Hei Habr.
Tämä on me, VPN-palvelu . Työskentelemme tällä hetkellä väliaikaisesti HideMyna.me-peilin parissa. Miksi? 20. heinäkuuta 2018 Roskomnadzor lisäsi meidät Joškar-Olan Medvedevskin käräjäoikeuden päätöksen vuoksi. Tuomioistuin päätti, että sivustomme vierailijoilla on rajoittamaton pääsy ääriaineisiin #ilman rekisteröintiä, ja jollain tapaa löysi sieltä Adolf Hitlerin kirjan "Mein Kampf". Ilmeisesti luotettavuuden vuoksi.
Tämä päätös yllätti meidät suuresti, mutta jatkamme työskentelyä sivustoilla hidemyna.me, hidemyname.org, .one, .biz jne. Pitkään jatkunut kiista Roskomnadzorin kanssa ei johtanut mihinkään tulokseen. Samalla kun asianajajani ja minä haastamme eston ja taianomaisen oikeuden päätöksen, jaamme kanssasi perusvinkkejä yksityisyyden säilyttämiseen Internetissä ja uutisia tästä aiheesta.
Edward Snowden rakastaa kansallista turvallisuusvirastoa (luultavasti)
Ei ole mikään salaisuus, että suositut venäläiset palvelut ovat vaarallisia. Kirjeenvaihtosi voi milloin tahansa joutua kotimaisten lainvalvontaviranomaisten tietoon. Kerromme, mitä sinun tulee muistaa, kun kommunikoit eri viestintäkanavien kautta.
SORM ja ORI
On tapoja napauttaa puhelintasi. Virallinen ja oikeudellinen - SORM, teknisten keinojen järjestelmä operatiivisen tutkintatoiminnan toiminnan varmistamiseksi. Venäjän federaation lain mukaan kaikkien matkapuhelinoperaattoreiden on asennettava tällainen järjestelmä vaihteeseensa, jos he eivät halua menettää toimilupaansa. SORM-tyyppejä on kolmenlaisia: ensimmäinen keksittiin 80-luvulla, toinen otettiin käyttöön 2014-luvulla, ja kolmatta on yritetty pakottaa operaattoreihin vuodesta XNUMX lähtien. Useimmat käyttäjät käyttävät toista tyyppiä, mutta 70 %:ssa tapauksista järjestelmä ei toimi oikein tai ei toimi ollenkaan. On kuitenkin parempi olla keskustelematta arkaluonteisista aiheista lankapuhelimessa tai tavallisen matkapuhelimen puhelun kautta.
SORM-2:n toimintasuunnitelma (Lähde: mfisoft.ru)
97-FZ:n mukaan kaikki Venäjällä toimivat sanansaattajat, palvelut ja sivustot on sisällytettävä rekisteriin . tekijältä ""Heidän on säilytettävä kaikki käyttäjätiedot, mukaan lukien äänipuhelut ja kirjeenvaihto, kuuden kuukauden ajan. Muuten, ARI:ssa on myös Habrahabr.
Rekisterin toiminta kuvataan yksityiskohtaisesti käyttämällä esimerkkinä Threemaa, mutta pääjohtopäätös on tämä: nyt Venäjän viranomaisten pyynnöstä kaikki sinua koskevat tiedot voivat päätyä lainvalvontaviranomaisiin. Siksi ensimmäinen asia, joka on tehtävä luottamuksellisuuden säilyttämiseksi, on siirtää puhelut ja viestit pikaviestintäpalveluihin, joita ei ole ARI-rekisterissä. Tai ne, jotka ovat siellä, mutta kieltäytyvät siirtämästä tietoja viranomaisille - kuten Threema ja Telegram.
Todistus: Pelkkä ARI-rekisterissä oleminen ei takaa tietojen siirtymistä viranomaisille. Sinun on seurattava jatkuvasti uutisia ja katsottava sanansaattajan reaktiota, kun he "tulevat" hänen luokseen.
Puhelut ja viestit
Keskustelumme ja viestimme voidaan suojata kolmansien osapuolien häiriöiltä päästä-päähän-salauksella, minkä vuoksi E2E-lähettimiä pidetään turvallisimpana. Mutta tämä ei ole täysin totta: katsotaanpa suosittuja vaihtoehtoja.
Telegram päästä päähän -salauksen salaisia keskustelujaan ja tallentaa salattuja tietoja kirjeenvaihdostasi pilveen, joka on hajallaan eri maihin, joilla on "turvallinen" lainkäyttövalta. Mutta jälkeen Habréssa voit alkaa epäillä Durovin E2E:n Telegram Passportin turvallisuuden illuusiota.
Tietysti salaiset keskustelut ovat edelleen hyvä vaihtoehto vainoharhaisille. Palvelin ei osallistu niiden salaukseen ollenkaan: viestit välitetään vertaisverkkona eli suoraan kirjeenvaihdon osallistujien välillä. Mielenrauhan lisäämiseksi voit käyttää ajastinviestien itsetuhotoimintoa. Mutta sinun ei pitäisi sokeasti luottaa Telegramiin. Jotta se olisi hieman turvallisempi, sinun ja vastaanottajasi on mentävä Messengerin asetuksiin ja tehtävä vähintään kaksi asiaa:
- Aseta salasana kirjautuessasi sovellukseen (Tietosuoja ja turvallisuus -> Passcode);
- Ota kaksivaiheinen vahvistus käyttöön (Tietosuoja ja turvallisuus -> Kahden vaiheen vahvistus).
Tämän jälkeen sovellus kysyy tekstiviestistä tulevan koodin lisäksi kirjautuessaan sisään uudelta laitteelta salasanaa, jonka vain sinä tiedät.
Tällä hetkellä vain tekstiviestillä tapahtuva kirjautumisvahvistus ei suojaa millään tavalla venäläistä SIM-korttia käyttävää henkilöä. Tapaukset Telegram-tilien hakkeroinnista siepatun tekstiviestin kautta ovat jo tiedossa - vuonna 2016 hyökkääjät useiden oppositiopuolueiden kirjeenvaihtoon ja vuonna 2017 Dozhd-toimittajan Mihail Rubinin kertomus.
WhatsApp toistaiseksi se välttää ORI-rekisteriä ja käyttää myös päästä päähän -salausta, mutta kaikki ei ole sen kanssa niin ruusuista. Julkaisimme äskettäin Magadanin asukkaista, jotka joutuivat rikosoikeudenkäynnin kohteeksi kaupungin pormestarin kritisoinnista. Tämä tarina päättyi onneksi tavalliseen hienoon. Mutta se vahvisti käyttäjien pelot: WhatsApp-ryhmäkeskusteluissa ei ole turvallista kommunikoida.
Mitä tapahtuu?
- Heti kun kirjoitat viestin, puhelinnumerosi tulee välittömästi kaikkien ryhmän jäsenten saataville. Ja henkilöllisyytesi on helppo määrittää numeron perusteella.
Mitä tehdä?
- Ratkaisu voisi olla "vasen" SIM-kortti tai ulkomainen numero – mieluiten eurooppalainen.
Jos käytät venäläistä korttia, joka on rekisteröity nimellesi, vältä sarkastisia kommentteja ryhmissä, joiden nimi on "Eroudu kaupunginjohtajan puolesta": on parempi jättää vain henkilökohtainen kirjeenvaihto ja puhelut WhatsAppiin.
Viber ei myöskään ole ORI-rekisterissä, mutta pitää yhteyttä Venäjän viranomaisiin (vapaana aikana roskapostin lähettämisestä). Tämä sanansaattaja oli yksi ensimmäisistä, joka täytti uudet hallituksen vaatimukset: se tallentaa venäläisten käyttäjien kirjautumistunnukset ja puhelinnumerot Venäjän federaation alueella, mutta tarjoaa viestitietoja — viittaa päästä päähän -salauksen mekaniikkaan ja yrityspolitiikkaan.
omena käyttää myös päästä päähän, mutta rekisteröityessään iMessageen se luo kaksi avainparia: yksityisen ja julkisen. Viesti, jonka saat samalta Apple-laitteen omistajalta, välitetään sinulle salauksella, joka käyttää julkista avainta. Sen salaus voidaan purkaa vain vastaanottajan laitteelle tallennetulla yksityisellä avaimella. Voit lukea siitä, kuinka Apple suhtautuu käyttäjien yksityisyyteen ja mitä se tekee, jos se saa pyynnön hallitukselta Tapauksia, joissa yritys olisi siirtänyt tietoja venäläisiltä käyttäjiltä Venäjän viranomaisille, ei ole kirjattu.
Lähde:
Mutta iMessagella on kaksi haittaa:
- Voit kirjoittaa tai soittaa näiden kanavien kautta vain samalle Applen omistajalle;
- Jos sinulla on ongelmia Internet-yhteyden kanssa, viesti kulkee tavallisen matkapuhelinkanavan kautta ja siitä tulee yksinkertainen tekstiviesti, joka voidaan helposti siepata.
Voit estää iMessagen muuttumisen tekstiviestiksi poistamalla tämän ominaisuuden käytöstä asetuksista.
Electronic Frontier Foundationin tutkijat että puheluille ja viesteille ei ole sataprosenttisen turvallista vaihtoehtoa. Jos jotkut sanansaattajat estävät viranomaisia saamasta yksityisiä tietojasi, tämä ei tarkoita, että hakkerit (tai valtio, joka voi käyttää heidän palveluitaan) ei voisi tehdä tätä kiertämällä lakeja. Antaakseen käyttäjälle varmuuden siitä, ettei miestä keskellä ole, Telegramissa on mukava ominaisuus: soittaessaan molemmat vastaanottajat voivat varmistaa, että he näkevät saman emojin näytön oikeassa yläkulmassa - tämä vahvistaa "tunkeutumisen" puuttuminen yhteyteen.
Jos etsit turvallisempaa tapaa kommunikoida, suosittelemme etsimään salaisia keskusteluja, salasanoja ja kaksivaiheista/kaksivaiheista todennusta ja vähemmän suosittuja niche-sovelluksia, kuten tai .
Käytän Signalia joka päivä. #notesforFBI (Spoileri: he jo tietävät)
Suositut yritykset, jotka mahdollistavat sähköpostiohjelmiensa käytön (Venäjällä nämä ovat Yandex, Mail.Ru ja Rambler), ovat jo mukana ARI-rekisterissä, mikä tarkoittaa, että ne eivät ole kovin turvallisia. Kyllä, Mail.Ru Group rikosasioita meemeille ja armahdusta tuomituille, mutta voi pyynnöstä antaa tietojasi tiedoistasi viranomaisille.
Vaikka käyttäisit länsimaisia sähköpostiohjelmia, kuten Gmailia tai Outlookia, kaksivaiheinen todennus olisi käytössä ja tiedät, että sähköpostisi on salattu suojatulla SSL/TLS-protokollalla, et voi olla varma, että vastaanottajan sähköposti on yhtä suojattu.
Suojausvaihtoehdot:
- Kun lähetät arkaluontoisia tietoja, salaa sähköpostit Pretty Good Privacy -toiminnolla (). Tämä ohjelma auttaa muuttamaan kirjeen tiedot merkityksettömäksi merkkijoukoksi kaikille paitsi lähettäjälle ja vastaanottajalle;
- Kun lähetät tärkeitä tietoja, kiinnitä aina huomiota vastaanottajan verkkotunnukseen äläkä kirjoita epäilyttävään osoitteeseen;
- Tarkista vastaanottajalta etukäteen, onko hän asettanut edelleenlähetyksen tai postin noudon Venäjän postipalvelun kautta.
Kotimaisten yritysten kohdalla ORI-rekisteristä ei periaatteessa auta mikään salaus käyttäjäpuolella. Tietoja ei siepata, vaan päätepisteet - vastaavat palvelut - tallentavat ja välittävät. Ainoa ratkaisu on korvata ne turvallisemmilla analogeilla, kuten ProtonMail, Tutanota tai Hushmail. Lisää tällaisia sähköpostipalveluita löytyy osoitteesta sivu.
Sosiaaliset verkostot
Aluksi minimoi läsnäolosi suosituissa venäläisissä sosiaalisissa verkostoissa - "My World", "Odnoklassniki" ja "VKontakte". Facebook ei ainakaan luovuta tietojasi Venäjän tiedustelupalveluille. Tällaisia tapauksia ei ainakaan ole kirjattu.
Mutta on mielenkiintoista, että vuonna 2017 yritys täytti edelleen 85 prosenttia Yhdysvaltain hallituksen pyynnöistä:
Kuvakaappauksia kohteesta
Jos olet liian tottunut VK:hen, mutta et halua joutua telakkaan, kiinnitä huomiota muutamaan asiaan:
- tallennetut kuvat;
- kirjoittamasi viestit, kommentit ja viestit;
- viestit, joista pidät;
- jakamasi viestit;
- käyttäjät, joiden kanssa olet ystäviä.
Kaikessa edellä mainitussa on parasta välttää kaikkea, mitä voidaan pitää loukkaavana tai äärimmäisenä. Muista aina, että "jakaminen" tarkoittaa "laittomien" tietojen välittämistä vähintään yhdelle henkilölle. Kansainvälisen ihmisoikeusryhmän "Agora" asianajaja Damir Gainutdinov väittää, että lain mukaan ORI jopa luonnoksia lainvalvontaviranomaisille lähettämättömistä viesteistä. Lue lisää siitä, kuinka olla jäämättä kiinni uudelleenpostittamisesta
Muuten, jo jonkin aikaa kuka tahansa, jolla on puhelinnumerosi, voi löytää sinut oletuksena VKontaktesta, vaikka sivu itse ei paljasta todellista henkilöllisyyttäsi.
Voit estää ihmisiä löytämästä sinua numeron perusteella profiilisi asetuksissa (Asetukset -> Tietosuoja -> Ota yhteyttä). Mutta tämä ei tietenkään pelasta sinua erikoispalveluista. Älä käytä puheluita ja videoviestintää VKontaktessa: ei tiedetä, salaako verkko todella ne päästä päähän, kuten hallinto väittää.
Verkkosivuston turvallisuus
Ainoa hyvä uutinen on se Kaikilla Internetin suosituilla sivustoilla on jo https-versio tai ne ovat täysin siirtyneet käyttämään vain https-versioita. Tällaisilla sivustoilla vastaanotetut ja välitetyt tiedot ovat salattuja, eivätkä kolmannet osapuolet voi lukea niitä. Tällaiset resurssit on merkitty vihreällä ja sanalla "suojattu".
Siihen hyvät uutiset loppuvat. https-protokollasta huolimatta Internet-palveluntarjoaja näkee silti tällaisen sivuston vierailun ja DNS-pyynnöt (tiedot käyttämistäsi verkkotunnuksista).
Mutta toinen uutinen on vielä pahempi: loput puolet sivustoista toimivat tavallisella http-protokollalla, eli ilman tietojen salausta. Ratkaisu voisi olla VPN, joka salaa täysin kaikki vastaanotetut ja lähetetyt tiedot, jotta Internet-palveluntarjoajan ja kenenkään, joka yrittää tunkeutua sinun ja loppusivuston väliin, puolella ei ole luettavaa tietoa. Ainoa asia, joka näkyy, on yhteyden muodostaminen tiettyyn IP-osoitteeseen Internetissä (eli VPN-palvelimeen). Eikä mitään muuta.
Olemme iloisia, jos elämästä tulee yhtäkkiä niin yksinkertaista: laita VPN päälle ja unohda arkaluonteisten tietojen vuotaminen. Mutta se ei ole totta. Tarkista säännöllisesti, onko suosikkiresurssi ARI-rekisterissä, seuraa sen vuorovaikutusta viranomaisten kanssa, tarkista aktiiviset yhteydet pikaviestien ja sosiaalisten verkostojen asetuksista ja nollaa epäilyttävät (ja muista sitten vaihtaa salasanat).
maailmanlaajuisesti
Viestintäkanavien ja tiedonsiirron parissa vain kokonaisvaltainen lähestymistapa turvallisuuteen ja yksityisyyteen on järkevää. Seuraa Internet-tietoturvatapahtumia Telegram-kanavallamme , sivustolla ja muut resurssit, jotka on omistettu tapahtumille Internetissä ja erityisesti RuNetissä.
Mitä turvallisuustoimenpiteitä olet tekemässä?
Lähde: will.com