Salut, Habr.
C'est nous, le service VPN
HideMy.name . Maintenant, nous travaillons temporairement sur le miroir HideMyna.me. Pourquoi? Le 20 juillet 2018, Roskomnadzor nous a ajoutés
à la liste des ressources interdites en raison de la décision du tribunal de district de Medvedevsky à Yoshkar-Ola. Le tribunal a jugé que les visiteurs de notre site ont un accès illimité aux documents extrémistes # sans inscription, et a trouvé en quelque sorte le livre "Mein Kampf" d'Adolf Hitler. Apparemment, pour la fiabilité.
Cette décision nous a beaucoup surpris, mais nous continuons à travailler pour hidemyna.me, hidemyname.org, .one, .biz et autres. La longue dispute avec Roskomnadzor n'a abouti à aucun résultat. Alors que les avocats et moi contestons le blocage et la décision magique du tribunal, nous partageons avec vous des conseils de base sur le maintien de la confidentialité sur Internet et des nouvelles à ce sujet.
Edward Snowden aime la National Security Agency (probablement)Ce n'est un secret pour personne que les services russes populaires ne sont pas sûrs. Votre correspondance à tout moment peut être dans le champ de vision des forces de l'ordre nationales. Nous vous disons ce dont vous devez vous souvenir lorsque vous communiquez via différents canaux de communication.
SORM et ARI
Il existe
différentes manières d'écouter votre téléphone. Officiel et légal - SORM, un système de moyens techniques pour assurer les fonctions des mesures de recherche opérationnelle. Selon la loi de la Fédération de Russie, tous les opérateurs de téléphonie mobile sont tenus d'installer un tel système sur leurs échanges s'ils ne veulent pas perdre leur licence. Il existe trois types de SORM: le premier a été inventé dans les années 80, le second a été introduit dans le zéro et le troisième essaie d'imposer aux opérateurs depuis 2014.
Selon RBC , la plupart des opérateurs utilisent le deuxième type, mais dans 70% des cas, le système ne fonctionne pas correctement ou ne fonctionne pas du tout. Cependant, sur un téléphone fixe et via un appel ordinaire depuis un mobile, il est préférable de ne pas discuter de sujets sensibles.
Schéma de travail SORM-2 (Source: mfisoft.ru)Selon 97-FZ, tous les messageries instantanées, services et sites qui opèrent sur le territoire de la Russie doivent être inscrits dans le registre des organisateurs de
la distribution d'informations . Selon la "
loi de printemps ", ils sont tenus de stocker toutes les données des utilisateurs, y compris les enregistrements d'appels vocaux et la correspondance, pendant six mois. À ORI, au fait, il y a aussi Habrahabr.
Le travail du greffe est décrit
ici en détail sur l'exemple de Threema, mais la principale conclusion est la suivante: maintenant, à la demande des autorités russes, toute information vous concernant peut être fournie par les forces de l'ordre. Par conséquent, la première chose à faire pour maintenir la confidentialité est de transférer les appels et les messages vers des messageries instantanées qui ne sont pas dans le registre ARI. Ou ceux qui sont là, mais refusent de transférer des données aux autorités - comme Threema et Telegram.
Référence : Le simple fait d'être dans le registre ARI ne garantit pas que les données seront transférées aux autorités. Il est nécessaire de surveiller constamment les nouvelles et de regarder la réaction du messager quand ils "viennent" pour lui.Appels et messages vocaux
Nos conversations et messages provenant d'interférences tierces peuvent protéger le chiffrement de bout en bout, donc les messagers avec E2E sont considérés comme les plus sécurisés. Mais ce n'est pas entièrement vrai: considérez les options populaires.
Telegram prend en charge le chiffrement de bout en bout dans ses conversations secrètes et stocke les données chiffrées de votre correspondance dans le cloud, qui sont dispersées dans différents pays avec une juridiction "sûre". Mais après un
article sur Habré à propos de l'illusion de la sécurité du Telegram Passport dans E2E de Durov, on peut commencer à douter.
Bien sûr, discuter dans des chats secrets est toujours une bonne option pour les personnes paranoïaques. Dans leur cryptage, le serveur n'est pas du tout impliqué: les messages sont transmis peer-to-peer, c'est-à-dire directement entre les participants à la correspondance. Pour garder les choses calmes, vous pouvez utiliser la fonction d'autodestruction des messages du minuteur. Mais ne vous fiez pas aveuglément à Telegram. Pour le rendre un peu plus sûr, vous et votre destinataire devez entrer dans les paramètres du messager et faire au moins deux choses:
- Définissez un mot de passe lors de la saisie de l'application ( Confidentialité et sécurité -> Mot de passe);
- Activez l'authentification en deux étapes ( Confidentialité et sécurité -> Vérification en deux étapes ).
Après cela, en plus du code SMS, lors de la saisie à partir d'un nouvel appareil, l'application vous demandera un mot de passe que vous seul connaissez.
Maintenant, la confirmation de l'entrée uniquement par SMS ne protège pas la personne qui utilise la carte SIM russe. Les cas de piratage de comptes Telegram via un SMS intercepté sont déjà connus - en 2016, les attaquants ont
eu accès à la correspondance de plusieurs membres de l'opposition, et en 2017, le compte du journaliste de Dozhd Mikhail Rubin a
été piraté .
WhatsApp évite actuellement le registre ARI et utilise également un chiffrement de bout en bout, mais avec lui, tout n'est pas aussi sans nuage. Récemment, nous avons publié des
informations sur les habitants de Magadan, où nous avons ouvert une procédure pénale pour avoir critiqué le maire de la ville. Cette histoire, heureusement, s'est terminée par l'amende habituelle. Mais elle a confirmé les préoccupations des utilisateurs: il n'est pas sûr de communiquer dans les chats de groupe WhatsApp.
Que va-t-il se passer?- Dès que vous rédigez un message, votre numéro de téléphone sera immédiatement disponible pour tous les membres du groupe. Et en nombre, votre identité est facile à calculer.
Que faire- La solution peut être une carte SIM «gauche» ou un numéro étranger - de préférence européen.
Si vous utilisez une carte russe enregistrée à votre nom, évitez de piquer des commentaires dans des groupes avec un nom tel que "Maire démissionnaire": pour WhatsApp, il est préférable de ne laisser que la correspondance et les appels personnels.
Viber n'est pas non plus répertorié dans le registre ARI, mais il maintient la communication avec les autorités russes (pendant leur temps libre contre le spam). Ce messager a été l'un des premiers à répondre aux nouvelles exigences du gouvernement: il stocke les connexions et les numéros de téléphone des utilisateurs russes dans la Fédération de Russie, mais
refuse de fournir des données de message - fait référence aux mécanismes de cryptage de bout en bout et à la politique de l'entreprise.
Apple utilise également de bout en bout, mais lors de l'inscription à iMessage, il crée deux paires de clés: privée et publique. Le message que vous recevez du même propriétaire de l'appareil Apple vous est transmis avec cryptage, dans lequel la clé publique est utilisée. Il ne peut être déchiffré qu'à l'aide de la clé privée du destinataire, qui est stockée sur son appareil. Vous pouvez lire
ici comment Apple est lié à la confidentialité des utilisateurs et ce qu'il fera s'il reçoit une demande du gouvernement
. Aucun cas n'a été enregistré lorsque la société a transféré des données d'utilisateurs russes aux autorités de la Fédération de Russie.
Source: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Mais iMessage a deux inconvénients:
- Vous ne pouvez écrire ou appeler via ces canaux qu'au même propriétaire Apple;
- Si vous avez des problèmes avec votre connexion Internet, le message passera par un canal cellulaire normal et deviendra un simple SMS qui peut être facilement intercepté.
Pour éviter de transformer iMessage en SMS, vous pouvez désactiver cette fonction dans les paramètres.
Des chercheurs de l'Electronic Frontier Foundation
affirment qu'il n'y a pas d'option sûre à cent pour cent pour les appels et les messages. Si certains messagers ne permettent pas aux autorités de recevoir vos données privées, cela ne signifie pas que les pirates (ou l'État qui peut utiliser leurs services) ne peuvent pas le faire en contournant les lois. Pour donner à l'utilisateur la certitude qu'il n'y a pas d'homme au milieu, Telegram a une astuce intéressante: lors d'un appel, les deux destinataires peuvent s'assurer qu'ils voient le même emoji dans le coin supérieur droit de l'écran - cela confirmera l'absence de " intrusion dans le composé.
Si vous avez besoin d'un moyen de communication plus fiable, nous vous recommandons non seulement d'utiliser des conversations secrètes, des mots de passe et une authentification en deux étapes / deux facteurs, mais également de regarder des applications de niche moins populaires comme
Confide ou
Signal .
J'utilise Signal tous les jours. # note pour le FBI (Spoiler: ils le savent déjà)Courriel
Les entreprises populaires qui offrent la possibilité d'utiliser leurs clients de messagerie (en Russie, Yandex, Mail.Ru et Rambler) sont déjà incluses dans le registre ORI, ce qui signifie qu'elles ne sont pas trop sûres. Oui, Mail.Ru Group
demande l'arrêt des poursuites pénales pour les mèmes et l'amnistie pour les condamnés, mais il peut fournir des informations sur vos données aux autorités sur demande.
Même si vous utilisez des clients de messagerie occidentaux comme Gmail ou Outlook, avez activé l'authentification à deux facteurs et savez que votre message est crypté à l'aide du protocole SSL / TLS fiable, vous ne pouvez pas être sûr que le message de votre destinataire est également protégé.
Options de protection:- Lors de l'envoi d'informations sensibles, cryptez les e-mails à l'aide de Pretty Good Privacy ( PGP ). Ce programme permet de transformer les données d'une lettre en un jeu de caractères vide de sens pour tout le monde sauf l'expéditeur et le destinataire;
- Lors de l'envoi d'informations importantes, faites toujours attention au domaine du destinataire et n'écrivez pas à une adresse suspecte;
- Vérifiez à l'avance avec le destinataire s'il a configuré le transfert ou la collecte du courrier via le service postal russe.
Dans le cas des entreprises nationales du registre, aucun chiffrement côté utilisateur ne sera en principe utile. Les informations ne sont pas interceptées, mais stockées et transmises par des points d'extrémité - des services similaires. La solution ne peut être que de les remplacer par des homologues plus sûrs comme ProtonMail, Tutanota ou Hushmail. Vous trouverez plus de ces services de messagerie sur
cette page.
Réseaux sociaux
Pour commencer, minimisez votre séjour sur les réseaux sociaux russes populaires - «My World», «Classmates» et «VKontakte». Facebook au moins ne transfère pas vos données aux services spéciaux russes. Au moins, de tels cas n'ont pas été enregistrés.
Mais il est intéressant de noter qu'en 2017, l'entreprise a néanmoins satisfait 85% des demandes du gouvernement américain:
Captures d'écran de Facebook Transparency ReportSi vous êtes trop habitué à VK, mais ne voulez pas être dans le dock, faites attention à plusieurs choses:
- vos photos enregistrées;
- articles, commentaires et articles que vous écrivez;
- les messages que vous aimez;
- Partager des articles
- Des amis avec qui vous êtes amis.
Dans tout ce qui précède, il vaut mieux éviter ce qui peut être considéré comme offensant ou extrémiste. N'oubliez pas que la «diffusion» est la communication d'informations «illégales» à au moins une personne.
Damir Gainutdinov, un avocat du groupe international des droits de l'homme Agora, affirme qu'en vertu de la loi, les ARI sont tenus de stocker et de transmettre aux forces de l'ordre même les projets de messages non envoyés . En savoir plus sur la façon de ne pas s'asseoir pour un republication, lisez
ici.
Soit dit en passant, depuis un certain temps maintenant, toute personne possédant votre numéro de téléphone peut par défaut vous trouver sur VKontakte, même si la page elle-même ne révèle pas votre véritable identité.
Vous pouvez interdire de vous trouver par numéro dans les paramètres du profil (Paramètres -> Confidentialité -> Contactez-moi) . Mais cela, bien sûr, ne sauvera pas de services spéciaux. N'utilisez pas les appels et les communications vidéo dans VKontakte: on ne sait pas si le réseau chiffre vraiment leur bout en bout, comme le prétend l'administration.
Sécurité du site Web
La seule bonne nouvelle est que
plus de la moitié de tous les sites populaires sur Internet ont déjà une version https ou sont complètement passés à l'utilisation de versions https uniquement. Les informations reçues et transmises sur ces sites sont cryptées et ne peuvent pas être lues par des tiers. Ces ressources sont marquées en vert et le mot «protégé».
La bonne nouvelle se termine ici. Malgré le protocole https, le fait de visiter un tel site et les requêtes DNS (informations sur les domaines que vous avez contactés) restent toujours devant le fournisseur d'accès Internet.
Mais les autres nouvelles sont encore pires: la moitié restante des sites fonctionne en utilisant le protocole http habituel, c'est-à-dire sans cryptage des données. La solution peut être un VPN, qui crypte absolument toutes les données reçues et transmises afin que du côté du fournisseur Internet et de toute personne qui tente de s'infiltrer entre vous et le site final, il n'y ait pas d'informations lisibles. La seule chose que l'on verra est le fait de se connecter à une certaine adresse IP sur Internet (c'est-à-dire à un serveur VPN). Et rien de plus.
Nous serons heureux si la vie devient si soudainement si simple: nous avons activé le VPN et oublié la fuite d'informations sensibles. Mais ce n'est pas le cas. Vérifiez régulièrement si votre ressource préférée est incluse dans le registre ARI, regardez comment elle interagit avec les autorités, vérifiez les connexions actives dans les paramètres des messageries instantanées et des réseaux sociaux et réinitialisez les suspectes (puis assurez-vous de changer les mots de passe).
Globalement
Lorsque vous travaillez avec des canaux de communication et la transmission de données, seule une approche intégrée de la sécurité et de la confidentialité a du sens. Suivez les événements de la sécurité Internet dans notre chaîne de télégramme
@hidemyname_ru , sur le site Web de
Roskomsvoboda et sur d'autres ressources consacrées aux événements sur Internet et en particulier Runet.
Quelles mesures de sécurité prenez-vous?