Oi Habr.
Somos nós, serviço VPN
HideMy.name . Agora estamos trabalhando temporariamente no espelho HideMyna.me. Porque Em 20 de julho de 2018, Roskomnadzor nos adicionou
à lista de recursos proibidos devido à decisão do Tribunal Distrital de Medvedevsky em Yoshkar-Ola. O tribunal decidiu que os visitantes do nosso site têm acesso irrestrito a materiais extremistas # sem registrar registros, e de alguma forma encontraram nele o livro "Mein Kampf", de Adolf Hitler. Aparentemente, por confiabilidade.
Essa decisão nos surpreendeu muito, mas continuamos trabalhando para hidemyna.me, hidemyname.org, .one, .biz e outros.Os longos conflitos com Roskomnadzor não levaram a nenhum resultado. Enquanto advogados e eu contestamos o bloqueio e a decisão mágica do tribunal, compartilhamos com você dicas básicas sobre como manter a confidencialidade na Internet e notícias sobre esse tópico.
Edward Snowden ama a Agência de Segurança Nacional (provavelmente)Não é segredo que os serviços russos populares não são seguros. Sua correspondência a qualquer momento pode estar no campo de visão dos agentes da lei nacional. Nós dizemos o que você precisa lembrar ao se comunicar através de diferentes canais de comunicação.
SORM e ARI
Existem
muitas maneiras
diferentes de ouvir o seu telefone. Oficial e legal - SORM, um sistema de meios técnicos para garantir as funções das medidas de busca operacional. De acordo com a lei da Federação Russa, todas as operadoras de telefonia móvel são obrigadas a instalar esse sistema em suas trocas, caso não desejem perder sua licença. Existem três tipos de SORM: o primeiro foi inventado nos anos 80, o segundo foi introduzido no zero e o terceiro tenta impor aos operadores desde 2014.
De acordo com a RBC , a maioria dos operadores usa o segundo tipo, mas em 70% dos casos o sistema não funciona corretamente ou não funciona. No entanto, em um telefone fixo e por meio de uma chamada comum de um celular, tópicos sensíveis ainda são melhores para não discutir.
Esquema de trabalho do SORM-2 (Fonte: mfisoft.ru)De acordo com o 97-FZ, quaisquer mensageiros instantâneos, serviços e sites que operam no território da Rússia devem ser inscritos no registro dos
organizadores da disseminação de informações . De acordo com a "
Lei da Primavera "
, eles são obrigados a armazenar todos os dados do usuário, incluindo gravações de chamadas de voz e correspondência, por seis meses. No ORI, a propósito, também há Habrahabr.
O trabalho do registro é descrito em detalhes
aqui no exemplo da Threema, mas a principal conclusão é a seguinte: agora, a pedido das autoridades russas, qualquer informação sobre você pode estar na aplicação da lei. Portanto, a primeira coisa a fazer para manter a confidencialidade é transferir chamadas e mensagens para mensageiros instantâneos que não estão no registro da ARI. Ou aqueles que estão lá, mas se recusam a transferir dados para as autoridades - como Threema e Telegram.
Referência : o simples fato de estar no registro da ARI não garante que os dados sejam transferidos para as autoridades. É necessário monitorar constantemente as notícias e observar a reação do mensageiro quando elas "vêm" para elas.Chamadas e mensagens de voz
Nossas conversas e mensagens de interferência de terceiros podem proteger a criptografia de ponta a ponta; portanto, os mensageiros com E2E são considerados os mais seguros. Mas isso não é inteiramente verdade: considere as opções populares.
O Telegram suporta criptografia de ponta a ponta em seus bate-papos secretos e armazena dados criptografados sobre sua correspondência na nuvem, que está espalhada em diferentes países com uma jurisdição "segura". Mas depois de um
artigo sobre Habré sobre a ilusão da segurança do Telegram Passport no E2E de Durov, pode-se começar a duvidar.
É claro que conversar em bate-papos secretos ainda é uma boa opção para pessoas paranóicas. Na criptografia, o servidor não está envolvido: as mensagens são transmitidas ponto a ponto, ou seja, diretamente entre os participantes da correspondência. Para manter as coisas calmas, você pode usar a função de autodestruição das mensagens do timer. Mas não confie cegamente no Telegram. Para torná-lo um pouco mais seguro, você e seu destinatário devem acessar as configurações do messenger e fazer pelo menos duas coisas:
- Defina uma senha ao entrar no aplicativo ( Privacidade e segurança -> Senha );
- Habilite a autenticação em duas etapas ( Privacidade e segurança -> Verificação em duas etapas ).
Depois disso, além do código SMS, ao entrar em um novo dispositivo, o aplicativo solicitará uma senha que somente você saiba.
Agora, a confirmação da entrada apenas via SMS não protege a pessoa que usa o cartão SIM russo. Os casos de invasão de contas do Telegram por meio de uma mensagem SMS interceptada já são conhecidos - em 2016, os atacantes
obtiveram acesso à correspondência de vários membros da oposição e, em 2017, a conta do jornalista do Dozhd Mikhail Rubin
foi invadida .
Atualmente, o
WhatsApp evita o registro ARI e também usa criptografia de ponta a ponta, mas com ele tudo não é tão sem nuvens. Recentemente, publicamos
notícias sobre os moradores de Magadan, onde abrimos um processo criminal por criticar o prefeito da cidade. Felizmente, essa história terminou na multa de sempre. Mas ela confirmou as preocupações dos usuários: não é seguro se comunicar nas conversas em grupo do WhatsApp.
O que vai acontecer?- Assim que você escrever uma mensagem, seu número de telefone ficará imediatamente disponível para todos os membros do grupo. E pelo número, sua identidade é fácil de calcular.
O que fazer- A solução pode ser um cartão SIM "esquerdo" ou um número estrangeiro - de preferência um número europeu.
Se você usa um cartão russo registrado em seu nome, evite comentários picantes em grupos com um nome como "Meru - renúncia": para o WhatsApp, é melhor deixar apenas correspondência e chamadas pessoais.
O Viber também não está listado no registro da ARI, mas mantém a comunicação com as autoridades russas (no tempo livre de spam). Esse mensageiro foi um dos primeiros a atender aos novos requisitos do governo: armazena logins e números de telefone de usuários russos na Federação Russa, mas
se recusa a fornecer dados de mensagens - refere-se à mecânica de criptografia de ponta a ponta e à política corporativa.
A Apple também usa ponta a ponta, mas ao se registrar no iMessage, cria dois pares de chaves: privado e público. A mensagem que você recebe do mesmo proprietário do dispositivo apple é transmitida a você com criptografia, na qual a chave pública é usada. Ele só pode ser descriptografado usando a chave privada do destinatário, armazenada no dispositivo dele. Sobre como a Apple se relaciona com a privacidade do usuário e o que fará se receber uma solicitação do governo, você pode ler
aqui. Não houve casos registrados quando a empresa transferiu dados de usuários russos para as autoridades da Federação Russa.
Fonte: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Mas o iMessage tem duas desvantagens:
- Você pode escrever ou ligar através desses canais apenas para o mesmo proprietário da Apple;
- Se você tiver problemas com a sua conexão com a Internet, a mensagem passará por um canal celular normal e se tornará um simples SMS que pode ser facilmente interceptado.
Para evitar transformar o iMessage em SMS, você pode desativar esse recurso nas configurações.
Pesquisadores da Electronic Frontier Foundation
afirmam que não existe uma opção cem por cento segura para chamadas e mensagens. Se alguns mensageiros não permitirem que as autoridades recebam seus dados privados, isso não significa que hackers (ou o estado que pode usar seus serviços) não possam fazer isso ignorando as leis. Para dar ao usuário a confiança de que não há um intermediário, o Telegram tem um bom truque: ao fazer uma chamada, os dois destinatários podem garantir que eles vejam o mesmo emoji no canto superior direito da tela - isso confirmará a ausência de " intrusão no composto.
Se você precisar de um meio de comunicação mais confiável, recomendamos não apenas o uso de bate-papos secretos, senhas e autenticação em duas etapas / dois fatores, mas também observe aplicativos de nicho menos populares, como
Confide ou
Signal .
Eu uso o sinal todos os dias. # nota para o FBI (Spoiler: eles já sabem)E-mail
As empresas populares que oferecem a oportunidade de usar seus clientes de email (na Rússia, são Yandex, Mail.Ru e Rambler) já estão incluídas no registro do ORI, o que significa que elas não são muito seguras. Sim, o Mail.Ru Group
pede a suspensão de casos criminais por memes e anistia para condenados, mas pode fornecer informações sobre seus dados às autoridades sob demanda.
Mesmo se você usar clientes de correio ocidentais como o Gmail ou o Outlook, tiver ativado a autenticação de dois fatores e souber que sua mensagem é criptografada usando o protocolo SSL / TLS confiável, não é possível ter certeza de que a mensagem do destinatário também está protegida.
Opções de proteção:- Ao enviar informações confidenciais, criptografe e-mails usando Pretty Good Privacy ( PGP ). Este programa ajuda a transformar dados de uma carta em um conjunto de caracteres sem sentido para todos, exceto o remetente e o destinatário;
- Ao enviar informações importantes, sempre preste atenção ao domínio do destinatário e não escreva para um endereço suspeito;
- Verifique com o destinatário com antecedência se ele configurou o encaminhamento ou a coleta de correio pelo serviço postal russo.
No caso de empresas domésticas do registro, nenhuma criptografia do lado do usuário ajudará, em princípio. As informações não são interceptadas, mas armazenadas e transmitidas pelos terminais - serviços semelhantes. A solução pode ser substituí-los por outros mais seguros, como ProtonMail, Tutanota ou Hushmail. Mais desses serviços de e-mail podem ser encontrados
nesta página.
Redes sociais
Para começar, minimize a sua estadia nas redes sociais russas populares - "My World", "Classmates" e "VKontakte". O Facebook pelo menos não transfere seus dados para os serviços especiais russos. Pelo menos, esses casos não foram registrados.
Mas é interessante que, em 2017, a empresa tenha atendido 85% dos pedidos do governo dos EUA:
Capturas de tela do Facebook Transparency ReportSe você está muito acostumado ao VK, mas não quer estar no banco dos réus, preste atenção a várias coisas:
- suas fotos salvas;
- postagens, comentários e postagens que você escreve;
- posts que você gosta;
- Compartilhar postagens
- Amigos com quem você é amigo.
Em todas as opções acima, é melhor evitar o que pode ser considerado ofensivo ou extremista. Lembre-se sempre de que "disseminação" é a comunicação de informações "ilegais" a pelo menos uma pessoa.
Damir Gainutdinov, advogado do grupo internacional de direitos humanos Agora, alega que, de acordo com a lei, os ARIs são obrigados a armazenar e transmitir às agências policiais os rascunhos de mensagens não enviadas . Leia mais sobre como não se sentar para um repost, leia
aqui.
A propósito, já há algum tempo, qualquer pessoa que possua seu número de telefone pode encontrá-lo no VKontakte, mesmo que a página em si não forneça sua identidade real.
Você pode proibir de encontrá-lo por número nas configurações do perfil (Configurações -> Privacidade -> Entre em contato comigo) . Mas isso, é claro, não economizará em serviços especiais. Não use chamadas e comunicações de vídeo no VKontakte: não se sabe se a rede realmente criptografa seu end-to-end, como afirma a administração.
Segurança do site
A única boa notícia é que
mais da metade de todos os sites populares na Internet já possui uma versão https ou passou a usar completamente apenas versões https. As informações recebidas e transmitidas nesses sites são criptografadas e não podem ser lidas por terceiros. Esses recursos estão marcados em verde e a palavra "protegido".
As boas notícias terminam aqui. Apesar do protocolo https, o fato de visitar esse site e as consultas DNS (informações sobre quais domínios você acessou) ainda permanece na frente do provedor de Internet.
Mas as outras notícias são ainda piores: a metade restante dos sites trabalha usando o protocolo http usual, isto é, sem criptografia de dados. A solução pode ser uma VPN, que criptografa absolutamente todos os dados recebidos e transmitidos, para que, do lado do provedor de Internet e de qualquer pessoa que tente se infiltrar entre você e o site final, não haja informações legíveis. A única coisa que será vista é o fato de se conectar a um determinado endereço IP na Internet (ou seja, a um servidor VPN). E nada mais.
Ficaremos felizes se a vida se tornar tão simples de repente: ligamos a VPN e esquecemos o vazamento de informações confidenciais. Mas isso não é verdade. Verifique regularmente se o seu recurso favorito está incluído no registro da ARI, observe como ele interage com as autoridades, verifique as conexões ativas nas configurações de mensagens instantâneas e redes sociais e redefina as suspeitas (e certifique-se de alterar as senhas).
Globalmente
Ao trabalhar com canais de comunicação e transmissão de dados, apenas faz sentido uma abordagem integrada de segurança e privacidade. Acompanhe os eventos de segurança da Internet em nosso canal de telegrama
@hidemyname_ru , no site da
Roskomsvoboda e em outros recursos dedicados a eventos na Internet e, em particular, no Runet.
Que medidas de segurança você está tomando?