Еј Хабр.
Ова сме ние, VPN услуга . Во моментов работиме привремено на огледалото HideMyna.me. Зошто? На 20 јули 2018 нè додаде Роскомнадзор поради одлуката на Окружниот суд Медведевски во Јошкар-Ола. Судот пресуди дека посетителите на нашата страница имаат неограничен пристап до екстремистички материјали #без регистрација и некако на неа ја најде книгата „Mein Kampf“ од Адолф Хитлер. Очигледно, за сигурност.
Оваа одлука не изненади многу, но ние продолжуваме да работиме на hidemyna.me, hidemyname.org, .one, .biz итн. Долготрајната расправија со Роскомнадзор не доведе до никаков резултат. Додека јас и моите адвокати го оспоруваме блокирањето и магичната судска одлука, со вас споделуваме основни совети за одржување на приватноста на Интернет и новости на оваа тема.
Едвард Сноуден ја сака Агенцијата за национална безбедност (веројатно)
Не е тајна дека популарните руски услуги се небезбедни. Вашата кореспонденција може во секое време да дојде до внимание на домашните службеници за спроведување на законот. Ви кажуваме што треба да запомните кога комуницирате преку различни канали за комуникација.
СОРМ и ОРИ
Постои начини да го допрете телефонот. Службен и правен - СОРМ, систем на технички средства за обезбедување на функциите на оперативните истражни активности. Според законот во Руската Федерација, сите мобилни оператори се обврзани да инсталираат таков систем на нивните PBX доколку не сакаат да ја изгубат лиценцата. Постојат три типа на SORM: првиот е измислен во 80-тите години, вториот почна да се применува во 2014-тите, а третиот се обидуваат да им го наметнат на операторите од XNUMX година. , повеќето оператори го користат вториот тип, но во 70% од случаите системот не работи правилно или воопшто не работи. Сепак, сепак е подобро да не разговарате за чувствителни теми преку фиксен телефон или преку редовен повик од мобилен телефон.
Шема на работа на SORM-2 (Извор: mfisoft.ru)
Според 97-FZ, сите гласници, услуги и страници што работат во Русија мора да бидат вклучени во регистарот . од страна на "„Од нив се бара да ги чуваат сите кориснички податоци, вклучително и снимките на гласовните повици и кореспонденцијата, шест месеци. Инаку, АРИ го има и Хабрахабр.
Работата на регистарот е детално опишана користејќи го Трима како пример, но главниот заклучок е овој: сега, на барање на руските власти, секоја информација за вас може да заврши во агенциите за спроведување на законот. Затоа, првото нешто што треба да направите за да ја одржите доверливоста е да ги префрлите повиците и пораките до инстант-месинџери, кои не се во регистарот ARI. Или оние што се таму, но одбиваат да префрлаат податоци на властите - како Threema и Telegram.
Сертификат: Самото присуство во регистарот на ARI не гарантира дека податоците ќе бидат префрлени на властите. Треба постојано да ги следите вестите и да ја гледате реакцијата на гласникот кога ќе „дојдат“ по него.
Гласовни повици и пораки
Нашите разговори и пораки можат да бидат заштитени од пречки од трета страна со шифрирање од крај до крај, поради што гласниците со E2E се сметаат за најбезбедни. Но, ова не е сосема точно: да ги погледнеме популарните опции.
Телеграма шифрирање од крај до крај во нивните Тајни разговори и складира шифрирани податоци за вашата кореспонденција во облакот, кои се расфрлани низ различни земји со „безбедна“ јурисдикција. Но после на Habré можете да почнете да се сомневате во илузијата за безбедност на Telegram Passport во E2E од Дуров.
Се разбира, Тајните разговори сè уште се добра опција за параноичните. Серверот воопшто не е вклучен во нивното шифрирање: пораките се пренесуваат peer-to-peer, односно директно помеѓу учесниците во кореспонденцијата. За дополнителен мир на умот, можете да ја користите функцијата за самоуништување на пораката со тајмер. Но, не треба слепо да се потпирате на Telegram. За да биде малку побезбедно, вие и вашиот примач мора да отидете во поставките на гласникот и да направите најмалку две работи:
- Поставете лозинка кога се најавувате во апликацијата (Приватност и безбедност -> Пристапниот код);
- Овозможи потврда во два чекора (Приватност и безбедност -> Двостепена верификација).
По ова, покрај шифрата од СМС-от, при логирање од нов уред, апликацијата ќе бара лозинка која само вие ја знаете.
Во моментов, потврдата за најава само преку СМС не заштитува на кој било начин лице кое користи руска SIM-картичка. Веќе се познати случаи на хакирање на сметки на Телеграм преку пресретната СМС порака - во 2016 година, напаѓачите на преписката на повеќе опозиционери, а во 2017 г сметка на новинарот на Дожд Михаил Рубин.
WhatsApp засега го избегнува регистарот ORI и користи и шифрирање од крај до крај, но не е сè така розово со него. Неодамна објавивме за жителите на Магадан кои беа предмет на кривична постапка за критикување на градоначалникот на градот. Оваа приказна, за среќа, заврши со вообичаената парична казна. Но, ги потврди стравувањата на корисниците: не е безбедно да се комуницира во групните разговори на WhatsApp.
Што ќе се случи?
- Веднаш штом ќе напишете порака, вашиот телефонски број веднаш ќе стане достапен за сите членови на групата. И вашиот идентитет може лесно да се одреди според бројот.
Што да правам?
- Решението може да биде „лева“ SIM картичка или странски број - по можност европски.
Ако користите руска картичка регистрирана на вашето име, избегнувајте саркастични коментари во групи со имиња како „Оставка за градоначалникот“: подобро е да оставите само лична кореспонденција и повици за WhatsApp.
Viber исто така не е наведен во регистарот ORI, но одржува комуникација со руските власти (во слободно време од испраќање спам). Овој гласник беше еден од првите што ги исполни новите владини барања: ги зачувува најавите и телефонските броеви на руските корисници на територијата на Руската Федерација, но обезбедува податоци за пораки — се однесува на механиката на шифрирање од крај до крај и корпоративна политика.
Јаболко користи и од крај до крај, но кога се регистрира со iMessage создава два пара клучеви: приватен и јавен. Пораката што ја добивате од истиот сопственик на Apple уред ви се пренесува со шифрирање, кое користи јавен клуч. Може да се дешифрира само со помош на приватниот клуч на примачот, кој е зачуван на неговиот уред. Можете да прочитате за тоа како Apple ја гледа приватноста на корисниците и што ќе направи ако добие барање од владата Нема евидентирани случаи на компанијата да пренесува податоци од руски корисници до руските власти.
Извор:
Но, iMessage има две недостатоци:
- Можете да пишувате или да се јавите преку овие канали само на истиот сопственик на Apple;
- Ако имате проблеми со вашата интернет конекција, пораката ќе оди преку обичен мобилен канал и ќе стане едноставна СМС што лесно може да се пресретне.
За да избегнете iMessage да се претвори во SMS, можете да ја оневозможите оваа функција во Поставки.
Истражувачите од Фондацијата Electronic Frontier дека не постои стопроцентна безбедна опција за повици и пораки. Ако некои гласници ги спречуваат властите да ги добијат вашите приватни податоци, тоа не значи дека хакерите (или државата, која може да ги користи нивните услуги) не може да го стори тоа со заобиколување на законите. За да му даде доверба на корисникот дека нема човек во средината, Telegram има убава карактеристика: кога се јавуваат, и двајцата приматели можат да се уверат дека ги гледаат истите емотикони во горниот десен агол на екранот - ова ќе го потврди отсуство на „упад“ во врската.
Ако барате посигурен начин за комуникација, препорачуваме да погледнете подалеку од тајните разговори, лозинки и автентикација во два чекора/двофактори на помалку популарни ниши апликации како или .
Јас користам Сигнал секој ден. #notesfortheFBI (Спојлер: тие веќе знаат)
Е-пошта
Популарните компании кои овозможуваат користење на нивните клиенти за е-пошта (во Русија тоа се Yandex, Mail.Ru и Rambler) веќе се вклучени во регистарот ARI, што значи дека тие не се многу безбедни. Да, Mail.Ru Group кривични предмети за меми и амнестија за осудените, но може да им даде информации за вашите податоци на властите на барање.
Дури и ако користите западни клиенти за е-пошта како Gmail или Outlook, имате овозможена автентикација со два фактори и знаете дека вашата е-пошта е шифрирана со помош на безбеден протокол SSL/TLS, не можете да бидете сигурни дека е-поштата на примачот е подеднакво заштитена.
Опции за заштита:
- Кога праќате чувствителни информации, шифрирајте ги е-поштата користејќи Pretty Good Privacy (). Оваа програма помага податоците од писмото да се претворат во бесмислено збир на знаци за сите, освен за испраќачот и примачот;
- Кога испраќате важни информации, секогаш обрнувајте внимание на доменот на примачот и не пишувајте на сомнителна адреса;
- Однапред проверете со примачот дали тој или таа поставил препраќање или собирање пошта преку руската поштенска услуга.
Во случај на домашни компании од регистарот ORI, во принцип, нема да помогне никакво шифрирање на корисничката страна. Информациите не се пресретнуваат, туку се складираат и се пренесуваат преку крајни точки - слични услуги. Единственото решение може да биде да ги замените со посигурни аналози како ProtonMail, Tutanota или Hushmail. Повеќе такви услуги за е-пошта може да се најдат на улица
Социјални мрежи
За почеток, минимизирајте го вашето присуство на популарните руски социјални мрежи - „Мојот свет“, „Однокласници“ и „ВКонтакте“. Барем Фејсбук не ги предава вашите податоци на руските разузнавачки агенции. Барем такви случаи не се евидентирани.
Но, интересно е што во 2017 година, компанијата сè уште задоволи 85% од барањата од американската влада:
Слики од екранот од
Ако сте премногу навикнати на VK, но не сакате да завршите на обвинителна клупа, обрнете внимание на неколку работи:
- вашите зачувани слики;
- објави, коментари и пораки што ги пишувате;
- објави што ви се допаѓаат;
- објавите што ги споделувате;
- корисници со кои сте пријатели.
Во сето горенаведено, најдобро е да избегнувате се што може да се смета за навредливо или екстремистичко. Секогаш запомнете дека „споделувањето“ значи пренесување „незаконски“ информации на барем едно лице. Адвокатот на меѓународната група за човекови права „Агора“ Дамир Гајнутдинов тврди дека според законот ОРИ дури и нацрти на неиспратени пораки до агенциите за спроведување на законот. Прочитајте повеќе за тоа како да не ве фатат за повторно објавување
Патем, веќе некое време секој што го има вашиот телефонски број може стандардно да ве најде на VKontakte, дури и ако самата страница не го открива вашиот вистински идентитет.
Можете да спречите луѓето да ве најдат по број во поставките на вашиот профил (Поставки -> Приватност -> Контактирајте ме). Но, ова, се разбира, нема да ве спаси од специјалните служби. Не користете повици и видео комуникации на VKontakte: не е познато дали мрежата навистина ги шифрира од крај до крај, како што тврди администрацијата.
Безбедност на веб-страницата
Единствената добра вест е тоа Сите популарни сајтови на Интернет веќе имаат https верзија или целосно се префрлија на користење само на верзии https. Информациите добиени и пренесени на таквите страници се шифрирани и не можат да бидат прочитани од трети страни. Таквите ресурси се означени со зелено и зборот „заштитени“.
Тука завршуваат добрите вести. И покрај протоколот https, фактот за посета на таква локација и барањата за DNS (информации за домени до кои сте пристапиле) сè уште остануваат видливи за интернет-провајдерот.
Но, уште една вест е уште полоша: преостанатата половина од сајтовите работат со користење на редовниот http протокол, односно без шифрирање на податоците. Решението би можело да биде VPN, кој ги шифрира апсолутно сите примени и пренесени податоци, така што нема читливи информации од страната на интернет-провајдерот и секој што се обидува да се инфилтрира помеѓу вас и крајната локација. Единственото нешто што ќе биде видливо е фактот за поврзување на одредена IP адреса на Интернет (односно, на VPN сервер). И ништо повеќе.
Ќе бидеме среќни ако животот навистина одеднаш стане толку едноставен: вклучете VPN и заборавете на истекувањето на чувствителни информации. Но, тоа не е вистина. Редовно проверувајте дали вашиот омилен ресурс е вклучен во регистарот ARI, следете како тој комуницира со властите, проверувајте ги активните врски во поставките на инстант-месинџерите и социјалните мрежи и ресетирајте ги сомнителните (а потоа не заборавајте да ги промените лозинките).
глобално
Кога работите со комуникациски канали и пренос на податоци, има смисла само сеопфатен пристап кон безбедноста и приватноста. Следете ги настаните за безбедност на Интернет во нашиот канал на Телеграма , онлајн и на други ресурси посветени на настани на Интернет и особено на RuNet.
Какви безбедносни мерки преземате?
Извор: www.habr.com