Nem csak VPN. Csallólap arról, hogyan védheti meg magát és adatait
Szia Habr.
Ez mi vagyunk, VPN szolgáltatás HideMy.name. Jelenleg ideiglenesen dolgozunk a HideMyna.me tükörön. Miért? 20. július 2018-án a Roskomnadzor hozzáadott minket a tiltott források listájára a Joskar-Olai Medvegyevszkij Kerületi Bíróság döntése miatt. A bíróság kimondta, hogy oldalunk látogatói korlátlanul férhetnek hozzá a szélsőséges anyagokhoz #regisztrációs okok nélkül, és valahogy megtalálták rajta Adolf Hitler „Mein Kampf” című könyvét. Nyilván a megbízhatóság miatt.
Ez a döntés nagyon meglepett bennünket, de továbbra is dolgozunk a hidemyna.me, a hidemyname.org, a .one, a .biz stb. oldalakon. A Roskomnadzorral folytatott elhúzódó vita nem vezetett eredményre. Miközben ügyvédeimmel megtámadjuk a blokkolást és a varázslatos bírósági döntést, alapvető tippeket osztunk meg Önnel az internetes magánélet megőrzéséhez, valamint a témával kapcsolatos híreket.
Edward Snowden szereti a Nemzetbiztonsági Ügynökséget (valószínűleg)
Nem titok, hogy a népszerű orosz szolgáltatások nem biztonságosak. Levelezése bármikor a hazai rendészeti tisztviselők tudomására juthat. Elmondjuk, mire kell emlékeznie, ha különböző kommunikációs csatornákon keresztül kommunikál.
SORM és ORI
Van sok különböző hogyan érintheti meg telefonját. Hivatalos és jogi - SORM, az operatív nyomozási tevékenységek funkcióit biztosító technikai eszközök rendszere. Az Orosz Föderáció törvényei értelmében minden mobilszolgáltatónak ilyen rendszert kell telepítenie alközpontjára, ha nem akarja elveszíteni az engedélyét. Háromféle SORM létezik: az elsőt a 80-as években találták fel, a másodikat a 2014-es években kezdték el bevezetni, a harmadikat pedig XNUMX óta próbálják rákényszeríteni az üzemeltetőkre. Az RBC szerint, a legtöbb operátor a második típust használja, de az esetek 70%-ában a rendszer nem vagy egyáltalán nem működik megfelelően. Azonban még mindig jobb, ha kényes témákat nem beszélünk meg vezetékes telefonon vagy mobiltelefonról telefonálva.
A SORM-2 működési sémája (Forrás: mfisoft.ru)
A 97-FZ szerint minden Oroszországban működő hírvivőt, szolgáltatást és webhelyet fel kell venni a nyilvántartásba. Az információterjesztés szervezői. készítette: "Yarovaya törvénye„Hat hónapig kötelesek tárolni minden felhasználói adatot, beleértve a hanghívások felvételeit és a levelezést is. Egyébként az ARI-ban is van Habrahabr.
A rendszerleíró adatbázis működését részletesen ismertetjük itt példaként a Threemát használva, de a fő következtetés a következő: most az orosz hatóságok kérésére minden Önről szóló információ a bűnüldöző szervekhez kerülhet. Ezért a titoktartás megőrzése érdekében az első lépés az, hogy a hívásokat és üzeneteket azonnali üzenetküldőknek továbbítsa, amelyek nem szerepelnek az ARI nyilvántartásában. Vagy azok, amelyek ott vannak, de megtagadják az adatok átadását a hatóságoknak - például a Threema és a Telegram.
Bizonyítvány: Pusztán az ARI nyilvántartásban való szereplés nem garantálja, hogy az adatok a hatóságokhoz kerülnek. Folyamatosan figyelni kell a híreket, és meg kell nézni a hírnök reakcióját, amikor „jönnek” érte.
Hanghívások és üzenetek
Beszélgetéseink és üzeneteink védhetők a harmadik felek beavatkozásától a végpontok közötti titkosítással, ezért az E2E-vel rendelkező üzenetküldőket tartják a legbiztonságosabbnak. De ez nem teljesen igaz: nézzük meg a népszerű lehetőségeket.
Telegramtámogatja végpontok közötti titkosítást végeznek titkos csevegéseikben, és titkosított adatokat tárolnak az Ön levelezéséről a felhőben, amely szétszórva található a „biztonságos” joghatósággal rendelkező országok között. De utána Cikk a Habrén kételkedni kezdhet a Durov E2E Telegram Passport biztonságának illúziójában.
Természetesen a titkos csevegés továbbra is jó lehetőség a paranoiások számára. A szerver egyáltalán nem vesz részt a titkosításukban: az üzeneteket peer-to-peer módon továbbítják, vagyis közvetlenül a levelezés résztvevői között. A nagyobb nyugalom érdekében használhatja az időzítő üzenet önmegsemmisítő funkcióját. De nem szabad vakon a Telegramra hagyatkozni. Annak érdekében, hogy egy kicsit biztonságosabb legyen, Önnek és a címzettnek el kell mennie a Messenger beállításaihoz, és legalább két dolgot kell tennie:
Állítson be jelszót az alkalmazásba való bejelentkezéskor (Adatvédelem és biztonság -> Jelszó);
Kétlépcsős azonosítás engedélyezése (Adatvédelem és biztonság -> Kétlépéses ellenőrzés).
Ezt követően az SMS-ből származó kódon kívül új eszközről történő bejelentkezéskor az alkalmazás egy olyan jelszót kér, amelyet csak Ön ismer.
Jelenleg a csak SMS-ben történő bejelentkezés megerősítése semmilyen módon nem védi az orosz SIM-kártyát használó személyt. A Telegram-fiókok elfogott SMS-üzenetekkel történő feltörésének esetei már ismertek – 2016-ban a támadók hozzáférést kapott több ellenzéki levelezésére, és 2017 feltörték Mihail Rubin, a Dozsd újságírójának beszámolója.
WhatsApp egyelőre kerüli az ORI registry-t és végpontok közötti titkosítást is használ, de nem minden olyan rózsás vele. Nemrég publikáltuk a hírek Magadan lakosairól, akik ellen büntetőeljárás indult a város polgármesterének bírálatáért. Ez a történet szerencsére a szokásos pénzbírsággal végződött. De megerősítette a felhasználók félelmeit: nem biztonságos a WhatsApp csoportos chatekben kommunikálni.
Mi fog történni?
Amint ír egy üzenetet, telefonszáma azonnal elérhető lesz a csoport összes tagja számára. A személyazonossága pedig könnyen meghatározható a szám alapján.
Mit kell tenni?
A megoldás egy „baloldali” SIM-kártya vagy egy külföldi – lehetőleg európai – szám lehet.
Ha az Ön nevére bejegyzett orosz kártyát használ, kerülje a gúnyos megjegyzéseket olyan csoportokban, amelyekben olyan nevek szerepelnek, mint „Mondjon le a polgármesterért”: jobb, ha csak a személyes levelezést és a WhatsApp-hívásokat hagyja meg.
Viber szintén nem szerepel az ORI-nyilvántartásban, de kapcsolatot tart az orosz hatóságokkal (a spamküldéstől szabad idejében). Ez a messenger az elsők között felelt meg az új kormányzati követelményeknek: az Orosz Föderáció területén lévő orosz felhasználók bejelentkezési adatait és telefonszámait tárolja, de üzenetadatokat ad. megtagadja — a végpontok közötti titkosítás és a vállalati politika mechanikájára utal.
Apple szintén végponttól végpontig használ, de az iMessage-regisztráláskor két kulcspárt hoz létre: privát és nyilvános. Az Apple-eszköz ugyanattól a tulajdonosától kapott üzenet titkosítással kerül továbbításra, amely nyilvános kulcsot használ. Csak a címzett saját eszközén tárolt privát kulcsával lehet visszafejteni. Elolvashatja, hogyan tekint az Apple a felhasználók adatvédelmére, és mit tesz, ha kérést kap a kormánytól itt. Nem jegyeztek fel olyan esetet, amikor a cég orosz felhasználók adatait továbbította volna az orosz hatóságoknak.
Ezeken a csatornákon keresztül csak ugyanannak az Apple-tulajdonosnak írhat vagy hívhat;
Ha problémái vannak az internetkapcsolattal, az üzenet egy normál mobilcsatornán halad át, és egy egyszerű SMS-vé válik, amelyet könnyen el lehet fogni.
Annak elkerülése érdekében, hogy az iMessage SMS-vé váljon, letilthatja ezt a funkciót a Beállításokban.
Az Electronic Frontier Foundation kutatói követelés hogy nincs száz százalékig biztonságos lehetőség a hívásokra és az üzenetekre. Ha egyes hírnökök megakadályozzák, hogy a hatóságok hozzáférjenek az Ön személyes adataihoz, ez nem jelenti azt, hogy a hackerek (vagy az állam, amely igénybe veheti a szolgáltatásaikat) ezt nem tehetik meg a törvények megkerülésével. Annak érdekében, hogy a felhasználó megbizonyosodjon arról, hogy nincs ember a közepén, a Telegram egy jó funkcióval rendelkezik: híváskor mindkét címzett megbizonyosodhat arról, hogy ugyanazt az emojit látja a képernyő jobb felső sarkában - ez megerősíti a a kapcsolatba való „behatolás” hiánya.
Ha biztonságosabb kommunikációs módot keres, javasoljuk, hogy a titkos csevegéseken, jelszavakon és a kétlépcsős/kéttényezős hitelesítésen túl keressen olyan kevésbé népszerű, szűk körű alkalmazásokat, mint pl. rábíz vagy Jel.
Minden nap használom a Signalt. #notesforFBI (Spoiler: már tudják)
E-mail
Azok a népszerű cégek, amelyek lehetővé teszik e-mail klienseik használatát (Oroszországban ezek a Yandex, a Mail.Ru és a Rambler), már szerepelnek az ARI nyilvántartásában, ami azt jelenti, hogy nem túl biztonságosak. Igen, a Mail.Ru csoport megállásra szólít büntetőügyek mémekért és amnesztia az elítéltek számára, de kérésre tájékoztatást adhat az Ön adatairól a hatóságoknak.
Még ha nyugati levelezőprogramokat, például Gmailt vagy Outlookot használ is, engedélyezve van a kéttényezős hitelesítés, és tudja, hogy e-mailje biztonságos SSL/TLS protokollal van titkosítva, nem lehet biztos abban, hogy a címzett e-mailjei egyformán védettek.
Védelmi lehetőségek:
Érzékeny információk küldésekor titkosítsa az e-maileket a Pretty Good Privacy (PGP). Ez a program segít a levélből származó adatokat értelmetlen karakterkészletté alakítani mindenki számára, kivéve a feladót és a címzettet;
Fontos információk küldésekor mindig ügyeljen a címzett domainjére, és ne írjon gyanús címre;
Előzetesen ellenőrizze a címzettet, hogy beállította-e az orosz postai szolgáltatáson keresztül történő továbbítást vagy levélátvételt.
A hazai cégeknél az ORI nyilvántartásból elvileg semmilyen felhasználói oldali titkosítás nem segít. Az információkat nem elfogják, hanem a végpontok – hasonló szolgáltatások – tárolják és továbbítják. Az egyetlen megoldás az lehet, ha lecseréljük őket biztonságosabb analógokra, mint például a ProtonMail, a Tutanota vagy a Hushmail. További ilyen e-mail szolgáltatások a címen találhatók ezt oldalon.
Szociális hálózatok
Először is minimalizálja jelenlétét a népszerű orosz közösségi hálózatokon - „My World”, „Odnoklassniki” és „VKontakte”. A Facebook legalább nem adja át az adataidat az orosz titkosszolgálatoknak. Ilyen eseteket legalábbis nem jegyeztek fel.
De érdekes, hogy 2017-ben a vállalat még mindig kielégítette az Egyesült Államok kormányától érkező kérések 85%-át:
Ha túlságosan hozzászokott a VK-hoz, de nem akar a dokkba kerülni, figyeljen néhány dologra:
a mentett képeidet;
az Ön által írt bejegyzések, megjegyzések és üzenetek;
az Ön által kedvelt bejegyzések;
az Ön által megosztott bejegyzések;
felhasználók, akikkel barátok.
A fentiek mindegyikében a legjobb elkerülni mindent, ami sértőnek vagy szélsőségesnek tekinthető. Mindig ne feledje, hogy a „megosztás” azt jelenti, hogy „illegális” információkat közöl legalább egy személlyel. Damir Gainutdinov, az "Agora" nemzetközi emberi jogi csoport ügyvédje azt állítja, hogy a törvény szerint az ORI köteles tárolni és továbbítani akár a rendvédelmi szerveknek küldött el nem küldött üzenetek piszkozatai is. Olvasson többet arról, hogyan ne kapja el az újraküldést itt.
Egyébként egy ideje bárki, aki rendelkezik a telefonszámával, alapértelmezés szerint megtalálhatja a VKontakte-on, még akkor is, ha maga az oldal nem fedi fel valódi személyazonosságát.
Megakadályozhatja, hogy mások szám alapján találjanak rád a profilod beállításaiban (Beállítások -> Adatvédelem -> Kapcsolatfelvétel). De ez természetesen nem menti meg a speciális szolgáltatásoktól. Ne használjon hívásokat és videokommunikációt a VKontakte-on: nem ismert, hogy a hálózat valóban titkosítja-e őket végpontok között, ahogyan azt az adminisztráció állítja.
Weboldal biztonsága
Az egyetlen jó hír az több mint a fele Az interneten található összes népszerű webhely már rendelkezik https verzióval, vagy teljesen átállt a https verzió használatára. Az ilyen oldalakon kapott és továbbított információ titkosított, és harmadik felek nem olvashatják el. Az ilyen erőforrásokat zöld színnel és a „védett” szóval jelölik.
Itt ér véget a jó hír. A https protokoll ellenére az ilyen webhely meglátogatásának ténye és a DNS-kérések (az Ön által elért tartományokra vonatkozó információk) továbbra is láthatóak maradnak az internetszolgáltató számára.
Egy másik hír azonban ennél is rosszabb: az oldalak fennmaradó fele a szokásos http protokoll használatával, azaz adattitkosítás nélkül működik. A megoldás egy VPN lehet, amely abszolút minden fogadott és továbbított adatot titkosít, hogy ne legyen olvasható információ az internetszolgáltató oldalán, illetve bárki, aki megpróbál behatolni Ön és a végoldal közé. Az egyetlen dolog, ami látható lesz, az a tény, hogy csatlakozik egy bizonyos IP-címhez az interneten (vagyis egy VPN-kiszolgálóhoz). És semmi több.
Boldogok leszünk, ha az élet hirtelen ilyen egyszerűvé válik: kapcsolja be a VPN-t, és felejtse el az érzékeny információk kiszivárgását. De ez nem igaz. Rendszeresen ellenőrizze, hogy kedvenc erőforrása szerepel-e az ARI-nyilvántartásban, figyelje meg, hogyan kommunikál a hatóságokkal, ellenőrizze az aktív kapcsolatokat az azonnali üzenetküldők és a közösségi hálózatok beállításaiban, és állítsa vissza a gyanúsakat (majd mindenképpen módosítsa a jelszavakat).
globálisan
A kommunikációs csatornákkal és az adatátvitellel végzett munka során csak a biztonság és az adatvédelem átfogó megközelítése van értelme. Kövesse az Internet biztonsági eseményeit Telegram csatornánkon @hidemyname_ru, az oldalon Roskomsvoboda és egyéb, az interneten és különösen a RuNeten zajló eseményeknek szentelt forrásokon.