Hola Habr.
Aquests som nosaltres, servei VPN . Actualment estem treballant temporalment al mirall HideMyna.me. Per què? El 20 de juliol de 2018 ens va afegir Roskomnadzor a causa de la decisió del Tribunal de Districte de Medvedevsky a Yoshkar-Ola. El tribunal va decidir que els visitants del nostre lloc tenen accés il·limitat a materials extremistes #sense registre, i d'alguna manera hi va trobar el llibre "Mein Kampf" d'Adolf Hitler. Pel que sembla, per fiabilitat.
Aquesta decisió ens va sorprendre molt, però continuem treballant a hidemyna.me, hidemyname.org, .one, .biz, etc. Una discussió prolongada amb Roskomnadzor no va donar cap resultat. Mentre els meus advocats i jo estem desafiant el bloqueig i la decisió judicial màgica, estem compartint amb vosaltres consells bàsics per mantenir la privadesa a Internet i notícies sobre aquest tema.
Edward Snowden estima l'Agència de Seguretat Nacional (probablement)
No és cap secret que els serveis populars russos no són segurs. La vostra correspondència pot arribar en qualsevol moment a l'atenció dels agents nacionals d'aplicació de la llei. T'expliquem què has de recordar quan et comuniques a través de diferents canals de comunicació.
SORM i ORI
Hi maneres de tocar el telèfon. Oficial i legal - SORM, un sistema de mitjans tècnics per assegurar les funcions de les activitats d'investigació operatives. Per llei a la Federació de Rússia, tots els operadors mòbils estan obligats a instal·lar aquest sistema a les seves centrals si no volen perdre la llicència. Hi ha tres tipus de SORM: el primer es va inventar als anys 80, el segon es va començar a implantar als anys 2014 i des del XNUMX intenten imposar el tercer als operadors. , la majoria d'operadors utilitzen el segon tipus, però en el 70% dels casos el sistema no funciona correctament o no funciona gens. No obstant això, encara és millor no parlar de temes sensibles mitjançant un telèfon fix o mitjançant una trucada habitual des d'un telèfon mòbil.
Esquema de funcionament de SORM-2 (Font: mfisoft.ru)
Segons 97-FZ, tots els missatgers, serveis i llocs que operen a Rússia s'han d'incloure al registre. . per ""Se'ls requereix que emmagatzemin totes les dades dels usuaris, incloses les gravacions de trucades de veu i la correspondència, durant sis mesos. Per cert, ARI també té Habrahabr.
El funcionament del registre es descriu detalladament fent servir Threema com a exemple, però la conclusió principal és aquesta: ara, a petició de les autoritats russes, qualsevol informació sobre tu pot acabar a les forces de l'ordre. Per tant, el primer que cal fer per mantenir la confidencialitat és transferir trucades i missatges a missatgeria instantània, que no es troben al registre ARI. O els que hi són, però es neguen a transferir dades a les autoritats, com Threema i Telegram.
Certificat: El simple fet d'estar al registre de l'ARI no garanteix que les dades es transfereixin a les autoritats. Heu de controlar constantment les notícies i mirar la reacció del missatger quan "venen" a buscar-lo.
Trucades i missatges de veu
Les nostres converses i missatges es poden protegir d'interferències de tercers mitjançant un xifratge d'extrem a extrem, per això els missatgers amb E2E es consideren els més segurs. Però això no és del tot cert: mirem les opcions populars.
telegram xifratge d'extrem a extrem als seus xats secrets i emmagatzema dades xifrades sobre la vostra correspondència al núvol, que es troba dispers per diferents països amb jurisdicció "segura". Però després a Habré pots començar a dubtar de la il·lusió de seguretat de Telegram Passport a E2E de Durov.
Per descomptat, els xats secrets segueixen sent una bona opció per als paranoics. El servidor no està en absolut implicat en el seu xifrat: els missatges es transmeten peer-to-peer, és a dir, directament entre els participants de la correspondència. Per a més tranquil·litat, podeu utilitzar la funció d'autodestrucció del missatge del temporitzador. Però no hauríeu de confiar cegament en Telegram. Per fer-ho una mica més segur, vosaltres i el vostre destinatari heu d'anar a la configuració del missatger i fer almenys dues coses:
- Establiu una contrasenya quan inicieu sessió a l'aplicació (Privadesa i seguretat -> Codi de passcode);
- Activa la verificació en dos passos (Privadesa i seguretat -> Verificació en dos passos).
Després d'això, a més del codi de l'SMS, en iniciar sessió des d'un nou dispositiu, l'aplicació et demanarà una contrasenya que només tu coneixes.
Actualment, la confirmació d'inici de sessió només mitjançant SMS no protegeix de cap manera una persona que utilitza una targeta SIM russa. Ja es coneixen casos de pirateria de comptes de Telegram mitjançant un missatge SMS interceptat: el 2016, atacants a la correspondència de diversos opositors, i el 2017 relat del periodista de Dozhd Mikhail Rubin.
WhatsApp ara per ara evita el registre ORI i també utilitza el xifratge d'extrem a extrem, però amb ell no tot és tan bo. Fa poc que hem publicat sobre els veïns de Magadan que van ser objecte d'una causa penal per criticar l'alcalde de la ciutat. Aquesta història, per sort, va acabar amb la multa de sempre. Però va confirmar els temors dels usuaris: no és segur comunicar-se en els xats de grup de WhatsApp.
Què passarà?
- Tan bon punt escriviu un missatge, el vostre número de telèfon estarà immediatament disponible per a tots els membres del grup. I la vostra identitat es pot determinar fàcilment pel nombre.
Què fer?
- La solució podria ser una targeta SIM "esquerra" o un número estranger, preferiblement europeu.
Si utilitzeu una targeta russa registrada al vostre nom, eviteu els comentaris sarcàstics en grups amb noms com "Dimissió per l'alcalde": és millor deixar només correspondència personal i trucades per WhatsApp.
Viber Tampoc figura al registre ORI, però manté comunicació amb les autoritats russes (en el seu temps lliure d'enviar correu brossa). Aquest missatger va ser un dels primers a complir amb els nous requisits governamentals: emmagatzema els inicis de sessió i els números de telèfon dels usuaris russos al territori de la Federació Russa, però proporciona dades de missatges. — es refereix a la mecànica del xifratge d'extrem a extrem i a la política corporativa.
poma també utilitza extrem a extrem, però quan es registra amb iMessage crea dos parells de claus: privada i pública. El missatge que rebeu del mateix propietari d'un dispositiu Apple se us transmet amb xifratge, que utilitza una clau pública. Només es pot desxifrar mitjançant la clau privada del destinatari, que s'emmagatzema al seu dispositiu. Podeu llegir com veu Apple la privadesa dels usuaris i què farà si rep una sol·licitud del govern No s'han registrat casos en què l'empresa transferís dades d'usuaris russos a les autoritats russes.
Font:
Però iMessage té dos desavantatges:
- Podeu escriure o trucar a través d'aquests canals només al mateix propietari d'Apple;
- Si teniu problemes amb la vostra connexió a Internet, el missatge passarà per un canal mòbil normal i es convertirà en un SMS senzill que es pot interceptar fàcilment.
Per evitar que iMessage es converteixi en SMS, podeu desactivar aquesta funció a Configuració.
Investigadors de la Electronic Frontier Foundation que no hi ha cap opció cent per cent segura per a trucades i missatges. Si alguns missatgers impedeixen que les autoritats obtinguin les vostres dades privades, això no vol dir que els pirates informàtics (o l'estat, que pot utilitzar els seus serveis) no puguin fer-ho eludint les lleis. Per donar a l'usuari confiança que no hi ha cap home al mig, Telegram té una característica agradable: quan truquen, els dos destinataris poden assegurar-se que veuen el mateix emoji a la cantonada superior dreta de la pantalla; això confirmarà el absència d'"intrusió" a la connexió.
Si busqueu una manera més segura de comunicar-vos, us recomanem que busqueu més enllà dels xats secrets, les contrasenyes i l'autenticació de dos passos/dos factors a aplicacions de nínxol menys populars com ara o .
Utilitzo Signal cada dia. #notesforFBI (Spoiler: ja ho saben)
Correu electrònic
Les empreses populars que permeten utilitzar els seus clients de correu electrònic (a Rússia són Yandex, Mail.Ru i Rambler) ja estan incloses al registre ARI, la qual cosa significa que no són gaire segurs. Sí, el grup Mail.Ru casos penals per a memes i amnistia per als condemnats, però pot donar informació sobre les seves dades a les autoritats quan ho sol·licitin.
Fins i tot si utilitzeu clients de correu electrònic occidentals com Gmail o Outlook, teniu activada l'autenticació de dos factors i sabeu que el vostre correu electrònic està xifrat mitjançant un protocol SSL/TLS segur, no podeu estar segur que el correu electrònic del vostre destinatari estigui igual de protegit.
Opcions de protecció:
- Quan envieu informació sensible, xifra els correus electrònics amb Pretty Good Privacy (). Aquest programa ajuda a convertir les dades d'una carta en un conjunt de caràcters sense sentit per a tothom, excepte el remitent i el destinatari;
- Quan envieu informació important, presteu sempre atenció al domini del destinatari i no escriviu a una adreça sospitosa;
- Consulteu amb el destinatari amb antelació si ha configurat el reenviament o la recollida de correu mitjançant el servei postal rus.
En el cas de les empreses nacionals del registre ORI, cap xifratge per part de l'usuari ajudarà, en principi. La informació no s'intercepta, sinó que s'emmagatzema i es transmet per punts finals: serveis similars. L'única solució pot ser substituir-los per anàlegs més segurs com ProtonMail, Tutanota o Hushmail. Podeu trobar més serveis de correu electrònic a pàgina.
Xarxes Socials
Per començar, minimitzeu la vostra presència a les xarxes socials russes populars: "El meu món", "Odnoklassniki" i "VKontakte". Almenys Facebook no lliura les vostres dades a les agències d'intel·ligència russes. Almenys, no s'han registrat casos d'aquest tipus.
Però és interessant que el 2017, l'empresa encara va satisfer el 85% de les sol·licituds del govern dels EUA:
Captures de pantalla de
Si estàs massa acostumat a VK, però no vols acabar al banc dels acusats, presta atenció a algunes coses:
- les teves imatges desades;
- publicacions, comentaris i missatges que escriviu;
- publicacions que t'agraden;
- publicacions que compartiu;
- usuaris amb qui sou amic.
En tot l'anterior, el millor és evitar tot allò que es pugui considerar ofensiu o extremista. Recordeu sempre que "compartir" vol dir comunicar informació "il·legal" a almenys una persona. L'advocat del grup internacional de drets humans "Agora" Damir Gainutdinov afirma que, segons la llei, ORI fins i tot esborranys de missatges no enviats a les forces de l'ordre. Llegiu més sobre com no ser atrapat per tornar a publicar
Per cert, des de fa un temps qualsevol persona que tingui el vostre número de telèfon us pot trobar a VKontakte de manera predeterminada, fins i tot si la pàgina en si no revela la vostra identitat real.
Pots evitar que la gent et trobi per número a la configuració del teu perfil (Configuració -> Privadesa -> Contacta amb mi). Però això, per descomptat, no us salvarà dels serveis especials. No utilitzeu trucades i comunicacions de vídeo a VKontakte: es desconeix si la xarxa realment les xifra d'extrem a extrem, tal com afirma l'administració.
Seguretat del lloc web
L'única bona notícia és que Tots els llocs populars d'Internet ja tenen una versió https o han passat completament a utilitzar només versions https. La informació rebuda i transmesa en aquests llocs està xifrada i no pot ser llegida per tercers. Aquests recursos estan marcats en verd i la paraula "protegit".
Aquí és on acaben les bones notícies. Malgrat el protocol https, el fet de visitar aquest lloc i les sol·licituds de DNS (informació sobre quins dominis has accedit) segueixen sent visibles per al proveïdor d'Internet.
Però una altra notícia és encara pitjor: la meitat restant dels llocs funcionen amb el protocol normal http, és a dir, sense xifratge de dades. La solució podria ser una VPN, que xifra absolutament totes les dades rebudes i transmeses de manera que no hi hagi informació llegible del costat del proveïdor d'Internet i de qualsevol persona que intenti infiltrar-se entre vostè i el lloc final. L'únic que serà visible és el fet de connectar-se a una determinada adreça IP a Internet (és a dir, a un servidor VPN). I res més.
Serem feliços si la vida de sobte es torna tan senzilla: enceneu la VPN i oblideu-vos de la filtració d'informació sensible. Però això no és cert. Comproveu regularment si el vostre recurs preferit s'inclou al registre ARI, controleu com interactua amb les autoritats, comproveu les connexions actives a la configuració de missatgeria instantània i xarxes socials i restabliu les sospitoses (i després assegureu-vos de canviar les contrasenyes).
globalment
Quan es treballa amb canals de comunicació i transferència de dades, només té sentit un enfocament integral de la seguretat i la privadesa. Segueix els esdeveniments de seguretat a Internet al nostre canal de Telegram , En línia i sobre altres recursos dedicats a esdeveniments a Internet i RuNet en particular.
Quines mesures de seguretat estàs prenent?
Font: www.habr.com