Hei Habr.
Inilah kami, layanan VPN . Saat ini kami sedang mengerjakan sementara pada mirror HideMyna.me. Mengapa? Pada 20 Juli 2018 Roskomnadzor menambahkan kami karena keputusan Pengadilan Distrik Medvedevsky di Yoshkar-Ola. Pengadilan memutuskan bahwa pengunjung situs kami memiliki akses tak terbatas ke materi ekstremis #tanparegistrasi, dan entah bagaimana menemukan buku “Mein Kampf” karya Adolf Hitler di dalamnya. Rupanya, untuk keandalan.
Keputusan ini sangat mengejutkan kami, namun kami terus mengerjakan hidemyna.me, hidemyname.org, .one, .biz, dll. Pertengkaran yang berkepanjangan dengan Roskomnadzor tidak membuahkan hasil apa pun. Sementara saya dan pengacara saya menentang pemblokiran dan keputusan pengadilan yang ajaib, kami berbagi dengan Anda tip dasar untuk menjaga privasi di Internet dan berita tentang topik ini.
Edward Snowden menyukai Badan Keamanan Nasional (mungkin)
Bukan rahasia lagi bahwa layanan populer Rusia tidak aman. Korespondensi Anda sewaktu-waktu dapat menjadi perhatian petugas penegak hukum dalam negeri. Kami memberi tahu Anda apa yang perlu Anda ingat saat berkomunikasi melalui saluran komunikasi yang berbeda.
SORM dan ORI
Ada cara untuk menyadap ponsel Anda. Resmi dan legal - SORM, sistem sarana teknis untuk memastikan fungsi kegiatan investigasi operasional. Berdasarkan undang-undang di Federasi Rusia, semua operator seluler diharuskan memasang sistem seperti itu pada PBX mereka jika mereka tidak ingin kehilangan lisensinya. Ada tiga jenis SORM: yang pertama ditemukan pada tahun 80an, yang kedua mulai diterapkan pada tahun 2014an, dan yang ketiga telah dicoba diterapkan pada operator sejak tahun XNUMX. , sebagian besar operator menggunakan tipe kedua, tetapi dalam 70% kasus, sistem tidak berfungsi dengan benar atau tidak berfungsi sama sekali. Namun, lebih baik tidak membahas topik sensitif melalui telepon rumah atau panggilan biasa dari telepon seluler.
Skema pengoperasian SORM-2 (Sumber: mfisoft.ru)
Menurut 97-FZ, setiap pengirim pesan instan, layanan, dan situs yang beroperasi di Rusia harus dimasukkan dalam daftar . Oleh "“Mereka wajib menyimpan seluruh data pengguna, termasuk rekaman panggilan suara dan korespondensi, selama enam bulan. Omong-omong, ARI juga punya Habrahabr.
Pengoperasian registri dijelaskan secara rinci menggunakan Threema sebagai contoh, tetapi kesimpulan utamanya adalah ini: sekarang, atas permintaan otoritas Rusia, informasi apa pun tentang Anda mungkin akan masuk ke lembaga penegak hukum. Oleh karena itu, hal pertama yang harus dilakukan untuk menjaga kerahasiaan adalah dengan mentransfer panggilan dan pesan ke pesan instan yang tidak ada dalam registri ARI. Atau yang ada, tapi menolak mentransfer data ke pihak berwenang - seperti Threema dan Telegram.
Sertifikat: Hanya berada di registri ARI tidak menjamin bahwa data akan ditransfer ke pihak yang berwenang. Anda harus terus memantau berita dan melihat reaksi pembawa pesan ketika mereka “datang” untuknya.
Panggilan suara dan pesan
Percakapan dan pesan kami dapat dilindungi dari campur tangan pihak ketiga dengan enkripsi ujung ke ujung, itulah sebabnya pengirim pesan dengan E2E dianggap paling aman. Namun ini tidak sepenuhnya benar: mari kita lihat opsi yang populer.
Telegram enkripsi ujung ke ujung dalam Obrolan Rahasia mereka dan menyimpan data terenkripsi tentang korespondensi Anda di cloud, yang tersebar di berbagai negara dengan yurisdiksi “aman”. Tapi setelahnya di Habré Anda bisa mulai meragukan ilusi keamanan Telegram Passport di E2E dari Durov.
Tentu saja, Obrolan Rahasia masih merupakan pilihan bagus bagi paranoid. Server sama sekali tidak terlibat dalam enkripsi mereka: pesan dikirimkan secara peer-to-peer, yaitu langsung antara peserta dalam korespondensi. Untuk menambah ketenangan pikiran, Anda dapat menggunakan fungsi penghancuran otomatis pesan pengatur waktu. Namun Anda tidak boleh begitu saja bergantung pada Telegram. Untuk membuatnya lebih aman, Anda dan penerima Anda harus membuka pengaturan messenger dan melakukan setidaknya dua hal:
- Tetapkan kata sandi saat masuk ke aplikasi (Keamanan dan Privasi -> passcode);
- Aktifkan verifikasi dua langkah (Keamanan dan Privasi -> Dua Langkah Verifikasi).
Setelah itu, selain kode dari SMS, saat login dari perangkat baru, aplikasi akan meminta password yang hanya Anda yang tahu.
Saat ini, konfirmasi login hanya melalui SMS sama sekali tidak melindungi orang yang menggunakan kartu SIM Rusia. Kasus peretasan akun Telegram melalui pesan SMS yang disadap sudah diketahui - pada tahun 2016, penyerang untuk korespondensi beberapa oposisi, dan pada tahun 2017 akun jurnalis Dozhd Mikhail Rubin.
WhatsApp untuk saat ini ia menghindari registri ORI dan juga menggunakan enkripsi ujung ke ujung, tetapi semuanya tidak begitu baik dengannya. Kami baru saja menerbitkannya tentang warga Magadan yang menjadi sasaran kasus pidana karena mengkritik walikota. Untungnya, cerita ini berakhir dengan denda seperti biasanya. Namun hal ini menegaskan ketakutan pengguna: tidak aman untuk berkomunikasi dalam obrolan grup WhatsApp.
Apa yang akan terjadi?
- Segera setelah Anda menulis pesan, nomor telepon Anda akan segera tersedia untuk semua anggota grup. Dan identitas Anda dapat dengan mudah ditentukan berdasarkan nomornya.
Apa yang harus dilakukan?
- Solusinya bisa berupa kartu SIM “kiri” atau nomor asing – sebaiknya nomor Eropa.
Jika Anda menggunakan kartu Rusia yang terdaftar atas nama Anda, hindari komentar sarkastik di grup dengan nama seperti “Mundur untuk Walikota”: lebih baik tinggalkan korespondensi pribadi dan panggilan WhatsApp saja.
Viber juga tidak terdaftar di registri ORI, tetapi menjaga komunikasi dengan otoritas Rusia (di waktu luangnya dari pengiriman spam). Utusan ini adalah salah satu yang pertama mematuhi persyaratan pemerintah yang baru: ia menyimpan login dan nomor telepon pengguna Rusia di wilayah Federasi Rusia, tetapi menyediakan data pesan — mengacu pada mekanisme enkripsi ujung ke ujung dan kebijakan perusahaan.
Apple juga menggunakan end-to-end, tetapi saat mendaftar dengan iMessage, dua pasangan kunci dibuat: pribadi dan publik. Pesan yang Anda terima dari pemilik perangkat apple yang sama dikirimkan kepada Anda dengan enkripsi, yang menggunakan kunci publik. Itu hanya dapat didekripsi menggunakan kunci pribadi penerima, yang disimpan di perangkatnya. Anda dapat membaca tentang cara Apple memandang privasi pengguna dan apa yang akan dilakukannya jika menerima permintaan dari pemerintah Belum ada kasus yang tercatat di mana perusahaan mentransfer data dari pengguna Rusia ke otoritas Rusia.
Sumber:
Namun iMessage memiliki dua kelemahan:
- Anda dapat menulis atau menelepon melalui saluran ini hanya ke pemilik Apple yang sama;
- Jika Anda mempunyai masalah dengan koneksi Internet, pesan tersebut akan dikirim melalui saluran seluler biasa dan menjadi SMS sederhana yang dapat dengan mudah disadap.
Untuk menghindari iMessage berubah menjadi SMS, Anda dapat menonaktifkan fitur ini di Pengaturan.
Peneliti dari Electronic Frontier Foundation bahwa tidak ada pilihan yang XNUMX% aman untuk panggilan dan pesan. Jika beberapa pengirim pesan menghalangi pihak berwenang untuk mendapatkan data pribadi Anda, ini tidak berarti bahwa peretas (atau negara yang dapat menggunakan layanan mereka) tidak dapat melakukan hal ini dengan menghindari hukum. Untuk memberikan keyakinan kepada pengguna bahwa tidak ada orang yang berada di tengah, Telegram memiliki fitur yang bagus: saat menelepon, kedua penerima dapat memastikan bahwa mereka melihat emoji yang sama di sudut kanan atas layar - ini akan mengonfirmasi tidak adanya “ intrusi" ke dalam koneksi.
Jika Anda mencari cara yang lebih aman untuk berkomunikasi, sebaiknya lihat lebih dari sekadar obrolan rahasia, kata sandi, dan autentikasi dua langkah/dua faktor, hingga aplikasi khusus yang kurang populer seperti или .
Saya menggunakan Signal setiap hari. #notesforFBI (Spoiler: mereka sudah tahu)
Электронная почта
Perusahaan populer yang memungkinkan penggunaan klien email mereka (di Rusia adalah Yandex, Mail.Ru, dan Rambler) sudah termasuk dalam registri ARI, yang berarti mereka tidak terlalu aman. Ya, Grup Mail.Ru kasus pidana untuk meme dan amnesti bagi terpidana, tetapi dapat memberikan informasi tentang data Anda kepada pihak berwenang berdasarkan permintaan.
Meskipun Anda menggunakan klien email Barat seperti Gmail atau Outlook, mengaktifkan autentikasi dua faktor, dan mengetahui bahwa email Anda dienkripsi menggunakan protokol SSL/TLS yang aman, Anda tidak dapat memastikan bahwa email penerima Anda juga terlindungi.
Opsi perlindungan:
- Saat mengirim informasi sensitif, enkripsi email menggunakan Pretty Good Privacy (). Program ini membantu mengubah data dari sebuah surat menjadi kumpulan karakter yang tidak berarti bagi semua orang kecuali pengirim dan penerima;
- Saat mengirimkan informasi penting, selalu perhatikan domain penerima dan jangan menulis ke alamat yang mencurigakan;
- Tanyakan kepada penerima terlebih dahulu apakah dia telah mengatur penerusan atau pengumpulan surat melalui layanan pos Rusia.
Dalam kasus perusahaan domestik dari registri ORI, pada prinsipnya tidak ada enkripsi di sisi pengguna yang akan membantu. Informasi tidak disadap, tetapi disimpan dan dikirimkan melalui titik akhir - layanan serupa. Satu-satunya solusi adalah menggantinya dengan analog yang lebih aman seperti ProtonMail, Tutanota atau Hushmail. Layanan email serupa lainnya dapat ditemukan di halaman
Jaringan Sosial
Pertama-tama, minimalkan kehadiran Anda di jejaring sosial populer Rusia - “Dunia Saya”, “Odnoklassniki”, dan “VKontakte”. Setidaknya Facebook tidak menyerahkan data Anda ke badan intelijen Rusia. Setidaknya, tidak ada kasus seperti itu yang tercatat.
Namun yang menarik adalah pada tahun 2017, perusahaan masih memenuhi 85% permintaan dari pemerintah AS:
Tangkapan layar dari
Jika Anda terlalu terbiasa dengan VK, tetapi tidak ingin berakhir di dok, perhatikan beberapa hal:
- gambar yang Anda simpan;
- kiriman, komentar, dan pesan yang Anda tulis;
- postingan yang Anda suka;
- postingan yang Anda bagikan;
- pengguna yang berteman dengan Anda.
Dari semua hal di atas, yang terbaik adalah menghindari apa pun yang dapat dianggap menyinggung atau ekstremis. Ingatlah selalu bahwa “berbagi” berarti mengkomunikasikan informasi “ilegal” kepada setidaknya satu orang. Pengacara kelompok hak asasi manusia internasional "Agora" Damir Gainutdinov mengklaim bahwa menurut hukum, ORI bahkan draf pesan yang belum terkirim ke lembaga penegak hukum. Baca lebih lanjut tentang bagaimana agar tidak ketahuan karena memposting ulang
Ngomong-ngomong, untuk beberapa waktu sekarang siapa pun yang memiliki nomor telepon Anda dapat menemukan Anda di VKontakte secara default, meskipun halaman itu sendiri tidak mengungkapkan identitas asli Anda.
Anda dapat mencegah orang lain menemukan Anda berdasarkan nomor di pengaturan profil Anda (Pengaturan -> Privasi -> Hubungi saya). Namun hal ini tentu saja tidak akan menyelamatkan Anda dari layanan khusus. Jangan gunakan panggilan dan komunikasi video di VKontakte: tidak diketahui apakah jaringan benar-benar mengenkripsinya secara end-to-end, seperti yang diklaim oleh administrasi.
Keamanan Situs Web
Satu-satunya kabar baik adalah itu Semua situs populer di Internet sudah memiliki versi https atau sudah sepenuhnya beralih menggunakan versi https saja. Informasi yang diterima dan dikirimkan di situs tersebut dienkripsi dan tidak dapat dibaca oleh pihak ketiga. Sumber daya tersebut ditandai dengan warna hijau dan kata “dilindungi”.
Di situlah kabar baik berakhir. Terlepas dari protokol https, fakta mengunjungi situs tersebut dan permintaan DNS (informasi tentang domain mana yang Anda akses) masih tetap terlihat oleh penyedia Internet.
Namun berita lain yang lebih buruk lagi: separuh situs lainnya beroperasi menggunakan protokol http biasa, yaitu tanpa enkripsi data. Solusinya bisa berupa VPN, yang benar-benar mengenkripsi semua data yang diterima dan dikirimkan sehingga tidak ada informasi yang dapat dibaca di pihak penyedia Internet dan siapa pun yang mencoba menyusup antara Anda dan situs akhir. Satu-satunya hal yang akan terlihat adalah fakta menghubungkan ke alamat IP tertentu di Internet (yaitu ke server VPN). Dan tidak ada lagi.
Kami akan senang jika hidup tiba-tiba menjadi begitu sederhana: aktifkan VPN dan lupakan kebocoran informasi sensitif. Tapi itu tidak benar. Periksa secara teratur apakah sumber daya favorit Anda termasuk dalam registri ARI, pantau cara ia berinteraksi dengan pihak berwenang, periksa koneksi aktif dalam pengaturan pesan instan dan jejaring sosial, dan setel ulang yang mencurigakan (dan kemudian pastikan untuk mengubah kata sandi).
secara global
Saat bekerja dengan saluran komunikasi dan transfer data, hanya pendekatan komprehensif terhadap keamanan dan privasi yang masuk akal. Ikuti acara keamanan Internet di saluran Telegram kami , di situs dan sumber daya lain yang didedikasikan untuk acara di Internet dan Runet pada khususnya.
Tindakan keamanan apa yang Anda ambil?
Sumber: www.habr.com