Хеј Хабр.
Ово смо ми, ВПН услуга . Тренутно радимо привремено на ХидеМина.ме огледалу. Зашто? Роскомнадзор нас је додао 20. јула 2018 због одлуке Окружног суда Медведевског у Јошкар-Оли. Суд је пресудио да посетиоци нашег сајта имају неограничен приступ екстремистичким материјалима #без регистрација и некако је на њему нашао књигу „Мајн кампф“ Адолфа Хитлера. Очигледно, због поузданости.
Ова одлука нас је веома изненадила, али настављамо да радимо на хидемина.ме, хидеминаме.орг, .оне, .биз, итд. Дуготрајна свађа са Роскомнадзором није довела до резултата. Док моји адвокати и ја оспоравамо блокаду и магичну судску одлуку, са вама делимо основне савете за очување приватности на Интернету и вести на ову тему.
Едвард Сноуден воли Агенцију за националну безбедност (вероватно)
Није тајна да су популарне руске службе несигурне. Ваша преписка може у било ком тренутку доћи до пажње домаћих службеника за спровођење закона. Говоримо вам шта треба да запамтите када комуницирате кроз различите канале комуникације.
СОРМ и ОРИ
Ту је начине да додирнете свој телефон. Службено и правно – СОРМ, систем техничких средстава за осигурање функција оперативно-истражних радњи. По закону у Руској Федерацији, сви мобилни оператери су обавезни да инсталирају такав систем на својим ПБКС-овима ако не желе да изгубе лиценцу. Постоје три типа СОРМ-а: први је измишљен 80-их, други је почео да се примењује 2014-их, а трећи покушавају да наметну оператерима од XNUMX. године. , већина оператера користи други тип, али у 70% случајева систем не ради исправно или уопште не ради. Ипак, ипак је боље не разговарати о осетљивим темама преко фиксног телефона или путем редовног позива са мобилног телефона.
Шема рада СОРМ-2 (Извор: мфисофт.ру)
Према 97-ФЗ, сви гласници, услуге и сајтови који раде у Русији морају бити укључени у регистар . Од стране "„Од њих се тражи да чувају све корисничке податке, укључујући снимке говорних позива и преписку, шест месеци. Иначе, АРИ има и Хабрахабр.
Рад регистра је детаљно описан користећи Тхреема као пример, али главни закључак је следећи: сада, на захтев руских власти, свака информација о вама може завршити у агенцијама за спровођење закона. Стога, прва ствар коју треба да урадите да бисте одржали поверљивост јесте да пребаците позиве и поруке на инстант мессенгере, који нису у АРИ регистру. Или они који су ту, али одбијају да пренесу податке властима – попут Тхреема и Телеграма.
Потврда: Само постојање у АРИ регистру не гарантује да ће подаци бити пренети надлежнима. Морате стално да пратите вести и гледате реакцију гласника када „дођу“ по њега.
Гласовни позиви и поруке
Наши разговори и поруке могу бити заштићени од ометања трећих страна енкрипцијом од краја до краја, због чега се гласници са Е2Е сматрају најбезбеднијим. Али ово није сасвим тачно: погледајмо популарне опције.
Telegram енд-то-енд енкрипције у њиховим тајним разговорима и чува шифроване податке о вашој преписци у облаку, који су разбацани по различитим земљама са „безбедном“ јурисдикцијом. Али после на Хабре можете почети да сумњате у илузију безбедности Телеграм пасоша у Е2Е од Дурова.
Наравно, тајни разговори су и даље добра опција за параноичне. Сервер уопште није укључен у њихово шифровање: поруке се преносе пеер-то-пеер, односно директно између учесника у преписци. За додатни мир, можете користити функцију самоуништења поруке тајмера. Али не треба се слепо ослањати на Телеграм. Да бисте га учинили мало безбеднијим, ви и ваш прималац морате да одете у подешавања месинџера и урадите најмање две ствари:
- Поставите лозинку приликом пријављивања у апликацију (Приватност и сигурност -> Лозинку);
- Омогући верификацију у два корака (Приватност и сигурност -> Верификацију у два корака).
Након овога, поред кода из СМС-а, приликом пријављивања са новог уређаја, апликација ће тражити лозинку коју само ви знате.
Тренутно, потврда пријаве само путем СМС-а ни на који начин не штити особу која користи руску СИМ картицу. Већ су познати случајеви хаковања Телеграм налога путем пресретнуте СМС поруке - нападачи 2016. на преписку неколико опозиционара, а 2017. г рачун новинара Дожда Михаила Рубина.
WhatsApp за сада избегава ОРИ регистар и такође користи енд-то-енд енкрипцију, али није све тако ружичасто са њим. Недавно смо објавили о становницима Магадана који су били предмет кривичног поступка због критиковања градоначелника града. Ова прича се, срећом, завршила уобичајеном новчаном казном. Али то је потврдило страхове корисника: није безбедно комуницирати у ВхатсАпп групним разговорима.
Шта ће се десити?
- Чим напишете поруку, ваш број телефона ће одмах постати доступан свим члановима групе. А ваш идентитет се лако може утврдити по броју.
Шта да радим?
- Решење може бити „лева“ СИМ картица или страни број – по могућности европски.
Ако користите руску картицу регистровану на ваше име, избегавајте саркастичне коментаре у групама са називима попут „Оставка за градоначелника“: боље је да оставите само личну преписку и позиве за ВхатсАпп.
вибер такође није наведен у ОРИ регистру, али одржава комуникацију са руским властима (у слободно време од слања нежељене поште). Овај месинџер је био један од првих који је удовољио новим захтевима владе: чува податке за пријаву и телефонске бројеве руских корисника на територији Руске Федерације, али пружа податке о порукама — односи се на механику енд-то-енд енкрипције и корпоративну политику.
јабука такође користи енд-то-енд, али када се региструје са иМессаге-ом ствара два пара кључева: приватни и јавни. Порука коју добијете од истог власника Аппле уређаја преноси вам се шифровањем, које користи јавни кључ. Може се дешифровати само помоћу приватног кључа примаоца, који се чува на његовом уређају. Можете прочитати о томе како Аппле гледа на приватност корисника и шта ће урадити ако добије захтев од владе Није забележен ниједан случај да компанија преноси податке од руских корисника руским властима.
Извор:
Али иМессаге има два недостатка:
- Преко ових канала можете писати или звати само истог власника Аппле-а;
- Ако имате проблема са интернет везом, порука ће ићи преко обичног мобилног канала и постати једноставан СМС који се лако може пресрести.
Да бисте избегли да се иМессаге претвори у СМС, можете да онемогућите ову функцију у подешавањима.
Истраживачи из Елецтрониц Фронтиер Фоундатион да не постоји стопостотно сигурна опција за позиве и поруке. Ако неки месинџери спречавају власти да дођу до ваших приватних података, то не значи да хакери (или држава која може да користи њихове услуге) то не могу учинити заобилажењем закона. Да би кориснику дао поверење да нема човека у средини, Телеграм има лепу функцију: када позивају, оба примаоца могу да се увере да виде исте емоџије у горњем десном углу екрана - ово ће потврдити одсуство „упада“ у везу.
Ако тражите безбеднији начин комуникације, препоручујемо вам да гледате даље од тајних ћаскања, лозинки и аутентификације у два корака/два фактора на мање популарне нишне апликације као што су или .
Користим Сигнал сваки дан. #нотесфорФБИ (Споилер: они већ знају)
Е-маил
Популарне компаније које омогућавају коришћење својих клијената е-поште (у Русији су Иандек, Маил.Ру и Рамблер) већ су укључене у АРИ регистар, што значи да нису баш безбедне. Да, Маил.Ру Гроуп кривичне предмете за меме и амнестију за осуђене, али на захтев властима може дати информације о вашим подацима.
Чак и ако користите западне клијенте е-поште као што су Гмаил или Оутлоок, имате омогућену двофакторску аутентификацију и знате да је ваша е-пошта шифрована помоћу безбедног ССЛ/ТЛС протокола, не можете бити сигурни да је адреса е-поште вашег примаоца једнако заштићена.
Опције заштите:
- Када шаљете осетљиве информације, шифрујте е-пошту користећи Претти Гоод Приваци (). Овај програм помаже да се подаци из писма претвори у бесмислени скуп знакова за све осим за пошиљаоца и примаоца;
- Када шаљете важне информације, увек обратите пажњу на домен примаоца и немојте писати на сумњиву адресу;
- Унапред проверите код примаоца да ли је он или она подесио прослеђивање или преузимање поште преко руске поштанске службе.
У случају домаћих компанија из ОРИ регистра, никаква енкрипција на страни корисника, у принципу, неће помоћи. Информације се не пресрећу, већ се чувају и преносе преко крајњих тачака – сличних сервиса. Једино решење може бити да их замените сигурнијим аналогама као што су ПротонМаил, Тутанота или Хусхмаил. Више таквих услуга е-поште можете пронаћи на страницу.
Друштвене мреже
За почетак, минимизирајте своје присуство на популарним руским друштвеним мрежама - „Мој свет“, „Одноклассники“ и „ВКонтакте“. Бар Фацебоок не предаје ваше податке руским обавештајним агенцијама. Барем такви случајеви нису забележени.
Али занимљиво је да је 2017. године компанија и даље задовољила 85% захтева америчке владе:
Снимци екрана са
Ако сте превише навикли на ВК, али не желите да завршите на оптуженичкој клупи, обратите пажњу на неколико ствари:
- ваше сачуване слике;
- постове, коментаре и поруке које пишете;
- постови који вам се свиђају;
- постове које делите;
- корисника са којима сте пријатељи.
У свему наведеном, најбоље је избегавати све што би се могло сматрати увредљивим или екстремистичким. Увек запамтите да „дељење“ значи преношење „незаконите“ информације најмање једној особи. Адвокат међународне групе за људска права „Агора“ Дамир Гајнутдинов тврди да је по закону ОРИ чак и нацрти непослатих порука агенцијама за спровођење закона. Прочитајте више о томе како да вас не ухвате за поновно објављивање
Иначе, већ неко време свако ко има ваш број телефона може вас подразумевано пронаћи на ВКонтактеу, чак и ако сама страница не открива ваш прави идентитет.
Можете спречити људе да вас пронађу по броју у подешавањима вашег профила (Подешавања -> Приватност -> Контактирајте ме). Али ово вас, наравно, неће спасити од специјалних служби. Немојте користити позиве и видео комуникације на ВКонтактеу: непознато је да ли их мрежа заиста шифрује од краја до краја, како тврди администрација.
Вебсите Сецурити
Једина добра вест је то Сви популарни сајтови на Интернету већ имају хттпс верзију или су у потпуности прешли на коришћење само хттпс верзија. Информације примљене и пренете на таквим сајтовима су шифроване и не могу их читати трећа лица. Такви ресурси су означени зеленом бојом и речју „заштићени“.
Ту се добре вести завршавају. Упркос хттпс протоколу, чињеница посете таквом сајту и ДНС захтеви (информације о томе којим доменима сте приступили) и даље остају видљиви Интернет провајдеру.
Али друга вест је још гора: преостала половина сајтова ради по редовном хттп протоколу, односно без шифровања података. Решење би могао бити ВПН, који шифрује апсолутно све примљене и пренете податке тако да нема читљивих информација на страни интернет провајдера и било кога ко покуша да се инфилтрира између вас и крајњег сајта. Једино што ће бити видљиво је чињеница повезивања на одређену ИП адресу на Интернету (односно на ВПН сервер). И ништа више.
Бићемо срећни ако живот заиста одједном постане тако једноставан: укључите ВПН и заборавите на цурење осетљивих информација. Али то није истина. Редовно проверавајте да ли је ваш омиљени ресурс укључен у АРИ регистар, пратите како комуницира са надлежнима, проверавајте активне везе у подешавањима инстант мессенгер-а и друштвених мрежа и ресетујте сумњиве (а затим обавезно промените лозинке).
глобално
Када радите са комуникационим каналима и преносом података, само свеобухватан приступ безбедности и приватности има смисла. Пратите догађаје о безбедности на Интернету на нашем Телеграм каналу , на сајту и на другим ресурсима посвећеним догађајима на Интернету и РуНету посебно.
Које мере безбедности предузимате?
Извор: ввв.хабр.цом