Olá, Habr.
Somos nós, serviço VPN . No momento, estamos trabalhando temporariamente no espelho HideMyna.me. Por que? Em 20 de julho de 2018, Roskomnadzor nos adicionou devido à decisão do Tribunal Distrital de Medvedevsky em Yoshkar-Ola. O tribunal decidiu que os visitantes do nosso site têm acesso ilimitado a materiais extremistas #withoutregistrationisms, e de alguma forma encontrou nele o livro “Mein Kampf” de Adolf Hitler. Aparentemente, para confiabilidade.
Esta decisão nos surpreendeu muito, mas continuamos trabalhando em hidemyna.me, hidemyname.org, .one, .biz, etc. Uma discussão prolongada com Roskomnadzor não levou a nenhum resultado. Enquanto meus advogados e eu contestamos o bloqueio e a decisão mágica do tribunal, compartilhamos com vocês dicas básicas para manter a privacidade na Internet e notícias sobre esse assunto.
Edward Snowden ama a Agência de Segurança Nacional (provavelmente)
Não é nenhum segredo que os serviços populares russos não são seguros. A sua correspondência pode, a qualquer momento, chegar ao conhecimento das autoridades nacionais. Dizemos o que você precisa lembrar ao se comunicar por meio de diferentes canais de comunicação.
SORM e ORI
Tem maneiras de grampear seu telefone. Oficial e legal - SORM, sistema de meios técnicos para assegurar as funções das atividades investigativas operacionais. Por lei na Federação Russa, todas as operadoras de celular são obrigadas a instalar tal sistema em seus PBXs se não quiserem perder sua licença. Existem três tipos de SORM: o primeiro foi inventado na década de 80, o segundo começou a ser implementado na década de 2014 e tentam impor o terceiro às operadoras desde XNUMX. , a maioria dos operadores utiliza o segundo tipo, mas em 70% dos casos o sistema não funciona corretamente ou nem funciona. No entanto, ainda é melhor não discutir assuntos delicados por meio de um telefone fixo ou por meio de uma ligação normal de um telefone celular.
Esquema de operação do SORM-2 (Fonte: mfisoft.ru)
De acordo com 97-FZ, quaisquer mensageiros, serviços e sites que operem na Rússia devem ser incluídos no registro . Por "“Eles são obrigados a armazenar todos os dados dos usuários, incluindo gravações de chamadas de voz e correspondência, por seis meses. Aliás, ARI também tem Habrahabr.
O funcionamento do registro é descrito detalhadamente usando Threema como exemplo, mas a principal conclusão é esta: agora, a pedido das autoridades russas, qualquer informação sobre você pode acabar nas agências de aplicação da lei. Portanto, a primeira coisa a fazer para manter o sigilo é transferir chamadas e mensagens para mensageiros instantâneos, que não estão no cadastro do ARI. Ou aqueles que estão lá, mas se recusam a transferir dados para as autoridades – como Threema e Telegram.
Certidão: O simples fato de estar no registro ARI não garante que os dados serão transferidos para as autoridades. Você precisa monitorar constantemente as notícias e observar a reação do mensageiro quando eles “vierem” buscá-lo.
Chamadas de voz e mensagens
Nossas conversas e mensagens podem ser protegidas contra interferências de terceiros por meio de criptografia ponta a ponta, por isso os mensageiros com E2E são considerados os mais seguros. Mas isso não é inteiramente verdade: vejamos as opções populares.
Telegram criptografia ponta a ponta em seus bate-papos secretos e armazena dados criptografados sobre sua correspondência na nuvem, que estão espalhados por diferentes países com jurisdição “segura”. Mas depois em Habré você pode começar a duvidar da ilusão de segurança do Telegram Passport no E2E de Durov.
Claro, os bate-papos secretos ainda são uma boa opção para os paranóicos. O servidor não está envolvido em sua criptografia: as mensagens são transmitidas ponto a ponto, ou seja, diretamente entre os participantes da correspondência. Para maior tranquilidade, você pode usar a função de autodestruição de mensagens temporizadas. Mas você não deve confiar cegamente no Telegram. Para torná-lo um pouco mais seguro, você e seu destinatário devem acessar as configurações do mensageiro e fazer pelo menos duas coisas:
- Defina uma senha ao fazer login no aplicativo (Privacidade e segurança -> Senha);
- Ative a verificação em duas etapas (Privacidade e segurança -> Verificação em duas etapas).
Depois disso, além do código do SMS, ao fazer login em um novo aparelho, o aplicativo solicitará uma senha que só você conhece.
Atualmente, a confirmação de login apenas via SMS não protege de forma alguma uma pessoa que usa um cartão SIM russo. Já são conhecidos casos de invasão de contas do Telegram por meio de mensagem SMS interceptada - em 2016, invasores à correspondência de vários oposicionistas, e em 2017 relato do jornalista Dozhd Mikhail Rubin.
WhatsApp por enquanto ele evita o registro ORI e também usa criptografia ponta a ponta, mas nem tudo é tão bom com ele. Publicamos recentemente sobre moradores de Magadan que foram alvo de um processo criminal por criticarem o prefeito da cidade. Essa história, felizmente, terminou com a multa de sempre. Mas confirmou os temores dos usuários: não é seguro comunicar-se em chats em grupo do WhatsApp.
O que vai acontecer?
- Assim que você escrever uma mensagem, seu número de telefone ficará imediatamente disponível para todos os membros do grupo. E sua identidade pode ser facilmente determinada pelo número.
O que fazer?
- A solução poderia ser um cartão SIM “esquerdo” ou um número estrangeiro – de preferência europeu.
Se você utiliza um cartão russo cadastrado em seu nome, evite comentários sarcásticos em grupos com nomes como “Renúncia ao Prefeito”: é melhor deixar apenas correspondência pessoal e ligações para WhatsApp.
Viber também não está listado no registro ORI, mas mantém comunicação com as autoridades russas (em seu tempo livre de envio de spam). Este mensageiro foi um dos primeiros a cumprir os novos requisitos governamentais: armazena logins e números de telefone de usuários russos no território da Federação Russa, mas fornece dados de mensagens — refere-se à mecânica da criptografia ponta a ponta e à política corporativa.
Apple também usa ponta a ponta, mas ao se cadastrar no iMessage ele cria dois pares de chaves: privada e pública. A mensagem que você recebe do mesmo proprietário de um dispositivo Apple é transmitida a você com criptografia, que usa uma chave pública. Ele só pode ser descriptografado usando a chave privada do destinatário, que está armazenada em seu dispositivo. Você pode ler sobre como a Apple vê a privacidade do usuário e o que fará se receber uma solicitação do governo Não houve casos registrados de transferência de dados de usuários russos para as autoridades russas pela empresa.
Fonte:
Mas o iMessage tem duas desvantagens:
- Você pode escrever ou ligar por meio desses canais apenas para o mesmo proprietário da Apple;
- Se você tiver problemas com sua conexão com a Internet, a mensagem passará por um canal celular normal e se tornará um simples SMS que pode ser facilmente interceptado.
Para evitar que o iMessage se transforme em SMS, você pode desativar esse recurso em Configurações.
Pesquisadores da Electronic Frontier Foundation que não existe uma opção cem por cento segura para chamadas e mensagens. Se alguns mensageiros impedem as autoridades de obter os seus dados privados, isso não significa que os hackers (ou o Estado, que pode utilizar os seus serviços) não possam fazer isso contornando as leis. Para dar ao usuário a confiança de que não existe intermediário, o Telegram tem um recurso interessante: ao ligar, ambos os destinatários podem ter certeza de ver o mesmo emoji no canto superior direito da tela – isso confirmará o ausência de “intrusão” na conexão.
Se você está procurando uma maneira mais segura de se comunicar, recomendamos ir além de bate-papos secretos, senhas e autenticação em duas etapas/dois fatores, para aplicativos de nicho menos populares, como ou .
Eu uso o Signal todos os dias. #notesforFBI (Spoiler: eles já sabem)
Empresas populares que possibilitam o uso de seus clientes de e-mail (na Rússia são Yandex, Mail.Ru e Rambler) já estão incluídas no registro ARI, o que significa que não são muito seguras. Sim, Grupo Mail.Ru casos criminais para memes e anistia para os condenados, mas pode fornecer informações sobre seus dados às autoridades mediante solicitação.
Mesmo que você use clientes de e-mail ocidentais, como Gmail ou Outlook, tenha a autenticação de dois fatores ativada e saiba que seu e-mail é criptografado usando um protocolo SSL/TLS seguro, você não pode ter certeza de que o e-mail do destinatário está igualmente protegido.
Opções de proteção:
- Ao enviar informações confidenciais, criptografe e-mails usando Pretty Good Privacy (). Este programa ajuda a transformar os dados de uma carta em um conjunto de caracteres sem sentido para todos, exceto o remetente e o destinatário;
- Ao enviar informações importantes, preste sempre atenção ao domínio do destinatário e não escreva para um endereço suspeito;
- Verifique com antecedência com o destinatário se ele configurou o encaminhamento ou coleta de correspondência através do serviço postal russo.
No caso de empresas nacionais do registro ORI, nenhuma criptografia do lado do usuário irá, em princípio, ajudar. As informações não são interceptadas, mas armazenadas e transmitidas por endpoints - serviços semelhantes. A única solução pode ser substituí-los por análogos mais seguros como ProtonMail, Tutanota ou Hushmail. Mais desses serviços de e-mail podem ser encontrados em página.
Redes Sociais
Para começar, minimize sua presença nas redes sociais russas populares - “My World”, “Odnoklassniki” e “VKontakte”. Pelo menos o Facebook não entrega os seus dados às agências de inteligência russas. Pelo menos, nenhum caso desse tipo foi registrado.
Mas é interessante que em 2017 a empresa ainda atendeu 85% das solicitações do governo dos EUA:
Capturas de tela de
Se você está muito acostumado com VK, mas não quer acabar no banco dos réus, preste atenção em algumas coisas:
- suas fotos salvas;
- postagens, comentários e mensagens que você escreve;
- postagens que você gosta;
- postagens que você compartilha;
- usuários dos quais você é amigo.
Em tudo o que foi dito acima, é melhor evitar qualquer coisa que possa ser considerada ofensiva ou extremista. Lembre-se sempre de que “partilhar” significa comunicar informações “ilegais” a pelo menos uma pessoa. O advogado do grupo internacional de direitos humanos "Agora" Damir Gainutdinov afirma que, de acordo com a lei, ORI até mesmo rascunhos de mensagens não enviadas para agências de aplicação da lei. Leia mais sobre como não ser pego por repostagem
Aliás, já há algum tempo qualquer pessoa que tenha seu número de telefone pode encontrá-lo no VKontakte por padrão, mesmo que a própria página não revele sua verdadeira identidade.
Você pode impedir que as pessoas encontrem você pelo número nas configurações do seu perfil (Configurações -> Privacidade -> Entre em contato comigo). Mas isso, é claro, não o salvará dos serviços especiais. Não use chamadas e comunicações de vídeo no VKontakte: não se sabe se a rede realmente as criptografa de ponta a ponta, como afirma a administração.
Segurança do site
A única boa notícia é que Todos os sites populares na Internet já possuem uma versão https ou passaram completamente a usar apenas versões https. As informações recebidas e transmitidas nesses sites são criptografadas e não podem ser lidas por terceiros. Tais recursos estão marcados em verde e com a palavra “protegido”.
É aí que termina a boa notícia. Apesar do protocolo https, o fato de visitar tal site e as solicitações de DNS (informações sobre quais domínios você acessou) ainda permanecem visíveis para o provedor de Internet.
Mas outra notícia é ainda pior: a metade restante dos sites opera com o protocolo HTTP normal, ou seja, sem criptografia de dados. A solução poderia ser uma VPN, que criptografa absolutamente todos os dados recebidos e transmitidos para que não haja informações legíveis por parte do provedor de Internet e de qualquer pessoa que tente se infiltrar entre você e o site final. A única coisa que ficará visível é o fato de se conectar a um determinado endereço IP na Internet (ou seja, a um servidor VPN). E nada mais.
Ficaremos felizes se a vida de repente se tornar tão simples: ligue a VPN e esqueça o vazamento de informações confidenciais. Mas isso não é verdade. Verifique regularmente se o seu recurso favorito está incluído no registro ARI, monitore como ele interage com as autoridades, verifique as conexões ativas nas configurações de mensageiros instantâneos e redes sociais e redefina as suspeitas (e depois certifique-se de alterar as senhas).
globalmente
Ao trabalhar com canais de comunicação e transferência de dados, somente uma abordagem abrangente de segurança e privacidade faz sentido. Acompanhe os eventos de segurança na Internet em nosso canal Telegram , no site e em outros recursos dedicados a eventos na Internet e em RuNet em particular.
Que medidas de segurança você está tomando?
Fonte: habr.com