Hey Habr.
Questu hè noi, serviziu VPN . Avemu travagliatu temporaneamente nantu à u specchiu HideMyna.me. Perchè? U 20 di lugliu 2018 Roskomnadzor ci hà aghjuntu per via di a decisione di u tribunale distrettuali Medvedevsky in Yoshkar-Ola. U tribunale hà stabilitu chì i visitori di u nostru situ anu accessu illimitatu à i materiali estremisti #senza registrazioni, è in qualchì manera truvaru u libru "Mein Kampf" di Adolf Hitler. Apparentemente, per affidabilità.
Sta decisione ci hà sorpresu assai, ma cuntinuemu à travaglià nantu à hidemyna.me, hidemyname.org, .one, .biz, etc. Un argumentu prolongatu cù Roskomnadzor ùn hà micca purtatu à nisun risultatu. Mentre i mo avucati è eiu sfidemu u bloccu è a decisione magica di a tribunale, spartemu cun voi cunsiglii basi per mantene a privacy in Internet è e nutizie nantu à questu tema.
Edward Snowden ama l'Agenzia di Sicurezza Naziunale (probabilmente)
Ùn hè micca sicretu chì i servizii populari russi ùn sò micca sicuri. A vostra currispundenza pò ghjunghje in ogni mumentu à l'attenzione di i funzionari di l'infurzatori di a lege naziunale. Vi diciamu ciò chì avete bisognu di ricurdà quandu cumunicà attraversu diversi canali di cumunicazione.
SORM è ORI
Ci sò manere di tuccà u vostru telefunu. Ufficiale è legale - SORM, un sistema di mezi tecnichi per assicurà e funzioni di l'attività investigativa operativa. Per a lege in a Federazione Russa, tutti l'operatori cellulari sò tenuti à stallà un tali sistema in i so PBX s'ellu ùn volenu micca perde a so licenza. Ci hè trè tippi di SORM: u primu hè statu inventatu in l'anni 80, u sicondu hà cuminciatu à esse implementatu in l'anni 2014, è anu pruvatu à impone u terzu à l'operatori da XNUMX. , A maiò parte di l'operatori utilizanu u sicondu tipu, ma in u 70% di i casi, u sistema ùn funziona micca bè o ùn funziona micca. In ogni casu, hè sempre megliu micca discutiri sughjetti sensittivi nantu à un telèfonu fissu o attraversu una chjama regulare da un telefuninu.
Schema di funziunamentu di SORM-2 (Fonte: mfisoft.ru)
Sicondu 97-FZ, qualsiasi messageri, servizii è siti chì operanu in Russia deve esse inclusi in u registru. . da ""Sò obligati di almacenà tutti i dati di l'utilizatori, cumprese registrazioni di chjama di voce è corrispondenza, per sei mesi. Per via, ARI hà ancu Habrahabr.
U funziunamentu di u registru hè descrittu in detail usendu Threema cum'è un esempiu, ma a cunclusione principale hè questu: avà, à a dumanda di l'autorità russe, ogni infurmazione nantu à voi pò finisce in l'agenzii di l'infurzazioni di a lege. Dunque, a prima cosa da fà per mantene a cunfidenziale hè di trasfiriri chjamati è missaghji à i messageri instantani, chì ùn sò micca in u registru ARI. O quelli chì ci sò, ma ricusanu di trasfiriri dati à l'autorità - cum'è Threema è Telegram.
Aiutu: Semplicemente esse in u registru ARI ùn guarantisci micca chì i dati seranu trasferiti à l'autorità. Avete bisognu di monitorà constantemente a nutizia è fighjate à a reazione di u messageru quandu "venenu" per ellu.
Voci chjamati è missaghji
E nostre conversazioni è i missaghji ponu esse prutetti da l'interferenza di terze parti da a criptografia end-to-end, per quessa chì i messageri cù E2E sò cunsiderati i più sicuri. Ma questu ùn hè micca veramente veru: fighjemu l'opzioni populari.
n'ambasciata criptografia end-to-end in i so Chats Secret è almacena dati criptati nantu à a vostra currispundenza in u nuvulu, chì hè spargugliatu in diversi paesi cù ghjuridizione "sicura". Ma dopu nantu à Habré pudete cumincià à dubbità l'illusione di sicurità di Telegram Passport in E2E da Durov.
Di sicuru, Secret Chats sò sempre una bona opzione per i paranoici. U servitore ùn hè micca implicatu in a so criptografia: i missaghji sò trasmessi peer-to-peer, vale à dì, direttamente trà i participanti in a currispundenza. Per aghjustà a pace di mente, pudete aduprà a funzione di autodistruzzione di u messagiu timer. Ma ùn duvete micca cunfidassi ciechi in Telegram. Per fà un pocu più sicuru, voi è u vostru destinatariu duvete andà à i paràmetri di u messenger è fà almenu duie cose:
- Stabilite una password quandu accede à l'applicazione (Privacidad è Seguretat -> Chjave);
- Abilita a verificazione in dui passi (Privacidad è Seguretat -> Verificazione in dui passi).
Dopu à questu, in più di u codice da l'SMS, quandu u login da un novu dispositivu, l'applicazione vi dumandà una password chì solu sapete.
Attualmente, a cunferma di login solu via SMS ùn prutege in ogni modu una persona chì usa una carta SIM russa. I casi di pirate di cunti Telegram per mezu di un messagiu SMS interceptatu sò digià cunnisciuti - in 2016, attaccanti à a currispundenza di parechji oppositori, è in 2017 contu di u ghjurnalistu Dozhd Mikhail Rubin.
scalza per avà evita u registru ORI è usa ancu a criptografia end-to-end, ma tuttu ùn hè micca cusì rosu cun ellu. Avemu publicatu recentemente nantu à i residenti di Magadan chì sò stati accusati criminali per criticà u sindaco di a cità. Sta storia, per furtuna, hè finita cù u solitu fine. Ma hà cunfirmatu i teme di l'utilizatori: ùn hè micca sicuru di cumunicà in i chats di gruppu WhatsApp.
Chì succede ?
- Appena scrivite un missaghju, u vostru numeru di telefunu diventerà immediatamente dispunibule per tutti i membri di u gruppu. È a vostra identità pò esse facilmente determinata da u numeru.
Chì deve fà?
- A suluzione puderia esse una carta SIM "manca" o un numeru straneru - preferibile un europeu.
Sè aduprate una carta russa registrata in u vostru nome, evite i cumenti sarcastici in gruppi cù nomi cum'è "Dimissioni per u Sindaco": hè megliu lascià solu a corrispondenza persunale è chjama WhatsApp.
Viber ùn hè ancu micca listatu in u registru ORI, ma mantene a cumunicazione cù l'autorità russe (in u so tempu liberu da mandà spam). Stu messenger era unu di i primi à rispettà i novi esigenze di u guvernu: guarda logins è numeri di telefunu di l'utilizatori russi nantu à u territoriu di a Federazione Russa, ma furnisce i dati di messagiu. - si riferisce à a meccanica di a criptografia end-to-end è a pulitica corporativa.
Apple usa ancu end-to-end, ma quandu si registra cù iMessage crea dui coppie chjave: privata è publica. U missaghju chì ricevi da u stessu pruprietariu di un dispositivu Apple hè trasmessu à voi cù criptografia, chì usa una chjave publica. Pò esse decriptatu solu cù a chjave privata di u destinatariu, chì hè guardatu in u so dispositivu. Pudete leghje cumu Apple vede a privacy di l'utilizatori è ciò chì farà s'ellu riceve una dumanda da u guvernu Ùn ci sò micca stati registrati casi di a cumpagnia di trasferimentu di dati da l'utilizatori russi à l'autorità russe.
Source:
Ma iMessage hà dui svantaghji:
- Pudete scrive o chjamate per questi canali solu à u stessu pruprietariu Apple;
- Sì avete prublemi cù a vostra cunnessione Internet, u missaghju passerà nantu à un canale cellulare regulare è diventerà un SMS simplice chì pò esse facilmente interceptatu.
Per evitari chì iMessage si trasforma in SMS, pudete disattivà sta funzione in Settings.
I ricercatori di a Fundazione Electronic Frontier chì ùn ci hè micca una opzione sicura di centu per centu per e chjama è i missaghji. Se certi messageri impediscenu à l'autorità di ottene i vostri dati privati, questu ùn significa micca chì i pirate (o u statu, chì ponu utilizà i so servizii) ùn ponu micca fà questu per eludendu e lege. Per dà à l'utilizatori cunfidenza chì ùn ci hè micca un omu in u mezu, Telegram hà una bella funzione: quandu chjamanu, i dui destinatari ponu assicurà chì vedenu u stessu emoji in l'angulu superiore dirittu di u screnu - questu cunfirmà u assenza di "intrusione" in a cunnessione.
Sè vo circate un modu più sicuru per cumunicà, vi cunsigliemu di cercà oltre i chats secreti, i password è l'autentificazione in dui passi / dui fattori à l'applicazioni niche menu populari cum'è o .
Aduprà Signal ogni ghjornu. #notesforFBI (Spoiler: sanu digià)
L'imprese populari chì facenu pussibule di utilizà i so clienti di email (in Russia sò Yandex, Mail.Ru è Rambler) sò digià inclusi in u registru ARI, chì significa chì ùn sò micca assai sicuri. Iè, Mail.Ru Group casi criminali per meme è amnistia per quelli cundannati, ma pò dà infurmazioni nantu à i vostri dati à l'autorità nantu à dumanda.
Ancu s'è aduprate i clienti di e-mail occidentali cum'è Gmail o Outlook, avete attivatu l'autentificazione à dui fattori, è sapete chì u vostru email hè criptatu cù un protokollu SSL / TLS sicuru, ùn pudete micca esse sicuru chì l'email di u vostru destinatariu hè ugualmente prutettu.
Opzioni di prutezzione:
- Quandu invià informazioni sensibili, criptate e-mail utilizendu Pretty Good Privacy (). Stu prugramma aiuta à trasfurmà e dati da una lettera in un inseme di caratteri senza significatu per tutti, eccettu u mittente è u destinatariu;
- Quandu invià infurmazioni impurtanti, fate sempre attente à u duminiu di u destinatariu è ùn scrive micca à un indirizzu suspettu;
- Verificate cù u destinatariu in anticipu s'ellu hà stabilitu l'invio o a cullizzioni di mail attraversu u serviziu postale russu.
In u casu di cumpagnie domestiche da u registru ARI, nisuna criptografia da u latu di l'utilizatori, in principiu, aiuta. L'infurmazione ùn hè micca interceptata, ma almacenata è trasmessa da endpoints - servizii simili. L'unica suluzione pò esse di rimpiazzà cù analoghi più sicuri cum'è ProtonMail, Tutanota o Hushmail. Più tali servizii di e-mail ponu esse truvati à pagina
Networking suciale
Per principià, minimizzà a vostra prisenza nantu à e rete suciale russe populari - "My World", "Odnoklassniki" è "VKontakte". Almenu Facebook ùn trasmette micca i vostri dati à l'agenzii di intelligenza russa. Almenu, tali casi ùn sò micca stati registrati.
Ma hè interessante chì in 2017, a cumpagnia hà sempre satisfetu 85% di e dumande da u guvernu americanu:
Screenshots da
Sè vo site troppu abituatu à VK, ma ùn vulete micca finisce in u dock, fate attenzione à uni pochi di cose:
- i vostri ritratti salvati;
- posti, cumenti è missaghji chì scrivite;
- i posti chì ti piace;
- i posti chì sparte;
- utilizatori chì site amichi.
In tuttu ciò chì sopra, hè megliu per evità qualcosa chì puderia esse cunsideratu offensivu o estremistu. Ricurdate sempre chì "sparte" significa cumunicà infurmazione "illegale" à almenu una persona. L'avucatu di u gruppu internaziunale di i diritti umani "Agora" Damir Gainutdinov sustene chì secondu a lege, ORI ancu abbozzi di missaghji micca mandati à l'agenzii di l'ordine. Leghjite più nantu à cumu ùn esse micca chjapputu per ripostà
A propositu, dapoi qualchì tempu, qualchissia chì hà u vostru numeru di telefunu pò truvà in VKontakte per automaticamente, ancu s'è a pagina stessa ùn revela micca a vostra vera identità.
Pudete impedisce à e persone di truvà vi per numeru in i paràmetri di u vostru prufilu (Configurazione -> Privacy -> Cuntattatemi). Ma questu, sicuru, ùn vi salverà micca da i servizii speciali. Ùn aduprate micca chjamate è cumunicazioni video in VKontakte: ùn hè micca cunnisciutu se a rete li cripta veramente end-to-end, cum'è l'amministrazione dice.
Sicurezza di u situ web
L'unica bona nutizia hè chì Tutti i siti populari in Internet anu digià una versione https o anu cambiatu cumplettamente à utilizà solu versioni https. L'infurmazione ricevuta è trasmessa in tali siti hè criptata è ùn pò micca esse leghje da terze parti. Tali risorse sò marcati in verde è a parolla "prutettu".
Hè quì chì a bona nutizia finisce. Malgradu u protocolu https, u fattu di visità un tali situ è e dumande DNS (infurmazione nantu à quale duminii avete accessu) restanu sempre visibili à u fornitore di Internet.
Ma una altra notizia hè ancu peggiu: a mità restante di i siti operanu cù u protocolu http regular, vale à dì, senza criptografia di dati. A suluzione puderia esse una VPN, chì cripta assolutamente tutte e dati ricevuti è trasmessi in modu chì ùn ci hè micca infurmazione leghjite nantu à u latu di u fornitore di Internet è qualcunu chì prova à infiltrate trà voi è u situ finale. L'unicu ciò chì serà visibile hè u fattu di cunnette à un certu indirizzu IP in Internet (vale à dì à un servitore VPN). È nunda di più.
Seremu felici se a vita diventa veramente cusì simplice: accende a VPN è scurdate di a fuga di informazioni sensibili. Ma questu ùn hè micca veru. Verificate regularmente se a vostra risorsa preferita hè inclusa in u registru ARI, monitorate cumu interagisce cù l'autorità, verificate e cunnessione attive in i paràmetri di messageri instantani è rete suciale è resettate i sospetti (è dopu assicuratevi di cambià password).
globalmente
Quandu u travagliu cù i canali di cumunicazione è u trasferimentu di dati, solu un approcciu cumpletu à a sicurità è a privacy hè sensu. Segui l'avvenimenti di sicurezza in Internet in u nostru canale Telegram , In linea è nantu à altre risorse dedicate à l'avvenimenti in Internet è RuNet in particulare.
Chì misure di sicurezza pigliate?
Source: www.habr.com