Hey Habr.
Seo linn, seirbhís VPN . Táimid ag obair go sealadach ar an scáthán HideMyna.me faoi láthair. Cén fáth? Ar 20 Iúil, 2018 chuir Roskomnadzor chugainn mar gheall ar chinneadh na Cúirte Dúiche Medvedevsky i Yoshkar-Ola. Rialaigh an chúirt go bhfuil rochtain neamhtheoranta ag cuairteoirí ar ár suíomh ar ábhair antoisceacha #gan chlárúcháin, agus fuair sí an leabhar “Mein Kampf” le Adolf Hitler air ar bhealach éigin. Réir dealraimh, le haghaidh iontaofacht.
Chuir an cinneadh seo an-iontas orainn, ach leanaimid orainn ag obair ar hidemyna.me, hidemyname.org, .one, .biz, etc. Níor tháinig aon toradh ar argóint fhadtréimhseach le Roskomnadzor. Cé go bhfuil mo dhlíodóirí agus mé féin ag tabhairt aghaidh ar an mbac agus ar chinneadh draíochta na cúirte, táimid ag roinnt leideanna bunúsacha leat chun príobháideacht a choinneáil ar an Idirlíon agus nuacht ar an ábhar seo.
Is breá le Edward Snowden an Ghníomhaireacht Náisiúnta Slándála (is dócha)
Níl sé aon rún go bhfuil seirbhísí tóir Rúisis neamhshábháilte. Féadfaidh oifigeach um fhorghníomhú an dlí baile aird a thabhairt ar do chomhfhreagras tráth ar bith. Inseoimid duit cad is gá duit a mheabhrú agus tú ag déanamh cumarsáide trí bhealaí éagsúla cumarsáide.
SORM agus ORI
Tá bealaí chun do ghuthán a thapáil. Oifigiúil agus dlíthiúil - SORM, córas modhanna teicniúla chun feidhmeanna na ngníomhaíochtaí imscrúdaitheacha oibríochtúla a áirithiú. De réir an dlí i gCónaidhm na Rúise, ceanglaítear ar gach oibreoir ceallacha córas den sórt sin a shuiteáil ar a PBXanna mura bhfuil siad ag iarraidh a gceadúnas a chailleadh. Tá trí chineál SORM ann: ceapadh an chéad cheann sna 80í, thosaigh an dara ceann á chur i bhfeidhm sna 2014í, agus tá siad ag iarraidh an tríú ceann a fhorchur ar oibreoirí ó XNUMX i leith. , úsáideann an chuid is mó d'oibreoirí an dara cineál, ach i 70% de na cásanna ní oibríonn an córas i gceart nó ní oibríonn sé ar chor ar bith. Mar sin féin, tá sé níos fearr fós gan ábhair íogaire a phlé thar ghuthán líne talún nó trí ghlao rialta ó fhón póca.
Scéim oibriúcháin SORM-2 (Foinse: mfisoft.ru)
De réir 97-FZ, ní mór aon teachtairí, seirbhísí agus láithreáin a oibríonn sa Rúis a chur san áireamh sa chlár . le "“Ceanglaítear orthu na sonraí úsáideora go léir a stóráil, lena n-áirítear taifeadtaí guthaghlao agus comhfhreagras, ar feadh sé mhí. Dála an scéil, tá Habrahabr ag ARI freisin.
Déantar cur síos mionsonraithe ar oibriú na clárlainne Trí úsáid a bhaint as Threema mar shampla, ach is é an chonclúid is mó ná seo: anois, ar iarratas ó údaráis na Rúise, féadfaidh aon fhaisnéis fút a bheith i ngníomhaireachtaí forfheidhmithe dlí. Mar sin, is é an chéad rud atá le déanamh chun rúndacht a choinneáil ná glaonna agus teachtaireachtaí a aistriú chuig teachtairí meandracha, nach bhfuil sa chlár ARI. Nó iad siúd atá ann, ach diúltú sonraí a aistriú chuig na húdaráis - cosúil le Threema agus Telegram.
Teastas: Ní ráthaítear go n-aistreofar na sonraí chuig na húdaráis trí bheith i gclárlann ARI amháin. Ní mór duit monatóireacht leanúnach a dhéanamh ar an nuacht agus breathnú ar imoibriú an teachtaire nuair a "thagann" dó.
Glaonna gutha agus teachtaireachtaí
Is féidir ár gcomhráite agus ár dteachtaireachtaí a chosaint ó chur isteach tríú páirtí trí chriptiú ceann go deireadh, agus is é sin an fáth a mheastar gurb iad na teachtairí le E2E na cinn is sláine. Ach níl sé seo fíor go hiomlán: déanaimis féachaint ar roghanna coitianta.
Telegram criptiú ceann go deireadh ina gCainteanna Rúnda agus stórálann siad sonraí criptithe faoi do chomhfhreagras sa scamall, atá scaipthe ar fud na dtíortha éagsúla a bhfuil dlínse “sábháilte” acu. Ach tar éis ar Habré is féidir leat tosú a bheith in amhras faoi illusion slándála Pas Telegram in E2E ó Durov.
Ar ndóigh, tá Comhráite Rúnda fós ina rogha maith don paranoid. Níl baint ag an bhfreastalaí lena gcuid criptithe ar chor ar bith: tarchuirtear teachtaireachtaí ó phiara go piara, is é sin, go díreach idir na rannpháirtithe sa chomhfhreagras. Ar mhaithe le suaimhneas intinne breise, is féidir leat feidhm féin-scriosadh na teachtaireachta lasc ama a úsáid. Ach níor cheart duit brath go dall ar Telegram. Chun é a dhéanamh beagán níos sláine, caithfidh tú féin agus d’fhaighteoir dul chuig na socruithe teachtaire agus dhá rud ar a laghad a dhéanamh:
- Socraigh pasfhocal agus logáil isteach san fheidhmchlár (Príobháideacht agus Slándáil -> Passcode);
- Cumasaigh fíorú dhá chéim (Príobháideacht agus Slándáil -> Fíorú Dhá-Step).
Tar éis seo, chomh maith leis an gcód ón SMS, agus tú ag logáil isteach ó fheiste nua, iarrfaidh an t-iarratas pasfhocal nach bhfuil ar eolas agat ach amháin.
Faoi láthair, ní chosnaíonn deimhniú logáil isteach ach trí SMS duine a úsáideann cárta SIM na Rúise. Tá cásanna hacking cuntas Telegram trí theachtaireacht SMS idircheapadh ar eolas cheana féin - in 2016, ionsaitheoirí chuig comhfhreagras roinnt freasúra, agus in 2017 cuntas ar an iriseoir Dozhd, Mikhail Rubin.
WhatsApp faoi láthair seachnaíonn sé clárlann ORI agus úsáideann sé criptiú deireadh go deireadh freisin, ach níl gach rud chomh róshásta leis. D’fhoilsíomar le déanaí faoi chónaitheoirí Magadan a bhí faoi réir cás coiriúil as méara na cathrach a cháineadh. Tháinig deireadh leis an scéal seo, go fortunately, leis an ngnáthfhíneáil. Ach dheimhnigh sé eagla na n-úsáideoirí: níl sé sábháilte cumarsáid a dhéanamh i gcomhráite grúpa WhatsApp.
Cad a tharlóidh?
- Chomh luath agus a scríobhann tú teachtaireacht, beidh d’uimhir theileafóin ar fáil láithreach do gach ball den ghrúpa. Agus is féidir d'aitheantas a chinneadh go héasca leis an uimhir.
Cad le déanamh?
- D’fhéadfadh gur cárta SIM “fágtha” nó uimhir choigríche a bheadh sa réiteach – ceann Eorpach de rogha.
Má úsáideann tú cárta Rúisise atá cláraithe i d’ainm, seachain tuairimí sarcastic i ngrúpaí le hainmneacha mar “Éirigh as an Méara”: is fearr gan ach comhfhreagras pearsanta agus glaonna ar WhatsApp a fhágáil.
Viber nach bhfuil liostaithe freisin sa chlár ORI, ach coinníonn cumarsáid le húdaráis na Rúise (ina chuid ama saor ó thurscar a sheoladh). Bhí an teachtaire seo ar cheann de na chéad dreamanna a chomhlíon ceanglais nua an rialtais: stórálann sé logins agus uimhreacha gutháin úsáideoirí na Rúise ar chríoch Chónaidhm na Rúise, ach soláthraíonn sé sonraí teachtaireachta — tagraíonn sé do mheicnic an chriptiú ceann go ceann agus an bheartais chorparáidigh.
Apple úsáideann deireadh go deireadh freisin, ach nuair a chláraítear le iMessage cruthaíonn sé dhá phéire eochair: príobháideach agus poiblí. Tarchuirtear an teachtaireacht a fhaigheann tú ón úinéir céanna ar ghléas úll chugat le criptiú, a úsáideann eochair phoiblí. Ní féidir é a dhíchriptiú ach ag baint úsáide as eochair phríobháideach an fhaighteora, atá stóráilte ar a ghléas. Is féidir leat léamh faoin gcaoi a mbreathnaíonn Apple ar phríobháideachas an úsáideora agus cad a dhéanfaidh sé má fhaigheann sé iarratas ón rialtas Níor taifeadadh aon chásanna inar aistrigh an chuideachta sonraí ó úsáideoirí na Rúise chuig údaráis na Rúise.
Foinse:
Ach tá dhá mhíbhuntáiste ag iMessage:
- Ní féidir leat scríobh nó glaoch a chur ar na bealaí seo ach chuig an úinéir Apple céanna;
- Má tá fadhbanna agat le do nasc Idirlín, rachaidh an teachtaireacht thar chainéal rialta ceallach agus déanfar é ina SMS simplí is féidir a idircheapadh go héasca.
Chun iMessage a sheachaint ag casadh SMS, is féidir leat an ghné seo a dhíchumasú i Socruithe.
Taighdeoirí ón Electronic Frontier Foundation nach bhfuil aon rogha sábháilte céad faoin gcéad le haghaidh glaonna agus teachtaireachtaí. Má chuireann roinnt teachtairí cosc ar na húdaráis do shonraí príobháideacha a fháil, ní chiallaíonn sé seo nach féidir le hackers (nó an stát, ar féidir leo a gcuid seirbhísí a úsáid) é seo a dhéanamh trí dhul timpeall ar na dlíthe. Chun muinín a thabhairt don úsáideoir nach bhfuil aon fhear sa lár, tá gné deas ag Telegram: agus iad ag glaoch, is féidir leis an dá fhaighteoir a chinntiú go bhfeiceann siad an emoji céanna sa chúinne uachtarach ar dheis den scáileán - deimhneoidh sé seo an easpa “cur isteach” ar an gceangal.
Má tá bealach níos sláine á lorg agat chun cumarsáid a dhéanamh, molaimid breathnú níos faide ná comhráite rúnda, pasfhocail, agus fíordheimhniú dhá chéim/dhá-fhachtóir ar aipeanna nideoige nach bhfuil an oiread sin tóir orthu amhail nó .
Úsáidim Signal gach lá. #notesforFBI (Spoiler: tá a fhios acu cheana féin)
R-phost
Tá cuideachtaí coitianta a fhágann gur féidir a gcuid cliant ríomhphoist a úsáid (is iad seo Yandex, Mail.Ru agus Rambler sa Rúis) cheana féin san áireamh sa chlár ARI, rud a chiallaíonn nach bhfuil siad an-sábháilte. Sea, Grúpa Mail.Ru cásanna coiriúla memes agus ollmhaithiúnas dóibh siúd a chiontaítear, ach is féidir faisnéis faoi do shonraí a thabhairt do na húdaráis arna iarraidh sin.
Fiú má úsáideann tú cliaint ríomhphoist an Iarthair cosúil le Gmail nó Outlook, má tá fíordheimhniú dhá fhachtóir cumasaithe agat, agus fios agat go bhfuil do r-phost criptithe ag baint úsáide as prótacal slán SSL/TLS, ní féidir leat a bheith cinnte go bhfuil ríomhphost an fhaighteora cosanta go cothrom.
Roghanna cosanta:
- Agus faisnéis íogair á seoladh agat, criptigh ríomhphoist ag úsáid Pretty Good Privacy (). Cabhraíonn an clár seo leis na sonraí ó litir a thiontú go tacar carachtar gan brí do gach duine seachas an seoltóir agus an faighteoir;
- Agus faisnéis thábhachtach á seoladh agat, tabhair aird i gcónaí ar fhearann an fhaighteora agus ná scríobh chuig seoladh amhrasach;
- Seiceáil leis an bhfaighteoir roimh ré cibé an bhfuil post curtha ar aghaidh nó bailithe aige trí sheirbhís poist na Rúise.
I gcás cuideachtaí intíre ó chlár ORI, ní chuideoidh aon chriptiú ar thaobh an úsáideora, i bprionsabal. Ní dhéantar faisnéis a idircheapadh, ach a stóráil agus a tharchur ag críochphointí - seirbhísí comhchosúla. Is é an t-aon réiteach a d’fhéadfadh a bheith ann ná analógacha níos sláine a chur ina n-ionad mar ProtonMail, Tutanota nó Hushmail. Is féidir tuilleadh seirbhísí ríomhphoist dá leithéid a fháil ag leathanach.
Líonraí Sóisialta
Chun tús a chur leis, íoslaghdaigh do láithreacht ar líonraí sóisialta tóir na Rúise - "Mo Shaol", "Odnoklassniki" agus "VKontakte". Ar a laghad, ní thugann Facebook do shonraí ar láimh do ghníomhaireachtaí faisnéise na Rúise. Ar a laghad, níor taifeadadh aon chás den sórt sin.
Ach tá sé suimiúil gur shásaigh an chuideachta 2017% d’iarratais ó rialtas SAM i 85:
Seatanna ó
Má tá ró-chleachtadh agat ar VK, ach nach dteastaíonn uait dul sa duga, tabhair aird ar roinnt rudaí:
- do chuid pictiúr sábháilte;
- poist, tuairimí agus teachtaireachtaí a scríobhann tú;
- poist is maith leat;
- poist a roinneann tú;
- úsáideoirí a bhfuil tú cairde leo.
I ngach ceann de na nithe thuas, is fearr aon rud a d'fhéadfaí a mheas a bheith maslach nó antoisceach a sheachaint. Cuimhnigh i gcónaí go gciallaíonn “roinnt” faisnéis “neamhdhleathach” a chur in iúl do dhuine amháin ar a laghad. Maíonn dlíodóir an ghrúpa idirnáisiúnta um chearta an duine "Agora" Damir Gainutdinov gur de réir an dlí, ORI fiú dréachtaí de theachtaireachtaí nár seoladh chuig gníomhaireachtaí um fhorghníomhú an dlí. Léigh tuilleadh faoi conas gan a bheith gafa le hathphostáil
Dála an scéil, le tamall anuas anois is féidir le duine ar bith a bhfuil d'uimhir theileafóin aige tú a aimsiú ar VKontakte de réir réamhshocraithe, fiú mura nochtann an leathanach féin do fhíor-aitheantas.
Is féidir leat cosc a chur ar dhaoine tú a aimsiú de réir uimhreach i do shocruithe próifíle (Socruithe -> Príobháideacht -> Déan teagmháil liom). Ach seo, ar ndóigh, ní bheidh, a shábháil tú ó na seirbhísí speisialta. Ná húsáid glaonna agus físchumarsáid ar VKontakte: ní fios cé acu an ndéanann an líonra iad a chriptiú ó cheann ceann go ceann, mar a éilíonn an riarachán.
Slándáil Gréasáin
Is é an dea-scéal amháin sin Tá leagan https ag gach suíomh móréilimh ar an Idirlíon cheana féin nó d’athraigh siad go hiomlán chuig leaganacha https amháin a úsáid. Tá faisnéis a fhaightear agus a tharchuirtear ar shuímh den sórt sin criptithe agus ní féidir le tríú páirtithe é a léamh. Tá glas ar acmhainní dá leithéid agus tá an focal “cosanta”.
Sin an áit a chríochnaíonn an dea-scéal. In ainneoin an phrótacail https, tá cuairt á tabhairt ar shuíomh den sórt sin agus iarratais DNS (faisnéis faoi na fearainn a bhfuair tú rochtain orthu) fós le feiceáil ag an soláthraí Idirlín.
Ach tá píosa nuachta eile níos measa fós: feidhmíonn an leath eile de na suíomhanna ag baint úsáide as an bprótacal http rialta, is é sin, gan criptiú sonraí. D'fhéadfadh gurb é an réiteach VPN, a chripíonn go hiomlán na sonraí go léir a fhaightear agus a tharchuirtear ionas nach mbeidh aon fhaisnéis inléite ar thaobh an tsoláthraí Idirlín agus aon duine a dhéanann iarracht insíothlú idir tú féin agus an láithreán deiridh. Is é an t-aon rud a bheidh le feiceáil ná nasc a dhéanamh le seoladh IP áirithe ar an Idirlíon (is é sin, le freastalaí VPN). Agus rud ar bith níos mó.
Beidh áthas orainn má éiríonn an saol chomh simplí sin go tobann: cas ar an VPN agus déan dearmad ar an sceitheadh faisnéise íogair. Ach níl sé sin fíor. Seiceáil go rialta an bhfuil an acmhainn is fearr leat san áireamh sa chlár ARI, déan monatóireacht ar an gcaoi a n-idirghníomhaíonn sé leis na húdaráis, seiceáil naisc ghníomhacha i socruithe na dteachtairí meandracha agus líonraí sóisialta agus athshocraigh cinn amhrasacha (agus ansin bí cinnte pasfhocail a athrú).
domhanda
Nuair a bhíonn tú ag obair le bealaí cumarsáide agus le haistriú sonraí, ní bhíonn ciall ach le cur chuige cuimsitheach maidir le slándáil agus príobháideacht. Lean imeachtaí slándála Idirlín inár gcainéal Telegram , Ar Líne agus ar acmhainní eile atá tiomnaithe d'imeachtaí ar an Idirlíon agus RuNet go háirithe.
Cad iad na bearta sábháilteachta atá á ndéanamh agat?
Foinse: will.com