Ciao Habr.
Questi siamo noi, servizio VPN . Attualmente stiamo lavorando temporaneamente sul mirror HideMyna.me. Perché? Il 20 luglio 2018 ci ha aggiunto Roskomnadzor a causa della decisione del tribunale distrettuale Medvedevskij di Yoshkar-Ola. La corte ha stabilito che i visitatori del nostro sito hanno accesso illimitato ai materiali estremisti #senzaregistrazionismi, e in qualche modo vi ha trovato il libro “Mein Kampf” di Adolf Hitler. A quanto pare, per affidabilità.
Questa decisione ci ha sorpreso molto, ma continuiamo a lavorare su hidemyna.me, hidemyname.org, .one, .biz, ecc. Una lunga discussione con Roskomnadzor non ha portato ad alcun risultato. Mentre io e i miei avvocati contestiamo il blocco e la magica decisione del tribunale, condividiamo con voi consigli di base per mantenere la privacy su Internet e notizie su questo argomento.
Edward Snowden ama la National Security Agency (probabilmente)
Non è un segreto che i popolari servizi russi non siano sicuri. La tua corrispondenza potrebbe in qualsiasi momento giungere all'attenzione delle forze dell'ordine nazionali. Ti diciamo cosa devi ricordare quando comunichi attraverso diversi canali di comunicazione.
SORM e ORI
C'è modi per toccare il telefono. Ufficiale e legale - SORM, un sistema di mezzi tecnici per garantire le funzioni delle attività investigative operative. Per legge nella Federazione Russa, tutti gli operatori di telefonia mobile sono tenuti a installare tale sistema sui propri PBX se non vogliono perdere la licenza. Esistono tre tipologie di SORM: il primo è stato inventato negli anni '80, il secondo ha cominciato ad essere implementato negli anni 2014, e dal XNUMX si cerca di imporre il terzo agli operatori. , la maggior parte degli operatori utilizza la seconda tipologia, ma nel 70% dei casi il sistema non funziona correttamente o non funziona affatto. Tuttavia, è ancora meglio non discutere di argomenti delicati tramite un telefono fisso o tramite una normale chiamata da un telefono cellulare.
Schema di funzionamento di SORM-2 (Fonte: mfisoft.ru)
Secondo 97-FZ nel registro devono essere iscritti tutti i messenger, i servizi e i siti che operano in Russia . Di "“Sono tenuti a conservare tutti i dati degli utenti, comprese le registrazioni delle chiamate vocali e la corrispondenza, per sei mesi. A proposito, ARI ha anche Habrahabr.
Il funzionamento del registro è descritto in dettaglio usando Threema come esempio, ma la conclusione principale è questa: ora, su richiesta delle autorità russe, qualsiasi informazione su di te potrebbe finire nelle forze dell'ordine. Pertanto, la prima cosa da fare per mantenere la riservatezza è trasferire le chiamate e i messaggi ai servizi di messaggistica istantanea che non sono presenti nel registro ARI. Oppure quelli che sono lì, ma si rifiutano di trasferire i dati alle autorità, come Threema e Telegram.
Certificato: Il semplice fatto di essere iscritti all'anagrafe ARI non garantisce che i dati verranno trasferiti alle autorità. È necessario monitorare costantemente le notizie e osservare la reazione del messaggero quando "vengono" a prenderlo.
Chiamate e messaggi vocali
Le nostre conversazioni e i nostri messaggi possono essere protetti da interferenze di terzi mediante crittografia end-to-end, motivo per cui i messenger con E2E sono considerati i più sicuri. Ma questo non è del tutto vero: diamo un’occhiata alle opzioni più popolari.
Telegram crittografia end-to-end nelle loro chat segrete e archivia i dati crittografati sulla tua corrispondenza nel cloud, che è sparso in diversi paesi con giurisdizione “sicura”. Ma dopo su Habré puoi iniziare a dubitare dell'illusione della sicurezza di Telegram Passport in E2E di Durov.
Naturalmente, le chat segrete sono ancora una buona opzione per i paranoici. Il server non è affatto coinvolto nella loro crittografia: i messaggi vengono trasmessi peer-to-peer, cioè direttamente tra i partecipanti alla corrispondenza. Per maggiore tranquillità, puoi utilizzare la funzione di autodistruzione del messaggio timer. Ma non dovresti fare affidamento ciecamente su Telegram. Per renderlo un po' più sicuro, tu e il tuo destinatario dovete andare alle impostazioni di Messenger e fare almeno due cose:
- Impostare una password quando si accede all'applicazione (Privacy e sicurezza -> Codice di accesso);
- Abilita la verifica in due passaggi (Privacy e sicurezza -> Verifica in due passaggi).
Dopodiché, oltre al codice ricevuto dall'SMS, quando accedi da un nuovo dispositivo, l'applicazione ti chiederà una password che solo tu conosci.
Attualmente la conferma dell'accesso solo tramite SMS non protegge in alcun modo una persona che utilizza una SIM card russa. Sono già noti casi di hacking di account Telegram tramite SMS intercettati: nel 2016 gli aggressori alla corrispondenza di diversi oppositori e nel 2017 resoconto del giornalista di Dozhd Mikhail Rubin.
WhatsApp per ora evita il registro ORI e utilizza anche la crittografia end-to-end, ma non è tutto così roseo. Abbiamo recentemente pubblicato sui residenti di Magadan che sono stati oggetto di un procedimento penale per aver criticato il sindaco della città. Questa storia, per fortuna, si è conclusa con la solita multa. Ma ha confermato i timori degli utenti: non è sicuro comunicare nelle chat di gruppo di WhatsApp.
Cosa succederà?
- Non appena scrivi un messaggio, il tuo numero di telefono diventerà immediatamente disponibile per tutti i membri del gruppo. E la tua identità può essere facilmente determinata dal numero.
Cosa fare?
- La soluzione potrebbe essere una SIM card “sinistra” o un numero straniero, preferibilmente europeo.
Se usi una carta russa intestata a tuo nome, evita commenti sarcastici in gruppi con nomi come “Dimettiti dal sindaco”: meglio lasciare solo la corrispondenza personale e le chiamate su WhatsApp.
Viber Inoltre non è elencato nel registro ORI, ma mantiene i contatti con le autorità russe (nel tempo libero dall'invio di spam). Questo messenger è stato uno dei primi a conformarsi ai nuovi requisiti governativi: memorizza gli accessi e i numeri di telefono degli utenti russi sul territorio della Federazione Russa, ma fornisce i dati dei messaggi - si riferisce ai meccanismi della crittografia end-to-end e alla politica aziendale.
Apple anch'esso utilizza end-to-end, ma al momento della registrazione con iMessage crea due coppie di chiavi: privata e pubblica. Il messaggio che ricevi dallo stesso proprietario del dispositivo Apple ti viene trasmesso con crittografia, che utilizza una chiave pubblica. Può essere decrittografato solo utilizzando la chiave privata del destinatario, che è memorizzata sul suo dispositivo. Puoi leggere come Apple considera la privacy degli utenti e cosa farà se riceve una richiesta dal governo Non sono stati registrati casi in cui la società abbia trasferito dati da utenti russi alle autorità russe.
Fonte:
Ma iMessage presenta due svantaggi:
- Puoi scrivere o chiamare tramite questi canali solo allo stesso proprietario Apple;
- Se hai problemi con la connessione Internet, il messaggio passerà su un normale canale cellulare e diventerà un semplice SMS facilmente intercettabile.
Per evitare che iMessage si trasformi in SMS, puoi disabilitare questa funzione in Impostazioni.
Ricercatori della Electronic Frontier Foundation che non esiste un'opzione sicura al cento per cento per chiamate e messaggi. Se alcuni messenger impediscono alle autorità di ottenere i tuoi dati privati, ciò non significa che gli hacker (o lo Stato, che può utilizzare i loro servizi) non possano farlo aggirando le leggi. Per dare all'utente la certezza che non esiste un intermediario, Telegram ha una caratteristica interessante: quando chiamano, entrambi i destinatari possono assicurarsi di vedere la stessa emoji nell'angolo in alto a destra dello schermo - questo confermerà la assenza di “intrusione” nella connessione.
Se stai cercando un modo più sicuro per comunicare, ti consigliamo di guardare oltre le chat segrete, le password e l'autenticazione a due passaggi/a due fattori, rivolgendoti ad app di nicchia meno popolari come o .
Utilizzo Signal ogni giorno. #notesforFBI (Spoiler: lo sanno già)
Электронная почта
Le aziende più famose che consentono l'utilizzo dei propri client di posta elettronica (in Russia sono Yandex, Mail.Ru e Rambler) sono già incluse nel registro ARI, il che significa che non sono molto sicure. Sì, gruppo Mail.Ru cause penali per meme e amnistia per i condannati, ma può fornire informazioni sui tuoi dati alle autorità su richiesta.
Anche se utilizzi client di posta occidentali come Gmail o Outlook, hai abilitato l'autenticazione a due fattori e sai che la tua email è crittografata utilizzando un protocollo SSL/TLS sicuro, non puoi essere sicuro che l'email del tuo destinatario sia ugualmente protetta.
Opzioni di protezione:
- Quando invii informazioni sensibili, crittografa le email utilizzando Pretty Good Privacy (). Questo programma aiuta a trasformare i dati di una lettera in un insieme di caratteri privi di significato per tutti tranne che per il mittente e il destinatario;
- Quando invii informazioni importanti presta sempre attenzione al dominio del destinatario e non scrivere ad un indirizzo sospetto;
- Verifica in anticipo con il destinatario se ha impostato l'inoltro o il ritiro della posta tramite il servizio postale russo.
Per le aziende nazionali del registro ORI in linea di principio non è utile alcuna crittografia da parte dell'utente. Le informazioni non vengono intercettate, ma archiviate e trasmesse dagli endpoint - servizi simili. L’unica soluzione può essere quella di sostituirli con analoghi più sicuri come ProtonMail, Tutanota o Hushmail. Altri servizi di posta elettronica simili possono essere trovati all'indirizzo pagina.
Social Networks
Per cominciare, riduci al minimo la tua presenza sui popolari social network russi: "My World", "Odnoklassniki" e "VKontakte". Almeno Facebook non consegna i tuoi dati alle agenzie di intelligence russe. Almeno, nessun caso del genere è stato registrato.
Ma è interessante notare che nel 2017 l’azienda ha soddisfatto ancora l’85% delle richieste del governo americano:
Schermate da
Se sei troppo abituato a VK, ma non vuoi finire sul banco degli imputati, presta attenzione ad alcune cose:
- le tue foto salvate;
- post, commenti e messaggi che scrivi;
- post che ti piacciono;
- post che condividi;
- utenti con cui sei amico.
In tutto quanto sopra, è meglio evitare tutto ciò che potrebbe essere considerato offensivo o estremista. Ricorda sempre che “condividere” significa comunicare informazioni “illegali” ad almeno una persona. L'avvocato del gruppo internazionale per i diritti umani "Agora" Damir Gainutdinov afferma che secondo la legge ORI anche bozze di messaggi non inviati alle forze dell'ordine. Leggi di più su come non farti beccare per aver ripubblicato
A proposito, ormai da qualche tempo chiunque abbia il tuo numero di telefono può trovarti su VKontakte per impostazione predefinita, anche se la pagina stessa non rivela la tua vera identità.
Puoi impedire alle persone di trovarti tramite numero nelle impostazioni del tuo profilo (Impostazioni -> Privacy -> Contattami). Ma questo, ovviamente, non ti salverà dai servizi speciali. Non utilizzare chiamate e comunicazioni video su VKontakte: non è noto se la rete le crittografi effettivamente end-to-end, come sostiene l'amministrazione.
Sicurezza del sito web
L'unica buona notizia è questa Tutti i siti più popolari su Internet dispongono già di una versione https o sono passati completamente all'utilizzo solo delle versioni https. Le informazioni ricevute e trasmesse su tali siti sono crittografate e non possono essere lette da terzi. Tali risorse sono contrassegnate in verde e con la parola “protette”.
Ecco dove finiscono le buone notizie. Nonostante il protocollo https, la visita di un sito di questo tipo e le richieste DNS (informazioni sui domini a cui si è effettuato l'accesso) rimangono visibili al provider Internet.
Ma c'è un'altra notizia ancora peggiore: la restante metà dei siti funziona utilizzando il normale protocollo http, cioè senza crittografia dei dati. La soluzione potrebbe essere una VPN, che crittografa assolutamente tutti i dati ricevuti e trasmessi in modo che non ci siano informazioni leggibili da parte del provider Internet e di chiunque tenti di intromettersi tra te e il sito finale. L'unica cosa che sarà visibile è il fatto di connettersi a un determinato indirizzo IP su Internet (cioè a un server VPN). E niente di più.
Saremo felici se all'improvviso la vita diventasse davvero così semplice: attiva la VPN e dimentica la fuga di informazioni sensibili. Ma non è vero. Controlla regolarmente se la tua risorsa preferita è inclusa nel registro ARI, monitora come interagisce con le autorità, controlla le connessioni attive nelle impostazioni di messaggistica istantanea e social network e reimposta quelle sospette (e poi assicurati di cambiare le password).
globalmente
Quando si lavora con i canali di comunicazione e il trasferimento dei dati, ha senso solo un approccio globale alla sicurezza e alla privacy. Segui gli eventi sulla sicurezza Internet nel nostro canale Telegram , nello stato e su altre risorse dedicate agli eventi su Internet e RuNet in particolare.
Quali misure di sicurezza stai adottando?
Fonte: habr.com