Národná bezpečnosť ako hlavná príčina národnej paranoje - Nethemba

BLOG

Národná bezpečnosť ako hlavná príčina národnej paranoje

2016-05-30 11:09 Pavol Lupták

1. Celine’s First Law: National Security is the chief cause of national insecurity

V roku 1995 bolo identifikovaných 174 000 neoficiálnych Stasi informátorov, čo bolo takmer 2.5% populácie z celého Východného Nemecka vo veku 18 až 60 rokov. Podľa materiálu, ktorý bol zničený počas posledných dní socialistického režimu vo Východnom Nemecku, úrad na správu Stasi záznamov (Bstu) odhadoval, že počas režimu mohlo aktívne pôsobiť až 500 000 Stasi informátorov, pričom ich celkové množstvo (vrátane takých, ktorí informovali len príležitostne) bolo až 2 milióny.

Paranoja zo všade infiltrovaných agentov tajných služieb Stasi, ktorých pôvodným zámerom bolo “zabezpečovať ochranu štátu” mala na bezpečnosť štátu úplne opačný efekt – nikto nikomu v štáte neveril a každý sa cítil ohrozený.

Zámer zabezpečovať ochranu štátu je úloha každej štátnej informačnej služby – v našich krajinách Slovenská informačná Služba (ďalej SIS) a česká Bezpečnostní Informační Služba (ďalej BIS).

Pozrime sa ako štátne informačné agentúry a tajná polícia na Slovensku a v Čechách zasahuje a ovplyvňuje individuálne súkromie obyvateľov.

2. SIS ako najväčšia hrozba pre súkromie občanov na Slovensku

Predtým ako sa pustíme do kauzy leaknutej emailovovej komunikácie slovenskej SIS a talianskej hackerskej spoločnosti Hacking Team na Wikileaks, ktorá bola pred pár mesiacmi kompletne vyhackovaná (Citizenlab o ich nemorálnych aktivitách dlhodobo informuje), analyzujme historické škandály SIS týkajúce sa obmedzovania digitálneho súkromia:

1.  SIS opakovane podala kontroverzný návrh na odpočúvanie akejkoľvek šifrovanej komunikácie všetkých občanov. Viac informácií SIS chce špehovať všetko, nás internet banking aj e-maily. Na základe veľkého občianskeho odporu a viacerých kampaní proti tomuto návrhu (Tajná služba chce viac moci. 11 zmien, aby ju nezneužívala, Hromadná pripomienka mimovládnych organizácií k návrhu zákona o Úrade civilného spravodajstva a Vojenskom spravodajstve ) a rozporovom konaní na Ministerstva vnútra, ktorého som sa osobne zúčastnil, SIS uvedený návrh odpočúvania nakoniec stiahla. Návrh SIS o nekontrolovateľný zber metadát občanov SR a povinnosť odovzdávať šifrovacie kľúč bez akejkoľvek súdnej kontroly predstavuje mimoriadny zásah do súkromia občanov, navyše bez akejkoľvek protiváhy. Návrh prikazuje pod hrozbou vysokej pokuty povinnosť odovzdávať šifrovacie kľúče z nejednoznačne definovaného okruhu zariadení – preemptívne a všeobecne.

2.  Dňa 15.9.2014 Wikileaks zverejnili informáciu o tom, že Slovenská Republika nakúpila 39 licencií softvéru FinFisher v sume viac ako 5 miliónov EUR. FinFisher vyvíjaný spoločnosťou Gamma je využívaný totalitnými vládami rôznych krajín na špehovanie a monitorovanie disidentov. Ide o extrémne účinný softvér, lebo využíva tzv. 0-day zraniteľnosti na ktoré ešte neexistujú účinné bezpečnostné záplaty. Úrad vlády SR uvedenú informáciu dementoval – “Vo všeobecnosti nekomentujeme informácie Wikileaks, lebo majú kvalitu na úrovni “jedna pani povedala”. Problematiku, na ktorú sa pýtate, zastrešujú príslušné inštitúcie; obráťte sa prosím na nich,” reagoval tlačový a informačný odbor Úradu vlády SR.

Wikileaks odhaľuje ale ďalšie informácie, ktoré Úrad vlády SR ani SIS verejnosti nepovedali a sú dosť zásadné. Pán Jozef Mozolík zo SIS spriaznenej firmy GISS s.r.o. a pán Jan Fiala z ALLSAT s.r.o. pozvali do Bratislavy nielen zástupcov pofidérnej talianskej spoločnosti Hacking Team, ale aj zástupcov podobnej spoločnosti Gamma s cieľom prezentovať ich špehovacie riešenie (FinFisher). A samozrejme čakali na ponuky od oboch týchto firiem.

Nezávisle zverejnené záznamy na Wikileaks svedčia o tom, že SIS reálne vyberali špehovacie riešenie medzi spoločnosťami Hacking Team a Gamma a je veľmi pravdepodobné, že nakoniec aj nejaké vybrali (o tomto svedčí minuloročné zverejnenie na Wikileaks, že Slovenská republika je klientom Gamma, ktoré slovenské úrady popreli). Bohužiaľ všetko toto podliehalo utajeniu, takže SIS si mohla dovoliť závažny fakt, že komunikuje, dohaduje sa na stretnutiach a chce zakúpiť špehovacie riešenie od dvoch pofidérnych firiem zamlčať (a to aj spravili).

O celej kauze FinFisher vs. Slovenská republika som mal pred takmer rokom prezentáciu – FinFisher – top government spying, video z prezentácie k dispozícii napríklad tu.

3.  SIS má u všetkých mobilných operátorov priamy prístup k Vašej mobilnej komunikácii a možnosť odpočúvať akýkoľvek Váš hovor alebo SMS správy. Potrebuje k dispozícií síce súdny príkaz, ktorý je ale len málokedy zamietnutý. Akýmkoľvek mobilným hovorom na Slovensku a v Čechách sa preto nedá vôbec veriť a preto jeden z mála spôsobov, ako sa reálne voči odpočúvaniu štátom brániť je realizovať “end-to-end” šifrované hovory využitím Android aplikácie Signal Private Messenger alebo iOS aplikácie Signal Private Messenger, prípadne využiť iný spôsob hlasového šifrovania použitím VoIP ZRTP protokolu.

4.  Talianska spoločnosť Hacking Team, s ktorou obchodne rokovala SIS bola kompletne vyhackovaná a boli zverejnené všetky kompromitujúce informácie súvisiace s jej biznisom. Viac informácií tu:

Hackli firmu, ktorá pomáha štátom špehovať občanov Uvedený softvér Hacking Team nakúpila Česká polícia – Česká policie údajně platí miliony za nelegální hackerské nástroje. Tu by som podotkol, že predaj Českej polícii bol realizovaný cez spoločnosť Bull s.r.o., k dispozícii faktúra. Podľa komunikácie zverejnenej na Wikileaks SIS plánovala na tento účel využiť súkromnú spoločnosť GISS s.r.o.

Využívanie špehovacieho softvéru od Hacking Team riešili členovia Českej snemovne (Sledovací software policie použila v desítkách případů, zaznělo ve Sněmovně). Vyzerá, že českí politici obhajujúci konanie českej polície sú mierne nechápaví a nerozumejú tomu, že nakupovanie špehovacieho softvéru (na “legálne účely”) od Hacking Teamu je analogicky to isté ako nakupovanie munície (tiež na “legálne účely”) od ISIS, ktorý okrem toho, že ju predáva svojím klientom na obranu, tak ňou zabíja nevinných ľudí. Česká polícia odmieta zverejniť akékoľvek ďalšie informácie o samotnom softvéri Galileo, ktorý nakúpil od spoločnosti Hacking Team – Policie ČR: Šmírovací software jsme koupili, ale vše je tajné, nic neřekneme, Hacking Team hacked: prodával spyware mnoha státům včetně Česka.

Konanie (a obchodovanie s diktátorskými krajinami) v prípade Hacking Team navrhujú vyšetriť priamo členovia Európskeho parlamentu.

Podľa zverejnenej Wikileaks komunikácie vyzerá, že slovenská SIS nestihla od spoločnosti Hacking Team do doby zverejnenia nič zakúpiť (kedže spoločnosť Hacking Team bola kompletne vyhackovaná a prakticky zmetená z IT bezpečnostného trhu).

3. Prečo Česká polícia a SIS úplne morálne zlyhali?

Pofidérne nemorálne aktivity talianskej hackerskej spoločnosti Hacking Team sú verejne známe už niekoľko rokov, pravidelne sa o tom publikuje (v minulosti publikoval napríklad Citizenlab).

Je neuveriteľné, že štátne inštitúcie ako Česká polícia, ktorá od nich uvedený nástroj za desaťtisíce eur reálne zakúpila, podobne slovenská SIS, ktorá uvedený nástroj plánovala zakúpiť, neboli schopné si pri tak veľkej investícii spraviť jednoduchý “background check” (overenie biznis partnera) samotnej spoločnosti Hacking Team a zistiť, že v IT bezpečnostnej komunite majú skutočne veľmi zlú reputáciu.

Ak to náhodou omylom nespravili, tak nezostáva nič iné, len konštatovať, že sú neschopní a mrhajú desaťtisícami eur od svojich daňových poplatníkov na nákup špehovacieho softvéru od firiem, ktorých reputáciu si nevedia alebo nechcú overiť.

4. Prečo je nemorálne používať špehovacie hackerské nástroje firiem od Hacking Team alebo Gamma?

Existuje viacero navzájom podporujúcich sa dôkazov, že uvedený softvér používajú vlády diktátorských krajín na špehovanie disidentov a politických aktivistov, ktorí sú následne kriminalizovaní, často aj mučení a zabití.

SIS nemá morálny problém cez spostredkovateľské firmy dohadovať si stretnutie s firmami, ktoré tieto režimy reálne podporujú.

Najnemorálnejšie na celom incidente okolo hackerských firiem “pracujúcich pre vlády” ako Hacking Team alebo Gamma nie je to, že vytvárajú a predávajú sofistikovaný špehovací softvér. Ale to, že vlády, ktoré si hovoria, že sú “demokratické” (a tam patrí aj slovenská a česká) od týchto firiem (ktorých kľúčový biznis je postavený na obchodovaní s diktátorskými vládami/režimami) za peniaze daňových poplatníkov nakupujú špehovacie služby a nástroje.

Zo strany bežného občana smerom k tajným štátnym službám neexistuje prakticky žiadna transparentnosť (možnosť napríklad využívať infozákon). Bez Wikileaks a pomoci whistleblowerov by sa občania o týchto škandáloch zrejme nikdy nedozvedeli.

Taktiež to, že sa ako bežný občan nemáte šancu akokoľvek voči tomu brániť – na 0-day exploity neexistujú bezpečnostné záplaty (viac informácii ako funguje zvrhlý 0-day biznis s vládami vysvetľujem v mojej prezentácii Government’s fight against cyber terrorism vs. FinFisher 0-day economy). Súčasne nedokážete ani legálne zistiť či vaša vláda uvedené špehovanie reálne zakúpila a používa, kedže tento softvér nakupujú štátne inštitúcie, ktoré podliehajú kompletnému utajeniu (viď vyššie uvedené prehlásenie Českej polície).

Je to ukážka toho, ako sa “demokracia” reálne zmršťuje do Orwellovskej špehovacej diktatúry bez možnosti občana sa voči tomu akokoľvek brániť.

Kedže nemorálny biznis “government-friendly” firiem ako Hacking Team alebo Gamma vlády nikdy nezakážu a nebudú kriminalizovať (nakoľko sú sami klientami tohto biznisu), hackerské útoky voči týmto firmám je bohužiaľ jedna z mála možností ako sa dozvedieť zákulisné informácie o štátnej špehovacej diktatúre.

Ak sa skutočne bojíte o Vaše digitálne súkromie, štátne informačné služby sú to, z čoho by ste mali mať ten najväčší strach.

5. Whistleblowing ako jediný spôsob ako sa dozvedieť nemorálne zákulisné informácie o štátnych agentúrach podliehajúcich utajeniu

Jeden z najväčších škandálov, ktorý postihol slovenskú spoločnosť, bola kauza Gorila (únik hlasového prepisu odpočúvania komunikácie predstaviteľov najväčších finančných skupín a slovenských politikov). Kauza Gorila bola tak závažná, že ležala niekoľko týždňov v poštových schránkach všetkých veľkých slovenských médii a nikto nemal odvahu začať so zverejnením a hlbším analyzovaním. To nastalo až vtedy, keď samotný prepis Gorily bol anonymne zverejnený. Napriek závažným veciam, ktoré boli v kauze Gorila zverejnené, doteraz celá kauza nebola poriadne vyšetrená a je veľmi otázne či niekedy bude. Zvýšená frekvencia únikov informácií od whistleblowerov svedčí len o netransparentnosti a narastajúcom zneužívaní právomocí štátu, podobne o absencii interných vyšetrovacích mechanizmov. Toto sa bezprostredne dotýka napríklad aj našej súkromnej spoločnosti – časti jej portfólia boli ukradnuté a následne použité na vytvorenie ponuky a projektu pre štátnu zákazku podliehajúcu utajeniu pre štátny podnik JAVYS. Napriek tomu, že sme tento prípad medializovali – doteraz sa nezačalo interné vyšetrovanie.

 

6. Legalizácia používania špehovacieho softvéru (Informačno-technický prostriedok, ďalej ITP) pre vyvolené štátne úrady, kriminalizácia používania ITP inými osobami

Na Slovensku od 1.1.2016 platí nový zákon, ktorý legalizuje používanie špehovacieho softvéru (ďalej ITP) pre vyvolené štátne úrady (konkrétne Policajný zbor, SIS, Vojenské spravodajstvo, Zbor väzenskej a justičnej stráže a Colná správa). Konkrétne to znamená, že uvedené štátne inštitúcie môžu legálne používať kontroverzné špehovacie nástroje Galileo a FinFisher, a iné.
Znenie zákona “Orgány územnej samosprávy, súkromné bezpečnostné služby ani fyzická osoba alebo právnická osoba NESMIE použiť informačno-technický prostriedok” vytvára legálne ohrozenie pre všetky firmy, ktoré takéto nástroje používajú pri svojej bežnej práci. Napríklad naša (ako aj iné) firmy využívajú množstvo nástrojov (Wireshark, Burp Suite Pro, Metasploit, testovací malware a iné) na obojstranne dohodnuté etické penetračné testovanie, ktoré svojou podstatou a časťami funkcionality sú dosť podobné ITP. V tomto prípade všetkým týmto firmám hrozí potenciálna kriminalizácia ich normálnej podnikateľskej činnosti. Zákon bohužiaľ ITP definuje veľmi vágne, takže táto možnosť tam stále existuje a je ľahko zneužiteľná.

7. “Rejdište zločinců a semeniště zla” – Chovanec vyhlásil válku anonymite na Internetu.

Minister vnútra Milan Chovanec (ČSSD) ako aj množstvo západných európskych politikov (napríklad David Cameron) podliehajú v dôsledku svojej technickej nevedomosti ilúzii, že je možné vybudovať neanonymný Internet a zabezpečiť, aby všetci jeho používatelia boli „štátom overení“ vďaka čomu bude možné nadobro vyplieniť „semenište hnutí propagujúcich zlo“.

Stať sa vládcom nad Internetom a jeho obsahom je cieľom nejedného svetového diktátora. Každý z nich má na to podobný, ak nie rovnaký dôvod ako pán Minister — “bezpečnejší Internet bez hnutí propagujúcich zlo”.

Je pravdepodobné, že pán Chovanec pred svojim populistickým prehlásením nekonzultoval technickú realizovateľnosť svojich politických vízií s odbornou verejnosťou, v nasledujúcich odstavcom by som poukázal na nebezpečnosť tohto aj iných podobných politických prehlásení týkajúcich sa proklamovanej nevyhnutnosti štátnej kontroly nad Internetom.

8. Je vôbec technické možné kontrolovať Internet a znemožňovať anonymitu?

Bez drastických zásahov do súkromia ľudí, zákazu šifrovania a monitorovania akejkoľvek komunikácie určite nie.

Najsofistikovanejšie spôsoby štátnej kontroly nad Internetom existujú v Číne, Severnej Kórey či v rôznych arabských štátoch. Napriek tomu:

1. Vo všetkých týchto krajinách funguje anonymizačná sieť Tor (aktivistami obľúbená distribúcia je Tails).

2. V niektorých sú blokované prístupy na tzv. adresárové uzly („directory nodes“). Toto obmedzenie je možné obísť používaním neverejných Tor premostení (tzv. „Bridge relay nodes“).

3. V niektorých krajinách je blokovaná Tor komunikácia (ktorá sa normálne tvári ako „https“) pomocou DPI alebo aplikačných firewallov. Toto je možné obísť steganografiou — vkladaním citlivého obsahu do bežnej verejnej komunikácie) pomocou obfsproxy3. Vývojári Toru aktívne pracujú tiež na sofistikovanejšom spôsobe obfuskácie obfs4.

Nutne podotknúť, že na trh prichádzajú stále nové a nové zariadenia využívajúce rôzne anonymizačné technológie (alebo VPN) umožňujúce ich používať okamžite bez technických znalostí (napríklad SafePlug, ktorý stoji len $49).

Momentálne v každej diktátorskej krajine na svete je možné obísť štátne centrálne vynucované kontroly Internetu a to aj napriek tomu, že by si ich diktátori želali opak.

Kedže prakticky nezakázateľné anonymizačné siete v súčasnej dobe používajú nielen aktivisti a novinári v diktátorských krajinách, ale aj kriminálnici a teroristi, stojí za zamyslenie, či dá sa zaviesť efektívna kontrola prístupu k Internetu?

 

9. Dá sa zaviesť efektívna kontrola prístupu k Internetu?

Technicky nie. Obeťou štátneho špehovania a kontroly sa stanú najbežnejší ľudia, ktorí anonymizačné siete používať nebudú. Akékoľvek informácie o nich zbierané sa stanú predmetom zneužitia a korupcie. Položme si otázku   “Existuje politik, ktorému dôverujete dostatočne na to, aby ste sa dobrovoľne zbavili práva na svoje anonymné príspevky?”

Ak ste odpovedali áno, tak vedzte, že obrovské množstvo skúsených používateľov Internetu a ľudí preferujúcich slobodu má úplne opačný názor.

Akékoľvek pokusy štátu zakazovať Internetovú anonymitu a vynucovať štátom pridelený identifikátor vždy pri prístupe do Internetu, nielenže je technicky ťažko realizovateľné, ale malo by to drastický dopad na Internetové súkromie všetkých obyvateľov štátu. Ocitlo by sa totiž v rukách nedôveryhodných skorumpovaných politikov a ich štátneho aparátu.

Uvažovanie „keď nerobím nič zlé, nemám čo skrývať” je chybné a veľmi krátkozraké, kedže štátom zbierané informácie môžu byť o vás zneužité ďalšou politickou garnitúrou, s ktorou už vôbec sympatizovať nemusíte.

Internetová anonymita tiež umožňuje dosiahnuť a demonštrovať existenciu alternatívnej decentralizovanej spoločnosti ku štátu, v ktorej neexistuje možnosť centrálne riadiť a vynucovať pravidlá, kde obojstranné dohody sú zabezpečované formou vzájomných kontraktov.

 

10. Akú politickú legitimitu majú predkladatelia “diktátorských” zákonov?

Celoplošné špehovanie občanov, regulácia a kontrola sú bohužiaľ v súčasnej dobe stále otvorené a obľúbené politické témy v Čechách aj na Slovensku. Ak niektorá zo súčasných štátnych inštitúcií alebo jej predstaviteľov predloží zákon o povinnom označovaní Židov žltou hviezdou, budeme ho brať vážne? Ak nie, prečo potom berieme vážne návrhy diktátorských zákonov a fašizujúce názory štátnych inštitúcií ako SIS, MV SR, MV ČR?

Podľa štúdie Inštitútu pre verejné otázky Internet Freedom Report 2014: Slovakia, v roku 2012 slovenská polícia zadala 1551 žiadostí o odpočúvanie, z ktorých boli schválené prakticky všetky (1489), ale len 59 sa reálne použilo v nejakom súdnom procese (to je menej ako 4%). Vyplýva z toho, že riziko nelegitímneho odpočúvania (kedy nebol spáchaný žiadny trestný čin) je relatívne vysoké a preto je dobré sa voči nemu brániť.

11. Dopady štátnych zásahov na naše súkromie

Ak budú mať štátne inštitúcie prístup k dešifrovanej komunikácii alebo kľúčovému materiálu svojich občanov, tak je zjavné, že tieto zákony určite spôsobia cielené oslabenie používaných krypto systémov. Akýkoľvek štátny pokus o reguláciu šifrovania degraduje ochranu digitálneho súkromia všetkých ľudí a spôsobuje zvýšenie rizika odpočúvania tretími stranami. História bohužiaľ ukazuje, že “legálne odpočúvacie systémy” štátnej moci boli opakovane nabúrané hackermi a zneužité na odpočúvanie a špehovanie nevinných ľudí.

Ak štát bude vyžadovať od výrobcov krypto riešení poskytovanie akéhokoľvek prístupu k prenášaným údajom či kľúčovému materiálu (tzv.”zadné vrátka”), tak reálne hrozí, že akékoľvek silné krypto riešenia sa v Čechách a na Slovensku prestanú ponúkať a komerčne distribuovať. Podobná situácia nastala pred pár rokmi v Saudskej Arábii a Spojených štátoch Emirátskych, ktorí od spoločnosti Blackberry pred vstupom na ich trhu explicitne vyžadovali implementáciu “backdoorov” (“zadných vrátok”) do akejkoľvek šifrovanej komunikácie hovorov vykonaných na území týchto krajín a teda možnosť poskytnúť samotným vládam prístup ku všetkým hovorom. Kedže Blackberry odmietlo oslabiť bezpečnosť a súkromie svojich klientov, vlády týchto krajín znemožnili vstup Blackberry na ich trh. Podobná kauza momentálne prebieha v USA, kedy federálna služba FBI chcela donútiť spoločnosť Apple vytvoriť a nasadiť špeciálnu verziu iOS firmwareu so “zadnými vrátkami”, ktorá by im umožnila odpočúvanie komunikácie používateľov iPhone telefónov. Apple to verejne odmietol a New Yorský súd pred pár dňami rozhodol, že nútiť Apple do cieleného oslabenia krypto systémov svojich klientov zo strany FBI je protiústavné.


Je potrebné si uvedomiť, že podobnou navrhovanou legislatívou sa českí a slovenskí občania úplne pripravia o možnosť mať dostatočné silné riešenia na trhu na ochranu svojho digitálneho súkromia a paradoxne vďaka štátu, ktorý intenzívne bojuje voči kyberzločinu sa stanú jeho ľahšími obeťami.

Súčasná legislatíva na Slovensku, ktorá umožňuje použitie ITP výhradne pár vyvoleným štátnym úradom tiež vytvára obrovskú informačnú nerovnováhu (špehovací software so 0-day exploitami môže použiť len štát – samotní občania sa nemajú ako brániť). Podobne vágna definícia ITP v zákone vytvára priestor pre zneužitie (bude naša spoločnosť kriminalizovaná za to, že používa pre účel svojej práce špehovacie nástroje a exploity?)

12. Tri dôvody prečo vaše štátne úrady predstavujú najväčšiu hrozbu pre Vaše digitálne súkromie

1. Netransparentnosť

V prípade štátnych agentúr podliehajúcich utajeniu prakticky žiadna. Nemáte takmer žiadnu možnosť zistiť, aké sofistikované nástroje a zbrane uvedené štátne agentúry nakupujú a v akom rozsahu (koľko občanov je obeťou špehovania).

2. Monopol

Opakované zneužitie právomoci štátnych agentúr (čo je určite aplikovateľné aj na SIS) nevedie k strate reputácie a jej prípadnému krachu. Štátne agentúry na danom území nemajú prirodzenú konkurenciu, trhovú potrebu udržiavať si spokojných zákazníkov a teda udržiavať si trhovú reputáciu. To automaticky vedie k opakovanému zneužívaniu ich právomocí a osobne som presvedčený o tom, že bez decentralizácie a demonopolizácie týchto služieb nie je možné tento problém vyriešiť.

3. Špehovací malware softvér so 0-day exploitami

Jedna z najzákernejších vecí, ktorá sa dotýka všetkých ľudí, je silná informačná nerovnováha, ktorú softvér so 0-day exploitami (Galilelo, Gamma) vlastnený a používaný štátnymi agentúrami a štátnou políciou vytvára. Ako bežní občania prakticky nemáte žiadnu možnosť sa voči týmto odpočúvacím a špehovacím nástrojom brániť. A bohužiaľ vo väčšine prípadov ani zistiť, že ste obeťou odpočúvania.


13. Chráňte sa!

Súčasne technológie umožňujú do veľmi slušnej miery chrániť akúkoľvek hlasovú, textovú, či inú komunikáciu. Medzi najpopulárnejšie nástroje s dobrou a overenou reputáciou na šifrovanie hlasu je nástroj Signal private messenger dostupný pre platformy Android a iOS. Alternatívne nástroje sú napríklad Telegram alebo Threema.

Pri šifrovanej instantnej komunikácii sa neodporúčajú používať nešifrované protokoly, resp. protokoly, ktoré priamo neumožňujú end-to-end šifrovanú komunikáciu (Skype, MSN, ICQ, Google Talk, Facebook messenger a iné). Naopak odporúča sa používať XMPP protokol (napríklad Jabber) s podporou end-to-end šifrovania prostredníctvom OTR.

Aj napriek tomu, že veľa bezpečnostných expertov pokladá šifrovanie využitím PGP alebo S/MIME už za historicky prekonané (napríklad kvôli absencii PFS – “Perfect Forward Secrecy”), použitie uvedených technológií na šifrovanie emailovej komunikácie môže výrazne navýšiť ochranu vašej komunikácie (obzvlášť ak používate verejné poštové servery ako GMAIL, kde je možnosť nainštalovať si Mailvelope Plugin, ktorý vám PGP šifrovanie umožní).

Prakticky nevyhnutná vec je kompletné zašifrovanie vášho disku (v prípade Microsoft Windows použitím Microsoft Bitlocker prípadne použitím iných otvorených nástrojov, v prípade Mac OS FileVault, v prípade Linuxu dm-crypt/LUKS). A to sa netýka len osobného počítača či laptopu, ale aj vašich mobilných zariadení (Android podporuje kompletné šifrovanie od verzie 3.0). V krajinách, ktoré vynucujú poskytovanie kľúčového materiálu štátnym agentúram ako napríklad UK (majú tzv. key disclosure law”) je vhodné používať aj tzv.”hidden volumes”, teda skryté časti diskov, ktorých existenciu nie je možné dokázať digitálnou forenznou analýzou a umožňujú vám dobre reagovať aj v situáciach, kedy ste donútení zo strany štátu alebo teroristov prezradiť svoje heslo alebo heslovú frázu k vaším zašifrovaným dátam.

Tiež je dôležité dbať o používanie a inštaláciou softvéru z dôveryhodných overených zdrojov a jeho neustálu aktualizáciu. To sa týka aj aktualizácie operačných systémov a ich jadier (podľa uniknutých informácií, špehovacie softvéry Gamma a Galileo nedisponovali funkčnými 0-day exploitami na posledné verzie iOS).