Hola Habr.
Estos somos nosotros, servicio VPN . Actualmente estamos trabajando temporalmente en el mirror de HideMyna.me. ¿Por qué? El 20 de julio de 2018 Roskomnadzor nos agregó. debido a la decisión del Tribunal de Distrito de Medvedevsky en Yoshkar-Ola. El tribunal dictaminó que los visitantes de nuestro sitio tienen acceso ilimitado a materiales extremistas #sinregistracionismos y de alguna manera encontró en él el libro "Mein Kampf" de Adolf Hitler. Aparentemente, por confiabilidad.
Esta decisión nos sorprendió mucho, pero seguimos trabajando en hidemyna.me, hidemyname.org, .one, .biz, etc. Una larga discusión con Roskomnadzor no condujo a ningún resultado. Mientras mis abogados y yo impugnamos el bloqueo y la mágica decisión judicial, compartimos con ustedes consejos básicos para mantener la privacidad en Internet y noticias sobre este tema.
Edward Snowden ama la Agencia de Seguridad Nacional (probablemente)
No es ningún secreto que los servicios populares rusos no son seguros. Su correspondencia puede llegar en cualquier momento a la atención de los funcionarios encargados de hacer cumplir la ley en su país. Te contamos lo que debes recordar a la hora de comunicarte a través de diferentes canales de comunicación.
SORM y ORI
Hay Maneras de pinchar tu teléfono. Oficial y legal: SORM, un sistema de medios técnicos para asegurar las funciones de las actividades de investigación operativa. Por ley en la Federación de Rusia, todos los operadores de telefonía móvil deben instalar dicho sistema en sus PBX si no quieren perder su licencia. Hay tres tipos de SORM: el primero se inventó en los años 80, el segundo comenzó a implementarse en los años 2014 y el tercero intenta imponerse a los operadores desde XNUMX. , la mayoría de operadores utilizan el segundo tipo, pero en el 70% de los casos el sistema no funciona correctamente o no funciona en absoluto. Sin embargo, es mejor no discutir temas delicados a través de un teléfono fijo o mediante una llamada normal desde un teléfono móvil.
Esquema de funcionamiento de SORM-2 (Fuente: mfisoft.ru)
Según 97-FZ, todos los mensajeros, servicios y sitios que operan en Rusia deben estar incluidos en el registro. . Por "“Deben almacenar todos los datos de los usuarios, incluidas las grabaciones de llamadas de voz y la correspondencia, durante seis meses. Por cierto, ARI también tiene Habrahabr.
Se describe detalladamente el funcionamiento del registro. usando Threema como ejemplo, pero la conclusión principal es la siguiente: ahora, a pedido de las autoridades rusas, cualquier información sobre usted puede terminar en las autoridades encargadas de hacer cumplir la ley. Por tanto, lo primero que hay que hacer para mantener la confidencialidad es transferir llamadas y mensajes a mensajería instantánea, que no están en el registro de ARI. O aquellos que están allí pero se niegan a transferir datos a las autoridades, como Threema y Telegram.
Certificado: El solo hecho de estar en el registro de IRA no garantiza que los datos serán transferidos a las autoridades. Es necesario monitorear constantemente las noticias y observar la reacción del mensajero cuando "vienen" por él.
Llamadas de voz y mensajes.
Nuestras conversaciones y mensajes pueden protegerse de la interferencia de terceros mediante cifrado de extremo a extremo, por lo que los mensajeros con E2E se consideran los más seguros. Pero esto no es del todo cierto: veamos opciones populares.
Telegram cifrado de extremo a extremo en sus Chats Secretos y almacena datos cifrados sobre su correspondencia en la nube, que se encuentra dispersa en diferentes países con jurisdicción "segura". Pero después En Habré puedes empezar a dudar de la ilusión de seguridad de Telegram Passport en E2E de Durov.
Por supuesto, los chats secretos siguen siendo una buena opción para los paranoicos. El servidor no participa en absoluto en su cifrado: los mensajes se transmiten de igual a igual, es decir, directamente entre los participantes en la correspondencia. Para mayor tranquilidad, puede utilizar la función de autodestrucción de mensajes del temporizador. Pero no deberías confiar ciegamente en Telegram. Para hacerlo un poco más seguro, tú y tu destinatario debéis ir a la configuración de Messenger y hacer al menos dos cosas:
- Establezca una contraseña al iniciar sesión en la aplicación (Privacidad y Seguridad -> Código de acceso);
- Habilitar la verificación en dos pasos (Privacidad y Seguridad -> Verificación de dos pasos).
Posteriormente, además del código del SMS, al iniciar sesión desde un nuevo dispositivo, la aplicación te pedirá una contraseña que sólo tú conoces.
Actualmente, la confirmación de inicio de sesión únicamente mediante SMS no protege de ninguna manera a una persona que utiliza una tarjeta SIM rusa. Ya se conocen casos de piratería de cuentas de Telegram mediante un mensaje SMS interceptado: en 2016, los atacantes a la correspondencia de varios opositores, y en 2017 relato del periodista de Dozhd Mikhail Rubin.
Whatsapp por ahora evita el registro ORI y también utiliza cifrado de extremo a extremo, pero no todo es tan color de rosa con él. Recientemente publicamos sobre los residentes de Magadán que fueron objeto de una causa penal por criticar al alcalde de la ciudad. Esta historia, afortunadamente, terminó con la multa habitual. Pero confirmó los temores de los usuarios: no es seguro comunicarse en los chats grupales de WhatsApp.
¿Qué pasará?
- Tan pronto como escriba un mensaje, su número de teléfono estará inmediatamente disponible para todos los miembros del grupo. Y su identidad se puede determinar fácilmente por el número.
¿Qué hacer?
- La solución podría ser una tarjeta SIM “izquierda” o un número extranjero, preferiblemente europeo.
Si utiliza una tarjeta rusa registrada a su nombre, evite comentarios sarcásticos en grupos con nombres como “Dimite por el alcalde”: es mejor dejar solo correspondencia personal y llamadas por WhatsApp.
Viber/Whatspp Tampoco figura en el registro ORI, pero mantiene comunicación con las autoridades rusas (en su tiempo libre para enviar spam). Este mensajero fue uno de los primeros en cumplir con los nuevos requisitos gubernamentales: almacena los inicios de sesión y los números de teléfono de los usuarios rusos en el territorio de la Federación Rusa, pero proporciona datos de los mensajes. — se refiere a la mecánica del cifrado de extremo a extremo y la política corporativa.
Apple También usa de extremo a extremo, pero al registrarse en iMessage crea dos pares de claves: privada y pública. El mensaje que recibe del mismo propietario de un dispositivo Apple se le transmite mediante cifrado, que utiliza una clave pública. Sólo se puede descifrar utilizando la clave privada del destinatario, que se almacena en su dispositivo. Puede leer sobre cómo ve Apple la privacidad del usuario y qué hará si recibe una solicitud del gobierno. No se han registrado casos en los que la empresa haya transferido datos de usuarios rusos a las autoridades rusas.
Fuente:
Pero iMessage tiene dos desventajas:
- Podrás escribir o llamar a través de estos canales únicamente al mismo propietario de Apple;
- Si tiene problemas con su conexión a Internet, el mensaje pasará por un canal celular normal y se convertirá en un simple SMS que puede ser interceptado fácilmente.
Para evitar que iMessage se convierta en SMS, puedes desactivar esta función en Configuración.
Investigadores de la Electronic Frontier Foundation que no existe una opción cien por cien segura para llamadas y mensajes. Si algunos mensajeros impiden que las autoridades obtengan sus datos privados, esto no significa que los piratas informáticos (o el Estado, que puede utilizar sus servicios) no puedan hacerlo eludiendo las leyes. Para que el usuario tenga la confianza de que no hay intermediarios, Telegram tiene una característica interesante: al llamar, ambos destinatarios pueden asegurarse de ver el mismo emoji en la esquina superior derecha de la pantalla; esto confirmará el ausencia de "intrusión" en la conexión.
Si está buscando una forma más segura de comunicarse, le recomendamos mirar más allá de los chats secretos, las contraseñas y la autenticación de dos pasos/dos factores y buscar aplicaciones de nicho menos populares como o .
Utilizo Signal todos los días. #notesforFBI (Spoiler: ya lo saben)
Las empresas populares que permiten utilizar sus clientes de correo electrónico (en Rusia son Yandex, Mail.Ru y Rambler) ya están incluidas en el registro ARI, lo que significa que no son muy seguras. Sí, grupo Mail.Ru causas penales por memes y amnistía para los condenados, pero puede dar información sobre sus datos a las autoridades que lo soliciten.
Incluso si utiliza clientes de correo electrónico occidentales como Gmail o Outlook, tiene habilitada la autenticación de dos factores y sabe que su correo electrónico está cifrado mediante un protocolo SSL/TLS seguro, no puede estar seguro de que el correo electrónico de su destinatario esté igualmente protegido.
Opciones de protección:
- Al enviar información confidencial, cifre los correos electrónicos utilizando Pretty Good Privacy (). Este programa ayuda a convertir los datos de una carta en un conjunto de caracteres sin sentido para todos excepto para el remitente y el destinatario;
- Al enviar información importante, preste siempre atención al dominio del destinatario y no escriba a una dirección sospechosa;
- Compruebe con antelación con el destinatario si ha configurado el reenvío o la recogida del correo a través del servicio postal ruso.
En el caso de las empresas nacionales del registro ORI, en principio, ningún cifrado por parte del usuario ayudará. La información no es interceptada, sino almacenada y transmitida por puntos finales, servicios similares. La única solución puede ser reemplazarlos con análogos más seguros como ProtonMail, Tutanota o Hushmail. Se pueden encontrar más servicios de correo electrónico de este tipo en página.
Redes Sociales
Para empezar, minimice su presencia en las populares redes sociales rusas: "My World", "Odnoklassniki" y "VKontakte". Al menos Facebook no entrega tus datos a las agencias de inteligencia rusas. Al menos no se han registrado casos de este tipo.
Pero es interesante que en 2017 la empresa cumplió el 85% de las solicitudes del gobierno de EE. UU.:
Capturas de pantalla de
Si estás demasiado acostumbrado a VK, pero no quieres acabar en el banquillo, presta atención a algunas cosas:
- tus imágenes guardadas;
- publicaciones, comentarios y mensajes que escribes;
- publicaciones que te gustan;
- publicaciones que compartes;
- usuarios de los que eres amigo.
En todo lo anterior, lo mejor es evitar cualquier cosa que pueda considerarse ofensiva o extremista. Recuerde siempre que “compartir” significa comunicar información “ilegal” al menos a una persona. El abogado del grupo internacional de derechos humanos "Agora", Damir Gainutdinov, afirma que, según la ley, la ORI incluso borradores de mensajes no enviados a las fuerzas del orden. Lea más sobre cómo no ser atrapado por volver a publicar
Por cierto, desde hace algún tiempo cualquiera que tenga tu número de teléfono puede encontrarte en VKontakte de forma predeterminada, incluso si la página en sí no revela tu identidad real.
Puedes evitar que las personas te encuentren por número en la configuración de tu perfil (Configuración -> Privacidad -> Contáctame). Pero esto, por supuesto, no le salvará de los servicios especiales. No utilice llamadas ni comunicaciones de vídeo en VKontakte: se desconoce si la red realmente las cifra de extremo a extremo, como afirma la administración.
Seguridad del sitio web
La única buena noticia es que Todos los sitios populares en Internet ya tienen una versión https o han cambiado por completo a usar solo versiones https. La información recibida y transmitida en dichos sitios está cifrada y no puede ser leída por terceros. Dichos recursos están marcados en verde y la palabra "protegidos".
Ahí terminan las buenas noticias. A pesar del protocolo https, el hecho de visitar dicho sitio y las solicitudes de DNS (información sobre a qué dominios accedió) siguen siendo visibles para el proveedor de Internet.
Pero hay otra noticia aún peor: la mitad restante de los sitios funcionan utilizando el protocolo http normal, es decir, sin cifrado de datos. La solución podría ser una VPN, que cifra absolutamente todos los datos recibidos y transmitidos para que no haya información legible por parte del proveedor de Internet ni de nadie que intente infiltrarse entre usted y el sitio final. Lo único que será visible es el hecho de conectarse a una determinada dirección IP en Internet (es decir, a un servidor VPN). Y nada más.
Seremos felices si la vida de repente se vuelve tan simple: encienda la VPN y olvídese de la filtración de información confidencial. Pero eso no es cierto. Verifique periódicamente si su recurso favorito está incluido en el registro de ARI, controle cómo interactúa con las autoridades, verifique las conexiones activas en la configuración de mensajería instantánea y redes sociales y restablezca las sospechosas (y luego asegúrese de cambiar las contraseñas).
globalmente
Cuando se trabaja con canales de comunicación y transferencia de datos, sólo tiene sentido un enfoque integral de la seguridad y la privacidad. Sigue los eventos de seguridad en Internet en nuestro canal de Telegram , en el sitio y sobre otros recursos dedicados a eventos en Internet y RuNet en particular.
¿Qué medidas de seguridad estás tomando?
Fuente: habr.com