Щоб допомогти захистити журналістів від шпигунського програмного забезпечення, встановленого на їхніх пристроях, “Репортери без кордонів” (RSF) пропонують журналістам безкоштовну послугу, доступну в кількох містах світу, яка дозволяє перевірити чи є на їхніх пристроях ознаки компрометації за допомогою інструменту з відкритим кодом SpyGuard.
Використання шпигунського програмного забезпечення проти журналістів різко зростає, особливо тих, хто розслідує авторитарні режими. Хоча інструменти цифрової безпеки, такі як DangerZone, можуть допомогти зменшити ризик, пов’язаний з відкриттям шкідливих файлів, шпигунське програмне забезпечення може бути встановлене дистанційно або офлайн. Це становить особливу небезпеку, коли пристрої журналіста вилучаються правоохоронними органами. Цифрові атаки часто залишаються непоміченими, тому журналістам надзвичайно важливо регулярно перевіряти свої пристрої на предмет вразливості.
Безкоштовні перевірки безпеки по всьому світу
Ця послуга надається безкоштовно в штаб-квартирі RSF у Парижі, а також у кількох регіональних офісах, зокрема в Тайбеї, Тунісі та Дакарі. Незабаром ця послуга буде доступна в Ріо-де-Жанейро та Вашингтоні, округ Колумбія. Центр свободи преси в Бейруті також має таке обладнання та пропонує безкоштовні перевірки. Німецький відділ RSF у Берліні пропонує додаткову послугу з виявлення шпигунського програмного забезпечення за допомогою іншого інструменту.
Усі запити на аналіз пристроїв слід надсилати до служби підтримки RSF за адресою assistance(at)rsf.org.
Як працює SpyGuard
SpyGuard шукає ознаки шпигунського програмного забезпечення. Аналізуючи вхідний та вихідний інтернет-трафік пристрою – так само, як це робить інтернет-провайдер (ISP) – SpyGuard може виявляти підозрілі з’єднання та ідентифікувати потенційні ознаки компрометації (IOC), а також інші мережеві аномалії.
Аналіз триває щонайменше десять хвилин. Весь підозрілий інтернет-трафік, виявлений протягом цього часу, позначається як потенційна ознака компрометації. Десяти хвилин достатньо, щоб отримати репрезентативне “зображення” інтернет-трафіку пристрою.
Персональні дані не збираються, за винятком точок доступу Wi-Fi, до яких був підключений пристрій. Станція SpyGuard захоплює лише мережевий трафік – як це робить провайдер – і не встановлює жодного програмного забезпечення на пристрій.
Як інтерпретувати результати
- 🟢 Зелений: не виявлено жодних очевидних ознак компрометації. Однак це не гарантує на 100 %, що пристрій не містить шкідливого програмного забезпечення; дуже складні шпигунські програми можуть приховуватися в легітимному мережевому трафіку.
- 🟠 Помаранчевий: виявлено помірний показник компрометації. У цьому випадку деякі елементи, такі як IP-адреси, що використовують підозрілі протоколи, потребують глибокого аналізу для усунення сумнівів. Створений звіт може бути переданий кіберфахівцям RSF або до Лабораторії цифрової безпеки (DSL) RSF для подальшого розслідування з метою підтвердження підозрілої діяльності або виключення помилкового результату.
- 🔴 Червоний: виявлено критичний індикатор компрометації. Пристрій, ймовірно, скомпрометований. Журналістам рекомендується негайно звернутися до кіберфахівців RSF або DSL для проведення розслідування та припинити використання пристрою. Журналіст повинен знати, що криміналістичний аналіз DSL буде більш глибоким і може включати перевірку даних та резервних копій за згодою журналіста.
Обмеження SpyGuard
- SpyGuard може виявляти лише активне шкідливе програмне забезпечення (malware) під час аналізу, на основі збору індикаторів компрометації.
- Він не може виявити, чи були скомпрометовані онлайн-акаунти журналіста (електронна пошта, соціальні мережі тощо).
SpyGuard − це інструмент виявлення, а не видалення: він не може видалити виявлене шпигунське програмне забезпечення. Журналісти повинні розглянути подальший криміналістичний аналіз та залучення спеціалістів для отримання розширеної оцінки та розв’язання проблеми.