不仅仅是VPN。 有关如何保护您自己和您的数据的备忘单

你好，哈布尔。

这就是我们，VPN 服务 HideMy.name。 我们目前正在临时开发 HideMyna.me 镜像。 为什么？ 20 年 2018 月 XNUMX 日 Roskomnadzor 添加了我们 到禁止资源列表 由于约什卡尔奥拉梅德韦杰夫斯基地区法院的裁决。 法院裁定，我们网站的访问者可以无限制地访问极端主义材料#withoutregistrationisms，并以某种方式在网站上找到了阿道夫·希特勒的《我的奋斗》一书。 显然，为了可靠性。

这个决定让我们非常惊讶，但我们继续在 hidemyna.me、hidemyname.org、.one、.biz 等网站上工作。与 Roskomnadzor 的旷日持久的争论并没有产生任何结果。 在我和我的律师对封锁和神奇的法院判决提出质疑的同时，我们正在与您分享维护互联网隐私的基本技巧以及有关此主题的新闻。

爱德华·斯诺登（可能）喜欢国家安全局

流行的俄罗斯服务不安全已不是什么秘密。 您的信件可能随时引起国内执法人员的注意。 我们告诉您在通过不同的沟通渠道进行沟通时需要记住什么。

SORM 和 ORI

有 很多不同 窃听手机的方法。 官方且合法 - SORM，一种确保业务调查活动功能的技术手段系统。 根据俄罗斯联邦法律，所有蜂窝运营商如果不想失去许可证，都必须在其 PBX 上安装此类系统。 SORM 有三种类型：第一种是 80 年代发明的，第二种是 2014 年代开始实施的，从 XNUMX 年开始他们一直试图将第三种强加给运营商。 据加拿大皇家银行报道，大多数操作员使用第二种，但在 70% 的情况下系统无法正常工作或根本无法工作。 但是，最好不要通过固定电话或手机常规通话讨论敏感话题。

SORM-2的操作方案（来源：mfisoft.ru）

根据 97-FZ 的规定，在俄罗斯运营的任何通讯工具、服务和网站都必须包含在登记册中 信息发布组织者。 经过 ”亚罗瓦亚定律“他们被要求将所有用户数据（包括语音通话录音和信件）存储六个月。 顺便说一下，ARI 还有 Habrahabr。

注册表的操作有详细描述 这里 以 Threema 为例，但主要结论是：现在，应俄罗斯当局的要求，有关您的任何信息都可能最终进入执法机构。 因此，为了保持机密性，首先要做的就是将呼叫和消息转移到即时通讯工具上，而这些即时通讯工具并不在 ARI 注册表中。 或者那些存在但拒绝将数据传输给当局的公司 - 例如 Threema 和 Telegram。

证书：仅在 ARI 注册表中并不能保证数据将被转移给当局。 你需要不断地关注新闻并观察当他们“来”找他时信使的反应。

语音通话和消息

我们的对话和消息可以通过端到端加密来保护免受第三方干扰，这就是为什么端到端的通讯工具被认为是最安全的。 但这并不完全正确：让我们看看流行的选择。

Telegram 支持 在他们的秘密聊天中进行端到端加密，并将有关您的通信的加密数据存储在云中，这些数据分散在具有“安全”管辖权的不同国家/地区。 但是之后 文章 在 Habré 上，您可能会开始怀疑来自 Durov 的 E2E Telegram Passport 的安全幻想。

当然，对于偏执狂来说，秘密聊天仍然是一个不错的选择。 服务器根本不参与加密：消息是点对点传输的，即直接在通信参与者之间传输。 为了更加安心，您可以使用计时器消息自毁功能。 但你不应该盲目依赖 Telegram。 为了使其更安全，您和您的收件人必须转到信使设置并至少执行两项操作：

• 登录应用程序时设置密码（隐私和安全 -> 密码);
• 启用两步验证（隐私和安全 -> 两步骤验证).

此后，除了短信中的代码之外，当从新设备登录时，应用程序还会要求输入只有您知道的密码。

目前，仅通过短信确认登录并不能以任何方式保护使用俄罗斯 SIM 卡的人。 通过截获的 SMS 消息入侵 Telegram 帐户的案例已为人所知 - 2016 年，攻击者 获得访问权限 几位反对派的信件，并于 2017 年 被黑了 Dozhd 记者米哈伊尔·鲁宾 (Mikhail Rubin) 的报道。

WhatsApp 目前它避免了 ORI 注册表，并且还使用端到端加密，但一切都不是那么乐观。 我们最近发布了 这个消息 马加丹居民因批评市长而受到刑事诉讼。 幸运的是，这个故事以平常的罚款结束。 但这证实了用户的担忧：在 WhatsApp 群聊中交流并不安全。

会发生什么？

• 一旦您写了一条消息，您的电话号码将立即可供所有群组成员使用。 而且通过号码就可以轻松确定你的身份。

怎么办？

• 解决方案可以是“左”SIM 卡或外国号码——最好是欧洲号码。

如果您使用以您的名义注册的俄罗斯卡，请避免在名为“辞职市长”之类的群组中发表讽刺评论：最好只留下私人信件和 WhatsApp 电话。

Viber 也未在 ORI 注册表中列出，但与俄罗斯当局保持联系（在空闲时间发送垃圾邮件）。 该信使是最早遵守新政府要求的信使之一：它存储俄罗斯联邦境内俄罗斯用户的登录信息和电话号码，但提供消息数据 拒绝 — 指端到端加密机制和公司政策。

Apple 也使用端到端，但在使用 iMessage 注册时，它会创建两个密钥对：私有密钥对和公共密钥对。 您从 Apple 设备的同一所有者处收到的消息会使用公钥进行加密传输给您。 只能使用接收者的私钥（存储在其设备上）对其进行解密。 您可以阅读有关 Apple 如何看待用户隐私以及如果收到政府请求将采取什么措施 在这里。 目前还没有该公司将俄罗斯用户的数据传输给俄罗斯当局的记录案例。

来源： https://www.apple.com/business/docs/iOS_Security_Guide.pdf

但 iMessage 有两个缺点：

• 您只能通过这些渠道给同一个 Apple 用户写信或打电话；
• 如果您的互联网连接出现问题，该消息将通过常规蜂窝信道传输，并成为很容易被拦截的简单短信。

为了避免 iMessage 变成 SMS，您可以在“设置”中禁用此功能。

电子前沿基金会的研究人员 宣称 没有百分百安全的通话和消息选项。 如果某些信使阻止当局获取您的私人数据，这并不意味着黑客（或可以使用其服务的国家）不能通过规避法律来做到这一点。 为了让用户相信没有中间人，Telegram 有一个很好的功能：呼叫时，两个接收者都可以确保他们在屏幕右上角看到相同的表情符号 - 这将确认不存在对连接的“侵入”。

如果您正在寻找更安全的通信方式，我们建议您超越秘密聊天、密码和两步/双因素身份验证，转向不太流行的利基应用程序，例如 吐露 или 信号.

我每天都使用信号。 #notesforFBI（剧透：他们已经知道了）

电子邮件

允许使用其电子邮件客户端的热门公司（在俄罗斯，这些公司是 Yandex、Mail.Ru 和 Rambler）已包含在 ARI 注册表中，这意味着它们不是很安全。 是的，Mail.Ru 集团 呼吁停止 模因刑事案件和对被定罪者的特赦，但可以根据要求向当局提供有关您的数据的信息。

即使您使用 Gmail 或 Outlook 等西方电子邮件客户端，启用了双因素身份验证，并且知道您的电子邮件是使用安全 SSL/TLS 协议加密的，您也无法确定收件人的电子邮件是否受到同等保护。

保护选项：

• 发送敏感信息时，请使用 Pretty Good Privacy (PGP）。 该程序有助于将信件中的数据转换为对除发件人和收件人之外的所有人来说毫无意义的字符集；
• 发送重要信息时，请时刻注意收件人域名，不要写入可疑地址；
• 提前询问收件人是否已通过俄罗斯邮政服务转发或领取邮件。

对于 ORI 注册机构的国内公司来说，原则上，用户端不加密不会有帮助。 信息不会被拦截，而是由端点存储和传输 - 类似的服务。 唯一的解决方案是用更安全的类似产品（例如 ProtonMail、Tutanota 或 Hushmail）取代它们。 更多此类电子邮件服务可以在以下位置找到： 这 页面。

社会网络

首先，尽量减少您在俄罗斯流行社交网络“我的世界”、“Odnoklassniki”和“VKontakte”上的出现。 至少 Facebook 不会将你的数据交给俄罗斯情报机构。 至少，目前还没有此类案例的记录。

但有趣的是，2017年，该公司仍然满足了美国政府85%的要求：

截图来自 Facebook 透明度报告

如果您太习惯 VK，但又不想最终陷入困境，请注意以下几点：

• 您保存的图片；
• 您写的帖子、评论和消息；
• 您喜欢的帖子；
• 您分享的帖子；
• 与您成为朋友的用户。

在上述所有方面，最好避免任何可能被视为冒犯或极端主义的内容。 永远记住，“共享”意味着向至少一个人传达“非法”信息。 国际人权组织“Agora”达米尔·盖努迪诺夫 (Damir Gainutdinov) 的律师声称，根据法律，ORI 有义务存储和传输 甚至是未发送给执法机构的消息草稿。 详细了解如何不因转发而被捕 在这里。

顺便说一句，一段时间以来，任何知道您电话号码的人都可以默认在 VKontakte 上找到您，即使该页面本身并未透露您的真实身份。

您可以阻止人们通过您的个人资料设置中的号码找到您（设置 -> 隐私 -> 联系我）。 但这当然不会让您免于享受特殊服务。 不要在 VKontakte 上使用通话和视频通信：尚不清楚网络是否真的像政府声称的那样对它们进行端到端加密。

网站安全

唯一的好消息是 超过一半 互联网上所有流行的网站都已经有 https 版本，或者已经完全切换为仅使用 https 版本。 在此类网站上接收和传输的信息均经过加密，第三方无法读取。 这些资源被标记为绿色并带有“受保护”字样。

这就是好消息结束的地方。 尽管使用 https 协议，但访问此类网站和 DNS 请求（有关您访问的域的信息）的事实仍然对互联网提供商可见。

但另一条消息更糟糕：剩下的一半网站使用常规 http 协议运行，即没有数据加密。 解决方案可能是 VPN，它对所有接收和传输的数据进行绝对加密，以便互联网提供商和任何试图渗透到您和最终站点之间的人都无法读取任何信息。 唯一可见的是连接到 Internet 上的某个 IP 地址（即 VPN 服务器）的事实。 仅此而已。

如果生活真的突然变得如此简单，我们会很高兴：打开 VPN，忘记敏感信息的泄露。 但事实并非如此。 定期检查您最喜欢的资源是否包含在 ARI 注册表中，监控其与当局的交互方式，检查即时消息和社交网络设置中的活动连接并重置可疑的连接（然后确保更改密码）。

全球

在使用通信渠道和数据传输时，只有全面的安全和隐私方法才有意义。 在我们的 Telegram 频道中关注互联网安全事件 @hidemyname_ru，在网站上 俄罗斯联邦 以及专门用于互联网尤其是 RuNet 上的活动的其他资源。

您正在采取哪些安全措施？

来源： habr.com