Hallo Habr.
Das sind wir, VPN-Dienst . Wir arbeiten derzeit vorübergehend am HideMyna.me-Spiegel. Warum? Am 20. Juli 2018 hat uns Roskomnadzor hinzugefügt aufgrund der Entscheidung des Bezirksgerichts Medwedewski in Joschkar-Ola. Das Gericht entschied, dass Besucher unserer Website uneingeschränkten Zugriff auf extremistische Materialien #ohneRegistrierungismus haben, und fand darauf irgendwie das Buch „Mein Kampf“ von Adolf Hitler. Anscheinend aus Gründen der Zuverlässigkeit.
Diese Entscheidung hat uns sehr überrascht, aber wir arbeiten weiterhin an hidemyna.me, hidemyname.org, .one, .biz usw. Ein langwieriger Streit mit Roskomnadzor führte zu keinem Ergebnis. Während meine Anwälte und ich die Sperrung und die magische Gerichtsentscheidung anfechten, teilen wir Ihnen grundlegende Tipps zur Wahrung der Privatsphäre im Internet und Neuigkeiten zu diesem Thema mit.
Edward Snowden liebt die National Security Agency (wahrscheinlich)
Es ist kein Geheimnis, dass beliebte russische Dienste unsicher sind. Ihre Korrespondenz kann jederzeit den inländischen Strafverfolgungsbehörden zur Kenntnis gelangen. Wir sagen Ihnen, was Sie bei der Kommunikation über verschiedene Kommunikationskanäle beachten müssen.
SORM und ORI
Es gibt Möglichkeiten, auf Ihr Telefon zu tippen. Offiziell und legal - SORM, ein System technischer Mittel zur Sicherstellung der Funktionen operativer Ermittlungsaktivitäten. Laut Gesetz sind in der Russischen Föderation alle Mobilfunkbetreiber verpflichtet, ein solches System auf ihren PBX-Anlagen zu installieren, wenn sie ihre Lizenz nicht verlieren wollen. Es gibt drei Arten von SORM: Die erste wurde in den 80er Jahren erfunden, die zweite wurde in den 2014er Jahren eingeführt und die dritte versucht man seit XNUMX den Betreibern aufzuzwingen. , die meisten Betreiber verwenden den zweiten Typ, aber in 70 % der Fälle funktioniert das System nicht richtig oder überhaupt nicht. Dennoch ist es besser, sensible Themen nicht über ein Festnetztelefon oder einen normalen Anruf vom Mobiltelefon aus zu besprechen.
Funktionsschema von SORM-2 (Quelle: mfisoft.ru)
Gemäß 97-FZ müssen alle in Russland tätigen Messenger, Dienste und Websites in das Register aufgenommen werden . Von "„Sie sind verpflichtet, alle Benutzerdaten, einschließlich Sprachanrufaufzeichnungen und Korrespondenz, sechs Monate lang zu speichern. ARI hat übrigens auch Habrahabr.
Die Funktionsweise der Registry wird ausführlich beschrieben Am Beispiel von Threema ist die wichtigste Schlussfolgerung jedoch folgende: Auf Ersuchen der russischen Behörden können nun alle Informationen über Sie bei den Strafverfolgungsbehörden landen. Um die Vertraulichkeit zu wahren, müssen Sie daher zunächst Anrufe und Nachrichten an Instant Messenger weiterleiten, die nicht im ARI-Register enthalten sind. Oder diejenigen, die da sind, sich aber weigern, Daten an die Behörden zu übermitteln – wie Threema und Telegram.
ReferenzHinweis: Die bloße Eintragung in das ARI-Register garantiert nicht, dass die Daten an die Behörden übermittelt werden. Sie müssen die Nachrichten ständig im Auge behalten und die Reaktion des Boten beobachten, wenn er ihn „holt“.
Sprachanrufe und Nachrichten
Unsere Gespräche und Nachrichten können durch Ende-zu-Ende-Verschlüsselung vor Eingriffen Dritter geschützt werden, weshalb Messenger mit E2E als die sichersten gelten. Aber das ist nicht ganz richtig: Schauen wir uns beliebte Optionen an.
Telegram Ende-zu-Ende-Verschlüsselung in ihren Secret Chats und speichert verschlüsselte Daten über Ihre Korrespondenz in der Cloud, die über verschiedene Länder mit „sicherer“ Gerichtsbarkeit verstreut ist. Aber danach Auf Habré kann man beginnen, an der Illusion der Sicherheit von Telegram Passport in E2E von Durov zu zweifeln.
Natürlich sind geheime Chats immer noch eine gute Option für Paranoiker. An deren Verschlüsselung ist der Server überhaupt nicht beteiligt: Nachrichten werden Peer-to-Peer übertragen, also direkt zwischen den Teilnehmern der Korrespondenz. Für zusätzliche Sicherheit können Sie die Selbstzerstörungsfunktion der Timer-Nachricht verwenden. Aber Sie sollten sich nicht blind auf Telegram verlassen. Um die Sicherheit etwas zu erhöhen, müssen Sie und Ihr Empfänger in den Messenger-Einstellungen mindestens zwei Dinge tun:
- Legen Sie beim Anmelden bei der Anwendung ein Passwort fest (Datenschutz und Sicherheit -> Passcode);
- Aktivieren Sie die Bestätigung in zwei Schritten (Datenschutz und Sicherheit -> Two-Step Verification).
Danach fragt die Anwendung beim Anmelden von einem neuen Gerät zusätzlich zum Code aus der SMS nach einem Passwort, das nur Sie kennen.
Derzeit schützt die Anmeldebestätigung nur per SMS keine Person, die eine russische SIM-Karte verwendet. Fälle von Hacking von Telegram-Konten durch eine abgefangene SMS-Nachricht sind bereits bekannt – im Jahr 2016 durch Angreifer zur Korrespondenz mehrerer Oppositioneller und im Jahr 2017 Bericht des Dozhd-Journalisten Mikhail Rubin.
WhatsApp Im Moment verzichtet es auf die ORI-Registrierung und verwendet auch eine Ende-zu-Ende-Verschlüsselung, aber alles ist nicht so rosig damit. Wir haben kürzlich veröffentlicht über Einwohner von Magadan, gegen die wegen Kritik am Bürgermeister der Stadt ein Strafverfahren eingeleitet wurde. Diese Geschichte endete glücklicherweise mit der üblichen Geldstrafe. Doch es bestätigte die Befürchtungen der Nutzer: Es sei nicht sicher, in WhatsApp-Gruppenchats zu kommunizieren.
Was wird?
- Sobald Sie eine Nachricht schreiben, ist Ihre Telefonnummer sofort für alle Gruppenmitglieder verfügbar. Und Ihre Identität lässt sich anhand der Nummer leicht feststellen.
Was zu tun ist?
- Die Lösung könnte eine „linke“ SIM-Karte oder eine ausländische Nummer sein – am besten eine europäische.
Wenn Sie eine auf Ihren Namen registrierte russische Karte verwenden, vermeiden Sie sarkastische Kommentare in Gruppen mit Namen wie „Rücktritt für den Bürgermeister“: Hinterlassen Sie lieber nur persönliche Korrespondenz und Anrufe für WhatsApp.
Viber ist ebenfalls nicht im ORI-Register eingetragen, pflegt aber (in seiner Freizeit vom Spam-Versand) die Kommunikation mit den russischen Behörden. Dieser Messenger war einer der ersten, der die neuen staatlichen Anforderungen erfüllte: Er speichert Logins und Telefonnummern russischer Benutzer auf dem Territorium der Russischen Föderation, stellt jedoch Nachrichtendaten bereit – bezieht sich auf die Mechanismen der Ende-zu-Ende-Verschlüsselung und Unternehmensrichtlinien.
Apple nutzt ebenfalls End-to-End, erstellt aber bei der Registrierung bei iMessage zwei Schlüsselpaare: privat und öffentlich. Die Nachricht, die Sie vom selben Besitzer eines Apple-Geräts erhalten, wird Ihnen verschlüsselt übermittelt, wobei ein öffentlicher Schlüssel verwendet wird. Die Entschlüsselung ist nur mit dem privaten Schlüssel des Empfängers möglich, der auf seinem Gerät gespeichert ist. Sie können nachlesen, wie Apple den Datenschutz der Nutzer betrachtet und was es tun wird, wenn es eine Anfrage der Regierung erhält Es wurden keine Fälle registriert, in denen das Unternehmen Daten von russischen Nutzern an die russischen Behörden übermittelte.
Source:
Aber iMessage hat zwei Nachteile:
- Sie können über diese Kanäle nur an denselben Apple-Besitzer schreiben oder anrufen;
- Wenn Sie Probleme mit Ihrer Internetverbindung haben, wird die Nachricht über einen normalen Mobilfunkkanal weitergeleitet und zu einer einfachen SMS, die leicht abgefangen werden kann.
Um zu verhindern, dass iMessage in SMS umgewandelt wird, können Sie diese Funktion in den Einstellungen deaktivieren.
Forscher der Electronic Frontier Foundation dass es keine hundertprozentig sichere Option für Anrufe und Nachrichten gibt. Wenn einige Messenger die Behörden daran hindern, an Ihre privaten Daten zu gelangen, heißt das nicht, dass Hacker (oder der Staat, der ihre Dienste nutzen kann) dies nicht tun können, indem sie die Gesetze umgehen. Um dem Nutzer die Gewissheit zu geben, dass es keinen Man-in-the-Middle gibt, verfügt Telegram über eine nette Funktion: Beim Anruf können beide Empfänger sicherstellen, dass sie das gleiche Emoji in der oberen rechten Ecke des Bildschirms sehen – das bestätigt das Fehlen eines „Eingriffs“ in die Verbindung.
Wenn Sie nach einer sichereren Art der Kommunikation suchen, empfehlen wir Ihnen, über geheime Chats, Passwörter und Zwei-Schritt-/Zwei-Faktor-Authentifizierung hinaus auf weniger beliebte Nischen-Apps wie zu schauen oder .
Ich benutze Signal jeden Tag. #notesforFBI (Spoiler: Sie wissen es bereits)
Beliebte Unternehmen, die die Nutzung ihrer E-Mail-Clients ermöglichen (in Russland sind dies Yandex, Mail.Ru und Rambler), sind bereits im ARI-Register enthalten, was bedeutet, dass sie nicht sehr sicher sind. Ja, Mail.Ru-Gruppe Strafverfahren wegen Memes und Amnestie für Verurteilte, können den Behörden aber auf Anfrage Auskunft über Ihre Daten erteilen.
Selbst wenn Sie westliche E-Mail-Clients wie Gmail oder Outlook verwenden, die Zwei-Faktor-Authentifizierung aktiviert haben und wissen, dass Ihre E-Mail mit einem sicheren SSL/TLS-Protokoll verschlüsselt ist, können Sie nicht sicher sein, dass die E-Mail Ihres Empfängers gleichermaßen geschützt ist.
Schutzmöglichkeiten:
- Wenn Sie vertrauliche Informationen senden, verschlüsseln Sie E-Mails mit Pretty Good Privacy (). Dieses Programm hilft dabei, die Daten eines Briefes in einen für alle außer dem Absender und Empfänger bedeutungslosen Zeichensatz umzuwandeln;
- Achten Sie beim Versenden wichtiger Informationen immer auf die Domain des Empfängers und schreiben Sie nicht an eine verdächtige Adresse;
- Erkundigen Sie sich vorab beim Empfänger, ob er eine Weiterleitung oder Abholung der Post durch die russische Post eingerichtet hat.
Bei inländischen Unternehmen aus dem ORI-Register hilft grundsätzlich keine Verschlüsselung auf Nutzerseite. Informationen werden nicht abgefangen, sondern von Endpunkten – ähnlichen Diensten – gespeichert und übermittelt. Die einzige Lösung kann darin bestehen, sie durch sicherere Analoga wie ProtonMail, Tutanota oder Hushmail zu ersetzen. Weitere E-Mail-Dienste dieser Art finden Sie unter Seite.
Social Networks
Minimieren Sie zunächst Ihre Präsenz in beliebten russischen sozialen Netzwerken – „My World“, „Odnoklassniki“ und „VKontakte“. Zumindest gibt Facebook Ihre Daten nicht an russische Geheimdienste weiter. Zumindest wurden keine derartigen Fälle registriert.
Interessant ist jedoch, dass das Unternehmen im Jahr 2017 immer noch 85 % der Anfragen der US-Regierung erfüllte:
Screenshots von
Wenn Sie zu sehr an VK gewöhnt sind, aber nicht auf der Anklagebank landen möchten, achten Sie auf ein paar Dinge:
- Ihre gespeicherten Bilder;
- Beiträge, Kommentare und Nachrichten, die Sie schreiben;
- Beiträge, die Ihnen gefallen;
- Beiträge, die Sie teilen;
- Benutzer, mit denen Sie befreundet sind.
Bei all dem ist es am besten, alles zu vermeiden, was als beleidigend oder extremistisch angesehen werden könnte. Denken Sie immer daran, dass „Teilen“ die Weitergabe „illegaler“ Informationen an mindestens eine Person bedeutet. Der Anwalt der internationalen Menschenrechtsgruppe „Agora“ Damir Gainutdinov behauptet, dass laut Gesetz ORI sogar Entwürfe nicht gesendeter Nachrichten an Strafverfolgungsbehörden. Lesen Sie mehr darüber, wie Sie beim erneuten Posten nicht erwischt werden
Übrigens: Seit einiger Zeit kann jeder, der Ihre Telefonnummer hat, Sie standardmäßig auf VKontakte finden, auch wenn die Seite selbst Ihre wahre Identität nicht preisgibt.
Sie können in Ihren Profileinstellungen verhindern, dass andere Personen Sie anhand Ihrer Nummer finden (Einstellungen -> Datenschutz -> Kontaktieren Sie mich).. Aber das erspart Ihnen natürlich nicht die Sonderleistungen. Verwenden Sie keine Anrufe und Videokommunikation über VKontakte: Es ist nicht bekannt, ob das Netzwerk diese tatsächlich Ende-zu-Ende verschlüsselt, wie die Verwaltung behauptet.
Website-Sicherheit
Die einzig gute Nachricht ist das Alle gängigen Seiten im Internet verfügen bereits über eine https-Version oder sind komplett auf die ausschließliche Verwendung von https-Versionen umgestiegen. Die auf solchen Seiten empfangenen und übertragenen Informationen werden verschlüsselt und können nicht von Dritten gelesen werden. Solche Ressourcen sind grün markiert und mit dem Wort „geschützt“ versehen.
Hier endet die gute Nachricht. Trotz des https-Protokolls bleiben der Besuch einer solchen Website und DNS-Anfragen (Informationen darüber, auf welche Domains Sie zugegriffen haben) für den Internetprovider weiterhin sichtbar.
Doch eine weitere Neuigkeit ist noch schlimmer: Die restliche Hälfte der Seiten arbeitet mit dem regulären http-Protokoll, also ohne Datenverschlüsselung. Die Lösung könnte ein VPN sein, das absolut alle empfangenen und übertragenen Daten verschlüsselt, sodass keine lesbaren Informationen auf Seiten des Internetproviders und für jeden, der versucht, zwischen Ihnen und dem Endstandort einzudringen, vorhanden sind. Das Einzige, was sichtbar sein wird, ist die Tatsache, dass eine Verbindung zu einer bestimmten IP-Adresse im Internet (also zu einem VPN-Server) hergestellt wird. Und nichts weiter.
Wir würden uns freuen, wenn das Leben plötzlich wirklich so einfach wird: Schalten Sie das VPN ein und vergessen Sie das Durchsickern sensibler Informationen. Aber das ist nicht so. Überprüfen Sie regelmäßig, ob Ihre Lieblingsressource im ARI-Register enthalten ist, überwachen Sie, wie sie mit den Behörden interagiert, überprüfen Sie aktive Verbindungen in den Einstellungen von Instant Messengern und sozialen Netzwerken und setzen Sie verdächtige zurück (und ändern Sie dann unbedingt die Passwörter).
global
Bei der Arbeit mit Kommunikationskanälen und Datenübertragungen ist nur ein umfassender Ansatz für Sicherheit und Datenschutz sinnvoll. Verfolgen Sie Internet-Sicherheitsereignisse in unserem Telegram-Kanal , auf der Seite und auf anderen Ressourcen, die Veranstaltungen im Internet und insbesondere im RuNet gewidmet sind.
Welche Sicherheitsmaßnahmen ergreifen Sie?
Source: habr.com