نه فقط یک VPN. برگه تقلب در مورد نحوه محافظت از خود و داده های خود

هی هابر

این ما هستیم، سرویس VPN اسمم را مخفی کن. ما در حال حاضر به طور موقت روی آینه HideMyna.me کار می کنیم. چرا؟ در 20 ژوئیه 2018 Roskomnadzor ما را اضافه کرد به لیست منابع ممنوعه به دلیل تصمیم دادگاه منطقه مدودفسکی در یوشکار اولا. دادگاه حکم داد که بازدیدکنندگان سایت ما دسترسی نامحدودی به مطالب افراطی #بدون ثبت نام دارند، و به نوعی کتاب «نبرد من» نوشته آدولف هیتلر را روی آن یافت. ظاهراً برای اطمینان.

این تصمیم ما را بسیار شگفت زده کرد، اما ما به کار روی hidemyna.me، hidemyname.org، .one، .biz و غیره ادامه می دهیم. بحث طولانی با Roskomnadzor به نتیجه ای منجر نشد. در حالی که من و وکلایم مسدود کردن و تصمیم جادویی دادگاه را به چالش می کشیم، نکات اساسی برای حفظ حریم خصوصی در اینترنت و اخبار مربوط به این موضوع را با شما به اشتراک می گذاریم.

ادوارد اسنودن عاشق آژانس امنیت ملی است (احتمالا)

بر کسی پوشیده نیست که سرویس های محبوب روسی ناامن هستند. مکاتبات شما ممکن است در هر زمانی مورد توجه مقامات مجری قانون داخلی قرار گیرد. ما به شما می گوییم که هنگام برقراری ارتباط از طریق کانال های ارتباطی مختلف چه چیزهایی را باید به خاطر بسپارید.

SORM و ORI

وجود دارد بسیار متفاوت راه هایی برای ضربه زدن به گوشی رسمی و قانونی - SORM، سیستمی از ابزارهای فنی برای اطمینان از عملکرد فعالیت های تحقیقاتی عملیاتی. طبق قانون در فدراسیون روسیه، همه اپراتورهای تلفن همراه موظفند اگر نمی خواهند مجوز خود را از دست بدهند، چنین سیستمی را روی سانترال های خود نصب کنند. سه نوع SORM وجود دارد: اولی در دهه 80 اختراع شد، دومی در دهه 2014 شروع به اجرا کرد و آنها از سال XNUMX سعی در تحمیل نوع سوم به اپراتورها داشتند. به گزارش RBC، اکثر اپراتورها از نوع دوم استفاده می کنند اما در 70 درصد موارد سیستم به درستی کار نمی کند یا اصلا کار نمی کند. با این حال، هنوز هم بهتر است موضوعات حساس را از طریق تلفن ثابت یا از طریق تماس معمولی از تلفن همراه مورد بحث قرار ندهید.

طرح عملکرد SORM-2 (منبع: mfisoft.ru)

طبق 97-FZ، هر پیام رسان، خدمات و سایتی که در روسیه فعالیت می کند باید در ثبت نام گنجانده شود. سازمان دهندگان انتشار اطلاعات. توسط "قانون یارووایاآنها موظفند تمام داده‌های کاربر، از جمله ضبط‌های تماس صوتی و مکاتبات را به مدت شش ماه ذخیره کنند. اتفاقا ARI هم حبرهبر دارد.

عملکرد رجیستری به تفصیل شرح داده شده است اینجا با استفاده از Threema به عنوان مثال، اما نتیجه اصلی این است: اکنون، بنا به درخواست مقامات روسی، هر گونه اطلاعات در مورد شما ممکن است در سازمان های اجرای قانون به پایان برسد. بنابراین، اولین کاری که برای حفظ محرمانگی باید انجام داد، انتقال تماس ها و پیام ها به پیام رسان های فوری است که در رجیستری ARI نیستند. یا آنهایی که آنجا هستند، اما از انتقال داده به مقامات خودداری می کنند - مانند Threema و Telegram.

گواهی نامه: صرفا بودن در رجیستری ARI تضمینی برای انتقال داده ها به مقامات نمی باشد. شما باید به طور مداوم اخبار را رصد کنید و به واکنش پیام رسان هنگامی که به دنبال او می آیند نگاه کنید.

تماس ها و پیام های صوتی

مکالمات و پیام‌های ما را می‌توان با رمزگذاری سرتاسر در برابر تداخل شخص ثالث محافظت کرد، به همین دلیل است که پیام‌رسان‌های دارای E2E امن‌ترین هستند. اما این کاملاً درست نیست: بیایید به گزینه های محبوب نگاه کنیم.

تلگرام پشتیبانی می کند رمزگذاری انتها به انتها در چت های مخفی آنها و ذخیره داده های رمزگذاری شده در مورد مکاتبات شما در فضای ابری، که در کشورهای مختلف با حوزه قضایی "ایمن" پراکنده شده است. اما بعد از مقاله در Habré می توانید در مورد توهم امنیت تلگرام پاسپورت در E2E از Durov شک کنید.

البته گفتگوهای مخفی هنوز هم گزینه خوبی برای افراد پارانوئید هستند. سرور به هیچ وجه در رمزگذاری آنها دخالت ندارد: پیام ها به صورت همتا به همتا منتقل می شوند، یعنی مستقیماً بین شرکت کنندگان در مکاتبات. برای آرامش بیشتر، می توانید از عملکرد خود تخریبی پیام تایمر استفاده کنید. اما شما نباید کورکورانه به تلگرام اعتماد کنید. برای ایمن‌تر کردن آن، شما و گیرنده‌تان باید به تنظیمات پیام‌رسان بروید و حداقل دو کار را انجام دهید:

• هنگام ورود به برنامه یک رمز عبور تنظیم کنید (حریم خصوصی و امنیت -> رمز عبور);
• فعال کردن تایید دو مرحله ای (حریم خصوصی و امنیت -> تأیید دو مرحله ای).

پس از این، برنامه علاوه بر کد از طریق پیامک، هنگام ورود از دستگاه جدید، رمز عبوری را که فقط شما می دانید، درخواست می کند.

در حال حاضر، تأیید ورود فقط از طریق پیامک به هیچ وجه از شخصی که از سیم کارت روسی استفاده می کند محافظت نمی کند. موارد هک اکانت تلگرام از طریق پیامک رهگیری شده از قبل مشخص شده است - در سال 2016، مهاجمان دسترسی پیدا کرد به مکاتبات چند مخالف، و در سال 2017 هک شد گزارش میخائیل روبین، روزنامه نگار دوژد.

واتساپ در حال حاضر از رجیستری ORI اجتناب می کند و همچنین از رمزگذاری انتها به انتها استفاده می کند، اما همه چیز با آن چندان خوشگل نیست. اخیرا منتشر کردیم اخبار درباره اهالی ماگادان که به دلیل انتقاد از شهردار این شهر پرونده کیفری داشتند. این داستان خوشبختانه با جریمه همیشگی به پایان رسید. اما ترس کاربران را تأیید کرد: برقراری ارتباط در چت های گروهی WhatsApp ایمن نیست.

چه اتفاقی خواهد افتاد؟

• به محض نوشتن پیام، شماره تلفن شما بلافاصله در دسترس همه اعضای گروه قرار می گیرد. و هویت شما به راحتی با شماره مشخص می شود.

چه کاری انجام دهید؟

• راه حل می تواند یک سیم کارت "چپ" یا یک شماره خارجی باشد - ترجیحاً اروپایی.

اگر از کارت روسی ثبت شده به نام خود استفاده می کنید، از اظهار نظرهای طعنه آمیز در گروه هایی با نام هایی مانند "استعفا برای شهردار" خودداری کنید: بهتر است فقط مکاتبات شخصی و تماس ها را برای واتس اپ بگذارید.

وایبر همچنین در رجیستری ORI ذکر نشده است، اما ارتباط خود را با مقامات روسی حفظ می کند (در اوقات فراغت خود از ارسال هرزنامه). این پیام رسان یکی از اولین پیام رسان هایی بود که با الزامات جدید دولت مطابقت داشت: ورود و شماره تلفن کاربران روسی را در قلمرو فدراسیون روسیه ذخیره می کند، اما داده های پیام را ارائه می دهد. امتناع می کند - به مکانیزم رمزگذاری سرتاسر و خط مشی شرکت اشاره دارد.

اپل همچنین از end-to-end استفاده می کند، اما هنگام ثبت نام با iMessage دو جفت کلید ایجاد می کند: خصوصی و عمومی. پیامی که از صاحب یک دستگاه Apple دریافت می کنید با رمزگذاری که از یک کلید عمومی استفاده می کند به شما منتقل می شود. فقط با استفاده از کلید خصوصی گیرنده که در دستگاه او ذخیره می شود، رمزگشایی می شود. می‌توانید در مورد اینکه اپل چگونه به حریم خصوصی کاربران نگاه می‌کند و در صورت دریافت درخواستی از دولت چه خواهد کرد، بخوانید اینجا. هیچ مورد ثبت شده ای مبنی بر انتقال داده های کاربران روسی توسط این شرکت به مقامات روسی ثبت نشده است.

منبع: https://www.apple.com/business/docs/iOS_Security_Guide.pdf

اما iMessage دو عیب دارد:

• شما می‌توانید از طریق این کانال‌ها فقط با همان مالک اپل مکاتبه کنید.
• اگر با اتصال به اینترنت خود مشکل دارید، پیام از طریق یک کانال تلفن همراه معمولی می رود و به یک پیام کوتاه ساده تبدیل می شود که به راحتی قابل رهگیری است.

برای جلوگیری از تبدیل iMessage به SMS، می توانید این ویژگی را در تنظیمات غیرفعال کنید.

محققان بنیاد مرز الکترونیکی مطالبه که هیچ گزینه صد در صد امنی برای تماس و پیام وجود ندارد. اگر برخی از پیام رسان ها از دستیابی مقامات به اطلاعات خصوصی شما جلوگیری می کنند، این بدان معنا نیست که هکرها (یا دولتی که می توانند از خدمات آنها استفاده کنند) نمی توانند با دور زدن قوانین این کار را انجام دهند. برای اینکه به کاربر اطمینان دهد که مردی میانی وجود ندارد، تلگرام یک ویژگی خوب دارد: هنگام تماس، هر دو گیرنده می توانند مطمئن شوند که ایموجی یکسان را در گوشه سمت راست بالای صفحه می بینند - این امر تایید می کند عدم وجود "نفوذ" در اتصال.

اگر به دنبال راه امن‌تری برای برقراری ارتباط هستید، توصیه می‌کنیم فراتر از چت‌های مخفی، گذرواژه‌ها و احراز هویت دومرحله‌ای/دو مرحله‌ای به برنامه‌های کمتر محبوبی مانند اعتماد کنید یا سیگنال.

من هر روز از سیگنال استفاده می کنم. #یادداشت برای اف بی آی (اسپویلر: آنها قبلاً می دانند)

فرستادن به ایمیل

شرکت های محبوبی که امکان استفاده از مشتریان ایمیل خود را فراهم می کنند (در روسیه اینها Yandex، Mail.Ru و Rambler هستند) در حال حاضر در رجیستری ARI گنجانده شده اند، به این معنی که آنها خیلی ایمن نیستند. بله، گروه Mail.Ru تماس برای توقف پرونده های جنایی برای میم ها و عفو برای کسانی که محکوم شده اند، اما می توانند در صورت درخواست اطلاعاتی در مورد داده های شما به مقامات ارائه دهند.

حتی اگر از کلاینت‌های ایمیل غربی مانند Gmail یا Outlook استفاده می‌کنید، احراز هویت دو مرحله‌ای را فعال کرده‌اید و می‌دانید که ایمیل شما با استفاده از پروتکل امن SSL/TLS رمزگذاری شده است، نمی‌توانید مطمئن باشید که ایمیل گیرنده شما به همان اندازه محافظت می‌شود.

گزینه های حفاظتی:

• هنگام ارسال اطلاعات حساس، ایمیل ها را با استفاده از Pretty Good Privacy رمزگذاری کنید (PGP). این برنامه کمک می کند تا داده های یک نامه را به مجموعه ای بی معنی از کاراکترها برای همه به جز فرستنده و گیرنده تبدیل کند.
• هنگام ارسال اطلاعات مهم، همیشه به دامنه گیرنده توجه کنید و به آدرس مشکوک ننویسید.
• از قبل با گیرنده بررسی کنید که آیا ارسال نامه یا جمع آوری نامه را از طریق سرویس پست روسیه تنظیم کرده است یا خیر.

در مورد شرکت های داخلی از رجیستری ORI، اصولاً هیچ رمزگذاری در سمت کاربر کمکی نخواهد کرد. اطلاعات رهگیری نمی شود، بلکه توسط نقاط پایانی - خدمات مشابه - ذخیره و منتقل می شود. تنها راه حل می تواند جایگزینی آنها با آنالوگ های امن تر مانند ProtonMail، Tutanota یا Hushmail باشد. بیشتر از این خدمات ایمیل را می توان در یافت این صفحه

شبکه های اجتماعی

برای شروع، حضور خود را در شبکه های اجتماعی محبوب روسیه - "دنیای من"، "Odnoklassniki" و "VKontakte" به حداقل برسانید. حداقل فیس بوک اطلاعات شما را به سازمان های اطلاعاتی روسیه تحویل نمی دهد. حداقل چنین موردی ثبت نشده است.

اما جالب است که در سال 2017، این شرکت همچنان 85 درصد از درخواست های دولت ایالات متحده را برآورده کرد:

اسکرین شات از گزارش شفافیت فیس بوک

اگر بیش از حد به VK عادت دارید، اما نمی‌خواهید در حوضخانه قرار بگیرید، به چند نکته توجه کنید:

• تصاویر ذخیره شده شما؛
• پست ها، نظرات و پیام هایی که می نویسید؛
• پست هایی که دوست دارید؛
• پست هایی که به اشتراک می گذارید؛
• کاربرانی که با آنها دوست هستید

در تمام موارد فوق، بهتر است از هر چیزی که می تواند توهین آمیز یا افراطی تلقی شود خودداری کنید. همیشه به یاد داشته باشید که "اشتراک گذاری" به معنای انتقال اطلاعات "غیرقانونی" به حداقل یک نفر است. وکیل گروه بین المللی حقوق بشر "Agora" Damir Gainutdinov ادعا می کند که طبق قانون، ORI موظف به ذخیره و انتقال است حتی پیش نویس پیام های ارسال نشده به سازمان های مجری قانون. در مورد نحوه عدم گرفتار شدن برای ارسال مجدد بیشتر بخوانید اینجا.

به هر حال، مدتی است که هر کسی که شماره تلفن شما را دارد می تواند به طور پیش فرض شما را در VKontakte پیدا کند، حتی اگر خود صفحه هویت واقعی شما را فاش نکند.

می‌توانید در تنظیمات نمایه خود (تنظیمات -> حریم خصوصی -> تماس با من) از پیدا کردن شما توسط شماره جلوگیری کنید.. اما این، البته، شما را از خدمات ویژه نجات نخواهد داد. از تماس ها و ارتباطات ویدیویی در VKontakte استفاده نکنید: همانطور که دولت ادعا می کند مشخص نیست که آیا شبکه واقعاً آنها را به صورت انتها به انتها رمزگذاری می کند یا خیر.

امنیت وب سایت

تنها خبر خوب این است بیش از نیمی همه سایت های محبوب در اینترنت از قبل دارای نسخه https هستند یا به طور کامل به استفاده از نسخه های https روی آورده اند. اطلاعات دریافت و ارسال شده در چنین سایت هایی رمزگذاری شده است و توسط اشخاص ثالث قابل خواندن نیست. چنین منابعی با رنگ سبز و کلمه "حفاظت شده" مشخص شده اند.

اینجاست که خبرهای خوب به پایان می رسد. با وجود پروتکل https، واقعیت بازدید از چنین سایتی و درخواست های DNS (اطلاعاتی در مورد اینکه به کدام دامنه ها دسترسی داشته اید) همچنان برای ارائه دهنده اینترنت قابل مشاهده است.

اما یک خبر دیگر حتی بدتر است: نیمی از بقیه سایت ها با استفاده از پروتکل http معمولی کار می کنند، یعنی بدون رمزگذاری داده ها. راه حل می تواند یک VPN باشد که کاملاً تمام داده های دریافتی و ارسال شده را رمزگذاری می کند تا هیچ اطلاعات قابل خواندنی در سمت ارائه دهنده اینترنت و هر کسی که سعی می کند بین شما و سایت نهایی نفوذ کند وجود نداشته باشد. تنها چیزی که قابل مشاهده خواهد بود، اتصال به یک آدرس IP خاص در اینترنت (یعنی به یک سرور VPN) است. و نه چیزی بیشتر.

اگر زندگی واقعاً ناگهان به این سادگی شود خوشحال خواهیم شد: VPN را روشن کنید و نشت اطلاعات حساس را فراموش کنید. اما این درست نیست. به طور مرتب بررسی کنید که آیا منبع مورد علاقه شما در رجیستری ARI گنجانده شده است، نحوه تعامل آن با مقامات را کنترل کنید، اتصالات فعال را در تنظیمات پیام رسان های فوری و شبکه های اجتماعی بررسی کنید و موارد مشکوک را بازنشانی کنید (و سپس مطمئن شوید که رمز عبور را تغییر دهید).

در سطح جهانی

هنگام کار با کانال های ارتباطی و انتقال داده، تنها یک رویکرد جامع به امنیت و حریم خصوصی منطقی است. رویدادهای امنیت اینترنت را در کانال تلگرام ما دنبال کنید @hidemyname_ru، در سایت روسکومسوبودا و سایر منابع اختصاص داده شده به رویدادها در اینترنت و RuNet به ویژه.

چه اقدامات ایمنی انجام می دهید؟

منبع: www.habr.com