Привіт Хабр.
Це ми, VPN-сервіс . Наразі тимчасово працюємо на дзеркалі HideMyna.me. Чому? 20 липня 2018 року Роскомнагляд додав нас через рішення Медведівського районного суду у Йошкар-Олі. Суд ухвалив, що відвідувачі нашого сайту мають необмежений доступ до екстремістських матеріалів #безреєстрації, а ще якимось чином знайшов на ньому книгу «Майн Кампф» Адольфа Гітлера. Мабуть, для надійності.
Таке рішення нас дуже здивувало, але ми продовжуємо працювати на hidemyna.me, hidemyname.org, .one, .biz та ін. Затяжне суперечка з Роскомнаглядом не призвело до жодного результату. Поки ми з юристами заперечуємо блокування та чарівне рішення суду, ділимося з вами базовими порадами щодо збереження конфіденційності в інтернеті та новинами на цю тему.
Едвард Сноуден любить Агентство національної безпеки (напевно)
Ні для кого не секрет, що популярні російські послуги небезпечні. Ваше листування будь-якої миті може опинитися в полі зору вітчизняних охоронців закону. Розповідаємо, що потрібно пам'ятати, спілкуючись через різні канали зв'язку.
СОРМ та ГРІ
є способів прослуховування телефону. Офіційний та законний - СОРМ, система технічних засобів для забезпечення функцій оперативно-розшукових заходів. За законом в РФ всі оператори стільникового зв'язку зобов'язані встановлювати на своїх АТС таку систему, якщо не хочуть втратити ліцензію. Видів СОРМ три: перший вигадали у 80-х, другий стали впроваджувати у нульових, а третій намагаються нав'язати операторам з 2014 року. Більшість операторів користуються другим типом, але в 70% випадків система працює некоректно або не працює зовсім. Однак, по стаціонарному телефону та через звичайний виклик з мобільного чутливі теми все одно краще не обговорювати.
Схема роботи СОРМ-2 (Джерело: mfisoft.ru)
Згідно з 97-ФЗ, будь-які месенджери, сервіси та сайти, які діють на території Росії, мають бути внесені до Реєстру . По «вони зобов'язані зберігати всі дані користувачів, у тому числі записи голосових дзвінків і листування протягом півроку. В ГРІ, до речі, є і Хабрахабр.
Робота реєстру докладно описана на прикладі Threema, але головний висновок такий: тепер на запит російської влади будь-яка інформація про вас може опинитися в правоохоронних органах. Тому перше, що потрібно зробити для збереження конфіденційності — перенести дзвінки та повідомлення до месенджерів, яких у реєстрі ВРІ немає. Або ті, які там є, але передавати дані владі відмовляються — як Threema і Telegram.
Довідка: Саме по собі перебування в реєстрі ВРІ не гарантує того, що дані передаватимуться владі Потрібно постійно моніторити новини та дивитися на реакцію месенджера, коли за ним «прийдуть».
Голосові дзвінки та повідомлення
Наші розмови та повідомлення від втручання третьої особи може захистити end-to-end шифрування, тому месенджери з Е2Е вважаються найбезпечнішими. Але це зовсім так: розглянемо популярні варіанти.
Telegram end-to-end шифрування у своїх Secret Chats і зберігає зашифровані дані про ваше листування в хмарі, яке розкидане по різних країнах із «безпечною» юрисдикцією. Але після на Хабре про ілюзію безпеки Telegram Passport у Е2Е від Дурова можна почати сумніватися.
Звичайно, спілкування в Secret Chats, як і раніше, залишається хорошим варіантом для параноїків. У їхньому шифруванні сервер взагалі ніяк не задіяний: повідомлення передаються peer-to-peer, тобто безпосередньо між учасниками листування. Для більшого спокою можна скористатися функцією самознищення повідомлень за таймером. Але не варто сліпо покладатися на Telegram. Щоб він став трохи безпечнішим, ви і ваш адресат повинні зайти в налаштування месенджера і зробити щонайменше дві речі:
- Поставити пароль при вході до програми (Конфіденційність та безпека -> Код доступу);
- Включити двоетапну автентифікацію (Конфіденційність та безпека -> Двоетапне підтвердження).
Після цього на додаток до коду із SMS при вході з нового пристрою програма буде запитувати пароль, який знаєте тільки ви.
Зараз підтвердження входу лише через SMS ніяк не захищає людину, яка користується російською SIM-карткою. Про випадки злому Telegram-акаунтів через перехоплене SMS-повідомлення вже відомо — 2016 року зловмисники до листування кількох опозиціонерів, а у 2017 році аккаунт журналіста «Дождя» Михайла Рубіна.
WhatsApp поки що уникає реєстру ВРІ і також використовує end-to-end шифрування, але з ним все не так безхмарно. Нещодавно ми публікували про жителів Магадана, на яких порушили кримінальну справу за критику мера міста. Ця історія, на щастя, закінчилася звичайним штрафом. Але підтвердила побоювання користувачів: у групових чатах WhatsApp спілкуватися небезпечно.
Що буде?
- Як тільки ви напишіть повідомлення, ваш номер телефону одразу стане доступним усім учасникам групи. А за номером вашу особу легко вирахувати.
Що робити?
- Рішенням може стати "ліва" SIM-картка або закордонний номер - бажано європейський.
Якщо ви користуєтеся російською картою, зареєстрованою на ваше ім'я, уникайте уїдливих коментарів у групах з назвою на кшталт «Меру — відставку»: для WhatsApp краще залишити лише особисті листування та дзвінки.
Viber теж не значиться в реєстрі ВРІ, але підтримує комунікацію з російською владою (у вільний від розсилки спаму час). Цей месенджер одним із перших виконав нові вимоги уряду: він зберігає логіни та номери телефонів користувачів-росіян на території РФ, але дані повідомлень надати — посилається на механіку end-to-end шифрування та корпоративну політику.
Apple також використовує end-to-end, але при реєстрації в iMessage створює дві пари ключів: приватну та публічну. Те повідомлення, яке ви отримуєте від того ж власника яблучного девайса, передається вам із шифруванням, при якому використовується публічний ключ. Розшифрувати його можна лише за допомогою приватного ключа адресата, який зберігається на пристрої. Про те, як Apple ставиться до конфіденційності користувачів і що зробить, якщо отримає запит від уряду, можна почитати Випадків передачі компанією даних російських користувачів владі РФ не зафіксовано.
Джерело:
- Написати або зателефонувати через ці канали ви можете тільки такому самому власнику Apple;
- Якщо у вас проблеми з інтернет-підключенням, повідомлення піде звичайним стільниковим каналом і стане простим SMS, яке легко можна перехопити.
Щоб уникнути перетворення iMessage на SMS, можна вимкнути цю функцію в налаштуваннях.
Дослідники з Electronic Frontier Foundation що повністю безпечного варіанту для дзвінків і повідомлень не існує. Якщо якісь месенджери не дають владі отримати ваші приватні дані, це ще не означає, що, оминаючи закони, цього не можуть зробити хакери (або держава, яка може скористатися їхніми послугами). Щоб дати користувачеві впевненість у тому, що ніякого man-in-the-middle немає, у Telegram є мила фішка: при дзвінку обидва адресати можуть переконатися, що бачать одні й ті самі емодзі у правому верхньому кутку екрану – це і буде підтвердженням відсутності. вторгнення» у з'єднання.
Якщо вам потрібен надійніший спосіб комунікації, рекомендуємо не просто користуватися секретними чатами, паролями та двоетапною/двофакторною автентифікацією, але й придивитися до менш популярних нішевих програм на кшталт або .
Я користуюсь Signal щодня. #нотаткидляФБР (Спойлер: вони вже знають)
Електронна пошта
Популярні компанії, які дають можливість користуватися своїми поштовими клієнтами (у Росії це Яндекс, Mail.Ru та Rambler), вже включені до реєстру ВРІ, а отже, не надто безпечні. Так, Mail.Ru Group кримінальні справи за меми та амністувати засуджених, але може віддати інформацію про ваші дані владі на першу вимогу.
Навіть якщо ви користуєтеся західними поштовими клієнтами на кшталт Gmail або Outlook, увімкнули двофакторну автентифікацію і знаєте, що ваш лист шифрується за допомогою надійного протоколу SSL/TLS, ви не можете бути впевнені, що лист вашого адресата також захищений.
Варіанти захисту:
- При надсиланні чутливої інформації шифрувати листи за допомогою Pretty Good Privacy (). Ця програма допомагає перетворити дані з листа на безглуздий набір символів для всіх, крім відправника та одержувача;
- При надсиланні важливої інформації завжди звертати увагу на домен адресата і не писати на підозрілу адресу;
- Заздалегідь уточнити в адресата, чи не налаштована переадресація або збір пошти через російський поштовий сервіс.
У випадку вітчизняних компаній з реєстру ВРІ жодне шифрування на стороні користувача в принципі не допоможе. Інформація не перехоплюється, а зберігається та передається кінцевими точками – подібними до сервісів. Рішенням може бути лише заміна їх на безпечніші аналоги на кшталт ProtonMail, Tutanota або Hushmail. Більше таких поштових сервісів можна знайти на сторінці.
Соціальні мережі
Для початку мінімізуйте своє перебування в популярних російських соціальних мережах - "Мій світ", "Однокласниках" та "ВКонтакте". Facebook хоч би не передає ваші дані російським спецслужбам. Принаймні таких випадків не зафіксовано.
Але цікаво, що в 2017 році 85% запитів від уряду США компанія все ж таки задовольнила:
Скріншоти з
Якщо ви дуже звикли до ВК, але не хочете опинитися на лаві підсудних, зверніть увагу на кілька речей:
- ваші збережені картинки;
- пости, коментарі та повідомлення, які пишете;
- пости, які лайкаєте;
- пости, якими ділитеся;
- користувачі, з якими дружите.
У всьому вищепереліченому краще уникати того, що можна вважати ображаючим або екстремістським. Завжди пам'ятайте, що поширенням є повідомлення протизаконної інформації хоча б одній людині. Юрист міжнародної правозахисної групи «Агора» Дамір Гайнутдінов стверджує, що згідно із законом ВРІ правоохоронним органам навіть чернетки ненаправлених повідомлень. Ще про те, як не сісти за репост, читайте
До речі, з деяких пір будь-хто, хто має ваш номер телефону, може за замовчуванням знайти вас у ВКонтакті, навіть якщо сама сторінка нічим не видає вашу реальну особу.
Заборонити знаходити вас за номером можна в налаштуваннях профілю (Налаштування -> Приватність -> Зв'язок зі мною). Але це, звісно, не врятує від спецслужб. Не використовуйте дзвінки та відеозв'язок у ВКонтакті: невідомо, чи справді мережа шифрує їх end-to-end, як стверджує адміністрація.
Безпека сайтів
Єдина гарна новина в тому, що Всі популярні сайти в Інтернеті вже мають https-версію або повністю перейшли на використання тільки https-версій. Отримувана та передана інформація на таких сайтах шифрується і не може бути прочитана третіми особами. Такі ресурси позначаються зеленим кольором та словом «захищено».
На цьому добрі новини закінчуються. Незважаючи на https-протокол, факт відвідування такого сайту та DNS-запити (інформація про те, до яких доменів ви зверталися) все одно залишаються на увазі у інтернет-провайдера.
Але ще гірша інша новина: половина сайтів, що залишилася, працює за звичайним http-протоколом, тобто без шифрування даних. Рішенням може стати VPN, який шифрує абсолютно всі отримані та передані дані так, що на стороні інтернет-провайдера і будь-кого, хто спробує впровадитися між вами та кінцевим сайтом, немає жодної інформації, що читається. Єдине, що буде видно — факт підключення до IP-адреси в інтернеті (тобто до VPN-сервера). І більше нічого.
Ми будемо щасливі, якщо життя дійсно раптом стане таким простим: увімкнув VPN і забув про витік чутливої інформації. Але це не так. Регулярно перевіряйте, чи не увійшов ваш улюблений ресурс до реєстру ВРІ, стежте за тим, як він взаємодіє з владою, перевіряйте активні підключення в налаштуваннях месенджерів та соціальних мереж та скидайте підозрілі (а потім обов'язково змінюйте паролі).
Глобально
При роботі з каналами зв'язку та передачі даних має сенс лише комплексний підхід до безпеки та конфіденційності. Слідкуйте за подіями інтернет-безпеки у нашому телеграм-каналі , на сайті та на інших ресурсах, присвячених подіям в інтернеті та рунеті зокрема.
А які заходи безпеки вживаєте ви?
Джерело: habr.com