Hallo Habr.
Dies sind wir,
HideMy.name VPN-Dienst. Jetzt arbeiten wir vorübergehend am HideMyna.me-Spiegel. Warum? Am 20. Juli 2018 hat uns Roskomnadzor aufgrund der Entscheidung des Bezirksgerichts Medwedewski in Yoshkar-Ola
in die Liste der verbotenen Ressourcen aufgenommen . Das Gericht entschied, dass Besucher unserer Website uneingeschränkten Zugang zu extremistischen Materialien haben, ohne sich zu registrieren, und fand darauf irgendwie das Buch „Mein Kampf“ von Adolf Hitler. Anscheinend aus Gründen der Zuverlässigkeit.
Diese Entscheidung hat uns sehr überrascht, aber wir arbeiten weiterhin für hidemyna.me, hidemyname.org, .one, .biz und andere. Die langwierigen Auseinandersetzungen mit Roskomnadzor führten zu keinem Ergebnis. Während Anwälte und ich die Sperrung und die magische Entscheidung des Gerichts bestreiten, teilen wir Ihnen grundlegende Tipps zur Wahrung der Vertraulichkeit im Internet und Neuigkeiten zu diesem Thema mit.
Edward Snowden liebt die National Security Agency (wahrscheinlich)Es ist kein Geheimnis, dass beliebte russische Dienste unsicher sind. Ihre Korrespondenz kann jederzeit im Bereich der nationalen Strafverfolgungsbehörden erfolgen. Wir sagen Ihnen, woran Sie sich erinnern müssen, wenn Sie über verschiedene Kommunikationskanäle kommunizieren.
SORM und ARI
Es gibt
viele verschiedene Möglichkeiten, Ihr Telefon anzuhören. Offiziell und rechtlich - SORM, ein System technischer Mittel zur Gewährleistung der Funktionen von Maßnahmen zur operativen Suche. Nach dem Gesetz der Russischen Föderation müssen alle Mobilfunkbetreiber ein solches System an ihren Vermittlungsstellen installieren, wenn sie ihre Lizenz nicht verlieren möchten. Es gibt drei Arten von SORM: Die erste wurde in den 80er Jahren erfunden, die zweite wurde in der Null eingeführt und die dritte versucht seit 2014, den Betreibern aufzuzwingen.
Laut RBC verwenden die meisten Bediener den zweiten Typ, aber in 70% der Fälle funktioniert das System nicht richtig oder überhaupt nicht. Auf einem Festnetztelefon und über einen normalen Anruf von einem Mobiltelefon aus sind sensible Themen jedoch immer noch besser nicht zu diskutieren.
SORM-2-Arbeitsschema (Quelle: mfisoft.ru)Laut 97-FZ müssen alle Instant Messenger, Dienste und Websites, die auf dem Territorium Russlands tätig sind, in das Register der
Organisatoren der Verbreitung von Informationen eingetragen werden . Nach dem "
Frühlingsgesetz " müssen sie alle Benutzerdaten, einschließlich Sprachanrufaufzeichnungen und Korrespondenz, sechs Monate lang speichern. In ORI gibt es übrigens auch Habrahabr.
Die Arbeit des Registers wird
hier am Beispiel von Threema ausführlich beschrieben, aber die wichtigste Schlussfolgerung lautet: Auf Ersuchen der russischen Behörden können sich jetzt alle Informationen über Sie in der Strafverfolgung befinden. Daher müssen Sie zur Wahrung der Vertraulichkeit zunächst Anrufe und Nachrichten an Instant Messenger weiterleiten, die sich nicht in der ARI-Registrierung befinden. Oder diejenigen, die dort sind, sich aber weigern, Daten an die Behörden zu übermitteln - wie Threema und Telegram.
Hinweis : Die bloße Tatsache, dass sie im ARI-Register eingetragen sind, garantiert nicht, dass die Daten an die Behörden übermittelt werden. Es ist notwendig, die Nachrichten ständig zu überwachen und die Reaktion des Boten zu beobachten, wenn er dafür "kommt".Sprachanrufe und Nachrichten
Unsere Gespräche und Nachrichten vor Störungen durch Dritte können die End-to-End-Verschlüsselung schützen. Daher gelten Messenger mit E2E als die sichersten. Dies ist jedoch nicht ganz richtig: Berücksichtigen Sie beliebte Optionen.
Telegram unterstützt die End-to-End-Verschlüsselung in seinen geheimen Chats und speichert verschlüsselte Daten über Ihre Korrespondenz in der Cloud, die in verschiedenen Ländern mit einer "sicheren" Gerichtsbarkeit verteilt ist. Aber nach einem
Artikel über Habré über die Illusion der Sicherheit des Telegrammpasses in E2E von Durov kann man anfangen zu zweifeln.
Natürlich ist das Chatten in geheimen Chats immer noch eine gute Option für paranoide Menschen. Bei ihrer Verschlüsselung ist der Server überhaupt nicht beteiligt: Nachrichten werden Peer-to-Peer übertragen, dh direkt zwischen den Teilnehmern an der Korrespondenz. Um die Dinge ruhig zu halten, können Sie die Selbstzerstörungsfunktion von Timer-Nachrichten verwenden. Aber verlassen Sie sich nicht blind auf Telegramm. Um es ein wenig sicherer zu machen, müssen Sie und Ihr Empfänger in die Einstellungen des Messenger gehen und mindestens zwei Dinge tun:
- Legen Sie bei der Eingabe der Anwendung ein Passwort fest ( Datenschutz und Sicherheit -> Passcode ).
- Aktivieren Sie die zweistufige Authentifizierung ( Datenschutz und Sicherheit -> Bestätigung in zwei Schritten ).
Danach fragt die Anwendung zusätzlich zum SMS-Code bei der Eingabe von einem neuen Gerät nach einem Kennwort, das nur Sie kennen.
Jetzt schützt die Bestätigung der Einreise nur per SMS die Person, die die russische SIM-Karte benutzt, nicht mehr. Die Fälle des Hackens von Telegrammkonten über eine abgefangene SMS-Nachricht sind bereits bekannt. 2016 erhielten Angreifer
Zugriff auf die Korrespondenz mehrerer Oppositionsmitglieder, und 2017 wurde der Bericht des Dozhd-Journalisten Mikhail Rubin
gehackt .
WhatsApp vermeidet derzeit die ARI-Registrierung und verwendet auch eine End-to-End-Verschlüsselung, aber damit ist nicht alles so wolkenlos. Kürzlich haben wir
Nachrichten über die Einwohner von Magadan veröffentlicht, in denen wir ein Strafverfahren wegen Kritik am Bürgermeister der Stadt eröffnet haben. Diese Geschichte endete glücklicherweise mit der üblichen Geldstrafe. Sie bestätigte jedoch die Bedenken der Benutzer: Es ist nicht sicher, in WhatsApp-Gruppenchats zu kommunizieren.
Was wird?- Sobald Sie eine Nachricht schreiben, steht Ihre Telefonnummer sofort allen Mitgliedern der Gruppe zur Verfügung. Und anhand der Nummer lässt sich Ihre Identität leicht berechnen.
Was zu tun ist?- Die Lösung kann eine "linke" SIM-Karte oder eine ausländische Nummer sein - vorzugsweise eine europäische.
Wenn Sie eine in Ihrem Namen registrierte russische Karte verwenden, vermeiden Sie stechende Kommentare in Gruppen mit einem Namen wie „Meru - Rücktritt“: Für WhatsApp ist es besser, nur persönliche Korrespondenz und Anrufe zu hinterlassen.
Viber ist auch nicht im ARI-Register aufgeführt, unterhält jedoch die Kommunikation mit den russischen Behörden (in ihrer Freizeit vor Spam). Dieser Messenger war einer der ersten, der die neuen Anforderungen der Regierung erfüllte: Er speichert Anmeldungen und Telefonnummern russischer Benutzer auf dem Territorium der Russischen Föderation,
weigert sich jedoch , Nachrichtendaten bereitzustellen - bezieht sich auf die End-to-End-Verschlüsselungsmechanismen und die Unternehmensrichtlinien.
Apple verwendet ebenfalls End-to-End. Bei der Registrierung bei iMessage werden jedoch zwei Schlüsselpaare erstellt: privat und öffentlich. Die Nachricht, die Sie vom selben Besitzer des Apple-Geräts erhalten, wird Ihnen verschlüsselt übermittelt, wobei der öffentliche Schlüssel verwendet wird. Es kann nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden, der auf seinem Gerät gespeichert ist. Lesen Sie
hier, wie Apple sich auf die Privatsphäre der Benutzer bezieht und was es tun wird, wenn es eine Anfrage der Regierung erhält
. Es wurden keine Fälle registriert, in denen das Unternehmen Daten von russischen Benutzern an die russischen Behörden übermittelte.
Quelle: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
IMessage hat jedoch zwei Nachteile:
- Sie können über diese Kanäle nur an denselben Apple-Besitzer schreiben oder anrufen.
- Wenn Sie Probleme mit Ihrer Internetverbindung haben, wird die Nachricht über einen normalen Mobilfunkkanal übertragen und zu einer einfachen SMS, die leicht abgefangen werden kann.
Um zu vermeiden, dass iMessage in SMS umgewandelt wird, können Sie diese Funktion in den Einstellungen deaktivieren.
Forscher der Electronic Frontier Foundation
behaupten, dass es keine hundertprozentig sichere Option für Anrufe und Nachrichten gibt. Wenn einige Boten den Behörden nicht erlauben, Ihre privaten Daten zu empfangen, bedeutet dies nicht, dass Hacker (oder der Staat, der ihre Dienste nutzen kann) dies nicht unter Umgehung der Gesetze tun können. Um dem Benutzer die Gewissheit zu geben, dass es keinen Mann in der Mitte gibt, hat Telegram einen schönen Trick: Beim Tätigen eines Anrufs können beide Empfänger sicherstellen, dass sie dasselbe Emoji in der oberen rechten Ecke des Bildschirms sehen - dies bestätigt das Fehlen von " Eindringen in die Verbindung.
Wenn Sie eine zuverlässigere Kommunikationsmethode benötigen, empfehlen wir, nicht nur geheime Chats, Passwörter und Zwei-Schritt- / Zwei-Faktor-Authentifizierung zu verwenden, sondern auch weniger beliebte Nischenanwendungen wie
Confide oder
Signal zu betrachten .
Ich benutze Signal jeden Tag. # Hinweis für das FBI (Spoiler: sie wissen es bereits)E-Mail
Beliebte Unternehmen, die die Möglichkeit bieten, ihre E-Mail-Clients zu verwenden (in Russland sind dies Yandex, Mail.Ru und Rambler), sind bereits in der ORI-Registrierung enthalten, was bedeutet, dass sie nicht zu sicher sind. Ja, die Mail.Ru Group
fordert, Strafverfahren wegen Memes und Amnestie für Verurteilte einzustellen, kann den Behörden jedoch auf Anfrage Informationen über Ihre Daten zur Verfügung stellen.
Selbst wenn Sie westliche Mail-Clients wie Google Mail oder Outlook verwenden, die Zwei-Faktor-Authentifizierung aktiviert haben und wissen, dass Ihre Nachricht mit dem zuverlässigen SSL / TLS-Protokoll verschlüsselt ist, können Sie nicht sicher sein, dass die Nachricht Ihres Adressaten ebenfalls geschützt ist.
Schutzoptionen:- Verschlüsseln Sie beim Senden vertraulicher Informationen E-Mails mit Pretty Good Privacy ( PGP ). Dieses Programm hilft dabei, Daten aus einem Brief in einen bedeutungslosen Zeichensatz für alle außer Absender und Empfänger umzuwandeln.
- Achten Sie beim Senden wichtiger Informationen immer auf die Domain des Empfängers und schreiben Sie nicht an eine verdächtige Adresse.
- Erkundigen Sie sich im Voraus beim Empfänger, ob er die Weiterleitung oder das Sammeln von Post über den russischen Postdienst konfiguriert hat.
Bei inländischen Unternehmen aus der Registrierung hilft grundsätzlich keine Verschlüsselung auf der Benutzerseite. Informationen werden nicht abgefangen, sondern von Endpunkten gespeichert und übertragen - ähnliche Dienste. Die Lösung kann nur darin bestehen, sie durch sicherere Gegenstücke wie ProtonMail, Tutanota oder Hushmail zu ersetzen. Weitere dieser E-Mail-Dienste finden Sie auf
dieser Seite.
Soziale Netzwerke
Minimieren Sie zunächst Ihren Aufenthalt in beliebten russischen sozialen Netzwerken - "My World", "Classmates" und "VKontakte". Facebook überträgt Ihre Daten zumindest nicht an die russischen Sonderdienste. Zumindest wurden solche Fälle nicht erfasst.
Es ist jedoch interessant, dass das Unternehmen im Jahr 2017 dennoch 85% der Anfragen der US-Regierung erfüllt hat:
Screenshots aus dem Facebook-TransparenzberichtWenn Sie zu sehr an VK gewöhnt sind, aber nicht im Dock sein möchten, beachten Sie einige Dinge:
- Ihre gespeicherten Bilder;
- Beiträge, Kommentare und Beiträge, die Sie schreiben;
- Beiträge, die Sie mögen;
- Beiträge teilen
- Freunde, mit denen du befreundet bist.
In all dem ist es besser zu vermeiden, was als beleidigend oder extremistisch angesehen werden kann. Denken Sie immer daran, dass „Verbreitung“ die Übermittlung von „illegalen“ Informationen an mindestens eine Person ist.
Damir Gainutdinov, Anwalt der internationalen Menschenrechtsgruppe Agora, behauptet, dass ARIs nach dem Gesetz verpflichtet sind, selbst Entwürfe nicht gesendeter Nachrichten zu speichern und an die Strafverfolgungsbehörden weiterzuleiten . Lesen Sie hier mehr darüber, wie Sie sich nicht für einen Repost hinsetzen können
.
Übrigens kann Sie seit einiger Zeit jeder, der Ihre Telefonnummer hat, standardmäßig auf VKontakte finden, auch wenn die Seite selbst Ihre wahre Identität nicht preisgibt.
Sie können verbieten, Sie anhand der Nummer in den Profileinstellungen zu finden (Einstellungen -> Datenschutz -> Kontakt mit mir) . Aber dies wird natürlich nicht vor speziellen Dienstleistungen sparen. Verwenden Sie in VKontakte keine Anrufe und Videokommunikation: Es ist nicht bekannt, ob das Netzwerk das End-to-End-Verfahren wirklich verschlüsselt, wie die Verwaltung behauptet.
Website-Sicherheit
Die einzige gute Nachricht ist, dass
mehr als die Hälfte aller beliebten Websites im Internet bereits eine https-Version haben oder vollständig auf die Verwendung von nur https-Versionen umgestellt haben. Empfangene und übertragene Informationen auf solchen Websites sind verschlüsselt und können nicht von Dritten gelesen werden. Solche Ressourcen sind grün markiert und das Wort "geschützt".
Die gute Nachricht endet hier. Trotz des https-Protokolls bleiben die Tatsache des Besuchs einer solchen Site und DNS-Abfragen (Informationen darüber, auf welche Domains Sie zugegriffen haben) weiterhin vor dem Internetanbieter.
Die anderen Neuigkeiten sind jedoch noch schlimmer: Die verbleibende Hälfte der Websites arbeitet mit dem üblichen http-Protokoll, dh ohne Datenverschlüsselung. Die Lösung kann ein VPN sein, das absolut alle empfangenen und übertragenen Daten verschlüsselt, sodass auf der Seite des Internetproviders und aller Personen, die versuchen, zwischen Ihnen und der endgültigen Site zu infiltrieren, keine lesbaren Informationen vorhanden sind. Das einzige, was zu sehen ist, ist die Tatsache, dass eine Verbindung zu einer bestimmten IP-Adresse im Internet hergestellt wird (dh zu einem VPN-Server). Und nichts mehr.
Wir werden uns freuen, wenn das Leben plötzlich so einfach wird: Wir haben das VPN eingeschaltet und den Verlust sensibler Informationen vergessen. Aber das ist nicht so. Überprüfen Sie regelmäßig, ob Ihre Lieblingsressource in der ARI-Registrierung enthalten ist, beobachten Sie, wie sie mit den Behörden interagiert, überprüfen Sie aktive Verbindungen in den Einstellungen von Instant Messenger und sozialen Netzwerken und setzen Sie verdächtige zurück (und ändern Sie dann die Kennwörter).
Weltweit
Bei der Arbeit mit Kommunikationskanälen und Datenübertragung ist nur ein integrierter Ansatz für Sicherheit und Datenschutz sinnvoll.
Verfolgen Sie die Ereignisse der Internetsicherheit in unserem Telegrammkanal
@hidemyname_ru , auf der
Roskomsvoboda- Website und in anderen Ressourcen, die sich mit Ereignissen im Internet und insbesondere Runet befassen.
Welche Sicherheitsmaßnahmen ergreifen Sie?