Geekly articles weekly

ليس VPN واحد. الغش ورقة حول كيفية حماية نفسك وبياناتك

مرحبا يا هبر.

هذه هي خدمة HideMy.name VPN الخاصة بنا. الآن نحن نعمل مؤقتًا على مرآة HideMyna.me. لماذا؟ في 20 يوليو 2018 ، أضافنا Roskomnadzor إلى قائمة الموارد المحظورة بسبب قرار محكمة منطقة ميدفيديفسكي في يوشكار-أولا. قضت المحكمة بأن زوار موقعنا يتمتعون بحق الوصول غير المقيد إلى المواد المتطرفة دون تسجيل ، ووجدوا بطريقة ما كتاب "Mein Kampf" من تأليف أدولف هتلر. على ما يبدو ، من أجل الموثوقية.

لقد فاجأنا هذا القرار كثيرًا ، لكننا واصلنا العمل من أجل hidemyna.me و hidemyname.org و .one و .biz وغيرهم ، ولم تؤدي الخلافات المطولة مع Roskomnadzor إلى أي نتيجة. في حين أن أنا والمحامين نعارض الحظر والقرار السحري الصادر عن المحكمة ، فإننا نشارككم نصائح أساسية حول الحفاظ على السرية على الإنترنت والأخبار حول هذا الموضوع.


إدوارد سنودن يحب وكالة الأمن القومي (على الأرجح)

ليس سراً أن الخدمات الروسية الشعبية غير آمنة. قد تكون مراسلاتك في أي وقت في مجال إنفاذ القانون المحلي. نخبرك بما تحتاج إلى تذكره عند الاتصال عبر قنوات اتصال مختلفة.

SORM و ARI


هناك العديد من الطرق المختلفة للاستماع إلى هاتفك. الرسمية والقانونية - SORM ، وهو نظام من الوسائل التقنية لضمان وظائف تدابير البحث التشغيلي. وفقًا للقانون السائد في الاتحاد الروسي ، يتعين على جميع مشغلي شبكات الهاتف المحمول تثبيت هذا النظام في البورصات الخاصة بهم إذا كانوا لا يرغبون في فقد رخصتهم. هناك ثلاثة أنواع من SORM: تم اختراع الأول في الثمانينيات ، والثاني تم تقديمه بصفر ، والثالث يحاول فرضه على المشغلين منذ عام 2014. وفقًا لـ RBC ، يستخدم معظم المشغلين النوع الثاني ، لكن في 70٪ من الحالات ، لا يعمل النظام بشكل صحيح أو لا يعمل على الإطلاق. ومع ذلك ، على الهاتف الثابت ومن خلال مكالمة عادية من هاتف محمول ، من الأفضل عدم مناقشة الموضوعات الحساسة.


مخطط عمل SORM-2 (المصدر: mfisoft.ru)

وفقًا لـ 97-FZ ، يجب إدخال أي مراسلة فورية والخدمات والمواقع التي تعمل على أراضي روسيا في سجل منظمي نشر المعلومات . وفقًا لقانون الربيع ، يتعين عليهم تخزين جميع بيانات المستخدم ، بما في ذلك تسجيلات المكالمات الصوتية والمراسلات ، لمدة ستة أشهر. في ORI ، بالمناسبة ، هناك أيضا Habrahabr.

يوصف عمل السجل بالتفصيل هنا على سبيل المثال من ثريما ، ولكن الاستنتاج الرئيسي هو: الآن ، بناءً على طلب السلطات الروسية ، قد تكون أي معلومات عنك قيد إنفاذ القانون. لذلك ، فإن أول ما يجب فعله للحفاظ على السرية هو نقل المكالمات والرسائل إلى مراسلة فورية غير موجودة في سجل ARI. أو أولئك الموجودون هناك ، لكنهم يرفضون نقل البيانات إلى السلطات - مثل Threema و Telegram.

المرجع : مجرد وجودك في سجل ARI لا يضمن نقل البيانات إلى السلطات. من الضروري مراقبة الأخبار باستمرار وإلقاء نظرة على رد فعل الرسول عندما "يأتون" لذلك.

المكالمات الصوتية والرسائل


يمكن لمحادثاتنا ورسائلنا من تدخل الطرف الثالث أن تحمي التشفير من طرف إلى طرف ، وبالتالي يعتبر المرسلون الذين لديهم E2E الأكثر أمانًا. لكن هذا ليس صحيحًا تمامًا: فكر في الخيارات الشائعة.

تدعم Telegram التشفير من طرف إلى طرف في محادثاتها السرية وتخزين البيانات المشفرة حول مراسلاتك في السحابة ، والتي تنتشر في بلدان مختلفة ذات ولاية "آمنة". ولكن بعد مقال عن هابري حول وهم أمن Telegram Passport في E2E من Durov ، يمكن للمرء أن يبدأ الشك.

بالطبع ، لا تزال الدردشة في المحادثات السرية خيارًا جيدًا للأشخاص المصابين بجنون العظمة. في تشفيرها ، لا يشارك الخادم على الإطلاق: يتم إرسال الرسائل نظير إلى نظير ، أي مباشرة بين المشاركين في المراسلات. للحفاظ على هدوء الأشياء ، يمكنك استخدام وظيفة التدمير الذاتي لرسائل المؤقت. لكن لا تعتمد بشكل أعمى على Telegram. لجعلها أكثر أمانًا قليلاً ، يجب عليك أنت والمستلم الدخول في إعدادات برنامج المراسلة والقيام بأمرين على الأقل:

  • قم بتعيين كلمة مرور عند إدخال التطبيق ( الخصوصية والأمن -> رمز المرور ) ؛
  • تمكين المصادقة من خطوتين ( الخصوصية والأمن -> التحقق من خطوتين ).

بعد ذلك ، بالإضافة إلى رمز SMS ، عند الدخول من جهاز جديد ، سيطلب التطبيق كلمة مرور تعرفها أنت فقط.

الآن تأكيد الدخول فقط عبر الرسائل القصيرة لا يحمي الشخص الذي يستخدم بطاقة SIM الروسية. حالات اختراق حسابات Telegram من خلال رسالة SMS تم اعتراضها معروفة بالفعل - في عام 2016 ، تمكن المهاجمون من الوصول إلى مراسلات العديد من أعضاء المعارضة ، وفي عام 2017 ، تم اختراق حساب الصحفي Dozhd ميخائيل روبن.


يتجنب WhatsApp حاليًا تسجيل ARI ويستخدم أيضًا تشفيرًا من طرف إلى طرف ، لكن مع كل ذلك ، لا يكون كل شيء غائمًا. في الآونة الأخيرة ، نشرنا أخبارًا عن سكان ماجادان ، حيث فتحنا قضية جنائية لانتقاد عمدة المدينة. هذه القصة ، لحسن الحظ ، انتهت في الغرامة المعتادة. لكنها أكدت مخاوف المستخدمين: ليس من الآمن التواصل في محادثات مجموعة WhatsApp.

ماذا سيحدث؟

  • بمجرد كتابة رسالة ، سيصبح رقم هاتفك متاحًا على الفور لجميع أعضاء المجموعة. ومن حيث العدد ، هويتك سهلة الحساب.

ما يجب القيام به

  • قد يكون الحل عبارة عن بطاقة SIM "يسارية" أو رقم أجنبي - ويفضل أن يكون أوروبيًا.

إذا كنت تستخدم بطاقة روسية مسجلة باسمك ، فيمكنك تجنب التعليقات اللاذعة في مجموعات تحمل اسمًا مثل "Mayor resign": بالنسبة إلى WhatsApp ، من الأفضل ترك المراسلات والمكالمات الشخصية فقط.

Viber غير مدرج في سجل ARI أيضًا ، لكنه يحتفظ بالاتصال مع السلطات الروسية (في أوقات فراغهم من البريد العشوائي). كان هذا الرسول من أوائل من استوفوا المتطلبات الجديدة للحكومة: فهو يقوم بتخزين تسجيلات الدخول وأرقام هواتف المستخدمين الروس في الاتحاد الروسي ، لكنه يرفض تقديم بيانات الرسائل - يشير إلى آليات التشفير الشاملة وسياسة الشركة.

تستخدم Apple أيضًا من طرف إلى طرف ، ولكن عند التسجيل في iMessage ، فإنها تنشئ زوجان رئيسيان: خاص وعام. يتم إرسال الرسالة التي تتلقاها من نفس مالك جهاز apple إليك بالتشفير ، حيث يتم استخدام المفتاح العمومي. يمكن فك تشفيره فقط باستخدام المفتاح الخاص للمستلم ، والذي يتم تخزينه على الجهاز الخاص به. حول كيفية اتصال Apple بخصوصية المستخدم وما الذي سيفعله إذا تلقيت طلبًا من الحكومة ، يمكنك قراءة هنا. لم تكن هناك حالات مسجلة عندما قامت الشركة بنقل البيانات من المستخدمين الروس إلى السلطات الروسية.


المصدر: https://www.apple.com/business/docs/iOS_Security_Guide.pdf


لكن iMessage له عيبان:

  • يمكنك الكتابة أو الاتصال عبر هذه القنوات فقط إلى نفس مالك Apple ؛
  • إذا كنت تواجه مشكلات في الاتصال بالإنترنت ، فستتصفح الرسالة قناة خلوية منتظمة وتصبح رسالة نصية قصيرة يمكن اعتراضها بسهولة.

لتجنب تحويل iMessage إلى SMS ، يمكنك تعطيل هذه الميزة في الإعدادات.


يدعي الباحثون في مؤسسة الحدود الإلكترونية أنه لا يوجد خيار آمن بنسبة مائة بالمائة للمكالمات والرسائل. إذا لم يسمح بعض المرسلين للسلطات بتلقي بياناتك الخاصة ، فإن هذا لا يعني أن المتسللين (أو الدولة التي يمكنها استخدام خدماتهم) لا يمكنهم القيام بذلك بتجاوز القوانين. لإعطاء المستخدم الثقة بأنه لا يوجد رجل في المنتصف ، فإن Telegram لديها خدعة لطيفة: عند إجراء مكالمة ، يمكن لكلا المستلمين التأكد من أنهما يراهان الرموز التعبيرية نفسها في الركن الأيمن العلوي من الشاشة - وهذا سيؤكد غياب " التسلل إلى المجمع.



إذا كنت بحاجة إلى وسيلة اتصال أكثر موثوقية ، فنحن لا نوصي باستخدام الدردشات السرية وكلمات المرور والمصادقة ثنائية الخطوات فقط ، ولكن انظر أيضًا إلى التطبيقات المتخصصة الأقل شيوعًا مثل Confide أو Signal .


أنا استخدم إشارة كل يوم. # note لمكتب التحقيقات الفيدرالي (المفسد: أنهم يعرفون بالفعل)

البريد الإلكتروني


الشركات الشهيرة التي توفر الفرصة لاستخدام عملاء البريد الإلكتروني الخاصة بهم (في روسيا وياندكس و Mail.Ru و Rambler) مدرجة بالفعل في سجل ORI ، مما يعني أنهم ليسوا آمنين جدًا. نعم ، تدعو Mail.Ru Group إلى إيقاف القضايا الجنائية المتعلقة بالميمات والعفو عن المدانين ، لكن يمكنها تقديم معلومات عن بياناتك إلى السلطات عند الطلب.

حتى إذا كنت تستخدم عملاء البريد الغربي مثل Gmail أو Outlook ، فقد مكّنت المصادقة ثنائية العامل وتعرف أن رسالتك مشفرة باستخدام بروتوكول SSL / TLS الموثوق ، فلا يمكنك التأكد من حماية رسالة المرسل إليه.

خيارات الحماية:

  • عند إرسال معلومات حساسة ، قم بتشفير رسائل البريد الإلكتروني باستخدام Pretty Good Privacy ( PGP ). يساعد هذا البرنامج في تحويل البيانات من حرف إلى مجموعة أحرف لا معنى لها للجميع باستثناء المرسل والمستلم ؛
  • عند إرسال معلومات مهمة ، انتبه دائمًا إلى مجال المستلم ولا تكتب إلى عنوان مشبوه ؛
  • تحقق مع المستلم مقدمًا إذا كان قد قام بتكوين إعادة توجيه أو جمع البريد من خلال الخدمة البريدية الروسية.

في حالة الشركات المحلية من السجل ، لن يساعد أي تشفير من جانب المستخدم من حيث المبدأ. لا يتم اعتراض المعلومات ، ولكن يتم تخزينها ونقلها عن طريق نقاط النهاية - خدمات مماثلة. يمكن أن يكون الحل هو استبدالهم بنظيرات أكثر أمانًا مثل ProtonMail أو Tutanota أو Hushmail. يمكن العثور على المزيد من خدمات البريد الإلكتروني هذه على هذه الصفحة.

الشبكات الاجتماعية


للبدء ، قلل من إقامتك في الشبكات الاجتماعية الروسية الشهيرة - "My World" و "Classmates" و "VKontakte". فيسبوك على الأقل لا ينقل بياناتك إلى الخدمات الخاصة الروسية. على الأقل ، لم يتم تسجيل مثل هذه الحالات.



لكن من المثير للاهتمام أنه في عام 2017 ، استوفت الشركة 85٪ من الطلبات المقدمة من الحكومة الأمريكية:

لقطات من الفيسبوك تقرير الشفافية

إذا كنت معتادًا جدًا على VK ، ولكنك لا تريد أن تكون في قفص الاتهام ، فاحرص على الانتباه إلى عدة أشياء:

  • الصور المحفوظة
  • المشاركات والتعليقات والمشاركات التي تكتبها ؛
  • المشاركات التي تريد ؛
  • مشاركة المشاركات
  • أصدقاء أنت أصدقاء مع.

في كل ما سبق ، من الأفضل تجنب ما يمكن اعتباره مهينًا أو متطرفًا. تذكر دائمًا أن "النشر" هو نقل المعلومات "غير القانونية" إلى شخص واحد على الأقل. يدعي دامير غاينوتدينوف ، وهو محام في مجموعة أغورا الدولية لحقوق الإنسان ، أنه بموجب القانون ، يتعين على مخزونات الذكاء الاصطناعي تخزين ونقل رسائل إنفاذ القانون إلى أجهزة إنفاذ القانون . قراءة المزيد حول كيفية عدم الجلوس للحصول على repost ، اقرأ هنا.

بالمناسبة ، لبعض الوقت الآن يمكن لأي شخص لديه رقم هاتفك العثور عليك افتراضيًا على VKontakte ، حتى إذا كانت الصفحة نفسها لا تمنح هويتك الحقيقية.

يمكنك أن تمنع من العثور عليك عن طريق الرقم في إعدادات ملف التعريف (الإعدادات -> الخصوصية -> الاتصال بي) . لكن هذا ، بالطبع ، لن يوفر من الخدمات الخاصة. لا تستخدم الاتصالات واتصالات الفيديو في فكونتاكتي: من غير المعروف ما إذا كانت الشبكة تشفر حقًا من طرف إلى طرف ، كما تدعي الإدارة.

أمن الموقع


الأخبار الجيدة الوحيدة هي أن أكثر من نصف المواقع الشائعة على الإنترنت لديها بالفعل نسخة https أو قد تحولت بالكامل إلى استخدام إصدارات https فقط. المعلومات المستلمة والمرسلة على هذه المواقع مشفرة ولا يمكن قراءتها من قبل أطراف ثالثة. وتتميز هذه الموارد باللون الأخضر وكلمة "محمية".

الخبر السار ينتهي هنا. على الرغم من بروتوكول https ، تظل حقيقة زيارة مثل هذا الموقع واستعلامات DNS (معلومات حول المجالات التي اتصلت بها) أمام مزود الإنترنت.

لكن الأخبار الأخرى أسوأ: يعمل النصف المتبقي من المواقع باستخدام بروتوكول HTTP المعتاد ، أي بدون تشفير البيانات. قد يكون الحل عبارة عن VPN ، حيث يقوم بتشفير كل البيانات المستلمة والمرسلة تمامًا بحيث لا توجد معلومات يمكن قراءتها على جانب مزود الإنترنت وأي شخص يحاول التسلل بينك وبين الموقع النهائي. الشيء الوحيد الذي سيتم رؤيته هو حقيقة الاتصال بعنوان IP معين على الإنترنت (أي ، خادم VPN). ولا شيء أكثر من ذلك.

سنكون سعداء إذا أصبحت الحياة فجأة في غاية البساطة: قمنا بتشغيل VPN ونسينا تسرب المعلومات الحساسة. لكن هذا ليس كذلك. تحقق بانتظام مما إذا كان موردك المفضل مدرجًا في سجل ARI ، وشاهد كيف يتفاعل مع السلطات ، وتحقق من الاتصالات النشطة في إعدادات برامج المراسلة الفورية والشبكات الاجتماعية وأعد ضبط الشبكات المشبوهة (ثم تأكد من تغيير كلمات المرور).

عالميا


عند العمل مع قنوات الاتصال ونقل البيانات ، لن يكون من المنطقي إلا اتباع نهج متكامل للأمن والخصوصية. تابع أحداث أمن الإنترنت في قناة التلغراف الخاصة بنا @ hidemyname_ru ، على موقع Roskomsvoboda وعلى الموارد الأخرى المخصصة للأحداث على شبكة الإنترنت ، ولا سيما Runet.

ما هي التدابير الأمنية التي تتخذها؟

Source: https://habr.com/ru/post/ar439848/

More articles:


All Articles