Hej Habr.
Ovo smo mi, VPN usluga . Trenutno radimo privremeno na HideMyna.me ogledalu. Zašto? Roskomnadzor nas je dodao 20. srpnja 2018 zbog odluke Okružnog suda Medvedevsky u Yoshkar-Oli. Sud je presudio da posjetitelji naše stranice imaju neograničen pristup ekstremističkim materijalima #bezregistracije, a na njoj je nekako pronašao knjigu “Mein Kampf” Adolfa Hitlera. Očigledno, zbog pouzdanosti.
Ova nas je odluka jako iznenadila, ali nastavljamo raditi na hidemyna.me, hidemyname.org, .one, .biz itd. Dugotrajna rasprava s Roskomnadzorom nije dovela do rezultata. Dok moji odvjetnici i ja osporavamo blokadu i čarobnu sudsku odluku, s vama dijelimo osnovne savjete za očuvanje privatnosti na internetu i novosti na ovu temu.
Edward Snowden voli Agenciju za nacionalnu sigurnost (vjerojatno)
Nije tajna da su popularne ruske usluge nesigurne. Vaša korespondencija može u bilo kojem trenutku doći u javnost s domaćim službenicima za provođenje zakona. Govorimo vam što trebate zapamtiti kada komunicirate putem različitih komunikacijskih kanala.
SORM i ORI
Tu je načina prisluškivanja telefona. Službeno-pravni - SORM, sustav tehničkih sredstava za osiguranje funkcija operativno istražnih radnji. Prema zakonu Ruske Federacije, svi mobilni operateri moraju instalirati takav sustav na svoje PBX uređaje ako ne žele izgubiti licencu. Postoje tri vrste SORM-a: prvi je izmišljen 80-ih, drugi se počeo primjenjivati 2014-ih, a treći se operaterima pokušava nametnuti od XNUMX. godine. , većina operatera koristi drugu vrstu, ali u 70% slučajeva sustav ne radi ispravno ili uopće ne radi. No, ipak je bolje ne razgovarati o osjetljivim temama putem fiksnog telefona ili običnim pozivom s mobilnog telefona.
Shema rada SORM-2 (Izvor: mfisoft.ru)
Prema 97-FZ, svi glasnici, usluge i stranice koje djeluju u Rusiji moraju biti uključene u registar . od "“Dužni su čuvati sve korisničke podatke, uključujući snimke govornih poziva i dopisivanje, šest mjeseci. Inače, ARI ima i Habrahabr.
Detaljno je opisan rad registra koristeći Threemu kao primjer, ali glavni zaključak je sljedeći: sada, na zahtjev ruskih vlasti, svaka informacija o vama može završiti u agencijama za provođenje zakona. Stoga je prva stvar koju treba učiniti za očuvanje povjerljivosti prijenos poziva i poruka na instant messengere koji nisu u ARI registru. Ili oni koji su tu, ali odbijaju prenijeti podatke vlastima – poput Threeme i Telegrama.
Certifikat: Samo postojanje u registru ARI ne jamči da će podaci biti proslijeđeni nadležnim tijelima. Morate stalno pratiti vijesti i gledati reakciju glasnika kada "dođu" po njega.
Glasovni pozivi i poruke
Naši razgovori i poruke mogu se zaštititi od uplitanja treće strane end-to-end enkripcijom, zbog čega se glasnici s E2E smatraju najsigurnijima. Ali to nije sasvim točno: pogledajmo popularne opcije.
Telegram end-to-end enkripciju u svojim tajnim razgovorima i pohranjuje šifrirane podatke o vašem dopisivanju u oblaku, koji je razbacan po različitim zemljama sa "sigurnom" jurisdikcijom. Ali nakon na Habréu možete početi sumnjati u iluziju sigurnosti Telegramove putovnice u E2E od Durova.
Naravno, tajni razgovori i dalje su dobra opcija za paranoične. Poslužitelj uopće nije uključen u njihovu enkripciju: poruke se prenose peer-to-peer, odnosno izravno između sudionika u korespondenciji. Za dodatni mir, možete koristiti funkciju samouništenja poruke timera. Ali ne biste se trebali slijepo oslanjati na Telegram. Da biste ga učinili malo sigurnijim, vi i vaš primatelj morate otići u postavke glasnika i učiniti najmanje dvije stvari:
- Postavite lozinku prilikom prijave u aplikaciju (Privatnost i sigurnost -> Passcode);
- Omogući potvrdu u dva koraka (Privatnost i sigurnost -> Dva koraka).
Nakon toga, osim koda iz SMS-a, aplikacija će prilikom prijave s novog uređaja tražiti lozinku koju znate samo vi.
Trenutačno potvrda prijave samo putem SMS-a ni na koji način ne štiti osobu koja koristi rusku SIM karticu. Već su poznati slučajevi hakiranja Telegram računa putem presretnute SMS poruke – napadači su 2016. na prepisku nekoliko oporbenjaka, a 2017.g račun novinara Dozhda Mikhaila Rubina.
Whats app za sada izbjegava ORI registar i također koristi end-to-end enkripciju, ali s njim nije sve tako ružičasto. Nedavno smo objavili o stanovnicima Magadana koji su kazneno prijavljeni zbog kritiziranja gradskog gradonačelnika. Ova je priča, srećom, završila uobičajenom novčanom kaznom. Ali potvrdio je strahove korisnika: nije sigurno komunicirati u grupnim chatovima WhatsAppa.
Što će se dogoditi?
- Čim napišete poruku, vaš telefonski broj će odmah postati dostupan svim članovima grupe. A po broju se lako može utvrditi vaš identitet.
Što učiniti?
- Rješenje može biti “lijeva” SIM kartica ili strani broj – po mogućnosti europski.
Ako koristite rusku karticu registriranu na svoje ime, izbjegavajte sarkastične komentare u grupama s nazivima poput "Podnesite ostavku gradonačelniku": bolje je ostaviti samo osobnu korespondenciju i pozive za WhatsApp.
Viber također nije upisan u ORI registar, ali održava komunikaciju s ruskim vlastima (u slobodno vrijeme od slanja spama). Ovaj messenger bio je jedan od prvih koji je ispunio nove vladine zahtjeve: pohranjuje prijave i telefonske brojeve ruskih korisnika na teritoriju Ruske Federacije, ali daje podatke o porukama — odnosi se na mehaniku end-to-end enkripcije i korporativnu politiku.
jabuka također koristi end-to-end, ali prilikom registracije na iMessage stvara dva para ključeva: privatni i javni. Poruka koju dobijete od istog vlasnika apple uređaja prenosi vam se enkripcijom, koja koristi javni ključ. Može se dešifrirati samo korištenjem privatnog ključa primatelja, koji je pohranjen na njegovom uređaju. Možete pročitati o tome kako Apple gleda na privatnost korisnika i što će učiniti ako primi zahtjev od vlade Nisu zabilježeni slučajevi da je tvrtka prenosila podatke ruskih korisnika ruskim vlastima.
Izvor:
Ali iMessage ima dva nedostatka:
- Ovim kanalima možete pisati ili zvati samo istog vlasnika Applea;
- Ako imate problema s internetskom vezom, poruka će ići preko redovnog mobilnog kanala i postati jednostavan SMS koji se lako može presresti.
Kako biste izbjegli da se iMessage pretvori u SMS, možete onemogućiti ovu značajku u Postavkama.
Istraživači iz Electronic Frontier Foundationa da ne postoji sto posto sigurna opcija za pozive i poruke. Ako neki messengeri onemogućuju vlastima da dođu do vaših osobnih podataka, to ne znači da hakeri (ili država koja može koristiti njihove usluge) to ne mogu učiniti zaobilazeći zakone. Kako bi korisnik bio siguran da ne postoji čovjek u sredini, Telegram ima zgodnu značajku: prilikom poziva oba primatelja mogu se pobrinuti da vide isti emotikon u gornjem desnom kutu zaslona - to će potvrditi odsutnost "upada" u vezu.
Ako tražite sigurniji način komunikacije, preporučujemo da pogledate izvan tajnih chatova, lozinki i autentifikacije u dva koraka/dva faktora i pogledate manje popularne aplikacije poput ili .
Koristim Signal svaki dan. #notesforFBI (Spoiler: oni već znaju)
Popularne tvrtke koje pružaju mogućnost korištenja svojih klijenata e-pošte (u Rusiji su to Yandex, Mail.Ru i Rambler) već su uključene u ARI registar, što znači da nisu baš sigurne. Da, Mail.Ru Group kaznene slučajeve za meme i amnestiju za one koji su osuđeni, ali može dati informacije o vašim podacima vlastima na zahtjev.
Čak i ako koristite zapadnjačke klijente e-pošte kao što su Gmail ili Outlook, imate omogućenu dvofaktorsku autentifikaciju i znate da je vaša e-pošta šifrirana pomoću sigurnog SSL/TLS protokola, ne možete biti sigurni da je e-pošta vašeg primatelja jednako zaštićena.
Mogućnosti zaštite:
- Kada šaljete osjetljive informacije, šifrirajte e-poštu koristeći Pretty Good Privacy (). Ovaj program pomaže pretvoriti podatke iz pisma u besmislen skup znakova za sve osim za pošiljatelja i primatelja;
- Prilikom slanja važnih informacija uvijek obratite pozornost na domenu primatelja i nemojte pisati na sumnjivu adresu;
- Unaprijed provjerite s primateljem je li postavio prosljeđivanje ili preuzimanje pošte putem ruske poštanske službe.
Kod domaćih tvrtki iz ARI registra nikakva enkripcija s korisničke strane u principu neće pomoći. Informacije se ne presreću, već ih pohranjuju i prenose krajnje točke – slične usluge. Jedino rješenje može biti njihova zamjena sa sigurnijim analogima kao što su ProtonMail, Tutanota ili Hushmail. Više takvih usluga e-pošte možete pronaći na stranica.
Društvene mreže
Za početak smanjite svoju prisutnost na popularnim ruskim društvenim mrežama - "Moj svijet", "Odnoklassniki" i "VKontakte". Barem Facebook ne predaje vaše podatke ruskim obavještajnim agencijama. Barem takvi slučajevi nisu zabilježeni.
Ali zanimljivo je da je 2017. tvrtka ipak zadovoljila 85% zahtjeva američke vlade:
Snimke zaslona iz
Ako ste se previše navikli na VK, ali ne želite završiti na optuženičkoj klupi, obratite pozornost na nekoliko stvari:
- vaše spremljene slike;
- objave, komentare i poruke koje napišete;
- postovi koji vam se sviđaju;
- objave koje dijelite;
- korisnika s kojima ste prijatelji.
U svemu gore navedenom, najbolje je izbjegavati sve što bi se moglo smatrati uvredljivim ili ekstremističkim. Uvijek imajte na umu da "dijeljenje" znači prenošenje "ilegalnih" informacija barem jednoj osobi. Odvjetnik međunarodne grupe za ljudska prava "Agora" Damir Gainutdinov tvrdi da je prema zakonu ORI čak i nacrti neposlanih poruka agencijama za provođenje zakona. Pročitajte više o tome kako vas ne uhvate zbog ponovnog objavljivanja
Usput, već neko vrijeme svatko tko ima vaš telefonski broj može vas pronaći na VKontakteu prema zadanim postavkama, čak i ako sama stranica ne otkriva vaš pravi identitet.
Možete spriječiti ljude da vas pronađu po broju u postavkama vašeg profila (Postavke -> Privatnost -> Kontaktiraj me). Ali to vas, naravno, neće spasiti od posebnih usluga. Nemojte koristiti pozive i video komunikaciju na VKontakteu: nepoznato je hoće li ih mreža zapravo šifrirati od kraja do kraja, kao što administracija tvrdi.
Sigurnost web stranice
Jedina dobra vijest je ta Sve popularne stranice na internetu već imaju https verziju ili su potpuno prešle na korištenje samo https verzije. Informacije primljene i prenesene na takvim stranicama su šifrirane i ne mogu ih čitati treće strane. Takvi resursi označeni su zelenom bojom i riječju "zaštićeno".
Tu završavaju dobre vijesti. Unatoč protokolu https, činjenica posjeta takvoj stranici i DNS upiti (informacije o tome kojim domenama ste pristupili) i dalje ostaju vidljivi internetskom pružatelju usluga.
Ali još je gora još jedna vijest: preostala polovica stranica radi po regularnom http protokolu, odnosno bez enkripcije podataka. Rješenje bi mogao biti VPN, koji kriptira apsolutno sve primljene i poslane podatke tako da nema čitljivih informacija na strani Internet providera i bilo koga tko se pokuša infiltrirati između Vas i krajnjeg mjesta. Jedino što će biti vidljivo jest činjenica povezivanja na određenu IP adresu na internetu (odnosno na VPN poslužitelj). I ništa više.
Bit ćemo sretni ako život zaista odjednom postane tako jednostavan: uključite VPN i zaboravite na curenje osjetljivih informacija. Ali to nije istina. Redovito provjeravajte je li vaš omiljeni resurs uključen u ARI registar, pratite kako komunicira s vlastima, provjeravajte aktivne veze u postavkama instant messengera i društvenih mreža i poništite one sumnjive (a zatim svakako promijenite lozinke).
globalno
U radu s komunikacijskim kanalima i prijenosom podataka samo cjelovit pristup sigurnosti i privatnosti ima smisla. Pratite događanja vezana uz sigurnost interneta na našem Telegram kanalu , Na liniji i na drugim resursima posvećenim događajima na Internetu i RuNetu posebno.
Koje mjere sigurnosti poduzimate?
Izvor: www.habr.com