ProHoster > blogg > administration > Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data

Hej Habr.

Det här är vi, VPN-tjänst Göm mitt namn. Vi arbetar för närvarande tillfälligt med HideMyna.me-spegeln. Varför? Den 20 juli 2018 lade Roskomnadzor till oss till listan över förbjudna resurser på grund av beslutet från Medvedevsky District Court i Yoshkar-Ola. Domstolen slog fast att besökare på vår sida har obegränsad tillgång till extremistiskt material #withoutregistrationisms och hittade på något sätt boken "Mein Kampf" av Adolf Hitler på den. Tydligen för pålitlighetens skull.

Detta beslut överraskade oss mycket, men vi fortsätter att arbeta med hidemyna.me, hidemyname.org, .one, .biz, etc. Ett utdraget argument med Roskomnadzor ledde inte till något resultat. Medan mina advokater och jag utmanar blockeringen och det magiska domstolsbeslutet delar vi med dig av grundläggande tips för att upprätthålla integritet på Internet och nyheter om detta ämne.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
Edward Snowden älskar National Security Agency (förmodligen)

Det är ingen hemlighet att populära ryska tjänster är osäkra. Din korrespondens kan när som helst komma till inhemska brottsbekämpande tjänstemäns kännedom. Vi berättar vad du behöver komma ihåg när du kommunicerar genom olika kommunikationskanaler.

SORM och ORI

Det finns många olika sätt att trycka på din telefon. Officiellt och juridiskt - SORM, ett system med tekniska medel för att säkerställa funktionerna för operativa utredningsaktiviteter. Enligt lag i Ryska federationen är alla mobiloperatörer skyldiga att installera ett sådant system på sina PBX:er om de inte vill förlora sin licens. Det finns tre typer av SORM: den första uppfanns på 80-talet, den andra började implementeras på 2014-talet och de har försökt påtvinga operatörer den tredje sedan XNUMX. Enligt RBC, de flesta operatörer använder den andra typen, men i 70% av fallen fungerar systemet inte korrekt eller fungerar inte alls. Det är dock fortfarande bättre att inte diskutera känsliga ämnen via en fast telefon eller genom ett vanligt samtal från en mobiltelefon.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
Driftschema för SORM-2 (Källa: mfisoft.ru)

Enligt 97-FZ måste alla budbärare, tjänster och sajter som verkar i Ryssland inkluderas i registret Arrangörer av informationsspridning. Förbi "Yarovayas lag"De är skyldiga att lagra all användardata, inklusive röstsamtalsinspelningar och korrespondens, i sex månader. ARI har förresten också Habrahabr.

Driften av registret beskrivs i detalj här med Threema som exempel, men huvudslutsatsen är denna: nu, på begäran av de ryska myndigheterna, kan all information om dig hamna hos brottsbekämpande myndigheter. Därför är det första du ska göra för att upprätthålla konfidentialitet att överföra samtal och meddelanden till snabbmeddelanden, som inte finns i ARI-registret. Eller de som finns där, men vägrar att överföra data till myndigheterna – som Threema och Telegram.

Certifikat: Att bara vara i ARI-registret garanterar inte att uppgifterna kommer att överföras till myndigheterna. Du måste ständigt övervaka nyheterna och titta på budbärarens reaktion när de "kommer" för honom.

Röstsamtal och meddelanden

Våra konversationer och meddelanden kan skyddas från tredje parts störningar genom end-to-end-kryptering, vilket är anledningen till att budbärare med E2E anses vara de säkraste. Men detta är inte helt sant: låt oss titta på populära alternativ.

Telegram stöder end-to-end-kryptering i deras hemliga chattar och lagrar krypterad data om din korrespondens i molnet, som är utspridda över olika länder med "säker" jurisdiktion. Men efter Artikel på Habré kan du börja tvivla på illusionen av säkerheten hos Telegram Passport i E2E från Durov.

Självklart är Secret Chats fortfarande ett bra alternativ för paranoida. Servern är inte alls involverad i deras kryptering: meddelanden överförs peer-to-peer, det vill säga direkt mellan deltagarna i korrespondensen. För extra sinnesfrid kan du använda timermeddelandens självförstörande funktion. Men du bör inte blint lita på Telegram. För att göra det lite säkrare måste du och din mottagare gå till Messenger-inställningarna och göra minst två saker:

  • Ange ett lösenord när du loggar in i applikationen (Integritet och säkerhet -> Lösenord);
  • Aktivera tvåstegsverifiering (Integritet och säkerhet -> Tvåstegsverifiering).

Efter detta kommer applikationen, förutom koden från SMS:et, när du loggar in från en ny enhet att be om ett lösenord som bara du känner till.

För närvarande skyddar inloggningsbekräftelse endast via SMS inte på något sätt en person som använder ett ryskt SIM-kort. Fall av hackning av Telegram-konton genom ett avlyssnat SMS-meddelande är redan kända - 2016, angripare fått tillträde till korrespondens från flera oppositionella, och 2017 hackades redogörelse för Dozhd-journalisten Mikhail Rubin.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
WhatsApp för nu undviker den ORI-registret och använder också end-to-end-kryptering, men allt är inte så rosenrött med det. Vi publicerade nyligen nyheterna om invånare i Magadan som var föremål för ett brottmål för att ha kritiserat stadens borgmästare. Den här historien slutade lyckligtvis med sedvanlig böter. Men det bekräftade användarnas rädsla: det är inte säkert att kommunicera i WhatsApp-gruppchattar.

Vad kommer att hända?

  • Så fort du skriver ett meddelande kommer ditt telefonnummer omedelbart att bli tillgängligt för alla gruppmedlemmar. Och din identitet kan enkelt bestämmas av antalet.

Vad ska man göra?

  • Lösningen kan vara ett "vänster" SIM-kort eller ett utländskt nummer – helst ett europeiskt.

Om du använder ett ryskt kort som är registrerat i ditt namn, undvik sarkastiska kommentarer i grupper med namn som "Avgå för borgmästaren": det är bättre att bara lämna personlig korrespondens och samtal till WhatsApp.

Viber är inte heller listad i ORI-registret, men upprätthåller kommunikation med de ryska myndigheterna (på fritiden från att skicka spam). Denna budbärare var en av de första som uppfyllde de nya regeringskraven: den lagrar inloggningar och telefonnummer till ryska användare på Ryska federationens territorium, men tillhandahåller meddelandedata vägrar — hänvisar till mekaniken för end-to-end-kryptering och företagspolicy.

Apple använder också från början till slut, men när man registrerar sig med iMessage skapas två nyckelpar: privata och offentliga. Meddelandet som du får från samma ägare av en Apple-enhet överförs till dig med kryptering, som använder en offentlig nyckel. Den kan bara dekrypteras med mottagarens privata nyckel, som lagras på hans enhet. Du kan läsa om hur Apple ser på användarnas integritet och vad det kommer att göra om det får en begäran från regeringen här. Det har inte förekommit några registrerade fall av att företaget överfört data från ryska användare till de ryska myndigheterna.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
Källa: https://www.apple.com/business/docs/iOS_Security_Guide.pdf


Men iMessage har två nackdelar:

  • Du kan bara skriva eller ringa via dessa kanaler till samma Apple-ägare;
  • Om du har problem med din internetuppkoppling kommer meddelandet att gå över en vanlig mobilkanal och bli ett enkelt SMS som enkelt kan avlyssnas.

För att undvika att iMessage förvandlas till SMS kan du inaktivera den här funktionen i Inställningar.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
Forskare från Electronic Frontier Foundation krav att det inte finns något hundraprocentigt säkert alternativ för samtal och meddelanden. Om några budbärare hindrar myndigheterna från att få tag i dina privata uppgifter, betyder det inte att hackare (eller staten, som kan använda deras tjänster) inte kan göra detta genom att kringgå lagarna. För att ge användaren förtroende för att det inte finns någon man-i-mitten, har Telegram en trevlig funktion: när de ringer kan båda mottagarna se till att de ser samma emoji i det övre högra hörnet av skärmen - detta kommer att bekräfta frånvaro av "intrång" i anslutningen.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data

Om du letar efter ett säkrare sätt att kommunicera rekommenderar vi att du ser bortom hemliga chattar, lösenord och tvåstegs-/tvåfaktorsautentisering till mindre populära nischappar som Anförtro eller Signal.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data
Jag använder Signal varje dag. #notesforFBI (Spoiler: de vet redan)

Электронная почта

Populära företag som gör det möjligt att använda sina e-postklienter (i Ryssland är dessa Yandex, Mail.Ru och Rambler) är redan inkluderade i ARI-registret, vilket betyder att de inte är särskilt säkra. Ja, Mail.Ru Group uppmanar att sluta brottmål för memes och amnesti för dömda, men kan på begäran ge information om dina uppgifter till myndigheterna.

Även om du använder västerländska e-postklienter som Gmail eller Outlook, har tvåfaktorsautentisering aktiverad och vet att din e-post är krypterad med ett säkert SSL/TLS-protokoll, kan du inte vara säker på att mottagarens e-post är lika skyddad.

Skyddsalternativ:

  • När du skickar känslig information, kryptera e-postmeddelanden med Pretty Good Privacy (PGP). Detta program hjälper till att förvandla data från ett brev till en meningslös uppsättning tecken för alla utom avsändaren och mottagaren;
  • När du skickar viktig information, var alltid uppmärksam på mottagarens domän och skriv inte till en misstänkt adress;
  • Kontrollera med mottagaren i förväg om han eller hon har ställt in vidarebefordran eller hämtning av post via den ryska posten.

När det gäller inhemska företag från ORI-registret kommer i princip ingen kryptering på användarsidan att hjälpa. Information fångas inte upp, utan lagras och överförs av endpoints - liknande tjänster. Den enda lösningen kan vara att ersätta dem med säkrare analoger som ProtonMail, Tutanota eller Hushmail. Fler sådana e-posttjänster finns på detta sida.

Sociala nätverk

Till att börja med, minimera din närvaro på populära ryska sociala nätverk - "My World", "Odnoklassniki" och "VKontakte". Facebook lämnar åtminstone inte över dina uppgifter till ryska underrättelsetjänster. Åtminstone har inga sådana fall registrerats.

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din data

Men det är intressant att företaget under 2017 fortfarande tillfredsställde 85% av förfrågningarna från den amerikanska regeringen:

Inte bara ett VPN. Fuskblad om hur du skyddar dig själv och din dataSkärmdumpar från Facebooks transparensrapport

Om du är för van vid VK, men inte vill hamna i kajen, var uppmärksam på några saker:

  • dina sparade bilder;
  • inlägg, kommentarer och meddelanden du skriver;
  • inlägg du gillar;
  • inlägg du delar;
  • användare du är vän med.

I allt ovanstående är det bäst att undvika allt som kan anses vara stötande eller extremistiskt. Kom alltid ihåg att "delning" innebär att kommunicera "olaglig" information till minst en person. Advokat för den internationella människorättsgruppen "Agora" Damir Gainutdinov hävdar att ORI enligt lagen skyldig att lagra och sända även utkast till osända meddelanden till brottsbekämpande myndigheter. Läs mer om hur du inte åker fast för repostering här.

Förresten, sedan en tid tillbaka kan alla som har ditt telefonnummer hitta dig på VKontakte som standard, även om själva sidan inte avslöjar din riktiga identitet.

Du kan förhindra att andra hittar dig efter nummer i dina profilinställningar (Inställningar -> Sekretess -> Kontakta mig). Men detta kommer naturligtvis inte att rädda dig från specialtjänsterna. Använd inte samtal och videokommunikation på VKontakte: det är okänt om nätverket faktiskt krypterar dem från början till slut, som administrationen hävdar.

Webbplatssäkerhet

Den enda goda nyheten är det mer än en halv Alla populära webbplatser på Internet har redan en https-version eller har helt gått över till att endast använda https-versioner. Information som tas emot och överförs på sådana webbplatser är krypterad och kan inte läsas av tredje part. Sådana resurser är markerade med grönt och ordet "skyddad".

Det är där de goda nyheterna slutar. Trots https-protokollet förblir det faktum att besöka en sådan webbplats och DNS-förfrågningar (information om vilka domäner du har tillgång till) fortfarande synliga för internetleverantören.

Men en annan nyhet är ännu värre: den återstående hälften av sajterna använder det vanliga http-protokollet, det vill säga utan datakryptering. Lösningen kan vara ett VPN, som krypterar absolut all mottagen och överförd data så att det inte finns någon läsbar information på sidan av internetleverantören och alla som försöker infiltrera mellan dig och slutsidan. Det enda som kommer att synas är att man ansluter till en viss IP-adress på Internet (det vill säga till en VPN-server). Och inget mer.

Vi kommer att vara glada om livet verkligen plötsligt blir så enkelt: slå på VPN och glöm läckan av känslig information. Men det är inte sant. Kontrollera regelbundet om din favoritresurs finns med i ARI-registret, övervaka hur den interagerar med myndigheterna, kontrollera aktiva anslutningar i inställningarna för snabbmeddelanden och sociala nätverk och återställ misstänkta (och se till att du byter lösenord).

globalt

När man arbetar med kommunikationskanaler och dataöverföring är bara ett heltäckande synsätt på säkerhet och integritet vettigt. Följ Internetsäkerhetshändelser i vår Telegram-kanal @hidemyname_ru, Uppkopplad Roskomsvoboda och på andra resurser avsedda för evenemang på Internet och RuNet i synnerhet.

Vilka säkerhetsåtgärder vidtar du?

Källa: will.com

Lägg en kommentar