Jak zabezpieczyć swoją elektronikę przed podróżą do ChRL

Będę się starał aktualizować ten poradnik co najmniej raz w roku.

Wczoraj pisałem o zaleceniach Holenderskiego Komitetu Olimpijskiego dla sportowców jadących na Zimowe Igrzyska Olimpijskie w Pekinie, sugerujące pozostawienie w domu prywatnego sprzętu elektronicznego i zabranie tylko „jednorazowych” urządzeń, dostarczonych przez komitet. Pomyślałem, że warto napisać krótki poradnik, jak się można zabezpieczyć jadąc do Chin (lub kilku innych mniej wolnych państw na świecie) przed wścibstwem lokalnych służb, ale też zwykłych przestępców czy szpiegostwem przemysłowym lub handlowym. Te nierzyjemne rzeczy mogą nas spotkać wszędzie na świecie, ale w ChRL jest niepokojąca ich intensywność, częstotliwość i powszechność.

1. Zostaw w domu

To najprostsze i najpewniejsze rozwiązanie. Jeżeli jedziemy na krótki okres i możemy sobie zrobić przy okazji detoks od Internetu, to radzę kupić tani klasyczny telefon. Karta prepaid zabrana z Polski i załadowana wystarczającą sumą pozwoli na wysyłanie SMSów i wykonanie w razie potrzeby telefonu do Polski, a jeżeli zajdzie taka konieczność to rodzina lub znajomi mogą zawsze doładować nam konto. Jeżeli wybierzemy model umożliwiający używanie dwóch kart SIM, to można też mieć lokalny numer. Po powrocie do kraju wszystko oczywiście utylizujemy.

2. Zostaw w domu i zabierz zamienniki

Niestety, nie każdy może sobie pozwolić nawet w czasie krótkiego wyjazdu na utratę łączności z pracą lub rodziną, ale trzeba mieć świadomość, że choć można zwiększyć swoje elektroniczne bezpieczeństwo, to nigdy nie wyeliminujemy wszystkich zagrożeń. Dlatego wciąż lepiej nie zabierać ze sobą sprzętu używanego na co dzień.

• Smartfon. Zostawiamy nasz w domu, na wyjazd zabieramy stare urządzenie, co wala się w szufladzie. Po przywróceniu ustawień fabrycznych używamy jednorazowej karty prepaid. Oczywiście, nie logujemy się do chmury i nie ściągamy ustawień lub kontaktów z codziennego telefonu. Po powrocie wszystko utylizujemy.
• Internet. Trzeba zabrać ze sobą mobilny modem i do niego załadować lokalną kartę z Internetem. Warto wyłączyć WPS i ustawić ukrytą sieć (ma to swoje plusy i minusy, ale myślę, że kiedy nie jest to najlepszy pomysł na zabezpieczenie sieci domowej, to dla osoby w ruchu zalety przeważają nad wadami). Ze smartfona lub komputera łączymy się przez szyfrowane Wi-Fi z modemem / routerem i dopiero ten wchodzi w chińską sieć. To rozwiązanie ma też tego plusa, że na grupowym wyjeździe większa liczba osób może korzystać z jednego modemu.
• E-mail. Zakładamy nowe, tymczasowe konto, na które przekierowujemy pocztę i w ten sposób będziemy mogli odbierać E-maile. W najgorszym wypadku nasze główne konto nie będzie skompromitowane i zostanie przechwycona tylko korespondencja przekierowana na konto pośrednie. W czasie wyjazdu odpisujemy niestety z konta tymczasowego.
• Laptop. Tutaj będzie najwięcej zabawy. Możemy wziąć stary laptop, albo ten który używamy na co dzień. Nie możemy jednak zabrać twardego dysku. Nawet z dobrze wyczyszczonego HDD lub SSD (nie mówimy o zwykłym formatowaniu) można odczytać stare dane. Usunięty i schowany w domu twardy dysk można zastąpić pendrive’em lub lepiej kartą pamięci, na której mamy zainstalowanego Linuksa w wersji live. Komputer startuje i ładuje się do pamięci RAM. Na takiej karcie też można mieć partycję do zapisywania na szybko jakiś dokumentów. Jednak po wyłączeniu urządzenia wszystkie rzeczy niezapisane na zewnętrznym nośniku znikają, a system powraca do pierwotnego stanu. Nawet jeżeli nasza sesja zostanie w jakiś sposób przechwycona, to sam laptop pozostanie nietknięty. Po powrocie do kraju wkładamy twardy dysk i odzyskujemy nasz system, jakbyśmy nigdy nie wyjeżdżali do Chin. Problemem są niektóre laptopy, które mają system operacyjny na dysku eMMC, którego nie można łatwo usunąć – przynajmniej nie jest to łatwe dla zwykłego użytkownika. No cóż, takich urządzeń lepiej w ogóle nie kupować na pierwszym miejscu.

A co zrobić, jeżeli ktoś jedzie na dłużej i musi po prostu zabrać prywatny sprzęt? Kolejne punkty są dla wszystkich, także dla nich.

4. VPN

Wciąż warto mieć dwa smartfony i ten przywieziony z polski tylko używać przez zaufaną sieć Wi-Fi do ważnych rzeczy, jak łączenie się z polskim bankiem itp. Lokalny telefon będziemy używać na co dzień, ale ze świadomością, że ten jest prawdopodobnie skompromitowany. Przede wszystkim jednak trzeba się wyposażyć w dostęp do VPN, co się przyda na wszystkich urządzeniach. Problem w tym, że a) używanie niezarejestrowanego w ChRL VPN jest nielegalne, a te zarejestrowane są nic nie warte; b) wiele firm oferujących serwis VPN jest w rękach… chińskich spółek i też jest bezwartościowa. Dlatego szukamy VPN nienależącego do chińskiego podmiotu, działającego w Europie lub Ameryce Północnej i oferującego bramki (serwery proxy) na całym świecie, poza ChRL czy Rosją oczywiście. Trzeba mieć też świadomość, że jest to niekończący się wyścig między chińskimi służbami a dostawcami usług VPN. Jedni blokują jedną ścieżkę dostępu, drudzy uruchamiają kolejną itd.

5. Weryfikacja dwuetapowa (2FA)

Jeżeli jej jeszcze nie macie, to przed wyjazdem do ChRL jest najwyższy czas, aby ustawić gdzie się da weryfikację dwuetapową. Problem jest w tym, że skoro zostawiamy w domu nasz telefon, a na nim mamy authetificator i nie możemy dodać sprzętu tymczasowego do urządzeń zaufanych, to jak mamy przejść drugi krok identyfikacji bez niego. W związku z tym trzeba mieć przygotowaną listę jednorazowych haseł lub przestawić wysyłkę kodów jednorazowych na tymczasowy numer telefonu. Alternatywą jest klucz zabezpieczający, ale ten nie działa ze wszystkimi starszymi urządzeniami – na przykład smartfon musi obsługiwać protokół NFC. Zaletą klucza jest jednak łatwa migracja przy zmianie smartfona.

6. Saszetka Faradaya

To ponoć przydatna rzecz. Po włożeniu do takiej saszetki wszystkie urządzenia elektroniczne zostają odcięte od sieci i nie mogą wysyłać lub odbierać żadnych sygnałów. Rozumiem, że to rozwiązanie dla kogoś, kto podejrzewa, iż jego urządzenie jest skompromitowane, a ponieważ w większości nowych smartfonów nie można wyjąć baterii, więc jedynym wyjściem jest odcięcie urządzenia od sieci przed ważnym spotkaniem.

7. Zmiana haseł i kasowanie danych

Po powrocie z ChRL zmieniamy wszystkie hasła¹, także do poczty, której używaliśmy tylko pośrednio przez tymczasowy email. Wszystkie urządzenia albo utylizujemy (lepiej), albo resetujemy do ustawień fabrycznych (mniej bezpieczne). Karty pamięci, twarde dyski itd. formatujemy i czyścimy ze wszystkich danych. Uwaga: dyski SSD wymagają innych narzędzi niż HDD. Resetujemy także klucz zabezpieczający i generujemy nowe hasła jednorazowe.

8. Czego nie robić

• Nie łączymy się z otwartymi sieciami Wi-Fi, to najprostszy sposób na zaatakowanie naszego urządzenia.
• Nie włączamy telefonu na lotnisku. Służby specjalne całego świata monitorują telekomunikację na każdym dużym lotnisku pasażerskim. Zazwyczaj mają fałszywą stację bazową, która przechwytuje i filtruje cały ruch do normalnych stacji bazowych operatorów.
• Nie ładujemy baterii  w gniazdach USB dostępnych w miejscach publicznych. To idealna pułapka, aby wpuścić coś do systemu. Zasilamy baterię tylko własną ładowarką z normalnego gniazdka elektrycznego.
• NIGDY nie zostawiamy naszych urządzeń bez opieki, a zwłaszcza w pokojach hotelowych. Każdy większy hotel w ChRL, który ma licencję na przyjmowanie obcokrajowców, jest pod opieką lokalnego oddziału bezpieki. Monitoruje ona wszystkich gości i nie przepuści okazji, jaką jest pozostawiony w pokoju laptop. Sejfy hotelowe to żart.
• Nigdy nie wgrywamy żadnych lokalnych programów i w ogóle nie używamy podarowanych nam pamięci masowych, kart SD, płyt CD (ktoś to jeszcze używa?) itp.
• Lepiej też nie używać bluetooth w publicznych, zatłoczonych miejscach, więc wszystkie gadżety, jak opaski sportowe, inteligentne zegarki itd. zostają w domu.

9. Szyfrowanie danych?

Dyskusyjna jest kwestia szyfrowania danych. Jeżeli urządzenie zostanie przejęte, to służby sobie poradzą z odczytaniem danych zabezpieczonych standardowymi programami szyfrującymi dostarczanymi z systemem operacyjnym – to dobre zabezpieczenie jednak na wypadek kradzieży sprzętu przez zwykłych przestępców. Co prawda, można również użyć dedykowanych aplikacji jak VeraCrypt (przy innych okazjach polecam), ale fakt posiadania specjalnych aplikacji do szyfrowania i ukrywania danych jest w realiach systemu sądowniczego ChRL okolicznością obciążającą samą w sobie. W efekcie, jeżeli nawet okażą się skuteczne, to tym bardziej mogą sprowadzić na nas kłopoty. Podobnie z takimi narzędziami jak Tails Linux (przy innych okazja polecam), używanie go w ChRL może zrobić tylko więcej krzywdy niż pożytku. One po prostu sprawdzają się w demokratycznym świecie, ale reżimy autorytarne traktują same ich posiadanie za podejrzane.

10. Zdrowy rozsądek przede wszystkim

Zawsze warto zachować zdrowy rozsądek i nie robić online rzeczy, których nie jesteśmy pewni. Żadne rozwiązanie nie jest w stu procentach pewne i zgodnie z „teorią sera szwajcarskiego” tylko kilka warstw daje szansę na przechwycenie większości ataków, ale też nie wszystkich. Co do zasady, im coś jest bardziej „męczącego i złożonego” dla użytkownika, tym bardziej jest trudne dla atakującego, więc nie warto iść na skróty i odpuścić sobie wybranych zabezpieczeń nawet raz.

—
¹ Oczywistą oczywistością jest regularna zmiana haseł, wybór tylko co najmniej dwudziestoelementowych haseł zwierających przypadkowe znaki i używanie odmiennych haseł dla różnych usług. Uwaga jednak na generatory haseł online. Niektóre z nich to pułapki, podają fałszywie przypadkowe ciągi haseł, a w rzeczywistości cyberprzestępcy mogą ich potem użyć przy brute-force attack.