Hej Habr.
To my, usługa VPN . Obecnie pracujemy tymczasowo nad lustrem HideMyna.me. Dlaczego? 20 lipca 2018 Roskomnadzor dodał nas w związku z decyzją Sądu Rejonowego Miedwiediewskiego w Yoshkar-Ola. Sąd orzekł, że odwiedzający naszą stronę mają nieograniczony dostęp do materiałów ekstremistycznych #bezrejestracji i jakimś cudem znalazł na niej książkę „Mein Kampf” Adolfa Hitlera. Podobno dla niezawodności.
Ta decyzja bardzo nas zaskoczyła, ale nadal pracujemy nad hidemyna.me, hidemyname.org, .one, .biz itp. Przedłużająca się kłótnia z Roskomnadzorem nie przyniosła żadnego rezultatu. Podczas gdy ja i moi prawnicy kwestionujemy blokadę i magiczną decyzję sądu, dzielimy się z Wami podstawowymi wskazówkami dotyczącymi zachowania prywatności w Internecie oraz aktualnościami na ten temat.
Edward Snowden uwielbia Agencję Bezpieczeństwa Narodowego (prawdopodobnie)
Nie jest tajemnicą, że popularne rosyjskie usługi są niebezpieczne. Twoja korespondencja może w dowolnym momencie trafić do krajowych organów ścigania. Podpowiadamy, o czym należy pamiętać komunikując się różnymi kanałami komunikacji.
SORM i ORI
Jest sposoby na dotknięcie telefonu. Oficjalny i legalny - SORM, system środków technicznych zapewniających funkcje operacyjnych działań dochodzeniowych. Zgodnie z prawem Federacji Rosyjskiej wszyscy operatorzy komórkowi są zobowiązani do zainstalowania takiego systemu w swoich centralach PBX, jeśli nie chcą stracić licencji. Istnieją trzy rodzaje SORM: pierwszy został wynaleziony w latach 80-tych, drugi zaczęto wdrażać w 2014 roku, a trzeci próbują narzucić operatorom od XNUMX roku. , większość operatorów korzysta z drugiego typu, ale w 70% przypadków system nie działa poprawnie lub w ogóle nie działa. Jednak nadal lepiej nie rozmawiać na drażliwe tematy przez telefon stacjonarny lub zwykłą rozmowę z telefonu komórkowego.
Schemat działania SORM-2 (Źródło: mfisoft.ru)
Według 97-FZ wszelkie komunikatory, usługi i witryny działające w Rosji muszą zostać uwzględnione w rejestrze . Przez "„Mają obowiązek przechowywać wszystkie dane użytkowników, w tym nagrania rozmów głosowych i korespondencję, przez sześć miesięcy. Nawiasem mówiąc, ARI ma również Habrahabr.
Szczegółowo opisano działanie rejestru na przykładzie Threemy, ale główny wniosek jest taki: teraz, na żądanie władz rosyjskich, wszelkie informacje o Tobie mogą trafić do organów ścigania. Dlatego pierwszą rzeczą, którą należy zrobić, aby zachować poufność, jest przekazywanie połączeń i wiadomości do komunikatorów internetowych, których nie ma w rejestrze ARI. Albo te, które tam są, ale odmawiają przekazania danych władzom – jak Threema i Telegram.
Certyfikat: Samo bycie w rejestrze ARI nie gwarantuje, że dane zostaną przekazane władzom. Musisz stale monitorować wiadomości i patrzeć na reakcję posłańca, gdy „przyjdą” po niego.
Połączenia głosowe i wiadomości
Nasze rozmowy i wiadomości można chronić przed ingerencją osób trzecich poprzez kompleksowe szyfrowanie, dlatego komunikatory z E2E są uważane za najbezpieczniejsze. Ale to nie do końca prawda: spójrzmy na popularne opcje.
Telegram szyfruje od końca do końca w swoich Tajnych Czatach i przechowuje zaszyfrowane dane dotyczące Twojej korespondencji w chmurze, która jest rozproszona po różnych krajach objętych „bezpieczną” jurysdykcją. Ale potem na Habré możesz zacząć wątpić w iluzję bezpieczeństwa paszportu Telegramu w E2E od Durov.
Oczywiście Tajne Czaty są nadal dobrą opcją dla paranoików. Serwer w ogóle nie bierze udziału w ich szyfrowaniu: wiadomości przesyłane są peer-to-peer, czyli bezpośrednio pomiędzy uczestnikami korespondencji. Dla większego spokoju ducha możesz skorzystać z funkcji autodestrukcji wiadomości czasowej. Ale nie powinieneś ślepo polegać na Telegramie. Aby było trochę bezpieczniej, Ty i Twój odbiorca musicie przejść do ustawień komunikatora i wykonać co najmniej dwie rzeczy:
- Ustaw hasło podczas logowania do aplikacji (Prywatność i bezpieczeństwo -> hasło);
- Włącz weryfikację dwuetapową (Prywatność i bezpieczeństwo -> Weryfikacja dwuetapowa).
Następnie oprócz kodu z SMS-a przy logowaniu z nowego urządzenia aplikacja poprosi o podanie hasła, które tylko Ty znasz.
Obecnie potwierdzenie logowania wyłącznie poprzez SMS nie chroni w żaden sposób osoby korzystającej z rosyjskiej karty SIM. Znane są już przypadki włamań na konta Telegramu poprzez przechwyconą wiadomość SMS – w 2016 r. napastnicy do korespondencji kilku opozycjonistów, a w 2017 r relacja dziennikarza Dożda Michaiła Rubina.
WhatsApp na razie unika rejestru ORI, a także korzysta z szyfrowania typu end-to-end, ale nie wszystko z nim jest tak różowe. Niedawno opublikowaliśmy w sprawie mieszkańców Magadanu, wobec których toczyło się postępowanie karne za krytykę burmistrza miasta. Ta historia na szczęście zakończyła się zwykłą karą. Potwierdziło to jednak obawy użytkowników: komunikowanie się na czatach grupowych WhatsApp nie jest bezpieczne.
Co się stanie?
- Gdy tylko napiszesz wiadomość, Twój numer telefonu będzie natychmiast dostępny dla wszystkich członków grupy. A Twoją tożsamość można łatwo ustalić na podstawie numeru.
Co robić?
- Rozwiązaniem może być „lewa” karta SIM lub numer zagraniczny – najlepiej europejski.
Jeśli korzystasz z rosyjskiej karty zarejestrowanej na Twoje nazwisko, unikaj sarkastycznych komentarzy w grupach o nazwach typu „Zrezygnuj na burmistrza”: lepiej zostawić tylko korespondencję osobistą i połączenia przez WhatsApp.
Viber również nie jest wpisany do rejestru ORI, ale utrzymuje kontakt z władzami rosyjskimi (w wolnych chwilach od rozsyłania spamu). Komunikator ten jako jeden z pierwszych spełnił nowe wymogi rządowe: przechowuje loginy i numery telefonów rosyjskich użytkowników na terytorium Federacji Rosyjskiej, ale podaje dane wiadomości — odnosi się do mechaniki kompleksowego szyfrowania i polityki korporacyjnej.
Apple również korzysta z metody end-to-end, ale podczas rejestracji w iMessage tworzy dwie pary kluczy: prywatny i publiczny. Wiadomość, którą otrzymujesz od tego samego właściciela urządzenia Apple, jest przesyłana do Ciebie za pomocą szyfrowania, które wykorzystuje klucz publiczny. Można go odszyfrować jedynie za pomocą klucza prywatnego odbiorcy, który jest przechowywany na jego urządzeniu. Możesz przeczytać o tym, jak Apple postrzega prywatność użytkowników i co zrobi, jeśli otrzyma żądanie od rządu Nie odnotowano przypadków przekazywania przez firmę danych rosyjskich użytkowników władzom rosyjskim.
Źródło:
- Za pośrednictwem tych kanałów możesz pisać lub dzwonić tylko do tego samego właściciela Apple;
- Jeśli masz problemy z połączeniem internetowym, wiadomość zostanie przekazana zwykłym kanałem komórkowym i stanie się prostym SMS-em, który można łatwo przechwycić.
Aby uniknąć zamiany iMessage w SMS, możesz wyłączyć tę funkcję w Ustawieniach.
Naukowcy z Electronic Frontier Foundation że nie ma stuprocentowo bezpiecznej opcji połączeń i wiadomości. Jeśli niektórzy komunikatorzy uniemożliwiają władzom uzyskanie Twoich prywatnych danych, nie oznacza to, że hakerzy (lub państwo, które może skorzystać z ich usług) nie mogą tego zrobić poprzez obejście prawa. Aby dać użytkownikowi pewność, że nie ma człowieka pośrodku, Telegram ma ciekawą funkcję: podczas dzwonienia obaj odbiorcy mogą mieć pewność, że widzą ten sam emoji w prawym górnym rogu ekranu – to potwierdzi brak „ingerencji” w połączenie.
Jeśli szukasz bezpieczniejszego sposobu komunikacji, zalecamy spojrzenie poza tajne czaty, hasła i uwierzytelnianie dwuetapowe/dwuskładnikowe na mniej popularne niszowe aplikacje, takie jak lub .
Używam Signala na co dzień. #notesforFBI (Spoiler: oni już wiedzą)
Popularne firmy umożliwiające korzystanie ze swoich klientów pocztowych (w Rosji są to Yandex, Mail.Ru i Rambler) są już wpisane do rejestru ARI, co oznacza, że nie są zbyt bezpieczne. Tak, grupa Mail.Ru spraw karnych dotyczących memów i amnestii dla skazanych, ale na żądanie może przekazać władzom informacje o Twoich danych.
Nawet jeśli korzystasz z zachodnich klientów poczty e-mail, takich jak Gmail czy Outlook, masz włączone uwierzytelnianie dwuskładnikowe i wiesz, że Twoja poczta e-mail jest szyfrowana przy użyciu bezpiecznego protokołu SSL/TLS, nie możesz mieć pewności, że poczta odbiorcy jest równie chroniona.
Opcje ochrony:
- Wysyłając poufne informacje, szyfruj wiadomości e-mail przy użyciu funkcji Pretty Good Privacy (). Ten program pomaga zamienić dane z listu w bezsensowny zestaw znaków dla wszystkich oprócz nadawcy i odbiorcy;
- Wysyłając ważne informacje, zawsze zwracaj uwagę na domenę odbiorcy i nie pisz na podejrzany adres;
- Należy wcześniej sprawdzić u odbiorcy, czy skonfigurował on przekazywanie lub odbiór poczty za pośrednictwem poczty rosyjskiej.
W przypadku krajowych spółek z rejestru ORI żadne szyfrowanie po stronie użytkownika w zasadzie nie pomoże. Informacje nie są przechwytywane, ale przechowywane i przesyłane przez punkty końcowe – podobne usługi. Jedynym rozwiązaniem może być zastąpienie ich bezpieczniejszymi analogami, takimi jak ProtonMail, Tutanota lub Hushmail. Więcej takich usług e-mail można znaleźć pod adresem strona.
Sieci społeczne
Na początek zminimalizuj swoją obecność w popularnych rosyjskich sieciach społecznościowych - „Mój świat”, „Odnoklassniki” i „VKontakte”. Przynajmniej Facebook nie przekazuje Twoich danych rosyjskim służbom wywiadowczym. Przynajmniej nie odnotowano takich przypadków.
Co ciekawe, w 2017 roku firma nadal spełniała 85% żądań rządu USA:
Zrzuty ekranu z
Jeśli jesteś zbyt przyzwyczajony do VK, ale nie chcesz wylądować w doku, zwróć uwagę na kilka rzeczy:
- Twoje zapisane zdjęcia;
- posty, komentarze i wiadomości, które piszesz;
- posty, które lubisz;
- posty, które udostępniasz;
- użytkownicy, z którymi się przyjaźnisz.
We wszystkich powyższych przypadkach najlepiej unikać wszystkiego, co można uznać za obraźliwe lub ekstremistyczne. Zawsze pamiętaj, że „udostępnianie” oznacza przekazywanie „nielegalnych” informacji przynajmniej jednej osobie. Prawnik międzynarodowej grupy praw człowieka „Agora” Damir Gainutdinov twierdzi, że zgodnie z prawem ORI nawet wersje robocze niewysłanych wiadomości do organów ścigania. Przeczytaj więcej o tym, jak nie dać się złapać za ponowne opublikowanie
Nawiasem mówiąc, od jakiegoś czasu każdy, kto zna Twój numer telefonu, może domyślnie znaleźć Cię na VKontakte, nawet jeśli sama strona nie ujawnia Twojej prawdziwej tożsamości.
Możesz uniemożliwić innym znalezienie Cię po numerze w ustawieniach profilu (Ustawienia -> Prywatność -> Skontaktuj się ze mną). Ale to oczywiście nie uchroni cię przed służbami specjalnymi. Nie korzystaj z połączeń i komunikacji wideo na VKontakte: nie wiadomo, czy sieć faktycznie szyfruje je od końca do końca, jak twierdzi administracja.
Bezpieczeństwo witryny
Jedyna dobra wiadomość jest taka Wszystkie popularne witryny w Internecie mają już wersję https lub całkowicie przestawiły się na korzystanie wyłącznie z wersji https. Informacje otrzymywane i przesyłane na takich stronach są szyfrowane i osoby trzecie nie mogą ich odczytać. Takie zasoby są oznaczone kolorem zielonym i napisem „chronione”.
Na tym kończą się dobre wieści. Pomimo protokołu https fakt odwiedzenia takiej strony i żądania DNS (informacje o tym, do jakich domen uzyskałeś dostęp) nadal pozostają widoczne dla dostawcy Internetu.
Ale jeszcze gorsza jest inna wiadomość: pozostała połowa witryn działa w oparciu o zwykły protokół http, czyli bez szyfrowania danych. Rozwiązaniem może być VPN, który szyfruje absolutnie wszystkie odbierane i przesyłane dane, dzięki czemu nie ma czytelnych informacji po stronie dostawcy Internetu i nikogo, kto próbuje przedostać się między Tobą a stroną końcową. Widoczne będzie jedynie fakt połączenia się z określonym adresem IP w Internecie (czyli z serwerem VPN). I nic więcej.
Będziemy szczęśliwi, jeśli życie naprawdę nagle stanie się takie proste: włącz VPN i zapomnij o wycieku wrażliwych informacji. Ale to nieprawda. Regularnie sprawdzaj, czy Twój ulubiony zasób znajduje się w rejestrze ARI, monitoruj jego interakcję z władzami, sprawdzaj aktywne połączenia w ustawieniach komunikatorów internetowych i sieci społecznościowych oraz resetuj podejrzane (a następnie pamiętaj o zmianie haseł).
globalnie
Podczas pracy z kanałami komunikacji i transferem danych sens ma tylko kompleksowe podejście do bezpieczeństwa i prywatności. Śledź wydarzenia związane z bezpieczeństwem w Internecie na naszym kanale Telegram , Online oraz na innych zasobach poświęconych wydarzeniom w Internecie, a w szczególności RuNet.
Jakie środki bezpieczeństwa podejmujesz?
Źródło: www.habr.com