Γεια σου Χαμπρ.
Αυτή είμαστε, η υπηρεσία VPN . Αυτήν τη στιγμή εργαζόμαστε προσωρινά στον καθρέφτη HideMyna.me. Γιατί; Στις 20 Ιουλίου 2018 μας πρόσθεσε η Roskomnadzor λόγω της απόφασης του Επαρχιακού Δικαστηρίου Medvedevsky στο Yoshkar-Ola. Το δικαστήριο έκρινε ότι οι επισκέπτες στον ιστότοπό μας έχουν απεριόριστη πρόσβαση σε εξτρεμιστικό υλικό #withoutregistrationisms, και με κάποιο τρόπο βρήκε το βιβλίο «Mein Kampf» του Αδόλφου Χίτλερ σε αυτό. Προφανώς, για αξιοπιστία.
Αυτή η απόφαση μας εξέπληξε πολύ, αλλά συνεχίζουμε να εργαζόμαστε στα hidemyna.me, hidemyname.org, .one, .biz κ.λπ. Μια παρατεταμένη διαμάχη με την Roskomnadzor δεν οδήγησε σε κανένα αποτέλεσμα. Ενώ οι δικηγόροι μου και εγώ αμφισβητούμε τον αποκλεισμό και τη μαγική δικαστική απόφαση, μοιραζόμαστε μαζί σας βασικές συμβουλές για τη διατήρηση της ιδιωτικής ζωής στο Διαδίκτυο και ειδήσεις σχετικά με αυτό το θέμα.
Ο Έντουαρντ Σνόουντεν λατρεύει την Υπηρεσία Εθνικής Ασφάλειας (μάλλον)
Δεν είναι μυστικό ότι οι δημοφιλείς ρωσικές υπηρεσίες δεν είναι ασφαλείς. Η αλληλογραφία σας μπορεί ανά πάσα στιγμή να περιέλθει στην προσοχή των εθνικών αρχών επιβολής του νόμου. Σας λέμε τι πρέπει να θυμάστε όταν επικοινωνείτε μέσω διαφορετικών καναλιών επικοινωνίας.
SORM και ORI
Υπάρχει τρόπους για να πατήσετε το τηλέφωνό σας. Επίσημο και νομικό - SORM, ένα σύστημα τεχνικών μέσων για τη διασφάλιση των λειτουργιών των επιχειρησιακών ερευνητικών δραστηριοτήτων. Σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας, όλοι οι φορείς εκμετάλλευσης κινητής τηλεφωνίας υποχρεούνται να εγκαταστήσουν ένα τέτοιο σύστημα στα PBX τους, εάν δεν θέλουν να χάσουν την άδειά τους. Υπάρχουν τρεις τύποι SORM: ο πρώτος επινοήθηκε τη δεκαετία του '80, ο δεύτερος άρχισε να εφαρμόζεται στη δεκαετία του 2014 και προσπαθούν να επιβάλουν τον τρίτο στους χειριστές από το XNUMX. , οι περισσότεροι χειριστές χρησιμοποιούν τον δεύτερο τύπο, αλλά στο 70% των περιπτώσεων το σύστημα δεν λειτουργεί σωστά ή δεν λειτουργεί καθόλου. Ωστόσο, είναι ακόμα καλύτερο να μην συζητάτε ευαίσθητα θέματα μέσω σταθερού τηλεφώνου ή μέσω κανονικής κλήσης από κινητό τηλέφωνο.
Σχέδιο λειτουργίας του SORM-2 (Πηγή: mfisoft.ru)
Σύμφωνα με το 97-FZ, τυχόν αγγελιοφόροι, υπηρεσίες και ιστότοποι που λειτουργούν στη Ρωσία πρέπει να περιλαμβάνονται στο μητρώο . Με "«Οφείλουν να αποθηκεύουν όλα τα δεδομένα των χρηστών, συμπεριλαμβανομένων των ηχογραφήσεων φωνητικών κλήσεων και της αλληλογραφίας, για έξι μήνες. Παρεμπιπτόντως, η ARI έχει και Habrahabr.
Η λειτουργία του μητρώου περιγράφεται αναλυτικά χρησιμοποιώντας το Threema ως παράδειγμα, αλλά το κύριο συμπέρασμα είναι το εξής: τώρα, κατόπιν αιτήματος των ρωσικών αρχών, οποιαδήποτε πληροφορία για εσάς μπορεί να καταλήξει στις υπηρεσίες επιβολής του νόμου. Επομένως, το πρώτο πράγμα που πρέπει να κάνετε για να διατηρήσετε την εμπιστευτικότητα είναι να μεταφέρετε κλήσεις και μηνύματα σε άμεσους αγγελιοφόρους, οι οποίοι δεν βρίσκονται στο μητρώο ARI. Ή αυτά που είναι εκεί, αλλά αρνούνται να μεταφέρουν δεδομένα στις αρχές - όπως το Threema και το Telegram.
Πιστοποιητικό: Το να είσαι απλώς στο μητρώο ARI δεν εγγυάται ότι τα δεδομένα θα μεταφερθούν στις αρχές. Πρέπει να παρακολουθείτε συνεχώς τις ειδήσεις και να κοιτάτε την αντίδραση του αγγελιοφόρου όταν «έρχονται» για αυτόν.
Φωνητικές κλήσεις και μηνύματα
Οι συνομιλίες και τα μηνύματά μας μπορούν να προστατεύονται από παρεμβολές τρίτων με κρυπτογράφηση από άκρο σε άκρο, γι' αυτό και τα messenger με E2E θεωρούνται τα πιο ασφαλή. Αλλά αυτό δεν είναι απολύτως αλήθεια: ας δούμε τις δημοφιλείς επιλογές.
Telegram κρυπτογράφηση από άκρο σε άκρο στις μυστικές συνομιλίες τους και αποθηκεύει κρυπτογραφημένα δεδομένα σχετικά με την αλληλογραφία σας στο cloud, το οποίο είναι διάσπαρτο σε διαφορετικές χώρες με «ασφαλή» δικαιοδοσία. Αλλά μετά στο Habré μπορείτε να αρχίσετε να αμφιβάλλετε για την ψευδαίσθηση της ασφάλειας του Telegram Passport στο E2E από τον Durov.
Φυσικά, οι μυστικές συνομιλίες εξακολουθούν να είναι μια καλή επιλογή για τους παρανοϊκούς. Ο διακομιστής δεν εμπλέκεται καθόλου στην κρυπτογράφηση τους: τα μηνύματα μεταδίδονται peer-to-peer, δηλαδή απευθείας μεταξύ των συμμετεχόντων στην αλληλογραφία. Για μεγαλύτερη ηρεμία, μπορείτε να χρησιμοποιήσετε τη λειτουργία αυτοκαταστροφής μηνυμάτων χρονοδιακόπτη. Αλλά δεν πρέπει να βασίζεστε τυφλά στο Telegram. Για να το κάνετε λίγο πιο ασφαλές, εσείς και ο παραλήπτης σας πρέπει να μεταβείτε στις ρυθμίσεις του messenger και να κάνετε τουλάχιστον δύο πράγματα:
- Ορίστε έναν κωδικό πρόσβασης κατά τη σύνδεση στην εφαρμογή (Απορρήτου και Ασφάλεια -> Κωδικού πρόσβασης);
- Ενεργοποίηση επαλήθευσης σε δύο βήματα (Απορρήτου και Ασφάλεια -> Two-Step επαλήθευσης).
Μετά από αυτό, εκτός από τον κωδικό από το SMS, κατά τη σύνδεση από μια νέα συσκευή, η εφαρμογή θα ζητήσει έναν κωδικό πρόσβασης που μόνο εσείς γνωρίζετε.
Επί του παρόντος, η επιβεβαίωση σύνδεσης μόνο μέσω SMS δεν προστατεύει σε καμία περίπτωση ένα άτομο που χρησιμοποιεί ρωσική κάρτα SIM. Είναι ήδη γνωστές περιπτώσεις παραβίασης λογαριασμών Telegram μέσω υποκλαπόμενου μηνύματος SMS - το 2016, εισβολείς στην αλληλογραφία πολλών αντιπολιτευόμενων και το 2017 λογαριασμός του δημοσιογράφου της Dozhd, Μιχαήλ Ρούμπιν.
WhatsApp Προς το παρόν αποφεύγει το μητρώο ORI και χρησιμοποιεί επίσης κρυπτογράφηση από άκρο σε άκρο, αλλά δεν είναι όλα τόσο ρόδινα με αυτό. Πρόσφατα δημοσιεύσαμε σχετικά με κατοίκους του Μαγκαντάν που διώχθηκαν ποινικά για κριτική στον δήμαρχο της πόλης. Αυτή η ιστορία, ευτυχώς, τελείωσε με το συνηθισμένο πρόστιμο. Αλλά επιβεβαίωσε τους φόβους των χρηστών: δεν είναι ασφαλές να επικοινωνείς σε ομαδικές συνομιλίες WhatsApp.
Τι θα συμβεί?
- Μόλις γράψετε ένα μήνυμα, ο αριθμός τηλεφώνου σας θα γίνει αμέσως διαθέσιμος σε όλα τα μέλη της ομάδας. Και η ταυτότητά σας μπορεί εύκολα να προσδιοριστεί από τον αριθμό.
Τι να κάνω;
- Η λύση θα μπορούσε να είναι μια «αριστερή» κάρτα SIM ή ένας ξένος αριθμός – κατά προτίμηση ευρωπαϊκός.
Εάν χρησιμοποιείτε ρωσική κάρτα που είναι καταχωρημένη στο όνομά σας, αποφύγετε τα σαρκαστικά σχόλια σε ομάδες με ονόματα όπως "Παραιτηθείτε για τον Δήμαρχο": είναι καλύτερα να αφήνετε μόνο την προσωπική αλληλογραφία και τις κλήσεις για WhatsApp.
Viber επίσης δεν αναφέρεται στο μητρώο ORI, αλλά διατηρεί επικοινωνία με τις ρωσικές αρχές (τον ελεύθερο χρόνο του από την αποστολή ανεπιθύμητων μηνυμάτων). Αυτός ο αγγελιοφόρος ήταν ένας από τους πρώτους που συμμορφώθηκε με τις νέες κυβερνητικές απαιτήσεις: αποθηκεύει στοιχεία σύνδεσης και αριθμούς τηλεφώνου Ρώσων χρηστών στην επικράτεια της Ρωσικής Ομοσπονδίας, αλλά παρέχει δεδομένα μηνυμάτων — αναφέρεται στη μηχανική της κρυπτογράφησης από άκρο σε άκρο και στην εταιρική πολιτική.
Apple χρησιμοποιεί επίσης από άκρο σε άκρο, αλλά κατά την εγγραφή στο iMessage δημιουργεί δύο ζεύγη κλειδιών: ιδιωτικό και δημόσιο. Το μήνυμα που λαμβάνετε από τον ίδιο κάτοχο μιας συσκευής Apple μεταδίδεται σε εσάς με κρυπτογράφηση, η οποία χρησιμοποιεί ένα δημόσιο κλειδί. Μπορεί να αποκρυπτογραφηθεί μόνο χρησιμοποιώντας το ιδιωτικό κλειδί του παραλήπτη, το οποίο είναι αποθηκευμένο στη συσκευή του. Μπορείτε να διαβάσετε για το πώς βλέπει η Apple το απόρρητο των χρηστών και τι θα κάνει εάν λάβει αίτημα από την κυβέρνηση Δεν έχουν καταγραφεί περιπτώσεις μεταφοράς δεδομένων από Ρώσους χρήστες στις ρωσικές αρχές από την εταιρεία.
Πηγή:
Αλλά το iMessage έχει δύο μειονεκτήματα:
- Μπορείτε να γράψετε ή να καλέσετε μέσω αυτών των καναλιών μόνο στον ίδιο κάτοχο της Apple.
- Εάν αντιμετωπίζετε προβλήματα με τη σύνδεσή σας στο Διαδίκτυο, το μήνυμα θα περάσει από ένα κανονικό κανάλι κινητής τηλεφωνίας και θα γίνει ένα απλό SMS που μπορεί εύκολα να υποκλαπεί.
Για να αποφύγετε τη μετατροπή του iMessage σε SMS, μπορείτε να απενεργοποιήσετε αυτήν τη λειτουργία στις Ρυθμίσεις.
Ερευνητές από το Electronic Frontier Foundation ότι δεν υπάρχει εκατό τοις εκατό ασφαλής επιλογή για κλήσεις και μηνύματα. Εάν ορισμένοι αγγελιοφόροι εμποδίζουν τις αρχές να λάβουν τα προσωπικά σας δεδομένα, αυτό δεν σημαίνει ότι οι χάκερ (ή το κράτος που μπορεί να χρησιμοποιήσει τις υπηρεσίες τους) δεν μπορούν να το κάνουν αυτό παρακάμπτοντας τους νόμους. Για να δώσει στον χρήστη τη σιγουριά ότι δεν υπάρχει άνθρωπος στη μέση, το Telegram έχει μια ωραία δυνατότητα: κατά την κλήση, και οι δύο παραλήπτες μπορούν να βεβαιωθούν ότι βλέπουν το ίδιο emoji στην επάνω δεξιά γωνία της οθόνης - αυτό θα επιβεβαιώσει απουσία «εισβολής» στη σύνδεση.
Εάν αναζητάτε έναν πιο ασφαλή τρόπο επικοινωνίας, συνιστούμε να κοιτάξετε πέρα από τις μυστικές συνομιλίες, τους κωδικούς πρόσβασης και τον έλεγχο ταυτότητας δύο βημάτων/δύο παραγόντων σε λιγότερο δημοφιλείς εξειδικευμένες εφαρμογές όπως ή .
Χρησιμοποιώ το Signal κάθε μέρα. #notesforFBI (Spoiler: ξέρουν ήδη)
Δημοφιλείς εταιρείες που καθιστούν δυνατή τη χρήση των πελατών ηλεκτρονικού ταχυδρομείου τους (στη Ρωσία είναι οι Yandex, Mail.Ru και Rambler) περιλαμβάνονται ήδη στο μητρώο ARI, πράγμα που σημαίνει ότι δεν είναι πολύ ασφαλείς. Ναι, Mail.Ru Group ποινικές υποθέσεις για μιμίδια και αμνηστία για τους καταδικασθέντες, αλλά μπορεί να δώσει πληροφορίες σχετικά με τα δεδομένα σας στις αρχές κατόπιν αιτήματος.
Ακόμα κι αν χρησιμοποιείτε δυτικά προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου όπως το Gmail ή το Outlook, έχετε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων και γνωρίζετε ότι τα email σας είναι κρυπτογραφημένα χρησιμοποιώντας ένα ασφαλές πρωτόκολλο SSL/TLS, δεν μπορείτε να είστε σίγουροι ότι το email του παραλήπτη σας προστατεύεται εξίσου.
Επιλογές προστασίας:
- Κατά την αποστολή ευαίσθητων πληροφοριών, κρυπτογραφήστε τα email χρησιμοποιώντας το Pretty Good Privacy (). Αυτό το πρόγραμμα βοηθά στη μετατροπή των δεδομένων από ένα γράμμα σε ένα σύνολο χαρακτήρων χωρίς νόημα για όλους, εκτός από τον αποστολέα και τον παραλήπτη.
- Κατά την αποστολή σημαντικών πληροφοριών, να δίνετε πάντα προσοχή στον τομέα του παραλήπτη και να μην γράφετε σε ύποπτη διεύθυνση.
- Ελέγξτε με τον παραλήπτη εκ των προτέρων εάν έχει ρυθμίσει την προώθηση ή τη συλλογή αλληλογραφίας μέσω της ρωσικής ταχυδρομικής υπηρεσίας.
Στην περίπτωση εγχώριων εταιρειών από το μητρώο ORI, καμία κρυπτογράφηση από την πλευρά του χρήστη δεν θα βοηθήσει, καταρχήν. Οι πληροφορίες δεν υποκλαπούν, αλλά αποθηκεύονται και μεταδίδονται από τερματικά σημεία - παρόμοιες υπηρεσίες. Η μόνη λύση μπορεί να είναι η αντικατάστασή τους με πιο ασφαλή ανάλογα όπως το ProtonMail, το Tutanota ή το Hushmail. Περισσότερες τέτοιες υπηρεσίες email μπορείτε να βρείτε στη διεύθυνση σελίδα.
Κοινωνικά Δίκτυα
Αρχικά, ελαχιστοποιήστε την παρουσία σας στα δημοφιλή ρωσικά κοινωνικά δίκτυα - "My World", "Odnoklassniki" και "VKontakte". Τουλάχιστον το Facebook δεν παραδίδει τα δεδομένα σας στις ρωσικές υπηρεσίες πληροφοριών. Τουλάχιστον, δεν έχουν καταγραφεί τέτοιες περιπτώσεις.
Αλλά είναι ενδιαφέρον ότι το 2017, η εταιρεία εξακολουθούσε να ικανοποιεί το 85% των αιτημάτων από την κυβέρνηση των ΗΠΑ:
Στιγμιότυπα οθόνης από
Εάν είστε πολύ συνηθισμένοι στο VK, αλλά δεν θέλετε να καταλήξετε στην αποβάθρα, δώστε προσοχή σε μερικά πράγματα:
- τις αποθηκευμένες φωτογραφίες σας.
- αναρτήσεις, σχόλια και μηνύματα που γράφετε.
- δημοσιεύσεις που σας αρέσουν.
- δημοσιεύσεις που μοιράζεστε?
- χρήστες με τους οποίους είστε φίλοι.
Σε όλα τα παραπάνω, είναι καλύτερο να αποφύγετε οτιδήποτε μπορεί να θεωρηθεί προσβλητικό ή εξτρεμιστικό. Να θυμάστε πάντα ότι «κοινή χρήση» σημαίνει κοινοποίηση «παράνομων» πληροφοριών σε τουλάχιστον ένα άτομο. Ο δικηγόρος της διεθνούς ομάδας ανθρωπίνων δικαιωμάτων "Agora" Damir Gainutdinov ισχυρίζεται ότι σύμφωνα με το νόμο, το ORI ακόμη και προσχέδια μη απεσταλμένων μηνυμάτων προς τις υπηρεσίες επιβολής του νόμου. Διαβάστε περισσότερα για το πώς να μην σας πιάσουν για αναδημοσίευση
Παρεμπιπτόντως, εδώ και αρκετό καιρό οποιοσδήποτε έχει τον αριθμό τηλεφώνου σας μπορεί να σας βρει στο VKontakte από προεπιλογή, ακόμα κι αν η ίδια η σελίδα δεν αποκαλύπτει την πραγματική σας ταυτότητα.
Μπορείτε να εμποδίσετε τα άτομα να σας βρίσκουν με αριθμό στις ρυθμίσεις του προφίλ σας (Ρυθμίσεις -> Απόρρητο -> Επικοινωνήστε μαζί μου). Αλλά αυτό, φυσικά, δεν θα σας σώσει από τις ειδικές υπηρεσίες. Μην χρησιμοποιείτε κλήσεις και επικοινωνίες βίντεο στο VKontakte: είναι άγνωστο εάν το δίκτυο τις κρυπτογραφεί πραγματικά από άκρο σε άκρο, όπως ισχυρίζεται η διοίκηση.
Ασφάλεια Ιστοσελίδας
Το μόνο καλό νέο είναι αυτό Όλοι οι δημοφιλείς ιστότοποι στο Διαδίκτυο έχουν ήδη μια έκδοση https ή έχουν αλλάξει εντελώς στη χρήση μόνο εκδόσεων https. Οι πληροφορίες που λαμβάνονται και μεταδίδονται σε τέτοιους ιστότοπους είναι κρυπτογραφημένες και δεν μπορούν να διαβαστούν από τρίτους. Τέτοιοι πόροι επισημαίνονται με πράσινο και η λέξη «προστατεύονται».
Εκεί τελειώνουν τα καλά νέα. Παρά το πρωτόκολλο https, το γεγονός της επίσκεψης σε έναν τέτοιο ιστότοπο και τα αιτήματα DNS (πληροφορίες σχετικά με τους τομείς στους οποίους αποκτήσατε πρόσβαση) εξακολουθούν να είναι ορατά στον πάροχο Διαδικτύου.
Αλλά μια άλλη είδηση είναι ακόμα χειρότερη: οι υπόλοιποι μισοί ιστότοποι λειτουργούν χρησιμοποιώντας το κανονικό πρωτόκολλο http, δηλαδή χωρίς κρυπτογράφηση δεδομένων. Η λύση θα μπορούσε να είναι ένα VPN, το οποίο κρυπτογραφεί απολύτως όλα τα δεδομένα που λαμβάνονται και μεταδίδονται, έτσι ώστε να μην υπάρχουν αναγνώσιμες πληροφορίες από την πλευρά του παρόχου Διαδικτύου και οποιουδήποτε προσπαθεί να διεισδύσει ανάμεσα σε εσάς και τον τελικό ιστότοπο. Το μόνο που θα είναι ορατό είναι το γεγονός της σύνδεσης σε μια συγκεκριμένη διεύθυνση IP στο Διαδίκτυο (δηλαδή σε διακομιστή VPN). Και τίποτα παραπάνω.
Θα χαρούμε αν η ζωή γίνει ξαφνικά τόσο απλή: ενεργοποιήστε το VPN και ξεχάστε τη διαρροή ευαίσθητων πληροφοριών. Αλλά αυτό δεν είναι αλήθεια. Ελέγχετε τακτικά εάν ο αγαπημένος σας πόρος περιλαμβάνεται στο μητρώο ARI, παρακολουθείτε πώς αλληλεπιδρά με τις αρχές, ελέγχετε τις ενεργές συνδέσεις στις ρυθμίσεις των άμεσων μηνυμάτων και των κοινωνικών δικτύων και επαναφέρετε ύποπτους (και, στη συνέχεια, φροντίστε να αλλάξετε τους κωδικούς πρόσβασης).
σε παγκόσμιο επίπεδο
Όταν εργάζεστε με κανάλια επικοινωνίας και μεταφορά δεδομένων, έχει νόημα μόνο μια ολοκληρωμένη προσέγγιση για την ασφάλεια και το απόρρητο. Ακολουθήστε τα συμβάντα ασφαλείας στο Διαδίκτυο στο κανάλι μας στο Telegram , Σε σύνδεση και σε άλλους πόρους αφιερωμένους σε εκδηλώσεις στο Διαδίκτυο και ειδικότερα στο RuNet.
Τι μέτρα ασφαλείας λαμβάνετε;
Πηγή: www.habr.com