Zaloguj się, aby obserwować tę zawartość
Obserwujący
0
-
Podobna zawartość
-
Przez Shivon
Temat z Discorda.
Kurrr...
http://www.money.pl/gospodarka/wiadomosci/artykul/abonament-rtv-ustawa-kablowki-platna,17,0,2323985.html
Oczywiście ludzie już się buntują, bo:
a) to jest próba legalizacji przekazywania poufnych danych podmiotowi trzeciemu (w tym wypadku dane idą z kablówek i dostawców telewizji z satelity do Poczty Polskiej);
b)to jest także naruszenie innego prawa, gdyż PiSiory chcą wymusić opłacenie swojej "misji publicznej" aka mediów propagandowych. To jest wstrętne...
-
Przez Tecon
Czołem obywatele.*
Pamiętacie [ACTA]? Wielka ogólnoeuropejska akcja - nie chcieliśmy by inni tworzyli prawo za nas. Największy raban podnieśli internauci, którym nagle zaczęto by mówić co mogą w internecie oglądać i na jakie strony wchodzić. Mało kto był w stanie przebrnąć przez wszystkie akty prawne, ale wniosek był jeden - ocenzurowali by internet. Pomysł upadł, udało się, sprawa na kilka lat przycichła, ale dla wszystkich 'w branży' było oczywiste, że znów ktoś spróbuje, tym razem po cichu.
7 lutego 2016 - będzie historyczną datą. "[zmiana ustawy o Policji oraz niektórych innych ustaw]". Brzmi niewinnie, prawda? (wszystkie kursywy nasze)
Uchwalona wersja ustawy do pobrania tutaj
Jak ktoś nie zna tematu - już powstało kilka artykułów w prasie:
[Newsweek] [Gazeta Wyborcza] ([kopia]) [Wykop] (kopia głównych myśli z wczorajszego artykułu GW) [Fundacja Panoptykon] [gazeta.pl] I pewnie się jeszcze kilka pojawi, bo przegłosowali dzisiaj (15 stycznia 2015) o 10:27. Ustawa przeszła przez Sejm (jedyne ugrupowanie polityczne które głosowało za to PiS), wcześniej odrzucono prawie wszystkie poprawki opozycji... teraz czekamy na Senat i Prezydenta.
Ze swojej strony dodam jeszcze, że nad ustawą pracowano 8 tygodni, ja o "temacie" dowiedziałem się przed dwoma tygodniami, a pierwsze informacje w mediach publicznych usłyszałem 3 dni temu.
Listy organizacji, które skrytykowały ten projekt nie zamieszczam, bo miejsca by brakło (m.in [Helsińska Fundacja Praw Człowieka]).
Więc proszę państwa, Jak żyć?
Cóż, najpierw czytamy [artykuł na Niebezpiecznik.pl] (autorstwa [Piotra Koniecznego]) oraz komentarze pod nim. W sumie to ten artykuł by wystarczył, ale jest nieco techniczny ;-) Poniższy tekst jest nim mocno inspirowany
Potem możemy przeczytać ich [10 porad bezpieczeństwa].
Ja ekspertem nie jestem, ale już średnio-zaawansowanym użytkownikiem chyba tak, a bezpieczeństwem danych i kryptografią interesuje się typowo hobbystycznie.
Lista rad i pomysłów na utrudnienie wścibskim Panom życia:
Telefon - aktualnie wszyscy polecają aplikację Signal ([iPhone], [Android]) - można słać sms/mms, a jak zauważy że osoba po drugiej stronie też używa Signala to wyśle to jako zaszyfrowane dane w internet. Proste w obsłudze, dostępny ciemny motyw.
E-mail Skrzynka pocztowa z wbudowanym szyfrowaniem - "najbezpieczniejsza" to aktualnie [protonmail.com] - szyfrowanie po stronie przeglądarki, oni nie mają możliwości odczytania naszej korespondencji (klucz do szyfrowania danych jest generowany na podstawie osobnego hasła). Oczywiście, żeby mieć pocztę w pełni (i automatycznie) szyfrowaną, osoba która wysyła do nas pocztę musi również korzystać z konta w tym serwisie (lub zaszyfrować wiadomość w jakimś programie za pomocą naszego klucza publicznego). Strona ciągle się rozwija, a cała infrastruktura jest w Szwajcarii. W planach jest np. dodanie możliwości wysyłania zaszyfrowanej korespondencji do innych usługodawców. Gmail (i inne) - na których konta już mamy, lubimy i korzystamy z poczty w przeglądarce. Przez Chroma lub FF. Ja używam [www.mailvelope.com] - dodatek do przeglądarki, który pozwala zarządzać kluczami openPGP, oraz wysyłać i odbierać zaszyfrowane wiadomości. Można go włączyć prawie na każdej poczcie przez www. Minus jest taki, że nasz klucz prywatny (ten do odszyfrowywania poczty) jest zapisany na naszym kompie - więc musimy mocno dbać o to by nie wpadł w niepowołane ręce. Np. jak te ręce pożyczą od nas niezaszyfrowany dysk Eksport/import kluczy do pliku tekstowego... jak klucz zginie, zapomnijcie o poczcie. (przy protonmailu zresztą jest podobnie, jeśli zapomnicie aktualne hasło szyfrowania ) Thunderbird - również są dodatki, np. polecany [enigmail], nie używałem, więc testujcie sami jeśli chcecie ;-) Outlook mamy do wyboru szyfrowanie wbudowane, made by M$. Oni i [NSA] nasze maile przeczytają, ale mało prawdopodobne żeby za bezdurno oddali je PL. No chyba że ktoś im powie że jesteśmy podejrzewani o terroryzm/ekstremizm oraz dodatki jak np. [GPG4win],
Szyfrowanie dysków komputerowych
[TrueCrypt] - projekt zamknięty, ostatnia "pewna" wersja to 7.1a, później firma została wykupiona przez M$,
[VeraCrypt] - odgałęzienie TrueCrypta bazujące na wersji 7.1a, ale już pisane przez inną ekipę,
BitLocker - dziecko M$, powstałe z wykupionego TrueCrypta, wbudowane w Windowsa:
VISTa i Win7 - Ultimate i Enterprise
Win8 - Pro i Entreprise
Win 2008 Serwer
Win 10 jest trochę inną historią. Szyfrowanie jest dostępne, ba proponowane użytkownikowi... razem z przesłaniem kopii bezpieczeństwa kluczy szyfrujących do M$. I [bardzo, bardo trudno] te dzielenie się kluczami prywatnymi wyłączyć.
Telefon - zarówno Android jak i iPhone mają wbudowane opcje szyfrowania danych. Z tą różnica, ze iPhone z tego co wiem robi to domyślnie, a z Androidem... musimy sami podjąć odważną decyzję. Zmieniamy odblokowywanie tel. na hasło/pin i klikamy odpowiednią opcję. Można zaszyfrować sam telefon lub razem z kartą SD. Kilka uwag praktycznych:
Kody potrzebne do odszyfrowania karty SD są generowane na podstawie klucza wbudowanego w urządzenie oraz czasu operacji. A następnie zapisywane w pamięci wewnętrznej. Więc jeśli utracimy dane w tel. karty nie da się otworzyć potem niczym, nawet tym samym telefonem z takim samym hasłem. (a archiwizacja ich wymaga Roota)
kartę da się odczytać tylko jeśli jest w telefonie (a wtedy android blokuje dostęp do większości danych systemowych na niej) - nie zrobimy backupa danych, jedynie obraz karty.
Raz mojemu telefonowi nie udało się zaszyfrować - zresetował się do ustawień fabrycznych i wymazał kartę SD ;-) (backup, backup, backup)
Chcemy zaktualizować telefon bo pojawiła się nowa wersja Andka... cóż, lubicie konfigurować wszystko od ustawień fabrycznych, prawda?
W Androidzie 6 (Marshmallow) ma się to poprawić (np aplikacje robią backup automatycznie w chmurze - odzyskujemy wszystko z Googla).. no ale znów, po co szyfrować, skoro oni to mają w postaci otwartej? Ale fakt, że ma to wujek nie znaczy, że podzieli się z innymi
Ok, czas do meritum, czyli jak zamieszać w informacjach które o sobie wysyłamy, szczególnie wszystkich metadanych, do których służby będą miały dostęp pod byle pretekstem (a nawet bez, jakiś paragraf się zawsze później znajdzie)
[Proxy] - zamiast wysłać zapytanie o zawartość strony bezpośrednio do serwera na którym się znajduje, łączymy się z serwerem proxy i mówimy mu, że ma nam pobrać żądaną stronę i przesłać jako swoją. Można skonfigurować proxy bezpośrednio w systemie operacyjnym (IE i wszystkie programy korzystające z jego ustawień), innej przeglądarce lub korzystać z tzw. [HTTP Proxy], gdzie wchodzimy na stronę www, na której jest okienko na adres strony którą chcemy odwiedzić. Serwis docelowy 'widzi' połączenie z proxy, a nie od nas. Więc jak np korzystamy proxy w Czechach, strona będzie myśleć że łączymy się z Czech i tak nam dostosuje zawartość / język. Anonymus-proxy nie wysyła do serwera naszego IP, więc możemy sobie stworzyć nowe konto na forum jak nam założy na IP. Darmowe proxy są wolne... a szybkie nie są darmowe serwery poszukajcie sobie w ruch między proxy da się prześledzić, ale nie jest to już takie proste, jak komuś bardzo zależy to łączy się przez kilka proxy, z których każdy łączy się z kolejnym, a dopiero ostatni z żądaną stroną. Lub wręcz robi łańcuszek mieszany z proxy i VPNów.
[VPN] - w sieci jest tworzony wirtualny 'tunel' między nami a serwerem VPN. Od proxy różni się szyfrowaniem i kompresją danych. Cały nasz ruch sieciowy jest wysyłany do serwera VPN, który dopiero wykonuje nasze zapytania i odsyła nam wszystko zaszyfrowane. VPN jest właściwie zawsze płatny (ale nie są to duze kwoty)
odpowiednie organy mogą wysłać zapytanie o nasze dane do serwera z którego korzystamy, ale on może ich nie dać, a wtedy muszą mu wytoczyć proces i czekać na orzeczenie sądu.
porównanie ofert można znaleźć [tutaj] (google docs)
Jak ogarniamy [Bitcoina] to wybieramy serwis z taką opcją płatności, a z wybraniem VPNa pewnie poradzimy już sobie sami
Jeśli płacimy gotówką - cóż, mamy na koncie w banku historie zakupu (razem z firmą z której usług korzystamy - ale to sobie mogą sprawdzić obserwując gdzie się łączymy, więc i tak będą wiedzieli gdzie ew. wysłać prośbę o udostępnienie wszystkiego) a "VPN" zna nasze personalia (i to już gorzej, bo jak dostanie o nas zapytanie to będzie wiedział, którym klientem jesteśmy)
Jurisdiction - polecam szukać firmy oferujące usługę VPN zarejestrowane poza terytorium Polski (bo obowiązują ich nasze przepisy). W przypadku krajów "14 oczu" mają umowę o wymianie tego typu danych między sobą (ale nie lubią się nimi dzielić z PL), a USA ma NSA. Ogólnie jak chcemy popełnić przestępstwo na terenie jakiegoś kraju... nie róbmy tego, przestępstwa znaczy.
Logging - im więcej zielonych, a mniej czerwonych tym lepiej, osobiście skoncentrowałbym się na Traffic i Timestamps (nie logują danego typu metadanych)
Warrant Canary - mocno zalecany, oznacza ni mniej ni więcej, że usługodawca aktualnie nie ma żadnych procesów rządowych związanych z dostępem do danych użytkowników. Jeśli jakieś proces zostanie podjęty, serwer przestaje informować 'o kanarku' (bo informowanie o tym, że postępowanie zostało podjęte już łamało by prawo )
Warto pamiętać o tym, że jeśli firma świadcząca VPN jest w zarejestrowana w kraju A, nie oznacza że jesteśmy ograniczeniu do serwera w tym kraju, zwykle taka firma ma kilka(naście) serwerów na całym świecie. (a postępowanie legalne zawsze będzie się toczyć w kraju rejestracji firmy)
Co do cen, zwykle w ofercie jest dostęp do VPNa za X$ dla Y komputerów. Jeśli dodatkowo mamy router, który wspiera VPN (znaczy droższy) możemy wszystkie ustawienia wpisać w niego, a wtedy wszystkie urządzenia z sieci domowej będą się łączyć jako 'jeden komputer'. Niestety routery ADSL (czyli najpopularniejsze chyba, pod sieć telefoniczną Orange / Netia) praktycznie nigdy nie mają takiej funkcji.
[TOR] - to bardzo popularne ostatnimi latami rozwiązanie traci niestety nieco na wiarygodności. W skrócie, nasze zapytanie jest szyfrowane i przekazywane przez wiele rożnych węzłów, z których każdy zna tylko adres następnego i poprzedniego. Wciąż ma kilka niezaprzeczalnych plusów: jest darmowe do korzystania wystarczy ściągnąć np. [Tor Browser] w większości przypadków nie wymaga dodatkowej konfiguracji daje nam dostęp do [Dark Web], czyli stron *.onion, które są nieosiągalne z normalnego internetu
niestety nie wszystko jest takie różowe jak się wydawało: Hamerykanie mają już matematyczne metody na namierzenie użytkownika, statystyczne i koszmarne w nakładzie obliczeniowym, ale ich stać. Ostatni węzeł ma dostęp do odszyfrowanej treści, którą pobieramy - może np wstrzyknąć w nią złośliwy kod. (niby proxy, VPN identycznie, ale tu przynajmniej wiemy kto jest winny, a wieści rozchodzą się szybko). W Torze to 'algorytm' wybiera w jaki sposób się łączymy, nasz dostawca internetu w PL ma obowiązek rejestrować nasz ruch sieciowy, więc bez problemu może sprawdzić czy łączyliśmy się z węzłem wejściowym sieci Tor, pakiety Tora też są dość charakterystyczne. Jeśli jesteśmy jedyną osobą w okolicy która w danym czasie łączyła się z tą siecią... to wiedzą, że my to my ze względu na typ najpopularniejszych treści dostępnych w Dark Web, osoby które tam zaglądają są automatycznie bardziej podejrzane. Polska Policja ma dość znaczące osiągnięcia w łapaniu przestępców działających w Torze, np. przejęli największe polskie forum przestępcze Torrepublic, a baza wszystkich loginów i haseł już ponad tydzień krąży po (normalnej) sieci. No, ale takie strony wzbudzają dodatkowe zainteresowanie. Słowo na koniec. Powiedział bym, że w sumie nic się nie zmieni, różnica taka, że teraz będą to robić legalnie i bez faktycznej kontroli. Ale nie powiem bo co ja tam wiem
A, i wygląda na to, że [PRP] utrzyma pozycję [lidera w żądaniach o dane telekomunikacyjne] już któryś rok z rzędu
/Tecon
Aktualizacja 1) link do artykułu w [gazeta.pl]
Aktualizacja 2) link do [uchwalonej wersji ustawy]
-
Przez Szakal
Artykuł o nowym krytycznym błędzie na Androidku.
http://niebezpiecznik.pl/post/950-milionow-telefonow-z-androidem-mozna-zhackowac-jednym-mms-em/
-
Przez Nebthtet
Jeśli ktoś chce, to proszę o posta tutaj. Będą rozdzielane na zasadzie kto pierwszy ten lepszy. Aktualnie dostępne 4 sztuki. 8 szt.
Proszę tu nie postować maili, a tylko informację że ktoś chce zaproszenie - adres danego delikwenta sobie wyciągnę z forum Zaloguj się aby zobaczyć tę zawartość. /emoticons/default_smile.png">
-