Hai, Habr.
Ini kami, layanan VPN
HideMy.name . Sekarang kami sedang bekerja sementara di mirror HideMyna.me. Mengapa Pada 20 Juli 2018, Roskomnadzor menambahkan kami
ke daftar sumber daya terlarang karena keputusan Pengadilan Distrik Medvedevsky di Yoshkar-Ola. Pengadilan memutuskan bahwa pengunjung ke situs kami memiliki akses tidak terbatas ke # bahan-bahan ekstremis tanpa mendaftar, dan entah bagaimana menemukan di dalamnya buku "Mein Kampf" oleh Adolf Hitler. Ternyata, untuk keandalannya.
Keputusan ini sangat mengejutkan kami, tetapi kami terus bekerja untuk hidemyna.me, hidemyname.org, .one, .biz, dan lainnya. Perselisihan yang panjang dengan Roskomnadzor tidak membuahkan hasil apa pun. Sementara pengacara dan saya membantah pemblokiran dan keputusan ajaib pengadilan, kami berbagi tips dasar untuk menjaga kerahasiaan di Internet dan berita tentang topik ini.
Edward Snowden menyukai Badan Keamanan Nasional (mungkin)Bukan rahasia lagi bahwa layanan populer Rusia tidak aman. Korespondensi Anda setiap saat mungkin dalam bidang pandangan para penegak hukum domestik. Kami memberi tahu Anda apa yang perlu Anda ingat ketika berkomunikasi melalui saluran komunikasi yang berbeda.
SORM dan ARI
Ada
banyak cara untuk mendengarkan telepon Anda. Resmi dan legal - SORM, sistem sarana teknis untuk memastikan fungsi langkah pencarian operasional. Menurut undang-undang di Federasi Rusia, semua operator seluler diharuskan memasang sistem seperti itu di bursa mereka jika mereka tidak ingin kehilangan lisensi mereka. Ada tiga jenis SORM: yang pertama ditemukan di tahun 80-an, yang kedua diperkenalkan di nol, dan yang ketiga telah mencoba untuk memaksakan pada operator sejak 2014.
Menurut RBC , sebagian besar operator menggunakan tipe kedua, tetapi dalam 70% kasus, sistem tidak bekerja dengan benar atau tidak bekerja sama sekali. Namun, pada telepon darat dan melalui telepon biasa dari ponsel, topik sensitif masih lebih baik untuk tidak dibahas.
Skema kerja SORM-2 (Sumber: mfisoft.ru)Menurut 97-FZ, setiap pesan instan, layanan, dan situs yang beroperasi di wilayah Rusia harus dimasukkan dalam daftar
Penyelenggara Distribusi Informasi . Menurut "
Undang-Undang Musim Semi, " mereka diharuskan untuk menyimpan semua data pengguna, termasuk rekaman panggilan suara dan korespondensi, selama enam bulan. Di ORI, omong-omong, ada juga Habrahabr.
Pekerjaan registri dijelaskan secara rinci di
sini pada contoh Threema, tetapi kesimpulan utamanya adalah ini: sekarang, atas permintaan pihak berwenang Rusia, segala informasi tentang Anda mungkin dalam penegakan hukum. Oleh karena itu, hal pertama yang harus dilakukan untuk menjaga kerahasiaan adalah mentransfer panggilan dan pesan ke pengirim pesan instan yang tidak ada dalam registri ARI. Atau mereka yang ada di sana, tetapi menolak untuk mentransfer data ke pihak berwenang - seperti Threema dan Telegram.
Referensi : Fakta semata-mata berada dalam registri ARI tidak menjamin bahwa data akan ditransfer ke pihak berwenang. Penting untuk terus memantau berita dan melihat reaksi pembawa pesan ketika mereka "datang" untuk itu.Panggilan suara dan pesan
Percakapan dan pesan kami dari campur tangan pihak ketiga dapat melindungi enkripsi ujung ke ujung, oleh karena itu utusan dengan E2E dianggap yang paling aman. Tapi ini tidak sepenuhnya benar: pertimbangkan opsi populer.
Telegram mendukung enkripsi ujung ke ujung dalam Obrolan Rahasia dan menyimpan data terenkripsi tentang korespondensi Anda di cloud, yang tersebar di berbagai negara dengan yurisdiksi "aman". Tetapi setelah sebuah
artikel tentang Habré tentang ilusi keamanan Paspor Telegram di E2E dari Durov, orang dapat mulai ragu.
Tentu saja, mengobrol di Obrolan Rahasia masih merupakan pilihan yang baik untuk orang yang paranoid. Dalam enkripsi mereka, server tidak terlibat sama sekali: pesan ditransmisikan peer-to-peer, yaitu langsung antara peserta dalam korespondensi. Agar semuanya tetap tenang, Anda dapat menggunakan fungsi penghancur pesan pesan waktu sendiri. Tapi jangan membabi buta mengandalkan Telegram. Untuk membuatnya sedikit lebih aman, Anda dan penerima Anda harus masuk ke pengaturan messenger dan melakukan setidaknya dua hal:
- Atur kata sandi saat memasukkan aplikasi ( Privasi dan Keamanan -> Kode Sandi );
- Aktifkan otentikasi dua langkah ( Privasi dan Keamanan -> Verifikasi Dua Langkah ).
Setelah itu, selain kode SMS, saat masuk dari perangkat baru, aplikasi akan meminta kata sandi yang hanya Anda yang tahu.
Sekarang konfirmasi entri hanya melalui SMS tidak melindungi orang yang menggunakan kartu SIM Rusia. Kasus peretasan akun Telegram melalui pesan SMS yang dicegat sudah diketahui - pada tahun 2016, penyerang
memperoleh akses ke korespondensi beberapa anggota oposisi, dan pada tahun 2017, akun jurnalis Dozhd Mikhail Rubin
diretas .
WhatsApp saat ini menghindari registri ARI dan juga menggunakan enkripsi ujung ke ujung, tetapi dengan itu semuanya tidak begitu gelap. Baru-baru ini, kami menerbitkan
berita tentang penduduk Magadan, di mana kami membuka kasus kriminal karena mengkritik walikota kota. Untungnya, kisah ini berakhir dengan denda yang biasa. Tapi dia mengkonfirmasi kekhawatiran pengguna: tidak aman untuk berkomunikasi di obrolan grup WhatsApp.
Apa yang akan terjadi- Segera setelah Anda menulis pesan, nomor telepon Anda akan segera tersedia untuk semua anggota grup. Dan dengan angka, identitas Anda mudah untuk dihitung.
Apa yang harus dilakukan- Solusinya mungkin kartu SIM "kiri" atau nomor asing - lebih disukai kartu Eropa.
Jika Anda menggunakan kartu Rusia yang terdaftar atas nama Anda, hindari menyengat komentar dalam grup dengan nama seperti "Walikota mengundurkan diri": untuk WhatsApp lebih baik hanya menyisakan korespondensi dan panggilan pribadi.
Viber juga tidak terdaftar dalam registri ARI, tetapi tetap berkomunikasi dengan pihak berwenang Rusia (di waktu luang mereka dari spam). Utusan ini adalah salah satu yang pertama untuk memenuhi persyaratan baru pemerintah: ia menyimpan login dan nomor telepon pengguna Rusia di Federasi Rusia, tetapi
menolak untuk memberikan data pesan - mengacu pada mekanisme enkripsi end-to-end dan kebijakan perusahaan.
Apple juga menggunakan ujung ke ujung, tetapi ketika mendaftar dengan iMessage, ia menciptakan dua pasangan kunci: pribadi dan publik. Pesan yang Anda terima dari pemilik perangkat apple yang sama dikirimkan kepada Anda dengan enkripsi, di mana kunci publik digunakan. Itu hanya dapat didekripsi menggunakan kunci pribadi penerima, yang disimpan di perangkatnya. Tentang bagaimana Apple terkait dengan privasi pengguna dan apa yang akan dilakukan jika menerima permintaan dari pemerintah, Anda dapat membaca di
sini. Tidak ada kasus yang tercatat ketika perusahaan mentransfer data dari pengguna Rusia ke otoritas Federasi Rusia.
Sumber: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Tetapi iMessage memiliki dua kelemahan:
- Anda dapat menulis atau menelepon melalui saluran ini hanya ke pemilik Apple yang sama;
- Jika Anda memiliki masalah dengan koneksi Internet Anda, pesan akan melalui saluran seluler biasa dan menjadi SMS sederhana yang dapat dengan mudah dicegat.
Untuk menghindari mengubah iMessage menjadi SMS, Anda dapat menonaktifkan fitur ini di pengaturan.
Para peneliti di Electronic Frontier Foundation
mengklaim bahwa tidak ada opsi aman seratus persen untuk panggilan dan pesan. Jika beberapa rasul tidak mengizinkan pihak berwenang untuk menerima data pribadi Anda, ini tidak berarti bahwa peretas (atau negara yang dapat menggunakan layanan mereka) tidak dapat melakukan hal ini dengan melanggar hukum. Untuk memberikan kepercayaan kepada pengguna bahwa tidak ada orang yang berada di tengah, Telegram memiliki trik yang bagus: ketika melakukan panggilan, kedua penerima dapat memastikan bahwa mereka melihat emoji yang sama di sudut kanan atas layar - ini akan memastikan tidak adanya " intrusi ke dalam senyawa.
Jika Anda membutuhkan cara komunikasi yang lebih andal, kami sarankan tidak hanya menggunakan obrolan rahasia, kata sandi, dan otentikasi dua langkah / dua faktor, tetapi juga melihat aplikasi niche yang kurang populer seperti
Confide atau
Signal .
Saya menggunakan Sinyal setiap hari. # note untuk FBI (Spoiler: mereka sudah tahu)Email
Perusahaan-perusahaan populer yang memberikan kesempatan untuk menggunakan klien email mereka (di Rusia, Yandex, Mail.Ru dan Rambler) sudah termasuk dalam registri ORI, yang berarti mereka tidak terlalu aman. Ya, Mail.Ru Group
menyerukan untuk menghentikan kasus pidana untuk meme dan amnesti bagi terpidana, tetapi dapat memberikan informasi tentang data Anda kepada pihak berwenang sesuai permintaan.
Bahkan jika Anda menggunakan klien email Barat seperti Gmail atau Outlook, telah mengaktifkan otentikasi dua faktor dan tahu bahwa pesan Anda dienkripsi menggunakan protokol SSL / TLS yang dapat diandalkan, Anda tidak dapat memastikan bahwa pesan penerima Anda juga dilindungi.
Opsi Perlindungan:- Saat mengirim informasi sensitif, mengenkripsi email menggunakan Pretty Good Privacy ( PGP ). Program ini membantu mengubah data dari surat menjadi karakter yang tidak berarti yang ditetapkan untuk semua orang kecuali pengirim dan penerima;
- Saat mengirim informasi penting, selalu perhatikan domain penerima dan jangan menulis ke alamat yang mencurigakan;
- Tanyakan kepada penerima terlebih dahulu apakah ia telah mengkonfigurasi penerusan atau pengumpulan surat melalui layanan pos Rusia.
Dalam kasus perusahaan domestik dari registri, pada dasarnya tidak ada enkripsi pada sisi pengguna yang akan membantu. Informasi tidak disadap, tetapi disimpan dan dikirim oleh titik akhir - layanan serupa. Solusinya hanya dapat menggantinya dengan mitra yang lebih aman seperti ProtonMail, Tutanota atau Hushmail. Lebih banyak dari layanan email ini dapat ditemukan di halaman
ini .
Jejaring sosial
Untuk memulai, minimalkan masa tinggal Anda di jejaring sosial Rusia yang populer - "My World", "Classmates" dan "VKontakte". Facebook setidaknya tidak mentransfer data Anda ke layanan khusus Rusia. Setidaknya, kasus-kasus seperti itu belum tercatat.
Tetapi menarik bahwa pada tahun 2017, perusahaan tetap memenuhi 85% permintaan dari pemerintah AS:
Cuplikan layar dari Laporan Transparansi FacebookJika Anda terlalu terbiasa dengan VK, tetapi tidak ingin berada di dok, perhatikan beberapa hal:
- gambar Anda yang disimpan;
- posting, komentar, dan posting yang Anda tulis;
- posting yang Anda suka;
- Bagikan pos
- Teman yang berteman dengan Anda.
Dalam semua hal di atas, lebih baik menghindari apa yang bisa dianggap ofensif atau ekstremis. Selalu ingat bahwa "penyebaran" adalah komunikasi informasi "ilegal" kepada setidaknya satu orang.
Damir Gainutdinov, seorang pengacara di kelompok hak asasi manusia internasional Agora, mengklaim bahwa di bawah hukum, ARI diharuskan untuk menyimpan dan mentransmisikan ke lembaga penegak hukum bahkan draft pesan yang tidak terkirim . Baca lebih lanjut tentang cara tidak duduk di pos, baca di
sini.
Ngomong-ngomong, untuk beberapa waktu sekarang siapa pun yang memiliki nomor telepon Anda dapat secara default menemukan Anda di VKontakte, bahkan jika halaman itu sendiri tidak memberikan identitas asli Anda.
Anda dapat melarang untuk menemukan Anda berdasarkan nomor di pengaturan profil (Pengaturan -> Privasi -> Hubungi saya) . Tetapi ini, tentu saja, tidak akan menghemat dari layanan khusus. Jangan menggunakan panggilan dan komunikasi video di VKontakte: tidak diketahui apakah jaringan benar-benar mengenkripsi ujung-ke-ujungnya, seperti yang diklaim oleh administrasi.
Keamanan Situs Web
Satu-satunya kabar baik adalah bahwa
lebih dari setengah dari semua situs populer di Internet sudah memiliki versi https atau telah sepenuhnya beralih menggunakan hanya versi https. Informasi yang diterima dan dikirim di situs-situs tersebut dienkripsi dan tidak dapat dibaca oleh pihak ketiga. Sumber daya tersebut ditandai dengan warna hijau dan kata "dilindungi."
Berita baiknya berakhir di sini. Terlepas dari protokol https, fakta mengunjungi situs tersebut dan permintaan DNS (informasi tentang domain mana yang Anda akses) masih tetap ada di depan penyedia Internet.
Tetapi berita lainnya bahkan lebih buruk: separuh situs yang tersisa bekerja menggunakan protokol http biasa, yaitu, tanpa enkripsi data. Solusinya mungkin VPN, yang mengenkripsi sepenuhnya semua data yang diterima dan dikirim sehingga di sisi penyedia Internet dan siapa pun yang mencoba menyusup di antara Anda dan situs akhir, tidak ada informasi yang dapat dibaca. Satu-satunya hal yang akan dilihat adalah fakta menghubungkan ke alamat IP tertentu di Internet (yaitu, ke server VPN). Dan tidak lebih.
Kami akan bahagia jika hidup tiba-tiba menjadi sangat sederhana: kami menyalakan VPN dan lupa tentang kebocoran informasi sensitif. Tapi ini tidak benar. Periksa secara teratur apakah sumber daya favorit Anda termasuk dalam registri ARI, perhatikan bagaimana ia berinteraksi dengan pihak berwenang, periksa koneksi aktif dalam pengaturan pesan instan dan jejaring sosial dan setel ulang yang mencurigakan (dan kemudian pastikan untuk mengganti kata sandi).
Secara global
Ketika bekerja dengan saluran komunikasi dan transmisi data, hanya pendekatan terpadu untuk keamanan dan privasi yang masuk akal. Ikuti peristiwa keamanan Internet di saluran telegram kami
@hidemyname_ru , di situs web
Roskomsvoboda dan sumber daya lain yang ditujukan untuk acara di Internet dan khususnya Runet.
Apa langkah keamanan yang Anda ambil?