Hola Habr
Somos nosotros, el servicio
HideMy.name VPN. Ahora estamos trabajando temporalmente en el espejo HideMyna.me. Por qué El 20 de julio de 2018, Roskomnadzor nos agregó
a la lista de recursos prohibidos debido a la decisión del Tribunal de Distrito de Medvedevsky en Yoshkar-Ola. El tribunal dictaminó que los visitantes de nuestro sitio tienen acceso ilimitado a materiales extremistas # sin registrarse, y de alguna manera encontraron en él el libro "Mein Kampf" de Adolf Hitler. Aparentemente, por confiabilidad.
Esta decisión nos sorprendió mucho, pero seguimos trabajando para hidemyna.me, hidemyname.org, .one, .biz y otros. La larga discusión con Roskomnadzor no dio ningún resultado. Mientras los abogados y yo disputamos el bloqueo y la decisión mágica del tribunal, compartimos con usted consejos básicos para mantener la confidencialidad en Internet y noticias sobre este tema.
Edward Snowden ama a la Agencia de Seguridad Nacional (probablemente)No es ningún secreto que los servicios rusos populares no son seguros. Su correspondencia en cualquier momento puede estar en el campo de visión de los agentes del orden nacionales. Te contamos lo que debes recordar al comunicarte a través de diferentes canales de comunicación.
SORM y ARI
Hay
muchas formas
diferentes de escuchar su teléfono. Oficial y legal - SORM, un sistema de medios técnicos para garantizar las funciones de las medidas de búsqueda operativa. De acuerdo con la ley de la Federación de Rusia, todos los operadores móviles deben instalar dicho sistema en sus intercambios si no desean perder su licencia. Hay tres tipos de SORM: el primero se inventó en los años 80, el segundo se introdujo en el cero y el tercero ha estado tratando de imponerse a los operadores desde 2014.
Según RBC , la mayoría de los operadores usan el segundo tipo, pero en el 70% de los casos el sistema no funciona correctamente o no funciona en absoluto. Sin embargo, en un teléfono fijo y a través de una llamada ordinaria desde un teléfono móvil, es mejor no hablar de temas delicados.
Esquema de trabajo SORM-2 (Fuente: mfisoft.ru)Según 97-FZ, cualquier mensajería instantánea, servicios y sitios que operen en el territorio de Rusia deben registrarse en el registro de los
Organizadores de la difusión de información . De acuerdo con la "
Ley de Primavera ", están obligados a almacenar todos los datos del usuario, incluidas las grabaciones de llamadas de voz y la correspondencia, durante seis meses. En ORI, por cierto, también está Habrahabr.
El trabajo del registro se describe en detalle
aquí en el ejemplo de Threema, pero la conclusión principal es la siguiente: ahora, a pedido de las autoridades rusas, cualquier información sobre usted puede estar en la aplicación de la ley. Por lo tanto, lo primero que debe hacer para mantener la confidencialidad es transferir llamadas y mensajes a mensajeros instantáneos que no están en el registro ARI. O aquellos que están allí, pero se niegan a transferir datos a las autoridades, como Threema y Telegram.
Referencia : El solo hecho de estar en el registro ARI no garantiza que los datos serán transferidos a las autoridades. Es necesario monitorear constantemente las noticias y observar la reacción del mensajero cuando "viene" por ella.Llamadas de voz y mensajes
Nuestras conversaciones y mensajes de interferencia de terceros pueden proteger el cifrado de extremo a extremo, por lo tanto, los mensajeros con E2E se consideran los más seguros. Pero esto no es del todo cierto: considere las opciones populares.
Telegram admite el cifrado de extremo a extremo en sus Chats secretos y almacena datos cifrados sobre su correspondencia en la nube, que se encuentra dispersa en diferentes países con una jurisdicción "segura". Pero después de un
artículo sobre Habré sobre la ilusión de la seguridad del pasaporte Telegram en E2E de Durov, uno puede comenzar a dudar.
Por supuesto, chatear en Chats secretos sigue siendo una buena opción para las personas paranoicas. En su encriptación, el servidor no está involucrado en absoluto: los mensajes se transmiten de igual a igual, es decir, directamente entre los participantes en la correspondencia. Para mantener la calma, puede usar la función de autodestrucción de los mensajes del temporizador. Pero no confíes ciegamente en Telegram. Para hacerlo un poco más seguro, usted y su destinatario deben ingresar a la configuración del messenger y hacer al menos dos cosas:
- Establecer una contraseña al ingresar a la aplicación ( Privacidad y Seguridad -> Código de acceso );
- Habilite la autenticación en dos pasos ( Privacidad y seguridad -> Verificación en dos pasos ).
Después de eso, además del código SMS, al ingresar desde un nuevo dispositivo, la aplicación le pedirá una contraseña que solo usted conoce.
Ahora, la confirmación de entrada solo por SMS no protege a la persona que usa la tarjeta SIM rusa. Ya se conocen los casos de piratería de cuentas de Telegram a través de un mensaje SMS interceptado: en 2016, los atacantes
obtuvieron acceso a la correspondencia de varios miembros de la oposición, y en 2017, la cuenta del periodista de Dozhd Mikhail Rubin
fue pirateada .
WhatsApp actualmente evita el registro ARI y también usa cifrado de extremo a extremo, pero con él no todo está tan despejado. Recientemente, publicamos
noticias sobre los residentes de Magadan, donde abrimos un caso penal por criticar al alcalde de la ciudad. Esta historia, afortunadamente, terminó en la multa habitual. Pero confirmó las preocupaciones de los usuarios: no es seguro comunicarse en los chats grupales de WhatsApp.
Que va a pasar- Tan pronto como escriba un mensaje, su número de teléfono estará inmediatamente disponible para todos los miembros del grupo. Y por número, su identidad es fácil de calcular.
Que hacer- La solución puede ser una tarjeta SIM "izquierda" o un número extranjero, preferiblemente europeo.
Si usa una tarjeta rusa registrada a su nombre, evite los comentarios agudos en grupos con un nombre como "Meru - resignación": para WhatsApp es mejor dejar solo correspondencia personal y llamadas.
Viber tampoco figura en el registro ARI, pero mantiene comunicación con las autoridades rusas (en su tiempo libre debido al envío de spam). Este mensajero fue uno de los primeros en cumplir con los nuevos requisitos del gobierno: almacena los inicios de sesión y los números de teléfono de los usuarios rusos en la Federación de Rusia, pero se
niega a proporcionar datos de mensajes, se refiere a la mecánica de cifrado de extremo a extremo y a la política corporativa.
Apple también usa de extremo a extremo, pero cuando se registra con iMessage, crea dos pares de claves: privadas y públicas. El mensaje que recibe del mismo propietario del dispositivo Apple se le transmite con cifrado, en el que se utiliza la clave pública. Solo se puede descifrar con la clave privada del destinatario, que se almacena en su dispositivo. Sobre cómo Apple se relaciona con la privacidad del usuario y qué hará si recibe una solicitud del gobierno, puede leer
aquí. No hubo casos registrados cuando la compañía transfirió datos de usuarios rusos a las autoridades rusas.
Fuente: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Pero iMessage tiene dos inconvenientes:
- Puede escribir o llamar a través de estos canales solo al mismo propietario de Apple;
- Si tiene problemas con su conexión a Internet, el mensaje pasará por un canal celular normal y se convertirá en un simple SMS que puede ser interceptado fácilmente.
Para evitar convertir iMessage en SMS, puede deshabilitar esta función en la configuración.
Los investigadores de la Electronic Frontier Foundation
afirman que no hay una opción cien por ciento segura para llamadas y mensajes. Si algunos mensajeros no permiten que las autoridades reciban sus datos privados, esto no significa que los piratas informáticos (o el estado que puede utilizar sus servicios) no puedan hacer esto sin pasar por las leyes. Para dar al usuario la confianza de que no hay un hombre en el medio, Telegram tiene un buen truco: al hacer una llamada, ambos destinatarios pueden asegurarse de que ven el mismo emoji en la esquina superior derecha de la pantalla; esto confirmará la ausencia de " intrusión en el compuesto.
Si necesita una forma de comunicación más confiable, le recomendamos no solo usar chats secretos, contraseñas y autenticación de dos pasos / dos factores, sino también buscar aplicaciones de nicho menos populares como
Confide o
Signal .
Yo uso Signal todos los días. # nota para el FBI (Spoiler: ya lo saben)Correo electrónico
Las compañías populares que brindan la oportunidad de usar sus clientes de correo electrónico (en Rusia, estas son Yandex, Mail.Ru y Rambler) ya están incluidas en el registro ORI, lo que significa que no son demasiado seguras. Sí, Mail.Ru Group
pide que se detengan los casos penales por memes y la amnistía para los condenados, pero puede proporcionar información sobre sus datos a las autoridades que lo soliciten.
Incluso si usa clientes de correo occidentales como Gmail o Outlook, ha habilitado la autenticación de dos factores y sabe que su mensaje está encriptado usando el protocolo confiable SSL / TLS, no puede estar seguro de que el mensaje de su destinatario también esté protegido.
Opciones de protección:- Al enviar información confidencial, encripte correos electrónicos usando Pretty Good Privacy ( PGP ). Este programa ayuda a convertir los datos de una carta en un conjunto de caracteres sin sentido para todos, excepto el remitente y el destinatario;
- Cuando envíe información importante, siempre preste atención al dominio del destinatario y no escriba a una dirección sospechosa;
- Verifique con el destinatario con anticipación si ha configurado el reenvío o la recolección de correo a través del servicio postal ruso.
En el caso de las empresas nacionales del registro, en principio no será útil el cifrado por parte del usuario. La información no se intercepta, sino que se almacena y transmite por puntos finales, servicios similares. La solución solo puede ser reemplazarlos con contrapartes más seguras como ProtonMail, Tutanota o Hushmail. Puede encontrar más de estos servicios de correo electrónico en
esta página.
Redes sociales
Para comenzar, minimice su estadía en las populares redes sociales rusas: "My World", "Classmates" y "VKontakte". Facebook al menos no transfiere sus datos a los servicios especiales rusos. Al menos, tales casos no han sido registrados.
Pero es interesante que en 2017, la compañía, sin embargo, satisfizo el 85% de las solicitudes del gobierno de los EE. UU .:
Capturas de pantalla del Informe de transparencia de FacebookSi está demasiado acostumbrado a VK, pero no quiere estar en el muelle, preste atención a varias cosas:
- tus fotos guardadas;
- publicaciones, comentarios y publicaciones que escribe;
- publicaciones que te gustan;
- Compartir publicaciones
- Amigos con los que eres amigo.
En todo lo anterior, es mejor evitar lo que puede considerarse ofensivo o extremista. Recuerde siempre que "difusión" es la comunicación de información "ilegal" a al menos una persona.
Damir Gainutdinov, abogado del grupo internacional de derechos humanos Agora, afirma que, según la ley, los ARI deben almacenar y transmitir a las fuerzas del orden público incluso borradores de mensajes no enviados . Lea más sobre cómo no sentarse para volver a publicar, lea
aquí.
Por cierto, desde hace algún tiempo cualquiera que tenga su número de teléfono puede encontrarlo por defecto en VKontakte, incluso si la página en sí no revela su identidad real.
Puedes prohibir encontrarte por número en la configuración del perfil (Configuración -> Privacidad -> Contáctame) . Pero esto, por supuesto, no salvará de servicios especiales. No utilice llamadas y comunicaciones de video en VKontakte: no se sabe si la red realmente encripta su extremo a extremo, como afirma la administración.
Seguridad del sitio web
La única buena noticia es que
más de la mitad de todos los sitios populares en Internet ya tienen una versión https o han cambiado completamente a usar solo versiones https. La información recibida y transmitida en dichos sitios está encriptada y no puede ser leída por terceros. Dichos recursos están marcados en verde y la palabra "protegido".
La buena noticia termina aquí. A pesar del protocolo https, el hecho de visitar dicho sitio y las consultas de DNS (información sobre los dominios a los que accedió) aún se mantienen al frente del proveedor de Internet.
Pero la otra noticia es aún peor: la mitad restante de los sitios funciona utilizando el protocolo http habitual, es decir, sin cifrado de datos. La solución puede ser una VPN, que cifra absolutamente todos los datos recibidos y transmitidos para que, por parte del proveedor de Internet y cualquier persona que intente infiltrarse entre usted y el sitio final, no haya información legible. Lo único que se verá es el hecho de conectarse a una determinada dirección IP en Internet (es decir, a un servidor VPN). Y nada mas.
Seremos felices si la vida de repente se vuelve tan simple: encendimos la VPN y nos olvidamos de la filtración de información confidencial. Pero esto no es así. Compruebe regularmente si su recurso favorito está incluido en el registro ARI, observe cómo interactúa con las autoridades, verifique las conexiones activas en la configuración de mensajería instantánea y redes sociales y restablezca las sospechosas (y luego asegúrese de cambiar las contraseñas).
Globalmente
Cuando se trabaja con canales de comunicación y transmisión de datos, solo tiene sentido un enfoque integrado de seguridad y privacidad. Siga los eventos de seguridad de Internet en nuestro canal de telegramas
@hidemyname_ru , en el sitio web de
Roskomsvoboda y en otros recursos dedicados a eventos en Internet y en particular Runet.
¿Qué medidas de seguridad estás tomando?