Hey Habr.
Dëst sinn eis, VPN Service . Mir schaffen am Moment temporär um HideMyna.me Spigel. Firwat? Den 20. Juli 2018 huet de Roskomnadzor eis bäigefüügt wéinst der Decisioun vun der Medvedevsky Distrikter Geriichtshaff zu Yoshkar-Ola. D'Geriicht huet entscheet, datt d'Besucher vun eisem Site onlimitéiert Zougang zu extremistesche Materialien hunn #withoutregistrationisms, an huet iergendwéi d'Buch "Mein Kampf" vum Adolf Hitler drop fonnt. Anscheinend, fir Zouverlässegkeet.
Dës Decisioun huet eis ganz iwwerrascht, awer mir schaffen weider op hidemyna.me, hidemyname.org, .one, .biz, etc. E laangwiereg Argument mam Roskomnadzor huet kee Resultat gefouert. Wärend meng Affekoten an ech d'Blockéierung an déi magesch Geriichtsentscheedung erausfuerderen, deele mir mat Iech Basis Tipps fir d'Privatsphär um Internet an Neiegkeeten iwwer dëst Thema z'erhalen.
Den Edward Snowden huet d'National Sécherheetsagentur gär (wahrscheinlech)
Et ass kee Geheimnis datt populär russesch Servicer onsécher sinn. Är Korrespondenz kann zu all Moment op d'Opmierksamkeet vun den nationale Gesetzesbeamten kommen. Mir soen Iech wat Dir musst erënneren wann Dir iwwer verschidde Kommunikatiounskanäl kommunizéiert.
SORM an ORI
et ginn Weeër fir Ären Telefon ze tippen. Offiziell a juristesch - SORM, e System vun technesche Mëttelen fir d'Funktioune vun operationellen Untersuchungsaktivitéiten ze garantéieren. Duerch Gesetz an der russescher Federatioun sinn all Cellulär Betreiber verlaangt esou e System op hire PBXs z'installéieren wa se hir Lizenz net verléieren wëllen. Et ginn dräi Zorte vu SORM: déi éischt gouf an den 80er Joren erfonnt, déi zweet huet ugefaang an den 2014er ëmgesat ze ginn, a si hu probéiert déi drëtt op d'Bedreiwer zanter XNUMX ze imposéieren. , Déi meescht Betreiber benotzen déi zweet Zort, awer an 70% vun de Fäll funktionnéiert de System net richteg oder guer net. Wéi och ëmmer, et ass ëmmer besser net iwwer e Festnetztelefon oder iwwer e reegelméissegen Uruff vun engem Handy iwwer sensibel Themen ze diskutéieren.
Schema vun der Operatioun vun SORM-2 (Quell: mfisoft.ru)
Laut 97-FZ, all Messenger, Servicer a Siten, déi a Russland operéieren, mussen am Register abegraff sinn . Vun ""Si sinn erfuerderlech all Benotzerdaten ze späicheren, dorënner Stëmmopnamen a Korrespondenz, fir sechs Méint. ARI huet iwwregens och Habrahabr.
D'Operatioun vum Registry gëtt am Detail beschriwwen benotzt Threema als Beispill, awer d'Haaptconclusioun ass dëst: elo, op Ufro vun de russeschen Autoritéiten, kënnen all Informatioun iwwer Iech an d'Haftbehörden ophalen. Dofir ass déi éischt Saach ze maachen fir d'Vertraulechkeet z'erhalen ass Uriff a Messagen un Instant Messenger ze transferéieren, déi net am ARI Registry sinn. Oder déi, déi do sinn, awer refuséieren Daten un d'Autoritéiten ze transferéieren - wéi Threema an Telegram.
Hëllef: Nëmmen am ARI Registry sinn garantéiert net datt d'Donnéeën un d'Autoritéite transferéiert ginn. Dir musst d'Noriichte konstant iwwerwaachen an d'Reaktioun vum Messenger kucken wann se fir hien "kommen".
Stëmm Appellen a Messagen
Eis Gespréicher a Messagen kënnen duerch Enn-zu-Enn Verschlësselung geschützt ginn vun Drëttubidder Amëschung, dofir sinn d'Messenger mat E2E als déi sécherst ugesinn. Awer dëst ass net ganz richteg: loosst eis déi populär Optiounen kucken.
Hëllefe profitéieren Enn-zu-Enn Verschlësselung an hire Secret Chats a späichert verschlësselte Daten iwwer Är Korrespondenz an der Wollek, déi iwwer verschidde Länner mat "sécher" Juridictioun verspreet ass. Awer no op Habré kënnt Dir ufänken d'Illusioun vu Sécherheet vum Telegram Passport an der E2E aus Durov ze bezweifelen.
Natierlech sinn Secret Chats nach ëmmer eng gutt Optioun fir de Paranoid. De Server ass guer net an hirer Verschlësselung involvéiert: Messagen ginn peer-to-peer iwwerdroen, dat heescht direkt tëscht de Participanten an der Korrespondenz. Fir zousätzlech Fridden vum Geescht, kënnt Dir d'Timer Message Selbstzerstéierungsfunktioun benotzen. Awer Dir sollt net blann op Telegram vertrauen. Fir et e bësse méi sécher ze maachen, musst Dir an Ären Empfänger an d'Messenger-Astellunge goen an op d'mannst zwou Saache maachen:
- Setzt e Passwuert wann Dir Iech an d'Applikatioun aloggen (Privatsphär a Sécherheet -> Passwuert geännert);
- Zwee-Schrëtt Verifizéierung aktivéieren (Privatsphär a Sécherheet -> Zwee-Schrëtt Verifizéierung).
Duerno, zousätzlech zum Code vun der SMS, wann Dir Iech vun engem neien Apparat aloggen, freet d'Applikatioun e Passwuert dat nëmmen Dir wësst.
Momentan, Login Bestätegung nëmmen via SMS schützt op kee Fall eng Persoun déi eng russesch SIM Kaart benotzt. Fäll vun Hacking vun Telegram Konten duerch eng ofgefaangen SMS Message si scho bekannt - am Joer 2016, Ugräifer op d'Korrespondenz vu verschiddenen Oppositiounsleit, an 2017 Kont vum Dozhd Journalist Mikhail Rubin.
WhatsApp fir elo vermeit et den ORI Registry a benotzt och end-to-end Verschlësselung, awer alles ass net sou roseg domat. Mir publizéiert kuerzem iwwer Awunner vu Magadan, déi zu engem kriminellen Fall ënnerworf goufen fir de Stadbuergermeeschter ze kritiséieren. Dës Geschicht ass glécklecherweis mat der üblecher Geldstrof eriwwer. Awer et huet d'Ängscht vun de Benotzer bestätegt: et ass net sécher a WhatsApp Gruppchats ze kommunizéieren.
Wat wäert geschéien?
- Soubal Dir e Message schreift, gëtt Är Telefonsnummer direkt fir all Gruppememberen verfügbar. An Är Identitéit kann einfach duerch d'Zuel bestëmmt ginn.
Wat soll ech maachen?
- D'Léisung kéint eng "lénks" SIM Kaart oder eng auslännesch Zuel ginn - am léifsten eng europäesch.
Wann Dir eng russesch Kaart benotzt, déi an Ärem Numm registréiert ass, evitéiert sarkastesch Kommentaren a Gruppen mat Nimm wéi "Demissionéiert fir de Buergermeeschter": et ass besser nëmme perséinlech Korrespondenz a rifft WhatsApp ze verloossen.
Viber ass och net am ORI Registry opgezielt, awer ënnerhält d'Kommunikatioun mat de russeschen Autoritéiten (a senger Fräizäit vu Spam ze schécken). Dëse Messenger war ee vun deenen éischten, déi den neie Regierungsfuerderunge respektéieren: et späichert Login an Telefonsnummere vu russesche Benotzer um Territoire vun der russescher Federatioun, awer liwwert Messagedaten - bezitt sech op d'Mechanik vun Enn-zu-Enn Verschlësselung a Firmepolitik.
Apple benotzt och Enn-zu-Enn, awer wann Dir Iech mat iMessage registréiert, erstellt zwee Schlësselpaaren: privat an ëffentlech. De Message, deen Dir vum selwechte Besëtzer vun engem Apple Apparat kritt, gëtt Iech mat Verschlësselung iwwerdroen, déi en ëffentleche Schlëssel benotzt. Et kann nëmme mat dem Empfänger säi private Schlëssel entschlësselt ginn, deen op sengem Apparat gespäichert ass. Dir kënnt liesen iwwer wéi Apple d'Privatsphär vun de Benotzer kuckt a wat et wäert maachen wann et eng Ufro vun der Regierung kritt Et goufe keng opgeholl Fäll vun der Firma, déi Daten vu russesche Benotzer un d'russesch Autoritéite transferéiert.
Source:
Awer iMessage huet zwee Nodeeler:
- Dir kënnt schreiwen oder ruffen duerch dës Channels nëmmen un déi selwecht Apple Besëtzer;
- Wann Dir Probleemer mat Ärer Internetverbindung hutt, geet d'Botschaft iwwer e reguläre Celluläre Kanal a gëtt en einfachen SMS, deen einfach ofgefaange ka ginn.
Fir ze vermeiden datt iMessage an SMS verwandelt, kënnt Dir dës Fonktioun an Astellungen auszeschalten.
Fuerscher vun der Electronic Frontier Foundation datt et keng honnert Prozent sécher Optioun fir Uriff a Messagen gëtt. Wann e puer Messenger d'Autoritéite verhënneren, Är privat Donnéeën ze kréien, heescht dat net datt Hacker (oder de Staat, deen hir Servicer benotze kann) dat net maache kënnen andeems se d'Gesetzer ëmgoen. Fir de Benotzer Vertrauen ze ginn datt et kee Mann-an-der-Mëtt ass, huet Telegram eng flott Feature: wann Dir urufft, kënne béid Empfänger suergen datt se deeselwechten Emoji an der oberer rechter Ecke vum Bildschierm gesinn - dëst wäert d'bestätegen Absence vun "Abriechung" an der Verbindung.
Wann Dir no engem méi séchere Wee sicht fir ze kommunizéieren, empfeelen mir Iech iwwer geheime Chats, Passwierder an Zwee-Schrëtt / Zwee-Faktor Authentifikatioun op manner populär Nisch-Apps wéi oder .
Ech benotzen Signal all Dag. #notesforFBI (Spoiler: si wëssen et scho)
Populär Firmen, déi et méiglech maachen hir E-Mail Clienten ze benotzen (a Russland sinn dat Yandex, Mail.Ru a Rambler) si schonn am ARI Registry abegraff, dat heescht datt se net ganz sécher sinn. Jo, Mail.Ru Group kriminellen Fäll fir memes an Amnestie fir déi veruerteelt, mee kann Informatiounen iwwert Är Donnéeën op Ufro un d'Autoritéiten ginn.
Och wann Dir westlech E-Mail Clienten wéi Gmail oder Outlook benotzt, Zwee-Faktor Authentifikatioun aktivéiert hutt a wësst datt Är E-Mail verschlësselt ass mat engem séchere SSL / TLS Protokoll, kënnt Dir net sécher sinn datt d'E-Mail vun Ärem Empfänger gläich geschützt ass.
Schutzoptiounen:
- Wann Dir sensibel Informatioun schéckt, verschlësselt Dir E-Maile mat Pretty Good Privacy (). Dëse Programm hëlleft d'Donnéeën aus engem Bréif an eng sënnlos Zeeche vu Charaktere fir jiddereen ausser de Sender an den Empfänger ze maachen;
- Wann Dir wichteg Informatioun schéckt, gitt ëmmer op d'Domain vum Empfänger opmierksam a schreift net op eng verdächteg Adress;
- Préift mam Empfänger am Viraus ob hien oder hatt d'Expeditioun oder d'Sammlung vu Mail duerch de russesche Postdéngscht opgeriicht huet.
Am Fall vun Hausfirmen aus dem ORI Registry, keng Verschlësselung op der Benotzersäit hëlleft am Prinzip. Informatioun gëtt net ofgefaangen, mee gespäichert a vun Endpunkte vermëttelt - ähnlech Servicer. Déi eenzeg Léisung kann et sinn se duerch méi sécher Analoga wéi ProtonMail, Tutanota oder Hushmail ze ersetzen. Méi esou E-Mail Servicer kënnen op fonnt ginn Säit.
Sozial Netzwierker
Fir unzefänken, miniméiert Är Präsenz op populäre russesche sozialen Netzwierker - "Meng Welt", "Odnoklassniki" an "VKontakte". Op d'mannst iwwerginn Facebook Är Donnéeën net un russesch Geheimdéngschtagenturen. Op d'mannst si keng esou Fäll opgeholl ginn.
Awer et ass interessant datt am Joer 2017 d'Firma nach ëmmer 85% vun Ufroe vun der US Regierung zefridden huet:
Screenshots vun
Wann Dir ze VK gewinnt sidd, awer net am Dock wëllt ophalen, da kuckt op e puer Saachen:
- Är gespäichert Biller;
- posts, Kommentaren a Messagen déi Dir schreift;
- posts Dir gären;
- Posts déi Dir deelt;
- Benotzer Dir sidd Frënn mat.
An all uewendriwwer ass et am beschten alles ze vermeiden wat als offensiv oder extremistesch ugesi ka ginn. Denkt ëmmer drun datt "Deelen" heescht "illegal" Informatioun un op d'mannst eng Persoun ze kommunizéieren. Affekot vun der internationaler Mënscherechtsgrupp "Agora" Damir Gainutdinov behaapt datt laut Gesetz ORI souguer Entworf vun net verschéckt Messagen un d'Haftpflichtbüroen. Liest méi iwwer wéi Dir net gefaange fir ze repostéieren
Iwwregens, fir eng Zäit elo jiddereen deen Är Telefonsnummer huet kann Iech op VKontakte Par défaut fannen, och wann d'Säit selwer net Är richteg Identitéit opzeweisen.
Dir kënnt verhënneren datt d'Leit Iech op Nummer an Äre Profilastellungen fannen (Astellungen -> Privatsphär -> Kontaktéiert mech). Awer dëst wäert Iech natierlech net vun de spezielle Servicer retten. Benotzt keng Uriff a Videokommunikatioun op VKontakte: et ass onbekannt ob d'Netzwierk se end-to-end verschlësselt, wéi d'Administratioun behaapt.
Websäit Sécherheet
Déi eenzeg gutt Noriicht ass dat All populär Siten um Internet hu schonn eng https Versioun oder si komplett op nëmmen https Versiounen gewiesselt. Informatioun kritt an iwwerdroen op esou Siten ass verschlësselte a kann net vun Drëtte gelies ginn. Esou Ressourcen sinn gréng markéiert an d'Wuert "geschützt".
Do hält déi gutt Noriicht op. Trotz dem https-Protokoll bleiwen d'Tatsaach, datt Dir esou e Site besicht an DNS-Ufroen (Informatioun iwwer wéi eng Domainen Dir Zougang hutt) nach ëmmer dem Internetprovider sichtbar.
Awer eng aner Neiegkeet ass nach méi schlëmm: déi reschtlech Halschent vun de Site funktionnéieren mam normale http Protokoll, dat heescht ouni Dateverschlësselung. D'Léisung kéint e VPN sinn, deen absolut all kritt an iwwerdroen Donnéeën verschlësselt, sou datt et keng liesbar Informatioun op der Säit vum Internetprovider gëtt a jidderengem deen probéiert tëscht Iech an der Endsite ze infiltréieren. Dat eenzegt wat siichtbar ass ass d'Tatsaach, datt Dir mat enger bestëmmter IP Adress um Internet verbënnt (dat ass op e VPN Server). An näischt méi.
Mir wäerte frou sinn wann d'Liewen wierklech op eemol sou einfach gëtt: schalt de VPN un a vergiess iwwer de Leck vu sensiblen Informatioun. Mee dat stëmmt net. Kontrolléiert regelméisseg ob Är Liiblingsressource an der ARI Registry abegraff ass, iwwerwaacht wéi et mat den Autoritéiten interagéiert, kontrolléiert aktiv Verbindungen an den Astellunge vun Instant Messenger a sozialen Netzwierker a reset verdächteg (an da gitt sécher Passwierder z'änneren).
Globale
Wann Dir mat Kommunikatiounskanäl an Datentransfer schafft, mécht nëmmen eng ëmfaassend Approche fir Sécherheet a Privatsphär Sënn. Follegt Internet Sécherheetsevenementer an eisem Telegram Kanal , Online an op aner Ressourcen gewidmet fir Eventer um Internet a RuNet besonnesch.
Wéi eng Sécherheetsmoossnamen huelt Dir?
Source: will.com