хичээх болно. Энэ нь таныг бүрэн аврахгүй ч тус болох болно. Хэрэв та маш болгоомжтой байхыг хүсэж байвал шаардлагагүй SSL/TLS сертификат олгогчдыг (CAs) хар жагсаалтад оруулаарай.
uBlock Origin суулгаарай. Энэ нь зөвхөн сурталчилгааг хаагаад зогсохгүй тухайн хуудаснаас хийж буй гуравдагч талын бүх харилцааг хязгаарладаг өргөн хүрээний хаагч (wide-spectrum blocker) юм. Үүнд дотоод скриптүүд ч багтана. Хэрэв та тохиргоонд цаг зарцуулахад бэлэн бол дундын горим (medium mode) эсвэл бүр хатуу горимыг (hard mode) сонгоорой. Эдгээр нь таныг тохиргоог нь өөрчлөх хүртэл зарим сайтыг ажиллахгүй болгох боловч таны сүлжээний аюулгүй байдлыг маш ихээр сайжруулна.
Хэрэв та Firefox ашигладаг бол Multi-Account Containers өргөтгөлийг идэвхжүүлээрэй. Нийгмийн сүлжээ, банк, онлайн худалдан авалт зэрэгт тус тусад нь контейнер үүсгэ. Firefox нь контейнер бүрийн күүки болон бусад төлөвийг бүрэн тусгаарлах тул нэг контейнер дотор зочилж буй сайт тань нөгөө контейнерын мэдээллийг тагнах боломжгүй болно. Google Chrome дээр үүнтэй төстэй үр дүнд хүрэхийн тулд Chrome Профайлыг ашиглаж болно.
Дасгалууд
-
PGP ашиглан файлыг шифрлэж үзээрэй.
-
VeraCrypt ашиглан энгийн шифрлэгдсэн хавтас үүсгээрэй.
-
Өөрийн хамгийн чухал өгөгдөл бүхий хаягууддаа (GMail, Dropbox, GitHub г.м.) 2FA идэвхжүүлээрэй.
Лиценз: CC BY-NC-SA.
