Hai Habr.
Ini adalah kami, perkhidmatan VPN . Kami sedang bekerja pada cermin HideMyna.me buat sementara waktu. kenapa? Pada 20 Julai 2018 Roskomnadzor telah menambah kami disebabkan keputusan Mahkamah Daerah Medvedevsky di Yoshkar-Ola. Mahkamah memutuskan bahawa pelawat ke tapak kami mempunyai akses tanpa had kepada bahan pelampau #tanpa pendaftaranisme, dan entah bagaimana menemui buku "Mein Kampf" oleh Adolf Hitler di atasnya. Nampaknya, untuk kebolehpercayaan.
Keputusan ini sangat mengejutkan kami, tetapi kami terus mengusahakan hidemyna.me, hidemyname.org, .one, .biz, dll. Pertengkaran yang berlarutan dengan Roskomnadzor tidak membawa apa-apa keputusan. Walaupun saya dan peguam saya mencabar sekatan dan keputusan mahkamah ajaib, kami berkongsi dengan anda petua asas untuk mengekalkan privasi di Internet dan berita mengenai topik ini.
Edward Snowden suka Agensi Keselamatan Negara (mungkin)
Bukan rahsia lagi bahawa perkhidmatan Rusia yang popular tidak selamat. Surat-menyurat anda mungkin pada bila-bila masa mendapat perhatian pegawai penguatkuasa undang-undang tempatan. Kami memberitahu anda perkara yang perlu anda ingat apabila berkomunikasi melalui saluran komunikasi yang berbeza.
SORM dan ORI
Terdapat cara untuk mengetik telefon anda. Rasmi dan undang-undang - SORM, sistem cara teknikal untuk memastikan fungsi aktiviti penyiasatan operasi. Mengikut undang-undang di Persekutuan Rusia, semua pengendali selular dikehendaki memasang sistem sedemikian pada PBX mereka jika mereka tidak mahu kehilangan lesen mereka. Terdapat tiga jenis SORM: yang pertama dicipta pada tahun 80-an, yang kedua mula dilaksanakan pada tahun 2014-an, dan mereka telah cuba mengenakan yang ketiga kepada pengendali sejak XNUMX. , kebanyakan pengendali menggunakan jenis kedua, tetapi dalam 70% kes sistem tidak berfungsi dengan betul atau tidak berfungsi sama sekali. Walau bagaimanapun, adalah lebih baik untuk tidak membincangkan topik sensitif melalui telefon talian tetap atau melalui panggilan biasa dari telefon mudah alih.
Skim operasi SORM-2 (Sumber: mfisoft.ru)
Menurut 97-FZ, mana-mana utusan, perkhidmatan dan tapak yang beroperasi di Rusia mesti disertakan dalam daftar . Oleh "βMereka dikehendaki menyimpan semua data pengguna, termasuk rakaman panggilan suara dan surat-menyurat, selama enam bulan. By the way, ARI pun ada Habrahabr.
Operasi pendaftaran diterangkan secara terperinci menggunakan Threema sebagai contoh, tetapi kesimpulan utama adalah ini: sekarang, atas permintaan pihak berkuasa Rusia, sebarang maklumat tentang anda mungkin berakhir di agensi penguatkuasaan undang-undang. Oleh itu, perkara pertama yang perlu dilakukan untuk mengekalkan kerahsiaan ialah memindahkan panggilan dan mesej kepada pemesej segera, yang tiada dalam pendaftaran ARI. Atau mereka yang ada, tetapi enggan memindahkan data kepada pihak berkuasa - seperti Threema dan Telegram.
Sijil: Semata-mata berada dalam daftar ARI tidak menjamin bahawa data akan dipindahkan kepada pihak berkuasa. Anda perlu sentiasa memantau berita dan melihat reaksi utusan apabila mereka "datang" untuknya.
Panggilan suara dan mesej
Perbualan dan mesej kami boleh dilindungi daripada gangguan pihak ketiga melalui penyulitan hujung ke hujung, itulah sebabnya pemesej dengan E2E dianggap paling selamat. Tetapi ini tidak sepenuhnya benar: mari lihat pilihan popular.
Telegram penyulitan hujung ke hujung dalam Sembang Rahsia mereka dan menyimpan data yang disulitkan tentang surat-menyurat anda dalam awan, yang tersebar di seluruh negara yang berbeza dengan bidang kuasa "selamat". Tetapi selepas di HabrΓ© anda boleh mula meragui ilusi keselamatan Pasport Telegram dalam E2E dari Durov.
Sudah tentu, Sembang Rahsia masih merupakan pilihan yang baik untuk paranoid. Pelayan tidak terlibat sama sekali dalam penyulitan mereka: mesej dihantar rakan ke rakan, iaitu, secara langsung antara peserta dalam surat-menyurat. Untuk menambah ketenangan fikiran, anda boleh menggunakan fungsi memusnahkan diri mesej pemasa. Tetapi anda tidak sepatutnya bergantung pada Telegram secara membuta tuli. Untuk menjadikannya lebih selamat, anda dan penerima anda mesti pergi ke tetapan messenger dan melakukan sekurang-kurangnya dua perkara:
- Tetapkan kata laluan semasa log masuk ke aplikasi (Privasi dan Keselamatan -> Kod laluan);
- Dayakan pengesahan dua langkah (Privasi dan Keselamatan -> Pengesahan Dua Langkah).
Selepas ini, sebagai tambahan kepada kod dari SMS, apabila log masuk dari peranti baru, aplikasi akan meminta kata laluan yang hanya anda tahu.
Pada masa ini, pengesahan log masuk hanya melalui SMS tidak sama sekali melindungi seseorang yang menggunakan kad SIM Rusia. Kes penggodaman akaun Telegram melalui mesej SMS yang dipintas sudah diketahui - pada tahun 2016, penyerang kepada surat-menyurat beberapa pembangkang, dan pada 2017 akaun wartawan Dozhd Mikhail Rubin.
WhatsApp buat masa ini ia mengelakkan pendaftaran ORI dan juga menggunakan penyulitan hujung ke hujung, tetapi semuanya tidak begitu cerah dengannya. Kami baru-baru ini menerbitkan tentang penduduk Magadan yang dikenakan kes jenayah kerana mengkritik Datuk Bandar. Cerita ini, nasib baik, berakhir dengan denda biasa. Tetapi ia mengesahkan kebimbangan pengguna: tidak selamat untuk berkomunikasi dalam sembang kumpulan WhatsApp.
Apa yang akan berlaku?
- Sebaik sahaja anda menulis mesej, nombor telefon anda akan segera tersedia kepada semua ahli kumpulan. Dan identiti anda boleh ditentukan dengan mudah melalui nombor.
Apa yang perlu dilakukan?
- Penyelesaiannya boleh jadi kad SIM "kiri" atau nombor asing - sebaik-baiknya yang Eropah.
Jika anda menggunakan kad Rusia yang didaftarkan atas nama anda, elakkan komen sarkastik dalam kumpulan dengan nama seperti "Letak jawatan untuk Datuk Bandar": lebih baik tinggalkan surat-menyurat peribadi dan panggilan untuk WhatsApp sahaja.
Viber juga tidak disenaraikan dalam pendaftaran ORI, tetapi mengekalkan komunikasi dengan pihak berkuasa Rusia (dalam masa lapangnya daripada menghantar spam). Pengutus ini adalah salah satu yang pertama mematuhi keperluan kerajaan baharu: ia menyimpan log masuk dan nombor telefon pengguna Rusia di wilayah Persekutuan Rusia, tetapi menyediakan data mesej β merujuk kepada mekanik penyulitan hujung ke hujung dan dasar korporat.
Apple juga menggunakan hujung ke hujung, tetapi apabila mendaftar dengan iMessage ia mencipta dua pasangan utama: peribadi dan awam. Mesej yang anda terima daripada pemilik peranti epal yang sama dihantar kepada anda dengan penyulitan, yang menggunakan kunci awam. Ia hanya boleh dinyahsulit menggunakan kunci peribadi penerima, yang disimpan pada perantinya. Anda boleh membaca tentang cara Apple melihat privasi pengguna dan perkara yang akan dilakukan jika ia menerima permintaan daripada kerajaan Tiada kes direkodkan syarikat memindahkan data daripada pengguna Rusia kepada pihak berkuasa Rusia.
Sumber:
Tetapi iMessage mempunyai dua kelemahan:
- Anda boleh menulis atau menelefon melalui saluran ini hanya kepada pemilik Apple yang sama;
- Jika anda menghadapi masalah dengan sambungan Internet anda, mesej itu akan melalui saluran selular biasa dan menjadi SMS ringkas yang boleh dipintas dengan mudah.
Untuk mengelakkan iMessage bertukar menjadi SMS, anda boleh melumpuhkan ciri ini dalam Tetapan.
Penyelidik dari Electronic Frontier Foundation bahawa tiada pilihan selamat seratus peratus untuk panggilan dan mesej. Jika sesetengah utusan menghalang pihak berkuasa daripada mendapatkan data peribadi anda, ini tidak bermakna penggodam (atau negeri, yang boleh menggunakan perkhidmatan mereka) tidak boleh melakukan ini dengan memintas undang-undang. Untuk memberi keyakinan kepada pengguna bahawa tiada lelaki di tengah-tengah, Telegram mempunyai ciri yang menarik: apabila membuat panggilan, kedua-dua penerima boleh memastikan bahawa mereka melihat emoji yang sama di penjuru kanan sebelah atas skrin - ini akan mengesahkan ketiadaan "pencerobohan" ke dalam sambungan.
Jika anda sedang mencari cara yang lebih selamat untuk berkomunikasi, kami mengesyorkan agar anda melangkaui sembang rahsia, kata laluan dan pengesahan dua langkah/dua faktor kepada apl khusus yang kurang popular seperti atau .
Saya menggunakan Signal setiap hari. #notesforFBI (Spoiler: mereka sudah tahu)
ΠΠ»Π΅ΠΊΡΡΠΎΠ½Π½Π°Ρ ΠΏΠΎΡΡΠ°
Syarikat popular yang memungkinkan untuk menggunakan klien e-mel mereka (di Rusia ini adalah Yandex, Mail.Ru dan Rambler) sudah termasuk dalam pendaftaran ARI, yang bermaksud mereka tidak begitu selamat. Ya, Kumpulan Mail.Ru kes jenayah untuk meme dan pengampunan bagi mereka yang disabitkan kesalahan, tetapi boleh memberikan maklumat tentang data anda kepada pihak berkuasa atas permintaan.
Walaupun anda menggunakan klien e-mel Barat seperti Gmail atau Outlook, telah mendayakan pengesahan dua faktor, dan mengetahui bahawa e-mel anda disulitkan menggunakan protokol SSL/TLS yang selamat, anda tidak boleh memastikan bahawa e-mel penerima anda dilindungi sama.
Pilihan perlindungan:
- Apabila menghantar maklumat sensitif, sulitkan e-mel menggunakan Pretty Good Privacy (). Program ini membantu menukar data daripada surat menjadi set aksara yang tidak bermakna untuk semua orang kecuali pengirim dan penerima;
- Apabila menghantar maklumat penting, sentiasa perhatikan domain penerima dan jangan tulis ke alamat yang mencurigakan;
- Semak dengan penerima terlebih dahulu sama ada dia telah menyediakan penghantaran semula atau pengumpulan mel melalui perkhidmatan pos Rusia.
Dalam kes syarikat domestik dari pendaftaran ORI, tiada penyulitan di sisi pengguna akan, pada dasarnya, membantu. Maklumat tidak dipintas, tetapi disimpan dan dihantar oleh titik akhir - perkhidmatan yang serupa. Satu-satunya penyelesaian adalah dengan menggantikannya dengan analog yang lebih selamat seperti ProtonMail, Tutanota atau Hushmail. Lebih banyak perkhidmatan e-mel sedemikian boleh didapati di muka surat.
Rangkaian Sosial
Sebagai permulaan, kurangkan kehadiran anda di rangkaian sosial Rusia yang popular - "Dunia Saya", "Odnoklassniki" dan "VKontakte". Sekurang-kurangnya Facebook tidak menyerahkan data anda kepada agensi perisikan Rusia. Sekurang-kurangnya, tiada kes sedemikian direkodkan.
Tetapi menarik bahawa pada tahun 2017, syarikat itu masih memenuhi 85% permintaan daripada kerajaan AS:
Tangkapan skrin daripada
Jika anda terlalu biasa dengan VK, tetapi tidak mahu berakhir di dok, beri perhatian kepada beberapa perkara:
- gambar yang disimpan anda;
- siaran, ulasan dan mesej yang anda tulis;
- siaran yang anda suka;
- siaran yang anda kongsi;
- pengguna yang anda berkawan.
Dalam semua perkara di atas, adalah yang terbaik untuk mengelakkan apa-apa yang boleh dianggap menyinggung perasaan atau ekstremis. Sentiasa ingat bahawa "perkongsian" bermaksud menyampaikan maklumat "haram" kepada sekurang-kurangnya seorang. Peguam kumpulan hak asasi manusia antarabangsa "Agora" Damir Gainutdinov mendakwa bahawa mengikut undang-undang, ORI malah draf mesej yang belum dihantar kepada agensi penguatkuasaan undang-undang. Baca lebih lanjut tentang cara untuk tidak ditangkap kerana menyiarkan semula
Ngomong-ngomong, untuk beberapa waktu sekarang sesiapa yang mempunyai nombor telefon anda boleh menemui anda di VKontakte secara lalai, walaupun halaman itu sendiri tidak mendedahkan identiti sebenar anda.
Anda boleh menghalang orang daripada mencari anda melalui nombor dalam tetapan profil anda (Tetapan -> Privasi -> Hubungi saya). Tetapi ini, sudah tentu, tidak akan menyelamatkan anda daripada perkhidmatan istimewa. Jangan gunakan panggilan dan komunikasi video di VKontakte: tidak diketahui sama ada rangkaian itu sebenarnya menyulitkannya dari hujung ke hujung, seperti yang didakwa oleh pentadbiran.
Keselamatan Laman Web
Satu-satunya berita baik ialah itu Semua tapak popular di Internet sudah mempunyai versi https atau telah beralih sepenuhnya kepada menggunakan versi https sahaja. Maklumat yang diterima dan dihantar pada tapak tersebut disulitkan dan tidak boleh dibaca oleh pihak ketiga. Sumber sedemikian ditandakan dengan warna hijau dan perkataan "dilindungi".
Di situlah berita gembira itu berakhir. Walaupun protokol https, fakta melawati tapak sedemikian dan permintaan DNS (maklumat tentang domain yang anda akses) masih kekal kelihatan kepada pembekal Internet.
Tetapi satu lagi berita adalah lebih teruk: separuh lagi tapak beroperasi menggunakan protokol http biasa, iaitu, tanpa penyulitan data. Penyelesaiannya boleh menjadi VPN, yang menyulitkan sepenuhnya semua data yang diterima dan dihantar supaya tiada maklumat yang boleh dibaca di sisi penyedia Internet dan sesiapa sahaja yang cuba menyusup antara anda dan tapak akhir. Satu-satunya perkara yang akan dapat dilihat ialah fakta menyambung ke alamat IP tertentu di Internet (iaitu, ke pelayan VPN). Dan tidak lebih.
Kami akan gembira jika kehidupan tiba-tiba menjadi begitu mudah: hidupkan VPN dan lupakan kebocoran maklumat sensitif. Tetapi itu tidak benar. Periksa dengan kerap sama ada sumber kegemaran anda disertakan dalam pendaftaran ARI, pantau cara ia berinteraksi dengan pihak berkuasa, semak sambungan aktif dalam tetapan pemesej segera dan rangkaian sosial dan tetapkan semula yang mencurigakan (dan kemudian pastikan anda menukar kata laluan).
secara global
Apabila bekerja dengan saluran komunikasi dan pemindahan data, hanya pendekatan komprehensif terhadap keselamatan dan privasi yang masuk akal. Ikuti acara keselamatan Internet di saluran Telegram kami , Dalam talian dan sumber lain yang dikhaskan untuk acara di Internet dan RuNet khususnya.
Apakah langkah keselamatan yang anda ambil?
Sumber: www.habr.com