VPNだけではありません。 自分自身と自分のデータを保護する方法に関するチートシート

おい、ハブル。

これが私たちのVPNサービスです HideMy.name。 現在、一時的に HideMyna.me ミラーの開発に取り組んでいます。 なぜ？ 20 年 2018 月 XNUMX 日に Roskomnadzor が私たちを追加しました 禁止されたリソースのリストへ ヨシュカルオラのメドベージェフスキー地方裁判所の判決による。 裁判所は、当サイトの訪問者は登録主義なしに過激派資料に無制限にアクセスできるとの判決を下し、その中になぜかアドルフ・ヒトラーの『我が闘争』という本が掲載されていた。 どうやら、信頼性のためのようです。

この決定には私たちは非常に驚きましたが、私たちは Hidemyna.me、hidemyname.org、.one、.biz などへの取り組みを続けています。Roskomnadzor との長期にわたる議論は何の結果にもつながりませんでした。 弁護士と私がブロックと魔法の裁判所の判決に異議を唱えている間、インターネット上でプライバシーを維持するための基本的なヒントとこのトピックに関するニュースを共有します。

エドワード・スノーデンは国家安全保障局が大好きです（おそらく）

ロシアの人気サービスが安全でないことは周知の事実です。 あなたの通信はいつでも国内の法執行官の目に触れる可能性があります。 さまざまなコミュニケーション チャネルを通じてコミュニケーションをとるときに覚えておく必要があることを説明します。

SORMとORI

あり たくさんの異なる 携帯電話をタップする方法。 公式かつ合法 - SORM、作戦上の調査活動の機能を保証する技術的手段のシステム。 ロシア連邦の法律により、すべての携帯電話事業者は、ライセンスを失いたくない場合、自社の PBX にそのようなシステムをインストールすることが義務付けられています。 SORM には 80 つのタイプがあり、2014 つ目は XNUMX 年代に発明され、XNUMX つ目は XNUMX 年代に実装され始め、XNUMX 年から XNUMX つ目は通信事業者に課そうとしています。 RBCによると、ほとんどのオペレータは 70 番目のタイプを使用しますが、XNUMX% の場合、システムは正しく動作しないか、まったく動作しません。 ただし、固定電話や携帯電話からの通常の通話では、デリケートな話題について話し合わない方がよいでしょう。

SORM-2 の操作スキーム (出典: mfisoft.ru)

97-FZによると、ロシアで運営されているメッセンジャー、サービス、サイトはすべて登録に含める必要がある 情報発信の主催者。 による "ヤロヴァヤの法則「音声通話の録音や通信を含むすべてのユーザーデータをXNUMXか月間保存することが義務付けられています。 ちなみにARIにはハブラハブルもあります。

レジストリの操作を詳しく説明します ここで Threema を例に挙げますが、主な結論は次のとおりです。現在、ロシア当局の要請により、あなたに関するあらゆる情報が法執行機関に渡る可能性があります。 したがって、機密性を維持するために最初に行うべきことは、通話とメッセージを ARI レジストリにないインスタント メッセンジャーに転送することです。 あるいは、Threema や Telegram など、存在するものの当局へのデータ転送を拒否する企業もいます。

証明書: ARI レジストリに存在するだけでは、データが当局に転送されることは保証されません。 常にニュースを監視し、メッセンジャーが「来た」ときの反応を観察する必要があります。

音声通話とメッセージ

私たちの会話とメッセージは、エンドツーエンドの暗号化によって第三者の干渉から保護できるため、E2E メッセンジャーが最も安全であると考えられています。 しかし、これは完全に真実ではありません。人気のあるオプションを見てみましょう。

Telegram サポートする シークレット チャットではエンドツーエンドの暗号化が行われ、通信に関する暗号化されたデータがクラウドに保存されます。このデータは、「安全な」管轄区域を持つさまざまな国に分散しています。 しかしその後 記事 Habré では、Durov からの E2E における Telegram Passport の安全性の幻想を疑い始めることができます。

もちろん、秘密チャットは偏執的な人にとっては依然として良い選択肢です。 サーバーは暗号化にはまったく関与しません。メッセージはピアツーピア、つまり通信の参加者間で直接送信されます。 タイマーメッセージ自爆機能を使えばさらに安心です。 しかし、盲目的に Telegram に依存すべきではありません。 もう少し安全にするには、あなたと受信者はメッセンジャーの設定に移動し、少なくとも XNUMX つのことを行う必要があります。

• アプリケーションにログインするときにパスワードを設定します（プライバシーとセキュリティ -> 暗証番号);
• XNUMX 段階認証を有効にする (プライバシーとセキュリティ -> 二段階認証).

この後、SMS からのコードに加えて、新しいデバイスからログインするときに、アプリケーションはあなただけが知っているパスワードを要求します。

現在、SMS 経由のみのログイン確認では、ロシアの SIM カードを使用するユーザーはまったく保護されません。 傍受された SMS メッセージによる Telegram アカウントのハッキングの事例はすでに知られています - 2016 年に攻撃者が アクセス権を獲得した 数人の反対派の書簡に、そして2017年に ハッキングされた Dozhdジャーナリスト、ミハイル・ルービン氏のアカウント。

WhatsApp 今のところ、ORI レジストリを回避し、エンドツーエンドの暗号化も使用していますが、すべてがそれほどバラ色であるわけではありません。 最近出版しました ニュース 市長を批判したために刑事訴訟の対象となったマガダン住民について。 この物語は幸いなことに、いつものように罰金で終わりました。 しかし、WhatsApp のグループ チャットでの通信は安全ではないというユーザーの懸念が裏付けられました。

どうなりますか？

• メッセージを書き込むとすぐに、あなたの電話番号がすべてのグループ メンバーに公開されます。 そして、あなたの身元はその番号によって簡単に特定できます。

何をしますか？

• 解決策は、「左」SIM カードまたは外国の番号 (できればヨーロッパの番号) である可能性があります。

自分の名前で登録されたロシアのカードを使用する場合は、「市長のために辞任」などの名前のグループでの皮肉なコメントは避けてください。個人的な通信と WhatsApp への通話のみを残すことをお勧めします。

Viber 彼も ORI レジストリには登録されていませんが、(スパム送信の暇を見つけて) ロシア当局との連絡を維持しています。 このメッセンジャーは、新しい政府の要件に最初に準拠したメッセンジャーの XNUMX つです。ロシア連邦領土内のロシア ユーザーのログイン情報と電話番号を保存しますが、メッセージ データは提供します。 拒否する — エンドツーエンド暗号化の仕組みと企業ポリシーを指します。

Apple もエンドツーエンドを使用しますが、iMessage に登録すると、プライベートとパブリックの XNUMX つのキー ペアが作成されます。 Apple デバイスの同じ所有者から受信したメッセージは、公開キーを使用した暗号化で送信されます。 受信者のデバイスに保存されている秘密キーを使用してのみ復号化できます。 Apple がユーザーのプライバシーをどのように見ているか、政府から要請を受けた場合にどう対処するかについて読むことができます。 ここに。 同社がロシアのユーザーからロシア当局にデータを転送したという記録は存在しない。

出所： https://www.apple.com/business/docs/iOS_Security_Guide.pdf

ただし、iMessage には XNUMX つの欠点があります。

• これらのチャネルを通じて書き込みまたは電話をかけることができるのは、同じ Apple 所有者に対してのみです。
• インターネット接続に問題がある場合、メッセージは通常の携帯電話チャネルを経由し、簡単に傍受できる単純な SMS になります。

iMessage が SMS に変わるのを避けるために、設定でこの機能を無効にすることができます。

電子フロンティア財団の研究者 あなたの、 通話やメッセージに XNUMX% 安全なオプションはないということです。 一部のメッセンジャーが当局による個人データの取得を妨げたとしても、ハッカー (またはそのサービスを利用できる国家) が法律を回避してこれを行うことができないという意味ではありません。 中間者が存在しないという確信をユーザーに与えるために、Telegram には優れた機能があります。電話をかけるときに、両方の受信者が画面の右上隅に同じ絵文字が表示されていることを確認できます。これにより、接続への「侵入」がないこと。

より安全な通信方法をお探しの場合は、秘密のチャット、パスワード、XNUMX 段階/XNUMX 要素認証だけでなく、次のようなあまり人気のないニッチなアプリを検討することをお勧めします。 確信する または シグナル.

私はシグナルを毎日使っています。 #notesforFBI (ネタバレ: 彼らはすでに知っています)

Электроннаяпочта

電子メール クライアントの使用を可能にする人気のある企業 (ロシアでは、Yandex、Mail.Ru、Rambler など) はすでに ARI レジストリに含まれており、安全性がそれほど高くないことを意味します。 はい、Mail.Ru グループ 止めるよう呼びかける ミームに対する刑事訴訟と有罪判決を受けた者に対する恩赦が行われますが、要求に応じてデータに関する情報を当局に提供することもできます。

Gmail や Outlook などの欧米の電子メール クライアントを使用し、XNUMX 要素認証を有効にし、電子メールが安全な SSL/TLS プロトコルを使用して暗号化されていることを知っている場合でも、受信者の電子メールが同様に保護されているかどうかを確認することはできません。

保護オプション:

• 機密情報を送信するときは、Pretty Good Privacy (PGP）。 このプログラムは、手紙のデータを、送信者と受信者以外の全員にとって無意味な文字セットに変換するのに役立ちます。
• 重要な情報を送信する場合は、受信者のドメインに常に注意し、不審なアドレスに送信しないでください。
• 受取人がロシア郵便サービスによる郵便物の転送または集荷を設定しているかどうかを事前に確認してください。

ORI レジストリに基づく国内企業の場合、原則としてユーザー側の暗号化は役に立ちません。 情報は傍受されず、エンドポイント (同様のサービス) によって保存および送信されます。 唯一の解決策は、ProtonMail、Tutanota、Hushmail などのより安全な類似物に置き換えることです。 このような電子メール サービスの詳細については、次のサイトを参照してください。 この ページ。

ソーシャルネットワーク

まず、ロシアの人気ソーシャル ネットワーク「My World」、「Odnoklassniki」、「VKontakte」での自分の存在を最小限に抑えます。 少なくともFacebookはあなたのデータをロシアの諜報機関に引き渡すことはありません。 少なくとも、そのような事例は記録されていません。

しかし興味深いのは、2017 年においても同社が米国政府からの要求の 85% を満たしていたことです。

からのスクリーンショット Facebook透明性レポート

VK には慣れすぎているが、ドックに行きたくない場合は、次の点に注意してください。

• 保存した写真。
• あなたが書いた投稿、コメント、メッセージ。
• 気に入った投稿;
• あなたが共有する投稿。
• あなたが友達になっているユーザー。

上記のすべてにおいて、攻撃的または過激主義とみなされる可能性のあるものはすべて避けることが最善です。 「共有」とは、「違法な」情報を少なくとも XNUMX 人に伝達することを意味することを常に覚えておいてください。 国際人権団体「アゴラ」のダミール・ガイヌディノフ弁護士は、法律に従って、ORIは次のように主張している。 保存し送信する義務がある 法執行機関に未送信のメッセージの下書きも。 再投稿で捕まらないようにする方法について詳しく読む ここに。

ちなみに、しばらくの間、ページ自体があなたの本当の身元を明らかにしていなくても、あなたの電話番号を知っている人は誰でもデフォルトでVKontakteであなたを見つけることができます。

プロフィール設定で他の人が番号であなたを見つけられないようにすることができます ([設定] -> [プライバシー] -> [連絡先])。 しかし、もちろん、これでは特別なサービスを利用できるわけではありません。 VKontakte では通話やビデオ通信を使用しないでください。管理者が主張しているように、ネットワークが実際にそれらをエンドツーエンドで暗号化しているかどうかは不明です。

ウェブサイトのセキュリティ

唯一の良いニュースは、 半分以上 インターネット上の人気のあるサイトはすべて、すでに https バージョンを持っているか、https バージョンのみの使用に完全に切り替えられています。 このようなサイトで送受信される情報は暗号化されており、第三者が読み取ることはできません。 そのようなリソースは緑色と「保護」という言葉でマークされます。

良いニュースはここで終わります。 https プロトコルにもかかわらず、そのようなサイトにアクセスしたという事実と DNS リクエスト (アクセスしたドメインに関する情報) は依然としてインターネット プロバイダーに表示されたままになります。

しかし、さらに悪いニュースがもう XNUMX つあります。サイトの残りの半分は、通常の http プロトコルを使用して、つまりデータ暗号化なしで動作しています。 解決策として考えられるのは、送受信されるすべてのデータを完全に暗号化する VPN です。これにより、インターネット プロバイダー側​​や、ユーザーとエンド サイトの間に侵入しようとする者側に読み取り可能な情報が存在しなくなります。 表示されるのは、インターネット上の特定の IP アドレス (つまり、VPN サーバー) に接続しているという事実のみです。 そしてそれ以上は何もありません。

生活が本当に突然とてもシンプルになり、VPN をオンにして機密情報の漏洩を忘れることができれば、私たちは幸せになるでしょう。 しかし、そうではありません。 お気に入りのリソースが ARI レジストリに含まれているかどうかを定期的に確認し、当局とのやり取りを監視し、インスタント メッセンジャーやソーシャル ネットワークの設定でアクティブな接続を確認し、疑わしい接続をリセットしてください (その後、必ずパスワードを変更してください)。

グローバルに

通信チャネルとデータ転送を扱う場合、セキュリティとプライバシーに対する包括的なアプローチのみが意味を持ちます。 Telegram チャネルでインターネット セキュリティ イベントをフォローしてください @hidemyname_ruサイト上 ロスコムスヴォボダ また、インターネット、特に RuNet 上のイベントに特化したその他のリソースもあります。

どのような安全対策を講じていますか?

出所： habr.com