Czym płacę? Na czym piszę? Z czego dzwonię? To już cztery lata od pierwszej spowiedzi i dwa od ostatniej aktualizacji – czas na ponowny przegląd moich pomysłów na zapewnienie rozsądnego poziomu bezpieczeństwa.
Nie boję się podzielić swoimi praktykami bezpieczeństwa – sądzę, że mogę na tym tylko zyskać – w końcu grono oceniających może mieć lepsze pomysły niż ja. Nie krepujcie się zatem z wyrażaniem swoich opinii. Jeśli interesuje was historia, to poniżej kilka linków do poprzednich wydań:
- 2016 Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s
- 2016 cd Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania
- 2018 Spowiedź bezpieczeństwa Adama – aktualizacja, czyli co się zmieniło przez 2 lata
- 2018 cd Spowiedź bezpieczeństwa Adama – odpowiedzi na Wasze pytania
Podobnie jak dwa lata temu dla waszej wygody będę kursywą powtarzał elementy poprzednich wpisów, które nie uległy zmianie. Na pewno warto powtórzyć wstęp sprzed 4 lat, który jest nadal aktualny.
Nikt przy zdrowych zmysłach nie stworzy kompleksowego przewodnika po świecie bezpieczeństwa, który będzie pasował każdemu użytkownikowi. Każdy inaczej postrzega potencjalne zagrożenia i inaczej może oceniać wartość posiadanych informacji. Taka ocena ryzyka jest zawsze subiektywna i subiektywny jest wybór narzędzi, które mają to ryzyko ograniczyć lub wyeliminować.
Opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa. Sam, na podstawie kilkunastoletniego doświadczenia i praktyki, dokonałem takich, a nie innych wyborów i sam będę ponosił ich ewentualne konsekwencje. Poziom tych zabezpieczeń odpowiada mojemu postrzeganiu zagrożeń i chęci – lub jej braku – akceptacji konkretnych ryzyk oraz konieczności znajdowania równowagi między bezpieczeństwem a użytecznością. Ta konfiguracja wcale nie musi odpowiadać Waszym potrzebom – ale mam nadzieję, że zachęci Was do ciekawej dyskusji.Wpis zainspirowany został serwisem The Security Setup, a szczególnie wpisem H D Moore’a.
Moje urządzenia – komputery
Dwa lata temu miałem już MacBooka, ale ciągle głównie używałem Della XPS 13. Krótko po publikacji poprzedniego wpisu przerzuciłem się całkiem na MacBooka i z tego samego sprzętu korzystam do dzisiaj. Trochę kłopotu sprawiło mi przeniesienie wszystkich swoich zwyczajów z Windowsa, ale była to tylko kwestia czasu i już się przyzwyczaiłem. Przymierzam się powoli do wymiany na model 2020 (w końcu normalna klawiatura), ale poczekam pewnie jeszcze kilka miesięcy. Obecna konfiguracja (13 cali, i7 3,5 GHz, 16 GB RAM i 500 GB SSD) już od dawna przestała mi wystarczać. Wirtualki kaszlą, dysk krzyczy, że mało miejsca – same małe tragedie. Zostanę na pewno przy 13 calach, bo to idealny rozmiar, ale dysk i pamięć muszą być większe.
Ze względu na przeniesienie biura z pociągu / kawiarni / plaży do domu w końcu wyposażyłem się w stacjonarne stanowisko pracy. Stara stacja dokująca i myszka, nowa zewnętrzna klawiatura i monitor oraz wygodny fotel pomagają pracować wydajniej i zdrowiej. Swoją drogą nigdy w życiu nie używałem większego monitora niż chyba 21 cali, więc szok (pozytywny) był spory. Można mieć dwa okienka obok siebie!
XPS nie odszedł całkiem do krainy wiecznych łowów – czekał na swój wielki comeback i się doczekał. Po migracji danych i zaoraniu dostał nowiutkiego Windowsa 10 Pro i śmiga dzielnie jako zapasowa maszyna webinarowo-telekonferencyjna, gdy komuś w domu sprzętu akurat braknie lub inny komputer jest czymś ważnym zajęty.
Jest jeszcze uśpiony desktop z przyzwoitą kartą graficzną, który de facto powinien zostać też zaorany i zbudowany od nowa – służy czasami jako lokalny łamacz haszy, ale tylko w sytuacjach naprawdę bez innego wyjścia, bo nie działa w nim karta sieciowa, a monitor podłączany jest przez 2 przejściówki naraz, by działał. Może kiedyś się nim zajmę – na co dzień nie potrzebuję desktopa, nawet na kwarantannie.
Moje urządzenia mobilne i naręczne
Dwa lata temu pisałem, że nie używam tabletów. To też się zmieniło – mam iPada Pro (opcja 10 cali) i zastępuje mi na zmianę to komputer, to telefon. Jest dobry do nadrabiania zaległości na Twitterze (scrollowanie na telefonie bardziej męczy palce) i do Netfliksa solo (grupowo lepiej na TV, ale niektóre seriale mają w domu tylko jednego widza).
Podobnie jak dwa lata temu używam też iPhone’a – aktualnie modelu XS. Staram się walczyć ze swoim gadżeciarstwem i postanowiłem nie wymieniać urządzeń częściej niż co dwa lata – zatem ominąłem model 11 i poczekam na 12. A może i na 13, bo 10 działa całkiem OK. Historię przejścia z Androida na iPhone’a opisywałem już dwa lata temu, zdania na razie nie zmieniłem. Widzę ogromną wartość w „po prostu działa”, a po przeniesieniu większości urządzeń do świata Apple’a efekt ich posiadania jest jeszcze wygodniejszy – już za samego AirDropa dałbym się pokroić.
Do kompletu wspomnę jeszcze o Apple Watch (seria 4). Co prawda, nadal rozmawianie z zegarka wydaje mi się śmieszne, ale parę razy zdarzyło mi się z lenistwa nie wstać do telefonu leżącego kilka metrów dalej. Do tego wybrane powiadomienia mam zawsze pod ręką, a śledzenie wysiłku fizycznego (lub jego braku) oraz snu jest przydatnym dodatkiem.
Inne urządzenia domowe
Telewizora ani lodówki nie podłączałem do internetu (z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania, a ostatnia wersja zrywa połączenie po paru sekundach).
Telewizora od 9 lat nie zmieniałem, więc nadal jest offline. Tzn. telewizor offline, ale podłączone do niego bywają Apple TV (czasem czegoś nie ma na Netfliksie, a samo urządzenie kupiłem na potrzeby występów – ale o tym może w innym artykule) lub QNAP (z Netfliksem, aczkolwiek coraz rzadziej). Generalnie QNAP jest moim dużym rozczarowaniem. Nie mam wielkich potrzeb – chciałbym, by działał na nim normalnie Netflix i YouTube, robiły się tam backupy i działał pilot. Niestety jest z nim jak z Linuksem na desktopie. Niby jest i działa, ale usuwanie błędów zajmuje zbyt wiele cennego czasu. Wolę już zamiast niego podłączyć komputer po HDMI, gdzie przynajmniej da się normalnie zaktualizować przeglądarkę bez ściągania nieoficjalnych skryptów i sprawdzania wersji plików systemowych.
Inne kategorie domowych urządzeń nie są podłączone do internetu.
Dostęp do internetu
Kolejny obszar sporych zmian. Trzy miesiące przed rozpoczęciem kwarantanny udało mi się w końcu podłączyć do sieci w sensowny sposób. 10/1 Mb/s od Neostrady zostało zastąpione 100/100 Mb/s od UPC. Działa i jest zbawieniem w dzisiejszych czasach.
Używam WPA2 z silnym hasłem. Mam też sieć dla gości, ale nie mam gości.
Stare routery też wyleciały, a w ich miejsce wjechał Velop od Linksysa (5 węzłów) i skończyły się problemy z brakiem zasięgu w lepiej opancerzonych pokojach. Velop ma automatyczne aktualizacje oprogramowania, więc tym też nie trzeba się przejmować. Co prawda, nadal bywa, że węzły znienacka tracą zasięg, co jest irytujące, ale dzieje się to wielokrotnie rzadziej niż ze starym TP LINK-iem. Do bunkra, w którym najczęściej pracuję, internet dostarcza PLC (TP-Link TL-PA4010). Działa całkiem OK mimo niezbyt nowoczesnej instalacji w bunkrze, do tego leci po kilku przedłużaczach (bo do gniazdka daleko), a nadal wyciąga 50 Mb/s.
Będąc w ruchu, korzystam z internetu w telefonie dzięki T-Mobile lub udostępniam sieć laptopowi. Jeśli mam w okolicy stabilne Wi-Fi, to czasem używam, tunelując ruch przez VPN-a.
Zabezpieczenia urządzeń
Kiedyś odblokowywałem telefon opaską Xiaomi, ale to dawne czasy. Teraz tablet odblokowuję palcem, telefon odblokowuję twarzą (FaceID), a komputer zegarkiem (lub palcem, lub hasłem). Tu anegdota – nie podumałem i kiedyś, gdy jeszcze latałem, na lotnisku zostałem poproszony o otwarcie klapy laptopa. To było cywilizowane lotnisko, gdzie zegarka nie trzeba zdejmować podczas przechodzenia przez bramkę. Otworzyłem laptopa, a ten się radośnie odblokował zegarkiem. Gdybym wcześniej zdejmował zegarek, to do odblokowania by nie doszło (zegarek trzeba po założeniu na nadgarstek odblokować PIN-em, by działał normalnie). Pamiętam teraz, by przed wejściem do bramek blokować zegarek.
Oprócz tego oczywiście laptop chroniony jest długim hasłem, a urządzenia mobilne 8-cyfrowym PIN-em. W moim scenariuszu zagrożeń wystarcza. Dbam o aktualizacje oprogramowania (Apple znakomicie to ułatwia), wirusów prawie nie ma, można spać spokojnie.
Bezpieczeństwo MacOS / iOS
Poprzednim razem ten rozdział nazywał się „Bezpieczeństwo Windows”, ale z oczywistych powodów tytuł rozdziału musiałem zmienić. Co prawda mam Windowsa na zapasowym laptopie, ale używam go tylko do webinarów czy wideo online, a drugiego Windowsa (Parallels na MacOS) praktycznie nie podłączam do sieci. Sam rozdział też będzie dużo krótszy, ponieważ opieram się na domyślnych rozwiązaniach systemu operacyjnego. Włączyłem szyfrowanie dysku i to w sumie tyle. Nie mam firewalla (nigdy nie mam publicznego IP na komputerze), nie filtruję ruchu wychodzącego (to w zasadzie niemożliwe, biorąc pod uwagę ilość usług online).
Nie odczuwam potrzeby jakiegoś specjalnego hardeningu systemu – praktycznie nie spuszczam komputera z oka, dane są zaszyfrowane, śpię spokojnie. Nie zaklejam też kamerek, używam tylko filtru „prywatyzującego” na ekranie MacBooka.
Bezpieczeństwo przeglądarek
Moją podstawową przeglądarką jest Google Chrome, okazjonalnie uruchamiam Firefoksa, jeśli coś w Chromie nie działa.
To nie uległo zmianie od 4 lat – na komórce i tablecie doszło Safari, ale głównie używam Chrome’a. Nadal używam uBlock Origin, do tego EditThisCookie, UA Spoofera i wtyczki Wayback Machine. W przeciwieństwie do sytuacji w ostatnich „spowiedziach”, włączyłem już domyślnie JavaScript na każdej witrynie. I tak miałem tyle wyjątków, że Chrome ledwo co był w stanie je spamiętać.
Rozważam czasem przenosiny na Firefoksa, ale nie widzę na razie istotnego powodu, by porzucić Chrome’a. Gdybym bał się inwigilacji, to musiałbym odciąć się od wszystkich usług Google’a – a to dzisiaj oznacza wyłączenie elektroniki.
Oprócz uBlocka nie staram się w żaden istotny sposób utrudnić profilowania w internecie. Wiem plus minus, jak to działa i uważam, że wymknięcie się złożonym algorytmom profilującym jest w dzisiejszym świecie niemożliwe. Nie używam fałszywych tożsamości poza działaniami typu OSINT – najwyżej używam różnych pseudonimów tam, gdzie nie chcę świecić nazwiskiem.
Moje hasła
Hasła przechowuję w KeePassie. Hasła do mniej istotnych stron zapisuję w przeglądarce – Chrome lub Safari. Dotyczy to tych haseł, które blokują dostęp do danych, których nie wytworzyłem sam – czyli np. kont na forach itp. Używam KeePassX na MacOS i KeePass Touch na iOS. Działa. Dodatkowo sporo haseł pamięta też Keychain dostarczany domyślnie przez Apple.
Stosuję tylko hasło zabezpieczające, bez pliku klucza. Plik z hasłami synchronizuję na wszystkich urządzeniach przez jedną chmurę na bieżąco (Dropbox) oraz drugą jako kopię bezpieczeństwa (Jotta). O kopiach bezpieczeństwa i chmurach przeczytacie w jednym z kolejnych paragrafów.
Co do zasady stosuję 3 rodzaje haseł – pierwszy gatunek to trywialne (np. kluska997), drugi gatunek to trudne, ale do zapamiętania (np. Makaron@Gotowany#Trzy$Minuty%678) oraz trzeci gatunek to bardzo trudne, nie do zapamiętania, generowane losowo (np. 1KvuSPm&i21F”EsW^R4H).
Haseł pierwszego gatunku (najczęściej jest to jedno i to samo lub jego drobne wariacje) używam we wszystkich serwisach, w których nie trzymam niczego istotnego, a z jakiegoś powodu zostałem zmuszony do założenia konta – i prawdopodobnie nie będę do niego wracał. Hasła drugiego gatunku bronią dostępu do usług, z których korzystam często, są dla mnie ważne i czasem muszę je podawać z pamięci (np. KeePass, powtórne logowanie do usługi, by zmienić jej konfigurację, logowanie z innego urządzenia niż zwykle, logowanie, gdzie nie mogę użyć automatycznie menedżera haseł itp.). Haseł trzeciego gatunku używam wszędzie, gdzie mogę logować się za pomocą menedżera haseł i robię to w miarę regularnie, np. banki (mój bank umożliwia korzystanie z hasła niemaskowalnego) czy strony odwiedzane codziennie.
Oczywiście hasła pierwszej i drugiej kategorii również przechowuję w menedżerze, lecz dla tych pierwszych nie widzę sensu generowania ich losowo, bo to strata czasu, a dla tych drugich nie zawsze mam ochotę sięgać do menedżera (co np. na smartfonie bywa uciążliwe, szczególnie jeśli trzeba potem hasło przepisać do komputera).
Polityka haseł, których używam, to jeden z niewielu fragmentów, który nie uległ zmianie przez ostatnie 4 lata. Warto jednak dodać, że wszędzie, gdzie to tylko możliwe, dodałem 2FA w formie Yubikeya (używam modeli z serii 4 i 5, szczególnie kocham 5Ci), a tam, gdzie jeszcze nie można – kodów generowanych przez aplikację (używam Authenticator Plus).
W zasadzie jedynym elementem mojej polityki haseł, który planuję w najbliższym czasie ulepszyć, jest bezpieczny mechanizm przekazania hasła do menedżera haseł komuś na wypadek mojej awarii osobistej.
Szyfrowanie danych na dysku
Tu sporo zmian, bo Windowsa w końcu zaszyfrowałem (Bitlockerem). Dalej domyślnie szyfruję dyski w MacBooku i iPhonie. Dodatkowo tworzę zaszyfrowane wolumeny, korzystając z VeraCrypta (odszedłem od TrueCrypta ze względu na brak aktualizacji, choć do jego szyfrowania nie mam zastrzeżeń). Nie szyfruję już dysków PGP – nie mam licencji to umożliwiającej, a VeraCrypt działa dobrze.
Nie szyfruję nośników przenośnych, bo ich prawie nie używam. Nie pamiętam, kiedy ostatni raz nagrywałem coś na pendrive’a. Jedyne dyski zewnętrzne, jakich używam, to duże dyski do backupów. Te szyfruję tak samo jak dysk w MacBooku domyślnym mechanizmem MacOS-a.
Szyfrowanie danych w komunikacji
E-maile szyfruję sporadycznie, może 1 na 1000 – tylko gdy wymaga tego poufność przesyłanych informacji (np. opis niezałatanej podatności czy tajemnica klienta). Do szyfrowania poczty używam GPG Suite.
Czatuję najchętniej używając Signala, a także WhatsAppa. W moim katalogu z aplikacjami do rozmów są też Messenger, Hangouts, Slack i Discord. Dostosowuję się do moich rozmówców i nie obrażam się, jak ktoś pisze na Twitterze, LinkedInie czy innym mniej oczywistym wynalazku. Bez stresu rozmawiam na Zoomie, Skypie, Webeksie, Jitsi, Meecie, Teamsach czy innych cudach naszych czasów. Gdy jednak rozmowa ma być poufna, to wracam na Signala lub WhatsAppa – moi rozmówcy z reguły dysponują oboma.
VPN-a ostatnio używam sporadycznie – głównie do wirtualnej zmiany lokalizacji. Gdy więcej podróżowałem, to i częściej używałem. VPN-y mam dwa – jeden do zapewnienia prywatności (VPS w Arubie), drugi do szybkich podróży po całym świecie, czyli oglądania telewizji internetowej (F-Secure).
Korzystam również z sieci Tor i przeglądarki Tor Browser – ale głównie do odwiedzania ukrytych usług, sporadycznie jedynie do anonimowego odwiedzania stron w zwykłej sieci. Pilnuję, by Tor Browser zawsze był aktualny.
Poczta elektroniczna
Od dawien dawna korzystam z Gmaila. Mam tam kilka kont na różne okazje. Dwa konta podstawowe – prywatne (z pseudonimem) oraz bardziej eleganckie, z nazwiskiem. Do tego kilka kont, do których nie jestem w ogóle przywiązany, które podaję losowo, gdy trzeba się gdzieś zarejestrować, a poczta na koszmaila nie dociera. Na koncie Gmail trzymam w zasadzie większość swojego cyfrowego życia, dlatego raz na kwartał wykonuję kopię bezpieczeństwa całej jego zawartości – tak na wszelki wypadek.
Także poczta służbowa od lekko ponad dwóch lat obsługiwana jest przez Google. Po prostu działa.
Konta w serwisach społecznościowych
Tutaj bez zmian. Nie unikam korzystania z serwisów społecznościowych. Mam konto na Facebooku, Twitterze, LinkedInie, G+ czy Naszej Klasie i podaję na nich swoje prawdziwe dane. Od czasu do czasu sprawdzam ich ustawienia prywatności (np. próbując zajrzeć do konta, nie będąc zalogowanym) i powiązane aplikacje. To samo robię na wszelki wypadek z kontami moich bliskich – za ich zgodą.
Hosting
Staram się nie zajmować sprawami, które nie są w centrum mojego zainteresowania. Przestałem pomagać znajomym w utrzymywaniu ich witryn WWW, liczbę utrzymywanych dla siebie znacząco zredukowałem. z3s nadal stoi w OVH i po prostu działa.
Serwer działa pod kontrolą CentOS i jest to jedyna witryna obsługiwana na tej maszynie. Do serwera można się połączyć po HTTPS i SSH. Przez SSH można się zalogować tylko na konto zwykłego użytkownika, wymuszone jest logowanie za pomocą klucza. Sam serwer znajduje się za CloudFlare (co pomaga także w dużym stopniu ignorować próby ataków DDoS). Kopie bezpieczeństwa wszystkich istotnych danych serwera wykonywane są w cyklach dobowych na inny serwer.
Bankowość
Mam konta w kilku bankach, ale w zasadzie w ponad 90% korzystam tylko z mBanku. Używam prawie wyłącznie aplikacji mobilnej, także do potwierdzania transakcji. Jeszcze dwa lata temu trzymałem się niskiego limitu transakcji w aplikacji, ale go zlikwidowałem (albo tak podniosłem, że już w niczym nie przeszkadza).
Coraz częściej poruszam się w ogóle bez karty płatniczej. Zwirtualizowałem wszystkie karty w usłudze Apple Play i płacę telefonem albo zegarkiem – zbliżeniowo. Bardzo sobie ten sposób chwalę, działa w Polsce bez żadnych problemów. Kartę biorę jedynie na dłuższe wypady lub kierunki o spodziewanym niższym poziomie cyfryzacji życia codziennego.
Staram się przynajmniej raz na miesiąc sprawdzić wyciąg mojej karty kredytowej. Używam jej rzadko, ale ze względu na długą datę ważności pewnie wylądowała już w kilkudziesięciu systemach. Jak do tej pory, najwyraźniej nie trafiła w ręce przestępców.
W zasadzie nie używam bankomatów – może byłem przed jakimś ze 3 razy w tym roku. Jeśli już muszę, wypłacam tylko BLIK-iem. Jestem jak Polska – bezgotówkowy! Oczywiście zdarzają się sytuacje i miejsca, gdzie bez gotówki ani rusz – ale jeśli mam wybór, wolę płacić elektronicznie.
Za internetowe zakupy w polskich sklepach płacę wyłącznie BLIK-iem. Jeśli nie można – szukam innego sklepu. W sklepach zagranicznych i na wyjazdach używam Revoluta – oszczędzam na kursach wymiany, a do tego mam dobry podgląd transakcji. Pisząc ten artykuł, uświadomiłem sobie, że w paru miejscach mam jeszcze podpiętą złotówkową kartę kredytową – czas wymienić ją na Revoluta.
Kopie bezpieczeństwa
Od kiedy mam MacBooka, życie stało się prostsze. Używam TimeMachine na dysk zewnętrzny (a nawet na wszelki wypadek na dwa). Działa wyśmienicie. A ponieważ wypadki chodzą po ludziach, to mam też kopie bezpieczeństwa w chmurze.
Po dłuższych poszukiwaniach kupiłem usługę Jotta bez limitu ilości danych za 100 dolarów rocznie. Lądują tam automatycznie dane z dedykowanego folderu na dysku twardym.
Nadal używam Jotty. Danych tam wysyłanych nie szyfruję dodatkowo. Jeśli coś jest poufne, to już na swoim dysku trzymam to w formie zaszyfrowanej (kontenerze).
Bezpieczeństwo w podróży
Tu bez zmian od wielu lat. W podróże staram się zabierać ze sobą minimalną ilość gadżetów i danych, choć zależy to także od lokalizacji. Jeśli zabieram gdzieś komputer, to upewniam się, że mam aktualną kopię bezpieczeństwa wszystkich danych. W podróż do krajów takich jak Chiny czy Rosja zapewne zabrałbym ze sobą nowy dysk twardy z czystym systemem i zważył sprzęt przed wyjazdem z dużą dokładnością oraz pomalował śrubki farbą z brokatem – bardziej dla rozrywki niż z obawy, że coś się w nim znajdzie, ale i tak wybrałbym sprzęt, z którego nie będę korzystał po powrocie.
W przypadku podróży, w trakcie których spodziewam się, że będę korzystał z kafejek internetowych (np. wyjazdy bez komputera w bardziej egzotyczne miejsca), przed wyjazdem tworzę specjalne, nowe konto pocztowe, na które przekierowuję swoją pocztę przychodzącą. Powiadamiam też najbliższe osoby o nowym adresie. Bywa, że loguję się w miejscu, gdzie nie ma dostępu do sieci komórkowej, zatem musiałbym zabierać ze sobą wydrukowane kody jednorazowe – wolę wariant nowego konta. Po powrocie takie konto po prostu kasuję.
W trakcie podróży małych lub dużych prawie nigdy nie spuszczam z oka lub zasięgu ręki telefonu i komputera. Oczywiście zdarza mi się np. wyjść z sali konferencyjnej, w której zostają pozostali uczestnicy spotkania wraz z moim komputerem, jednak zawsze komputer jest zablokowany (nie korzystam z automatycznego blokowania ekranu, robię to ręcznie, wstając od klawiatury). Komputera nigdy nie zostawiam w bagażu rejestrowanym, bagażniku samochodu czy przedziale pociągu. Jedyny wyjątek to hotelowy sejf lub miejsca prywatne takie jak domy znajomych lub rodziny, u których przebywam.
Po co ja to wypisuję
Komentarz zostawiam również praktycznie bez zmian, ponieważ jest od 4 lat aktualny. Niektórzy pewnie stwierdzą, że zwariowałem, czekam też z utęsknieniem na głosy typu „MacOS? rezygnuję z lektury tego portalu!”. Ja natomiast marzę o dniu, w którym decyzje o poziomie zabezpieczeń będą inspirowane wyważoną, przemyślaną analizą ryzyka, a nie nagłówkami z żółtego paska stacji telewizyjnych. Każdą Czytelniczkę i Czytelnika zapraszam do przeprowadzenia własnego rachunku sumienia – czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?
Zapraszam także do zadawania pytań – jeśli będzie ich wystarczająco dużo, to powstanie druga część artykułu, w której postaram się odpowiedzieć na wszystkie zarzuty i komentarze. A może ktoś z Was chciałby podzielić się swoim zestawem zasad bezpieczeństwa? Są na sali samobójcy? :)
Komentarze
Ciekawy artykuł, podoba mi się podejście „używam tego, bo po prostu działa”.
Kiedy widzę ludzi którzy są pozabezpieczani tak bardzo, że proste czynność (np sprawdzenie jednego maila) zajmuje im 20 minut to zastanawiam się jaki jest w tym sens.
Mam pytanie a propos menadżerów haseł – czemu nie np Dashlane który wygodnie przechowuje hasła w chmurze i synchronizuje automatycznie telefon, laptopa i inne urządzenia?
TLDR fajny artykuł, co sądzisz o Dashlane?
Dashlane nie używałem, jak zaczynałem przygodę z menedżerem haseł to chyba jeszcze nie było i tak mi zostało :)
Czy managera haseł online typu LastPass czy 1passoword nie używasz z jakiegoś powodu czy aktualne rozwiązanie po prostu działa?
Jak wybierałem menedżera to nie było tych online albo były w powijakach. No i działa :)
Serio Gmail, serio wackdows? Nie lepiej korzystać z narzędzi, które lepiej chronią prywatność? Np. ProtonMail i oczywiście jakieś distro linuxa zamiast wackdowsa
W jakim stopniu ProtonMail chroni Twoją prywatność? :> Że nie czyta i nie skanuje maili jak Gmail?
Co to jest wackdows? Oraz jeśli sądzisz że ProtonMail chroni twoją prywatność to nie zapomnij używać wszędzie ich VPN-a i będą o tobie wiedzieli więcej niż Google o mnie :) Distro linuksa – gdybyś przeczytał to wiedziałbyś, że używam de facto UNIX-a :)
PRoton nie przechowuje podobno logów, przynajmniej tak twierdzą.
Skąd KeepassX zamiast KeePassXC? XC wspiera nowsze formaty KBDX, X nie był aktualizowany od 2016.
O, faktycznie. Nie zwróciłem uwagi. To pewnie zmigruję tylko zobaczę jak działa.
Cieszę się, że mogłem pomóc :)
a to dziwne bo ja u siebie widzę taką wersję keepassx:
2.0.3+git20190121
keepassx bangla na qt 5.12.5 i libgcrypt 1.8.5 a 2016 raczej takich numerków jeszcze nie było :)
> Gdybym bał się inwigilacji to musiałbym odciąć się
> od wszystkich usług Google – a to dzisiaj oznacza
> wyłączenie elektroniki
To jest nieprawda. Istnieją smartfonowe systemy operacyjne bez Google’a, poczta bez Google’a i przeglądarki bez Google’a.
Ja się nie boję inwigilacji, ja się inwigilacją brzydzę i moich danych nie udostępniam ani Google’owi, ani innym podmiotom. Google traktuję jak wywiad wrogiego państwa. Ta firma spowodowała, że większość ludzi przyjęła postawę „i tak nic nie zrobię, Google jest wszędzie”. Obrzydliwe.
Używanie poczty bez Googla ma sens tylko jeśli piszesz do ludzi używających poczty bez Googla. A jako że gdzieś między 30 a 50% emaili trafia na konta obsługiwane przez Googla to używając innego dostawcy żyjesz w iluzji, że Google nie czyta Twojej poczty. Sorry.
Czemu iluzji? Pozostaje te 50-70% której G nie czyta. Ale prywatność/inwigilacja to tylko jeden aspekt.
Jeśli ktoś zajmuje się działalnością pentesterską (pentesty, red teaming itd.), to może się zdarzyć, że konto Google użyte w czasie testów zostanie zablokowane, a wraz z nim wszystkie konta, które Google umiał powiązać – prywatne testera, jego rodziny, firmowe w całej firmie, nawet jeśli używa G-Suite…
Polecam lekturę obu części artykułu z Black Hills: https://www.blackhillsinfosec.com/how-to-purge-google-and-start-over-part-1/
Stare porzekadło rzecze: nie wkładać wszystkich jajek do jednego koszyka.
Nie prowadzę pentestów. A do tego opisywany przypadek to 1 na 1,5 miliarda klientów. Ryzyko oceniam nisko. Na wszelki wypadek mam regularne backupy wszystkich danych z Google.
Jeden na półtora miliarda? Jeden opisany i powszechnie znany.
No i ten nakład pracy na zagwarantowanie, żeby mieć „regularne backupy wszystkich danych z Google”…
Twoja odpowiedź tylko potwierdza to co napisał Twój przedmówca :-)
> ta firma spowodowała, że większość ludzi
> przyjęła postawę „i tak nic nie zrobię,
> Google jest wszędzie”.
Z takim podejściem zawsze będziemy karmili Googla. Wiadomo, że pełna degooglezacja jest trudna do osiągnięcia, ale jest wiele rzeczy, które można zrobić. Można korzystać z Duckduck2go, /e/ zamiast androida, używać Firefoksa z odpowiednią ilością wtyczek, promować używanie proprywatnościowych dostawców poczty elektronicznej itd. Z pewną oczywiście świadomością, że to i tak nie zapewnia pełnej prywatności. Dla mnie to bardziej kwestia pewnej aksjologii niż nawet realnej walki z Goliatem.
Pytanie: pisałeś wcześniej o tym, że używanie wszędzie VPN prowadzi do tego, że jego dostawca wie wszystko o użytkowniku. Czy można gdzieś coś więcej o tym poczytać? Nie używam vpn cały czas, ale ciekawi mnie sama teza i jej ewentualne udowodnienie lub obalenie.
Każdy pakiet przesyłany przez VPN-a jest przywiązany do twojego konta. Dostawca wie więc o twoim ruchu bardzo dużo.Wie, jak często korzystasz z poczty i z jakiej, ile razy logujesz się do banku, jakie aplikacje działają w tle itd. Teraz pozostaje pytanie, czy ufasz, że tych danych nie monetyzuje. Ja ufam, ze F-Secure tego nie robi (ma inne źródła dochodu, nie ukrywa swojej siedziby ani właścicieli), a NordVPN-owi już nie ufam (świadomie ukrywa tożsamość właścicieli, a de facto mają wiele biznesów internetowych i nikt nie wie, co robią z danymi użytkowników, do tego cena za jaką sprzedają usługę (minus suta prowizja dla pośrednika) jest śmieszna).
„Można korzystać z Duckduck2go” Czyli Yandex już spoko a Google be? :)
Dzięki za spowiedź – mam całkiem podobne środowisko pracy. Kilka pytań/sugestii:
1. Czy próbowałeś/rozważałeś wymianę Chrome na Safari na komputerze, aby lepiej korzystać z ekosystemu Apple (synchronizacja zakładek/historii przeglądania/otwartych kart)? Ja próbowałem i wytrzymałem jakiś 1 rok – zmiany w polityce działania adblocków dobiły ten pomysł. Analogicznie próbowałem przejść na Chrome na iOS, ale brak możliwości zmiany domyślnej przeglądarki przekreślił ten pomysł.
2. Po co komputer po HDMI do tv podłączać, skoro masz Apple TV i AirPlay?
3. Backup TImeMachine rozumiem robisz przewodowo? Nie opisałeś tego w artykule. Opcja do usprawnienia: backup po sieci, żeby automatycznie co 1h przyrostowo się wykonywał. Zawsze fajnie przywrócić sobie jakiś plik, który się przez pomyłkę niepotrzebnie „posprzątało” dzień wcześniej.
4. Dlaczego korzystasz z BLIK przy płatnościach w internecie, a nie z karty? BLIK nie ma chargeback, czyż nie? Oczywiście jest wygodniejszy, ale skopiowanie nr karty w app revolut i wklejenie na komputerze (schowek przez iCloud) najtrudniejsze też nie jest. Ja czekam na popularyzację Apple Pay (np. zakupy na allegro robię w ten sposób, że wypełniam koszyk na komputerze, a finalizuję transakcję w app na iPhone płacąc właśnie Apple Pay)
5. Czemu VeraCrypt a nie w myśl filozofii „jest i działa” wbudowane w macOS Narzędzie Dyskowe i szyfrowane AESem obrazy Sparsebundle?
1. Działa w Chrome całkiem nieźle, nie potrzebowałem na Safari.
2. Właśnie nie wiem czemu czasem Airplay rwie, choć okolica jest praktycznie radiową pustynią a odległość to metr. Nie chce mi się tego badać.
3. Tak, po kablu USB. Sieciowo – zniechęca mnie QNAP.
4. Temat na osobny artykuł ale generalnie jak spodziewam się, że towar dotrze, to wolę jednorazowy kod BLIK zamiast rozdawać wszędzie nr karty.
5. To dobre pytanie – ale pewnie dlatego, że VeraCrypta znałem a do narzędzi MacOS musiałem się dopiero przyzwyczajać.
Mnie też tnie AirPlay. Ciął gdy strumieniowałem z Macbooka Pro 2013 na Apple TV 2, tnie teraz gdy mam MacbookaPro 2019 i telewizor Samsunga z AirPlay z 2019. Nie pauzuje na sekundę, ale widać niską liczbę klatek na sekundę i czasami mikroprzycięcia które odbierają radość z oglądania. Komuś to serio działa tak płynnie jak po kablu HDMI?
> 4. Temat na osobny artykuł ale generalnie jak spodziewam się, że towar dotrze, to wolę jednorazowy kod BLIK zamiast rozdawać wszędzie nr karty.
To mnie właśnie ciekawi. Mam podobnie. Tymczasem szef Twojej konkurencji zachęca do karty i śledzenia wyciągów / włączenia powiadomień o każdej transakcji.
Bardzo bym chciał żebyś kiedyś rozwinął ten temat.
To trzeba by Piotrka zapytać :)
Powiadomienia na wszystko też mam, a BLIK ma wbudowane powiadomienie ;)
Poza tym wracamy do wstępu do artykułu czy tez podsumowania – każdy ma swój model ryzyka i do niego, a nie do opinii innych, powinien dopasowywać swoje zachowania.
Ja często korzystam z jednorazowych kart Revoluta (wymaga premium). Pięknie działa nawet w przypadkach, gdzie chcę zobaczyć triala i pewność, że nie zapomnę dać cancel :)
No właśnie. Także dla mnie ryzykiem jest podawanie numerów karty.
Mało tego! Bałem się płacić w sklepach (ktoś podejrzy numer) i nosić ze sobą (zgubię/ukradną), ale z okazji wirusa zacząłem i to zbliżeniowo. – Żeby czuć się bezpieczniej, zdrapałem CVV2. Gdybym miał płaską, to zdrapałbym też numer – choć wiem, że jest do odczytania przez RFID. Póki co zasłaniam numer za pomocą etui – mam takie prastare z PKO, które zasłania i usztywnia (noszę w kieszeni), a nie ekranuje RFID (może wie ktoś gdzie kupię takie nowe?).
Chyba najlepiej jak ustawię limit na „internet” na 0 zł. Czasem tylko kupując na Allegro płaciłem kartą – żeby mBank nie naliczał za nią opłaty.
Dla mnie czytanie wyciągów to męczarnia. Z kolei, powiadomienia SMS są w mBanku płatne. Niby lepiej zapłacić 5-35 gr/SMS niż stracić wszystko, ale co poradzę, że jestem cebulak :) .
Powiadomienia w aplikacji są gratis.
Wiem, że wstyd, ale mój Android 4.2.2, nieobsługiwany przez Aplikację.
Jeżu, mam już dosyć tej elektroniki :(
@Jacek: bardzo nie polecam tych jednorazowych kart wirtualnych od revoluta. Zrobiłem dokładnie tak, podpiąłem tę kartę do triala, którego zapomnialem anulować. Trial się normalnie przedłużył, bo po pierwszej transakcji nie zmienił się numer karty.
Support revoluta się wypiął, mówiąc, że numer „może się zmienić, ale nie musi i oni tego w żaden sposób nie gwarantują”
@Piotr: Nie bronię Revoluta ale mogłeś coś zrobić źle. Ja po podaniu nr karty i potwierdzeniu subskrypcji od razu, ręcznie wymuszam zmianę numeru. Przy trialach często jest na początku tylko próbna blokada lub preautoryzacja, a nie obciążenie. Blokady mogą nie powodować zmiany numeru. Skoro i tak jestem w aplikacji to mogę ręcznie zmienić numer. Nie widzę problemu.
Nigdy nie wiesz kiedy przyda się chargeback. Towar może przyjść, ale być gorszej jakości, dostawca może zbankrutować, pandemia może spowodować odwołanie imprezy lub lotu itp.
Co do karty to aktywne korzystanie z usług takich jak: ustawienie limitów, ustawienie powiadomień, wyłączenie transakcji zagranicznych, minimalizuje ryzyko.
To nie jest wysoka cena za „ubezpieczenie” jakim jest chargeback.
Nigdy nie wiesz, kiedy dane karty wyciekną. Lepiej minimalizować ryzyko i nim aktywnie zarządzać, dostosowując do prawdopodobieństwa. Za wakacje płacę zawsze kartą, za zakupy na Allegro zawsze BLIK-iem itp.
Ad 3. Jeżeli robisz backup na dysk zewnętrzny regularnie i masz wolne miejsce to z tego co pamietam Time Machine i tak zrobi backup przyrostowo. Dane backupow są regularnie zapisywanie lokalnie i potem przenoszone na właściwy dysk (dlatego niestety na macOS spora cześć miejsca na dysku jest zajęta przez „system”)
Chrome, Gmail oraz prywatność xD google pewnie zna cię już lepiej od ciebie samego
Zna bez wątpienia. Jak na razie nie ucierpiałem z tego powodu lub nie jestem tego świadom.
No właśnie. Jeszcze nie.
Hipotetyczna sytuacja. Googlowi czy tam innemu molochowi podwija się noga. Myślisz,że tak poprostu grzecznie posprzątają, wszystko usuną i zejdą że sceny? Czy może jak już nie będzie nic do stracenia to sprzedadzą wagony z danymi temu kto da najwięcej?
Ogólnie to paranoja, paranoją, ale naprawdę niewielką stratą dla wygody(jak już się siedzi w sidłach jednego ekosystemu), można tego uniknąć. ?
Ta sytuacja jest tak hipotetyczna jak to, ze padnie cała elektronika naraz – ale mimo to nie planuję drukować backupów.
> Zna bez wątpienia. Jak na razie nie ucierpiałem
> z tego powodu lub nie jestem tego świadom.
To się dziwię.
W jaki sposób można napisać do Ciebie, tak aby treść maila obecnie i w przyszłości (wyłączywszy powstanie komputera kwantowego albo rewolucję w matematyce) nie została poznana przez kogokolwiek poza Tobą?
z3s.pl/pgp.txt – tak najbezpieczniej, aczkolwiek musisz założyć, że:
– nikt mi nigdy nie ukradnie otwartego komputera w trakcie pracy („na Rossa Ulbrichta”)
– nigdy nie zrobię jakiejś głupoty i nie zainstaluję sobie malware
– nie będę celem obcego wywiadu który postanowi poznać historię mojej korespondencji
W każdym z tych trzech przypadków istnieje ryzyko, że mimo zachowania rozsądku i higieny utracę kontrolę nad swoim kluczem PGP i jego hasłem.
Jaki to model krzesla? Czy tam przy podlodze to grzyb?
Grospol Ioo BT KMD31 i nie, szczelina dylatacyjna.
Jak oceniasz krzesło?
Ja mam Grospola Ergohuman BS i jestem umiarkowanie zadowolony – podpórka lędźwiowa powoduje że albo się garbię, albo pupson jedzie do przodu po jakimś czasie i mam pozycję półleżącą – muszę się pilnować i poprawiać :/
Podłokietniki ma genialne, materiał jest ok, zagłówek mało regulowalny, ale zasadniczo ok, tylko ta nieregulowana podpórka pod plecy mnie irytuje.
Jest wygodniejsze od poprzedniego ;) Generalnie nie przesiaduję tam dłużej niż 1-2h, często zmieniam miejsce pracy czy jej charakter, zatem wystarcza jak jest.
Czy blat to Gerton z Ikei? Jak jest zabezpieczony – lakierowany, czy olejowany?
Blat kupiony razem z bunkrem, wtedy pewnie jeszcze nie było IKEI ;) Olejowany.
Używasz uBlock Origin… dlaczego nie tandem Nano Adblocker + Nano Defender?
Bo uBlock działa wystarczająco dobrze.
Sam używasz iOS, a co myślisz o używaniu bankowości mobilnej na androidzie? Też byś używał, gdybyś korzystał z androida?
Android 8+ i używałbym.
Czemu akurat 8+? Chodzi o wsparcie Google’a, czy o coś więcej?
Chodzi o wiele funkcji i mechanizmów bezpieczeństwa, które pojawiają się w kolejnych wersjach. Od 8 większość już jest. 9 i 10 też coś dodały ale już chyba nic mega istotnego, aczkolwiek im nowszy tym lepiej.
Hello :-) Normalnie człowiek w chmurze i na dodatek powiela slogany. Polska jest gotówkowa i nawet koronawirus tego nie zmienił.
Linux też po prostu działa. Gotówka zapewnia prywatność. Profilowanie można oszukać.
Moje urządzenia: serwer na którym działa VM Linux do pracy. Reszta to klienty VNC.
Urządzenia mobilne: telefon (Signal i e-mail) i tablet (klient VNC, również w tunelu SSH).
„Linux po prostu działa” – nie że nie próbowałem, ale gdy spędziłem najpierw dwa dni, żeby napisy pobierały się z odpowiednim kodowaniem a potem 3, żeby klawiatura wpisywała 100% naciskanych klawiszy, to się poddałem.
Sprawdź „Elementary OS” System oparty zawsze na stabilnej wersji Ubuntu że środowiskiem podobnym do MAC’ka. Po prostu działa.
Uzupełnię.
Inne urządzenia (smart) : nie mam, wagę wyrzuciłam ;-)
Dostęp do Internetu: cokolwiek, w „site” jakieś 30-60 Mbps.
Zabezpieczenia urządzeń: zawsze hasło.
Bezpieczeństwo przeglądarek: Blokowanie JS, czyszczenie cookies/storage, blokowanie reklam, UA spoof.
Hasła: metoda zdaniowa z błędem ort.
Szyfrowanie danych na dyskach: wszystkie nośniki są zaszyfrowane.
Szyfrowanie w komunikacji: e-mail często, komunikatory czasem z dodatkowym GPG, albo OpenSSL.
e-mail: własna domena, wykupiony hosting, często GPG.
Społecznościówki: mam, kilkadziesiąt, trolling wciąga ;-)
Hosting: Oracle Free Tier, do dostępu zdalnego przez SSH.
Bankowość: konto bezpłatne, przychodzi kasa – bankomat – gotówka. Brak płatności elektronicznych, no chyba że muuuuszę, to zwykle kogoś proszę kup mi a ja ci dam gotówkę.
Backup: online, offline, offsite, oskryptowany automatyczny, szyfrowany.
W podróży: Kraje total security, np. USA – nie mam nic, nawet telefonu, kupuję coś na miejscu za trochę $$$ i odtwarzam dostęp z Internetu.
Dostęp zdalny: SSH z hasłem i hasłem jednorazowym przez Free Tier, lub sieć Tor.
Pomysł na kolejny artykuł. Jak analogicznie wygląda konfiguracja, którą używają nie techniczni członkowie Twojej rodziny? Wiadomo, że jeden woli Apple inny Google, ale chodzi o ogóły.
Pełen rozstrzał bo i pełen rozstrzał potrzeb i umiejętności. Ale generalnie cechy wspólne to w miarę współczesne urządzenia i aktualizacje systemów.
Do filtrowania ruchu wychodzącego na Macu spróbuj little Snitch – w mojej ocenie jest genialne :)
Próbowałem, za dużo alertów…
Spoko, możesz skonfigurować ogólne reguły i włączyć tryb cichy – wtedy nie będziesz ich (alertów) miał tyle
To z drugiej strony trochę przeczy idei kontrolowania tego ruchu – to po co w takim razie w ogóle? :)
czy używasz XMPP a jeśli tak to jakiego klienta? pidgin? gajim?
Jak ktoś się bardzo upiera to pidgina, ale na co dzień nie mam odpalonego.
Czym robisz backup na serwerze? Rozwiązań jest multum, a ciekaw jestem które u ciebie się sprawdza.
Cronem, gzipem i sftp ;)
Gzipem?
O wiele lepszy jest Zstandard – działa kilka razy szybciej niż gzip, a kompresuje wiele lepiej.
Nie wiem jak z dostępnością w Windowsie, ale na Linuksie śmiga aż miło. Korzystam od dawna i mocno polecam jako najlepszy algorytm kompresji do kopii zapasowych.
https://facebook.github.io/zstd/
1. Masz dwie chmury (Dropbox, Jotta) i dwa VPN (Aruba, F-Secure). Nie wystarczyłby tandem Jotta i F-Secure?
2. Nie masz żadnego antywirusa? Piszesz, że na Maca „wirusów prawie nie ma” ale to się zmienia ostatnio.
3. Hashe łamiesz hobbystycznie czy faktycznie potrzebujesz tego w swoich śledztwach?
4. Pytanie nie związane z artykułem, ale ostatnio na którychś Rozmowach Kontrolowanych mówiłeś że można sobie wciągnąć listę phishingowych domen od CERT do uBlocka. Zrobiłem to i zacząłem się zastanawiać, czy może istnieją podobne listy zagraniczne? (żeby nie wpaść przez przypadek na podrobioną domenę Amazona lub PayPala albo po prostu zainfekowaną malware).
Ja mam karty wirtualne w mBanku (prepaid), do płatności online używam tylko tych kart. Nawet jak numer wycieknie to dużej szkody mi to nie wyrządzi, nie trzymam tam zbyt dużych kwot. Od niedawna mam Revoluta (płatną wersję) i eksperymentuję z jednorazowymi kartami. Ale póki co wrażenia są średnie. Raz że często te karty są odrzucane, a dwa to że muszę wszystkie szczegóły przepisywać z telefonu. Te mBankowe mam w KeePass i mogę sobie numer łatwo przekleić a cvv i datę ważności mogę wpisać z pamięci.
Kradzież środków z karty zdarzyła mi się raz – pracowałem UK i miałem tamtejszą kartę. Wyciekła najprawdopodobniej na wakacjach poza Europą. Ale wystarczyło 20-30 min na infolinii i parę dni później bank zwrócił kasę bez problemów.
„Zrobiłem to i zacząłem się zastanawiać, czy może istnieją podobne listy zagraniczne?”
phishtank.org
1. Dropbox jako backup do backupu, VPN-y w różnych celach (geolokalizacja vs prywatność)
2. Nie, nie używam. Tylko by mi w pracy przeszkadzały, non stop wchodzę na dziwne strony i pobieram dziwne programy.
3. Whynotboth.bmp
4. Ktoś już pisał o Phishtanku.
Dzięki za resztę komentarza!
Widzę, że używasz Revoluta. Ja zakładając konto weryfikowałem się zdjęciem prawa jazdy, ale od dłuższego czasu męczą mnie o weryfikację przy użyciu dowodu osobistego. Męczą mnie dwie kwestie:
1. Czy Revolut przechowuje zdjęcie dowodu osobistego na swoich serwerach?
2. Czy dowody osobiste są weryfikowane przez automat/AI czy może przez człowieka?
3. Czy według ciebie (człowieka, który zajmuje się bezpieczeństwem) jest tutaj ryzyko lub „pole” do nadużyć ze strony Revolut czy też jego pracowników?
Myślę że Revolut odpowie na to (pytania 1 i 2) trafniej niż ja.
A co do pytania 3: Revolut obraca miliardami. Nie sądzę by miał czas brać chwilówki na cudze dowody. Równie tego trzeba się obawiać pokazując dowód przy zakładaniu konta w polskim banku.
chwilówek może nie brać, ale analizuje transakcje i profiluje klientów. na tym Revolut zarabia
w polskich sklepach lepiej płacić BLIK. wolę żeby mój bank miał te informacje, niż szemrana firma z dziwnymi akcjonariuszami
Była kiedyś pewna giełda kryptowalut w Polsce, która twierdziła że nie trzyma zdjęć dowodów osobistych dopóki im nie przesłałem publicznie dostępnych linków do tych dowodów na ich serwerze. Po czym jak mi napisali, że dowodów się już pozbyli to okazało się, że zaczęli tylko generować losowe nazwy dla nowych plików, a stare nadal istniały pod tymi samymi nazwami :/
Czemu Authenticator Plus? Sprawdziłem licząc na perełkę, ale niestety nierozwijany od ponad 2 lat – od tego samego czasu milczą również wszystkie konta developera (również prywatne). Strona ze stopką 2014. Funkcjonalności fajne, ale trochę bym się obawiał, więc na razie zostaje przy niedoskonałym ale żywym rozwiązaniu MS.
No i kolejna cenna uwaga. Na razie działa ;) Ale faktycznie się rozejrzę za czymś wspieranym.
no właśnie – ja ostatnio szukając kolejnej apki do TOTP trafiłem na Authy i bardzo mi się spodobała opcja synchronizacji między telefonami/pecetami – teraz mam na 3 telefonach i 2 PC współdzieloną „kopię” ale może polecicie lepszy sposób? poprzednie apki mnie denerowały np tym że nie dało się ich przemigrować na nowy telefon albo podejrzeć totp seed
Na Androida polecam Aegis Authenticator (blokada na hasło, szyfrowanie, eksportowanie, opensource)
Dzięki za tę spowiedź. Po raz kolejny pokazuje, jak bardzo trudno być dziś aktywnym świadomie bezpiecznym użytkownikiem sieci. Wiem że to opis osoby wyczulonej na kwestie bezpieczeństwa, ale śmiem twierdzić, że osoba bez zawodowej rezerwy i tak musiałaby uwzględnić niewiele mniej elementów i musiałaby spisać niewiele krótszą spowiedź. Co do wspólnych doświadczeń – pół na pół, tzn. nie mam tej połowy która dotyczy świata dla lepszych ode mnie – czyli miłośników Apple ;)
doczytalem tylko „macOS” dalej już sobie darowałem.
[triggered] xD
W zasadzie tylko dla takich komentarzy piszę te artykuły!
„Mam też sieć dla gości, ale nie mam gości.” – Dobre i bardzo na czasie :)
Cześć,
może jeszcze i mi odpowiesz :)
Czy gdybyś teraz zakładał jakiegoś managera haseł z synchro online (o ile w ogóle byś takiego zakładał) to co by to było? Nie korzystam z tego aplikacji, a myślę nad tym, aby stworzyć mocno dziwaczne losowe hasło do banku i serwisów gdzie trzymam ważne dla mnie dane. Zawsze bałem się, że wcale nie jest to bezpieczne i trzymać hasło w głowie.
Generalnie gdybym dzisiaj zakładał to pewnie wybrałbym opcję online by było prościej, a który? Nie studiowałem tematu, ale pewnie jeden z 2-3 najpopularniejszych.
ja po przeczytaniu połowy internetu wybrałem bitwarden, od kilku dni używam i naprawdę dopracowany opensource’owy soft za niewielką kasę, plus opcja postawienia onpremise, plus naprawdę dużo obsługiwanych os/przeglądarek. Hasła, których nie mogę synchronizować do chmurki trzymam w keepass+plugin do Firefox (Kee).
używasz chrome a nie myślałeś przesiąść się na brave? Migracja jest dość prosta :).
Co do keepassa przesiadłem się na last pass i mogę polecić radzi sobie nawet z logowaniem gdzie najpierw podajemy nazwę użytkownika a na następnym ekranie hasło :)
A co ma Brave oprócz sowitej prowizji (chyba powyżej 200 PLN) dla każdego, kto namówi cię na przejście na Brave?
>gmail
No fajnie się czytało XD
Jak zwykle super, ze robisz cos tak wartosciowego.
Zabraklo mi informacji, jak radzisz sobie z mniej bieglymi wspolokatorami? Tzn. jak dbasz o to, zeby rodzina miala 2fa, zeby nie sciagneli glupot, zeby mieli backupy etc? Chca Cie sluchac czy raczej mowia, ze masz paranoje? Pytam, bo u siebie widze zaniedbania w tym temacie i wiem, ze najletwiej mnie tak by bylo zaatakowac (tzn. przez ich ludzkie bledy).
To skomplikowane bo zróżnicowane. Głównie autoryzacja przelewów w aplikacji (ochrona kasy) i poczta na Gmailu (ochrona poczty). Do tego AV na stacji i obowiązek konsultowania ze mną każdego nietypowego emaila.
Udało Ci się kogoś nietechnicznego przekonać do managera haseł?
..przeraziłeś mnie. lajtowym podejściem. idę leczyć paranoję..
Pytanie dotyczące backup kodów, które różne serwisy generują podczas ustawiania 2fa. Czy je drukujesz i chowasz do sejfu, czy przetrzymujesz je w innym miejscu, olewasz? Jak inaczej zabezpieczasz się przed utratą yubikey? Czy masz włączone równocześnie totp i yubikey (czy to nie zmniejsza bezpieczeństwa)?
Co do awarii osobistej, istnieje coś takiego jak google inactivity manager – https://myaccount.google.com/inactive . Nie jest idealne bo bezpiecznie działa tylko dla google, ale pozwala na wpisanie plaintext informacji, co może jakoś wspomóc osiągnięcie celu.
Trzymam w menedżerze haseł.
Czasem mam TOTP + Yubi, ale używam tylko Yubi więc nikt TOTP nie przechwyci ;)
No i mam do chyba wszystkich kont gdzie się da 2 Yubi.
Skoro czekasz na komentarze «MacOS, rezygnuję z tego portalu», to proszę uprzejmie:
MacOS, rezygnuję z tego portalu!!!!!
(mam nadzieję, że pięć wykrzykników całkowicie wystarcza. Gdyby nie, proszę o informację)
Jeszcze dopisałbym 1111oneoneeleven ;)
Szanuję za veracrypt! Narzędzie nie do złamania przy dobrym haśle :)
Czytając twój artykuł mam wrażenie, że popadłem w paranoję.
Urządzenia: iPhone + Macbook Pro 2017 + PC z macOS
Mail – poste.io (self hosted)
Hasła – 1Password
Przeglądarka – Firefox (próbowałem self hosted serwer, ale iOS nie wspiera tej opcji)
DNS – NextDNS z większością list zaimplementowanych.
VPN – swój własny + mullvadVPN
Chmura – Seafile (self hosted)
Kontakty – Baikal (self hosted)
RSS – miniflux (self hosted)
Zadania – Omnifocus z własnym serwerem WebDAV + Trello (lepszej alternatywy nie znalazłem)
Wiadomości – Discord + Signal + Telegram + iMessage
Kod trzymam w większości na własnym serwerze gita (Gitea), konta Google pozbyłem się jakiś czas temu (pozbycie się Youtube’a naprawdę boli, nawet zastępstwo z użyciem invidio.us + rss ustawiony na najczęściej oglądane kanały jakoś nie daje tej satysfakcji z oglądania), konto Facebooka usunę jak szkoła mi na to pozwoli (tam są ważne informacje publikowane na prywatnych grupach).
Dzisiaj już utrzymanie tego wszystkie nie kosztuje mnie dużo, najczęściej aktualizacje kontenerów dockerowych i mam spokój, ale za każdym razem jak na to patrzę, to jedyne plusy jakie w tym widzę to prywatność, cena, wydajność, niezależność, ale tracę tutaj możliwości współpracy z innymi ludźmi (których jak narazie nie potrzebuję) i jednak czas, który muszę poświęcić na te aktualizacje.
Tak jak wyżej ktoś powiedział, tak jak chyba też muszę pójść leczyć paranoję.
Brawo Ty. Ile zajęło Ci postawienie tego wszystkiego? Automatyzujesz jakoś aktualizacje? Jak dbasz o backupy tych usług? Gdzie je hostujesz?
Dziękuję :D
1. W sumie to jakoś pół roku godzinnego-dwugodzinnego grzebania w VPS kilka razy w tygodniu (przy okazji nauczyłem się wielu rzeczy związanych z moim zawodem). A usługi rosły powoli, ponieważ wiele rzeczy nie wiedziałem jak postawić, a do tego nie wiedziałem, że niektóre rzeczy da się w ogóle self-hostować tak wygodnie. Do tego doliczyć trzeba szukanie odpowiednich usług (np. Nextcloud/Owncloud/Seafile/itp., nauka stawiania tych usług, stawianie, dłubanie i testowanie – to też zabrało sporo czasu) i testowanie ich. To też mój pewien rodzaj prokrastynacji, zamiast pisać kodu czy uczyć się do szkoły, przeglądam awesome-selfhosted :D
2. Wszystkie kontenery są pod okiem watchtowera – serwis (też self-hosted), który sprawdza, czy jest nowa wersja obrazu dostępna, jak jest, ściąga ją, uziemia usługę, podmienia obraz i startuje ponownie. Jedyną rzeczą jaką nie aktualizuje to seafile, ponieważ nie wiem jak zautomatyzować w nim logowanie się do serwerów dockerowych (korzystam z pro, którego obraz wymaga zalogowania się do pobrania). Watchtower nigdy nie zrobił tak, by serwer mi padł w momencie aktualizacji, ani nigdy tego nie odczułem, gdy restartował kontenery.
Crontab aktualizuje mi system (Ubuntu) i go regularnie czyści, więc o to też się nie martwię, czasem tylko po restarcie niektóre kontenery nie wstają, ale to też jestem w stanie naprawić, tylko nie czuję takiej potrzeby, bo rzadko restartuję serwer (tylko po reskalowaniu lub większych aktualizacjach).
A z problemów których też nie ogarnąłem jeszcze automatyzacją, to VPS co jakiś czas traci połączenie ze Storage Boxem (via SSHFS), rzucają błędy I/O, ale żeby to od nowa zamontować, muszę część kontenerów uziemić (wrzucają one tam na nowo swoje foldery), wyczyścić folder, zamontować i uruchomić usługi ponownie), ale to chyba nie będzie problemem, jak będę miał własny serwer.
3. Backupów chwilowo większych nie ma poza Storage Boxem (od Hetznera), który backupuje cały serwer Seafile + kilka innych usług, ale nie wszystko. Planuję w przyszłości (wraz z serwerem) backupować wszystko do backblaze’a (razem z Macami) + oczywiście serwer będzie opierał się na RAID 1/10.
4. Aktualnie wszystko stoi na VPS od Hetznera, lecz jak już zacznę zarabiać na tyle, by móc sobie na to pozwolić, to zacznę zbierać na własny serwer domowy, mimo powolnego internetu i potrzeby UPS (często prąd mi wyłączają w nocy), to taki serwer w domu z podłączeniem 1gbps do komputera głównego naprawdę byłby super opcją. Jako uczeń nie mogę sobie na takie wydatki pozwolić :/
Pomimo, tego, że moje usługi nigdy nie działały lepiej (maila do aplikacji przychodzą natychmiastowo, a nie z lekkim opóźnieniem, kontakty i eventy synchronizują się prawie natychmiastowo, a synchronizacja plików przez seafile to dosłownie chwila), to dalej mam wrażenie, że przesadzam z tym unikaniem wielkich korporacji, ale z drugiej strony ile musiałbym wydać pieniędzy na usługi, które by mi to zastąpiły i nie byłyby od Apple (wszystkie moje urządzenia są od Apple, tylko na PC mam Windowsa do gier), to wręcz się nie opłaca dla osoby, która ma więcej czasu, ochoty i ciekawości niż pieniędzy, ale obawiam się jak to będzie dalej wyglądać, gdy już tyle czasu nie będzie.
Wypróbuj sobie apkę NewPipe, ze sklepu fdroid na andku – można 'subować’ kanały na yt bez logowania i to dużo wygodniejsze :))
Świetny materiał.
Teraz pare pytań. Trzymasz plik hasła na dropboxie bez pliku klucza rozumiem że bez haseł np do banku w środku czy jednak cały komplet? Ogólnie czy graczom takim jak Microsoft ,Google czy Dropbox można zaufać, przynajmniej w kwestii mniej ważnych danych (nie piszę o zdjęciach z wakacji ;)
Face ID ,odciski – nie przeszkadza ci to że gdzieś tam jesteśmy dodani do czyjejś „kartoteki” otagowani.
Tutanota.com twoja opinia o tym dostawcy?
1. Ależ oczywiście że hasło do banku jest w środku. Nie wiem jakie mam hasło do banku. Mój menedżer wie ;)
2. Ufam tym firmom w zakresie zachowania poufności i dostępności moich danych.
3. Nie jesteśmy w żadnej kartotece, skany odcisków i twarzy pozostają na telefonie.
4. Nie używam, sprawdziłbym, kto jest właścicielem.
czy w banku używasz tego samego numeru telefonu co na innych stronach?
Tak. Jedyna inna opcja wymaga noszenia całą dobę dwóch telefonów albo telefonu na dwie karty – bez sensu.
A biorąc pod uwage eSIM jako drugi na Iphone?
1. Czemu nie używasz Keepassium na iOS?
2. Jak masz rozwiązane szyfrowanie kopii plików pod MacOS w przypadku potrzeby dostępu do plików na Windows?
1. A nie wiem, znalazłem Keepass Touch i był OK.
2. Nie mam – jeśli potrzebuję z Windowsa to te pliki mam na Jotta w chmurce.
Używasz antywirusa na MacOS? Używanie go pod MacOS ma jakiś sens?
Nie, i tak nie kupuję wirusów a bezpłatne trudno znaleźć…
„Nie, i tak nie kupuję wirusów a bezpłatne trudno znaleźć…”
Mogę to cytować? :D
Proszę bardzo.
Co prawda nie czytałam całego artykułu, ale odniosę się do fragmentu, przy którym skończyłam – dlaczego używać Firefox zamiast Google?
Otóż dlatego, że Mozilla Firefox, or simply Firefox, jest open-source, a po drugie stoi za nią Mozilla Foundation, która w przeciwieństwie do wysoko-budżetowego projektu: Chrome ma mniejszy budżet i często przeznaczany na wybitnie fajne cele (vide finansowanie Tor-Browser).
Argument o mniejszym budżecie to może przekonuje żeby im pomóc, ale nie żeby uznać ich produkt za bezpieczniejszy.
Desktop + Win10
mail: Gmail + ProtonMail
Hasła: w Keepass + Keepass2Android. Miałem główne proste hasło do mniej znaczących aplikacji. W związku z wyciekiem z OKNA mam teraz głównie 32 znakowe randomowe. Poza tym kilka haseł w pamięci długie, niesłownikowe do kluczowych usług.
Przeglądarka: Opera + Chrome
Antywirus: Windows defender. Wszystkie inne darmowe antywirusy walą często flase positivami przy developmencie i dostarczają masę syfu.
Może ktoś poleci jakiegoś antywira do 100PLN/rok?
W planach szyfrowanie dysków.
Avira niekomercyjna, choć teraz dodają dużo śmieci do antywira.
Dlaczego akurat Jotta? Jakie głównie argumenty wpłynęły na tę decyzje? Z jakiego zbioru innych wybierałeś?
Kilka lat temu była to najtańsza opcja „no limit” z sensownymi klientami na kilka platform i opcją zarówno synchronizacji folderów jak i backupu. I chyba dalej jest.
Zaciekawiła mnei ta Jotta… ale patrząc po opiniach o Jotta to mam mega wątpliwości.. jak się na to zapatrujesz?
A co złego piszą w opiniach? U mnie generalnie działa i to od 4 lat. Danych nie gubi, czasem trzeba apkę zrestartować.
Co sądzisz na temat ProtoMaila, miałbyś zaufanie do tej usługi? I czy generalnie można wierzyć jakimkolwiek firmom w ich zapewnienia o zero-access encryption bądź no log policy?
Nie i nie.
Rozumiem brak zaufania do technologii której Proton używa, bo zawsze mogą np. zaserwować stronę ze zbackdoorowanym w JavaScript szyfrowaniem.
Ale skąd brak zaufania do samego dostawcy? Podejrzewasz że to honeypot?
Czy o to chodzi, Adamie?
ProtonMail Accused of Voluntarily Helping Police Spy on Users
https://www.securityweek.com/protonmail-accused-voluntarily-helping-police-spy-users
Nie, chodzi o to, że nie wiadomo kto de facto za nim stoi i jaki ma cel.
Nazwij mnie podejrzliwym, ale nie wierzę, że podzieliłeś się z nami prawdziwymi informacjami :-)
Uwielbiam Z3S i odmawiam przyjęcia do informacji, że Jesteś takim ignorantem ;-)
Jedyne w czym mogę się z Tobą zgodzić (i spać spokojnie), to MacOS.
Sam jestem przewrażliwiony do tego stopnia, że wbijam się w cudze WiFi i piszę z ich adresów IP :-D
Dla przykładu, teraz lecę na internecie z niezabezpieczonego TP-LINKA w mieście przy granicy z Republiką Czeską :-D
Też lubię filmy szpiegowskie…
Pytanie bardziej o moralność wyboru producenta z znanym logiem. Jakby przenieść to na świat poza IT, to czy moralnie usprawiedliwione byłyby zakupy ropy od ISIS z powodu, że byłaby lepszej jakości?
A Google przeprowadziło liczne ataki terrorystyczne i odpowiada za śmierć tysięcy i niedolę milionów ludzi? Bo chyba niezbyt trafiona ta analogia.
– mój bank umożliwia korzystanie z hasła niemaskowalnego
Właśnie to jest problem u niektórych, mBank nie stosuje, Getin daje możliwość wyboru i te są OK. Ale np. ING nie pozwala wyłączyć. Niestety długie skomplikowane hasło by być wpisane do formularza maskowanego, wymaga wyświetlenia i liczenia znaków. A to nie ma nic wspólnego z bezpieczeństwem.
A może ktoś zna sposób jak zmusić np. KeePassa, chociażby poprzez jakiś plugin, nakładkę, cokolwiek, by móc korzystać z maskowania?
https://imgshare.io/image/keepass.NpS24g
Później, możesz korzystać z ctrl+v (auto type), wyświetla się formularz do wybrania znaków.
Do jakiś mniej ważnych serwisów z podobnym hasłem nie używasz unikalnych maili? Coś w stylu catch all na domenie by w razie wycieku utrudnić powiązanie z innymi kontami i tez by łatwo namierzyć przez kogo spam przychodzi?
Długo nie robiłem indywidualnych emaili, więc żeby osiągnąć pożądany efekt musiałbym teraz zmieniać adresy w kilkuset miejscach. Nie chce mi się ;)
Mnie interesuje jak organizujesz sobie notatki.
Ja wiele lat korzystałem z CherryTree + synchronizacja pliku a teraz przerzuciłem się na Notable + synchronizacja pliku (miłość do markdown).
Aby nie tylko pytać to też podzielę się pokrótce swoim rozwiązaniem.
Komp: Dell XPS 2in1 7390 (Dual boot: Windows 10 + Ubuntu zawsze najnowsze) + zaklejam kamerę
Akcesoria: stacja dokująca Dell, mysz Razer Atheris, klawiatury zmieniam jak rękawiczki a na tą wymarzoną zawsze szkoda kasy bo są lepsze wydatki (ogólnie poluję na coś w stylu Cool Master o niskim profilu lub właśnie dokładnie tą klawiaturę).
Monitor: Acer 34″ 2k 100 Hz
Fotel: YUMISU 2052 Black (tzn wkrótce kupię bo koronawirus)
NAS: Synology DS218J (chce przejść na model DS718+ bo obsługa Dockera i obecny trochę muli)
Tel: Samsung A40 + szyfrowanie + paluch + pin
Sporadycznie opaska: MiBand 4
Net: UPC 500/30
Wszystko synchronizuje się z NASem (pliki, zdjęcia, muzyka, filmy, hasła, ogólnie wszystko tam trzymam). Gdy dokupię nowego, o którym wspomniałem wcześniej, to stary zostawię aby był backupem backupa i postawię w innej lokalizacji.
VPN na NAS, żeby zawsze być jak w domu + drugi na VPS’ie + trzeci, czasem PIA, jak dają promocję (żyję od black friday do black friday)
Aplikacje
Hasła: KeePassXC + Keepass2Android (długie generowane hasła są przechowywane i w Chrome i w KeepassXC)
Szyfrowanie: VeraCrypt
Komunikacja: Signal + Discord + Keybase + Telegram (nawet mama go polubiła, za stickery oczywiście)
Mail: Gmail + Tutanota. Sporadycznie szyfruję PGP.
Przeglądarki: Chrome + Tor Browser + Firefox jak coś nie działa w Chrome
Dodatki: uBlock Origin + Privacy Badger + HTTPS Everywhere
Hajsy: mBank + TransferWise do przelewów i płatności za granicą (karta Visa gratis) + Monolith do crypto (karta Visa gratis) + GooglePay
TV: od 15 lat nie mam :)
Społecznościówki: Nigdy nie miałem :( przynajmniej nie na tych wielkich portalach. Boję się, że nikt by mnie nie dodał do przyjaciół, a tak jestem sam z wyboru, przynajmniej tak sobie wmawiam :)
Dziękuję, że po raz kolejny podzieliłeś się swoją konfiguracją oraz, że nie jest ona przygotowana dla ludzi w aluminiowej czapeczce. Jesteś żywym przykładem na to, że można korzystać z wszystkiego i gdy robi się to z głową to jest i bezpiecznie i funkcjonalnie.
I jak wszyscy inni polecam prze migrować z KeepassX na XC, nie boli, sam to przerabiałem.
> można korzystać z wszystkiego i gdy robi się to z głową to jest i bezpiecznie
Nie. Korzystanie z Gmail to oddawanie mu treści swojej korespondencji. Z definicji bezpieczne być nie może.
Jeśli korzystasz z Gmaila + pgp to oddajesz mu treści zaszyfrowane :)
Mam dwa maile Gmail do wszystkiego + pgp gdy trzeba i Tutanota do wszystkiego innego + gdy trzeba pgp.
Notatki to jak jaskiniowcy, mam jeden plik txt cały czas otwarty i jakieś 50 przypadkowych, pokreślonych kawałków papieru.
Uhh.
Dzięki za info.
Nie rozumiem po co tyle kont email, kont bankowych i metod płatności?
Mniejszą ilość łatwiej upilnować
Hasło do menadżera masz gdzieś zapisane? Co w przypadku amnezji?
Nie mam, właśnie po to ma być „plan zapasowy” na wypadek mojej awarii.
Jak wyglada sprawa z drukowaniem?
Lokalna drukarka drukuje. I to chyba tyle :)
Masz hasło sprzętowe w MacBooku?
Bardzo dobry artykuł.
Ciekawią mnie Twoje opinie o przeglądarkach, tak krótko: na desktopie i osobno urządzeniach mobilnych. Np. Chrome, Firefox, Brave, Opera, Vivaldi, nowy Egde, Safari i może inne. W aspektach: bezpieczeństwo/prywatność/wygoda.
Pozdrawiam.
Dzisiaj wszystkie nowoczesne przeglądarki są wielokrotnie bezpieczniejsze niż kiedyś. Używam Chrome bo mi pasuje, ale reszta dużych tez jest OK. Brave jest dziwne, jak ktoś płaci 40 PLN za każdego namówionego do używania tej przeglądarki (a było sporo więcej), jak to się opłaca? :)
Możesz napisać coś więcej o tym płaceniu za namówionego do Brave? Jakoś mi to umknęło, przyznam się. Słyszałem tylko o modelu płacenia w krypto za oglądanie reklam, ale o ile wiem, to trzeba wyłączyć jeśli użytkownik chce skorzystać.
Nie, żebym był zainteresowany takim zarabianiem, czysta ciekawość :-)
Pozdrawiam.
1) Nie rozumiem. Najpierw NordVPN był zaufany, ale przestał być i teraz ufam F-Secure oraz Apple i Google.
A co jeśli te firmy nagle zaczną sprzedawać (nie)wszystkie dane swoich użytkowników? Albo wykupi je inna firma z inną polityką ochrony danych i też zostaną one udostępnione? Pamiętaj, że wszystko co powiesz, może być wykorzystane przeciwko tobie.
Dlatego moim zdaniem, bezpieczeństwo bez zachowania prywatności jest iluzją. A wszystkie firmy bazujące na closed-source nawet jeśli dziś obiecują „nie patrzeć” w dane mogą jutro zmienić zdanie i udostępnić je komu popadnie. Łącznie z hasłami i odciskiem tyłka. Zatem tylko otwarty kod źródłowy i szyfrowanie end-to-endzapewnia odpowiedni poziom bezpieczeństwa.
2) Argument, że używanie innej poczty niż google, bo i tak odbiorca ma google też do mnie nie trafia. Idąc tym tokiem rozumiwania wszyscy powinni mieć google, bo tak będzie łatwiej. A wtedy znajdziemy się w świecie bez konkurencji i z jedną firmą która może zbyt wiele.
Ad 1 – gdzie był zaufany? Chyba nie na tej stronie ;) Tak, rozważałem zakup, ale się przyjrzałem się bliżej i od dawna odradzam. Oraz co w tym dziwnego że ufam firmom, które znam, a nie ufam tej, która nie chce się przyznać, kim jest? To tak jakbyś zarzucił mi, że jak mnie sąsiad poczęstuje piwem to biorę, a jak obcy to odmawiam.
Serio piszesz „a co jeśli ktoś kupi Google”? xD Oraz cały ich model biznesowy polega na tym, że nikomu danych swoich użytkowników nie sprzedają – bo zarabiają na ich używaniu, nie sprzedawaniu.
Ad 2 – to by w sumie rozwiązało problem spamu, phishingu i malware w poczcie – czemu nie?
> Ad 2 – to by w sumie rozwiązało problem spamu, phishingu i malware w poczcie – czemu nie?
No, jeżeli pożegnałeś się już z prywatnością, to faktycznie czemu nie.
Przerażające…
Dobrze wiedzieć, że nie tylko mnie to przeraża. Za nic w świecie nie chciałabym obudzić się w koszmarze Orwella (lata temu pisałam z tego przemówienie maturalne, lektury były przygnębiające). Chyba wolałabym praktycznie całkowicie zrezygnować z internetu poza służbowymi sprawami. Pozostaje jeszcze nadzieja, że GPG dalej będzie nie do przebicia.
Przy tym pojawia się kwestia znajomych, którym nie ufa się na tyle, żeby podawać im swoje dane kontaktowe. Bo jeszcze zapiszą je w aplikacji, która wyśle je do chmury… W sumie też niedaleko do Orwella, gdzie lęk budzili potencjalni donosiciele wśród rodziny. Autorowi artykułu z pewnością danych bym nie podała :)
Nie musisz podawać, jeśli zechce i tak Cię namierzy, OSINT to jego drugie imię hehe
Problem znajomych – i w ogóle każdego, z którym prowadzimy jakąś korespondencję – jest najtrudniejszy do rozwiązania.
Bo co z tego że sam masz zaszyfrowane dyski, blokujesz w przeglądarce śledzenie i korzystasz z różnych VPN-ów, skoro 99% znajomych wszystko trzyma na cudzych komputerach zwanych dla niepoznaki chmurą?
Co robić?
„To mój jedyny „inteligentny” gadżet naręczny, który jest wystarczająco mądry, by rejestrować podstawowe informacje, a jednocześnie wystarczająco głupi, że nawet jak go zgubię lub ktoś go zhakuje albo podsłucha komunikację to najwyżej dowie się że się nie wyspałem.” to teraz już 'trochę’ więcej by wiedział %-))
Polecam temu milosnikowi gogla i appla poczytanie ksiazek Snowdena w oryginale. Moze wtedy sie dowie dlaczego warto dbac o prywatnosc, bo dzisiaj tego nie wie. Skonieczny tez nie wie.
Przeczytałem, nie pomogło. Czy rekomendujesz coś jeszcze?
Tak, rekomenduje zrozumienie ich.
Chyba „zrozumienie tak jak ja” – bo jak ktoś zrozumiał inaczej to najwyraźniej źle…
Adamie, mnie szalenie dziwi Twoje podejście do tego, że Google tyle nas wie.
Pisałeś kiedyś, że to jak z wodą w piwnicy – wody jest już dużo i nie ma znaczenia, czy dolejemy tam jeszcze trochę centymetrów, czy nie. Ale takie porównanie jest całkowicie błędne. Bo wodę z piwnicy możesz wypompować i piwnicę osuszyć. W razie stęchlizny możesz nawet wybudować nowy dom.
A dane które ma Google są poza Twoją kontrolą i Google może z nimi zrobić CO ZECHCE.
Nie potrafię zrozumieć, że Cię to nie przeraża i że nie przestałeś karmić Google’a informacjami o sobie, nawet jeśli bardzo utrudnia to życie.
Książek? A co – oprócz „Permanent Record” – napisał Snowden? I dlaczego akurat w oryginale? Polskie tłumaczenie jest wadliwe?
wspaniały arykuł!! kozacka dyskusja w komentarzach:P jesteście wszyscy super! buziaki***
> (co np. na smartfonie bywa uciążliwe, szczególnie jeśli trzeba potem hasło przepisać do komputera).
Kopiowany tekst na iPhonie można wkleić na innym urządzeniu iCloud i vice versa ;)
Świetny artykuł – kilka informacji, kótre spróbuje zaimplementować u siebie. Sekcje komentarzy zawsze miło się czyta ;) Z drugiej strony podejście niektórych przywodzi na myśl radykalnych amerykańskich obrońców drugiej poprawki. Potrzebuje tego M24, granatnika przy łóżku i min przeciwpiechotnych w ogrodzie.
Super artykuł, dziękuję! Pamiętam, jak pierwszy raz przeczytałem „Spowiedź bezpieczeństwa” z 2016 roku – byłem wtedy gdzieś w polskich górach i siedząc na małym łóżku u jakiejś gaździny pochłonąłem cały tekst za jednym zamachem :)
Słuchając Twojej spowiedzi Adamie, mam wrażenie, że jesteś idealnym połączeniem pomiędzy zatwardziałym paranoikiem (privacy freeq), a zwykłym użytkownikiem, co w sumie daje idealne połączenie bezpieczeństwa, świadomości zagrożeń i zdrowego rozsądku.
Jeśli chodzi o menadżer haseł, to ja wciąż używam KeePass-a, jakoś nie chcę się przekonywać do nowych rozwiązań, bo lubię i przyzwyczaiłem się do tego programu. Nawet kiedyś grzebiąc w starych wpisach znalazłem pierwsze zapisane hasło i wyszło mi, że używam KeePass od 23 października 2005 – mam to nawet zapisane w kalendarzu jako rocznica KeePass-a, chociaż nie bardzo wiem jak to świętować – może ktoś z kolegów (bądź koleżanek) z aluminiowymi czapeczkami na głowie mi podpowie ;)?
Bardzo jestem ciekawy planu zapasowego na wypadek awarii – jak on ma wyglądać? Gdzie trzymasz jeszcze swoją bazę z KeePass? Czy tylko hasło, czy też YubiKey?
Ja mam od kilku lat klucz YubiKey, lecz nie jestem zadowolony – mało stron go obsługuje, a jak już gdzieś się loguje, to wygodniej mi potwierdzić kodem z aplikacji (ja używam Authy), niż wkładać klucz do kompa. Chciałbym go używać do jako 2FA przy logowaniu do banku, ale nikt tego nie odsługuje.
Czy może mi ktoś polecić, gdzie trzymać kopie bazy KeePass? Tak, żeby było bezpiecznie i żebym miał do niej dostęp. Np. zgubię komputer i telefon, jestem za granicą. Wszystko w KeePass-ie – jak żyć?
Baza na Dropboksie, dostęp odzyskuję po kupieniu nowego telefonu i pociągnięciu zawartości starego z iClouda.
@Maciek też mi aktualnie brakuje mocnego wsparcia 2FA do logowania w bankach, nie mówiąc już o U2F tj. Yubikey. Jeśli chcesz zwiększyć częstotliwość użytkowania „kluczyka”, to polecam moje 2 metody. Pierwsza to appka Yubico Authenticator na adroida, w którym jednorazowy kod pojawia się dopiero po zbliżeniu klucza do telefonu ( wymagany kluczy Yubico generacji 5 z NFC oraz smartphone z tą technologią). Niestety trzeba zawsze mieć przy sobie klucz, jeśli nie mamy innej zapasowej appki, ale wiadomo, że homonto samemu się tutaj zakłada dla własnego bezpieczeństwa. Druga opcja to dodanie zabezpieczenia do desktopowego keepass ( działa także dla keepass2android) metodą np. hasło + challenge response ( czyli klucz U2F tj. Yubico).
Na koniec taką bazę kdbx można wrzucić na dowolną chmurę typu dropbox, google drive albo pcloud i mamy pełną synchronizację online. A żeby było już totalnie zaszyfrowane, to polecam Boxcryptor do szyfrowania folderów i plików w ww. chmurach ( jest też darmowa usługa do testowania).
Do użytkowników KeePass’a – da się bez problemu obsłużyć wpisywanie hasła maskowanego, da się też bez problemu obsłużyć strony/programy gdzie najpierw wpisuje się login, a dopiero na następnym ekranie hasło.
W KeePassie da się obsłużyć praktycznie wszystko (mam w KeePass ponad 500 wpisów i nie było jeszcze takiego, gdzie nie da się ustawić autotype) tylko trzeba dogłębniej zapoznać się z ustawieniami funkcji Autotype.
Co do przepisywania długich loginów/haseł na telefon, to faktycznie jest to pewna niedogodność (cena za bezpieczeństwo) ale polecam wtyczkę wyświetlającą login/hasło jako kody QR. Oczywiście tutaj można się zastanawiać nad kwestią zaufania do pluginów, ale te open source’owe i hostowane przez autora KeePassa nie powodują paranoi u mnie osobiście.
Zawsze mnie zastanawia jedna rzecz u zwolenników self-hosted maili i co za tym często idzie zwolenników używania unikalnych maili do rejestracji w każdej usłudze (catch-all wszystkich adresów z domeny).
A mianowicie – co z tą domeną? Przecież musicie mieć jakąś domenę w której ten mail funkcjonuje. I co z prywatnością w tym momencie? Przecież prywatność wtedy praktycznie nie istnieje.
Jeśli ja na PornHubie mam konto horny123xxxq[at]gmail.com a do kontaktu ze znajomymi używam cezarykowalski1980[at]gmail.com to czuję się w miarę bezpiecznie w razie wycieku danych pornhuba. Nikt nie zmatchuje moich kont ze sobą.
A co Wam z tych unikalnych maili w każdej usłudze, jeśli są to maile maildopornhuba[at]pocztamateusza.pl i maildlarodziny[at]pocztamateusza.pl ? Dyskrecja raczej żadna. A jeszcze i we whois domeny można sporo sprawdzić.
> Jeśli ja na PornHubie mam konto
> horny123xxxq[at]gmail.com a do kontaktu ze
> znajomymi używam cezarykowalski1980[at]gmail.com
> to czuję się w miarę bezpiecznie w razie wycieku
> danych pornhuba. Nikt nie zmatchuje moich kont
> ze sobą.
Podnosisz ciekawy problem z tym wiązaniem kont, ale jeżeli korzystasz z Gmaila, to jesteś na przegranej z góry pozycji.
Google bez problemu powiąże Twoje konta. I wcale nie musi Cię o tym informować.
Jeśli powiązanie się nie uda przez cookies i skrypty śledzące, to zrobi to przez fingerprinting przeglądarki. A w ostateczności przez porównanie biometrycznego profilu ruchów myszy i sposobu pisania na klawiaturze, który jest unikalny dla danego człowieka. Zauważ, że bez (umożliwiającego takie śledzenie) Javascriptu korzystanie z Gmaila jest niemożliwe.
Między innymi dlatego należy od firmy Google, jej produktów i usług trzymać się z daleka.
Ale chyba mnie nie zrozumiałeś do końca, ja wiem że google match’uje ze sobą moje konta i mi nie przeszkadza. Przecież nikomu nie mówią, że konta X i Y należą do tej samej osoby – trzymają tę wiedzę dla siebie. Będąc osobą trzecią nie da się sprawdzić jakich innych kont gmail używa ktoś tam.
Tymczasem w metodzie catch-all z własną domeną, jak wypłynie jakaś baza maili z jakiegoś serwisu, to od razu po wyciekniętym adresie będzie widać, że to Ty, że to Twoja domena. I ta wiedza będzie dostępna dla osób trzecich.
Oczywiście baza googla też może wycieknąć. Ale w tym momencie muszę „zaufać” tylko jednej firmie. Z wszystkich innych w których sie rejestruje – niech wyciekają, i tak nikt nie będzie wiedział że ja to ja.
Pokładanie ufności w Google’u to niebezpieczna rzecz. Ta firma zbudowała swoją pozycję na gwałceniu prywatności milionów ludzi w zamian za darmowe usługi komunikacyjne.
Sam fakt, że Google gromadzi o nas wiedzę, to zło. Jeszcze byłbym w stanie zrozumieć, gdyby to dotyczyło tylko użytkowników Google’a którzy wyrazili na to zgodę – ok, mogę tylko przestrzegać przed taką głupotą.
Ale Google gromadzi *na zawsze* informacje np. o każdym, kto napisał choćby jednego maila do użytkownika poczty Gmail. To jest niemoralne, należy to potępić i robić wszystko, by nie dać się śledzić.
Catch – all jest do łatwego namierzenia skąd spam zaczął przychodzić i urozmaicenie loginów mailowych na rożnych stronach. Jak ktoś się uprze to dane z jednego wycieku połączy z innymi kontami, ale zrobi to raczej polując na konkretna osobę i będzie to trudniejsze niż przy użyciu jednego maila.
W whois znajdziesz tylko to co sam podasz. W większości firm przy wykupowaniu domeny jedynym co sprawdzają jest płatność, więc wyciek nazwy zmyślonego właściciela domeny jakoś nie jest problemem. Przy odpowiednim operatorze domeny nawet nie musisz za mocno o serwer się przejmować, bo bez podpinania żadnego zrobisz catch all z forwardem na inny email.
Z perspektywy osoby używającej catch all prawie wszędzie, jakoś nie miałem jeszcze problemu by wstydzić się że gdzieś mam konto, ale na upartego na takie wypadki zawsze można kupić drugą domenę. ;)
>> „Catch – all jest do łatwego namierzenia skąd spam zaczął przychodzić i urozmaicenie loginów mailowych na rożnych stronach.”
–
No tak, rozwiązujesz jeden problem ale moim zdaniem wprowadzasz drugi. Wszędzie gdzie tylko się rejestrujesz podpisujesz się swoją własną domeną. To jest praktycznie jak podpisanie się imienne – ej, to ja zakładam tutaj konto. Doskonały fingerprint który na własne życzenie zostawiasz. I mówisz, że to nie jest poważna dziura w ochronie prywatności?
–
>> „Z perspektywy osoby używającej catch all prawie wszędzie, jakoś nie miałem jeszcze problemu by wstydzić się że gdzieś mam konto”
–
To zupełnie inaczej niż ja użytkujesz internety albo zupełnie inne masz priorytety w ocenie ryzyka naruszenia prywatności. Tu nie chodzi tylko o „wstyd” ale bardziej o to, że nie chcę żeby ktoś śledząc kolejne wycieki mógł robić mój profil na tej podstawie. Albo nawet nie wycieki – admin bylejakiego sklepu internetowego gdzie podaję dane może się wiele o mnie od razu dowiedzieć. Nie chcę, grając w jakaś grę online podpisywać konta tą samą domeną której używam do kontaktu z rodziną czy do sprzedawania na olxie. Nie chcę, żeby ktoś (ktokolwiek, kontrahent olx, allegro, znajomy, współgracz, współforumowicz, czy nawet teraz user/admin z3s mając dostęp do maila który tu podałem) wpisując w google moją domenę mógł znaleźć na jakimś pastebin jakiś wyciek, z jakiegokolwiek serwisu lub jakieś inne dane o mnie, które nie oszukujmy się, prędzej czy poźniej się tam pojawią, jeśli wszędzie będę tej domeny używał. Albo jakieś stare oferty w serwisach z ogłoszeniami, gdzie maila trzeba podać. Także idea unikalnych maili jest szlachetna, ale catch-all z WŁASNEJ DOMENY jak dla mnie zupełnie się do tego nie nadaje. To już wolę pocztę na wp/o2 gdzie można ustawić sporo aliasów i przekierować ją sobie na gmail (gmail jeszcze niestety nie potrafi aliasów).
–
Możemy zresztą sprawdzić – ja podam Ci mój mail google (randomowy login) albo alias maila z wp.pl, a Ty mi podaj swój jakikolwiek mail z Twoją domeną. I sprawdzimy kto o kim więcej rzeczy w internecie znajdzie. Piszesz „nie miałem jeszcze problemu” – no własnie, może to „jeszcze” jest kluczowe.
„Także poczta służbowa od lekko ponad dwóch lat obsługiwana jest przez Google. Po prostu działa.”
Panie Adamie,
jak wygląda kwestia dostępu googla do treści poczty firmowej w gsuite?
Ten komentarz po raz kolejny przypomina mi, co bardzo szanuję w firmie gdzie pracuję (bez zdradzania szczegółów, duże korpo). Ze względu na bezpieczeństwo tajemnic firmowych/handlowych praktycznie zabronione (i chyba nawet technicznie zablokowane w wielu przypadkach) jest używanie prawie (?) wszystkich produktów Google na służbowym sprzęcie. W miarę możliwości dąży się do hostowania wszystkiego we własnej firmowej sieci. Infrastruktura to głównie produkty Microsoftu, ale też wszystko intranet, odcięty dostęp do serwerów Microsoftu. Jeden dział od jakiegoś czasu testuje coś w chmurze Google, ale na takich warunkach, że mają to szyfrowane własnym kluczem, kontrolowanym tylko przez naszą firmę. Działy bezpieczeństwa mają do tego naprawdę poważne podejście.
Cześć Adam.
Trafiłem na artykuł z bardzo dużym opóźnieniem, więc nie wiem, czy czytasz jeszcze komentarze pod nim :D
Dziękuję za tekst, jest bardzo wartościowy. Z większością porad zdecydowanie się zgadzam, o kilku nie mam zdania, ale jedną niestety uważam za bardzo szkodliwą.
„Jestem jak Polska – bezgotówkowy!”
Dlaczego?? :(
Gotówka to ostatnia linia obrony naszej prywatności. Wolności na marginesie również, ale z używaniem słowa wolność trzeba bardzo uważać, bo często jest się szybko szufladkowanym, dlatego zostańmy przy prywatności.
Używanie gotówki absolutnie wszędzie, gdzie to możliwe, jest minimum, jakie każdy z nas może zrobić, żeby zademonstrować sprzeciw wobec zakusów w kierunku jej likwidacji.