Przez
Tecon
Czołem obywatele.*
Pamiętacie [ACTA]? Wielka ogólnoeuropejska akcja - nie chcieliśmy by inni tworzyli prawo za nas. Największy raban podnieśli internauci, którym nagle zaczęto by mówić co mogą w internecie oglądać i na jakie strony wchodzić. Mało kto był w stanie przebrnąć przez wszystkie akty prawne, ale wniosek był jeden - ocenzurowali by internet. Pomysł upadł, udało się, sprawa na kilka lat przycichła, ale dla wszystkich 'w branży' było oczywiste, że znów ktoś spróbuje, tym razem po cichu.
7 lutego 2016 - będzie historyczną datą. "[zmiana ustawy o Policji oraz niektórych innych ustaw]". Brzmi niewinnie, prawda? (wszystkie kursywy nasze)
Uchwalona wersja ustawy do pobrania tutaj
Jak ktoś nie zna tematu - już powstało kilka artykułów w prasie:
[Newsweek]
[Gazeta Wyborcza] ([kopia])
[Wykop] (kopia głównych myśli z wczorajszego artykułu GW)
[Fundacja Panoptykon]
[gazeta.pl]
I pewnie się jeszcze kilka pojawi, bo przegłosowali dzisiaj (15 stycznia 2015) o 10:27. Ustawa przeszła przez Sejm (jedyne ugrupowanie polityczne które głosowało za to PiS), wcześniej odrzucono prawie wszystkie poprawki opozycji... teraz czekamy na Senat i Prezydenta.
Ze swojej strony dodam jeszcze, że nad ustawą pracowano 8 tygodni, ja o "temacie" dowiedziałem się przed dwoma tygodniami, a pierwsze informacje w mediach publicznych usłyszałem 3 dni temu.
Listy organizacji, które skrytykowały ten projekt nie zamieszczam, bo miejsca by brakło (m.in [Helsińska Fundacja Praw Człowieka]).
Więc proszę państwa, Jak żyć?
Cóż, najpierw czytamy [artykuł na Niebezpiecznik.pl] (autorstwa [Piotra Koniecznego]) oraz komentarze pod nim. W sumie to ten artykuł by wystarczył, ale jest nieco techniczny ;-) Poniższy tekst jest nim mocno inspirowany
Potem możemy przeczytać ich [10 porad bezpieczeństwa].
Ja ekspertem nie jestem, ale już średnio-zaawansowanym użytkownikiem chyba tak, a bezpieczeństwem danych i kryptografią interesuje się typowo hobbystycznie.
Lista rad i pomysłów na utrudnienie wścibskim Panom życia:
Telefon - aktualnie wszyscy polecają aplikację Signal ([iPhone], [Android]) - można słać sms/mms, a jak zauważy że osoba po drugiej stronie też używa Signala to wyśle to jako zaszyfrowane dane w internet. Proste w obsłudze, dostępny ciemny motyw.
E-mail
Skrzynka pocztowa z wbudowanym szyfrowaniem - "najbezpieczniejsza" to aktualnie [protonmail.com] - szyfrowanie po stronie przeglądarki, oni nie mają możliwości odczytania naszej korespondencji (klucz do szyfrowania danych jest generowany na podstawie osobnego hasła). Oczywiście, żeby mieć pocztę w pełni (i automatycznie) szyfrowaną, osoba która wysyła do nas pocztę musi również korzystać z konta w tym serwisie (lub zaszyfrować wiadomość w jakimś programie za pomocą naszego klucza publicznego). Strona ciągle się rozwija, a cała infrastruktura jest w Szwajcarii. W planach jest np. dodanie możliwości wysyłania zaszyfrowanej korespondencji do innych usługodawców.
Gmail (i inne) - na których konta już mamy, lubimy i korzystamy z poczty w przeglądarce. Przez Chroma lub FF. Ja używam [www.mailvelope.com] - dodatek do przeglądarki, który pozwala zarządzać kluczami openPGP, oraz wysyłać i odbierać zaszyfrowane wiadomości. Można go włączyć prawie na każdej poczcie przez www. Minus jest taki, że nasz klucz prywatny (ten do odszyfrowywania poczty) jest zapisany na naszym kompie - więc musimy mocno dbać o to by nie wpadł w niepowołane ręce. Np. jak te ręce pożyczą od nas niezaszyfrowany dysk Eksport/import kluczy do pliku tekstowego... jak klucz zginie, zapomnijcie o poczcie. (przy protonmailu zresztą jest podobnie, jeśli zapomnicie aktualne hasło szyfrowania )
Thunderbird - również są dodatki, np. polecany [enigmail], nie używałem, więc testujcie sami jeśli chcecie ;-)
Outlook
mamy do wyboru szyfrowanie wbudowane, made by M$. Oni i [NSA] nasze maile przeczytają, ale mało prawdopodobne żeby za bezdurno oddali je PL. No chyba że ktoś im powie że jesteśmy podejrzewani o terroryzm/ekstremizm
oraz dodatki jak np. [GPG4win],
Szyfrowanie dysków komputerowych
[TrueCrypt] - projekt zamknięty, ostatnia "pewna" wersja to 7.1a, później firma została wykupiona przez M$,
[VeraCrypt] - odgałęzienie TrueCrypta bazujące na wersji 7.1a, ale już pisane przez inną ekipę,
BitLocker - dziecko M$, powstałe z wykupionego TrueCrypta, wbudowane w Windowsa:
VISTa i Win7 - Ultimate i Enterprise
Win8 - Pro i Entreprise
Win 2008 Serwer
Win 10 jest trochę inną historią. Szyfrowanie jest dostępne, ba proponowane użytkownikowi... razem z przesłaniem kopii bezpieczeństwa kluczy szyfrujących do M$. I [bardzo, bardo trudno] te dzielenie się kluczami prywatnymi wyłączyć.
Telefon - zarówno Android jak i iPhone mają wbudowane opcje szyfrowania danych. Z tą różnica, ze iPhone z tego co wiem robi to domyślnie, a z Androidem... musimy sami podjąć odważną decyzję. Zmieniamy odblokowywanie tel. na hasło/pin i klikamy odpowiednią opcję. Można zaszyfrować sam telefon lub razem z kartą SD. Kilka uwag praktycznych:
Kody potrzebne do odszyfrowania karty SD są generowane na podstawie klucza wbudowanego w urządzenie oraz czasu operacji. A następnie zapisywane w pamięci wewnętrznej. Więc jeśli utracimy dane w tel. karty nie da się otworzyć potem niczym, nawet tym samym telefonem z takim samym hasłem. (a archiwizacja ich wymaga Roota)
kartę da się odczytać tylko jeśli jest w telefonie (a wtedy android blokuje dostęp do większości danych systemowych na niej) - nie zrobimy backupa danych, jedynie obraz karty.
Raz mojemu telefonowi nie udało się zaszyfrować - zresetował się do ustawień fabrycznych i wymazał kartę SD ;-) (backup, backup, backup)
Chcemy zaktualizować telefon bo pojawiła się nowa wersja Andka... cóż, lubicie konfigurować wszystko od ustawień fabrycznych, prawda?
W Androidzie 6 (Marshmallow) ma się to poprawić (np aplikacje robią backup automatycznie w chmurze - odzyskujemy wszystko z Googla).. no ale znów, po co szyfrować, skoro oni to mają w postaci otwartej? Ale fakt, że ma to wujek nie znaczy, że podzieli się z innymi
Ok, czas do meritum, czyli jak zamieszać w informacjach które o sobie wysyłamy, szczególnie wszystkich metadanych, do których służby będą miały dostęp pod byle pretekstem (a nawet bez, jakiś paragraf się zawsze później znajdzie)
[Proxy] - zamiast wysłać zapytanie o zawartość strony bezpośrednio do serwera na którym się znajduje, łączymy się z serwerem proxy i mówimy mu, że ma nam pobrać żądaną stronę i przesłać jako swoją.
Można skonfigurować proxy bezpośrednio w systemie operacyjnym (IE i wszystkie programy korzystające z jego ustawień), innej przeglądarce lub korzystać z tzw. [HTTP Proxy], gdzie wchodzimy na stronę www, na której jest okienko na adres strony którą chcemy odwiedzić.
Serwis docelowy 'widzi' połączenie z proxy, a nie od nas. Więc jak np korzystamy proxy w Czechach, strona będzie myśleć że łączymy się z Czech i tak nam dostosuje zawartość / język.
Anonymus-proxy nie wysyła do serwera naszego IP, więc możemy sobie stworzyć nowe konto na forum jak nam założy na IP.
Darmowe proxy są wolne... a szybkie nie są darmowe
serwery poszukajcie sobie w
ruch między proxy da się prześledzić, ale nie jest to już takie proste, jak komuś bardzo zależy to łączy się przez kilka proxy, z których każdy łączy się z kolejnym, a dopiero ostatni z żądaną stroną. Lub wręcz robi łańcuszek mieszany z proxy i VPNów.
[VPN] - w sieci jest tworzony wirtualny 'tunel' między nami a serwerem VPN. Od proxy różni się szyfrowaniem i kompresją danych. Cały nasz ruch sieciowy jest wysyłany do serwera VPN, który dopiero wykonuje nasze zapytania i odsyła nam wszystko zaszyfrowane.
VPN jest właściwie zawsze płatny (ale nie są to duze kwoty)
odpowiednie organy mogą wysłać zapytanie o nasze dane do serwera z którego korzystamy, ale on może ich nie dać, a wtedy muszą mu wytoczyć proces i czekać na orzeczenie sądu.
porównanie ofert można znaleźć [tutaj] (google docs)
Jak ogarniamy [Bitcoina] to wybieramy serwis z taką opcją płatności, a z wybraniem VPNa pewnie poradzimy już sobie sami
Jeśli płacimy gotówką - cóż, mamy na koncie w banku historie zakupu (razem z firmą z której usług korzystamy - ale to sobie mogą sprawdzić obserwując gdzie się łączymy, więc i tak będą wiedzieli gdzie ew. wysłać prośbę o udostępnienie wszystkiego) a "VPN" zna nasze personalia (i to już gorzej, bo jak dostanie o nas zapytanie to będzie wiedział, którym klientem jesteśmy)
Jurisdiction - polecam szukać firmy oferujące usługę VPN zarejestrowane poza terytorium Polski (bo obowiązują ich nasze przepisy). W przypadku krajów "14 oczu" mają umowę o wymianie tego typu danych między sobą (ale nie lubią się nimi dzielić z PL), a USA ma NSA. Ogólnie jak chcemy popełnić przestępstwo na terenie jakiegoś kraju... nie róbmy tego, przestępstwa znaczy.
Logging - im więcej zielonych, a mniej czerwonych tym lepiej, osobiście skoncentrowałbym się na Traffic i Timestamps (nie logują danego typu metadanych)
Warrant Canary - mocno zalecany, oznacza ni mniej ni więcej, że usługodawca aktualnie nie ma żadnych procesów rządowych związanych z dostępem do danych użytkowników. Jeśli jakieś proces zostanie podjęty, serwer przestaje informować 'o kanarku' (bo informowanie o tym, że postępowanie zostało podjęte już łamało by prawo )
Warto pamiętać o tym, że jeśli firma świadcząca VPN jest w zarejestrowana w kraju A, nie oznacza że jesteśmy ograniczeniu do serwera w tym kraju, zwykle taka firma ma kilka(naście) serwerów na całym świecie. (a postępowanie legalne zawsze będzie się toczyć w kraju rejestracji firmy)
Co do cen, zwykle w ofercie jest dostęp do VPNa za X$ dla Y komputerów. Jeśli dodatkowo mamy router, który wspiera VPN (znaczy droższy) możemy wszystkie ustawienia wpisać w niego, a wtedy wszystkie urządzenia z sieci domowej będą się łączyć jako 'jeden komputer'. Niestety routery ADSL (czyli najpopularniejsze chyba, pod sieć telefoniczną Orange / Netia) praktycznie nigdy nie mają takiej funkcji.
[TOR] - to bardzo popularne ostatnimi latami rozwiązanie traci niestety nieco na wiarygodności. W skrócie, nasze zapytanie jest szyfrowane i przekazywane przez wiele rożnych węzłów, z których każdy zna tylko adres następnego i poprzedniego. Wciąż ma kilka niezaprzeczalnych plusów:
jest darmowe
do korzystania wystarczy ściągnąć np. [Tor Browser]
w większości przypadków nie wymaga dodatkowej konfiguracji
daje nam dostęp do [Dark Web], czyli stron *.onion, które są nieosiągalne z normalnego internetu
niestety nie wszystko jest takie różowe jak się wydawało:
Hamerykanie mają już matematyczne metody na namierzenie użytkownika, statystyczne i koszmarne w nakładzie obliczeniowym, ale ich stać.
Ostatni węzeł ma dostęp do odszyfrowanej treści, którą pobieramy - może np wstrzyknąć w nią złośliwy kod. (niby proxy, VPN identycznie, ale tu przynajmniej wiemy kto jest winny, a wieści rozchodzą się szybko). W Torze to 'algorytm' wybiera w jaki sposób się łączymy,
nasz dostawca internetu w PL ma obowiązek rejestrować nasz ruch sieciowy, więc bez problemu może sprawdzić czy łączyliśmy się z węzłem wejściowym sieci Tor, pakiety Tora też są dość charakterystyczne. Jeśli jesteśmy jedyną osobą w okolicy która w danym czasie łączyła się z tą siecią... to wiedzą, że my to my
ze względu na typ najpopularniejszych treści dostępnych w Dark Web, osoby które tam zaglądają są automatycznie bardziej podejrzane.
Polska Policja ma dość znaczące osiągnięcia w łapaniu przestępców działających w Torze, np. przejęli największe polskie forum przestępcze Torrepublic, a baza wszystkich loginów i haseł już ponad tydzień krąży po (normalnej) sieci. No, ale takie strony wzbudzają dodatkowe zainteresowanie.
Słowo na koniec. Powiedział bym, że w sumie nic się nie zmieni, różnica taka, że teraz będą to robić legalnie i bez faktycznej kontroli. Ale nie powiem bo co ja tam wiem
A, i wygląda na to, że [PRP] utrzyma pozycję [lidera w żądaniach o dane telekomunikacyjne] już któryś rok z rzędu
/Tecon
Aktualizacja 1) link do artykułu w [gazeta.pl]
Aktualizacja 2) link do [uchwalonej wersji ustawy]