Hé Habr.
C'est nous, service VPN . Nous travaillons actuellement temporairement sur le miroir HideMyna.me. Pourquoi? Le 20 juillet 2018, Roskomnadzor nous a ajouté en raison de la décision du tribunal du district Medvedevsky de Yoshkar-Ola. Le tribunal a statué que les visiteurs de notre site avaient un accès illimité aux documents extrémistes #sans enregistrementisme, et y a trouvé le livre « Mein Kampf » d'Adolf Hitler. Apparemment, pour la fiabilité.
Cette décision nous a beaucoup surpris, mais nous continuons à travailler sur hidemyna.me, hidemyname.org, .one, .biz, etc. Une longue dispute avec Roskomnadzor n'a abouti à aucun résultat. Pendant que mes avocats et moi contestons le blocage et la décision magique du tribunal, nous partageons avec vous des conseils de base pour préserver la confidentialité sur Internet et des actualités à ce sujet.
Edward Snowden adore la National Security Agency (probablement)
Ce n’est un secret pour personne que les services russes populaires ne sont pas sûrs. Votre correspondance peut à tout moment être portée à l'attention des autorités chargées de l'application des lois nationales. Nous vous expliquons ce dont vous devez vous souvenir lorsque vous communiquez via différents canaux de communication.
SORM et ORI
Il est façons de mettre votre téléphone sur écoute. Officiel et légal - SORM, un système de moyens techniques pour assurer les fonctions d'activités d'enquête opérationnelles. Selon la loi de la Fédération de Russie, tous les opérateurs de téléphonie mobile sont tenus d'installer un tel système sur leurs PBX s'ils ne veulent pas perdre leur licence. Il existe trois types de SORM : le premier a été inventé dans les années 80, le second a commencé à être mis en œuvre dans les années 2014, et on tente d'imposer le troisième aux opérateurs depuis XNUMX. , la plupart des opérateurs utilisent le deuxième type, mais dans 70 % des cas le système ne fonctionne pas correctement ou ne fonctionne pas du tout. Cependant, il est toujours préférable de ne pas discuter de sujets sensibles sur un téléphone fixe ou via un appel régulier depuis un téléphone portable.
Schéma de fonctionnement de SORM-2 (Source : mfisoft.ru)
Selon 97-FZ, tous les messagers, services et sites opérant en Russie doivent être inscrits au registre . Par "« Ils sont tenus de conserver toutes les données des utilisateurs, y compris les enregistrements d'appels vocaux et la correspondance, pendant six mois. À propos, ARI a également Habrahabr.
Le fonctionnement du registre est décrit en détail en prenant Threema comme exemple, mais la conclusion principale est la suivante : désormais, à la demande des autorités russes, toute information vous concernant peut se retrouver dans les forces de l'ordre. Par conséquent, la première chose à faire pour préserver la confidentialité est de transférer les appels et les messages vers des messageries instantanées, qui ne figurent pas dans le registre ARI. Ou ceux qui sont là, mais refusent de transférer les données aux autorités – comme Threema et Telegram.
Certificat: Le simple fait d'être inscrit au registre ARI ne garantit pas que les données seront transférées aux autorités. Vous devez constamment surveiller l’actualité et observer la réaction du messager lorsqu’il « vient » le chercher.
Appels vocaux et messages
Nos conversations et messages peuvent être protégés des interférences de tiers grâce à un cryptage de bout en bout, c'est pourquoi les messageries avec E2E sont considérées comme les plus sécurisées. Mais ce n’est pas tout à fait vrai : examinons les options populaires.
Telegram cryptage de bout en bout dans leurs discussions secrètes et stocke les données cryptées sur votre correspondance dans le cloud, qui sont dispersées dans différents pays avec une juridiction « sûre ». Mais après sur Habré, vous pouvez commencer à douter de l'illusion de sécurité du Telegram Passport en E2E de Durov.
Bien sûr, les discussions secrètes restent une bonne option pour les paranoïaques. Le serveur n'intervient pas du tout dans leur cryptage : les messages sont transmis en peer-to-peer, c'est-à-dire directement entre les participants à la correspondance. Pour plus de tranquillité d'esprit, vous pouvez utiliser la fonction d'autodestruction des messages de minuterie. Mais vous ne devriez pas vous fier aveuglément à Telegram. Pour le rendre un peu plus sécurisé, vous et votre destinataire devez accéder aux paramètres de messagerie et faire au moins deux choses :
- Définissez un mot de passe lors de la connexion à l'application (Confidentialité et sécurité -> Code d'accès);
- Activer la vérification en deux étapes (Confidentialité et sécurité -> Two-Step vérification).
Après cela, en plus du code du SMS, lors de la connexion depuis un nouvel appareil, l'application vous demandera un mot de passe que vous seul connaissez.
Actuellement, la confirmation de connexion uniquement par SMS ne protège en aucun cas une personne utilisant une carte SIM russe. Des cas de piratage de comptes Telegram via un message SMS intercepté sont déjà connus - en 2016, des attaquants à la correspondance de plusieurs opposants, et en 2017 récit du journaliste de Dozhd Mikhaïl Rubin.
WhatsApp pour l'instant, il évite le registre ORI et utilise également le cryptage de bout en bout, mais tout n'est pas si rose avec lui. Nous avons récemment publié sur les habitants de Magadan qui ont fait l'objet d'une procédure pénale pour avoir critiqué le maire de la ville. Cette histoire s’est heureusement terminée par l’amende habituelle. Mais cela a confirmé les craintes des utilisateurs : il n’est pas sûr de communiquer dans les discussions de groupe WhatsApp.
Qu'est-ce qui va arriver?
- Dès que vous écrivez un message, votre numéro de téléphone deviendra immédiatement disponible pour tous les membres du groupe. Et votre identité peut être facilement déterminée par le numéro.
Que faire?
- La solution pourrait être une carte SIM « gauche » ou un numéro étranger – de préférence européen.
Si vous utilisez une carte russe enregistrée à votre nom, évitez les commentaires sarcastiques dans les groupes portant des noms comme « Démission pour le maire » : il est préférable de ne laisser que la correspondance personnelle et les appels pour WhatsApp.
Viber n'est pas non plus répertorié dans le registre ORI, mais maintient la communication avec les autorités russes (pendant son temps libre après l'envoi de spam). Ce messager a été l'un des premiers à se conformer aux nouvelles exigences gouvernementales : il stocke les identifiants et les numéros de téléphone des utilisateurs russes sur le territoire de la Fédération de Russie, mais fournit les données des messages. — fait référence aux mécanismes de chiffrement de bout en bout et à la politique de l'entreprise.
Apple utilise également de bout en bout, mais lors de l'enregistrement sur iMessage, il crée deux paires de clés : privée et publique. Le message que vous recevez du même propriétaire d'un appareil Apple vous est transmis avec cryptage, qui utilise une clé publique. Il ne peut être décrypté qu'à l'aide de la clé privée du destinataire, stockée sur son appareil. Vous pouvez découvrir comment Apple considère la confidentialité des utilisateurs et ce qu'il fera s'il reçoit une demande du gouvernement. Aucun cas de transfert de données d’utilisateurs russes vers les autorités russes n’a été enregistré.
Source:
Mais iMessage présente deux inconvénients :
- Vous pouvez écrire ou appeler via ces canaux uniquement au même propriétaire Apple ;
- Si vous rencontrez des problèmes avec votre connexion Internet, le message passera par un canal cellulaire classique et deviendra un simple SMS facilement interceptable.
Pour éviter qu'iMessage ne se transforme en SMS, vous pouvez désactiver cette fonctionnalité dans Paramètres.
Chercheurs de l’Electronic Frontier Foundation qu'il n'existe pas d'option sûre à cent pour cent pour les appels et les messages. Si certains messagers empêchent les autorités d'obtenir vos données privées, cela ne veut pas dire que les pirates (ou l'État, qui peut utiliser leurs services) ne peuvent pas le faire en contournant les lois. Pour donner à l'utilisateur l'assurance qu'il n'y a pas d'homme au milieu, Telegram dispose d'une fonctionnalité intéressante : lors d'un appel, les deux destinataires peuvent s'assurer qu'ils voient le même emoji dans le coin supérieur droit de l'écran - cela confirmera le absence d'« intrusion » dans la connexion.
Si vous recherchez un moyen de communication plus sécurisé, nous vous recommandons de regarder au-delà des discussions secrètes, des mots de passe et de l'authentification en deux étapes/à deux facteurs pour vous tourner vers des applications de niche moins populaires comme ou .
J'utilise Signal tous les jours. #notesforFBI (Spoiler : ils le savent déjà)
Les entreprises populaires qui permettent d'utiliser leurs clients de messagerie (en Russie, il s'agit de Yandex, Mail.Ru et Rambler) sont déjà incluses dans le registre ARI, ce qui signifie qu'elles ne sont pas très sûres. Oui, le groupe Mail.Ru affaires pénales pour les mèmes et amnistie pour les personnes reconnues coupables, mais peut fournir des informations sur vos données aux autorités sur demande.
Même si vous utilisez des clients de messagerie occidentaux comme Gmail ou Outlook, que l'authentification à deux facteurs est activée et que vous savez que votre courrier électronique est crypté à l'aide d'un protocole SSL/TLS sécurisé, vous ne pouvez pas être sûr que le courrier électronique de votre destinataire est également protégé.
Options de protection :
- Lorsque vous envoyez des informations sensibles, chiffrez les e-mails à l'aide de Pretty Good Privacy (). Ce programme permet de transformer les données d'une lettre en un ensemble de caractères dénués de sens pour tout le monde sauf l'expéditeur et le destinataire ;
- Lorsque vous envoyez des informations importantes, faites toujours attention au domaine du destinataire et n’écrivez pas à une adresse suspecte ;
- Vérifiez au préalable auprès du destinataire s'il a mis en place une réexpédition ou une collecte du courrier via le service postal russe.
Dans le cas des entreprises nationales inscrites au registre ORI, aucun cryptage du côté de l'utilisateur n'est en principe utile. Les informations ne sont pas interceptées, mais stockées et transmises par des points finaux – des services similaires. La seule solution peut être de les remplacer par des analogues plus sécurisés comme ProtonMail, Tutanota ou Hushmail. D'autres services de messagerie de ce type peuvent être trouvés sur page
Réseaux Sociaux
Pour commencer, minimisez votre présence sur les réseaux sociaux russes populaires - « My World », « Odnoklassniki » et « VKontakte ». Au moins, Facebook ne transmet pas vos données aux agences de renseignement russes. Du moins, aucun cas de ce type n’a été enregistré.
Mais il est intéressant de noter qu’en 2017, l’entreprise satisfaisait encore 85 % des demandes du gouvernement américain :
Captures d'écran de
Si vous êtes trop habitué à VK, mais que vous ne voulez pas vous retrouver sur le banc des accusés, faites attention à quelques points :
- vos photos enregistrées ;
- les publications, commentaires et messages que vous écrivez ;
- les publications que vous aimez ;
- les publications que vous partagez ;
- les utilisateurs avec lesquels vous êtes amis.
Dans tout ce qui précède, il est préférable d’éviter tout ce qui pourrait être considéré comme offensant ou extrémiste. N’oubliez jamais que « partager » signifie communiquer des informations « illégales » à au moins une personne. L'avocat du groupe international de défense des droits de l'homme "Agora" Damir Gainutdinov affirme que conformément à la loi, ORI même des brouillons de messages non envoyés aux forces de l'ordre. En savoir plus sur comment ne pas se faire prendre pour une republication
D'ailleurs, depuis quelque temps, toute personne disposant de votre numéro de téléphone peut vous trouver par défaut sur VKontakte, même si la page elle-même ne révèle pas votre véritable identité.
Vous pouvez empêcher les gens de vous trouver par numéro dans les paramètres de votre profil (Paramètres -> Confidentialité -> Contactez-moi). Mais cela, bien sûr, ne vous épargnera pas les services spéciaux. N'utilisez pas d'appels et de communications vidéo sur VKontakte : on ne sait pas si le réseau les crypte réellement de bout en bout, comme le prétend l'administration.
Sécurité du site Web
La seule bonne nouvelle c'est que Tous les sites populaires sur Internet disposent déjà d'une version https ou sont complètement passés à l'utilisation uniquement des versions https. Les informations reçues et transmises sur ces sites sont cryptées et ne peuvent être lues par des tiers. Ces ressources sont marquées en vert et avec le mot « protégé ».
C'est là que s'arrête la bonne nouvelle. Malgré le protocole https, le fait de visiter un tel site et les requêtes DNS (informations sur les domaines auxquels vous avez accédé) restent visibles pour le fournisseur d'accès Internet.
Mais une autre nouvelle est encore pire : la moitié restante des sites fonctionnent avec le protocole http habituel, c'est-à-dire sans cryptage des données. La solution pourrait être un VPN, qui crypte absolument toutes les données reçues et transmises afin qu'il n'y ait aucune information lisible du côté du fournisseur Internet et de toute personne tentant de s'infiltrer entre vous et le site final. La seule chose qui sera visible est le fait de se connecter à une certaine adresse IP sur Internet (c'est-à-dire à un serveur VPN). Et rien de plus.
Nous serions heureux si la vie devenait soudainement si simple : activez le VPN et oubliez la fuite d'informations sensibles. Mais ce n'est pas vrai. Vérifiez régulièrement si votre ressource préférée est incluse dans le registre ARI, surveillez comment elle interagit avec les autorités, vérifiez les connexions actives dans les paramètres des messageries instantanées et des réseaux sociaux et réinitialisez les connexions suspectes (puis assurez-vous de changer les mots de passe).
à l'échelle mondiale
Lorsque l’on travaille avec les canaux de communication et le transfert de données, seule une approche globale de la sécurité et de la confidentialité a du sens. Suivez les événements de sécurité Internet sur notre chaîne Telegram , sur le site et sur d'autres ressources dédiées aux événements sur Internet et RuNet en particulier.
Quelles mesures de sécurité prenez-vous ?
Source: habr.com