你好,哈布尔。
这就是我们,VPN 服务
这个决定让我们非常惊讶,但我们继续在 hidemyna.me、hidemyname.org、.one、.biz 等网站上工作。与 Roskomnadzor 的旷日持久的争论并没有产生任何结果。 在我和我的律师对封锁和神奇的法院判决提出质疑的同时,我们正在与您分享维护互联网隐私的基本技巧以及有关此主题的新闻。
爱德华·斯诺登(可能)喜欢国家安全局
流行的俄罗斯服务不安全已不是什么秘密。 您的信件可能随时引起国内执法人员的注意。 我们告诉您在通过不同的沟通渠道进行沟通时需要记住什么。
SORM 和 ORI
有
SORM-2的操作方案(来源:mfisoft.ru)
根据 97-FZ 的规定,在俄罗斯运营的任何通讯工具、服务和网站都必须包含在登记册中
注册表的操作有详细描述
证书:仅在 ARI 注册表中并不能保证数据将被转移给当局。 你需要不断地关注新闻并观察当他们“来”找他时信使的反应。
语音通话和消息
我们的对话和消息可以通过端到端加密来保护免受第三方干扰,这就是为什么端到端的通讯工具被认为是最安全的。 但这并不完全正确:让我们看看流行的选择。
Telegram
当然,对于偏执狂来说,秘密聊天仍然是一个不错的选择。 服务器根本不参与加密:消息是点对点传输的,即直接在通信参与者之间传输。 为了更加安心,您可以使用计时器消息自毁功能。 但你不应该盲目依赖 Telegram。 为了使其更安全,您和您的收件人必须转到信使设置并至少执行两项操作:
- 登录应用程序时设置密码(隐私和安全 -> 密码);
- 启用两步验证(隐私和安全 -> 两步骤验证).
此后,除了短信中的代码之外,当从新设备登录时,应用程序还会要求输入只有您知道的密码。
目前,仅通过短信确认登录并不能以任何方式保护使用俄罗斯 SIM 卡的人。 通过截获的 SMS 消息入侵 Telegram 帐户的案例已为人所知 - 2016 年,攻击者
WhatsApp 目前它避免了 ORI 注册表,并且还使用端到端加密,但一切都不是那么乐观。 我们最近发布了
会发生什么?
- 一旦您写了一条消息,您的电话号码将立即可供所有群组成员使用。 而且通过号码就可以轻松确定你的身份。
怎么办?
- 解决方案可以是“左”SIM 卡或外国号码——最好是欧洲号码。
如果您使用以您的名义注册的俄罗斯卡,请避免在名为“辞职市长”之类的群组中发表讽刺评论:最好只留下私人信件和 WhatsApp 电话。
Viber 也未在 ORI 注册表中列出,但与俄罗斯当局保持联系(在空闲时间发送垃圾邮件)。 该信使是最早遵守新政府要求的信使之一:它存储俄罗斯联邦境内俄罗斯用户的登录信息和电话号码,但提供消息数据
Apple 也使用端到端,但在使用 iMessage 注册时,它会创建两个密钥对:私有密钥对和公共密钥对。 您从 Apple 设备的同一所有者处收到的消息会使用公钥进行加密传输给您。 只能使用接收者的私钥(存储在其设备上)对其进行解密。 您可以阅读有关 Apple 如何看待用户隐私以及如果收到政府请求将采取什么措施
来源:
- 您只能通过这些渠道给同一个 Apple 用户写信或打电话;
- 如果您的互联网连接出现问题,该消息将通过常规蜂窝信道传输,并成为很容易被拦截的简单短信。
为了避免 iMessage 变成 SMS,您可以在“设置”中禁用此功能。
电子前沿基金会的研究人员
如果您正在寻找更安全的通信方式,我们建议您超越秘密聊天、密码和两步/双因素身份验证,转向不太流行的利基应用程序,例如
我每天都使用信号。 #notesforFBI(剧透:他们已经知道了)
电子邮件
允许使用其电子邮件客户端的热门公司(在俄罗斯,这些公司是 Yandex、Mail.Ru 和 Rambler)已包含在 ARI 注册表中,这意味着它们不是很安全。 是的,Mail.Ru 集团
即使您使用 Gmail 或 Outlook 等西方电子邮件客户端,启用了双因素身份验证,并且知道您的电子邮件是使用安全 SSL/TLS 协议加密的,您也无法确定收件人的电子邮件是否受到同等保护。
保护选项:
- 发送敏感信息时,请使用 Pretty Good Privacy (
PGP )。 该程序有助于将信件中的数据转换为对除发件人和收件人之外的所有人来说毫无意义的字符集; - 发送重要信息时,请时刻注意收件人域名,不要写入可疑地址;
- 提前询问收件人是否已通过俄罗斯邮政服务转发或领取邮件。
对于 ORI 注册机构的国内公司来说,原则上,用户端不加密不会有帮助。 信息不会被拦截,而是由端点存储和传输 - 类似的服务。 唯一的解决方案是用更安全的类似产品(例如 ProtonMail、Tutanota 或 Hushmail)取代它们。 更多此类电子邮件服务可以在以下位置找到:
社会网络
首先,尽量减少您在俄罗斯流行社交网络“我的世界”、“Odnoklassniki”和“VKontakte”上的出现。 至少 Facebook 不会将你的数据交给俄罗斯情报机构。 至少,目前还没有此类案例的记录。
但有趣的是,2017年,该公司仍然满足了美国政府85%的要求:
如果您太习惯 VK,但又不想最终陷入困境,请注意以下几点:
- 您保存的图片;
- 您写的帖子、评论和消息;
- 您喜欢的帖子;
- 您分享的帖子;
- 与您成为朋友的用户。
在上述所有方面,最好避免任何可能被视为冒犯或极端主义的内容。 永远记住,“共享”意味着向至少一个人传达“非法”信息。 国际人权组织“Agora”达米尔·盖努迪诺夫 (Damir Gainutdinov) 的律师声称,根据法律,ORI
顺便说一句,一段时间以来,任何知道您电话号码的人都可以默认在 VKontakte 上找到您,即使该页面本身并未透露您的真实身份。
您可以阻止人们通过您的个人资料设置中的号码找到您(设置 -> 隐私 -> 联系我)。 但这当然不会让您免于享受特殊服务。 不要在 VKontakte 上使用通话和视频通信:尚不清楚网络是否真的像政府声称的那样对它们进行端到端加密。
网站安全
唯一的好消息是
这就是好消息结束的地方。 尽管使用 https 协议,但访问此类网站和 DNS 请求(有关您访问的域的信息)的事实仍然对互联网提供商可见。
但另一条消息更糟糕:剩下的一半网站使用常规 http 协议运行,即没有数据加密。 解决方案可能是 VPN,它对所有接收和传输的数据进行绝对加密,以便互联网提供商和任何试图渗透到您和最终站点之间的人都无法读取任何信息。 唯一可见的是连接到 Internet 上的某个 IP 地址(即 VPN 服务器)的事实。 仅此而已。
如果生活真的突然变得如此简单,我们会很高兴:打开 VPN,忘记敏感信息的泄露。 但事实并非如此。 定期检查您最喜欢的资源是否包含在 ARI 注册表中,监控其与当局的交互方式,检查即时消息和社交网络设置中的活动连接并重置可疑的连接(然后确保更改密码)。
全球
在使用通信渠道和数据传输时,只有全面的安全和隐私方法才有意义。 在我们的 Telegram 频道中关注互联网安全事件
您正在采取哪些安全措施?
来源: habr.com