Sveiki, Habr.
Tai mes, VPN paslauga . Šiuo metu laikinai dirbame su HideMyna.me veidrodžiu. Kodėl? 20 m. liepos 2018 d. Roskomnadzor mus pridėjo dėl Joškar-Olos Medvedevskio apygardos teismo sprendimo. Teismas nusprendė, kad mūsų svetainės lankytojai turi neribotą prieigą prie ekstremistinės medžiagos #be registracijos, ir kažkodėl joje rado Adolfo Hitlerio knygą „Mein Kampf“. Matyt, dėl patikimumo.
Šis sprendimas mus labai nustebino, bet mes ir toliau dirbame su hidemyna.me, hidemyname.org, .one, .biz ir tt Užsitęsęs ginčas su Roskomnadzor nedavė jokio rezultato. Kol aš ir mano advokatai ginčijame blokavimą ir magišką teismo sprendimą, dalinamės su jumis pagrindiniais patarimais, kaip išlaikyti privatumą internete, ir naujienomis šia tema.
Edwardas Snowdenas myli Nacionalinio saugumo agentūrą (tikriausiai)
Ne paslaptis, kad populiarios Rusijos paslaugos yra nesaugios. Jūsų korespondencija bet kuriuo metu gali patekti į šalies teisėsaugos pareigūnų dėmesį. Mes jums pasakysime, ką reikia atsiminti bendraujant įvairiais komunikacijos kanalais.
SORM ir ORI
Yra būdai bakstelėti telefoną. Tarnybinė ir teisinė – SORM, techninių priemonių sistema operatyvinės tyrimo veiklos funkcijoms užtikrinti. Pagal Rusijos Federacijos įstatymus visi korinio ryšio operatoriai privalo įdiegti tokią sistemą savo PBX, jei nenori prarasti licencijos. Yra trys SORM tipai: pirmasis buvo išrastas devintajame dešimtmetyje, antrasis pradėtas diegti 80-aisiais, o trečiąjį operatoriams bandoma primesti nuo 2014 m. , dauguma operatorių naudoja antrąjį tipą, tačiau 70% atvejų sistema neveikia tinkamai arba neveikia visai. Tačiau vis tiek geriau nediskutuoti opiomis temomis laidiniu telefonu ar įprastu skambučiu iš mobiliojo telefono.
SORM-2 veikimo schema (šaltinis: mfisoft.ru)
Pagal 97-FZ į registrą turi būti įtraukti visi Rusijoje veikiantys pasiuntiniai, paslaugos ir svetainės. . pateikė "„Jie privalo saugoti visus vartotojo duomenis, įskaitant balso skambučių įrašus ir susirašinėjimą, šešis mėnesius. Beje, ARI turi ir Habrahabr.
Išsamiai aprašomas registro veikimas kaip pavyzdį pasitelkiant Threema, tačiau pagrindinė išvada tokia: dabar Rusijos valdžios prašymu bet kokia informacija apie jus gali patekti į teisėsaugos institucijas. Todėl pirmas dalykas, kurį reikia padaryti norint išlaikyti konfidencialumą, yra perduoti skambučius ir pranešimus momentiniams pasiuntiniams, kurių nėra ARI registre. Arba tie, kurie yra, bet atsisako perduoti duomenis valdžios institucijoms, pvz., Threema ir Telegram.
Pažymėjimas: Vien buvimas ARI registre negarantuoja, kad duomenys bus perduoti institucijoms. Turite nuolat stebėti naujienas ir žiūrėti į pasiuntinio reakciją, kai jie „ateina“ jo.
Balso skambučiai ir žinutės
Mūsų pokalbiai ir pranešimai gali būti apsaugoti nuo trečiųjų šalių trukdžių naudojant visišką šifravimą, todėl pasiuntiniai su E2E laikomi saugiausiais. Tačiau tai nėra visiškai tiesa: pažvelkime į populiarias parinktis.
Telegram šifravimą nuo galo iki galo savo slaptuose pokalbiuose ir saugo užšifruotus duomenis apie jūsų susirašinėjimą debesyje, kuris yra išsklaidytas įvairiose šalyse, turinčiose „saugią“ jurisdikciją. Bet po „Habré“ galite pradėti abejoti „Telegram Passport“ saugumo iliuzija E2E iš Durovo.
Žinoma, slapti pokalbiai vis dar yra geras pasirinkimas paranoikams. Serveris visiškai nedalyvauja jų šifravime: pranešimai perduodami lygiaverčiai, tai yra tiesiogiai tarp susirašinėjimo dalyvių. Jei norite daugiau ramybės, galite naudoti laikmačio pranešimų savaiminio naikinimo funkciją. Tačiau neturėtumėte aklai pasikliauti Telegram. Kad būtų šiek tiek saugesnis, jūs ir jūsų gavėjas turite eiti į „Messenger“ nustatymus ir atlikti bent du veiksmus:
- Prisijungdami prie programos nustatykite slaptažodį (Privatumas ir saugumas -> Kodas,);
- Įgalinti patvirtinimą dviem veiksmais (Privatumas ir saugumas -> Patvirtinimas dviem veiksmais).
Po to, be kodo iš SMS, prisijungiant iš naujo įrenginio, programa paprašys slaptažodžio, kurį žinote tik jūs.
Šiuo metu prisijungimo patvirtinimas tik SMS žinute jokiu būdu neapsaugo asmens, kuris naudoja rusišką SIM kortelę. „Telegram“ paskyrų įsilaužimo per perimtą SMS žinutę atvejai jau žinomi – užpuolikai 2016 m. į kelių opozicionierių susirašinėjimą, o 2017 m „Dožd“ žurnalisto Michailo Rubino pasakojimas.
"WhatsApp" kol kas jis vengia ORI registro ir taip pat naudoja šifravimą nuo galo iki galo, bet su juo viskas nėra taip rožinė. Neseniai paskelbėme apie Magadano gyventojus, kuriems buvo iškelta baudžiamoji byla už miesto mero kritiką. Laimei, ši istorija baigėsi įprasta bauda. Tačiau tai patvirtino vartotojų nuogąstavimus: „WhatsApp“ grupiniuose pokalbiuose bendrauti nesaugu.
Kas nutiks?
- Kai tik parašysite žinutę, jūsų telefono numeris iš karto taps prieinamas visiems grupės nariams. O jūsų tapatybę nesunkiai galima nustatyti pagal numerį.
Ką daryti?
- Sprendimas galėtų būti „kairė“ SIM kortelė arba užsienietiškas numeris – geriausia europietiškas.
Jei naudojate rusišką kortelę, registruotą jūsų vardu, venkite sarkastiškų komentarų grupėse su tokiais pavadinimais kaip „Atsistatydinkite už merą“: geriau palikti tik asmeninį susirašinėjimą ir skambučius „WhatsApp“.
Viber taip pat nėra įtrauktas į ORI registrą, tačiau palaiko ryšį su Rusijos institucijomis (laisvu nuo šiukšlių siuntimo laiku). Šis pasiuntinys vienas pirmųjų atitiko naujus vyriausybės reikalavimus: saugo Rusijos Federacijos teritorijoje esančių Rusijos vartotojų prisijungimus ir telefono numerius, tačiau pateikia pranešimų duomenis. — nurodo galutinio šifravimo mechanizmą ir įmonės politiką.
Apple taip pat naudoja end-to-end, tačiau registruojantis su iMessage sukuria dvi raktų poras: privačią ir viešąją. Pranešimas, kurį gaunate iš to paties „Apple“ įrenginio savininko, jums perduodamas su šifravimu, kuris naudoja viešąjį raktą. Jį galima iššifruoti tik naudojant privatų gavėjo raktą, kuris saugomas jo įrenginyje. Galite perskaityti, kaip „Apple“ žiūri į vartotojų privatumą ir ką ji darys, jei gaus užklausą iš vyriausybės Nebuvo užfiksuota atvejų, kai bendrovė Rusijos institucijoms perduotų duomenis iš Rusijos vartotojų.
Šaltinis:
Tačiau „iMessage“ turi du trūkumus:
- Šiais kanalais galite rašyti arba skambinti tik tam pačiam Apple savininkui;
- Jei kyla problemų dėl interneto ryšio, žinutė persiųs įprastu korinio ryšio kanalu ir taps paprasta SMS žinute, kurią galima lengvai perimti.
Kad „iMessage“ nevirstų SMS žinute, šią funkciją galite išjungti nustatymuose.
Mokslininkai iš Electronic Frontier Foundation kad nėra šimtu procentų saugaus skambučių ir žinučių pasirinkimo. Jei kai kurie pasiuntiniai trukdo valdžios institucijoms gauti jūsų privačių duomenų, tai nereiškia, kad įsilaužėliai (ar valstybė, kuri gali naudotis jų paslaugomis) negali to padaryti apeidami įstatymus. Kad vartotojas pasitikėtų, jog nėra žmogaus viduryje, „Telegram“ turi puikią funkciją: skambindami abu gavėjai gali įsitikinti, kad viršutiniame dešiniajame ekrano kampe mato tą patį jaustuką – tai patvirtins „įsibrovimo“ į ryšį nebuvimas.
Jei ieškote saugesnio bendravimo būdo, rekomenduojame ieškoti ne tik slaptų pokalbių, slaptažodžių ir dviejų pakopų / dviejų veiksnių autentifikavimo, bet ir mažiau populiarių nišinių programų, pvz. arba .
Signalą naudoju kiekvieną dieną. #notesforFBI (Spoileris: jie jau žino)
El-paštas
Populiarios įmonės, kurios suteikia galimybę naudotis savo el. pašto klientais (Rusijoje tai yra „Yandex“, „Mail.Ru“ ir „Rambler“), jau įtrauktos į ARI registrą, o tai reiškia, kad jos nėra labai saugios. Taip, Mail.Ru grupė baudžiamąsias bylas dėl memų ir amnestiją nuteistiesiems, tačiau gali suteikti informaciją apie jūsų duomenis institucijoms paprašius.
Net jei naudojate vakarietiškas el. pašto programas, tokias kaip Gmail ar Outlook, turite įjungtą dviejų veiksnių autentifikavimą ir žinote, kad jūsų el. paštas yra užšifruotas naudojant saugų SSL/TLS protokolą, negalite būti tikri, kad jūsų gavėjo el. paštas yra vienodai apsaugotas.
Apsaugos parinktys:
- Siųsdami neskelbtiną informaciją, užšifruokite el. laiškus naudodami gana gerą privatumą (). Ši programa padeda paversti duomenis iš laiško į beprasmį simbolių rinkinį visiems, išskyrus siuntėją ir gavėją;
- Siųsdami svarbią informaciją visada atkreipkite dėmesį į gavėjo domeną ir nerašykite įtartinu adresu;
- Iš anksto pasiteiraukite su gavėju, ar jis nustatė siuntų persiuntimą ar atsiėmimą per Rusijos pašto tarnybą.
Vietinėms įmonėms iš ORI registro joks šifravimas vartotojo pusėje iš esmės nepadės. Informacija ne perimama, o saugoma ir perduodama galinių taškų – panašių paslaugų. Vienintelis sprendimas gali būti pakeisti juos saugesniais analogais, tokiais kaip ProtonMail, Tutanota ar Hushmail. Daugiau tokių el. pašto paslaugų rasite adresu puslapis.
Socialiniai tinklai
Pirmiausia sumažinkite savo buvimą populiariuose Rusijos socialiniuose tinkluose - „Mano pasaulis“, „Odnoklassniki“ ir „VKontakte“. Bent jau „Facebook“ neperduoda jūsų duomenų Rusijos žvalgybos agentūroms. Bent jau tokių atvejų neužfiksuota.
Tačiau įdomu tai, kad 2017 m. įmonė vis dar patenkino 85% JAV vyriausybės prašymų:
Ekrano nuotraukos iš
Jei esate per daug pripratę prie VK, bet nenorite atsidurti doke, atkreipkite dėmesį į keletą dalykų:
- jūsų išsaugotos nuotraukos;
- Jūsų rašomi įrašai, komentarai ir žinutės;
- jums patinkantys įrašai;
- jūsų bendrinami įrašai;
- vartotojų, su kuriais draugauji.
Visuose aukščiau paminėtuose dalykuose geriausia vengti visko, kas gali būti laikoma įžeidžiančiu ar ekstremistišku. Visada atminkite, kad „dalinimasis“ reiškia „neteisėtos“ informacijos perdavimą bent vienam asmeniui. Tarptautinės žmogaus teisių grupės „Agora“ advokatas Damiras Gainutdinovas tvirtina, kad pagal įstatymą ORI net teisėsaugos institucijoms neišsiųstų žinučių juodraščiai. Skaitykite daugiau apie tai, kaip neužkliūti dėl pakartotinio paskelbimo
Beje, jau kurį laiką visi, turintys jūsų telefono numerį, pagal numatytuosius nustatymus gali jus rasti „VKontakte“, net jei pats puslapis neatskleidžia tikrosios jūsų tapatybės.
Profilio nustatymuose galite neleisti žmonėms jus rasti pagal numerį (Nustatymai -> Privatumas -> Susisiekite su manimi). Bet tai, žinoma, neišgelbės jūsų nuo specialiųjų tarnybų. Nenaudokite skambučių ir vaizdo ryšių „VKontakte“: nežinoma, ar tinklas iš tikrųjų juos užšifruoja nuo galo iki galo, kaip teigia administracija.
Svetainės saugumas
Vienintelė gera žinia yra ta Visos populiarios interneto svetainės jau turi https versiją arba yra visiškai perjungtos naudoti tik https versijas. Tokiose svetainėse gaunama ir perduodama informacija yra užšifruota ir jos negali perskaityti trečiosios šalys. Tokie ištekliai pažymėti žalia spalva ir užrašu „saugomi“.
Tuo gerosios naujienos ir baigiasi. Nepaisant https protokolo, apsilankymo tokioje svetainėje faktas ir DNS užklausos (informacija apie tai, kokius domenus pasiekėte) vis tiek matomas interneto tiekėjui.
Tačiau kita naujiena yra dar blogesnė: likusi pusė svetainių veikia naudojant įprastą http protokolą, tai yra, be duomenų šifravimo. Išeitis galėtų būti VPN, kuris užšifruoja absoliučiai visus gaunamus ir perduodamus duomenis, kad nebūtų skaitomos informacijos iš interneto tiekėjo pusės ir niekam, kas bando įsiskverbti tarp jūsų ir galutinio svetainės. Vienintelis dalykas, kuris bus matomas, yra prisijungimo prie tam tikro IP adreso internete (ty prie VPN serverio) faktas. Ir nieko daugiau.
Džiaugsimės, jei gyvenimas tikrai staiga taps toks paprastas: įsijunk VPN ir pamiršk jautrios informacijos nutekėjimą. Bet tai netiesa. Reguliariai tikrinkite, ar jūsų mėgstamiausias išteklius įtrauktas į ARI registrą, stebėkite, kaip jis sąveikauja su institucijomis, patikrinkite aktyvius ryšius momentinių pasiuntinių ir socialinių tinklų nustatymuose ir iš naujo nustatykite įtartinus (o tada būtinai pakeiskite slaptažodžius).
visame pasaulyje
Dirbant su komunikacijos kanalais ir duomenų perdavimu, prasmingas tik visapusiškas požiūris į saugumą ir privatumą. Stebėkite interneto saugumo įvykius mūsų Telegram kanale svetainėje ir kitus išteklius, skirtus įvykiams internete ir ypač „RuNet“.
Kokių saugos priemonių imatės?
Šaltinis: www.habr.com