主持人 > 博客 > 管理 > 不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單

嘿哈布爾。

這就是我們,VPN 服務 隱藏我的名字。 我們目前正在臨時開發 HideMyna.me 鏡像。 為什麼? 20 年 2018 月 XNUMX 日 Roskomnadzor 加入了我們 到禁止資源列表 由於約什卡爾奧拉梅德韋傑夫斯基地區法院的裁決。 法院裁定,我們網站的訪客可以無限制地訪問極端主義材料#withoutregistrationisms,並以某種方式在網站上找到了阿道夫·希特勒的《我的奮鬥》一書。 顯然,為了可靠性。

這個決定讓我們非常驚訝,但我們繼續在 hidemyna.me、hidemyname.org、.one、.biz 等網站上工作。與 Roskomnadzor 的曠日持久的爭論並沒有產生任何結果。 在我和我的律師對封鎖和神奇的法院判決提出質疑的同時,我們正在與您分享維護網路隱私的基本技巧以及有關此主題的新聞。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
愛德華·斯諾登(可能)喜歡國家安全局

流行的俄羅斯服務不安全已不是秘密。 您的信件可能隨時引起國內執法人員的注意。 我們告訴您在透過不同的溝通管道進行溝通時需要記住什麼。

SORM 和 ORI

很多不同 竊聽手機的方法。 官方且合法 - SORM,確保業務調查活動功能的技術手段系統。 根據俄羅斯聯邦法律,所有蜂窩運營商如果不想失去許可證,都必須在其 PBX 上安裝此類系統。 SORM 有三種類型:第一種是 80 年代發明的,第二種是 2014 年代開始實施的,從 XNUMX 年開始他們一直試圖將第三種強加給營運商。 據加拿大皇家銀行報道,大多數操作員使用第二種,但在 70% 的情況下系統無法正常工作或根本無法工作。 但是,最好不要透過固定電話或手機常規通話討論敏感話題。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
SORM-2的操作方案(資料來源:mfisoft.ru)

根據 97-FZ 的規定,在俄羅斯經營的任何通訊工具、服務和網站都必須包含在登記冊中 資訊發布組織者。 經過 ”亞羅瓦亞定律「他們被要求將所有用戶資料(包括語音通話錄音和信件)儲存六個月。 順便說一下,ARI 還有 Habrahabr。

註冊表的操作有詳細描述 這裡 以 Threema 為例,但主要結論是:現在,應俄羅斯當局的要求,有關您的任何資訊都可能最終進入執法機構。 因此,為了保持機密性,首先要做的就是將呼叫和訊息轉移到即時通訊工具上,而這些即時通訊工具並不在 ARI 註冊表中。 或那些存在但拒絕將資料傳輸給當局的公司 - 例如 Threema 和 Telegram。

證書:僅在 ARI 註冊表中並不能保證資料將轉移給當局。 你需要不斷地關注新聞並觀察當他們「來」找他時信使的反應。

語音通話和訊息

我們的對話和訊息可以透過端對端加密來保護免受第三方乾擾,這就是為什麼端到端的通訊工具被認為是最安全的。 但這並不完全正確:讓我們看看流行的選擇。

Telegram 支持 在他們的秘密聊天中進行端對端加密,並將有關您的通訊的加密資料儲存在雲端中,這些資料分散在具有「安全性」管轄權的不同國家/地區。 但是之後 文章 在 Habré 上,您可能會開始懷疑來自 Durov 的 E2E Telegram Passport 的安全幻想。

當然,對於偏執狂來說,秘密聊天仍然是一個不錯的選擇。 伺服器完全不參與加密:訊息是點對點傳輸的,即直接在通訊參與者之間傳輸。 為了更安心,您可以使用計時器訊息自毀功能。 但你不應該盲目依賴 Telegram。 為了使其更安全,您和您的收件人必須轉到信使設定並執行至少兩項操作:

  • 登入應用程式時設定密碼(隱私和安全 -> 密碼);
  • 啟用兩步驟驗證(隱私和安全 -> 兩步驟驗證).

此後,除了簡訊中的代碼之外,當從新裝置登入時,應用程式還會要求輸入只有您知道的密碼。

目前,僅透過簡訊確認登入並不能以任何方式保護使用俄羅斯 SIM 卡的人。 透過截獲的 SMS 訊息入侵 Telegram 帳戶的案例已為人所知 - 2016 年,攻擊者 獲得存取權限 幾位反對派的信件,並於 2017 年 被駭客攻擊 Dozhd 記者米哈伊爾·魯賓 (Mikhail Rubin) 的報導。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
Whatsapp 目前它避免了 ORI 註冊表,並且還使用端對端加密,但一切都不是那麼樂觀。 我們最近發布了 新聞 馬加丹居民因批評市長而受到刑事訴訟。 幸運的是,這個故事以平常的罰款結束。 但這證實了用戶的擔憂:在 WhatsApp 群組中交流並不安全。

會發生什麼事?

  • 一旦您寫了一條訊息,您的電話號碼將立即可供所有群組成員使用。 而且透過號碼就可以輕鬆確定你的身分。

怎麼辦呢?

  • 解決方案可以是“左”SIM 卡或外國號碼——最好是歐洲號碼。

如果您使用以您的名義註冊的俄羅斯卡,請避免在名為「辭職市長」的群組中發表諷刺評論:最好只留下私人信件和 WhatsApp 電話。

Viber 也未在 ORI 註冊表中列出,但與俄羅斯當局保持聯繫(在空閒時間發送垃圾郵件)。 該信使是最早遵守新政府要求的信使之一:它存儲俄羅斯聯邦境內俄羅斯用戶的登入資訊和電話號碼,但提供訊息數據 拒絕 — 指端對端加密機制與公司政策。

蘋果 也使用端到端,但在使用 iMessage 註冊時,它會建立兩個金鑰對:私有金鑰對和公用金鑰對。 您從 Apple 裝置的相同擁有者收到的訊息會使用公鑰進行加密傳輸給您。 只能使用接收者的私鑰(儲存在其裝置上)對其進行解密。 您可以閱讀有關 Apple 如何看待用戶隱私以及如果收到政府請求將採取什麼措施 在這裡。 目前還沒有該公司將俄羅斯用戶的資料傳輸給俄羅斯當局的記錄案例。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
來源: https://www.apple.com/business/docs/iOS_Security_Guide.pdf


但 iMessage 有兩個缺點:

  • 您只能透過這些管道寫信或打電話給同一個 Apple 用戶;
  • 如果您的網路連線出現問題,該訊息將透過常規蜂窩通道傳輸,並成為很容易被攔截的簡單簡訊。

為了避免 iMessage 變成 SMS,您可以在「設定」中停用此功能。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
電子前沿基金會的研究人員 宣稱 沒有百分百安全的通話和訊息選項。 如果某些信使阻止當局獲取您的私人數據,這並不意味著駭客(或可以使用其服務的國家)不能透過規避法律來做到這一點。 為了讓使用者相信沒有中間人,Telegram 有一個很好的功能:呼叫時,兩個接收者都可以確保他們在螢幕右上角看到相同的表情符號 - 這將確認不存在對連接的「侵入」。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單

如果您正在尋找更安全的通訊方式,我們建議您超越秘密聊天、密碼和兩步/雙因素身份驗證,轉向不太流行的利基應用程序,例如 吐露Signal.

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單
我每天都使用訊號。 #notesforFBI(劇透:他們已經知道了)

電子郵件

允許使用其電子郵件用戶端的熱門公司(在俄羅斯,這些公司是 Yandex、Mail.Ru 和 Rambler)已包含在 ARI 註冊表中,這意味著它們不是很安全。 是的,Mail.Ru 集團 呼籲停止 迷因刑事案件和對被定罪者的特赦,但可以根據要求向當局提供有關您的數據的資訊。

即使您使用Gmail 或Outlook 等西方電子郵件用戶端,啟用了雙重認證,並且知道您的電子郵件是使用安全的SSL/TLS 協定加密的,您也無法確定收件者的電子郵件是否受到同樣的保護。

保護選項:

  • 發送敏感訊息時,請使用 Pretty Good Privacy (PGP)。 該程式有助於將信件中的資料轉換為對除寄件者和收件人之外的所有人來說毫無意義的字元集;
  • 發送重要訊息時,請隨時注意收件人域名,不要寫入可疑地址;
  • 提前與收件人核實他或她是否已透過俄羅斯郵政服務設定轉發或領取郵件。

對於 ORI 註冊機構的國內公司來說,原則上,用戶端不加密不會有幫助。 訊息不會被攔截,而是由端點儲存和傳輸 - 類似的服務。 唯一的解決方案是用更安全的類似產品(例如 ProtonMail、Tutanota 或 Hushmail)取代它們。 更多此類電子郵件服務可以在以下位置找到: 頁。

社交網絡

首先,盡量減少您在俄羅斯流行社交網路「我的世界」、「Odnoklassniki」和「VKontakte」上的出現。 至少 Facebook 不會將你的資料交給俄羅斯情報機構。 至少,目前還沒有此類案例的記錄。

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單

但有趣的是,2017年,該公司仍滿足了美國政府85%的要求:

不僅僅是VPN。 有關如何保護您自己和您的資料的備忘單截圖來自 Facebook 透明度報告

如果您太習慣 VK,但又不想最終陷入困境,請注意以下幾點:

  • 您保存的圖片;
  • 您寫的貼文、留言和訊息;
  • 您喜歡的貼文;
  • 您分享的貼文;
  • 與您成為朋友的用戶。

在上述所有方面,最好避免任何可能被視為冒犯或極端主義的內容。 永遠記住,「共享」意味著向至少一個人傳達「非法」訊息。 國際人權組織「Agora」達米爾·蓋努迪諾夫 (Damir Gainutdinov) 的律師聲稱,根據法律,ORI 有義務儲存和傳輸 甚至是未發送給執法機構的訊息草稿。 詳細了解如何不因轉發而被捕 在這裡。

順便說一句,一段時間以來,任何知道您電話號碼的人都可以預設在 VKontakte 上找到您,即使該頁面本身並沒有透露您的真實身份。

您可以阻止人們透過您的個人資料設定中的號碼找到您(設定 -> 隱私 -> 聯絡我)。 但這當然不會讓您免於享有特殊服務。 不要在 VKontakte 上使用通話和視訊通訊:目前尚不清楚網路是否真的像政府聲稱的那樣對它們進行端對端加密。

網站安全

唯一的好消息是 超過一半 網路上所有受歡迎的網站都已經有 https 版本,或者已經完全切換到只使用 https 版本。 在此類網站上接收和傳輸的資訊均經過加密,第三方無法讀取。 這些資源被標記為綠色並帶有“受保護”字樣。

這就是好消息結束的地方。 儘管使用 https 協議,但訪問此類網站和 DNS 請求(有關您訪問的網域的資訊)的事實仍然對互聯網提供者可見。

但另一則訊息更糟:剩下的一半網站使用常規 http 協議運行,即沒有資料加密。 解決方案可能是 VPN,它對所有接收和傳輸的資料進行絕對加密,以便互聯網提供商和任何試圖滲透到您和最終站點之間的人都無法讀取任何資訊。 唯一可見的是連接到 Internet 上的某個 IP 位址(即 VPN 伺服器)的事實。 僅此而已。

如果生活真的突然變得如此簡單,我們會很高興:打開 VPN,忘記敏感資訊的洩漏。 但事實並非如此。 定期檢查您最喜歡的資源是否包含在 ARI 註冊表中,監控其與當局的互動方式,檢查即時訊息和社交網路設定中的活動連線並重設可疑的連線(然後確保變更密碼)。

全球範圍內

在使用通訊管道和資料傳輸時,只有全面的安全和隱私方法才有意義。 在我們的 Telegram 頻道中關注網路安全事件 @hidemyname_ru, 在線的 俄羅斯聯邦 以及專門用於互聯網尤其是 RuNet 上的活動的其他資源。

您正在採取哪些安全措施?

來源: www.habr.com

添加評論