70-дневен план за действие за уеб сигурност за художници и активисти в обсада

Имаме 70 дни, докато Доналд Тръмп встъпи в длъжност. Задължително е хората в обсада (POC, LGBTQ +, коренни хора, имигранти, мюсюлмани, хора с увреждания и т.н.), особено художници и активисти, да предприемат стъпки за защита на своите данни и поверителност онлайн.

Не съм експерт по сигурността на информацията или правен експерт. Това са само предложения Този списък не е изчерпателен или е единственият начин да защитите вашите данни.

Сигурността в мрежата е като дърво. Младо дърво може да се щракне с юмрук. Тъй като дърветата растат слоеве и корени, те се нуждаят от знания, оборудване и енергия, за да бъдат отсечени. Опитвам се да ви помогна да добавите слоеве сигурност към ежедневните си рутини. Не харесвам думите „сигурно“ или „безопасно“, защото нищо не се вписва в тези категории. Единственото, което можем да направим, е да станем по-безопасни и по-сигурни. Всяка точка на куршума е слой, стъпка, която трябва да предприеме друг човек или агенция, за да получи достъп до вашата информация и да търгува с нея. Опитах се да избера слоевете, които имат най-висока възвръщаемост на вашата инвестиция във времето и парите. Помислете за ситуацията и ресурсите си и създайте свой собствен план за действие.

Ще актуализирам тази статия с редакции, докато открия нова информация и по-добри начини за правене на неща. Ако имате идеи или редакции, моля, напишете ми или коментирайте.

Искам да идентифицирам предположенията, които са в основата на тази статия:

  • Като направите малка, първата стъпка понижава умствените ви бариери.
  • Промяната на работните процеси е трудна и изисква практика. Вървете със собственото си темпо и бъдете лесни за себе си.
  • COINTELPRO (и подобни програми) не просто се случиха. Случва се и ще се надигне.
  • Правителствените и неправителствените органи вече са ви на радара: Те знаят, че не сте съгласни с някакъв елемент от статуквото и че сте човек в обсада (черен, POC, мюсюлманин, queer, човек с физически или интелектуални затруднения, скорошен имигрант, коренно население и т.н.).
  • Много от личните ви комуникации седят на имейл акаунти и устройства на вашите приятели и семейство.
  • Надзорният капитализъм е опасен. Не знаем последиците как технологичните компании извличат стойност от данните на своите клиенти. Повечето хора не разбират какво знаят корпорациите като Facebook и Google за тях, как данните се използват / купуват / търгуват / обобщават / продават / разгръщат и дали корпорациите вече са предавали информация на правителствените групи. Липса на прозрачност + колониализъм / капитализъм + технологично надмощие = ПО-СИЛНА ОПАСНОСТ.

Предупреждение за привилегии: Имам привилегията да отделя време за размисъл за това и да пускам пари на кредитна карта за някои от разходите, свързани с закупуване на VPN достъп, физически сейфове и технически услуги. Тази статия е просто бързо изхвърляне на мозъка. Следващата стъпка е да организираме и помогнем на тези, които нямат същото ниво на привилегия. Не забравяйте да си осигурите собствена кислородна маска, преди да помогнете на ближния.

ПОСЛЕДНО актуализиране: 24.11.16 в 11:30 ч. EST (29 k преглеждания от 11/10)

ноември

  • Изтеглете $ 10 - $ 40 в брой от вашата банка.
  • Купете подаръчна карта Starbucks с парите.
  • Използвайте картата за подарък, за да закупите от 1 до 1 година VPN достъп на https://www.privateinternetaccess.com (или подобна услуга по ваш избор. Посъветвайте се или четете онлайн рецензии. Уверете се, че услугата не поддържа журнали на вашата дейност). Имайте предвид: По-добре е да закупите VPN с кредитна / дебитна карта, отколкото да закупите изобщо няма. Освен това, това е само малък слой и все още е възможно да разберете коя VPN услуга използвате.
  • Изтеглете и започнете да използвате Tor като основен браузър. Не забравяйте да следвате инструкциите и предупрежденията за сигурност тук: https://www.torproject.org/download/download-easy.html.en#warning
  • Тъй като е невъзможно да се следват всички предупреждения и има ограничения за Tor, добре е да използвате и VPN. Ако не използвате VPN, използването на Tor + Chrome / Firefox с разширението HTTPS Everywhere е добро начало.
  • Изтеглете сигнала на телефона си и насърчете всички хора, с които общувате частно, да го използват и вие. Използвайте го вместо iMessage, SMS, WhatsApp, Facebook съобщение и др. Можете също да извършвате повиквания. Версията за десктоп може да се използва вместо Skype, Slack и т.н.
  • Активиране на 2 факторно удостоверяване във всички имейл, финансови и т.н. услуги.
  • Направете одит на сигурността на информацията - Започнете да обмисляте как използвате социални медии, имейл, мобилни устройства и съхранение в облак. Как използвате тези услуги? Кои комуникации трябва да бъдат преместени към сигурни канали? Запиши ли се чувствителните документи в облака? Можете ли да се откажете напълно от Facebook, Twitter, Google и Amazon?
  • Изберете силни и ясно изразени пароли. Intercept има удобно ръководство тук: https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
  • @AllBetzAreOff препоръчва да използвате не-облачен мениджър на пароли, за да генерирате и защитите паролите си. Повече информация тук: https://securityinabox.org/en/guide/keepassx/windows
  • Важно е да включите автоматичните актуализации на софтуера, така че да сте защитени от известни уязвимости на софтуера. (Благодаря на Дан Съливан, докторант за този съвет! Вижте отличния му коментар за повече информация.)
  • Шифровайте мобилните си устройства. Айфоните се кодират автоматично, но много от тях използват кодове за достъп, които са неадекватни. Нулирайте кода си на дълъг, произволен низ от числа (уверете се, че сте го записали, докато го извършвате в паметта). Потребителите на Android могат да разрешат криптиране в приложението Настройки.
  • Шифровайте компютъра си с помощта на BitLocker (Windows) или FileVault (Mac).

декември

  • Ако имате (или искате) уебсайт, база данни или приложение, присъединете се към криптирана хостинг услуга като MayFirst.
  • Закупете физически сейф (като SentrySafe SFW123DSB) за вашите важни документи, твърди дискове / USB ключове и произведения на изкуството. Можете да разделите тази цена с хора, които живеят наблизо. Ако вашите произведения на изкуството са по-големи от обикновения сейф за домакинството и се интересувате от чат, пинсирайте ме. Трябва да обмислим как да помогнем на художниците в обсада да пазят изкуството си от унищожение. Изследвайте сейфа, за да сте сигурни, че електрониката няма да се окислява или закупува силикагел за обезвлажнител с десикант, пакети / специални ръкави.
  • Закупете твърд диск, който може да съхранява вашите цифрови файлове. Криптирайте го. В бъдеще помислете за закупуване на няколко устройства и запазване на най-ценната информация на няколко места. Ако сте купили сейф, дръжте твърдия си диск там. Трябва също така да се подготвите за време, когато достъпът до Интернет или информацията ви, съхранявана онлайн, е напълно недостъпна за вас.
  • Одитирайте вашето облачно хранилище. Къде се съхраняват файловете? Какъв вид информация се съхранява? Къде е най-чувствителната информация?
  • Започнете да разбивате зависимостта си от облачно съхранение (когато е възможно): iPhoto, Google Photos, Google Drive, DropBox и др. Структурайте файловите си системи по лесни за навигиране без възможности за търсене на Google.
  • Вижте дали можете да намалите до минимум използването на Chrome / Firefox / Safari / и т.н. до края на месеца. Dennis Cahillane ツ казва:
„Да, не препоръчвам да използвате добавка на Firefox, която сами да инсталирате. Препоръчвам да изтеглите пакет Tor Browser директно от Tor Project тук https://www.torproject.org/download/download Използването на пакета Tor Browser е лесно за нетехнически потребители, но бързо ще се разочаровате от неговите ограничения. Когато не използвате Tor, препоръчвам Firefox или Chrome със следните добавки: HTTPS Навсякъде, uBlock Origin. “
  • Изтеглете всичките си файлове на вашия компютър + външен твърд диск. Това може да отнеме известно време, така че можете да правите партида на ден. Започнете с най-чувствителната информация. (Това е само начало. Има начини да имат достъп до криптирани облачни хранилища. Мисля, че хората могат да обмислят това след Нова година, след като са извършили първоначалния трансфер и са прекъснали зависимостта си от лесни за използване облачни услуги).
  • Ако искате, изберете доставчик на имейл активист, който ще използвате вместо Gmail (или услуга като ProtonMail). Също така ще трябва да влезете в приятели и семейството си. Джейми Макклеланд, съосновател на MayFirst / PeopleLink, казва:
„Използването на Gmail определено е лоша идея. При Обама имахме огромна експанзия в шпионската инфраструктура на федералното правителство и те определено са насочени към големите корпоративни доставчици - или като ги компрометират, или просто им изпращат призовка. И сега всичко това ще принадлежи на Тръмп.
За имейл се придържайте към доставчици на активисти. И * всеки * трябва да го направи. Ако провеждате групов разговор и само един човек е на gmail, тогава всичко отива в gmail.
Ако всички са на MF / PL, това никога не напуска сървърите ни и е много по-трудно да ги прехванете. Ако някои хора са на Riseup, а други са на MF / PL, това също е добре - тъй като MF / PL и Riseup ще криптират съобщенията между сървърите.
Въпреки това ... дори при всички тези защити, бих посъветвал да не разчитате на имейл за нещо чувствително.
Ако все още не сте го препоръчал да замените каквато и програма да използвате за изпращане на SMS съобщения със Signal (https://whispersystems.org/). И на iPhone, и на Android. Лесна е за употреба и е много сигурна.
Аз също бих предложил да използвате Jabber (вижте страницата на MF / PL тук: https://support.mayfirst.org/wiki/how-to/jabber).
И сигналът, и джабберът работят на телефона ви и осигуряват много по-добро криптиране и поверителност, отколкото някога ще има имейл.

Бележка за имейл: Дан Съливан, доктор на науките остави релевантна критика към активист имейл акаунти в коментарите:

Също така, infosec е до голяма степен битка на техническите умения и ресурси. Google има повече от всеки имейл или друг доставчик на облак, за който знам. Използвам Gmail с двуфакторно удостоверяване и ще се придържам към него. Разбира се, агенция може да получи заповед за имейли в Google, но има по-малък шанс успешно да хакне инфраструктурата на Google, за да получи тези имейли, отколкото да хакне друг доставчик с по-малко ресурси.

Отговарям:

Изпращането на имейл изглежда невъзможно. Вече започвам да се отдалечавам от електронната поща като основното си средство за комуникация. Въпреки че може да използвам криптирана услуга от край до край, PGP и т.н. 95% от моите контакти нямат достъп до тази технология. Така че въпросът е: къде искам да се намират незашифрованите ми имейли и метаданни? На кого да вярвам повече - на Google или активистки групи? Въпреки че активистките групи привличат вниманието към себе си, се доверявам на показателите на Riseup и MayFirst за съпротива срещу призовки от големи съдебни заседания на САЩ, американски агенции и много други правителства / правни системи по света. Поради идентичността и идеологиите на художниците-дисиденти, правителството вече знае, че сме активисти. Предпочитам да си сътруднича с групи, които работят по този въпрос от доста време. Аз също се наслаждавам на надзорния капитализъм, защото той върви ръка за ръка с държавата за наблюдение. COINTELPRO и други проекти за наблюдение, които повлияха на движенията, ръководени от POC, са в задните ми части, докато вземам тези решения. Google има пари и ноу-хау, но те не ме гледат за мен или за моята борба. Няма да ходят на матраците за мен. Не харесвам доставчиците на демографски и психометрични данни като Google и Facebook да се събират (и липсата на прозрачност за това как се използва тази информация). Аз съм дисидентски художник, който е готов да изразходва усилията си, за да освобождавам, доколкото мога, и да стана член, участващ в политически технологични групи.

Ето кратък клип от обучение, което проведох в Eyebeam за криптиране на имейли.

януари

  • Споделете какво сте научили от този процес. Помогнете на други изпълнители да започнат да увеличават сигурността си. Ако сте единственият човек, който използва сигнал или имейл акаунт на активист, няма да ви е от полза.
  • За да повишите сигурността на имейла си, започнете да използвате PGP. Още по-добре, организирайте PGP парти, където вие и вашите най-близки приятели, семейство и колеги инсталирате GPG Tools и създавате ключове заедно. matt mitchell има отлично ръководство (чернова на a) за това как да въртите PGP без да инсталирате доставчик на имейл: https://docs.google.com/document/d/1Zn62XjVRkt6_nvtgUvWO4WLo4VTQ3WQ98WKc5gkPb8w/edit
  • Организиране - Сътрудничество с други хора и проучване на групови действия (събиране на пари за хора, които не могат да си позволят услуги, закупуване на сигурни единици за съхранение на големи произведения, създаване на лични библиотеки от книги и информация, които биха могли да бъдат насочени и т.н.). Опитайте се да намерите групи като партиите за сигурност на CryptoHarlem на matt mitchell: https://twitter.com/cryptoharlem
  • Ако информацията ви е достатъчно архивирана, помислете за следващи стъпки (т.е. изтриване от облака).
  • Помислете за използването на опашки. @ciakraa от @hackblossom го обяснява добре в Ръководството им за ОТЛИЧНО Направи си сам за феминистката киберсигурност:
Има безброй ситуации, в които опашките могат да бъдат безценен инструмент за вашата поверителност. Активистите, които искат да се организират, въпреки правителствения надзор, могат да използват Reils за ефективна комуникация. Хората, които са проследени от хищници, могат да използват Tails за достъп до интернет, без да рискуват физическото си местоположение или данни. Някой, който иска да използва обществени компютри или интернет мрежи, може да направи това, докато все още е защитен. Всеки път, когато искате да бъдете максимално частни в своята дейност и вашите данни, Tails е невероятен инструмент, който да имате на ваше разположение!

Известни следващи стъпки и въпроси

  • Как организаторите могат да използват PGP, за да избегнат инфилтрацията? (Имам 9 покани за базата данни. Ping me, ако ви харесва)
  • Как можем да направим криптирани онлайн хранилища лесни за използване за хора, които нямат ИТ / DevOps / технологичен опит?
  • Какви инструменти трябва да създадат хората в обсада, за да се измъкнат от използването на Google, Twitter, Facebook, Amazon и други услуги?
  • Трябва ли нашите банкови навици да се променят (кредитни карти, онлайн банкиране, криптовалута и т.н.)?

Общности и организации

Г-н Роджърс веднъж каза, че когато е бил малко момче и се е случила национална трагедия, майка му му е казала „Потърсете помощници. Винаги има помощници. " В рамките на 6 часа след публикуването, любезни експерти по сигурността се свързаха с мен и искаха да ви помогнат да бъдете по-безопасни в мрежата. След като си осигурите кислородна маска, надявам се да направите същото за вашето семейство, приятели и сътрудници. Ето общности, към които можете да се присъедините:

  • Връзка към MayFirst / People - https://mayfirst.org/en/index.html
May First / People Link се ангажира в изграждането на движения чрез усъвършенстване на стратегическото използване и колективен контрол на технологиите за местни борби, глобална трансформация и еманципация без граници. Изхождайки от тази мисия, нашата организация предефинира концепцията за „доставчик на интернет услуги“ по колективен и съвместен начин. Както всяка организация за демократично членство, ние се събираме всяка година, за да оценяваме опита от миналата година, да планираме работата за следващата година и да изберем Комитет за лидерство, който да приложи това, което сме решили. Подобно на кооператора, ние плащаме такси, купуваме оборудване и след това всички използваме това оборудване, както е необходимо за уебсайтове, имейл, имейл списъци и почти всичко останало, което правим в Интернет. Като организация на движение ние участваме в (и често водим) кампании, борби, коалиции и мрежа от леви, прогресивни и социално справедливи организации в САЩ, Мексико и в международен план.
  • Riseup - https://riseup.net/
Riseup предоставя онлайн инструменти за комуникация за хора и групи, работещи върху освободителните социални промени. Ние сме проект за създаване на демократични алтернативи и практикуваме самоопределяне, като контролираме собствените си сигурни средства за комуникация.

24.11.16: Забележка за Riseup: Криптични туитове и остарял канарски среден Riseup може да са компрометирани. Ако използвате Riseup, трябва: A. Дарете им и B. Решете дали ще продължите да използвате услугата или да мигрирате към друга, докато канарката не бъде актуализирана. Има аргументи за изчакване и аргументи за архивиране на данни и използване на друг доставчик, докато канарчето не бъде актуализирано. Вижте статията по-долу за повече информация.

  • CryptoParty NYC - https://www.cryptoparty.in
С CryptoParty създавате среда, в която хора от различни среди се събират и се учат един от друг. Ето защо може да искате да включите хора на различна възраст, пол, наследство и опит.
Вратите се отварят, хората пристигат, намират място и се социализират. Кратко представяне официално отваря събитието и след това се отправя към масите. Всяка таблица обхваща тема и хората решават какво биха искали да учат или преподават.
Хората ще бъдат по-удобни, като им се даде достатъчно време за социализация. Тогава те ще бъдат по-склонни да задават въпроси. Но също така е необходима среда, в която се чувстват комфортно за общуване. Настройването на сцената е ваша задача.
  • CryptoHarlem - https://twitter.com/cryptoharlem
  • Технологична кооперация Palante - http://palantetech.coop/
Технологичната кооперация Palante работи, за да помогне на прогресивните нестопански организации да продължат напред с помощта на технологиите. Към тази работа стигаме с техническа експертиза, дълбоко разбиране на специфичните нужди на организациите в общността и дългогодишен ангажимент за работа за социална справедливост.

ресурси

  • Неща, които трябва да знаете за сигурността в Интернет преди въвеждането на Тръмп: Ръководство за намаляване на вредата - https://medium.com/@kappklot/things-to-know-about-web-security-before-trumps-inauguration-a-harm-reductionist- водач-c365a5ddbcb8
  • Как да шифровате целия си живот за по-малко от час https://medium.freecodecamp.com/tor-signal-and-beyond-a-law-abiding-citizens-guide-to-privacy-1a593f2104c3#.jn58hhi4k
  • О, мамка му! Какво да правя преди януари? (ръководство, написано с LGBTQ + хора в ума) - https://docs.google.com/document/d/1QjiJi4YBbmdnWyTdKDb-IgLvTjYKWx3WqNirAkGMQV8/edit#heading=h.ln4kek81khwg
  • Ръководство за активисти за архивиране на видео: https://archiving.witness.org/archive-guide/
  • Как да изтичате до прихващането: https://theintercept.com/2015/01/28/how-to-leak-to-the-intercept/
  • Ръководство за Направи си сам за феминистката киберсигурност - https://tech.safehubcollective.org/cybersecurity/
  • Ресурси: Какво можете да направите сега - http://entropymag.org/resources-what-you-can-do-right-now/
  • Криптирайте своя лаптоп така, както го имате предвид - https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/
  • Надзорна самозащита срещу администрацията на Тръмп - https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/
  • Стартиращият пакет за защита на Фондацията за електронни граници - https://ssd.eff.org/en/playlist/want-security-starter-pack