Hæ Habr.
Þetta erum við, VPN þjónusta . Við erum að vinna tímabundið að HideMyna.me speglinum. Hvers vegna? Þann 20. júlí 2018 bætti Roskomnadzor okkur við vegna úrskurðar Medvedevsky héraðsdóms í Yoshkar-Ola. Dómstóllinn úrskurðaði að gestir á síðuna okkar hefðu ótakmarkaðan aðgang að öfgakenndu efni #withoutregistrationisms og fann einhvern veginn bókina „Mein Kampf“ eftir Adolf Hitler á henni. Greinilega fyrir áreiðanleika.
Þessi ákvörðun kom okkur mjög á óvart, en við höldum áfram að vinna á hidemyna.me, hidemyname.org, .one, .biz o.s.frv. Langvarandi rifrildi við Roskomnadzor leiddi ekki til neinnar niðurstöðu. Á meðan ég og lögfræðingar mínir erum að mótmæla lokuninni og hinni töfrandi dómsúrskurði, erum við að deila með þér helstu ráðum til að viðhalda friðhelgi einkalífs á netinu og fréttum um þetta efni.
Edward Snowden elskar Þjóðaröryggisstofnunina (líklega)
Það er ekkert leyndarmál að vinsæl rússnesk þjónusta er óörugg. Samskipti þín geta hvenær sem er komið fyrir hjá innlendum lögreglumönnum. Við segjum þér hvað þú þarft að muna þegar þú átt samskipti í gegnum mismunandi samskiptaleiðir.
SORM og ORI
Það er leiðir til að smella á símann þinn. Opinber og lögleg - SORM, kerfi tæknilegra leiða til að tryggja virkni rannsóknarstarfsemi í rekstri. Samkvæmt lögum í rússneska sambandsríkinu þurfa allir farsímafyrirtæki að setja upp slíkt kerfi á PBX-tölvum sínum ef þeir vilja ekki missa leyfið. Það eru þrjár gerðir af SORM: sú fyrri var fundin upp á níunda áratugnum, sú síðari byrjaði að vera innleidd á 80 og þeir hafa reynt að leggja þá þriðju á rekstraraðila síðan 2014. , flestir rekstraraðilar nota seinni gerð, en í 70% tilvika virkar kerfið ekki rétt eða virkar alls ekki. Hins vegar er samt betra að ræða ekki viðkvæm efni í heimasíma eða með venjulegu símtali úr farsíma.
Rekstraráætlun SORM-2 (Heimild: mfisoft.ru)
Samkvæmt 97-FZ verða allir boðberar, þjónusta og síður sem starfa í Rússlandi að vera með í skránni . Eftir "„Þeim er skylt að geyma öll notendagögn, þar á meðal upptökur á símtölum og bréfaskriftum, í sex mánuði. Við the vegur, ARI hefur líka Habrahabr.
Starfsemi skrárinnar er lýst í smáatriðum með Threema sem dæmi, en meginniðurstaðan er þessi: Nú geta allar upplýsingar um þig, að beiðni rússneskra yfirvalda, endað hjá lögregluyfirvöldum. Þess vegna er það fyrsta sem þarf að gera til að halda trúnaði að flytja símtöl og skilaboð til spjallforrita, sem eru ekki í ARI skránni. Eða þá sem eru þarna, en neita að flytja gögn til yfirvalda - eins og Threema og Telegram.
Vottorð: Það eitt að vera í ARI skránni tryggir ekki að gögnin verði flutt til yfirvalda. Þú þarft stöðugt að fylgjast með fréttum og horfa á viðbrögð boðberans þegar þeir „koma“ til hans.
Símtöl og skilaboð
Hægt er að verja samtöl okkar og skilaboð fyrir truflunum þriðja aðila með dulkóðun frá enda til enda, sem er ástæðan fyrir því að boðberar með E2E eru taldir öruggustu. En þetta er ekki alveg satt: við skulum skoða vinsæla valkosti.
Telegram enda-til-enda dulkóðun í leynispjalli þeirra og geymir dulkóðuð gögn um bréfaskipti þín í skýinu, sem er dreift um mismunandi lönd með „örugga“ lögsögu. En eftir á Habré geturðu farið að efast um tálsýn um öryggi Telegram Passport í E2E frá Durov.
Auðvitað eru Secret Chats enn góður kostur fyrir ofsóknaræði. Miðlarinn tekur alls ekki þátt í dulkóðun þeirra: skilaboð eru send jafningi til jafningja, það er beint á milli þátttakenda í bréfaskiptum. Til að auka hugarró geturðu notað tímamælisskilaboðin sjálfseyðingaraðgerð. En þú ættir ekki að treysta í blindni á Telegram. Til að gera það aðeins öruggara verður þú og viðtakandinn þinn að fara í boðberastillingarnar og gera að minnsta kosti tvennt:
- Stilltu lykilorð þegar þú skráir þig inn í forritið (Persónuvernd og öryggi -> Aðgangskóða);
- Virkja tveggja þrepa staðfestingu (Persónuvernd og öryggi -> Tvíþætt staðfesting).
Eftir þetta, auk kóðans frá SMS, þegar þú skráir þig inn úr nýju tæki, mun forritið biðja um lykilorð sem aðeins þú veist.
Sem stendur verndar staðfesting innskráningar aðeins með SMS á engan hátt einstakling sem notar rússneskt SIM-kort. Tilfelli um innbrot á Telegram reikninga með hleruðum SMS skilaboðum eru þegar þekkt - árið 2016, árásarmenn til bréfaskipta nokkurra stjórnarandstæðinga og árið 2017 frásögn Dozhd blaðamannsins Mikhail Rubin.
WhatsApp í bili forðast það ORI registry og notar líka dulkóðun frá enda til enda, en allt er ekki svo bjart með það. Við birtum nýlega um íbúa í Magadan sem sættu sakamáli fyrir að gagnrýna borgarstjórann. Þessi saga endaði sem betur fer með venjulegri sekt. En það staðfesti ótta notenda: það er ekki öruggt að eiga samskipti í WhatsApp hópspjalli.
Hvað mun gerast?
- Um leið og þú skrifar skilaboð verður símanúmerið þitt strax aðgengilegt öllum hópmeðlimum. Og auðkenni þitt er auðvelt að ákvarða með fjöldanum.
Hvað á að gera?
- Lausnin gæti verið „vinstri“ SIM-kort eða erlent númer – helst evrópskt.
Ef þú notar rússneskt kort sem skráð er á þínu nafni, forðastu kaldhæðnislegar athugasemdir í hópum með nöfnum eins og „Segðu af fyrir borgarstjórann“: það er betra að skilja aðeins eftir persónuleg bréfaskipti og símtöl um WhatsApp.
Viber er heldur ekki skráður í ORI skránni, en heldur samskiptum við rússnesk yfirvöld (í frítíma sínum frá ruslpóstsendingum). Þessi boðberi var einn af þeim fyrstu til að uppfylla nýjar kröfur stjórnvalda: hann geymir innskráningar og símanúmer rússneskra notenda á yfirráðasvæði Rússlands, en veitir skilaboðagögn — vísar til vélrænna dulkóðunar frá enda til enda og stefnu fyrirtækja.
Apple notar líka end-to-end, en þegar þú skráir þig hjá iMessage myndast tvö lykilpör: einka og opinber. Skilaboðin sem þú færð frá sama eiganda Apple-tækis eru send til þín með dulkóðun sem notar opinberan lykil. Aðeins er hægt að afkóða það með því að nota einkalykil viðtakandans, sem er geymdur í tækinu hans. Þú getur lesið um hvernig Apple lítur á friðhelgi notenda og hvað það mun gera ef það fær beiðni frá stjórnvöldum Engin skráð tilvik hafa verið um að fyrirtækið hafi flutt gögn frá rússneskum notendum til rússneskra yfirvalda.
Heimild:
- Þú getur skrifað eða hringt í gegnum þessar rásir aðeins til sama Apple eiganda;
- Ef þú átt í vandræðum með nettenginguna þína fara skilaboðin yfir venjulega farsímarás og verða að einföldu SMS sem auðvelt er að hlera.
Til að forðast að iMessage breytist í SMS geturðu slökkt á þessum eiginleika í stillingum.
Vísindamenn frá Electronic Frontier Foundation að það sé enginn hundrað prósent öruggur valkostur fyrir símtöl og skilaboð. Ef einhverjir sendiboðar koma í veg fyrir að yfirvöld komist yfir einkagögn þín þýðir það ekki að tölvuþrjótar (eða ríkið, sem getur notað þjónustu þeirra) geti ekki gert þetta með því að sniðganga lögin. Til að gefa notandanum sjálfstraust um að enginn maður sé í miðjunni hefur Telegram góðan eiginleika: þegar hringt er geta báðir viðtakendur gengið úr skugga um að þeir sjái sama emoji í efra hægra horninu á skjánum - þetta mun staðfesta skortur á „afskipti“ í tenginguna.
Ef þú ert að leita að öruggari leið til samskipta mælum við með því að þú horfir lengra en leynileg spjall, lykilorð og tveggja þrepa/tveggja þátta auðkenningu til minna vinsælra sessforrita eins og eða .
Ég nota Signal á hverjum degi. #notesforFBI (Spoiler: þeir vita það nú þegar)
Vinsæl fyrirtæki sem gera það mögulegt að nota tölvupóstþjóna sína (í Rússlandi eru þetta Yandex, Mail.Ru og Rambler) eru nú þegar innifalin í ARI skránni, sem þýðir að þau eru ekki mjög örugg. Já, Mail.Ru Group sakamál vegna memes og sakaruppgjöf fyrir sakfellda, en getur gefið upplýsingar um gögn þín til yfirvalda sé þess óskað.
Jafnvel þótt þú notir vestræna tölvupóstforrit eins og Gmail eða Outlook, hafir tvíþætta auðkenningu virka og veist að tölvupósturinn þinn er dulkóðaður með öruggri SSL/TLS samskiptareglu, geturðu ekki verið viss um að tölvupóstur viðtakandans sé jafn varinn.
Verndarvalkostir:
- Þegar þú sendir viðkvæmar upplýsingar skaltu dulkóða tölvupóst með því að nota Pretty Good Privacy (). Þetta forrit hjálpar til við að breyta gögnum úr bréfi í merkingarlaust sett af stöfum fyrir alla nema sendanda og viðtakanda;
- Þegar þú sendir mikilvægar upplýsingar skaltu alltaf fylgjast með léni viðtakandans og ekki skrifa á grunsamlegt heimilisfang;
- Athugaðu með viðtakanda fyrirfram hvort hann eða hún hafi sett upp áframsendingu eða söfnun pósts í gegnum rússnesku póstþjónustuna.
Þegar um er að ræða innlend fyrirtæki frá ORI skránni mun engin dulkóðun notendamegin í grundvallaratriðum hjálpa. Upplýsingar eru ekki hleraðar, heldur geymdar og sendar með endastöðvum - sambærileg þjónusta. Eina lausnin getur verið að skipta þeim út fyrir öruggari hliðstæður eins og ProtonMail, Tutanota eða Hushmail. Fleiri slíka tölvupóstþjónustu er að finna á síðu.
Netsamfélög
Til að byrja með skaltu lágmarka viðveru þína á vinsælum rússneskum samfélagsnetum - "My World", "Odnoklassniki" og "VKontakte". Að minnsta kosti afhendir Facebook ekki gögnin þín til rússneskra leyniþjónustustofnana. Að minnsta kosti hafa engin slík tilvik verið skráð.
En það er athyglisvert að árið 2017 uppfyllti fyrirtækið enn 85% beiðna frá bandarískum stjórnvöldum:
Skjáskot frá
Ef þú ert of vön VK en vilt ekki lenda í bryggjunni skaltu taka eftir nokkrum hlutum:
- vistuðu myndirnar þínar;
- færslur, athugasemdir og skilaboð sem þú skrifar;
- færslur sem þér líkar við;
- færslur sem þú deilir;
- notendur sem þú ert vinir með.
Í öllu ofangreindu er best að forðast allt sem gæti talist móðgandi eða öfgakennt. Mundu alltaf að „deila“ þýðir að miðla „ólöglegum“ upplýsingum til að minnsta kosti eins manns. Lögfræðingur alþjóðlegu mannréttindasamtakanna "Agora" Damir Gainutdinov heldur því fram að samkvæmt lögum hafi ORI jafnvel drög að ósendum skilaboðum til löggæslustofnana. Lestu meira um hvernig á að vera ekki tekinn fyrir endurbirtingu
Við the vegur, í nokkurn tíma núna geta allir sem hafa símanúmerið þitt fundið þig á VKontakte sjálfgefið, jafnvel þótt síðan sjálft sýni ekki raunverulegt auðkenni þitt.
Þú getur komið í veg fyrir að fólk finni þig eftir númeri í prófílstillingunum þínum (Stillingar -> Persónuvernd -> Hafðu samband við mig). En þetta mun auðvitað ekki bjarga þér frá sérþjónustunni. Ekki nota símtöl og myndsamskipti á VKontakte: það er óþekkt hvort netið dulkóðar þau í raun frá enda til enda eins og stjórnin heldur fram.
Öryggi vefsíðu
Einu góðu fréttirnar eru þær Allar vinsælar síður á netinu eru nú þegar með https útgáfu eða hafa alveg skipt yfir í að nota eingöngu https útgáfur. Upplýsingar sem berast og eru sendar á slíkum síðum eru dulkóðaðar og ekki er hægt að lesa þær af þriðju aðilum. Slíkar auðlindir eru merktar með grænu og orðið „verndaðar“.
Þar endar góðu fréttirnar. Þrátt fyrir https-samskiptareglur eru staðreyndin um að heimsækja slíka síðu og DNS-beiðnir (upplýsingar um hvaða lén þú opnaðir) enn sýnileg fyrir netveituna.
En önnur frétt er enn verri: Afgangur helmingur vefsvæða starfar með venjulegri http-samskiptareglu, það er án dulkóðunar gagna. Lausnin gæti verið VPN, sem dulkóðar algerlega öll móttekin og send gögn þannig að engar læsilegar upplýsingar séu á hlið netveitunnar og allra sem reyna að síast inn á milli þín og lokasíðunnar. Það eina sem verður sýnilegt er sú staðreynd að tengjast ákveðnu IP-tölu á netinu (þ.e. við VPN netþjón). Og ekkert meira.
Við munum vera ánægð ef lífið verður skyndilega svo einfalt: kveiktu á VPN og gleymdu leka á viðkvæmum upplýsingum. En það er ekki satt. Athugaðu reglulega hvort uppáhalds auðlindin þín sé innifalin í ARI skránni, fylgstu með hvernig hún hefur samskipti við yfirvöld, athugaðu virkar tengingar í stillingum spjallforrita og samfélagsneta og endurstilltu grunsamleg (og vertu viss um að breyta lykilorðum).
á heimsvísu
Þegar unnið er með samskiptaleiðir og gagnaflutning er aðeins skynsamleg nálgun á öryggi og friðhelgi einkalífsins. Fylgstu með netöryggisviðburðum á Telegram rásinni okkar , á síðunni og um önnur úrræði tileinkuð viðburðum á Netinu og RuNet sérstaklega.
Hvaða öryggisráðstafanir ertu að gera?
Heimild: www.habr.com