Hé Habr.
Dit zijn wij, VPN-service . Momenteel werken wij tijdelijk aan de HideMyna.me spiegel. Waarom? Op 20 juli 2018 heeft Roskomnadzor ons toegevoegd als gevolg van de beslissing van de Medvedevsky-districtsrechtbank in Josjkar-Ola. De rechtbank oordeelde dat bezoekers van onze site onbeperkt toegang hebben tot extremistisch materiaal #withoutregistrationisms, en vond daar op de een of andere manier het boek “Mein Kampf” van Adolf Hitler op. Blijkbaar voor de betrouwbaarheid.
Deze beslissing verraste ons zeer, maar we blijven werken aan hidemyna.me, hidemyname.org, .one, .biz, enz. Een langdurige ruzie met Roskomnadzor leidde niet tot enig resultaat. Terwijl mijn advocaten en ik de blokkering en de magische rechterlijke beslissing aanvechten, delen we basistips voor het handhaven van de privacy op internet en nieuws over dit onderwerp.
Edward Snowden houdt (waarschijnlijk) van de National Security Agency
Het is geen geheim dat populaire Russische diensten onveilig zijn. Uw correspondentie kan op elk moment onder de aandacht komen van binnenlandse wetshandhavingsfunctionarissen. Wij vertellen u waar u op moet letten bij het communiceren via verschillende communicatiekanalen.
SORM en ORI
Er is manieren om op uw telefoon te tikken. Officieel en juridisch - SORM, een systeem van technische middelen om de functies van operationele onderzoeksactiviteiten te waarborgen. Volgens de wet in de Russische Federatie zijn alle mobiele operators verplicht een dergelijk systeem op hun PBX-systemen te installeren als ze hun licentie niet willen verliezen. Er zijn drie soorten SORM: de eerste is uitgevonden in de jaren 80, de tweede werd in de jaren 2014 geïmplementeerd en sinds XNUMX proberen ze de derde aan operators op te leggen. gebruiken de meeste operators het tweede type, maar in 70% van de gevallen werkt het systeem niet correct of helemaal niet. Het is echter nog steeds beter om gevoelige onderwerpen niet via een vaste telefoon of via een gewone oproep vanaf een mobiele telefoon te bespreken.
Werkingsschema van SORM-2 (Bron: mfisoft.ru)
Volgens 97-FZ moeten alle boodschappers, diensten en sites die in Rusland actief zijn, in het register worden opgenomen . Door "“Ze zijn verplicht om alle gebruikersgegevens, inclusief opnames van spraakoproepen en correspondentie, gedurende zes maanden te bewaren. ARI heeft trouwens ook Habrahabr.
De werking van het register wordt gedetailleerd beschreven Ik gebruik Threema als voorbeeld, maar de belangrijkste conclusie is deze: nu kan op verzoek van de Russische autoriteiten alle informatie over u bij wetshandhavingsinstanties terechtkomen. Daarom is het eerste wat u moet doen om de vertrouwelijkheid te behouden het doorverbinden van oproepen en berichten naar instant messengers, die niet in het ARI-register staan. Of degenen die er wel zijn, maar weigeren gegevens door te geven aan de autoriteiten – zoals Threema en Telegram.
Certificaat: Alleen al het feit dat u in het ARI-register staat, garandeert niet dat de gegevens aan de autoriteiten worden overgedragen. Je moet het nieuws voortdurend in de gaten houden en kijken naar de reactie van de boodschapper wanneer ze hem "komen".
Spraakoproepen en berichten
Onze gesprekken en berichten kunnen worden beschermd tegen tussenkomst van derden door end-to-end-codering. Daarom worden messengers met E2E als de veiligste beschouwd. Maar dit is niet helemaal waar: laten we naar populaire opties kijken.
Telegram end-to-end-codering in hun geheime chats en slaat gecodeerde gegevens over uw correspondentie op in de cloud, die verspreid is over verschillende landen met ‘veilige’ jurisdictie. Maar daarna op Habré kun je beginnen te twijfelen aan de illusie van veiligheid van Telegram Passport in E2E van Durov.
Natuurlijk zijn geheime chats nog steeds een goede optie voor paranoïde mensen. De server is helemaal niet betrokken bij de codering ervan: berichten worden peer-to-peer verzonden, dat wil zeggen rechtstreeks tussen de deelnemers aan de correspondentie. Voor extra gemoedsrust kunt u de zelfvernietigingsfunctie van het timerbericht gebruiken. Maar je moet niet blindelings op Telegram vertrouwen. Om het wat veiliger te maken, moeten jij en je ontvanger naar de Messenger-instellingen gaan en minstens twee dingen doen:
- Stel een wachtwoord in wanneer u zich aanmeldt bij de applicatie (Privacy en Beveiliging -> toegangscode);
- Tweestapsverificatie inschakelen (Privacy en Beveiliging -> Two-Step Verification).
Hierna zal de applicatie, naast de code uit de sms, bij het inloggen vanaf een nieuw apparaat om een wachtwoord vragen dat alleen jij kent.
Momenteel beschermt een aanmeldingsbevestiging alleen via sms op geen enkele manier een persoon die een Russische simkaart gebruikt. Gevallen van het hacken van Telegram-accounts via een onderschept sms-bericht zijn al bekend - in 2016 hebben aanvallers naar de correspondentie van verschillende oppositionisten, en in 2017 verslag van Dozhd-journalist Michail Rubin.
WhatsApp voorlopig vermijdt het het ORI-register en maakt ook gebruik van end-to-end-encryptie, maar alles is er niet zo rooskleurig mee. Wij hebben onlangs gepubliceerd over inwoners van Magadan tegen wie een strafzaak liep wegens kritiek op de burgemeester. Dit verhaal eindigde gelukkig met de gebruikelijke boete. Maar het bevestigde de angsten van gebruikers: het is niet veilig om te communiceren in WhatsApp-groepschats.
Wat zal er gebeuren?
- Zodra u een bericht schrijft, is uw telefoonnummer onmiddellijk beschikbaar voor alle groepsleden. En uw identiteit kan eenvoudig worden bepaald aan de hand van het nummer.
Wat te doen?
- De oplossing kan een ‘linkse’ simkaart zijn of een buitenlands nummer – bij voorkeur een Europees nummer.
Als u een Russische kaart gebruikt die op uw naam staat, vermijd dan sarcastische opmerkingen in groepen met namen als “Neem ontslag voor de burgemeester”: het is beter om alleen persoonlijke correspondentie en oproepen voor WhatsApp achter te laten.
Viber staat ook niet vermeld in het ORI-register, maar onderhoudt de communicatie met de Russische autoriteiten (in zijn vrije tijd van het verzenden van spam). Deze messenger was een van de eersten die voldeed aan de nieuwe overheidseisen: hij bewaart logins en telefoonnummers van Russische gebruikers op het grondgebied van de Russische Federatie, maar verstrekt berichtgegevens – verwijst naar de mechanismen van end-to-end-encryptie en bedrijfsbeleid.
Apple maakt ook gebruik van end-to-end, maar bij registratie bij iMessage worden er twee sleutelparen aangemaakt: privé en openbaar. Het bericht dat u ontvangt van dezelfde eigenaar van een Apple-apparaat, wordt gecodeerd naar u verzonden, waarbij gebruik wordt gemaakt van een openbare sleutel. Het kan alleen worden gedecodeerd met behulp van de privésleutel van de ontvanger, die op zijn apparaat is opgeslagen. Je leest hoe Apple tegen de privacy van gebruikers aankijkt en wat het gaat doen als het een verzoek krijgt van de overheid Er zijn geen gevallen bekend waarin het bedrijf gegevens van Russische gebruikers aan de Russische autoriteiten heeft overgedragen.
Bron:
Maar iMessage heeft twee nadelen:
- Je kunt via deze kanalen alleen schrijven of bellen naar dezelfde Apple-eigenaar;
- Als u problemen heeft met uw internetverbinding, gaat het bericht via een normaal mobiel kanaal en wordt het een eenvoudig sms-bericht dat gemakkelijk kan worden onderschept.
Om te voorkomen dat iMessage in sms verandert, kunt u deze functie uitschakelen in Instellingen.
Onderzoekers van de Electronic Frontier Foundation dat er geen honderd procent veilige optie bestaat voor bellen en berichten. Als sommige boodschappers voorkomen dat de autoriteiten uw privégegevens verkrijgen, betekent dit niet dat hackers (of de staat, die van hun diensten gebruik kan maken) dit niet kunnen doen door de wetten te omzeilen. Om de gebruiker het vertrouwen te geven dat er geen man-in-the-middle is, heeft Telegram een leuke feature: tijdens het bellen kunnen beide ontvangers ervoor zorgen dat ze dezelfde emoji in de rechterbovenhoek van het scherm zien - dit bevestigt de afwezigheid van “inbraak” in de verbinding.
Als u op zoek bent naar een veiligere manier om te communiceren, raden we u aan verder te kijken dan geheime chats, wachtwoorden en tweestaps-/tweefactorauthenticatie en naar minder populaire niche-apps zoals of .
Ik gebruik Signal elke dag. #notesforFBI (Spoiler: ze weten het al)
Электронная почта
Populaire bedrijven die het mogelijk maken om hun e-mailclients te gebruiken (in Rusland zijn dit Yandex, Mail.Ru en Rambler) zijn al opgenomen in het ARI-register, wat betekent dat ze niet erg veilig zijn. Ja, Mail.Ru Groep strafzaken voor memes en amnestie voor veroordeelden, maar kan op verzoek informatie over uw gegevens aan de autoriteiten verstrekken.
Zelfs als u westerse e-mailclients zoals Gmail of Outlook gebruikt, tweefactorauthenticatie hebt ingeschakeld en weet dat uw e-mail is gecodeerd met een veilig SSL/TLS-protocol, kunt u er niet zeker van zijn dat de e-mail van uw ontvanger even goed is beschermd.
Beschermingsopties:
- Wanneer u gevoelige informatie verzendt, versleutel dan e-mails met behulp van Pretty Good Privacy (). Dit programma helpt de gegevens van een brief om te zetten in een betekenisloze reeks tekens voor iedereen behalve de afzender en ontvanger;
- Let bij het versturen van belangrijke informatie altijd op het domein van de ontvanger en schrijf niet naar een verdacht adres;
- Controleer vooraf bij de ontvanger of hij of zij het doorsturen of ophalen van post via de Russische postdienst heeft ingesteld.
Bij binnenlandse bedrijven uit het ORI-register zal in principe geen encryptie aan de gebruikerszijde helpen. Informatie wordt niet onderschept, maar opgeslagen en verzonden door eindpunten - vergelijkbare diensten. De enige oplossing kan zijn om ze te vervangen door veiligere analogen zoals ProtonMail, Tutanota of Hushmail. Meer van dergelijke e-maildiensten zijn te vinden op bladzijde.
Sociale Netwerken
Minimaliseer om te beginnen uw aanwezigheid op populaire Russische sociale netwerken - "My World", "Odnoklassniki" en "VKontakte". Facebook draagt jouw gegevens tenminste niet over aan Russische inlichtingendiensten. Dergelijke gevallen zijn in ieder geval niet geregistreerd.
Maar het is interessant dat het bedrijf in 2017 nog steeds aan 85% van de verzoeken van de Amerikaanse overheid voldeed:
Schermafbeeldingen van
Ben je teveel gewend aan VK, maar wil je niet in de beklaagdenbank belanden, let dan op een aantal zaken:
- uw opgeslagen foto's;
- berichten, opmerkingen en berichten die u schrijft;
- berichten die je leuk vindt;
- berichten die u deelt;
- gebruikers waarmee u bevriend bent.
In al het bovenstaande is het het beste om alles te vermijden dat als aanstootgevend of extremistisch kan worden beschouwd. Onthoud altijd dat ‘delen’ betekent dat ‘illegale’ informatie aan ten minste één persoon wordt doorgegeven. Advocaat van de internationale mensenrechtenorganisatie ‘Agora’ Damir Gainutdinov beweert dat ORI volgens de wet zelfs concepten van niet-verzonden berichten naar wetshandhavingsinstanties. Lees meer over hoe u niet betrapt wordt op opnieuw posten
Trouwens, iedereen die je telefoonnummer heeft, kan je al een tijdje standaard op VKontakte vinden, zelfs als de pagina zelf je echte identiteit niet onthult.
Je kunt voorkomen dat mensen je op nummer vinden in je profielinstellingen (Instellingen -> Privacy -> Contact opnemen). Maar dit zal u natuurlijk niet redden van de speciale diensten. Gebruik geen oproepen en videocommunicatie op VKontakte: het is onbekend of het netwerk ze daadwerkelijk end-to-end codeert, zoals de administratie beweert.
Website-beveiliging
Het enige goede nieuws is dat Alle populaire sites op internet hebben al een https-versie of zijn volledig overgestapt op het gebruik van alleen https-versies. Informatie die op dergelijke sites wordt ontvangen en verzonden, is gecodeerd en kan niet door derden worden gelezen. Dergelijke hulpbronnen zijn groen gemarkeerd en het woord “beschermd”.
Dat is waar het goede nieuws eindigt. Ondanks het https-protocol blijven het bezoek aan zo’n site en DNS-verzoeken (informatie over welke domeinen je hebt bezocht) nog steeds zichtbaar voor de internetprovider.
Maar een ander nieuwsbericht is nog erger: de overige helft van de sites gebruikt het reguliere http-protocol, dat wil zeggen zonder gegevensversleuteling. De oplossing zou een VPN kunnen zijn, die absoluut alle ontvangen en verzonden gegevens versleutelt, zodat er geen leesbare informatie is van de kant van de internetprovider en van iedereen die tussen u en de eindsite probeert te infiltreren. Het enige dat zichtbaar zal zijn, is het feit dat u verbinding maakt met een bepaald IP-adres op internet (dat wil zeggen met een VPN-server). En niets meer.
Wij zullen blij zijn als het leven ineens zo eenvoudig wordt: zet de VPN aan en vergeet het lekken van gevoelige informatie. Maar dat is niet waar. Controleer regelmatig of uw favoriete bron is opgenomen in het ARI-register, controleer hoe deze omgaat met de autoriteiten, controleer actieve verbindingen in de instellingen van instant messengers en sociale netwerken en reset verdachte verbindingen (en zorg er vervolgens voor dat u wachtwoorden wijzigt).
wereldwijd
Bij het werken met communicatiekanalen en gegevensoverdracht is alleen een alomvattende benadering van beveiliging en privacy zinvol. Volg internetbeveiligingsgebeurtenissen in ons Telegram-kanaal , Online en op andere bronnen gewijd aan evenementen op internet en RuNet in het bijzonder.
Welke veiligheidsmaatregelen neemt u?
Bron: www.habr.com