Hej Habr.
Ovo smo mi, VPN servis . Trenutno radimo privremeno na HideMyna.me ogledalu. Zašto? Roskomnadzor nas je dodao 20. jula 2018 zbog odluke Okružnog suda Medvedevskog u Joškar-Oli. Sud je presudio da posjetitelji naše stranice imaju neograničen pristup ekstremističkim materijalima #bez registracija i nekako je na njoj našao knjigu “Mein Kampf” Adolfa Hitlera. Očigledno, zbog pouzdanosti.
Ova odluka nas je jako iznenadila, ali nastavljamo da radimo na hidemyna.me, hidemyname.org, .one, .biz, itd. Dugotrajna svađa sa Roskomnadzorom nije dovela do rezultata. Dok moji advokati i ja osporavamo blokadu i magičnu sudsku odluku, s vama dijelimo osnovne savjete za očuvanje privatnosti na internetu i vijesti na ovu temu.
Edward Snowden voli Agenciju za nacionalnu sigurnost (vjerovatno)
Nije tajna da popularne ruske usluge nisu bezbedne. Vaša prepiska može u bilo kom trenutku doći do pažnje domaćih službenika za provođenje zakona. Govorimo vam šta trebate zapamtiti kada komunicirate kroz različite komunikacijske kanale.
SORM i ORI
Postoje načina da dodirnete svoj telefon. Službeno i pravno – SORM, sistem tehničkih sredstava za obezbjeđivanje funkcija operativno-istražnih radnji. Po zakonu u Ruskoj Federaciji, svi mobilni operateri su obavezni da instaliraju takav sistem na svoje centrale ako ne žele da izgube licencu. Postoje tri tipa SORM-a: prvi je izmišljen 80-ih, drugi je počeo da se implementira 2014-ih, a treći pokušavaju da nametnu operaterima od XNUMX. godine. , većina operatera koristi drugi tip, ali u 70% slučajeva sistem ne radi kako treba ili uopće ne radi. Ipak, ipak je bolje ne razgovarati o osjetljivim temama preko fiksnog telefona ili putem redovnog poziva s mobilnog telefona.
Šema rada SORM-2 (Izvor: mfisoft.ru)
Prema 97-FZ, svi glasnici, usluge i web lokacije koje rade u Rusiji moraju biti uključene u registar . od "“Od njih se traži da čuvaju sve korisničke podatke, uključujući snimke govornih poziva i prepisku, šest mjeseci. Inače, ARI takođe ima Habrahabr.
Rad registra je detaljno opisan koristeći Threema kao primjer, ali glavni zaključak je sljedeći: sada, na zahtjev ruskih vlasti, svaka informacija o vama može završiti u agencijama za provođenje zakona. Stoga, prva stvar koju treba učiniti kako biste očuvali povjerljivost je prebacivanje poziva i poruka na instant messengere, koji nisu u ARI registru. Ili oni koji su tu, ali odbijaju da prenesu podatke nadležnim organima - kao Threema i Telegram.
Pomoć: Samo postojanje u ARI registru ne garantuje da će podaci biti prebačeni nadležnima. Morate stalno pratiti vijesti i gledati reakciju glasnika kada "dođu" po njega.
Glasovni pozivi i poruke
Naši razgovori i poruke mogu biti zaštićeni od smetnji trećih strana enkripcijom s kraja na kraj, zbog čega se glasnici s E2E smatraju najsigurnijim. Ali to nije sasvim tačno: pogledajmo popularne opcije.
telegram end-to-end enkripcija u njihovim tajnim razgovorima i pohranjuje šifrirane podatke o vašoj korespondenciji u oblaku, koji su razbacani po različitim zemljama sa „sigurnom“ jurisdikcijom. Ali posle na Habréu možete početi sumnjati u iluziju sigurnosti Telegram pasoša u E2E od Durova.
Naravno, tajni razgovori su i dalje dobra opcija za paranoične. Server uopće nije uključen u njihovo šifriranje: poruke se prenose peer-to-peer, odnosno direktno između učesnika u korespondenciji. Za dodatni mir, možete koristiti funkciju samouništenja poruke tajmera. Ali ne treba se slijepo oslanjati na Telegram. Da biste ga učinili malo sigurnijim, vi i vaš primalac morate otići u postavke Messenger-a i učiniti najmanje dvije stvari:
- Postavite lozinku prilikom prijavljivanja u aplikaciju (Privatnost i sigurnost -> Passcode);
- Omogući verifikaciju u dva koraka (Privatnost i sigurnost -> Provjera u dva koraka).
Nakon toga, pored koda iz SMS-a, prilikom prijave sa novog uređaja, aplikacija će tražiti lozinku koju samo vi znate.
Trenutno, potvrda prijave samo putem SMS-a ni na koji način ne štiti osobu koja koristi rusku SIM karticu. Već su poznati slučajevi hakovanja Telegram naloga putem presretnute SMS poruke - napadači su 2016. na prepisku nekoliko opozicionara, a 2017 račun novinara Dozhda Mihaila Rubina.
WhatsApp za sada izbjegava ORI registar i također koristi end-to-end enkripciju, ali nije sve tako ružičasto s njim. Nedavno smo objavili o stanovnicima Magadana koji su bili predmet krivičnog postupka zbog kritikovanja gradonačelnika grada. Ova priča se, srećom, završila uobičajenom novčanom kaznom. Ali to je potvrdilo strahove korisnika: nije bezbedno komunicirati u grupnim razgovorima WhatsApp.
Šta će se desiti?
- Čim napišete poruku, vaš broj telefona će odmah postati dostupan svim članovima grupe. A vaš identitet se lako može utvrditi po broju.
Što da radim?
- Rješenje može biti “lijeva” SIM kartica ili strani broj – po mogućnosti evropski.
Ako koristite rusku karticu registriranu na vaše ime, izbjegavajte sarkastične komentare u grupama s nazivima poput „Ostavka za gradonačelnika“: bolje je ostaviti samo ličnu prepisku i pozive za WhatsApp.
Viber također nije naveden u ORI registru, ali održava komunikaciju sa ruskim vlastima (u slobodno vrijeme od slanja neželjene pošte). Ovaj messenger je bio jedan od prvih koji je udovoljio novim zahtjevima vlade: pohranjuje prijave i telefonske brojeve ruskih korisnika na teritoriji Ruske Federacije, ali pruža podatke o porukama — odnosi se na mehaniku end-to-end enkripcije i korporativnu politiku.
jabuka također koristi end-to-end, ali prilikom registracije u iMessage-u stvara dva para ključeva: privatni i javni. Poruka koju primite od istog vlasnika Apple uređaja prenosi vam se šifriranjem, koje koristi javni ključ. Može se dešifrirati samo korištenjem privatnog ključa primatelja, koji je pohranjen na njegovom uređaju. Možete pročitati o tome kako Apple gleda na privatnost korisnika i šta će učiniti ako dobije zahtjev od vlade Nije zabilježen nijedan slučaj da je kompanija prenosila podatke od ruskih korisnika ruskim vlastima.
izvor:
Ali iMessage ima dva nedostatka:
- Možete pisati ili zvati putem ovih kanala samo istom vlasniku Apple-a;
- Ako imate problema sa internet vezom, poruka će ići preko uobičajenog mobilnog kanala i postati običan SMS koji se lako može presresti.
Kako biste izbjegli da se iMessage pretvori u SMS, možete onemogućiti ovu funkciju u Postavkama.
Istraživači iz Electronic Frontier Foundation da ne postoji stopostotno sigurna opcija za pozive i poruke. Ako neki messengeri spriječe vlasti da dođu do vaših privatnih podataka, to ne znači da hakeri (ili država koja može koristiti njihove usluge) to ne mogu učiniti zaobilaženjem zakona. Kako bi korisniku dao povjerenje da nema čovjeka u sredini, Telegram ima zgodnu karakteristiku: kada pozivaju, oba primatelja mogu biti sigurni da vide isti emoji u gornjem desnom uglu ekrana - to će potvrditi odsustvo „upada“ u vezu.
Ako tražite sigurniji način komunikacije, preporučujemo da gledate dalje od tajnih razgovora, lozinki i autentifikacije u dva koraka/dvofaktora na manje popularne nišne aplikacije kao što su ili .
Signal koristim svaki dan. #notesforFBI (Spoiler: oni već znaju)
i-mejl
Popularne kompanije koje omogućavaju korišćenje svojih e-mail klijenata (u Rusiji su to Yandex, Mail.Ru i Rambler) već su uključene u ARI registar, što znači da nisu baš bezbedne. Da, Mail.Ru Group krivične predmete za meme i amnestiju za osuđene, ali na zahtjev vlastima može dati informacije o vašim podacima.
Čak i ako koristite zapadne klijente e-pošte kao što su Gmail ili Outlook, imate omogućenu dvofaktorsku autentifikaciju i znate da je vaša e-pošta šifrirana pomoću sigurnog SSL/TLS protokola, ne možete biti sigurni da je e-pošta vašeg primatelja jednako zaštićena.
Opcije zaštite:
- Kada šaljete osjetljive informacije, šifrirajte e-poštu koristeći Pretty Good Privacy (). Ovaj program pomaže da se podaci iz pisma pretvori u besmisleni skup znakova za sve osim za pošiljaoca i primaoca;
- Kada šaljete važne informacije, uvijek obratite pažnju na domen primatelja i nemojte pisati na sumnjivu adresu;
- Unaprijed provjerite kod primatelja da li je podesio prosljeđivanje ili preuzimanje pošte putem ruske poštanske službe.
U slučaju domaćih kompanija iz ORI registra, nikakva enkripcija na strani korisnika u principu neće pomoći. Informacije se ne presreću, već ih pohranjuju i prenose krajnje tačke – slične usluge. Jedino rješenje može biti da ih zamijenite sigurnijim analogama kao što su ProtonMail, Tutanota ili Hushmail. Više takvih usluga e-pošte možete pronaći na stranicu.
Društvene mreže
Za početak, minimizirajte svoje prisustvo na popularnim ruskim društvenim mrežama - "My World", "Odnoklassniki" i "VKontakte". Facebook barem ne predaje vaše podatke ruskim obavještajnim agencijama. Barem takvi slučajevi nisu zabilježeni.
Ali zanimljivo je da je u 2017. godini kompanija i dalje zadovoljila 85% zahtjeva američke vlade:
Screenshots from
Ako ste previše navikli na VK, ali ne želite da završite na optuženičkoj klupi, obratite pažnju na nekoliko stvari:
- vaše sačuvane slike;
- postove, komentare i poruke koje pišete;
- objave koje vam se sviđaju;
- postove koje dijelite;
- korisnika sa kojima ste prijatelji.
U svemu navedenom, najbolje je izbjegavati sve što bi se moglo smatrati uvredljivim ili ekstremističkim. Uvijek imajte na umu da “dijeljenje” znači prenošenje “nezakonitih” informacija barem jednoj osobi. Advokat međunarodne grupe za ljudska prava "Agora" Damir Gainutdinov tvrdi da je prema zakonu ORI čak i nacrti neposlanih poruka agencijama za provođenje zakona. Pročitajte više o tome kako da vas ne uhvate zbog ponovnog objavljivanja
Usput, već neko vrijeme svako ko ima vaš broj telefona može vas po defaultu pronaći na VKontakteu, čak i ako sama stranica ne otkriva vaš pravi identitet.
Možete spriječiti ljude da vas pronađu po broju u postavkama vašeg profila (Postavke -> Privatnost -> Kontaktirajte me). Ali to vas, naravno, neće spasiti od specijalnih službi. Nemojte koristiti pozive i video komunikacije na VKontakteu: nepoznato je da li ih mreža zaista šifrira od kraja do kraja, kako tvrdi administracija.
Sigurnost web stranice
Jedina dobra vijest je to Sve popularne stranice na Internetu već imaju https verziju ili su u potpunosti prešle na korištenje samo https verzija. Informacije primljene i prenesene na takvim stranicama su šifrirane i ne mogu ih čitati treće strane. Takvi resursi su označeni zelenom bojom i riječju “zaštićeni”.
Tu prestaju dobre vesti. Uprkos https protokolu, činjenica posjete takvoj stranici i DNS zahtjevi (informacije o tome kojim domenima ste pristupili) i dalje ostaju vidljivi Internet provajderu.
Ali druga vest je još gora: preostala polovina sajtova radi koristeći uobičajeni http protokol, odnosno bez enkripcije podataka. Rješenje bi mogao biti VPN, koji šifrira apsolutno sve primljene i prenesene podatke tako da nema čitljivih informacija na strani internet provajdera i bilo koga ko se pokuša infiltrirati između vas i krajnje stranice. Jedino što će biti vidljivo je činjenica povezivanja na određenu IP adresu na Internetu (odnosno na VPN server). I ništa više.
Bit ćemo sretni ako život zaista odjednom postane tako jednostavan: uključite VPN i zaboravite na curenje osjetljivih informacija. Ali to nije istina. Redovno provjeravajte je li vaš omiljeni resurs uvršten u ARI registar, pratite kako komunicira s nadležnima, provjeravajte aktivne veze u postavkama instant messengera i društvenih mreža i resetirajte sumnjive (a zatim obavezno promijenite lozinke).
globalno
Kada radite sa komunikacijskim kanalima i prijenosom podataka, samo sveobuhvatan pristup sigurnosti i privatnosti ima smisla. Pratite događaje o sigurnosti na Internetu na našem Telegram kanalu , na web mjestu i na drugim resursima posvećenim događajima na Internetu i RuNetu posebno.
Koje sigurnosne mjere poduzimate?
izvor: www.habr.com