Hej Habr.
Dette er os, VPN-tjeneste . Vi arbejder i øjeblikket midlertidigt på HideMyna.me-spejlet. Hvorfor? Den 20. juli 2018 tilføjede Roskomnadzor os på grund af afgørelsen fra Medvedevsky District Court i Yoshkar-Ola. Retten afgjorde, at besøgende på vores side har ubegrænset adgang til ekstremistiske materialer #withoutregistrationisms, og fandt på en eller anden måde bogen "Mein Kampf" af Adolf Hitler på den. Tilsyneladende for pålidelighedens skyld.
Denne beslutning overraskede os meget, men vi fortsætter med at arbejde på hidemyna.me, hidemyname.org, .one, .biz osv. Et langvarigt skænderi med Roskomnadzor førte ikke til noget resultat. Mens mine advokater og jeg udfordrer blokeringen og den magiske domstolsafgørelse, deler vi grundlæggende tips med dig til at bevare privatlivets fred på internettet og nyheder om dette emne.
Edward Snowden elsker National Security Agency (sandsynligvis)
Det er ingen hemmelighed, at populære russiske tjenester er usikre. Din korrespondance kan til enhver tid komme til de nationale retshåndhævende embedsmænds opmærksomhed. Vi fortæller dig, hvad du skal huske, når du kommunikerer gennem forskellige kommunikationskanaler.
SORM og ORI
Der er måder at trykke på din telefon. Officiel og juridisk - SORM, et system af tekniske midler til at sikre funktionerne i operationelle efterforskningsaktiviteter. Ved lov i Den Russiske Føderation er alle mobiloperatører forpligtet til at installere et sådant system på deres PBX'er, hvis de ikke ønsker at miste deres licens. Der er tre typer SORM: den første blev opfundet i 80'erne, den anden begyndte at blive implementeret i 2014'erne, og de har forsøgt at påtvinge operatører den tredje siden XNUMX. , de fleste operatører bruger den anden type, men i 70% af tilfældene fungerer systemet ikke korrekt eller virker slet ikke. Det er dog stadig bedre ikke at diskutere følsomme emner over en fastnettelefon eller gennem et almindeligt opkald fra en mobiltelefon.
Driftsplan for SORM-2 (Kilde: mfisoft.ru)
Ifølge 97-FZ skal alle budbringere, tjenester og websteder, der opererer i Rusland, inkluderes i registret . Ved ""De er forpligtet til at gemme alle brugerdata, inklusive optagelser af taleopkald og korrespondance, i seks måneder. ARI har i øvrigt også Habrahabr.
Funktionen af registreringsdatabasen er beskrevet i detaljer ved at bruge Threema som eksempel, men hovedkonklusionen er denne: Nu kan enhver information om dig, efter anmodning fra de russiske myndigheder, ende hos de retshåndhævende myndigheder. Derfor er den første ting at gøre for at bevare fortroligheden at overføre opkald og beskeder til instant messengers, som ikke er i ARI-registret. Eller dem, der er der, men nægter at overføre data til myndighederne - som Threema og Telegram.
Certifikat: Blot at være i ARI-registret garanterer ikke, at dataene vil blive overført til myndighederne. Du skal konstant overvåge nyhederne og se på budbringerens reaktion, når de "kommer" efter ham.
Stemmeopkald og beskeder
Vores samtaler og beskeder kan beskyttes mod tredjepartsinterferens ved end-to-end-kryptering, hvorfor messengers med E2E anses for at være de mest sikre. Men dette er ikke helt sandt: lad os se på populære muligheder.
Telegram ende-til-ende kryptering i deres hemmelige chats og gemmer krypterede data om din korrespondance i skyen, som er spredt ud over forskellige lande med "sikker" jurisdiktion. Men efter på Habré kan du begynde at tvivle på illusionen om sikkerhed i Telegram Passport i E2E fra Durov.
Selvfølgelig er hemmelige chats stadig en god mulighed for paranoide. Serveren er slet ikke involveret i deres kryptering: beskeder transmitteres peer-to-peer, det vil sige direkte mellem deltagerne i korrespondancen. For ekstra ro i sindet kan du bruge timermeddelelsens selvdestruktionsfunktion. Men du bør ikke stole blindt på Telegram. For at gøre det lidt mere sikkert skal du og din modtager gå til messenger-indstillingerne og gøre mindst to ting:
- Indstil en adgangskode, når du logger ind på applikationen (Privatliv og sikkerhed -> Passcode);
- Aktiver totrinsbekræftelse (Privatliv og sikkerhed -> Totrinsbekræftelse).
Herefter vil applikationen udover koden fra SMS'en, når du logger ind fra en ny enhed, bede om en adgangskode, som kun du kender.
I øjeblikket beskytter login-bekræftelse kun via SMS på ingen måde en person, der bruger et russisk SIM-kort. Sager om hacking af Telegram-konti gennem en opsnappet SMS-besked er allerede kendt - i 2016, angribere til korrespondance fra flere oppositionelle, og i 2017 beretning om Dozhd-journalisten Mikhail Rubin.
WhatsApp for nu undgår den ORI-registret og bruger også ende-til-ende-kryptering, men alt er ikke så rosenrødt med det. Vi har for nylig offentliggjort om indbyggere i Magadan, der var genstand for en straffesag for at kritisere byens borgmester. Denne historie endte heldigvis med den sædvanlige bøde. Men det bekræftede brugernes frygt: det er ikke sikkert at kommunikere i WhatsApp-gruppechat.
Hvad vil der ske?
- Så snart du skriver en besked, bliver dit telefonnummer straks tilgængeligt for alle gruppemedlemmer. Og din identitet kan nemt bestemmes ud fra antallet.
Hvad skal jeg gøre?
- Løsningen kunne være et "venstre" SIM-kort eller et udenlandsk nummer - gerne et europæisk.
Hvis du bruger et russisk kort, der er registreret i dit navn, skal du undgå sarkastiske kommentarer i grupper med navne som "Resign for the Mayor": det er bedre kun at efterlade personlig korrespondance og opkald til WhatsApp.
Viber er heller ikke opført i ORI-registret, men opretholder kommunikationen med de russiske myndigheder (i sin fritid fra at sende spam). Denne messenger var en af de første, der overholdt de nye regeringskrav: den gemmer logins og telefonnumre på russiske brugere på Den Russiske Føderations territorium, men leverer beskeddata — henviser til mekanikken bag end-to-end-kryptering og virksomhedspolitik.
Apple bruger også ende-til-ende, men når man registrerer sig hos iMessage opretter det to nøglepar: privat og offentlig. Beskeden, som du modtager fra den samme ejer af en Apple-enhed, sendes til dig med kryptering, som bruger en offentlig nøgle. Det kan kun dekrypteres ved hjælp af modtagerens private nøgle, som er gemt på hans enhed. Du kan læse om, hvordan Apple ser på brugernes privatliv, og hvad det vil gøre, hvis det modtager en anmodning fra regeringen Der har ikke været registreret tilfælde af, at virksomheden har overført data fra russiske brugere til de russiske myndigheder.
Kilde:
- Du kan kun skrive eller ringe gennem disse kanaler til den samme Apple-ejer;
- Hvis du har problemer med din internetforbindelse, vil beskeden gå over en almindelig mobilkanal og blive en simpel SMS, der nemt kan opsnappes.
For at undgå, at iMessage bliver til SMS, kan du deaktivere denne funktion i Indstillinger.
Forskere fra Electronic Frontier Foundation at der ikke er en hundrede procent sikker mulighed for opkald og beskeder. Hvis nogle budbringere forhindrer myndighederne i at indhente dine private data, betyder det ikke, at hackere (eller staten, som kan bruge deres tjenester) ikke kan gøre dette ved at omgå lovene. For at give brugeren tillid til, at der ikke er nogen mand-i-midten, har Telegram en fin funktion: når de ringer, kan begge modtagere sikre sig, at de ser den samme emoji i øverste højre hjørne af skærmen - dette vil bekræfte fravær af "indtrængen" i forbindelsen.
Hvis du leder efter en mere sikker måde at kommunikere på, anbefaler vi at se ud over hemmelige chats, adgangskoder og to-trins/to-faktor autentificering til mindre populære niche-apps som f.eks. eller .
Jeg bruger Signal hver dag. #notesforFBI (Spoiler: de ved det allerede)
Populære virksomheder, der gør det muligt at bruge deres e-mail-klienter (i Rusland er disse Yandex, Mail.Ru og Rambler), er allerede inkluderet i ARI-registret, hvilket betyder, at de ikke er særlig sikre. Ja, Mail.Ru Group straffesager for memes og amnesti til dømte, men kan efter anmodning give oplysninger om dine data til myndighederne.
Selvom du bruger vestlige e-mail-klienter som Gmail eller Outlook, har to-faktor-godkendelse aktiveret og ved, at din e-mail er krypteret ved hjælp af en sikker SSL/TLS-protokol, kan du ikke være sikker på, at din modtagers e-mail er lige så beskyttet.
Beskyttelsesmuligheder:
- Når du sender følsomme oplysninger, skal du kryptere e-mails ved hjælp af Pretty Good Privacy (). Dette program hjælper med at omdanne data fra et brev til et meningsløst sæt tegn for alle undtagen afsender og modtager;
- Når du sender vigtige oplysninger, skal du altid være opmærksom på modtagerens domæne og ikke skrive til en mistænkelig adresse;
- Tjek på forhånd med modtageren, om han eller hun har oprettet videresendelse eller afhentning af post gennem det russiske postvæsen.
For indenlandske virksomheder fra ORI-registret vil ingen kryptering på brugersiden i princippet hjælpe. Information opsnappes ikke, men lagres og transmitteres af endepunkter - lignende tjenester. Den eneste løsning kan være at erstatte dem med mere sikre analoger som ProtonMail, Tutanota eller Hushmail. Flere sådanne e-mail-tjenester kan findes på side.
Sociale netværk
Til at begynde med skal du minimere din tilstedeværelse på populære russiske sociale netværk - "Min verden", "Odnoklassniki" og "VKontakte". Facebook udleverer i hvert fald ikke dine data til russiske efterretningstjenester. Der er i hvert fald ikke registreret sådanne tilfælde.
Men det er interessant, at virksomheden i 2017 stadig opfyldte 85% af anmodningerne fra den amerikanske regering:
Skærmbilleder fra
Hvis du er for vant til VK, men ikke ønsker at ende i kajen, så vær opmærksom på et par ting:
- dine gemte billeder;
- indlæg, kommentarer og beskeder du skriver;
- indlæg du kan lide;
- indlæg du deler;
- brugere du er venner med.
I alle ovenstående er det bedst at undgå alt, der kan betragtes som stødende eller ekstremistisk. Husk altid, at "deling" betyder at kommunikere "ulovlig" information til mindst én person. Advokat for den internationale menneskerettighedsgruppe "Agora" Damir Gainutdinov hævder, at ORI ifølge loven selv udkast til usendte meddelelser til retshåndhævende myndigheder. Læs mere om, hvordan du ikke bliver fanget til repostering
Forresten, i nogen tid nu kan alle, der har dit telefonnummer, finde dig på VKontakte som standard, selvom selve siden ikke afslører din rigtige identitet.
Du kan forhindre folk i at finde dig efter nummer i dine profilindstillinger (Indstillinger -> Privatliv -> Kontakt mig). Men dette vil selvfølgelig ikke redde dig fra de særlige tjenester. Brug ikke opkald og videokommunikation på VKontakte: det er uvist, om netværket rent faktisk krypterer dem ende-til-ende, som administrationen hævder.
Hjemmesidesikkerhed
Den eneste gode nyhed er det Alle populære sider på internettet har allerede en https-version eller er helt skiftet til kun at bruge https-versioner. Oplysninger modtaget og transmitteret på sådanne websteder er krypteret og kan ikke læses af tredjeparter. Sådanne ressourcer er markeret med grønt og ordet "beskyttet".
Det er her den gode nyhed slutter. På trods af https-protokollen forbliver det faktum at besøge et sådant websted og DNS-forespørgsler (oplysninger om, hvilke domæner du har adgang til) stadig synlige for internetudbyderen.
Men en anden nyhed er endnu værre: den resterende halvdel af webstederne fungerer ved hjælp af den almindelige http-protokol, det vil sige uden datakryptering. Løsningen kunne være en VPN, som krypterer absolut alle modtagne og transmitterede data, så der ikke er læsbar information på siden af internetudbyderen og alle, der forsøger at infiltrere mellem dig og slutsiden. Det eneste, der vil være synligt, er det faktum at oprette forbindelse til en bestemt IP-adresse på internettet (det vil sige til en VPN-server). Og intet mere.
Vi vil være glade, hvis livet virkelig pludselig bliver så enkelt: Tænd for VPN og glem alt om læk af følsomme oplysninger. Men det er ikke sandt. Kontroller regelmæssigt, om din yndlingsressource er inkluderet i ARI-registret, overvåg, hvordan den interagerer med myndighederne, kontroller aktive forbindelser i indstillingerne for instant messengers og sociale netværk og nulstil mistænkelige (og sørg derefter for at ændre adgangskoder).
globalt
Når man arbejder med kommunikationskanaler og dataoverførsel, giver kun en omfattende tilgang til sikkerhed og privatliv mening. Følg internetsikkerhedsbegivenheder i vores Telegram-kanal , Online og på andre ressourcer dedikeret til begivenheder på internettet og RuNet i særdeleshed.
Hvilke sikkerhedsforanstaltninger tager du?
Kilde: www.habr.com