Skocz do zawartości
  1. Berecik26

    Berecik26

  • Podobna zawartość

    • Przez Shivon
      Temat z Discorda.
      Kurrr...

      http://www.money.pl/gospodarka/wiadomosci/artykul/abonament-rtv-ustawa-kablowki-platna,17,0,2323985.html

      Oczywiście ludzie już się buntują, bo:

      a) to jest próba legalizacji przekazywania poufnych danych podmiotowi trzeciemu (w tym wypadku dane idą z kablówek i dostawców telewizji z satelity do Poczty Polskiej);
      b)to jest także naruszenie innego prawa, gdyż PiSiory chcą wymusić opłacenie swojej "misji publicznej" aka mediów propagandowych. To jest wstrętne...
    • Przez Tecon
      Czołem obywatele.*
      Pamiętacie [ACTA]? Wielka ogólnoeuropejska akcja - nie chcieliśmy by inni tworzyli prawo za nas. Największy raban podnieśli internauci, którym nagle zaczęto by mówić co mogą w internecie oglądać i na jakie strony wchodzić. Mało kto był w stanie przebrnąć przez wszystkie akty prawne, ale wniosek był jeden - ocenzurowali by internet. Pomysł upadł, udało się, sprawa na kilka lat przycichła, ale dla wszystkich 'w branży' było oczywiste, że znów ktoś spróbuje, tym razem po cichu.
      7 lutego 2016 - będzie historyczną datą. "[zmiana ustawy o Policji oraz niektórych innych ustaw]". Brzmi niewinnie, prawda? (wszystkie kursywy nasze)
      Uchwalona wersja ustawy do pobrania tutaj
      Jak ktoś nie zna tematu - już powstało kilka artykułów w prasie:
      [Newsweek] [Gazeta Wyborcza] ([kopia]) [Wykop] (kopia głównych myśli z wczorajszego artykułu GW) [Fundacja Panoptykon] [gazeta.pl] I pewnie się jeszcze kilka pojawi, bo przegłosowali dzisiaj (15 stycznia 2015) o 10:27. Ustawa przeszła przez Sejm (jedyne ugrupowanie polityczne które głosowało za to PiS), wcześniej odrzucono prawie wszystkie poprawki opozycji... teraz czekamy na Senat i Prezydenta.
      Ze swojej strony dodam jeszcze, że nad ustawą pracowano 8 tygodni, ja o "temacie" dowiedziałem się przed dwoma tygodniami, a pierwsze informacje w mediach publicznych usłyszałem 3 dni temu.
      Listy organizacji, które skrytykowały ten projekt nie zamieszczam, bo miejsca by brakło (m.in [Helsińska Fundacja Praw Człowieka]).
      Więc proszę państwa, Jak żyć?
      Cóż, najpierw czytamy [artykuł na Niebezpiecznik.pl] (autorstwa [Piotra Koniecznego]) oraz komentarze pod nim. W sumie to ten artykuł by wystarczył, ale jest nieco techniczny ;-) Poniższy tekst jest nim mocno inspirowany 
      Potem możemy przeczytać ich [10 porad bezpieczeństwa].
      Ja ekspertem nie jestem, ale już średnio-zaawansowanym użytkownikiem chyba tak, a bezpieczeństwem danych i kryptografią interesuje się typowo hobbystycznie.
      Lista rad i pomysłów na utrudnienie wścibskim Panom życia:
      Telefon - aktualnie wszyscy polecają  aplikację Signal ([iPhone], [Android]) - można słać sms/mms, a jak zauważy że osoba po drugiej stronie też używa Signala to wyśle to jako zaszyfrowane dane w  internet. Proste w obsłudze, dostępny ciemny motyw.
        E-mail Skrzynka pocztowa z wbudowanym szyfrowaniem - "najbezpieczniejsza" to aktualnie [protonmail.com] - szyfrowanie po stronie przeglądarki, oni nie mają możliwości odczytania naszej korespondencji (klucz do szyfrowania danych jest generowany na podstawie osobnego hasła). Oczywiście, żeby mieć pocztę w pełni (i automatycznie) szyfrowaną, osoba która wysyła do nas pocztę musi również korzystać z konta w tym serwisie (lub zaszyfrować wiadomość w jakimś programie za pomocą naszego klucza publicznego). Strona ciągle się rozwija, a cała infrastruktura jest w Szwajcarii. W planach jest np. dodanie możliwości wysyłania zaszyfrowanej korespondencji do innych usługodawców. Gmail (i inne) - na których konta już mamy, lubimy i korzystamy z poczty w przeglądarce. Przez Chroma lub FF. Ja używam [www.mailvelope.com] - dodatek do przeglądarki, który pozwala zarządzać kluczami openPGP, oraz wysyłać i odbierać zaszyfrowane wiadomości. Można go włączyć prawie na każdej poczcie przez www. Minus jest taki, że nasz klucz prywatny (ten do odszyfrowywania poczty) jest zapisany na naszym kompie - więc musimy mocno dbać o to by nie wpadł w niepowołane ręce. Np. jak te ręce pożyczą od nas niezaszyfrowany dysk  Eksport/import kluczy do pliku tekstowego... jak klucz zginie, zapomnijcie o poczcie. (przy protonmailu zresztą jest podobnie, jeśli  zapomnicie aktualne hasło szyfrowania ) Thunderbird - również są dodatki, np. polecany [enigmail], nie używałem, więc testujcie sami jeśli chcecie ;-) Outlook mamy do wyboru szyfrowanie wbudowane, made by M$. Oni i [NSA] nasze maile przeczytają, ale mało prawdopodobne żeby za bezdurno oddali je PL. No chyba że ktoś im powie że jesteśmy podejrzewani o terroryzm/ekstremizm   oraz dodatki jak np. [GPG4win],  
      Szyfrowanie dysków komputerowych
      [TrueCrypt] - projekt zamknięty, ostatnia "pewna" wersja to 7.1a, później firma została wykupiona przez M$,
      [VeraCrypt] - odgałęzienie TrueCrypta bazujące na wersji 7.1a, ale już pisane przez inną ekipę,
      BitLocker - dziecko M$, powstałe z wykupionego TrueCrypta, wbudowane w Windowsa:
      VISTa i Win7 - Ultimate i Enterprise
      Win8 - Pro i Entreprise
      Win 2008 Serwer
      Win 10 jest trochę inną historią. Szyfrowanie jest dostępne, ba proponowane użytkownikowi... razem z przesłaniem kopii bezpieczeństwa kluczy szyfrujących do M$. I [bardzo, bardo trudno] te dzielenie się kluczami prywatnymi wyłączyć.
       
      Telefon - zarówno Android jak i iPhone mają wbudowane opcje szyfrowania danych. Z tą różnica, ze iPhone z tego co wiem robi to domyślnie, a z Androidem... musimy sami podjąć odważną decyzję. Zmieniamy odblokowywanie tel. na hasło/pin i klikamy odpowiednią opcję. Można zaszyfrować sam telefon lub razem z kartą SD. Kilka uwag praktycznych:
      Kody potrzebne do odszyfrowania karty SD są generowane na podstawie klucza wbudowanego w urządzenie oraz czasu operacji. A następnie zapisywane w pamięci wewnętrznej. Więc jeśli utracimy dane w tel. karty nie da się otworzyć potem niczym, nawet tym samym telefonem z takim samym hasłem. (a archiwizacja ich wymaga Roota)
      kartę da się odczytać tylko jeśli jest w telefonie (a wtedy android blokuje dostęp do większości danych systemowych na niej) - nie zrobimy backupa danych, jedynie obraz karty.
      Raz mojemu telefonowi nie udało się zaszyfrować - zresetował się do ustawień fabrycznych i wymazał kartę SD ;-) (backup, backup, backup)
      Chcemy zaktualizować telefon bo pojawiła się nowa wersja Andka... cóż, lubicie konfigurować wszystko od ustawień fabrycznych, prawda?
      W Androidzie 6 (Marshmallow) ma się to poprawić (np aplikacje robią backup automatycznie w chmurze - odzyskujemy wszystko z Googla).. no ale znów, po co szyfrować, skoro oni to mają w postaci otwartej? Ale fakt, że ma to wujek nie znaczy, że podzieli się z innymi 
      Ok, czas do meritum, czyli jak zamieszać w informacjach które o sobie wysyłamy, szczególnie wszystkich metadanych, do których służby będą miały dostęp pod byle pretekstem (a nawet bez, jakiś paragraf się zawsze później znajdzie)
      [Proxy] - zamiast wysłać zapytanie o zawartość strony bezpośrednio do serwera na którym się znajduje, łączymy się z serwerem proxy i mówimy mu, że ma nam pobrać żądaną stronę i przesłać jako swoją. Można skonfigurować proxy bezpośrednio w systemie operacyjnym (IE i wszystkie programy korzystające z jego ustawień), innej przeglądarce lub korzystać z tzw. [HTTP Proxy], gdzie wchodzimy na stronę www, na której jest okienko na adres strony którą chcemy odwiedzić.  Serwis docelowy 'widzi' połączenie z proxy, a nie od nas. Więc jak np korzystamy proxy w Czechach, strona będzie myśleć że łączymy się z Czech i tak nam dostosuje zawartość / język. Anonymus-proxy nie wysyła do serwera naszego IP, więc możemy sobie stworzyć nowe konto na forum jak nam założy  na IP. Darmowe proxy są wolne... a szybkie nie są darmowe  serwery poszukajcie sobie w   ruch między proxy da się prześledzić, ale nie jest to już takie proste, jak komuś bardzo zależy to łączy się przez kilka proxy, z których każdy łączy się z kolejnym, a dopiero ostatni z żądaną stroną. Lub wręcz robi łańcuszek mieszany z proxy i VPNów.
        [VPN] - w sieci jest tworzony wirtualny 'tunel' między nami a serwerem VPN. Od proxy różni się szyfrowaniem i kompresją danych. Cały nasz ruch sieciowy jest wysyłany do serwera VPN, który dopiero wykonuje nasze zapytania i odsyła nam wszystko zaszyfrowane. VPN jest właściwie zawsze płatny (ale nie są to duze kwoty)
      odpowiednie organy mogą wysłać zapytanie o nasze dane do serwera z którego korzystamy, ale on może ich nie dać, a wtedy muszą mu wytoczyć proces i czekać na orzeczenie sądu.
      porównanie ofert można znaleźć [tutaj] (google docs)
      Jak ogarniamy [Bitcoina] to wybieramy serwis z taką opcją płatności, a z wybraniem VPNa pewnie poradzimy już sobie sami 
      Jeśli płacimy gotówką - cóż, mamy na koncie w banku historie zakupu (razem z firmą z której usług korzystamy - ale to sobie mogą sprawdzić obserwując gdzie się łączymy, więc i tak będą wiedzieli gdzie ew. wysłać prośbę o udostępnienie wszystkiego) a "VPN" zna nasze personalia (i to już gorzej, bo jak dostanie o nas zapytanie to będzie wiedział, którym klientem jesteśmy)
      Jurisdiction -  polecam szukać firmy oferujące usługę VPN zarejestrowane poza terytorium Polski (bo obowiązują ich nasze przepisy). W przypadku krajów "14 oczu" mają umowę o wymianie tego typu danych między sobą (ale nie lubią się nimi dzielić z PL), a USA ma NSA. Ogólnie jak chcemy popełnić przestępstwo na terenie jakiegoś kraju... nie róbmy tego, przestępstwa znaczy.
      Logging - im więcej zielonych, a mniej czerwonych tym lepiej, osobiście skoncentrowałbym się na Traffic i Timestamps (nie logują danego typu metadanych)
      Warrant Canary - mocno zalecany, oznacza ni mniej ni więcej, że usługodawca aktualnie nie ma żadnych procesów rządowych związanych z dostępem do danych użytkowników. Jeśli jakieś proces zostanie podjęty, serwer przestaje informować 'o kanarku' (bo informowanie o tym, że postępowanie zostało podjęte już łamało by prawo )
      Warto pamiętać o tym, że jeśli firma świadcząca VPN jest w zarejestrowana w kraju A, nie oznacza że jesteśmy ograniczeniu do serwera w tym kraju, zwykle taka firma ma kilka(naście) serwerów na całym świecie. (a postępowanie legalne zawsze będzie się toczyć w kraju rejestracji firmy)
      Co do cen, zwykle w ofercie jest dostęp do VPNa za X$ dla Y komputerów. Jeśli dodatkowo mamy router, który wspiera VPN (znaczy droższy) możemy wszystkie ustawienia wpisać w niego, a wtedy wszystkie urządzenia z sieci domowej będą się łączyć jako 'jeden komputer'. Niestety routery ADSL (czyli najpopularniejsze chyba, pod sieć telefoniczną Orange / Netia) praktycznie nigdy nie mają takiej funkcji.
      [TOR] - to bardzo popularne ostatnimi latami rozwiązanie traci niestety nieco na wiarygodności. W skrócie, nasze zapytanie jest szyfrowane i przekazywane przez wiele rożnych węzłów, z których każdy zna tylko adres następnego i poprzedniego. Wciąż ma kilka niezaprzeczalnych plusów: jest darmowe do korzystania wystarczy ściągnąć np. [Tor Browser] w większości przypadków nie wymaga dodatkowej konfiguracji daje nam dostęp do [Dark Web], czyli stron *.onion, które są nieosiągalne z normalnego internetu
        niestety nie wszystko jest takie różowe jak się wydawało: Hamerykanie  mają już matematyczne metody na namierzenie użytkownika, statystyczne i koszmarne w nakładzie obliczeniowym, ale ich stać. Ostatni węzeł ma dostęp do odszyfrowanej treści, którą pobieramy - może np wstrzyknąć w nią złośliwy kod. (niby proxy, VPN identycznie, ale tu przynajmniej wiemy kto jest winny, a wieści rozchodzą się szybko). W Torze to 'algorytm' wybiera w jaki sposób się łączymy, nasz dostawca internetu w PL ma obowiązek rejestrować nasz ruch sieciowy, więc bez problemu może sprawdzić czy łączyliśmy się z węzłem wejściowym sieci Tor, pakiety Tora też są dość charakterystyczne. Jeśli jesteśmy jedyną osobą w okolicy która w danym czasie  łączyła się z tą siecią... to wiedzą, że my to my  ze względu na typ najpopularniejszych treści dostępnych w Dark Web, osoby które tam zaglądają są automatycznie bardziej podejrzane. Polska Policja ma dość znaczące osiągnięcia w łapaniu przestępców działających w Torze, np. przejęli największe polskie forum przestępcze Torrepublic, a baza wszystkich loginów i haseł już ponad tydzień krąży po (normalnej) sieci. No, ale takie strony wzbudzają dodatkowe zainteresowanie. Słowo na koniec. Powiedział bym, że w sumie nic się nie zmieni, różnica taka, że teraz będą to robić legalnie i bez faktycznej kontroli. Ale nie powiem bo co ja tam wiem 
      A, i wygląda na to, że [PRP] utrzyma pozycję [lidera w żądaniach o dane telekomunikacyjne] już któryś rok z rzędu 
      /Tecon
      Aktualizacja 1) link do artykułu w [gazeta.pl]
      Aktualizacja 2) link do [uchwalonej wersji ustawy]
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Polityka prywatności