Elektronická krabička první pomoci v2.5
Před více než rokem jsem zde na blogu uveřejnil tento článek, zabývající se bezpečností v souvislosti s používáním PC a internetu. A protože taková doba je v internetovém světě věčnost, přicházím s aktualizací... Jedná se o malý přehled, jakousi elektronickou obdobu aktivistické preventivní krabičky první pomoci; naprosté minimum, které by člověk měl znát a rutině používat, pokud se pohybuje v anarchistickém hnutí a využívá počítač v jakékoliv souvislosti s ním (zřejmě tedy každý, kdo se v něm pohybuje).
Verze 2.1 doplněna 4.12. na základě došlých připomínek zejména o informaci o otisku prohlížeče v souvislosti s využíváním programu TOR, informaci o možnosti šifrování pomocí GPG a závěrečné upozornění na to, že 100% anonymita neexistuje
Verze 2.2 doplněna 6.12. úpravou pasáže o otisku prohlížeče
Verze 2.3. doplněna 10.12. o odstavec o "off-line" bezpečnosti
Verze 2.4. doplněna 19.12. o odstavec o zákonu 127/2005 Sb.
Verze 2.5. doplněna 6.7. o o zrušení části zákona 127/2005 Sb. Ústavním soudem a odkaz na návody na stránce abc.anarchokomunismus.org
Počítat s tím, že represe se nedotkne zrovna tebe, protože přeci „vlastně nic neděláš" nebo spoléhat na to, že „ o tom nikdo neví", je nejenom naivní, ale i nezodpovědné. Jakákoliv informace uniklá k represivním složkám je kousíčkem do skládačky, která ohrožuje i ostatní. A buď si jistý, že represivní složky po těch kousíčcích prahnou...
Povinnost všech poskytovatelů připojení k internetu uchovávat celou řadu dat podle zákona o elektronických komunikacích 127/2005 Sb. zrušil v březnu Ústavní soud s poukazem na přílišné zásahy do soukromí, nicméně jejich výčet zde přesto uvádím. Dá se očekávat, že stát si svůj zájem nakonec prosadí a koneckonců ukazuje, po čem všem prahne: Podle českého zákona o elektronických komunikacích 127/2005 Sb. byl poskytovatel připojení k internetu povinen na jeden rok uchovávat uživatelské účty, identifikátor počítače i serveru, k němuž bylo přistupováno (zejména IP adresa, úplné doménové jméno FQDN), zadané URL adresy, typ služby „včetně dodatečných parametrů“, použité služby, metody a status požadavků na službu, řádné nebo mimořádné ukončení připojení. Zaznamenávaly se i údaje o použití chatu, usenetu, instant messagingu (např. ICQ) a IP telefonie a to veškerá identifikace komunikujících stran, transportní protokol a použité služby (např. přenos souborů). Užívání elektronické pošty se zaznamenávalo v podobě údajů o e-mailové adrese stran komunikace, protokolu elektronické pošty a o identifikaci poštovních serverů a identifikaci počítače komunikujících. U každého typu komunikace se evidovalo její datum, čas a doba trvání. Dále u služeb internetového připojení a služeb a e-mailové komunikace množství přenesených dat, informace o použití šifrování, metoda a status požadavků na službu a její realizace.
Ale k věci. Článek je napsaný takovým jazykem, aby mu rozuměl i člověk se základními uživatelskými znalostmi, pokročilí prominou... A navíc se vyhýbá veškeré teorii a soustředí se čistě na praxi. Všechna zmíněná řešení jsou zaměřeny na platformu Windows, protože počítám, že ten, kdo používá Linux, o zabezpečení počítače už přemýšlí a návod na tyto základy nepotřebuje. V neposlední řadě jsou všechny zmíněné programy k dispozici legálně zdarma pod GPL licencí.
V první řadě doporučuji zapomenout na Google, který proslul velmi precizním a intenzivním shromažďováním údajů o svých uživatelích a uživatelkách (veškeré dotazy jsou archivovány a přiřazeny ke konkrétním IP adresám – tedy bez patřičné ochrany ke konkrétním počítačům – a nepochybuji o tom, že „podezřelé" dotazy jsou předávány represivním složkám. Pokud máte navíc schránku na Gmailu a využíváte serveru YouTube má o vás Google dokonalý přehled) a používat vyhledávací službu Scroogle, která sice využívá Google, ale blokuje jeho vyzvědačské funkce. Nepoužívá cookies a nearchivuje dotazy (logy) déle než 48 hodin. Jde o perfektní bezpečnější alternativu ke Googlu, navíc s naprosto stejnými výsledky. Umí vyhledávat i v češtině.
Počítám, že používání jiného prohlížeče než MS Explorer je dnes už samozřejmostí. Osobně používám Mozillu Firefox. Přímo ze stránek Scroogle se v jeho vyhledávací liště dá nastavit defaultní vyhledávání pomocí Scroogle. Umožňuje i instalaci celé řady anonymizačních doplňků; jeden ze základních je Tor a doplněk Tor button, tlačítko, které umožňuje anonymní prohlížení webových stránek, přispívání do internetových fór a diskusí (český návod na Tor zde). Jedním klikem si zajistíte relativní anonymitu a nedohledatelnost; daní za to je výrazné zpomalení prohlížení. Ovšem v případě, že si prohlížíte „závadné" stránky, přispíváte do fór nebo píšete blog, jde o nezbytné opatření.
Pozn.: Použití TORu vás už od verze 1.2.0 ochrání i před identifikací pomocí tzv. „otisku“ prohlížeče, tedy jakéhosi setu jeho unikátních nastavení (od cookies přes typ použitého prohlíče, jazykové nastavení, instalované pluginy, fonty atd.), jejichž kombinace je do velké míry unikátní a může vést minimálně k vytipování malého okruhu možných návštěvníků stránky.
Velmi dobrý je také nový nástroj Tor Browser, založený na prohlížeči Mozilla Firefox v portable verzi a rozšíření Tor button. Díky tomu se neinstaluje do Windows a v případě, že potřebujete anonymně surfovat, k tomu používáte prohlížeč kompletně oddělený od toho, kterou používáte normálně. Je již v základu poměrně dobře bezpečnostně nastaven a nastavení lze dále zpřísnit, aniž by to omezovalo vaše běžné surfování.
Data na PC lze jednoduše chránit pomocí programu TrueCrypt. Po instalaci si na vašem harddisku vytvoříte libovolně velký „kontejner", zaheslované místo disku. Po zadání hesla (přístupové fráze, která musí být dlouhá, obsahovat speciální znaky, číslice a nesmí se skládat z běžných slov, aby měla ochrana heslem smysl) se v systému tváří jako další disk a lze s ním pracovat tak, jak jste zvyknutí – vytvářet složky, ukládat soubory. Po odlogování/vypnutí PC jsou data bez hesla nedostupná a zabezpečení je tak silné, že prolomení by současnou výpočetní kapacitou dostupnou represivním složkám mělo trvat několik let. Volba je jasná: jakékoliv materiály skladovat v TrueCrypt kontejneru. Mimochodem, stejným programem lze zabezpečit i USB klíčenky, které po připojení k libovolnému stroji vyžadují heslo. Český návod zde a zde. Nová verze TrueCrypt umožňuje i zašifrování celé partition s operačním systémem, takže bez hesla ani nelze spustit operační systém.
Bezpečnost internetové komunikace je zřejmě na samostatný článek. E-mail na bezpečném serveru (například www.safe-mail.net nebo www.riseup.net) je základem; nevýhodou je velmi omezená kapacita v porovnání s freemailovými službami.
Na šifrování e-mailové komunikace lze využít program GPG (návod na GPG krok za krokem zde). Funguje na systému dvou klíčů, veřejného a soukromého. Pomocí veřejného klíče může e-mail kdokoliv zašifrovat tak, že přečíst si ho může pouze příjemce – držitel soukromého klíče. Pro Mozillu existuje rozšíření FireGPG, které po instalaci GPG umožní jeho snadné využívání přímo z Mozilly. K dispozici je také elegantní „balíčkové“ řešení CryptoFox, opět postavené na Mozille Firefox v portable verzi. Skvěle se hodí na USB klíčenku – pak máte své GPG s sebou všude, k dispozici k použití na jakémkoliv počítači.
Pro pokec v reálném čase se skvěle hodí kecálek Pidgin. Využívá protokol Jabber, ale navíc uvádí novou generaci šifrování, která jako bonus ještě zbavuje uživatele a uživatelky otravné práce s bezpečnostními klíči atd a je překvapivě uživatelsky příjemný. Po jednoduché registraci a ztažení doplňku pro OTR (nová generace šifrované komunikace) lze okamžitě bezpečně vykecávat, stačí zmačknout tlačítko pro šifrovanou komunikaci. Kdo si zvládnul založit ICQ, zvládne Pigeon také. Návod na základní operace v Pidginu zde (sekce související články).
Vhodné a doporučené je také nainstalovat si software pro bezpečné mazání souborů. Jak známo, „mazání“ souborů ve Windows je mazání opravdu jen v uvozovkách a pro kohokoliv je doslova hračkou smazaná data obnovit. Program Eraser se po instalaci integruje do nabídky vyvolané po pravém kliknutí myši a rovnou vám nabídne bezpečné vymazání (doporučuji být paranoidní a nastavit nejtvrdší, 35ti násobný přepis). V nabídce úloh má i bezpečné promazání „volného“ místa na disku – tedy toho místa, které obsahuje dříve „smazané“ soubory. Tuto operaci by měl každý provést minimálně jednou před tím, než začne Eraser využívat, ale doporučuji provádět pravidelně, opět s nejtvrdším nastavením.
Na rychlé vyčištění citlivých dat různého druhu z počítače se dá také použít program Cclener. Maže různé historie, cookies, seznam naposledy otevřených souborů atd. v různých programech. Opět, doporučuji použít minimálně jednou na začátku vašeho bezpečného internetového života.
Také doporučuji stažení kancelářského balíku OpenOffice a následné odinstalování Microsoft Office. Open Office využívá otevřené formáty, na rozdíl od proprietálních formátů Microsoftu, a umožňuje prakticky tu samou činnost. Jeho ovládání je s programy Microsoft Office velmi podobné, takže s ním kdokoliv zběhlý ve Wordu atd. nebude mít nejmenší problém. Pro kontrolu českého pravopisu je do balíku potřeba doinstalovat české slovníky, návod najdete na webu OpenOffice.
No a nakonec doporučuji nahrazení vašeho (pirátského) PhotoShopu programem GIMP, který vám umožní to samé a troufnu si říct, že s tou samou úrovní podpory (tutoriálů, návodů atd.).
Závěrem bych rád zdůraznil, že je naivní se domnívat, že na internetu lze působit 100%ně anonymně a 100% bezpečně. Přesto je určitě na místě se snažit riziko snížit na nejmenší možnou míru, stejně tak jako ve fyzické realitě – a tomu má pomoci tento přehled. V doplnění první verze tohoto článku to myslím pěkně vystihl Jaime: "Myslet si, že můžeme reálně technologicky ochránit svoje data před skutečným a cíleným zájmem zpravodajských služeb je podle mě lehkomyslné. Spíše se naskýtá otázka, jestli naše data v určitou chvíli jsou natolik zajímavá, aby se do jejich možná velice složitého crackování investovaly nemalé finanční částky a strojový čas nesmírně drahých zařízení. Jinými slovy: jestli cena našich informací je vyšší než cena vynaložená na jejich získání."
I když máš nainstalovaný všechen bezpečnostní software, pamatuj na „off-line“ bezpečnost tvého PC. Nenechávej ho zapnuté bez dozoru. Nepoužívej žádné bezdrátové doplňky (klávesnice atd.), jejich zabezpečení je zpravidla velmi slabé, maximálně na úrovni dávno prolomené šifry WEP a dá se snadno odposlouchávat. Radši než pomocí wi-fi si doma internet rozveď kabelem. Pokud už wi-fi, tak s nejsilnějším šifrováním a silným heslem (WPA2-AES a pro heslo stejná pravidla viz výše) – nezapomeň také změnit defaultní heslo routeru. Počítač si umísti obrazovkou od okna – můžeš mít supersilný klíč, ale pokud píšeš e-mail a necháváš si ho doslova číst přes rameno, je to k ničemu. Pokud děláš něco opravdu citlivého, zatáhni si závěsy – omezíš tak účinnost odposlechu PC pomocí laseru (podle aktivistů, kteří s tímto odposlechem experimentovali není ani tak zrovna dvakrát spolehlivý).
Tolik naprosto základní set počítačové bezpečnosti. Za doplnění či odkazy na tutoriály a krok-za-krokem návody budu jen rád a využiji je k tvorbě dalších verzí této "kápézetky".
=> první doplnění z blogu Jaime.cz zde
=> další doplňení, tutoriály a krok-za-krokem návody najdete i na webu Anarchistického černého kříže zde
Komentáře
z (x - Mail - WWW) Vloženo 06.07.2011, 12:46:45
Doporučuji zkusit ono live distro TAILS. Zprovoznění snadné.
(sou-druh - Mail - WWW) Vloženo 04.01.2011, 00:32:08
V komentáři s názvem "setup" kolega bambula píše pár rozumných tipů pro zabezpečení linuxového systému. Bambulovy požadavky na systém by splnila distribuce T(A)ILS (nainstalujte si prvně certifikát CAcert.org http://www.cacert.org...ex.php?id=3 a pak až jděte na web T(A)ILS: https://amnesia.boum.org), která je nastavena tak, aby neleakovala informace o systému (jako např. IP adresa, otisk prohlížeče, DNS požadavky) a veškerá komunikace (s výjimkou nastavování času při prvním spuštění) chodí přes Tor (HTTP, FTP, překlad adresy na IP, ...). Základem je Debian Lenny (www.debian.org). Testoval jsem ve virtuálních mašinách QEMU, KVM a VirtualBox OSR (www.virtualbox.org) - v posledních dvou jmenovaných jede verze 0.6.1 bez problému, v QEMU je to dost pomalé, protože to používá plnou virtualizaci (kqemu v novějších verzích QEMU není podporováno).
Co umí T(A)ILS: Všechna odchozí data procházejí přes Tor. Protože je systém koncipován jako Live distro, data se nikam neukládají, ale přirozeně si můžete vytvořit oddíl, kde budete data skladovat. Firefox je nakonfigurovaný s rozšířením Torbutton. Kecálek Pidgin má OTR plug-in (http://www.cypherpunks.ca...x.php). Při vypnutí maže RAM jako ochranu před cold-boot útokem. Firewallem blokuje veškerý odchozí provoz, který nelze směrovat do Tor-u (IPv6, ICMP, UDP, ...). Další info je na stránce s designem: https://amnesia.boum.org.../design/ nebo si rovnou projděte Git s modifikacemi: http://git.immerda.ch...mnesia.git. Víc také na https://amnesia.boum.org...eatures.
Výhody: Rychlost nasazení - instalace virtuální mašiny, spuštění systému a máme hotovo. Bezpečnost je pravděpodobně vyšší než jaké by dosáhl/a průměrně znalý/á uživatel/uživatelka. Bezpečnostní aktualizace (a obecně softwarová kolekce) Debianu.
Nevýhody: Ve výchozím nastavení není systém šifrovaný, což není velký problém, když systém běží z média jenom pro čtení (při restartu se všechna nashromážděná data z paměti smažou), ale problém by to byl kdyby byl systém bezmyšlenkovitě přenesen na médium s povoleným zápisem. Vyvíjí ho malý tým lidí.
Alternativa: Liberté Linux http://dee.su/liberte - zaměřuje se víc na bezpečnou komunikaci, netestoval jsem. Vyvíjí ho jen jeden člověk.
Shrnutí: T(A)ILS bude potřebovat ještě nějakou práci, než bude použitelný pro široké vrstvy (šifrování, perzistence, software by taky mohl být aktuálnější), ale pro zkušené linuxáky a linuxačky je použitelný už dnes. Použitím distribuce T(A)ILS dosáhneme tak vysoké ceny, kterou by musel Systém zaplatit za naše odhalení, že se mu to, i vzhledem k naší "nebezpečnosti", nevyplatí.
Poznámka: Nemá smysl se snažit o zabezpečený systém, když jeho součásti nejsou revidovatelné, toho lze dosáhnout jenom tím, že použitý software má otevřený zdrojový kód: Pokud použijeme koncept "zabezpečeného systému" ve virtuální mašině a jeden z dvojice virtuální stroj/hostitelský operační systém je uzavřený software (dvojice VMWare/MS Windows budiž dobrým příkladem), zjevně dosahujeme pseudo-bezpečnosti, protože každý jeden z té dvojice nás může mít zabudované "ucho" a reportovat BB.
Literatura:
- https://trac.torproject.org...orFAQ
- https://www.torproject.org
setup (bambula - Mail - WWW) Vloženo 20.12.2010, 00:37:44
nebyl bych napriklad k ubuntu moc duverivej, prolistujte si jejich bug reporty a uvidite, ze se spise venuji malovani novych ikonek nez reseni skutecnych problemu.
kamarad mi nastavil vse takto: spoustim dalsi firefox pod jinym uzivatelem, tema firefoxu je barevne odlisne od meho normalniho firefoxu, takze vim, ktery mam ted otevreny. pouziva to privoxy a filtruje je to spoustu veci, pak to jde z privoxy do toru. v toru mam povoleny i ten jejich dns, na pocitaci mam instalaci kesovaciho dns daemonu pdnsd, ten smeruje na ten dns port od toru.
na firewallu mam zakazany odchozi dns, co nejsou z toru, mam zmeneny dhclient tak, aby vzdy muj pocitac pouzival ten pdnsd a ne dns, co mi vnuti nejaka brana.
je to slozity, ale jde to.
To sou-druh (OoO - Mail - WWW) Vloženo 19.12.2010, 15:29:53
Dobra prace, sou-druhu. Jen dopnim vec, na kterou se casto zapomina a to pripojovani pres TOR ma jeste jednu prijemnou vlastnost. Spojeni mezi uzivatelem a prvnim TOR serverem bezi sifrovane, je tedy vyrazne tezsi odposlouchavat obsah komunikace na ceste respektive u providera. Stejne tak by provider nemel videt dotaz na preklad adresy na DNS server. Pokud neuzivame HTTPS pripojeni, tak samozrejme komunikace mezi exit nodem TOR site a cilovym serverem je nesifrovana (ale z exit nodu se zas neda dostiopovat nas pocitac), ale to je vec, ktera muze v soucasnosti trapit spis islamisty nebo Wikileaks, ne anarchisty.
to sou-druh (Jan Hanus - Mail - WWW) Vloženo 18.12.2010, 18:07:38
No, to je konecne slovo do pranice :-)
Tak se urcite vrat a prezentuj vysledky, pripadne mi muzes napsat na mail, upravil bych podle toho Prirucku...
Torbutton a HTTP hlavicky (sou-druh - Mail - WWW) Vloženo 18.12.2010, 16:51:18
Soudruzi, když pročítám diskuzi, tak jsem zmatený na čem jste se vlastně ustálili, pokusím se o malé vysvětlení a shrnutí.
Tor sám o sobě mění jenom IP adresu, pod kterou vás vidí cílový hostitel (tedy např www server). Pokud jde o onen otisk prohlížeče, ten lze získat pomocí různých technik (HTTP, Javascript, flash, JAVA, ...). Otisk je je pozměňován Torbuttonem tak, aby přestal být spojen s vašim prohlížečem. Vliv Toru a Torbuttonu na IP adresu a otisk si můžete sami ověřit následujícím postupem:
1) vypněte tor i privoxy, deaktivujte Torbutton, podívejte se na stránku http://ipid.shat.net/
2) spusťte tor a privoxy, ve prohlížeči nastavte HTTP Proxy server na 127.0.0.1 port 8118 a v nové záložce se znova podívejte na http://ipid.shat.net/
3) mějte pořád spuštěný tor i privoxy a aktivujte Torbutton (proxy ve Firefoxu si nastaví sám), mkrněte na http://ipid.shat.net/
Prolistujte si ony tři záložky s výsledky z ipid.shat.net a měli byste vidět tohle:
ad 1) Otisk vašeho prohlížeče a skutečná IP adresa.
ad 2) Podvrhnutá IP adresa, ale otisk vašeho skutečného prohlížeče.
ad 3) Podvrhnutá IP adresa a podvrhnutý otisk z Torbuttonu.
Tor mění IP adresu, Torbutton otisk prohlížeče (mimo jiné). Rád bych tu napsal, jaké hodnoty to píše u mně, ale to bych pak vůbec nemusel být připojený přes Tor :), takže každý/á sám/a.
Co dělá ještě Torbutton, když je aktivovaný: Upravuje javascript, pomocí kterého by se daly zjistit zajímavé informace (např. rozlišení displeje, barevná hloubka, atp.), kdo chce blokovat Javascript úplně používá doplňek Noscript; vypíná ostatní doplňky (addony) a pluginy (flash, java, ...) ve Firefoxu a další věci, však si projděte "Security Setting" záložku.
Souhlasím s těmi, kteří/é tvrdí, že Torbutton v prohlížeči, který používáte normálně, je ne moc dobré řešení, protože i Torbutton může mít bezpečnostní chyby a leakovat informace z normálního prostředí.
Jako rozumnější řešení se mi jeví read-only instalace OS ve virtuální mašině, která bude komunikovat jenom přes Tor a k ní bude připojený externí zašifrovaný virtuální disk s domovským adresářem pro provoz prohlížeče, texťáku atp. Triviální to není, ale extrémně složité také ne. Zásadní problém vidím jinde - nemá smysl používat anonymizační nástroje, když operační systém pod kterým běží je proprietární a uzavřený (narážím na MS Windows), u kterého si nemůžete být ani v nejmenším jisti, že v něm není zabudován backdoor, pomocí kterého lze obejít anonymizátor. Svobodné operační systémy mají také určité rizikové vektory (viz "vylepšené" openssl v Debianu, nebo údajný backdoor v OpenVPN), ale ty jsou obecně velice komplikovaně realizovatelné a pokud už někdo je schopen je (úmyslně) realizovat, tak pravděpodobně vůči němu není žádná spolehlivá ochrana.
Osobně si dávám domácí úkol, přes vánoce realizovat zmíněnou architekturu u sebe v malém a pak bych se případně vrátil i sem :).
(dru - Mail - WWW) Vloženo 15.12.2010, 21:09:03
vyhoda safe-mail a riseup je to.mate omezne kvoty 10mega coz vas nuti mazat si po sobe vsechnu postu.to pijde bit jako vyhoda a ne jako nevyhoda.jako mit gmail z 2giga je pekne ale kdo vam bude sifrovat vase videa a mte fotek z kaleb a este zadarmo.ale safemail a riseup vam to sifrovat bude ale 10 mega vam musi stacit a mne uz leta staci!!!!
to zlej (Jan Hanus - Mail - WWW) Vloženo 10.12.2010, 21:27:35
Pak jsme doma, ja o koze a ty o voze.. Nemyslim to zle, ale v clanku se mluvi o TOR buttonu a Tor browseru..
a jsme doma (x - Mail - WWW) Vloženo 10.12.2010, 20:51:02
"User agent vsech TORu je od verze 1.2.0 uniformni, mimo to TOR agresivne blokuje JAVA script"
a jsme doma, hanus si plete tor a torbutton asi. tor je ted ve verzi 2.1.26 a torbutton 1.2.5
FYI:
* Why Tor Has Failed But I2P Will Not - http://wilfredwordpress.nfshost.com...
* i2p2 projekt - http://www.i2p2.de/
* onioncat - http://www.abenteuerland.at...ncat/
dukazy (x - Mail - WWW) Vloženo 10.12.2010, 20:39:44
vazeni,
nez me zacnete obvinovat, ze tomu toru nerozumim, tak si uvedomte, ze jsem celou dobu mluvil o toru, o samotnem programu, a ne o vasich click'n'pray windows udelatkach (torbrowser), nebo firefixnich torbuttonech.
samotny tor proste jen schovava ip adresu, s tim se srovnejte. chapu, ze jste windows lameri, ale ja jsem si to zaprve overil (firefox, lynx, wget... vsude se ukazal pravy useragent).
to jen dokazuje v jake blahove iluzi zijete; ano, mozna vas vase nekym jinym predpripravene klikatko proti tomuto ochranuje, ale nic to nemeni na faktu, ze tor jako onion routing nic krome ip nemaskuje.
obcas pouziji tor i na jine veci nez na web, takze jsem si to vzdycky predtim odchytl pres tcpdump/wireshark, a pak videl a veril, co je realita.
zlej
to OoO (Jan Hanus - Mail - WWW) Vloženo 10.12.2010, 13:10:09
Jo, TorBrowser jako lepsi reseni doporucuji i v tom navodu, v tom se shodneme..
To Jaime (OoO - Mail - WWW) Vloženo 10.12.2010, 10:28:54
Takze mi to nedalo spat a musel jsem experimentovat a ponekud poupravit svoje tvrzeni o Toru a detekce rozliseni monitoru cilovym serverem:
Tor (stejne se chova TorButton, Torbrowser i OperaTor) nejakym zpusobem "zaokrouhluje" nebo "nivelizuje" odeslanou informaci o nastavenem rozliseni. Pri nastavovani vsech myslitelnych rozliseni jsem byl schopen nalezt 6 ruznych rozliseni rozpoznavanych, ani jedno neodpovida klasickym jako jsou 640x480, 800x600 apod. Je mezi nimi i prave to tebou zminovane 1300x600 24bit).
Fakticke rozliseni neni bez vztahu k tomu pres Tor detekovanemu, ale neni to rozhodne tak, ze realnemu rozliseni odpovida jedno detekovane. Spis se to detekovane pohybuje v pribliznych intervalech v zavislosti na realnem.
V podstate dobra zprava.
To Jan Hanus (OoO - Mail - WWW) Vloženo 10.12.2010, 09:59:45
Bez ohledu na zdroj, ktery (urcite v dobre vire) citujes, neni problem se presvedcit osobne. Nainstaloval jsem si experimentalne do Firefoxu nejnovejsi verzi TorButtonu a pesvecil se, ze na funkcnosti nebo nefunkcnosti JS se, jak jsem predpokladal, nic s jeho zapnutim/vypnutim nemeni. Ostatne uz to tady v diskusi padlo, je z mnoha duvodu daleko lepsi reseni uzivat TorBrowser nebo OperaTor nez pouzivat TorButton v prohlizeci, ktery uzivam "nezabezpecene".
Co se tyce existujicich navodu, musim se omluvit za mystifikaci. Clovek co se na tvorbe podili rikal, ze sem napise, jak se veci ve skutecnosti maji.
to OoO (Jan Hanus - Mail - WWW) Vloženo 09.12.2010, 23:46:29
A o tom, ze "takove manualy (a doporucene balicky programu) existuji, vim o verzich pro zacatecniky, pokocile apple i linux." docela pochybuji. Ptal jsem se lidi, co znam, z ruznych organizaci a kolektivu, ale nikdo nikdy nic takoveho nedostal a o nicem podobnem nevi.. Tzn. ze asi "existuji", ale pro nejakou uzkou skupinu zasvecenych, protoze v nasich podminkach fakt neni problem neco rozsirit v podstate do celeho hnuti.
Cilize pokud takove veci opravdu existuji, tak je fakt mrzute, ze jejich autori nechavaji dalsi aktivisty mrhat casem a prostredky na dublovani prace...
to OoO (Jan Hanus - Mail - WWW) Vloženo 09.12.2010, 23:34:20
Na strankach Panopticlick se doslova pise:
"Modern versions of TorButton "standardize" various browser charcteristics like the User Agent string, in order to prevent them from being used to track Tor users. TorButton is also quite agressive at blocking JavaScript in the browser. Taken together, these measures make TorButton a strong defense against fingerprinting. Unfortunately, browsing through Tor is currently a lot slower than browsing without it. "
To Jaime (OoO - Mail - WWW) Vloženo 09.12.2010, 21:41:38
S tim co popisujes (zmatenecne udaje o rozliseni) jsem se taky setkal, jindy byly spravne. Vysvetleni, ktere by me uspokojilo jsem nenasel, stejne se mi nepodarilo ve veci ojevit nejakou zakonitost. Verze prohlizece je ale videt vzdy a tam ani laborovani s JS nepomuze.
Jinak k tomu manualu o bezpecnosti pro aktivisty: takove manualy (a doporucene balicky programu) existuji, vim o verzich pro zacatecniky, pokocile apple i linux. Pokud jsem slysel, autori je nechteji sirit verejne a siri je jen mezi zmamymi. Zda je to dobre nebo spatne, sam nevim. Nachazim pro i proti.
To Jan Hanus (OoO - Mail - WWW) Vloženo 09.12.2010, 21:31:46
Pokud je mi znamo, TOR JS neblokuje. Posledni distribuce TORbrowseru ma v sobe defaultne naisntalovany NoScript! plugin, ktery umoznuje povolavat a vypinat JS jak generalne, tak selektivne. A samozrejme je mozne JS i natvrdo blokovat primo v nastaveni prohlizece. Jsou ovsem webove aplikace, ktere jsou bez JS nefunkcni nebo funkcni jen castecne, ale to je zas jina pisnicka.
Ackoli jsem videl zdroje, co tvrdi, ze pres pouziti TORu lze pomoci JS zjistit skutecnou IP, neni to pravda. Neco jineho je ale samozrejme operacni system nebo rozliseni.
to zlej komous (Jan Hanus - Mail - WWW) Vloženo 07.12.2010, 23:30:45
Tak jsem patral a zlej komous nema pravdu. Pouziti TORu chrani i pred identifikaci pomoci otisku prohlizece. Jako ochranu ho doporucuje i samotna stranka Panopticlick (https://panopticlick.eff.org...hp).
User agent vsech TORu je od verze 1.2.0 uniformni, mimo to TOR agresivne blokuje JAVA script.
V tomto smyslu tedy upravuji prirucku. a do priste uz nebudu verit "chytrym" reakcim z fora :-)
komous (miro - Mail - WWW) Vloženo 07.12.2010, 01:24:52
Z nas dvoch spekulujes ty. Uvedom si, ze siet TOR tvoria jednotlivi uzivatelia ako ty a ja a mozno aj nejake servery. Je totalna blbost, ze by moj header putoval od nody k node a posielal sa dalej. to si vazne myslis, ze programatori TORu su taki sprosti a vyhlasovali by to potom za "anonymitu"? Schvalne si ten svoj link vyskusaj aj desatkrat za sebou a takmer vzdy sa ti zobrazia uplne ine hodnoty. Udaje, ktore sa zobrazuju su udaje poslednej nody, nie tvoje.
WikiLeaks (Tomas - Mail - WWW) Vloženo 05.12.2010, 21:57:44
Doplnil bych, ze na upravene technologii Tor je zalozena i technologicka infrakstruktura WikiLeaks.org. Tahle organizace toho pro diskreditaci demokratickych politiku udelala stokrat vic nez anarchisti behem poslednich deseti let. Coz jenom svedci o tom, jak je pro anarchisty kontraproduktivni a neefektivni zamerovat se na kontrainformacni cinnost. Tu zvladne burzoazni trida, ktera taky neni statu zrovna naklonena.
Ještě k problému posledního TOR node (jaime - Mail - WWW) Vloženo 05.12.2010, 12:10:55
Jen malá poznámka - je to jen osobní experiment - podle mého soudu má diskutér "Miro" zřejmě pravdu v tom, že pokud přistupujeme na panopticlick.eff.org prostřednictvím TORu, tak na exit node není tak zcela vidět "náš" otisk. Když to zkouším, tak mi to vždy detekuje jiné rozlišení obrazovky, než jaké mám, vidím tam podivné 1300x600 24bit, které určitě nemám. Nebo je ve hře ještě něco jiného, do čeho nevidím...
fuj hrubka (jaime - Mail - WWW) Vloženo 05.12.2010, 12:07:51
pochopitelně "poučený", nikoli "poučení"... :-)
informace (jaime - Mail - WWW) Vloženo 05.12.2010, 12:05:21
Je vidět, že se tady "sešlo" více lidí, kteří jsou nepochybně odborníci na danou problematiku. Možná by stálo za to pouvažovat, jestli by IT profesionálové z anarchistických řad nemohli spojit síly a sami vyprodukovat nějaké FAQ o počítačové (ne)bezpečnosti ve formě návodu, který pochopí poučení uživatel. To by byla velmi záslužná aktivita.
(Opera - Mail - WWW) Vloženo 05.12.2010, 01:25:44
v Opere funguje po kliknuti na "edit site preferences" a tam na "network nastavit "browser identification" a tam si zvolit, jestli se chcete identifikovat jako Opera/Firefix/IExplorer nebo se maskovat jako Opera/FF/IE... a ani Panoptclick to nepozna ;) ale rozliseni tam zustava, takze to Tor opravdu neumi
to miro (zlej komous - Mail - WWW) Vloženo 04.12.2010, 22:41:28
2 miro: jsi uplne vedle, to by znamenalo, ze na kazdym exit node je transparentni proxy, ktera modifikuje ty hlavicky prohlizece. proc si to pred svou spekulaci nezkusis? mrkni na ipid.shat.net nebo http://panopticlick.eff.org
to zlej komous (Jan Hanus - Mail - WWW) Vloženo 04.12.2010, 19:07:25
Ted uz mi prijde, ze tve prispevky nejsou prilis konstruktivni.. Nachytat me u nejake nedokonalosti je jiste snadne (ani netvrdim, ze ten prehled je dokonaly, ale jasne pisu, ze je UVODEM do problematiky pro laiky), ale sepsat reakci tak, aby tedy byla ostatnim k uzitku je uz tezsi.
Pak je otazka, jestli ma reakce, ktera ma byt jen prudou, vubec smysl...
zlemu komousovi (miro - Mail - WWW) Vloženo 04.12.2010, 18:59:26
Nehnevaj sa, ale zjavne sa v tom vyznas menej ako sa tvaris. Ano, samozrejme iste nastavenia prehliadaca a ich kombinacia spolu s odosielanym headerom mozu poukazovat na urciteho cloveka alebo skupinu ludi - napr. da sa zistit, ze pouzivas Firefox 3.1.1.0, mas nastavenu cesku klavesnicu, ake mas rozlisenie obrazovky atd. atd.
Lenze potom zjavne nechapes princip fungovania TORU, k cielovemu serveru, sa pripaja posledna TOR noda, tzn. posledny clanok v celej retazi pocitacov, cez ktore tvoja poziadavka prejde. Lenze tento pocitac ma predsa odlisne nastavenie monitora, klavesnicu napriklad brazilsku a prehliadac moze byt starsi, novsi alebo iny. Cize ten tvoj "otisk" ano, ale v pripade TORU akurat tak poslednej nody a nie nas.
statistika (zlej komous - Mail - WWW) Vloženo 04.12.2010, 17:11:35
mas tu pocitadlo, tak schvalne, udelej graf kolik lidi leze pres tor a kolik lidi ma ubuntu, hehe.
ad mail a otr (zlej komous - Mail - WWW) Vloženo 04.12.2010, 17:00:36
takze si poridim email u levicacke bandy a mam na 100 % jisty ze jejich ISP ma na nadrazenym switchi mirror port a vsech trafik rovnou zene na zalozni server - opravdu chytre (ne vsechny mail servery jedou pres tls, takze kdyz vam napise pepa ze seznamu.cz (treba) tak to asi to spojeni mezi servery nebude sifrovane - a stejne, ssl/tls je kandidat na man in the middle utok) :-) to uz je lepsi si poridit mail u poskytovatele, ktery hosti x milionu schranek, tento mail nikde nepublikovat a maily bud sifrovat ci lepe pouzivat steganografii.
ovsem nejlepsi je stejne pouzivat "skryty" internet alla freenet, i2p. i2p nabizi tez mail, irc, anonymni pristup k webu (existuji public proxies jako i2p.to) atp.
ale pozor! pokud pres anonymizacni sit pristupujete treba k imap,pop3,smtp nektery mail klienti posilaji nazev vaseho pocitace, takze vzdy overit pres tcpdump/wireshark na testovacim uctu.
existuje nejaky webhosting na ktery se da uploadovat primo pres tor hidden services nebo i2p?
ad otr - opet iluze, existuje plugin do ejabberd, ktery funguje jako man in the middle, tj. user X navazuje spojeni s userem Y, server si vygeneruje novy otr klic a odepise userovi X, ze ma novy klic, (klasika) user X sere na fingerprint a da 'OK', pise sifrovane, server to uklada to logu a preposila userovi Y. hehehe. schvalne, kolikrat jste si zazalohovali otr klic a obnovili jej po reinstalaci, smazani slozky? nikdy? pak vitejte v iluzi.
free sw (bhy - Mail - WWW) Vloženo 04.12.2010, 11:17:43
Technická: licence se jmenuje GPL, zatímco GNU je projekt, v jehož rámci to všechno vzniklo.
Jinak bych přidal, že tyhle programy jsou lepší i z etických důvodů (free software), ne jen kvůli bezpečnosti (open source).
PGP (Lukáš - Mail - WWW) Vloženo 03.12.2010, 22:02:17
PGP nepoužívat, od určité verze má na žádost bezpečnostních složek zadní vrátka. Lepší je použít svobodné GPG (The GNU Privacy Guard) http://www.gnupg.org/.
to zlej zlej (Jan Hanus - Mail - WWW) Vloženo 03.12.2010, 20:23:34
Ne, nejsem odbornik, ani si na nej nehraju a uz vubec to o sobe netvrdim..
Nicmene, kdyz pouzivas Tor Browser, pod Torem surfujes pod uplne jinou instalaci prohlizece nez ve kterem surfujes normalne. Jeho "otisk" je tedy zcela jiny nez ten, ktery nechavas normalne a tudiz je otazka - jak muze dojit k jejich sparovani? Neresi tedy Tor browser tento problem?
Dobrý materiál (jaime - Mail - WWW) Vloženo 03.12.2010, 18:55:46
Je to dobrý materiál pro začátečníky i mírně poučené uživatele. Jinak většina doplňujících poznámek je rovněž dobrá a k věci, jen by to chtělo trochu lépe je setřídit a přepracovat do podoby reálného návodu pro uživatele - a ne se jen snažit nachytat autora na švestkách.
Velmi podporuji myšlenku maximálně zabezpečeného virtuálního stroje s pomocí zmíněného Virtualboxu - to je velmi praktické.
Rovněž je jasné, že mít pomocí různých zásuvných modulů ochuzený Firefox o Javu, cookies atd. je naprosto nutné.
Obecně také platí, že bezpečnostní technologie by měly anarchisty být využívány v co největší míře, už jen proto, aby dohlížitelé systému měli více práce.
(zlej zlej - Mail - WWW) Vloženo 03.12.2010, 14:30:40
chapu ze tomu nerozumis, ale doporucujes tu tor, ktery sam o sobe krome ip adresy anonymni neni! takze doporucovat tor jen tak, je jako rict, dej si na hlavu kybl a mluv s kamarady a treba te po hlasu nepoznaji.
pokud ma nekdo zaplej javascript, java, flash, cookies, pluginy, nema vytunneny useragent a posilani hlavicek, tak toto je opravdu iluze. tor nic takoveho nefiltruje, smula.
doporucuji http://panopticlick.eff.org
to zlej komous (Jan Hanus - Mail - WWW) Vloženo 03.12.2010, 13:38:10
Nikdo si asi nemysli, ze na internetu muzes byt 100% anonymni nebo ze je 100% bezpecny. To ale neznamena, ze bysme se nemeli snazit riziko snizit - to same ale koneckoncu plati i o fyzicke realite...
Dobre to vystihl Jaime:
"Myslet si, že můžeme reálně technologicky ochránit svoje data před skutečným a cíleným zájmem zpravodajských služeb je podle mě lehkomyslné. Spíše se naskýtá otázka, jestli naše data v určitou chvíli jsou natolik zajímavá, aby se do jejich možná velice složitého crackování investovaly nemalé finanční částky a strojový čas nesmírně drahých zařízení. Jinými slovy: jestli cena našich informací je vyšší než cena vynaložená na jejich získání."
obchodovani a duvera (zlej komous - Mail - WWW) Vloženo 03.12.2010, 12:07:40
> Tomas: "zcela nekontrolovatelne a anonymni obchodovani pres Internet bez jakychkoliv bank a prostredniku a fizlovani atp."
nj, tohle individuum stale porad to stejne dokola, minule o tom, jak anarchisti maji nabidnout chudakum delnikum (teda lidem) funkcni ekonomickou alternativu a nyni propagace obchodovani. ze by anarchismus byl fakt maloburzoazni? :-)
ad tor atp - me fakt udivuje vase duvera a naivita. mozna jste jeste nezaznamenali informaci o "otisku" prohlizece, tj. unikatni identifikaci (EFF nabizi nejaky web na toto), ktery podle informaci, ktery vas prohlizec posila detekuje vasi unikatnost - tedy, pokud mate firefox, linux, ubuntu, ceske prostredi, tor, tak vase unikatnost muze byt rekneme 1:500, na celem svete, vyradime ty, ktery se nezajimaji o levicacke haraburdi, a mame 1:30 (priblizne), z toho logicky zmensime okruh potencionalnich lidicek, co pristupuji na tu o onu stranku, jeho styl vyjadrovani a voila... mame toho praveho!
jedine reseni je bud pouzivat ne-internetove sluzby, tj. ty skryte - freenet, i2p, nebo najit jinou cestu nez tor atp (ale zde zas narazite na kamerovy system v internetove kavarne, keyloggery atp.)
internet je iluze a skvele pasuje k burzoazni separaci spolecnosti na svobodna individua a demokracii.
johan most
... (ccleaner - Mail - WWW) Vloženo 03.12.2010, 00:04:08
ccleaner zvladne taky prespisovani 35x jako eraser ;) taky se da z nej pristoupit rovnou do nastaveni programu spoustejicich se na pozadi po startu a o kterych ani nemusite vedet, a tam je deaktivovat, aby nezpomalovaly pc. treba adobe photoshop, ten mi tam leze po kazde aktualizaci :D
Bitcoin P2P crypto-currency (Tomas - Mail - WWW) Vloženo 22.08.2010, 16:53:23
Dalsi technologie, ktera je uzasna zejmena ve spojeni s Tor (hidden services), protoze pak umoznuje zcela nekontrolovatelne a anonymni obchodovani pres Internet bez jakychkoliv bank a prostredniku a fizlovani atp. - Bitcoin:
http://www.bitcoin.org/
Bitcoin P2P Crypto-Currency
Bitcoin is a peer-to-peer network based digital currency. Peer-to-peer (P2P) means that there is no central authority to issue new money or keep track of transactions. Instead, these tasks are managed collectively by the nodes of the network. Advantages:
* Transfer money easily through the Internet, without having to trust middlemen.
* Third parties can’t prevent or control your transactions.
* Bitcoin transactions are practically free, whereas credit cards and online payment systems typically cost 1-5% per transaction plus various other merchant fees up to hundreds of dollars.
* Be safe from the instability caused by fractional reserve banking and bad policies of central banks. The limited inflation of the Bitcoin system’s money supply is distributed evenly (by CPU power) throughout the network, not monopolized by the banks.
Dalsi nastroje (xyz - Mail - WWW) Vloženo 14.07.2009, 20:47:07
Eraser - http://eraser.heidi.ie/ - kvalitni nastroj pro skutecny vymaz dat z pevneho disku, mnohkrat je prepise ruznymi vhodne vybranymi nesmysly.
Gpg4Win - http://www.gpg4win.org/ - GNU free PGP pro windows.
Steghide - http://steghide.sourceforge.net/ - steganografie, umoznuje skryvat zpravy do obrazku, nemelo by byt vubec jednoduche je detekovat.
SILCnet.org - SILC - bezpecnejsi nahrada za IRC.
Tor a Jabber - poznamky (xyz - Mail - WWW) Vloženo 14.07.2009, 20:34:13
Jen bych doplnil par detailu.
Tor - je zasadni si uvedomit, ze posledni relay, ktera ten pozadavek posila uz primo k cilovemu serveru (exit relay), musi mit ta data desifrovana. To znamena, ze tahle relay muze logovat a cist vsechno, co kdo pres ni posila. Tedy zustanes sice anonymni, ale prozradis operatorovi sva hesla, usernames, a pripadne i dalsi udeje zadavane do formularu.
Uz se vyskytlo nekolik afer, kdy ruzni vyzkumnici a hackeri ten traffic na svych relays skutecne logovali a pak zverejnovali hesla atd.
Proto je i s Tor dulezite pouzivat end-to-end sifrovani, tedy napr. SSL nebo PGP. Podstatne je ale, aby mel server overitelny SSL certifikat, vyskytly se uz totiz i relays, ktere v realnem case podvrhovaly falesne certifikaty a dokazaly tudiz cist tvuj sifrovany traffic a predavat ho dal, aniz by sis cehokoliv vsimnul, pokud nedavas pozor na varovne hlasky prohlizece.
Dal je zcela zasadni mit pri praci s Tor vypnuty Javascript, Javu, Flash atd, tyhle nastroje se daji zneuzit pro prozrazeni tve skutecne IP adresy.
Dale ani pak clovek neni uplne v bezpeci, protoze napr. FBI vyuziva jakysi malware, ktery vyuziva diry v prohlizecich ke zjisteni tvoji skutecne IP dle nastaveni v OS, o tom byly clanky ve Wired, da se to dohledat.
Skutecne bezpecny je Tor asi jen ve virtualnim stroji - skvely free je virtualbox.org - idealne s nejakym skutecne alternativnim prohlizecem.
No a pak je samozrejme vhodne provozovat i Tor server, nejen jako solidaritu s Tor komunitou, ale i pro zvyseni bezpecnosti, tezko ti pak nekdo dokaze, ze si jenom nepreposilal traffic nekoho jineho.
Jabber - V nem lze vyuzivat i PGP sifrovani, ktere je v extenzi toho zakladniho standardu, a podporuje ho napr. skvely klient Psi - psi-im.org - zde pak vyuzivas pro autentizaci i sifrovani normalni PGP klice, ktere uz mas ulozene z emailove komunikace.
Vyhodou je, ze uz i pri tom prvotnim navazani komunikace mas jistotu, ze nekomunikujes s podvrzenou identitou. Nevyhody popisuje Jaime.
Přidání komentáře...