Hoy Habr.
Ito kami, serbisyo ng VPN . Kasalukuyan kaming nagtatrabaho pansamantala sa salamin ng HideMyna.me. Bakit? Noong Hulyo 20, 2018, idinagdag kami ng Roskomnadzor dahil sa desisyon ng Medvedevsky District Court sa Yoshkar-Ola. Ang hukuman ay nagpasya na ang mga bisita sa aming site ay may walang limitasyong pag-access sa mga extremist na materyales #withoutregistrationisms, at kahit papaano ay natagpuan ang aklat na "Mein Kampf" ni Adolf Hitler dito. Tila, para sa pagiging maaasahan.
Ang desisyong ito ay labis kaming nagulat, ngunit patuloy kaming nagtatrabaho sa hidemyna.me, hidemyname.org, .one, .biz, atbp. Ang isang matagal na argumento sa Roskomnadzor ay hindi humantong sa anumang resulta. Habang hinahamon namin ng aking mga abogado ang pagharang at ang mahiwagang desisyon ng korte, ibinabahagi namin sa iyo ang mga pangunahing tip para sa pagpapanatili ng privacy sa Internet at mga balita sa paksang ito.
Gustung-gusto ni Edward Snowden ang National Security Agency (marahil)
Hindi lihim na ang mga sikat na serbisyo ng Russia ay hindi ligtas. Ang iyong liham ay maaaring sa anumang oras ay makarating sa atensyon ng mga lokal na opisyal ng pagpapatupad ng batas. Sinasabi namin sa iyo kung ano ang kailangan mong tandaan kapag nakikipag-usap sa pamamagitan ng iba't ibang mga channel ng komunikasyon.
SORM at ORI
Mayroon mga paraan upang i-tap ang iyong telepono. Opisyal at legal - SORM, isang sistema ng mga teknikal na paraan upang matiyak ang mga function ng operational investigative activities. Ayon sa batas sa Russian Federation, ang lahat ng mga cellular operator ay kinakailangang mag-install ng naturang sistema sa kanilang mga PBX kung ayaw nilang mawalan ng lisensya. Mayroong tatlong uri ng SORM: ang una ay naimbento noong 80s, ang pangalawa ay nagsimulang ipatupad noong 2014s, at sinisikap nilang ipataw ang pangatlo sa mga operator mula noong XNUMX. , karamihan sa mga operator ay gumagamit ng pangalawang uri, ngunit sa 70% ng mga kaso ang system ay hindi gumagana nang tama o hindi gumagana sa lahat. Gayunpaman, mas mabuting huwag talakayin ang mga sensitibong paksa sa isang landline na telepono o sa pamamagitan ng isang regular na tawag mula sa isang mobile phone.
Scheme ng pagpapatakbo ng SORM-2 (Pinagmulan: mfisoft.ru)
Ayon sa 97-FZ, anumang mga messenger, serbisyo at site na nagpapatakbo sa Russia ay dapat na kasama sa rehistro . sa pamamagitan ng ""Kinakailangan silang iimbak ang lahat ng data ng gumagamit, kabilang ang mga pag-record ng voice call at sulat, sa loob ng anim na buwan. Siyanga pala, may Habrahabr din ang ARI.
Ang pagpapatakbo ng pagpapatala ay inilarawan nang detalyado gamit ang Threema bilang isang halimbawa, ngunit ang pangunahing konklusyon ay ito: ngayon, sa kahilingan ng mga awtoridad ng Russia, ang anumang impormasyon tungkol sa iyo ay maaaring mapunta sa mga ahensyang nagpapatupad ng batas. Samakatuwid, ang unang bagay na dapat gawin upang mapanatili ang pagiging kumpidensyal ay ang paglipat ng mga tawag at mensahe sa mga instant messenger, na wala sa ARI registry. O ang mga naroroon, ngunit tumanggi na maglipat ng data sa mga awtoridad - tulad ng Threema at Telegram.
Sertipiko: Ang pagiging nasa ARI registry lamang ay hindi ginagarantiyahan na ang data ay ililipat sa mga awtoridad. Kailangan mong patuloy na subaybayan ang balita at tingnan ang reaksyon ng mensahero kapag sila ay "dumating" para sa kanya.
Mga voice call at mensahe
Ang aming mga pag-uusap at mensahe ay maaaring maprotektahan mula sa panghihimasok ng third party sa pamamagitan ng end-to-end na pag-encrypt, kaya naman ang mga messenger na may E2E ay itinuturing na pinaka-secure. Ngunit hindi ito ganap na totoo: tingnan natin ang mga sikat na opsyon.
Telegrama end-to-end na pag-encrypt sa kanilang Mga Lihim na Chat at nag-iimbak ng naka-encrypt na data tungkol sa iyong mga sulat sa cloud, na nakakalat sa iba't ibang bansang may "ligtas" na hurisdiksyon. Ngunit pagkatapos sa HabrΓ© maaari kang magsimulang magduda sa ilusyon ng seguridad ng Telegram Passport sa E2E mula sa Durov.
Siyempre, ang Mga Lihim na Chat ay isa pa ring magandang opsyon para sa paranoid. Ang server ay hindi kasangkot sa kanilang pag-encrypt: ang mga mensahe ay ipinapadala ng peer-to-peer, iyon ay, direkta sa pagitan ng mga kalahok sa sulat. Para sa karagdagang kapayapaan ng isip, maaari mong gamitin ang timer message self-destruct function. Ngunit hindi ka dapat bulag na umasa sa Telegram. Upang gawin itong mas secure, ikaw at ang iyong tatanggap ay dapat pumunta sa mga setting ng messenger at gumawa ng hindi bababa sa dalawang bagay:
- Magtakda ng password kapag nagla-log in sa application (Privacy at Seguridad -> Passcode);
- Paganahin ang dalawang hakbang na pag-verify (Privacy at Seguridad -> Dalawang Hakbang na Pag-verify).
Pagkatapos nito, bilang karagdagan sa code mula sa SMS, kapag nag-log in mula sa isang bagong device, hihilingin ng application ang isang password na ikaw lang ang nakakaalam.
Sa kasalukuyan, ang pagkumpirma sa pag-login sa pamamagitan lamang ng SMS ay hindi pinoprotektahan sa anumang paraan ang isang tao na gumagamit ng isang Russian SIM card. Ang mga kaso ng pag-hack ng mga Telegram account sa pamamagitan ng isang naharang na mensahe ng SMS ay kilala na - noong 2016, mga umaatake sa sulat ng ilang oposisyonista, at noong 2017 account ng Dozhd journalist na si Mikhail Rubin.
WhatsApp sa ngayon ay iniiwasan nito ang ORI registry at gumagamit din ng end-to-end na pag-encrypt, ngunit ang lahat ay hindi masyadong malabo dito. Na-publish namin kamakailan tungkol sa mga residente ng Magadan na sinampahan ng kasong kriminal dahil sa pagpuna sa alkalde ng lungsod. Ang kwentong ito, sa kabutihang palad, ay natapos sa karaniwang multa. Ngunit kinumpirma nito ang mga pangamba ng mga gumagamit: hindi ligtas na makipag-usap sa mga chat ng grupo ng WhatsApp.
Ano ang mangyayari?
- Sa sandaling magsulat ka ng mensahe, agad na magiging available ang iyong numero ng telepono sa lahat ng miyembro ng grupo. At ang iyong pagkakakilanlan ay madaling matukoy sa pamamagitan ng numero.
Ano ang dapat gawin?
- Ang solusyon ay maaaring isang "kaliwang" SIM card o isang dayuhang numero - mas mabuti ang isang European.
Kung gumagamit ka ng Russian card na nakarehistro sa iyong pangalan, iwasan ang mga sarkastikong komento sa mga grupo na may mga pangalan tulad ng "Magbitiw para sa Alkalde": mas mabuting mag-iwan lamang ng personal na sulat at mga tawag para sa WhatsApp.
Viber ay hindi rin nakalista sa ORI registry, ngunit nagpapanatili ng komunikasyon sa mga awtoridad ng Russia (sa kanyang libreng oras mula sa pagpapadala ng spam). Ang messenger na ito ay isa sa mga unang sumunod sa mga bagong kinakailangan ng gobyerno: nag-iimbak ito ng mga login at numero ng telepono ng mga user ng Russian sa teritoryo ng Russian Federation, ngunit nagbibigay ng data ng mensahe β tumutukoy sa mga mekanika ng end-to-end na pag-encrypt at patakaran ng korporasyon.
mansanas gumagamit din ng end-to-end, ngunit kapag nagrerehistro sa iMessage, lumilikha ito ng dalawang pangunahing pares: pribado at pampubliko. Ang mensaheng natatanggap mo mula sa parehong may-ari ng isang apple device ay ipinapadala sa iyo gamit ang encryption, na gumagamit ng pampublikong key. Maaari lang itong i-decrypt gamit ang pribadong key ng tatanggap, na naka-store sa kanyang device. Mababasa mo ang tungkol sa kung paano tinitingnan ng Apple ang privacy ng user at kung ano ang gagawin nito kung makatanggap ito ng kahilingan mula sa gobyerno Walang naitala na mga kaso ng paglilipat ng kumpanya ng data mula sa mga gumagamit ng Russia sa mga awtoridad ng Russia.
Pinagmulan:
Ngunit ang iMessage ay may dalawang disadvantages:
- Maaari kang sumulat o tumawag sa mga channel na ito sa parehong may-ari ng Apple;
- Kung mayroon kang mga problema sa iyong koneksyon sa Internet, ang mensahe ay pupunta sa isang regular na cellular channel at magiging isang simpleng SMS na madaling ma-intercept.
Upang maiwasan ang iMessage na maging SMS, maaari mong i-disable ang feature na ito sa Mga Setting.
Mga mananaliksik mula sa Electronic Frontier Foundation na walang isang daang porsyentong ligtas na opsyon para sa mga tawag at mensahe. Kung pinipigilan ng ilang messenger ang mga awtoridad na makuha ang iyong pribadong data, hindi ito nangangahulugan na hindi ito magagawa ng mga hacker (o ang estado, na maaaring gumamit ng kanilang mga serbisyo) sa pamamagitan ng pag-iwas sa mga batas. Upang mabigyan ng kumpiyansa ang user na walang man-in-the-middle, ang Telegram ay may magandang feature: kapag tumatawag, matitiyak ng parehong tatanggap na makikita nila ang parehong emoji sa kanang sulok sa itaas ng screen - kukumpirmahin nito ang kawalan ng "panghihimasok" sa koneksyon.
Kung naghahanap ka ng mas secure na paraan para makipag-usap, inirerekomenda namin na tingnan ang higit pa sa mga lihim na chat, password, at two-step/two-factor authentication sa mga hindi gaanong sikat na niche app tulad ng o .
Gumagamit ako ng Signal araw-araw. #notesforFBI (Spoiler: alam na nila)
Ang mga sikat na kumpanya na ginagawang posible na gamitin ang kanilang mga email client (sa Russia ito ay Yandex, Mail.Ru at Rambler) ay kasama na sa ARI registry, na nangangahulugang hindi sila masyadong ligtas. Oo, Mail.Ru Group mga kasong kriminal para sa mga meme at amnestiya para sa mga napatunayang nagkasala, ngunit maaaring magbigay ng impormasyon tungkol sa iyong data sa mga awtoridad kapag hiniling.
Kahit na gumamit ka ng mga Western email client tulad ng Gmail o Outlook, naka-enable ang two-factor authentication, at alam mong naka-encrypt ang iyong email gamit ang secure na SSL/TLS protocol, hindi ka makakatiyak na pantay na protektado ang email ng iyong tatanggap.
Mga opsyon sa proteksyon:
- Kapag nagpapadala ng sensitibong impormasyon, i-encrypt ang mga email gamit ang Pretty Good Privacy (). Tinutulungan ng program na ito na gawing walang kabuluhang hanay ng mga character ang data mula sa isang liham para sa lahat maliban sa nagpadala at tatanggap;
- Kapag nagpapadala ng mahalagang impormasyon, palaging bigyang pansin ang domain ng tatanggap at huwag sumulat sa isang kahina-hinalang address;
- Tingnan nang maaga sa tatanggap kung nag-set up siya ng pagpapasa o pagkolekta ng mail sa pamamagitan ng serbisyong koreo ng Russia.
Sa kaso ng mga domestic na kumpanya mula sa ORI registry, walang encryption sa user side, sa prinsipyo, makakatulong. Ang impormasyon ay hindi naharang, ngunit iniimbak at ipinadala ng mga endpoint - mga katulad na serbisyo. Ang tanging solusyon ay maaaring palitan ang mga ito ng mas secure na mga analogue tulad ng ProtonMail, Tutanota o Hushmail. Higit pang mga naturang serbisyo sa email ay matatagpuan sa pahina.
Mga Network na Panlipunan
Upang magsimula, bawasan ang iyong presensya sa mga sikat na social network ng Russia - "My World", "Odnoklassniki" at "VKontakte". Hindi bababa sa Facebook ay hindi ibigay ang iyong data sa Russian intelligence agencies. Hindi bababa sa, walang mga ganitong kaso na naitala.
Ngunit ito ay kagiliw-giliw na sa 2017, ang kumpanya ay nasiyahan pa rin ang 85% ng mga kahilingan mula sa gobyerno ng US:
Mga screenshot mula sa
Kung masyado kang sanay sa VK, ngunit ayaw mong mapunta sa pantalan, bigyang pansin ang ilang bagay:
- iyong mga na-save na larawan;
- mga post, komento at mensaheng isinulat mo;
- mga post na gusto mo;
- mga post na ibinabahagi mo;
- mga user na kaibigan mo.
Sa lahat ng nabanggit, pinakamahusay na iwasan ang anumang bagay na maaaring ituring na nakakasakit o ekstremista. Laging tandaan na ang ibig sabihin ng "pagbabahagi" ay ang pagbibigay ng "ilegal" na impormasyon sa kahit isang tao. Ang abogado ng internasyonal na pangkat ng karapatang pantao na "Agora" na si Damir Gainutdinov ay nagsasabing ayon sa batas, ang ORI kahit na mga draft ng hindi naipadalang mensahe sa mga ahensyang nagpapatupad ng batas. Magbasa nang higit pa tungkol sa kung paano hindi mahuli para sa pag-repost
Sa pamamagitan ng paraan, sa loob ng ilang panahon ngayon ang sinumang may numero ng iyong telepono ay mahahanap ka sa VKontakte bilang default, kahit na ang pahina mismo ay hindi nagbubunyag ng iyong tunay na pagkakakilanlan.
Maaari mong pigilan ang mga tao na mahanap ka sa pamamagitan ng numero sa iyong mga setting ng profile (Mga Setting -> Privacy -> Makipag-ugnayan sa akin). Ngunit ito, siyempre, ay hindi magliligtas sa iyo mula sa mga espesyal na serbisyo. Huwag gumamit ng mga tawag at komunikasyon sa video sa VKontakte: hindi alam kung ang network ay aktwal na naka-encrypt sa kanila end-to-end, gaya ng inaangkin ng administrasyon.
Seguridad ng Website
Ang tanging magandang balita ay iyon Ang lahat ng mga sikat na site sa Internet ay mayroon nang isang bersyon ng https o ganap na lumipat sa paggamit lamang ng mga bersyon ng https. Ang impormasyong natanggap at ipinadala sa mga naturang site ay naka-encrypt at hindi mababasa ng mga third party. Ang mga naturang mapagkukunan ay minarkahan ng berde at ang salitang "protektado".
Doon nagtatapos ang mabuting balita. Sa kabila ng https protocol, ang katotohanan ng pagbisita sa naturang site at mga kahilingan sa DNS (impormasyon tungkol sa kung aling mga domain ang iyong na-access) ay nananatiling nakikita ng Internet provider.
Ngunit ang isa pang balita ay mas masahol pa: ang natitirang kalahati ng mga site ay nagpapatakbo gamit ang regular na http protocol, iyon ay, nang walang data encryption. Ang solusyon ay maaaring isang VPN, na ganap na naka-encrypt sa lahat ng natanggap at naipadalang data upang walang nababasang impormasyon sa panig ng Internet provider at sinumang sumusubok na pumasok sa pagitan mo at ng end site. Ang tanging bagay na makikita ay ang katotohanan ng pagkonekta sa isang tiyak na IP address sa Internet (iyon ay, sa isang VPN server). At wala nang iba pa.
Magiging masaya tayo kung talagang biglang magiging simple ang buhay: i-on ang VPN at kalimutan ang tungkol sa pagtagas ng sensitibong impormasyon. Ngunit hindi iyon totoo. Regular na suriin kung ang iyong paboritong mapagkukunan ay kasama sa ARI registry, subaybayan kung paano ito nakikipag-ugnayan sa mga awtoridad, suriin ang mga aktibong koneksyon sa mga setting ng mga instant messenger at social network at i-reset ang mga kahina-hinala (at pagkatapos ay siguraduhing baguhin ang mga password).
sa buong mundo
Kapag nagtatrabaho sa mga channel ng komunikasyon at paglilipat ng data, isang komprehensibong diskarte lamang sa seguridad at privacy ang may katuturan. Sundin ang mga kaganapan sa seguridad sa Internet sa aming Telegram channel , Online at sa iba pang mga mapagkukunan na nakatuon sa mga kaganapan sa Internet at partikular sa RuNet.
Anong mga hakbang sa kaligtasan ang iyong ginagawa?
Pinagmulan: www.habr.com