Ola Habr.
Estes somos nós, servizo VPN . Actualmente estamos traballando temporalmente no espello HideMyna.me. Por que? O 20 de xullo de 2018 Roskomnadzor engadiunos debido á decisión do Tribunal de Distrito de Medvedevsky en Yoshkar-Ola. O tribunal determinou que os visitantes do noso sitio teñen acceso ilimitado a materiais extremistas #sen rexistro e, dalgún xeito, atopou o libro "Mein Kampf" de Adolf Hitler nel. Ao parecer, por fiabilidade.
Esta decisión sorprendeunos moito, pero seguimos traballando en hidemyna.me, hidemyname.org, .one, .biz, etc. Unha discusión prolongada con Roskomnadzor non levou a ningún resultado. Mentres os meus avogados e eu impugnamos o bloqueo e a decisión xudicial máxica, compartimos con vostede consellos básicos para manter a privacidade en Internet e noticias sobre este tema.
Edward Snowden adora a Axencia de Seguridade Nacional (probablemente)
Non é ningún segredo que os servizos populares rusos non son seguros. A súa correspondencia pode chegar en calquera momento á atención dos axentes da lei nacionais. Contámosche o que debes recordar cando te comuniques a través de diferentes canles de comunicación.
SORM e ORI
Ten formas de tocar o teu teléfono. Oficial e legal - SORM, un sistema de medios técnicos para garantir as funcións das actividades de investigación operativas. Por lei na Federación Rusa, todos os operadores de telefonía móbil están obrigados a instalar ese sistema nas súas PBX se non queren perder a súa licenza. Existen tres tipos de SORM: o primeiro inventouse nos anos 80, o segundo comezou a implantarse nos anos 2014 e dende XNUMX tratan de impoñer o terceiro aos operadores. , a maioría dos operadores utilizan o segundo tipo, pero no 70% dos casos o sistema non funciona correctamente ou non funciona en absoluto. Non obstante, aínda é mellor non discutir temas delicados a través dun teléfono fixo ou mediante unha chamada habitual desde un teléfono móbil.
Esquema de funcionamento de SORM-2 (Fonte: mfisoft.ru)
Segundo 97-FZ, todos os mensaxeiros, servizos e sitios que operan en Rusia deben incluírse no rexistro. . Por ""Están obrigados a almacenar todos os datos do usuario, incluídas as gravacións de chamadas de voz e a correspondencia, durante seis meses. Por certo, ARI tamén ten Habrahabr.
Descríbese detalladamente o funcionamento do rexistro usando a Threema como exemplo, pero a principal conclusión é a seguinte: agora, a petición das autoridades rusas, calquera información sobre ti pode acabar nas axencias policiais. Polo tanto, o primeiro que hai que facer para manter a confidencialidade é transferir chamadas e mensaxes a mensaxeiros instantáneos, que non están no rexistro ARI. Ou os que están alí, pero néganse a transferir datos ás autoridades, como Threema e Telegram.
Certificado: O mero feito de estar no rexistro ARI non garante que os datos sexan transferidos ás autoridades. Debes controlar constantemente as noticias e mirar a reacción do mensaxeiro cando "veñan" por el.
Chamadas e mensaxes de voz
As nosas conversas e mensaxes pódense protexer de interferencias de terceiros mediante o cifrado de extremo a extremo, polo que os mensaxeiros con E2E considéranse os máis seguros. Pero isto non é totalmente certo: vexamos as opcións populares.
Telegrama cifrado de extremo a extremo nos seus chats secretos e almacena datos cifrados sobre a túa correspondencia na nube, que está espallada por diferentes países con xurisdición "segura". Pero despois en Habré podes comezar a dubidar da ilusión de seguridade de Telegram Passport en E2E de Durov.
Por suposto, os chats secretos seguen sendo unha boa opción para os paranoicos. O servidor non participa en absoluto no seu cifrado: as mensaxes transmítense punto a punto, é dicir, directamente entre os participantes na correspondencia. Para unha maior tranquilidade, podes usar a función de autodestrución da mensaxe do temporizador. Pero non debes confiar cegamente en Telegram. Para facelo un pouco máis seguro, ti e o teu destinatario debes ir á configuración de mensaxería e facer polo menos dúas cousas:
- Establece un contrasinal ao iniciar sesión na aplicación (Privacidade e seguridade -> Contrasinal);
- Activar a verificación en dous pasos (Privacidade e seguridade -> Verificación en dous pasos).
Despois diso, ademais do código da SMS, ao iniciar sesión desde un novo dispositivo, a aplicación solicitará un contrasinal que só vostede coñece.
Actualmente, a confirmación de inicio de sesión só por SMS non protexe de ningún xeito a unha persoa que usa unha tarxeta SIM rusa. Xa se coñecen casos de piratería de contas de Telegram a través dunha mensaxe SMS interceptada: en 2016, atacantes á correspondencia de varios opositores, e en 2017 conta do xornalista de Dozhd Mikhail Rubin.
WhatsApp polo de agora evita o rexistro ORI e tamén utiliza o cifrado de extremo a extremo, pero non todo é tan bo con el. Publicamos recentemente sobre veciños de Magadan que foron obxecto dun proceso penal por criticar ao alcalde da cidade. Esta historia, afortunadamente, rematou coa multa de sempre. Pero confirmou os temores dos usuarios: non é seguro comunicarse nos chats de grupos de WhatsApp.
Que pasará?
- En canto escribas unha mensaxe, o teu número de teléfono estará inmediatamente dispoñible para todos os membros do grupo. E a túa identidade pódese determinar facilmente polo número.
¿Que facer?
- A solución podería ser unha tarxeta SIM "esquerda" ou un número estranxeiro, preferiblemente europeo.
Se usas unha tarxeta rusa rexistrada ao teu nome, evita os comentarios sarcásticos en grupos con nomes como "Dimite por alcalde": é mellor deixar só correspondencia persoal e chamadas por WhatsApp.
Viber tampouco figura no rexistro da ORI, pero mantén comunicación coas autoridades rusas (no seu tempo libre de enviar spam). Este mensaxeiro foi un dos primeiros en cumprir cos novos requisitos gobernamentais: almacena os inicios de sesión e os números de teléfono dos usuarios rusos no territorio da Federación Rusa, pero proporciona datos de mensaxes — refírese á mecánica do cifrado de extremo a extremo e á política corporativa.
mazá tamén usa de extremo a extremo, pero ao rexistrarse con iMessage crea dous pares de claves: privada e pública. A mensaxe que recibes do mesmo propietario dun dispositivo Apple transmíteche cun cifrado, que utiliza unha chave pública. Só se pode descifrar mediante a clave privada do destinatario, que se almacena no seu dispositivo. Podes ler como ve Apple a privacidade dos usuarios e o que fará se recibe unha solicitude do goberno Non se rexistraron casos de transferencia de datos de usuarios rusos ás autoridades rusas.
Fonte:
Pero iMessage ten dúas desvantaxes:
- Podes escribir ou chamar a través destas canles só ao mesmo propietario de Apple;
- Se tes problemas coa túa conexión a Internet, a mensaxe pasará por unha canle móbil normal e converterase nunha simple SMS que se pode interceptar facilmente.
Para evitar que iMessage se converta en SMS, podes desactivar esta función en Configuración.
Investigadores da Electronic Frontier Foundation que non hai unha opción cen por cen segura para chamadas e mensaxes. Se algúns mensaxeiros impiden que as autoridades obteñan os teus datos privados, isto non significa que os piratas informáticos (ou o estado, que poden utilizar os seus servizos) non poidan facelo eludíndo as leis. Para que o usuario confíe en que non hai un home no medio, Telegram ten unha característica agradable: ao chamar, ambos os destinatarios poden asegurarse de que ven o mesmo emoji na esquina superior dereita da pantalla; isto confirmará o ausencia de "intrusión" na conexión.
Se estás a buscar unha forma máis segura de comunicarte, recomendámosche que busques máis aló dos chats secretos, os contrasinais e a autenticación de dous pasos/dous factores a aplicacións de nicho menos populares como ou .
Eu uso Signal todos os días. #notasforFBI (Spoiler: xa o saben)
Correo-e
As empresas populares que permiten usar os seus clientes de correo electrónico (en Rusia son Yandex, Mail.Ru e Rambler) xa están incluídas no rexistro ARI, o que significa que non son moi seguras. Si, o grupo Mail.Ru casos penais para memes e amnistía para os condenados, pero pode dar información sobre os seus datos ás autoridades previa solicitude.
Mesmo se utilizas clientes de correo electrónico occidentais como Gmail ou Outlook, tes activada a autenticación de dous factores e sabes que o teu correo electrónico está cifrado mediante un protocolo SSL/TLS seguro, non podes estar seguro de que o correo electrónico do teu destinatario estea igualmente protexido.
Opcións de protección:
- Ao enviar información confidencial, cifra os correos electrónicos usando Pretty Good Privacy (). Este programa axuda a converter os datos dunha carta nun conxunto de caracteres sen sentido para todos, excepto para o remitente e o destinatario;
- Ao enviar información importante, preste sempre atención ao dominio do destinatario e non escriba a un enderezo sospeitoso;
- Consulte co destinatario con antelación se configurou o reenvío ou a recollida de correo a través do servizo postal ruso.
No caso das empresas nacionais do rexistro ORI, ningún cifrado do lado do usuario axudará, en principio. A información non é interceptada, pero almacenada e transmitida por puntos finais - servizos similares. A única solución pode ser substituílos por análogos máis seguros como ProtonMail, Tutanota ou Hushmail. Podes atopar máis servizos de correo electrónico deste tipo en páx.
Redes Sociais
Para comezar, minimiza a túa presenza nas populares redes sociais rusas: "O meu mundo", "Odnoklassniki" e "VKontakte". Polo menos Facebook non entrega os teus datos ás axencias de intelixencia rusas. Polo menos, non se rexistraron tales casos.
Pero é interesante que en 2017, a compañía aínda satisfaceu o 85% das solicitudes do goberno dos Estados Unidos:
Capturas de pantalla de
Se estás demasiado afeito ao VK, pero non queres acabar no banco dos acusados, presta atención a algunhas cousas:
- as túas imaxes gardadas;
- publicacións, comentarios e mensaxes que escribes;
- publicacións que che gustan;
- publicacións que compartes;
- usuarios dos que es amigo.
En todo o anterior, o mellor é evitar calquera cousa que poida considerarse ofensiva ou extremista. Lembra sempre que "compartir" significa comunicar información "ilegal" a polo menos unha persoa. O avogado do grupo internacional de dereitos humanos "Agora" Damir Gainutdinov afirma que, segundo a lei, ORI mesmo borradores de mensaxes non enviadas ás axencias policiais. Lea máis sobre como non ser atrapado por volver publicar
Por certo, hai algún tempo quen teña o teu número de teléfono pode atopalo en VKontakte de forma predeterminada, aínda que a propia páxina non revele a túa verdadeira identidade.
Podes evitar que a xente te atope por número na configuración do teu perfil (Configuración -> Privacidade -> Contacte comigo). Pero isto, por suposto, non che salvará dos servizos especiais. Non use chamadas e comunicacións de vídeo en VKontakte: descoñécese se a rede realmente as cifra de extremo a extremo, como afirma a administración.
Seguridade do sitio web
A única boa noticia é que Todos os sitios populares de Internet xa teñen unha versión https ou cambiaron completamente a usar só versións https. A información recibida e transmitida nestes sitios está cifrada e non pode ser lida por terceiros. Estes recursos están marcados en verde e a palabra "protexido".
Aí rematan as boas novas. A pesar do protocolo https, o feito de visitar ese sitio e as solicitudes de DNS (información sobre a que dominios accedeu) seguen sendo visibles para o provedor de Internet.
Pero outra noticia é aínda peor: a metade restante dos sitios funciona mediante o protocolo http normal, é dicir, sen cifrado de datos. A solución podería ser unha VPN, que cifra absolutamente todos os datos recibidos e transmitidos para que non haxa información lexible do lado do provedor de Internet e de calquera que intente infiltrarse entre vostede e o sitio final. O único que estará visible é o feito de conectarse a un determinado enderezo IP en Internet (é dicir, a un servidor VPN). E nada máis.
Seremos felices se a vida se fai de súpeto tan sinxela: acende a VPN e esquécese da filtración de información confidencial. Pero iso non é certo. Comproba regularmente se o teu recurso favorito está incluído no rexistro ARI, supervisa como interactúa coas autoridades, comprobe as conexións activas na configuración de mensaxería instantánea e redes sociais e restablece as sospeitosas (e logo asegúrate de cambiar os contrasinais).
a nivel mundial
Cando se traballa con canles de comunicación e transferencia de datos, só ten sentido un enfoque integral da seguridade e da privacidade. Siga os eventos de seguridade en Internet na nosa canle de Telegram , En liña e sobre outros recursos dedicados a eventos en Internet e RuNet en particular.
Que medidas de seguridade está tomando?
Fonte: www.habr.com