Прывітанне, Хабр.
Гэта мы, VPN-сэрвіс . Цяпер часова працуем на люстэрку HideMyna.me. Чаму? 20 ліпеня 2018 года Роскомнадзор дадаў нас з-за рашэння Мядзведзеўскага раённага суда ў Ёшкар-Але. Суд пастанавіў, што наведвальнікі нашага сайта маюць неабмежаваны доступ да экстрэмісцкіх матэрыялаў #безрэгістрацыі, а яшчэ нейкім чынам знайшоў на ім кнігу «Майн Кампф» Адольфа Гітлера. Мабыць, для надзейнасці.
Такое рашэнне нас вельмі здзівіла, але мы працягваем працаваць на hidemyna.me, hidemyname.org, .one, .biz і інш. Зацяжное спрэчка з Роскомнадзора не прывяло ні да якога выніку. Пакуль мы з юрыстамі аспрэчваем блакіроўку і чароўнае рашэнне суда, дзелімся з вамі базавымі парадамі па захаванні канфідэнцыйнасці ў інтэрнэце і навінамі на гэтую тэму.
Эдвард Сноўдэн любіць Агенцтва нацыянальнай бяспекі (напэўна)
Ні для каго не сакрэт, што папулярныя расейскія сэрвісы небяспечныя. Ваша перапіска ў любы момант можа апынуцца ў полі зроку айчынных ахоўнікаў закона. Расказваем, пра што трэба памятаць, размаўляючы праз розныя каналы сувязі.
СОРМ і ВРІ
Ёсць спосабаў праслухаць ваш тэлефон. Афіцыйны і законны - САВМ, сістэма тэхнічных сродкаў для забеспячэння функцый аператыўна-вышуковых мерапрыемстваў. Па законе ў РФ усе аператары сотавай сувязі абавязаны ўсталёўваць на сваіх АТС такую сістэму, калі не жадаюць пазбавіцца ліцэнзіі. Відаў САВМ тры: першы прыдумалі ў 80-х, другі сталі ўкараняць у нулявых, а трэці спрабуюць навязаць аператарам з 2014 года. Большасць аператараў карыстаюцца другім тыпам, але ў 70% выпадкаў сістэма працуе некарэктна ці не працуе зусім. Аднак, па стацыянарным тэлефоне і праз звычайны выклік з мабільнага адчувальныя тэмы ўсё роўна лепш не абмяркоўваць.
Схема працы СОРМ-2 (Крыніца: mfisoft.ru)
Згодна з 97-ФЗ, любыя месэнджэры, сэрвісы і сайты, якія дзейнічаюць на тэрыторыі Расіі, павінны быць унесены ў рэестр . па «» яны абавязаны захоўваць усе дадзеныя карыстальнікаў, у тым ліку запісы галасавых званкоў і перапіску, на працягу паўгода. У ВРІ, дарэчы, ёсць і Хабрахабр.
Праца рэестра падрабязна апісана на прыкладзе Threema, але галоўная выснова такая: зараз па запыце расейскіх уладаў любая інфармацыя пра вас можа апынуцца ў праваахоўных органах. Таму першае, што трэба зрабіць для захавання прыватнасці - перанесці званкі і паведамленні ў месэнджары, якіх у рэестры на ВРІ няма. Ці ў тыя, якія там ёсць, але перадаваць дадзеныя ўладам адмаўляюцца - як Threema і Telegram.
Даведка: Само па сабе знаходжанне ў рэестры ВРІ не гарантуе таго, што даныя будуць перадавацца ўладам. Трэба стала маніторыць навіны і глядзець на рэакцыю месэнджэра, калі за ім "прыйдуць".
Галасавыя званкі і паведамленні
Нашы размовы і паведамленні ад умяшання трэцяй асобы можа абараніць end-to-end шыфраванне, таму месэнджары з Е2Е лічацца найбольш бяспечнымі. Але гэта не зусім так: разгледзім папулярныя варыянты.
Тэлеграма end-to-end шыфраванне ў сваіх Secret Chats і захоўвае зашыфраваныя дадзеныя аб вашай перапісцы ў воблаку, якое раскідана па розных краінах з "бяспечнай" юрысдыкцыяй. Але пасля на Хабре аб ілюзіі бяспекі Telegram Passport у Е2Е ад Дурова можна пачаць сумнявацца.
Вядома, зносіны ў Secret Chats па-ранейшаму застаецца добрым варыянтам для параноікаў. У іх шыфраванні сервер наогул ніяк не задзейнічаны: паведамленні перадаюцца peer-to-peer, гэта значыць напроста паміж удзельнікамі перапіскі. Для мацнейшага спакою можна скарыстацца функцыяй самазнішчэння паведамленняў па таймеры. Але не варта слепа спадзявацца на Telegram. Каб ён стаў крыху больш бяспечным, вы і ваш адрасат павінны зайсці ў налады месэнджэра і зрабіць мінімум дзве рэчы:
- Паставіць пароль пры ўваходзе ў дадатак (Канфідэнцыяльнасць і бяспека -> Код доступу);
- Уключыць двухэтапную аўтэнтыфікацыю (Канфідэнцыяльнасць і бяспека -> Праверка ў два этапы).
Пасля гэтага ў дадатак да кода з SMS пры ўваходзе з новай прылады прыкладанне будзе запытваць пароль, які ведаеце толькі вы.
Цяпер пацвярджэнне ўваходу толькі праз SMS ніяк не абараняе чалавека, які карыстаецца расійскай SIM-картай. Аб выпадках узлому Telegram-акаўнтаў праз перахопленае SMS-паведамленне ўжо вядома - у 2016 годзе зламыснікі да перапіскі некалькіх апазіцыянераў, а ў 2017 годзе акаўнт журналіста «Дажджу» Міхаіла Рубіна.
WhatsApp пакуль што пазбягае рэестра ВРІ і таксама выкарыстоўвае end-to-end шыфраванне, але з ім усё не так бясхмарна. Нядаўна мы публікавалі аб жыхарах Магадана, на якіх завялі крымінальную справу за крытыку мэра горада. Гэтая гісторыя, на шчасце, скончылася звычайным штрафам. Але пацвердзіла асцярогі карыстальнікаў: у групавых чатах WhatsApp мець зносіны небяспечна.
Што будзе?
- Як толькі вы напішыце паведамленне, ваш нумар тэлефона адразу стане даступным для ўсіх удзельнікаў групы. А па нумары вашу асобу лёгка вылічыць.
Што рабіць?
- Рашэннем можа стаць «левая» SIM-карта або замежны нумар - пажадана еўрапейскі.
Калі вы карыстаецеся расійскай картай, зарэгістраванай на ваша імя, пазбягайце з'едлівых каментароў у групах з назвай накшталт "Мэру - адстаўку": для WhatsApp лепш пакінуць толькі асабістыя перапіскі і званкі.
Viber таксама не значыцца ў рэестры ВРІ, але падтрымлівае камунікацыю з расейскімі ўладамі (у вольны ад рассылання спаму час). Гэты мэсанджар адным з першых выканаў новыя патрабаванні ўрада: ён захоўвае лагіны і нумары тэлефонаў карыстальнікаў-расіян на тэрыторыі РФ, але дадзеныя паведамленняў прадаставіць - Спасылаецца на механіку end-to-end шыфравання і карпаратыўную палітыку.
Apple таксама выкарыстоўвае end-to-end, але пры рэгістрацыі ў iMessage стварае дзве пары ключоў: прыватную і публічную. Тое паведамленне, якое вы атрымліваеце ад такога ж уладальніка яблычнага дэвайса, перадаецца вам з шыфраваннем, пры якім выкарыстоўваецца публічны ключ. Расшыфраваць яго можна толькі з дапамогай прыватнага ключа адрасата, які захоўваецца на яго прыладзе. Аб тым, як Apple ставіцца да прыватнасці карыстальнікаў і што зробіць, калі атрымае запыт ад урада, можна пачытаць Выпадкаў перадачы кампаніяй дадзеных расейскіх карыстальнікаў уладам РФ не зафіксавана.
Крыніца:
Але ў iMessage ёсць два мінусы:
- Напісаць ці патэлефанаваць праз гэтыя каналы вы можаце толькі такому ж уладальніку Apple;
- Калі ў вас праблемы з інтэрнэт-падключэннем, паведамленне пойдзе па звычайным сотавым канале і стане простым SMS, якое лёгка можна перахапіць.
Каб пазбегнуць ператварэння iMessage у SMS, можна адключыць гэтую функцыю ў наладах.
Даследнікі з Electronic Frontier Foundation што на сто працэнтаў бяспечнага варыянту для званкоў і паведамленняў не існуе. Калі нейкія месэнджэры не даюць уладам атрымаць вашыя прыватныя дадзеныя, гэта яшчэ не значыць, што ў абыход законаў гэтага не могуць зрабіць хакеры (ці дзяржава, якая можа скарыстацца іх паслугамі). Каб даць карыстачу ўпэўненасць у тым, што ніякага man-in-the-middle няма, у Telegram ёсць мілая фішка: пры званку абодва адрасата могуць пераканацца, што бачаць адны і тыя ж эмоджы ў правым верхнім куце экрана – гэта і будзе пацверджаннем адсутнасці. ўварвання» у злучэнне.
Калі вам патрэбен больш надзейны спосаб камунікацыі, рэкамендуем не проста карыстацца сакрэтнымі чатамі, паролямі і двухэтапнай/двухфактарнай аўтэнтыфікацыяй, але і прыгледзецца да менш папулярных нішавых прыкладанняў накшталт або .
Я карыстаюся Signal кожны дзень. #нататкідляФБР (Спойлер: яны ўжо ведаюць)
Электронная пошта
Папулярныя кампаніі, якія даюць магчымасць карыстацца сваімі паштовымі кліентамі (у Расіі гэта Яндэкс, Mail.Ru і Rambler), ужо ўключаны ў рэестр ВРІ, а значыць не занадта бяспечныя. Так, Mail.Ru Group крымінальныя справы за мемы і амніставаць асуджаных, але можа аддаць інфармацыю аб вашых дадзеных уладам па першым патрабаванні.
Нават калі вы карыстаецеся заходнімі паштовымі кліентамі накшталт Gmail або Outlook, уключылі двухфактарную аўтэнтыфікацыю і ведаеце, што ваш ліст шыфруецца з дапамогай надзейнага пратаколу SSL/TLS, вы не можаце быць упэўненыя, што ліст вашага адрасата гэтак жа абаронена.
Варыянты абароны:
- Пры адпраўцы адчувальнай інфармацыі шыфраваць лісты з дапамогай Pretty Good Privacy (). Гэтая праграма дапамагае ператварыць дадзеныя з ліста ў бессэнсоўны набор сімвалаў для ўсіх, акрамя адпраўніка і атрымальніка;
- Пры адпраўцы важнай інфармацыі заўсёды зважаць на дамен адрасата і не пісаць на падазроны адрас;
- Загадзя ўдакладніць у адрасата, ці не настроена ў яго пераадрасацыя ці збор пошты праз расейскі паштовы сэрвіс.
У выпадку з айчыннымі кампаніямі з рэестра ВРІ ніякае шыфраванне на баку карыстальніка ў прынцыпе не дапаможа. Інфармацыя не перахапляецца, а захоўваецца і перадаецца канчатковымі кропкамі - падобнымі сэрвісамі. Рашэннем можа быць толькі замена іх на больш бяспечныя аналагі накшталт ProtonMail, Tutanota ці Hushmail. Больш такіх паштовых сэрвісаў можна знайсці на старонцы.
Сацыяльныя сеткі
Для пачатку мінімізуйце сваё знаходжанне ў папулярных расійскіх сацыяльных сетках - "Мой свет", "Аднакласніках" і "Укантакце". Facebook хаця б не перадае вашыя дадзеныя расейскім спецслужбам. Прынамсі, такіх выпадкаў не зафіксавана.
Але цікава, што ў 2017 годзе 85% запытаў ад урада ЗША кампанія ўсё ж задаволіла:
Скрыншоты з
Калі вы занадта моцна абвыклі да ВК, але не жадаеце апынуцца на лаве падсудных, звернеце ўвагу на некалькі рэчаў:
- вашыя захаваныя карцінкі;
- пасты, каментары і паведамленні, якія пішаце;
- пасты, якія лайкаеце;
- пасты, якімі дзяліцеся;
- карыстачы, з якімі сябруеце.
Ва ўсім вышэйпералічаным лепш пазбягаць таго, што можна палічыць абразлівым або экстрэмісцкім. Заўсёды памятайце, што «распаўсюджваннем» з'яўляецца паведамленне «супрацьзаконнай» інфармацыі хаця б аднаму чалавеку. Юрыст міжнароднай праваабарончай групы «Агора» Дамір Гайнутдзінаў сцвярджае, што па законе ВРІ праваахоўным органам нават чарнавікі неадпраўленых паведамленняў. Яшчэ пра тое, як не сесці за рэпост, чытайце
Дарэчы, з некаторых сітавін любы, у каго ёсць ваш нумар тэлефона, можа па змаўчанні знайсці вас ва Ўкантакце, нават калі сама старонка нічым не выдае вашу рэальную асобу.
Забараніць знаходзіць вас па нумары можна ў наладах профіля (Налады -> Прыватнасць -> Сувязь са мной). Але гэта, канешне, не выратуе ад спецслужбаў. Не выкарыстоўвайце званкі і відэасувязь ва Ўкантакце: невядома, ці сапраўды сетка шыфруе іх end-to-end, як сцвярджае адміністрацыя.
Бяспека сайтаў
Адзіная добрая навіна ў тым, што усіх папулярных сайтаў у інтэрнэце ўжо маюць https-версію ці поўнасцю перайшлі на выкарыстанне толькі https-версій. Атрыманая і перадаваемая інфармацыя на такіх сайтах шыфруецца і не можа быць прачытаная трэцімі асобамі. Такія рэсурсы пазначаюцца зялёным колерам і словам "абаронена".
На гэтым добрыя навіны заканчваюцца. Нягледзячы на https-пратакол, факт наведвання такога сайта і DNS-запыты (інфармацыя аб тым, да якіх даменаў вы звярталіся) усё роўна застаюцца навідавоку ў інтэрнэт-правайдэра.
Але яшчэ горшая іншая навіна: астатняя палова сайтаў працуе па звычайным http-пратаколу, гэта значыць без шыфравання дадзеных. Рашэннем можа стаць VPN, які шыфруе абсалютна ўсе атрымоўваныя і перадаюцца дадзеныя так, што на баку інтэрнэт-правайдэра і любога, хто паспрабуе ўкараніцца паміж вамі і канчатковым сайтам, няма ніякай чытэльнай інфармацыі. Адзінае, што будзе відаць - факт падлучэння да нейкага IP-адрасу ў інтэрнэце (гэта значыць да VPN-серверу). І больш нічога.
Мы будзем шчаслівыя, калі жыццё сапраўды раптам стане такім простым: уключыў VPN і забыўся пра ўцечку адчувальнай інфармацыі. Але гэта не так. Рэгулярна правярайце, ці не ўвайшоў ваш любімы рэсурс у рэестр ВРІ, сачыце за тым, як ён узаемадзейнічае з уладамі, правярайце актыўныя падключэнні ў наладах месэнджараў і сацыяльных сетак і скідвайце падазроныя (а потым абавязкова мяняйце паролі).
Глабальна
Пры рабоце з каналамі сувязі і перадачы даных мае сэнс толькі комплексны падыход да бяспекі і канфідэнцыйнасці. Сачыце за падзеямі інтэрнэт-бяспекі ў нашым тэлеграм-канале , на сайце і на іншых рэсурсах, прысвечаных падзеям у інтэрнэце і рунэце ў прыватнасці.
А якія меры бяспекі робіце вы?
Крыніца: habr.com