wtorek, 23 lutego 2016

Bezpieczeństwo i szyfrowanie

Dajcie mi człowieka, a paragraf się znajdzie


Jak nie dać się inwigilować i zachować prywatność? Czyli zostań domowym kontrwywiadowcą.


Ustawa inwigilacyjna i ustawa antyterrorystyczna daje policji i różnym służbom wolną rękę - bez zgody sądu mogą podsłuchiwać, podglądać, czytać każdą korespondencję; przechwytywać i analizować dane z komputerów, smartfonów, tabletów, komunikatorów, urządzeń sieciowych itp. Inwigilowani mogą być wszyscy, bez względu na to, czy są podejrzani, czy nie. Nikt też nie poinformuje, że jesteś lub byłeś czytelniku prześwietlany. Dane o inwigilacji muszą być gdzieś przechowywane - słynne teczki, obecnie cyfrowe, w przyszłości mogą zostać wykorzystane.

Możesz powiedzieć "I co z tego, ja przecież jestem uczciwy"? Tak, ale inwigilacja to ogromne pole do nadużyć.

Nie podobasz się sąsiadowi? Konkurencja chce sprzedawać więcej? Jest Ci za dobrze, co komuś przeszkadza? Łatwo to teraz zmienić w myśl zasady z tytułu tego tekstu. A kto nam zaręczy, że każdy funkcjonariusz państwowy to kwintesencja uczciwości, który nie podzieli się zdobytymi informacjami z osobami postronnymi, w końcu, że nie podsłuchują nas obce służby? Lepiej zachować elementarne zasady bezpieczeństwa - im bardziej czujesz się zagrożony tym zachowuj się rozważniej! I nie ma żadnego znaczenia czy jesteś uczciwym obywatelem czy tym chodzącym "na skróty". Niniejszy tekst piszę dla nas - zwykłych ludzi. Z inwigilacją jest jak z bronią - może służyć naszemu bezpieczeństwu, ale każda broń może zabić.



Istnieje też prozaiczny powód stosowania zabezpieczeń. Ważne, że w przypadku kradzieży, przypadkowego nawet zgubienia komputera, laptopa, telefonu stracimy wyłącznie urządzenie, a nie nasze zdjęcia, przeglądarkę, hasła czy inne pliki, które mogą posłużyć do niecnych celów - choćby do szantażu.

Kto może być inwigilowany?

Najkrócej można powiedzieć - każdy. Szczególnie narażeni, poza przestępcami, są przedstawiciele  niektórych zawodów jak: prawnicy, dziennikarze, pracownicy administracji, wojska, banków, wysokiej klasy informatycy i naukowcy. Działacze partii opozycyjnych i niezależnych organizacji społecznych, to oddzielna, a ulubiona kategoria osób potencjalnie inwigilowanych.

Musisz wiedzieć, że jeżeli ktoś sprawdza Ciebie, lub kolegę to całą jego i Twoją rodzinę, znajomych, a nawet opiekunkę do dziecka. Jeżeli coś może wyciec, to nie tylko z Twojego komputera, ale żony, syna lub kochanki/a...

Zasada pierwsza - jeżeli nie musisz nie mów, nie pisz.

Warto się zastanowić co i gdzie piszesz, zapisujesz. Jakie zdjęcia publikujesz w sieci. Czy to jest konieczne? Nawet zabezpieczone dane, mogą zostać kiedyś złamane. Często to kwestia czasu, użycia nowych algorytmów. Jeżeli musisz porozmawiać, być może lepiej zrobić to w 4 oczy? Oczywiście telefon zostaw w domu, a miejsce na spotkanie wybierz w sposób przemyślany - lepiej żeby w pobliżu nie było kamer.

Zasada druga - używaj szyfrowania i zabezpiecz swój sprzęt.

W razie kłopotów, zgodnie z polskim prawem możesz odmówić podania hasła do zaszyfrowanych danych przesyłanych przez sieć lub znajdujących się na nośnikach prywatnych: Twoim telefonie, dysku, pendrive. Jeśli już zdecydujesz się na odmowę podania hasła — prawdopodobnie usłyszysz że "utrudniasz śledztwo", co możesz zignorować. Jeżeli już rozmawiasz z władzami, zawsze wezwij swojego adwokata, do którego numer trzeba znać na pamięć...



Podobnie jak poprzednio, to że zaszyfrujesz dane nic nie załatwia, jeżeli te same dane są niezaszyfrowane na nośnikach (kopiach zapasowych), komputerach, telefonach Twoich znajomych, partnerów biznesowych, żony. Z tego powodu, z reguły, inwigilacja dotyczy figuranta i jego otoczenia.

Zasada trzecia - telefon Twoim wrogiem


Wyżej napisałem - idziesz na spotkanie, zostaw telefon w domu. Obecnie służby nie potrzebują czarnego wana z przyciemnionymi szybami by Cię śledzić, największym wrogiem jest sprzęt który sam kupiłeś: laptop, smartfon, tablet, smartwatch... Wysyłają fale radiowe, logują się do sieci, zapisują dane i są zapisywane na serwerach, posiadają kamery i mikrofony. Nie ma łatwiejszej metody na inwigilację niż przejęcie kontroli i wykorzystanie Twoich własnych urządzeń.

Chcesz zachować anonimowość? Zostaw telefon w domu. Ostatecznie wyłącz go. Ważne byś włączał i wyłączał go o różnych porach dnia i nocy, nieregularnie. Bo nieaktywność sprzętu też jest śladem!

Potrzebujesz bezpiecznego telefonu? Im starszy tym lepszy! Z pewnością bez transferu danych i GPS. Kupiony na bazarze razem sprzed płaconą kartą SIM, zasilony z karty zdrapki - nigdy z konta bankowego. Karta ani razu nie może być przełożona do Twojego normalnego telefonu. Inaczej po "ptakach" wysłałeś numer IMEI i IMSI do swojego operatora, co łatwo powiąże ten numer z Tobą! Zrobisz to raz, zostałeś już zidentyfikowany. Oczywiście noszenie przy sobie "czystego" i "osobistego" telefonu jest bzdurą - jeden i drugi łatwo powiązać ze sobą. Używanie "czystego telefonu" raz w miesiącu, w domowej lokalizacji też jest nonsensem, łatwo zostanie namierzony przez algorytmy operatora i służb.

Po czwarte - kamery, ubranie i samochody

Chcesz zachować anonimowość - nie korzystaj ze swojego samochodu. Nie zamawiaj taksówki. Wybierasz się na opozycyjne spotkanie - zmień płaszcz i czapkę. Miasta, ale i drogi szybkiego ruchu, popularne ulice, trakty, autostrady naszpikowane są kamerami. Nie wypłacaj w ostatniej chwili pieniędzy z bankomatu, tam też jest kamera, a każda płatność kartą rejestrowana w elektronicznych systemach płatności. Potrzebujesz prywatności? Wyjdź wieczorem z domu bez elektronicznych urządzeń.

Chcesz zgubić się w tłumie i porozmawiać bez szans na namierzenie? Musisz postąpić odwrotnie niż się wydaje, zatelefonuj z "czystego telefonu na kartę prepaid" ale z centrum handlowego. Setki rozmów i rozmówców skutecznie Cię ukryją, a o ile głos wyjątkowo może Cię zdradzić, tak użycie szyfrowanego komunikatora jest nieprzemakalne. Ale uwaga, każda konkretna sytuacja i przyczyna, wymagają konkretnego scenariusza! :-)

Oprogramowanie

Im lepiej szyfruje i mniej popularne, tym lepiej...


VPN

VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna) – tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci takiej jak Internet; co istotne, można opcjonalnie kompresować lub szyfrować przesyłane dane w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa.

Określenie „wirtualna” oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz.

Aby umożliwić emulację łącza typu punkt-punkt, dane są opatrywane nagłówkiem. Aby umożliwić emulację łącza prywatnego, wysyłane dane są szyfrowane w celu zachowania poufności. Pakiety przechwycone w sieci udostępnionej lub publicznej są nierozpoznawalne bez kluczy szyfrowania. Łącze, w którym prywatne dane są hermetyzowane i szyfrowane, jest nazywane połączeniem sieci VPN.

Jak zestawić połączenie VPN pod linkiem , więcej na stronie Microsoft

Można skorzystać z usług operatorów sieci VPN, tu lista firm.
Przy wyborze dostawcy należy kierować się lokalizacją oraz potwierdzonymi informacjami jak zachował się w przypadku otrzymania wezwania do wydania danych. Info via wyszukiwarka...

Tor to podstawa

Zabezpieczenie typu HTTPS do skrzynki pocztowej np. Gmail, Facebooka, banku, to fundament, ale nie wystarczy jeżeli ktoś chce zebrać informacje na Twój temat, bo wówczas skorzysta z metadanych, czyli informacji statystycznych kiedy - dzień, miesiąc, godzina, i z jakim IP wymieniasz dane, jak często to robisz, jakie pliki przesyłasz. 

Tor chroni tożsamość użytkowników oraz ich działalność w sieci przed analizą ruchu. Operatorzy utrzymują wirtualną sieć złożoną z ruterów cebulowych, zapewniającą anonimowość zarówno w sensie ukrycia lokalizacji użytkownika, jak też możliwości udostępniania anonimowych ukrytych usług.

Tor wykorzystuje kryptografię, wielowarstwowo szyfrując przesyłane komunikaty („trasowanie cebulowe”), zapewniając w ten sposób poufność przesyłania danych pomiędzy ruterami. Użytkownik musi mieć uruchomiony na swoim komputerze program, który łączy się z serwerem pośredniczącym sieci Tor. Takie serwery, zwane węzłami, może uruchomić u siebie każdy, kto chce wspomóc rozwój Tora.

Tor nie oferuje całkowitej anonimowości i przy założeniu dostępu do odpowiednio dużych środków technicznych możliwe jest wytropienie danego użytkownika tej sieci. Rząd Stanów Zjednoczonych ma możliwość monitorowania punktów końcowych połączeń Tora, wykonywanych na terytorium USA.

Aby zacząć korzystać z Tora wystarczy zainstalować przeglądarkę Tor Browser https://www.torproject.org/projects/torbrowser.html.en, Tor Browser Bundle to bezpłatna aplikacja zapewniająca ochronę użytkownika podczas korzystania z Internetu. Program nie wymaga instalacji i możemy z niego korzystać uruchamiając go bezpośrednio z dysku twardego, nośnika danych lub innego urządzenia przenośnego.

Warto poczytać o innych programach organizacji np. Tor Messenger, który  pozwala rozmawiać w sieciach Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, Yahoo!, Twitter i Odnokłassniki. Choć logowania i relacje z kontaktami nie zostaną ukryte przed centralnymi serwerami, cały ruch do nich będzie bardzo trudny do prześledzenia dzięki Torowi. Domyślnie wyłączona jest też możliwość rozmowy, jeśli któryś z użytkowników nie korzysta z szyfrowanego protokołu.

Co jeszcze? Orbot: Proxy with Tor to aplikacja open source'owa, za pomocą której smartfon lub tablet z Androidem będzie się łączył z internetem za pośrednictwem sieci Tor. Program pozwala łatwo nawiązać połączenie, dzięki czemu nie musisz mieć zaawansowanej wiedzy o bezpieczeństwie w Internecie. Twórcy programu rekomendują korzystanie z przeglądarki internetowej Orfox: Tor Browser, którą można szybko uruchomić za pośrednictwem aplikacji Orbot i od razu zacząć bezpieczne przeglądanie internetu.

Pełna lista programów: https://guardianproject.info/apps/

Chmura

Nie zalecam trzymania danych w chmurze, ale jeżeli już najlepiej wybrać taką, która ma wysoki poziom zabezpieczeń i mocne szyfrowanie danych. Dobrze też, żeby administratorzy usługi nie uginali się pod pierwszą lepszą prośbą służb z danego kraju.

Windows - ochrona danych na dysku

Funkcja Windows BitLocker Drive Encryption została stworzona przede wszystkim w odpowiedzi na potrzeby przedsiębiorstw skarżących się na duże ilości kradzieży notebooków zawierających cenne dane. Wartość takich informacji - np. dane klientów, planów przyszłej oferty handlowej itp często przewyższa wartość samego sprzętu komputerowego.

BitLocker jest wbudowany w systemach operacyjnych Microsoftu – Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 oraz Windows Server 2008 R2, Windows 8 Pro, Windows 8 Enterprise oraz Windows 10, pozwala na kryptograficzną ochronę danych na dyskach. Może wykorzystywać sprzętowe moduły Trusted Platform Module.

Więcej na stronie producenta: http://windows.microsoft.com/pl-pl/windows-8/bitlocker-drive-encryption

Niestety domowe wydania systemu Windows nie mają BitLockera lub jest on zablokowany, więc rozwiązaniem jest przejście na wyższą wersję systemu lub oprogramowanie typu open source, jak np. popularny TrueCrypt. Pozwala on na zyfrowanie dysku, działa z najnowszym Windowsem 10 oraz wcześniejszymi. Niestety TrueCrypt od jakiegoś czasu nie jest już rozwijany, a twórcy przyznali, że nie daje on stuprocentowej gwarancji. Rozwiązanie to pozwoli jednak zabezpieczyć dane zapisane w komputerze przed złodziejem lub mniej obeznanym w temacie łamania zabezpieczeń przedstawicielem służb.

VeraCrypt

Po zaprzestaniu rozwijania Truecrypta powstało wiele różnych projektów chcących dalej rozwijać narzędzie - właśnie VeraCrypt rozwija się odpowiednio intensywnie i zdobywa sporą popularność wśród społeczności.

Narzędzie wspiera zarówno szyfrowanie całego dysku (Full Disk Encryption), jak i pojedynczych woluminów plikowych (duży plik, który można podmontować jako szyfrowany dysk – tak jak w Truecrypcie. Całość jest dostępna na zasadach OpenSource na Windows, Linux i OS X. Najnowsze pliki pobierzesz z tego adresu: https://veracrypt.codeplex.com/ gdzie oczywiście znajdziecie tutorial i dokumentację w języku angielskim.

Urządzenia firmy Apple

Na komputerach firmy od nadgryzionego jabłka znajdziemy bez trudu oprogramowanie FileVault, służące do szyfrowania danych. Warto z niego skorzystać, jeżeli chcemy mieć pewność. Konfiguracja i użycie na stronie producenta: https://support.apple.com/pl-pl/HT204837
Nowe telefony Apple gwarantują wysoki poziom ochrony zapisanych na nich danych, jak do tej pory zabezpieczenia nie zostały złamane nawet przez trzyliterowe służby amerykańskie. (Aktualizacja ok. 15 marca FBI złamało zabezpieczenia telefonów Apple).

Poczta


Skrzynka pocztowa jest najistotniejsza, to ona zwykle odpowiada za najważniejsze informacje, reset haseł, przesyłane dokumenty. Bądźmy szczerzy - wszystkie polskie skrzynki mogą być inwigilowane bez najmniejszych problemów, bez naszej wiedzy, tym bardziej zgody. Lepiej skorzystać z operatorów globalnych - wbrew pozorom większość próśb od służb o ujawnienie jest odrzucana - lub operatorów szyfrujących dane np. szwajcarskiego protonmail, czy tutanota https://tutanota.com/pl/ a jeszcze lepiej samemu szyfrować wiadomości np. dzięki https://www.gnupg.org/ niestety to nie jest łatwe. Ochrona poczty jest najważniejsza, kontrola nad pocztą to dla służb dowody i droga na skróty. Nie muszą występować do innych instytucji jak banki, urzędy skarbowe itp by móc Cię prześwietlić na wskroś.

Komunikator internetowy - to też bezpieczne rozmowy w komórce


Komunikator to nie tylko poczciwy GG na starym komputerze, obecnie to może być niezależny system telefoniczny. Jak wiadomo to wiadomości tekstowe i głosowe są podstawowym spektrum zainteresowania służb. Na "co dzień", by wydatnie powiększyć poziom bezpieczeństwa i poufności wystarczy w telefonie użyć odpowiedniego oprogramowania, jak wyżej powiązanego z siecią TOR, lub innego bezpiecznego z szyfrowaniem danych. Polecanym w internecie przez samego Edwarda Snowdena jest Signal, bezpłatny, pozwala na dzwonienie i wysyłanie wiadomości - nikt poza odbiorcą nie będzie w stanie odszyfrować rozmowy głosowej/ tekstowej. Program działa na systemach android i apple, konfiguracja aplikacji tu, do pobrania z tej strony: https://whispersystems.org/ Więcej o bezpiecznych komunikatorach tu: https://www.eff.org/secure-messaging-scorecard

 Szyfrowanie i bezpieczne przechowywanie haseł

Na nic Twoje starania jeżeli najważniejsze hasła zapiszesz czytelniku w popularnym programie officowym. KeePass to jeden z najpopularniejszych i najbezpieczniejszych programów na świecie do przechowywania i szyfrowania haseł. Bazę haseł możesz trzymać na serwerze oraz zsynchronizować ją z urządzeniem Android (smartfonem/tabletem). http://keepass.info/ Instrukcję pierwszego użycia znajdziecie na portalu dobreprogramy bo programik, nie słusznie, wydaje się mało intuicyjny.

Namierzenie i odszukanie telefonu


Seek Droid (Android) https://www.seekdroid.com/ – Program, dzięki któremu szybko i łatwo zabezpieczysz swój smartfon/tablet przed kradzieżą. W przypadku zgubienia urządzenia możesz zdalnie go zablokować, najważniejsze to wymazać dane, a także zlokalizować.

Eraser – bardzo ważne jest trwałe kasowanie danych

Jeżeli kasujesz dane które np. zaszyfrowałeś, a wcześniej zbierałeś je w jakimś folderze, lub skopiowałeś je z kilku miejsc twardego dysku; jeżeli pozbywasz się sprzętu komputerowego, musisz trwale usunąć znajdując się na nim dane.  Dzięki Eraser zrobisz to szybko, łatwo i skutecznie. Program do pobrania pod adresem: http://eraser.heidi.ie/


Na zakończenie warto napisać, że bezpieczeństwo to wysiłek, nie każdego na ten wysiłek stać, dla 90% ludzi jest niepotrzebny lub wydaje im się niepotrzebny, dlatego nie korzystają z szyfrowania i wyższego poziomu bezpieczeństwa. Ma to swoje konsekwencje i tak już pewnie zostanie. Warto też wiedzieć, że są kraje w których będziesz podejrzany właśnie dla tego, że korzystasz z TORa i szyfrowania.

(c) Prawa do przedruku zastrzeżone.


1 komentarz: