Hei Habr.
Dette er oss, VPN-tjeneste . Vi jobber for tiden midlertidig med HideMyna.me-speilet. Hvorfor? 20. juli 2018 la Roskomnadzor til oss på grunn av avgjørelsen fra Medvedevsky tingrett i Yoshkar-Ola. Retten avgjorde at besøkende på nettstedet vårt har ubegrenset tilgang til ekstremistisk materiale #withoutregistrationisms, og fant på en eller annen måte boken «Mein Kampf» av Adolf Hitler på den. Tilsynelatende for pålitelighetens skyld.
Denne avgjørelsen overrasket oss veldig, men vi fortsetter å jobbe med hidemyna.me, hidemyname.org, .one, .biz osv. En langvarig krangel med Roskomnadzor førte ikke til noe resultat. Mens advokatene mine og jeg utfordrer blokkeringen og den magiske rettsavgjørelsen, deler vi med deg grunnleggende tips for å opprettholde personvernet på Internett og nyheter om dette emnet.
Edward Snowden elsker National Security Agency (sannsynligvis)
Det er ingen hemmelighet at populære russiske tjenester er utrygge. Din korrespondanse kan når som helst bli kjent med nasjonale politimyndigheter. Vi forteller deg hva du må huske når du kommuniserer gjennom ulike kommunikasjonskanaler.
SORM og ORI
Det er måter å tappe telefonen på. Offisiell og juridisk - SORM, et system med tekniske midler for å sikre funksjonene til operative etterforskningsaktiviteter. Ved lov i den russiske føderasjonen er alle mobiloperatører pålagt å installere et slikt system på sine PBX-er hvis de ikke ønsker å miste lisensen. Det er tre typer SORM: den første ble oppfunnet på 80-tallet, den andre begynte å bli implementert på 2014-tallet, og de har prøvd å påtvinge operatører den tredje siden XNUMX. , de fleste operatører bruker den andre typen, men i 70% av tilfellene fungerer ikke systemet riktig eller fungerer ikke i det hele tatt. Imidlertid er det fortsatt bedre å ikke diskutere sensitive emner over en fasttelefon eller gjennom en vanlig samtale fra en mobiltelefon.
Driftsskjema for SORM-2 (Kilde: mfisoft.ru)
I følge 97-FZ må alle budbringere, tjenester og nettsteder som opererer i Russland inkluderes i registeret . Av ""De er pålagt å lagre alle brukerdata, inkludert taleanropsopptak og korrespondanse, i seks måneder. ARI har forresten også Habrahabr.
Driften av registeret er beskrevet i detalj bruker Threema som et eksempel, men hovedkonklusjonen er denne: nå, på forespørsel fra russiske myndigheter, kan all informasjon om deg havne i rettshåndhevelsesbyråer. Derfor er den første tingen å gjøre for å opprettholde konfidensialitet å overføre anrop og meldinger til direktemeldinger, som ikke er i ARI-registeret. Eller de som er der, men nekter å overføre data til myndighetene – som Threema og Telegram.
Sertifikat: Bare å være i ARI-registeret garanterer ikke at dataene vil bli overført til myndighetene. Du må hele tiden overvåke nyhetene og se på budbringerens reaksjon når de "kommer" etter ham.
Taleanrop og meldinger
Samtalene og meldingene våre kan beskyttes mot forstyrrelser fra tredjeparter ved ende-til-ende-kryptering, og det er grunnen til at messengers med E2E anses som de sikreste. Men dette er ikke helt sant: la oss se på populære alternativer.
Telegram ende-til-ende-kryptering i deres hemmelige chatter og lagrer krypterte data om korrespondansen din i skyen, som er spredt over forskjellige land med "trygg" jurisdiksjon. Men etter på Habré kan du begynne å tvile på illusjonen om sikkerheten til Telegram Passport i E2E fra Durov.
Selvfølgelig er hemmelige chatter fortsatt et godt alternativ for paranoide. Serveren er ikke involvert i deres kryptering i det hele tatt: meldinger overføres peer-to-peer, det vil si direkte mellom deltakerne i korrespondansen. For ekstra trygghet kan du bruke selvdestruksjonsfunksjonen for timermelding. Men du bør ikke stole blindt på Telegram. For å gjøre det litt sikrere må du og mottakeren din gå til messenger-innstillingene og gjøre minst to ting:
- Angi et passord når du logger på applikasjonen (Personvern og sikkerhet -> Passord);
- Aktiver to-trinns bekreftelse (Personvern og sikkerhet -> To-trinns bekreftelse).
Etter dette vil applikasjonen, i tillegg til koden fra SMS-en, ved pålogging fra en ny enhet be om et passord som bare du kjenner.
Foreløpig beskytter påloggingsbekreftelse kun via SMS på ingen måte en person som bruker et russisk SIM-kort. Tilfeller av hacking av Telegram-kontoer gjennom en avlyttet SMS-melding er allerede kjent - i 2016, angripere til korrespondanse fra flere opposisjonelle, og i 2017 beretning om Dozhd-journalisten Mikhail Rubin.
WhatsApp for nå unngår den ORI-registeret og bruker også ende-til-ende-kryptering, men alt er ikke så rosenrødt med det. Vi publiserte nylig om innbyggere i Magadan som var underlagt en straffesak for å ha kritisert byordføreren. Denne historien endte heldigvis med vanlig bot. Men det bekreftet brukernes frykt: det er ikke trygt å kommunisere i WhatsApp-gruppechatter.
Hva vil skje?
- Så snart du skriver en melding, vil telefonnummeret ditt umiddelbart bli tilgjengelig for alle gruppemedlemmer. Og identiteten din kan enkelt bestemmes av antallet.
Hva gjør jeg?
- Løsningen kan være et «venstre» SIM-kort eller et utenlandsk nummer – gjerne et europeisk.
Hvis du bruker et russekort som er registrert i navnet ditt, unngå sarkastiske kommentarer i grupper med navn som "Tre seg for ordføreren": det er bedre å bare legge igjen personlig korrespondanse og oppfordringer til WhatsApp.
Viber er heller ikke oppført i ORI-registeret, men opprettholder kommunikasjon med russiske myndigheter (i fritiden fra å sende spam). Denne messengeren var en av de første som overholdt de nye myndighetskravene: den lagrer pålogginger og telefonnumre til russiske brukere på den russiske føderasjonens territorium, men gir meldingsdata — refererer til mekanikken til ende-til-ende-kryptering og bedriftens retningslinjer.
eple bruker også ende-til-ende, men når du registrerer deg med iMessage opprettes det to nøkkelpar: privat og offentlig. Meldingen som du mottar fra samme eier av en Apple-enhet, overføres til deg med kryptering, som bruker en offentlig nøkkel. Den kan kun dekrypteres ved hjelp av mottakerens private nøkkel, som er lagret på enheten hans. Du kan lese om hvordan Apple ser på brukernes personvern og hva det vil gjøre hvis det mottar en forespørsel fra myndighetene Det har ikke vært registrert tilfeller av at selskapet har overført data fra russiske brukere til russiske myndigheter.
Kilde:
- Du kan skrive eller ringe gjennom disse kanalene kun til samme Apple-eier;
- Hvis du har problemer med Internett-tilkoblingen din, vil meldingen gå over en vanlig mobilkanal og bli en enkel SMS som enkelt kan avlyttes.
For å unngå at iMessage blir til SMS, kan du deaktivere denne funksjonen i Innstillinger.
Forskere fra Electronic Frontier Foundation at det ikke finnes et hundre prosent trygt alternativ for samtaler og meldinger. Hvis noen budbringere hindrer myndighetene i å få tak i dine private data, betyr ikke dette at hackere (eller staten, som kan bruke deres tjenester) ikke kan gjøre dette ved å omgå lovene. For å gi brukeren tillit til at det ikke er noen mann-i-midten, har Telegram en fin funksjon: når de ringer, kan begge mottakerne sørge for at de ser samme emoji i øvre høyre hjørne av skjermen - dette vil bekrefte fravær av "inntrengning" i forbindelsen.
Hvis du leter etter en sikrere måte å kommunisere på, anbefaler vi å se utover hemmelige chatter, passord og to-trinns/tofaktorautentisering til mindre populære nisjeapper som eller .
Jeg bruker Signal hver dag. #notesforFBI (Spoiler: de vet allerede)
E-post
Populære selskaper som gjør det mulig å bruke e-postklientene deres (i Russland er disse Yandex, Mail.Ru og Rambler) er allerede inkludert i ARI-registeret, noe som betyr at de ikke er veldig trygge. Ja, Mail.Ru Group straffesaker for memer og amnesti for domfelte, men kan gi informasjon om dine data til myndighetene på forespørsel.
Selv om du bruker vestlige e-postklienter som Gmail eller Outlook, har tofaktorautentisering aktivert og vet at e-posten din er kryptert med en sikker SSL/TLS-protokoll, kan du ikke være sikker på at mottakerens e-post er like beskyttet.
Beskyttelsesalternativer:
- Når du sender sensitiv informasjon, krypter e-post med Pretty Good Privacy (). Dette programmet hjelper til med å gjøre dataene fra et brev til et meningsløst sett med tegn for alle unntatt avsender og mottaker;
- Når du sender viktig informasjon, vær alltid oppmerksom på mottakerens domene og ikke skriv til en mistenkelig adresse;
- Sjekk med mottakeren på forhånd om han eller hun har satt opp videresending eller henting av post gjennom det russiske postvesenet.
Når det gjelder innenlandske selskaper fra ORI-registeret vil ingen kryptering på brukersiden i prinsippet hjelpe. Informasjon blir ikke fanget opp, men lagret og overført av endepunkter – lignende tjenester. Den eneste løsningen kan være å erstatte dem med sikrere analoger som ProtonMail, Tutanota eller Hushmail. Flere slike e-posttjenester finner du på siden.
Sosiale nettverk
Til å begynne med, minimer din tilstedeværelse på populære russiske sosiale nettverk - "Min verden", "Odnoklassniki" og "VKontakte". Facebook utleverer i hvert fall ikke dataene dine til russiske etterretningsbyråer. Det er i hvert fall ikke registrert slike tilfeller.
Men det er interessant at selskapet i 2017 fortsatt tilfredsstilte 85% av forespørslene fra den amerikanske regjeringen:
Skjermbilder fra
Hvis du er for vant til VC, men ikke ønsker å havne i kaien, vær oppmerksom på et par ting:
- dine lagrede bilder;
- innlegg, kommentarer og meldinger du skriver;
- innlegg du liker;
- innlegg du deler;
- brukere du er venner med.
I alle de ovennevnte er det best å unngå alt som kan anses som støtende eller ekstremistisk. Husk alltid at "deling" betyr å kommunisere "ulovlig" informasjon til minst én person. Advokat for den internasjonale menneskerettighetsgruppen "Agora" Damir Gainutdinov hevder at ORI i henhold til loven til og med utkast til usendte meldinger til rettshåndhevelsesbyråer. Les mer om hvordan du ikke blir tatt for repostering
Forresten, i noen tid kan alle som har telefonnummeret ditt finne deg på VKontakte som standard, selv om selve siden ikke avslører din virkelige identitet.
Du kan forhindre at folk finner deg etter nummer i profilinnstillingene dine (Innstillinger -> Personvern -> Kontakt meg). Men dette vil selvfølgelig ikke redde deg fra spesialtjenestene. Ikke bruk samtaler og videokommunikasjon på VKontakte: det er ukjent om nettverket faktisk krypterer dem ende-til-ende, slik administrasjonen hevder.
Nettstedsikkerhet
Den eneste gode nyheten er det Alle populære nettsteder på Internett har allerede en https-versjon eller har gått helt over til å bruke bare https-versjoner. Informasjon mottatt og overført på slike nettsteder er kryptert og kan ikke leses av tredjeparter. Slike ressurser er merket med grønt og ordet "beskyttet".
Det er der de gode nyhetene slutter. Til tross for https-protokollen forblir det faktum å besøke et slikt nettsted og DNS-forespørsler (informasjon om hvilke domener du har tilgang til) fortsatt synlige for Internett-leverandøren.
Men en annen nyhet er enda verre: den resterende halvparten av nettstedene opererer med den vanlige http-protokollen, det vil si uten datakryptering. Løsningen kan være en VPN, som krypterer absolutt alle mottatte og overførte data slik at det ikke er lesbar informasjon på siden av internettleverandøren og alle som prøver å infiltrere mellom deg og sluttsiden. Det eneste som vil være synlig er det faktum å koble til en bestemt IP-adresse på Internett (det vil si til en VPN-server). Og ikke noe mer.
Vi vil være glade hvis livet virkelig plutselig blir så enkelt: slå på VPN og glem lekkasjen av sensitiv informasjon. Men det er ikke sant. Sjekk regelmessig om favorittressursen din er inkludert i ARI-registeret, overvåk hvordan den samhandler med myndighetene, sjekk aktive tilkoblinger i innstillingene til direktemeldinger og sosiale nettverk og tilbakestill mistenkelige (og pass deretter på å endre passord).
Globalt
Når du arbeider med kommunikasjonskanaler og dataoverføring, er det bare en helhetlig tilnærming til sikkerhet og personvern som gir mening. Følg Internett-sikkerhetshendelser i vår Telegram-kanal , på siden og på andre ressurser dedikert til arrangementer på Internett og RuNet spesielt.
Hvilke sikkerhetstiltak tar du?
Kilde: www.habr.com