Твитнуть
Как выбраться из пакета Яровой?
[МАТЕРИАЛ БЫЛ СНЯТ ЧЕРЕЗ 10 МИНУТ ПОСЛЕ ПУБЛИКАЦИИ]
Добрый день, читатели Habrahabr`а!
Хочется затронуть один из аспектов актуальной темы изменений в законодательстве РФ. Речь идет об «антитеррористическом пакете Яровой», включающем правки в 18 действующих федеральных законов. Многие из них регулируют деятельность компаний, предоставляющих услуги связи. 24 июня 2016 года Госдума проголосовала за принятие этих изменений, 29 числа было получено одобрение Совета Федерации. 7-го же июля законопроект подписал Президент.
Для тех, кто не следил за новостями, в двух словах напомню, что, согласно нововведениям, операторы связи и «организаторы распространения информации», обязаны:
• хранить информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи;
• текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи;
• предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач;
• к этому стоит добавить, что 4.07.2014 года были приняты изменения в Федеральный Закон «О персональных данных», который вступит в силу с 1 сентября 2016 года. Согласно ему;
Интернет-операторы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в базах данных информации, расположенных на территории Российской Федерации.
Таким образом, после указанной даты хранение любых персональных данных за пределами России запрещено.
Операторы связи и любые другие субъекты в этой сфере бизнеса, конечно же, обязаны действовать согласно обновленному законодательству, а за обратное – понести ответственность. Сейчас ведутся различные споры и поиск путей выхода из ситуации, собираются подписи и подсчитываются будущие убытки – представителей бизнеса, а в конечном итоге – пользователей их услуг.
В свете последних событий и после краткого обзора изменений в законодательстве имеет смысл вернуться к теме шифрования данных для безопасного общения. Раньше этот вопрос был актуален лишь в узких кругах небезразличных пользователей, но теперь – касается каждого из нас. Ведь такие понятия как «частная жизнь» и «приватность» еще никто не отменял. И крайне мало тех, кто готов от них отказаться в угоду совершенно неясных целей правительства.
Проблема пользователей услугами «операторов распространения информация» заключается в том, что пересылаемые данные связаны с конкретными людьми – отправителем и получателем. Избежать же такого распространения можно при помощи такой возможности как «обезличивание». Это понятие прописано в Федеральном Законе «О персональных данных» и имеет следующее определение:
«Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».
P.S. Вы еще помните об изменении Закона «О персональных данных», описанном выше? Немного позднее, 6 сентября 2014 года, было издано постановление № 911, отменившее обязанность операторов обезличивать персональные данные.
Существуют сервисы, в которых обезличивание работает на практике, регистрация и персональные данные не требуются, а пересылаемый контент – шифруется. Для использования таких сервисов нужно устройство с выходом в интернет и включенный VPN, поэтому пользоваться ими может практически каждый.
Но аккуратность все же не помешает. Сервисы для безопасного общения используют разные подходы, и их возможности далеко не всегда позволяют скрывать пользовательские данные от сервера. В качестве примера приведу несколько из них:
https://Secureshare.pw
https://SafeMsg.me
https://OneTimeSecret.com
https://TMWSD.ws
https://1ty.me
Как видно на скриншотах, текст сообщения и пароль пересылаются на сервер в открытом виде. А значит, эти сервисы и обязаны, и имеют техническую возможность предоставлять таковые данные по запросу соответствующих государственных органов. Обзоры некоторых из них находятся по ссылкам:
А как Вы передаете клиентам логины/пароли?
Одноразовые URL: после прочтения уничтожить
One Time Secret – после прочтения сжечь
Сервисы же с реальным шифрованием на «Хабре» еще не обсуждались, поэтому предлагаю уважаемому читателю себе краткий обзор двух из них:
https://privnote.com
https://Secserv.me
Именно эти сервисы в нынешних условиях могут стать решением проблемы утечки данных.
В двух словах расскажу о функционале. Что касается передачи текстовых сообщений, то оба сервиса работают похожим образом, во всяком случае, с точки зрения пользователя. Сообщение шифруется, генерируется одноразовая ссылка, которую и нужно передать получателю. Все сообщения удаляются после прочтения – по молчанию. Есть и дополнительные опции, такие как срок жизни сообщения и защита его паролем. Длительный срок жизни сообщения позволяет использовать эту функцию не только для передачи, но и для хранения информации с оперативным доступом к ней.
Если говорить об отличиях между Privnote.com и Secserv.me, то речь пойдет о более обширном функционале, предоставляемом сервисом сервисом Secserv. Например, с его помощью можно пересылать не только текст, но и вложения, а также создать одноразовый чат для группового общения. Так же Secserv не проверяет пароль на правильность по причине того, что не получает его на сервер - Privnote же выдает сообщение только после ввода правильного пароля.
Оба сервиса имеют и общий недостаток в виде основного возможного вектора атаки – подмены Javascript, которого невозможно избежать в web-приложении. Однако, в контексте пакета Яровой, данная атака не так актуальна – ведь она должна быть произведена во время коммуникации. Поэтому будьте внимательны, анализируйте, проверяйте, используйте все доступные средства защиты своих данных. И – держитесь
Добрый день, читатели Habrahabr`а!
Хочется затронуть один из аспектов актуальной темы изменений в законодательстве РФ. Речь идет об «антитеррористическом пакете Яровой», включающем правки в 18 действующих федеральных законов. Многие из них регулируют деятельность компаний, предоставляющих услуги связи. 24 июня 2016 года Госдума проголосовала за принятие этих изменений, 29 числа было получено одобрение Совета Федерации. 7-го же июля законопроект подписал Президент.
Для тех, кто не следил за новостями, в двух словах напомню, что, согласно нововведениям, операторы связи и «организаторы распространения информации», обязаны:
• хранить информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи;
• текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи;
• предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач;
• к этому стоит добавить, что 4.07.2014 года были приняты изменения в Федеральный Закон «О персональных данных», который вступит в силу с 1 сентября 2016 года. Согласно ему;
Интернет-операторы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в базах данных информации, расположенных на территории Российской Федерации.
Таким образом, после указанной даты хранение любых персональных данных за пределами России запрещено.
Операторы связи и любые другие субъекты в этой сфере бизнеса, конечно же, обязаны действовать согласно обновленному законодательству, а за обратное – понести ответственность. Сейчас ведутся различные споры и поиск путей выхода из ситуации, собираются подписи и подсчитываются будущие убытки – представителей бизнеса, а в конечном итоге – пользователей их услуг.
В свете последних событий и после краткого обзора изменений в законодательстве имеет смысл вернуться к теме шифрования данных для безопасного общения. Раньше этот вопрос был актуален лишь в узких кругах небезразличных пользователей, но теперь – касается каждого из нас. Ведь такие понятия как «частная жизнь» и «приватность» еще никто не отменял. И крайне мало тех, кто готов от них отказаться в угоду совершенно неясных целей правительства.
Проблема пользователей услугами «операторов распространения информация» заключается в том, что пересылаемые данные связаны с конкретными людьми – отправителем и получателем. Избежать же такого распространения можно при помощи такой возможности как «обезличивание». Это понятие прописано в Федеральном Законе «О персональных данных» и имеет следующее определение:
«Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».
P.S. Вы еще помните об изменении Закона «О персональных данных», описанном выше? Немного позднее, 6 сентября 2014 года, было издано постановление № 911, отменившее обязанность операторов обезличивать персональные данные.
Существуют сервисы, в которых обезличивание работает на практике, регистрация и персональные данные не требуются, а пересылаемый контент – шифруется. Для использования таких сервисов нужно устройство с выходом в интернет и включенный VPN, поэтому пользоваться ими может практически каждый.
Но аккуратность все же не помешает. Сервисы для безопасного общения используют разные подходы, и их возможности далеко не всегда позволяют скрывать пользовательские данные от сервера. В качестве примера приведу несколько из них:
https://Secureshare.pw
https://SafeMsg.me
https://OneTimeSecret.com
https://TMWSD.ws
https://1ty.me
Как видно на скриншотах, текст сообщения и пароль пересылаются на сервер в открытом виде. А значит, эти сервисы и обязаны, и имеют техническую возможность предоставлять таковые данные по запросу соответствующих государственных органов. Обзоры некоторых из них находятся по ссылкам:
А как Вы передаете клиентам логины/пароли?
Одноразовые URL: после прочтения уничтожить
One Time Secret – после прочтения сжечь
Сервисы же с реальным шифрованием на «Хабре» еще не обсуждались, поэтому предлагаю уважаемому читателю себе краткий обзор двух из них:
https://privnote.com
https://Secserv.me
Именно эти сервисы в нынешних условиях могут стать решением проблемы утечки данных.
В двух словах расскажу о функционале. Что касается передачи текстовых сообщений, то оба сервиса работают похожим образом, во всяком случае, с точки зрения пользователя. Сообщение шифруется, генерируется одноразовая ссылка, которую и нужно передать получателю. Все сообщения удаляются после прочтения – по молчанию. Есть и дополнительные опции, такие как срок жизни сообщения и защита его паролем. Длительный срок жизни сообщения позволяет использовать эту функцию не только для передачи, но и для хранения информации с оперативным доступом к ней.
Если говорить об отличиях между Privnote.com и Secserv.me, то речь пойдет о более обширном функционале, предоставляемом сервисом сервисом Secserv. Например, с его помощью можно пересылать не только текст, но и вложения, а также создать одноразовый чат для группового общения. Так же Secserv не проверяет пароль на правильность по причине того, что не получает его на сервер - Privnote же выдает сообщение только после ввода правильного пароля.
Оба сервиса имеют и общий недостаток в виде основного возможного вектора атаки – подмены Javascript, которого невозможно избежать в web-приложении. Однако, в контексте пакета Яровой, данная атака не так актуальна – ведь она должна быть произведена во время коммуникации. Поэтому будьте внимательны, анализируйте, проверяйте, используйте все доступные средства защиты своих данных. И – держитесь
Комментарий