Hei Habr.
Suntem noi, serviciul VPN . În prezent lucrăm temporar la oglinda HideMyna.me. De ce? Pe 20 iulie 2018 Roskomnadzor ne-a adăugat datorită deciziei Judecătoriei Medvedevsky din Yoshkar-Ola. Instanța a decis că vizitatorii site-ului nostru au acces nelimitat la materiale extremiste #fără înregistrare și a găsit cumva cartea „Mein Kampf” a lui Adolf Hitler pe ea. Aparent, pentru fiabilitate.
Această decizie ne-a surprins foarte mult, dar continuăm să lucrăm pe hidemyna.me, hidemyname.org, .one, .biz etc. O ceartă prelungită cu Roskomnadzor nu a dus la niciun rezultat. În timp ce avocații mei și cu mine contestăm blocarea și decizia magică a instanței, vă împărtășim sfaturi de bază pentru menținerea confidențialității pe Internet și știri despre acest subiect.
Edward Snowden iubește Agenția Națională de Securitate (probabil)
Nu este un secret pentru nimeni că serviciile populare rusești sunt nesigure. Corespondența dumneavoastră poate ajunge în orice moment în atenția ofițerilor de aplicare a legii naționali. Vă spunem ce trebuie să vă amintiți atunci când comunicați prin diferite canale de comunicare.
SORM și ORI
Există moduri de a vă atinge telefonul. Oficial și juridic - SORM, un sistem de mijloace tehnice pentru asigurarea funcțiilor activităților operaționale de investigație. Prin lege în Federația Rusă, toți operatorii de telefonie celulară sunt obligați să instaleze un astfel de sistem pe PBX-urile lor dacă nu doresc să-și piardă licența. Există trei tipuri de SORM: primul a fost inventat în anii 80, al doilea a început să fie implementat în anii 2014, iar pe al treilea încearcă să îl impună operatorilor din XNUMX. , majoritatea operatorilor folosesc al doilea tip, dar in 70% din cazuri sistemul nu functioneaza corect sau nu functioneaza deloc. Cu toate acestea, este mai bine să nu discutați subiecte sensibile pe un telefon fix sau printr-un apel obișnuit de pe un telefon mobil.
Schema de funcționare a SORM-2 (Sursa: mfisoft.ru)
Conform 97-FZ, orice mesageri, servicii și site-uri care operează în Rusia trebuie să fie incluse în registru . De "„Li se cere să stocheze toate datele utilizatorului, inclusiv înregistrările apelurilor vocale și corespondența, timp de șase luni. Apropo, ARI are și Habrahabr.
Funcționarea registrului este descrisă în detaliu folosind Threema ca exemplu, dar concluzia principală este următoarea: acum, la cererea autorităților ruse, orice informație despre tine poate ajunge în organele de drept. Prin urmare, primul lucru de făcut pentru a păstra confidențialitatea este să transferați apelurile și mesajele către mesagerie instantanee, care nu se află în registrul ARI. Sau cei care sunt acolo, dar refuză să transfere date către autorități - precum Threema și Telegram.
Certificat: Doar a fi în registrul ARI nu garantează că datele vor fi transferate autorităților. Trebuie să monitorizezi în mod constant știrile și să te uiți la reacția mesagerului atunci când „vin” după el.
Apeluri și mesaje vocale
Conversațiile și mesajele noastre pot fi protejate de interferența terților prin criptare end-to-end, motiv pentru care mesagerii cu E2E sunt considerați cei mai siguri. Dar acest lucru nu este în întregime adevărat: să ne uităm la opțiunile populare.
Telegramă criptare end-to-end în chaturile lor secrete și stochează date criptate despre corespondența dvs. în cloud, care este împrăștiată în diferite țări cu jurisdicție „sigură”. Dar după pe Habré puteți începe să vă îndoiți de iluzia de securitate a Telegram Passport în E2E din Durov.
Desigur, chaturile secrete sunt încă o opțiune bună pentru paranoici. Serverul nu este implicat deloc în criptarea lor: mesajele sunt transmise peer-to-peer, adică direct între participanții la corespondență. Pentru o liniște sporită, puteți utiliza funcția de autodistrugere a mesajului temporizatorului. Dar nu ar trebui să te bazezi orbește pe Telegram. Pentru a-l face puțin mai sigur, tu și destinatarul trebuie să accesați setările messenger și să faceți cel puțin două lucruri:
- Setați o parolă când vă conectați la aplicație (Confidențialitate și securitate -> Codul de acces);
- Activați verificarea în doi pași (Confidențialitate și securitate -> Verificare în doi pași).
După aceasta, pe lângă codul din SMS, la conectarea de pe un dispozitiv nou, aplicația vă va cere o parolă pe care doar dumneavoastră o cunoașteți.
În prezent, confirmarea de conectare numai prin SMS nu protejează în niciun fel o persoană care folosește o cartelă SIM rusă. Sunt deja cunoscute cazuri de piratare a conturilor Telegram printr-un mesaj SMS interceptat - în 2016, atacatorii la corespondența mai multor opozițiști, iar în 2017 relatarea jurnalistului Dozhd Mihail Rubin.
WhatsApp deocamdată evită registrul ORI și folosește și criptarea end-to-end, dar totul nu este atât de roz cu el. Am publicat recent despre locuitorii din Magadan care au fost supuși unui dosar penal pentru criticarea primarului orașului. Această poveste, din fericire, s-a încheiat cu amenda obișnuită. Dar a confirmat temerile utilizatorilor: nu este sigur să comunici în chat-urile de grup WhatsApp.
Ce se va intampla?
- De îndată ce scrieți un mesaj, numărul dvs. de telefon va deveni imediat disponibil pentru toți membrii grupului. Iar identitatea ta poate fi ușor determinată de număr.
Ce să fac?
- Soluția ar putea fi o cartelă SIM „stânga” sau un număr străin – de preferință unul european.
Dacă utilizați un card rusesc înregistrat pe numele dvs., evitați comentariile sarcastice în grupuri cu nume precum „Demisia pentru primar”: este mai bine să lăsați doar corespondența personală și apelurile pentru WhatsApp.
Viber De asemenea, nu este înscris în registrul ORI, dar menține comunicarea cu autoritățile ruse (în timpul liber de la trimiterea de spam). Acest mesager a fost unul dintre primii care a respectat noile cerințe guvernamentale: stochează date de conectare și numere de telefon ale utilizatorilor ruși pe teritoriul Federației Ruse, dar furnizează date despre mesaje — se referă la mecanismele de criptare end-to-end și la politica corporativă.
Apple folosește și end-to-end, dar când se înregistrează cu iMessage creează două perechi de chei: private și publice. Mesajul pe care îl primiți de la același proprietar al unui dispozitiv Apple vă este transmis prin criptare, care utilizează o cheie publică. Poate fi decriptat numai folosind cheia privată a destinatarului, care este stocată pe dispozitivul său. Puteți citi despre modul în care Apple vede confidențialitatea utilizatorilor și ce va face dacă primește o solicitare de la guvern Nu au fost înregistrate cazuri de transfer de date de la utilizatori ruși către autoritățile ruse.
Sursa:
Dar iMessage are două dezavantaje:
- Puteți scrie sau suna prin aceste canale numai aceluiași proprietar Apple;
- Dacă aveți probleme cu conexiunea la internet, mesajul va trece pe un canal mobil obișnuit și va deveni un simplu SMS care poate fi ușor interceptat.
Pentru a evita transformarea iMessage în SMS, puteți dezactiva această funcție din Setări.
Cercetători de la Electronic Frontier Foundation că nu există o opțiune sută la sută sigură pentru apeluri și mesaje. Dacă unii mesageri împiedică autoritățile să obțină datele tale private, asta nu înseamnă că hackerii (sau statul, care își pot folosi serviciile) nu pot face acest lucru eludând legile. Pentru a oferi utilizatorului încredere că nu există un om la mijloc, Telegram are o caracteristică frumoasă: atunci când apelează, ambii destinatari se pot asigura că văd același emoji în colțul din dreapta sus al ecranului - acest lucru va confirma absența „intruziunii” în conexiune.
Dacă sunteți în căutarea unei modalități mai sigure de a comunica, vă recomandăm să căutați dincolo de chaturile secrete, parolele și autentificarea în doi pași/doi factori la aplicații de nișă mai puțin populare, cum ar fi sau .
Folosesc Signal în fiecare zi. #notesforFBI (Spoiler: ei știu deja)
Companiile populare care fac posibilă utilizarea clienților lor de e-mail (în Rusia, acestea sunt Yandex, Mail.Ru și Rambler) sunt deja incluse în registrul ARI, ceea ce înseamnă că nu sunt foarte sigure. Da, Grupul Mail.Ru dosare penale pentru meme și amnistia pentru cei condamnați, dar poate oferi autorităților informații despre datele dumneavoastră la cerere.
Chiar dacă utilizați clienți de e-mail occidentali precum Gmail sau Outlook, aveți activată autentificarea cu doi factori și știți că e-mailul dvs. este criptat folosind un protocol SSL/TLS securizat, nu puteți fi sigur că e-mailul destinatarului este protejat în mod egal.
Opțiuni de protecție:
- Când trimiteți informații sensibile, criptați e-mailurile folosind Pretty Good Privacy (). Acest program ajută la transformarea datelor dintr-o scrisoare într-un set de caractere fără sens pentru toată lumea, cu excepția expeditorului și destinatarului;
- Când trimiteți informații importante, acordați întotdeauna atenție domeniului destinatarului și nu scrieți la o adresă suspectă;
- Verificați în prealabil cu destinatarul dacă el sau ea a configurat redirecționarea sau colectarea corespondenței prin serviciul poștal rus.
În cazul companiilor autohtone din registrul ORI, nicio criptare din partea utilizatorului nu va ajuta, în principiu. Informațiile nu sunt interceptate, ci stocate și transmise de puncte terminale - servicii similare. Singura soluție poate fi înlocuirea lor cu analogi mai siguri precum ProtonMail, Tutanota sau Hushmail. Mai multe astfel de servicii de e-mail pot fi găsite la pagina.
Rețele Sociale
Pentru început, minimizați-vă prezența pe rețelele sociale populare rusești - „Lumea mea”, „Odnoklassniki” și „VKontakte”. Cel puțin Facebook nu predă datele tale agențiilor de informații ruse. Cel puțin, nu au fost înregistrate astfel de cazuri.
Dar este interesant că în 2017, compania a satisfăcut în continuare 85% din solicitările guvernului SUA:
Capturi de ecran de la
Dacă ești prea obișnuit cu VK, dar nu vrei să ajungi în dock, fii atent la câteva lucruri:
- imaginile tale salvate;
- postări, comentarii și mesaje pe care le scrii;
- postări care vă plac;
- postări pe care le distribuiți;
- utilizatorii cu care sunteți prieten.
În toate cele de mai sus, cel mai bine este să evitați orice ar putea fi considerat ofensator sau extremist. Amintiți-vă întotdeauna că „a partaja” înseamnă a comunica informații „ilegale” către cel puțin o persoană. Avocatul grupului internațional pentru drepturile omului „Agora” Damir Gainutdinov susține că, potrivit legii, ORI chiar și proiecte de mesaje netrimise agențiilor de aplicare a legii. Citiți mai multe despre cum să nu fiți prins pentru repostare
Apropo, de ceva timp oricine are numărul tău de telefon te poate găsi pe VKontakte în mod implicit, chiar dacă pagina în sine nu dezvăluie identitatea ta reală.
Puteți împiedica oamenii să vă găsească după număr în setările profilului dvs. (Setări -> Confidențialitate -> Contactați-mă). Dar acest lucru, desigur, nu te va scuti de serviciile speciale. Nu folosiți apeluri și comunicații video pe VKontakte: nu se știe dacă rețeaua le criptează efectiv, de la capăt la capăt, așa cum susține administrația.
Securitatea site-ului
Singura veste bună este că Toate site-urile populare de pe Internet au deja o versiune https sau au trecut complet la utilizarea numai versiunilor https. Informațiile primite și transmise pe astfel de site-uri sunt criptate și nu pot fi citite de terți. Astfel de resurse sunt marcate cu verde și cuvântul „protejat”.
Acolo se termină vestea bună. În ciuda protocolului https, faptul de a vizita un astfel de site și solicitările DNS (informații despre ce domenii ai accesat) rămân în continuare vizibile pentru furnizorul de internet.
Dar o altă știre este și mai rea: jumătatea rămasă a site-urilor funcționează folosind protocolul http obișnuit, adică fără criptarea datelor. Soluția ar putea fi un VPN, care criptează absolut toate datele primite și transmise, astfel încât să nu existe informații care pot fi citite de partea furnizorului de internet și a oricui încearcă să se infiltreze între tine și site-ul final. Singurul lucru care va fi vizibil este faptul de a vă conecta la o anumită adresă IP de pe Internet (adică la un server VPN). Si nimic mai mult.
Vom fi fericiți dacă viața devine dintr-o dată atât de simplă: porniți VPN-ul și uitați de scurgerea de informații sensibile. Dar asta nu este adevărat. Verificați în mod regulat dacă resursa dvs. preferată este inclusă în registrul ARI, monitorizați modul în care interacționează cu autoritățile, verificați conexiunile active în setările mesageriei instantanee și rețelelor sociale și resetați-le pe cele suspecte (și apoi asigurați-vă că le schimbați parolele).
la nivel global
Când lucrați cu canale de comunicare și transfer de date, doar o abordare cuprinzătoare a securității și confidențialității are sens. Urmărește evenimentele de securitate pe internet pe canalul nostru Telegram , pe site și pe alte resurse dedicate evenimentelor de pe Internet și RuNet în special.
Ce măsuri de siguranță iei?
Sursa: www.habr.com