Moja spowiedź bezpieczeństwa – odpowiedzi na wasze pytania
Moje wpisy o używanym przeze mnie sprzęcie, systemach, programach, hasłach i innych aspektach mojego cyfrowego bezpieczeństwa z reguły generują sporo pytań. Czas zatem na odpowiedzi dotyczące spraw, które was zainteresowały.
Od paru lat prowadzę dość otwartą politykę informacyjną odnośnie mojego podejścia do bezpieczeństwa. Zaczęło się od wpisu w 2016, któremu towarzyszyły dalsze wyjaśnienia. Potem była aktualizacja w 2018 oraz odpowiedzi na pytania. W końcu w maju tego roku opisałem, co zmieniło się od 2018. Mieliście dużo ciekawych uwag i pytań, które omówię poniżej. Kolejny wpis pewnie w 2022 :)
Czemu nie używam innego menedżera haseł?
To pytanie przewijało się często. Czemu nie Dashlane, dlaczego KeepassX, a nie KeepassXC, czemu nie menedżer online itd. Odpowiedź zacznę od tego, że gdy wybierałem menedżera haseł (2006, o ile dobrze pamiętam), to nie było wielkiego wyboru. Decyzja o używaniu menedżera haseł (i w konsekwencji różnych haseł do różnych usług) jest o kilka rzędów wielkości ważniejsza dla bezpieczeństwa użytkownika od wyboru samego narzędzia. To główny powód, dla którego nie zastanawiałem się nad zmianą. Wasze uwagi jednak mi uświadomiły, że używana przeze mnie wersja nie jest od paru lat rozwijana, więc w imię używania wspieranych rozwiązań wpisałem sobie do listy zadań migrację na KeepassXC. Sprawdźcie w 2022, czy zdążyłem.
Jeśli jeszcze nie wybraliście swojego menedżera haseł, to niedawno opublikowaliśmy opis tego, jakimi zasadami kierować się przy wyborze menedżera haseł plus instrukcje, jak skonfigurować kilka najpopularniejszych.
Mój menedżer haseł zna wszystkie moje hasła oprócz hasła do menedżera haseł. Zapisuję tam także hasła do kluczy SSH, klucze PGP czy PIN-y do walizek itp.
Dlaczego Chrome, a nie Safari?
Z uwagi na fakt, że korzystam z ekosystemu Apple na większości swoich intensywnie eksploatowanych urządzeń pytanie ma sens – jak pływać, to czemu bez zanurzania głowy. Używałem Chrome, zanim przeniosłem się na urządzenia Apple i nie widzę powodu do zmiany. Synchronizacja zakładek itp. działa dobrze, chociaż praktycznie z niej nie korzystam. Synchronizuję za to hasła zapamiętane w przeglądarce do mniej znaczących serwisów, dzięki czemu mam je także na telefonie. Na telefonie używam głównie Safari do klikania w linki (chyba nawet nie da się ustawić otwierania linków w Chrome). Chrome zresztą jest trochę iluzją na telefonie, bo pod spodem i tak mieszka silnik Safari. Na komputerze nie zmieniam także dlatego, że ufam zespołowi bezpieczeństwa Google i temu, że zbudował naprawdę bezpieczne rozwiązanie. W końcu Google nie lubi się z nikim dzielić danymi swoich użytkowników, prawda? :)
Dlaczego nie Brave?
Nie mam zaufania do ich modelu biznesowego, poza tym mają swoje za uszami. Będzie artykuł o wyborze przeglądarki, widziałem już w draftach, więc wkrótce rozwiniemy temat.
Czy oddzielam przeglądanie prywatne od zawodowego?
Ja w zasadzie nie mam życia prywatnego (lub zawodowego, zależy jak patrzeć). Moja praca tak przeplata się z życiem, że nie potrafiłbym używać różnych sesji, przeglądarek czy urządzeń. Wszystko robię w jednym głównym środowisku, najwyżej dla bardziej ryzykownych sytuacji w wirtualkach.
Dlaczego podłączam komputer do telewizora po HDMI zamiast AirPlay?
AirPlay zrywa, choć moja okolica to generalnie radiowa pustynia (widzę ze 3 sieci Wi-Fi), nie chce mi się z tym walczyć w środku oglądania najnowszego odcinka przygód Roberta Makłowicza w Dalmacji.
Dlaczego używam BLIK-a do płatności online zamiast karty?
Tak, karta ma chargeback, ale jeśli spodziewam się, że towar raczej dotrze, to wolę nie rozdawać wszystkim jej numeru. Kartą płacę za wakacje (na wypadek, gdyby zbankrutował organizator) i usługi abonamentowe (bo często nie można inaczej). A jeśli boję się, że sklep mi towaru nie dostarczy, to wybieram inny. No i wolę, jak wyciąg miesięczny ma mniej pozycji i można go przeczytać w minutę, zamiast poświęcać na to kwadrans.
Czy nie boję się utraty prywatności przez płatności elektroniczne?
Nie, nie boję się. Praktycznie nie używam gotówki od paru lat i nadal nie wiem, jakie zauważalne / odczuwalne skutki związanej z tym utraty prywatności miałbym odczuć, bo do tej pory żadnych nie odczułem. No i nie wyobrażam sobie chodzenia ze zwitkiem banknotów w kieszeni.
Dlaczego VeraCrypt, a nie wbudowane narzędzia MacOS?
Raz – kwestia przyzwyczajenia. Dwa – większe zaufanie mam do narzędzi, którym się przyglądałem bardziej, a swojego czasu naczytałem się historii TrueCrypta i analiz technicznych. Nie znaczy to, że nie ufam szyfrowaniu MacOS – po prostu jakoś bardziej lubię VC.
Dlaczego Google, Gmail, GSuite?
Pytają często o to ludzie, którzy weszli na stronę z Androida przez linka z Google. Ale tak serio to moja ocena korzyści z tego, że to wszystko dobrze działa, nie kosztuje dużo i nie niesie dla mnie negatywnych konsekwencji. Podkreślam, że decyzja jest tylko moja i każdy musi podjąć swoją na podstawie swojej oceny ryzyka i korzyści. Próbowałem ekosystemu Microsoftu i był dla mnie nie do zaakceptowania (nie wiem, czy to kwestia przyzwyczajenia, czy jednak Google ma lepszy UX), inne opcje są zbyt uciążliwe.
Dlaczego uBlock Origin?
A nie Nano Adblocker, Nano Defender, uMatrix itd. Odpowiedź jest prosta – z uBlockiem nie widzę reklam, więc nie mam potrzeby szukania alternatyw.
Czy używam XMPP?
Sporadycznie, tylko jak mam okazję porozmawiać z jakimś złodziejem. Niestety chyba wszyscy się obrazili za moje artykuły i już do mnie nie piszą :)
Czemu nie używam antywirusa?
To przykład, dlaczego każdy musi sam dobierać swoje mechanizmy bezpieczeństwa. Wszystkim „zwykłym” użytkownikom AV polecam, sam nie potrafiłbym pracować z włączonym AV. Moja praca wymaga ciągłego odwiedzania dziwnych stron, pobierania potencjalnie złośliwych plików, odbierania e-maili z dziwnymi załącznikami – AV to uniemożliwia. I nie chodzi o to, że na Maku nie ma wirusów – na Windowsie też nie zainstalowałem.
Po co dwa backupy w chmurze?
Używam Jotty i Dropboksa, ponieważ Dropbox działa jako backup backupu. Szansa, że stracę zarówno dane w chmurze, jak na dysku są niewielkie, ale skutek byłby taki bolesny, że backupów wolę mieć więcej. W sumie mam co najmniej 3, bo jeszcze dysk z TimeMachine.
Czy dać Revolutowi skan mojego dowodu?
To jedno z najczęściej pojawiających się pytań i jednocześnie jedno z najbardziej mnie zaskakujących. Dlaczego boicie się wysłać instytucji finansowej, obracającej miliardami, skan waszego dowodu osobistego? Jeśli im nie ufacie, to dlaczego trzymacie tam swoje pieniądze? Jeśli generalnie nie lubicie pokazywać swojego dowodu, to jakim cudem macie konto w jakimkolwiek banku? Naprawdę nie rozumiem. Myślę, że Revolut więcej zarabia na waszych saldach niż na braniu chwilówek na wasze skany dowodów osobistych. O mniejszym ryzyku nie wspominając.
Dlaczego używam Authenticatora Plus?
Kiedyś używałem zwykłego Google Authenticatora, ale gdy utopiłem telefon (w sumie nie utopiłem, tylko za długo trzymałem pod wodą), zorientowałem się, że do jednego konta nie miałem kodów zapasowych. To było smutne. Znalazłem wtedy Authenticatora Plus, który zapewnia możliwość odzyskania zdolności generowania kodów na innym urządzeniu. Tak, nie jest to idealnie bezpieczne, ale na szczęście nie znają moich haseł. Dopiero wasze pytania uświadomiły mi, że ta aplikacja nie jest już od dłuższego czasu aktualizowana, zatem czas rozejrzeć się za inną. Wpisane na listę zadań.
W tym samym obszarze pytanie dodatkowe, czyli gdzie trzymam kody zapasowe. Otóż trzymam je w menedżerze haseł, dzięki czemu dbam o jego bezpieczeństwo jeszcze bardziej. Czy nie boję się trzymać pliku z bazą danych na Dropboksie? Nie, bo dostęp jest zabezpieczony 2FA i silnym hasłem, którego łamanie będzie trwało dłużej niż istnieje wszechświat (lub coś koło tego).
Jak dbam o urządzenia rodziny / bliskich?
To bardzo dobre pytanie, warte osobnego artykułu. W dużym skrócie – moi bliscy są trochę uświadomieni codziennym obcowaniem ze mną, jednak ich bezpieczeństwo cyfrowe jest dla mnie źródłem zmartwień. Nie da się ich uzbroić po zęby, bo nie widzą takiej potrzeby (i słusznie), jednak kilka rzeczy na nich wymusiłem (lub namówiłem). Telefony Apple (gdy ktoś lubi) lub Pixel (gdy woli Androida), poczta na Gmailu (zdejmuje wiele stresów z głowy) i autoryzacja przelewów w aplikacji banku muszą zapewnić mi spokojny sen. Do tego nauczeni mozolnym wysiłkiem konsultują teraz ze mną różne dziwne e-maile, jakie do nich docierają.
Czy mam drugi nr telefonu do usług bankowych?
Nie. Raz, że nie lubię nosić dwóch telefonów, dwa, że numer telefonu nic nie da napastnikowi, skoro nie używam kodów SMS do autoryzacji.
Dlaczego nie używam unikatowych e-maili?
Jest taka koncepcja, że używanie unikatowych e-maili (np. na własnej domenie z włączonym catch-all) zwiększa bezpieczeństwo. Moim zdaniem nie zwiększa bardziej niż unikatowe hasła, których używam. Używałbym unikatowych e-maili, by lepiej identyfikować źródła wycieków, ale dużo pracy z zaczynaniem od początku.
Jak zabezpieczam komunikację z sygnalistami?
Najczęściej tak jak sygnalista, bo nie mam – przynajmniej na pierwszym – etapie wielu opcji. Udostępniam klucz PGP i większości to wystarcza, a jeśli nie wystarcza, to ustalamy jakiś inny kanał komunikacji.
Czy nie boję się biometrii?
Używam od lat biometrii palca, do której dołączyła biometria twarzy. Dane biometryczne zostają na moim urządzeniu (wiele osób o to pyta – tak, na telefonie albo komputerze, nikt tego nie zbiera w centralnym punkcie), mało jest fałszywych wyników negatywnych i fałszywych pozytywnych, dla mnie to wygodna i praktyczna metoda uwierzytelnienia.
Jakich narzędzi do robienia notatek używam?
Najczęściej dowolnego kawałka papieru (także zadrukowanego) lub pliku tekstowego. Ostatnio eksperymentuję trochę z coggle.it.
Czy używam Siri lub Asystenta Google?
Jakoś nie mogę się przemóc, by mówić do telefonu. Czasem używam dyktowania (działa!), ale asystentów nie stosuję.
Co z IoT w domu?
Nie mam osobnej sieci na IoT, może dlatego że nie mam IoT :) Adres IP od routera oprócz telefonów, komputerów, tabletów i zegarków dostaje Apple TV i QNAP, nie będę dla nich wydzielonej sieci robił.
Ile wydaję na różne usługi IT?
Wychodzi tego ok. 2000 PLN miesięcznie, z czego lwią część zjadają usługi hostingowe (utrzymuję kilka VPS-ów na różne projekty), reszta to abonamenty aplikacji, domeny itp.
Ile znaków mają moje hasła?
Najdłuższe niecałe 20, większość ok. 12-14. Długość dobieram w zależności od wagi informacji oraz używanego algorytmu przechowywania (o ile jest znany, jeśli jest nieznany, to zakładam MD5). Menedżer haseł ma najdłuższe, chociaż tam algorytm jest jednym z najlepszych. Dyski też mają długie. Przy szacowaniu długości hasła przyjmuję, że nawet jeśli ktoś może łamać hasła milion razy szybciej niż Brutalis, to nie powinien złamać moich haseł szybciej niż przed moją śmiercią ;)
Podsumowanie
Jeśli macie jeszcze jakieś pytania, to postaram się na nie odpowiedzieć w komentarzach. Kolejne wydanie spowiedzi za dwa lata.
Podobne wpisy
- Moja spowiedź bezpieczeństwa 2023 – wersja tekstowa
- Moja spowiedź bezpieczeństwa AD 2023, czyli z czego i dlaczego korzystam i za co płacę
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
Adamie, doglądasz aktualizacji domowego routera?
Używasz jakiegoś MikroTika czy coś bardziej prozaicznego (Linksys/Asus/TP-Link/D-Link)?
A to chyba pisałem wcześniej że wszystko na Linksys Velop.
Dlaczego akurat to rozwiązanie? Co byś polecił komuś, kto rozgląda się za routerem, ale nie meshem? Ubiquity Dream Machine wydaje się świetny, natomiast nie wiem czy to nie overkill.
Nie wiem. Ja mam awersję do słabego internetu i dużo betonu, więc potrzebowałem mesha i kupiłem najprostszy w konfiguracji od w miarę znanego dostawcy. Zwykły router – nie wiem.
Akurat Google Authenticator ma już możliwość backupowania kodów (dobra, wektorów inicjalizacyjnych, wiadomo o co chodzi)
Niestety tylko w wersji dla Androida.
MS Authenticator na iOS ma funkcje backupu do iClouda. Jeszcze nie mialem okazji sprawdzic czy dziala, ale widze, ze jest wlaczona :).
Czy masz jakiś pomysł na „bezpieczny mechanizm przekazania hasła do menedżera haseł komuś na wypadek mojej awarii osobistej” ?
Tak, będę opisywał.
A wziąłeś pod uwagę przekazanie klucza u2f i komórki z autoryzacją bankową? Pytanie jest podstępne, bo dostępu do kont bankowych nie możesz (prawnie) przekazać w razie W, możesz tylko zrobić dyspozycję. Ale uruchomienie dyspozycji znaczy, że konto jest blokowane, czyli wszystkie przelewy wychodzące przestają się wykonywać, a przychodzące są odbijane. A zatajenie śmierci grozi odpowiedzialnością karną.
Ciekawe też co zrobić z osieroconym kredytem – nawet jeśli ktoś ma jako małżeństwo, i myśli że wtedy druga osoba 'pociągnie’, to trzeba unikać wspólnego wsiadania do jednego samochodu.
Ja wymyśliłem jedynie dyspozycje do OFE/PPE/IKE (bankowych jednak nie), plus jawna (dla zaufanych) rozpiska co gdzie jest, do kogo się zgłosić po polisę życiową, za co trzeba płacić kiedy, itp. Plik keepasa z hasłami – wysyłany mechanizmem „od X dni się nie zalogowałem”. Hasło do pliku – tu mam zagwozdkę. W bezpiecznej kopercie u innej osoby? A może jednak plik u osoby, a hasło wysyłane?
W jaki sposób ogarnąłeś wysyłkę pliku po x dniach nielogowania? Jakiś własny skrypt na własnym serwerze?
To jest wtórne. Może być mechanizm od Googla, który udostępni Dysk z plikiem kdbx.
Istotne jest, że to będzie trochę za późno, bo pozwoli głównie pozamykać konta na serwisach społecznościowych. Bieżących spraw finansowych nie rozwiąże. Bo w bankach albo spadkobierca (dziecko) zgłasza śmierć i konta/karty są blokowane (i kłopot z natychmiastową spłatą kredytu i z opędzeniem wszystkich płatności itd.), albo nie zgłasza i liczy że płatności będą się robić same przynajmniej przez jakiś czas, no ale dostęp do konta by się przydał chociażby żeby pozrywać lokaty – powtarzam: to jest nielegalne. A nie zawsze spadek (czytaj: dostęp do pieniędzy na kontach) można przyjąć u notariusza w kilka dni.
Ja rozmyślam o karcie SD lub płycie CD zapakowanej w kopertę kurierską (taką foliową), której nie da się otworzyć tak aby naruszenie nie było od razu widoczne. Na nośniku mogłoby się znajdować zaszyfrowane jakimś prostym, znanym domownikom hasłem, archiwum 7z zawierające wszelkie potrzebne dane. Kopertę można by trzymać w miejscu dyskretnym (żeby nie znalazł jej włamywacz przeszukujący na szybko mieszkanie), ale też w na tyle eksponowanym żeby można regularnie sprawdzać czy nie doszło do naruszenia.
Alternatywą mogłoby być też np. zdeponowanie takiej koperty u notariusza (chociaż nie wiem czy to faktycznie możliwe czy naoglądałem się filmów ;)). Myślałem też o zdeponowaniu koperty w skrytce bankowej, ale ciężko jest znaleźć wolną skrytkę, wszystkie są wykupione.
Notariusz przyjmuje dokumenty do depozytu.
Skrytek bankowych jest mało i wszystkie są wpisane do centralnej ewidencji skrytek bankowych utworzonej przez rząd PiS. I nie, to nie jest żart. Niestety.
dla czego banki nie używają dongli/2fa? są jakieś powody bezpieczeństwa czy jest to zwykłe lenistwo ? bo taki klucz z czytnikiem linii papilarnych praktycznie uniemożliwia przejęcie konta domorosłym złodziejom,a banki zamiast słuchawek głośniczków czy innych głupot mogły by dać nowej osobie po donglu,nawet jak by się postarali to można by było zamontować usb w terminalach i w bankomatach i za każdym razem osoba musiała by wpiąć dongla i potwierdzić odciskiem palca
Banki nie wspieraja kluczy fido bo im sie to nie oplaca, proste.
Rozwijając: banki wprowadziły potwierdzanie w swoich aplikacjach. To wystarczy. Nie widać specjalnych korzyści (także dla klienta) z obsługi kluczy sprzętowych.
A potwierdzanie kluczem wypłaty w bankomacie to w ogóle fantastyka.
Niewielu klientów to interesuje niestety. Wiem, że niektóre banki testują / rozważają ale teraz mają inne problemy na głowie więc pewnie wszystkie takie projekty zostały już zamrożone lub anulowane.
> możliwość odzyskania zdolności generowania kodów na innym urządzeniu
Do tego nie potrzeba osobnego oprogramowania, ciągi wejściowe do funkcji generującej kody można sobie zapisywać na boku i w razie przesiadki na inny telefon wprowadzić je ręcznie do odpowiedniej aplikacji. Ja trzymam te ciągi w managerze haseł, ale lepszym pomysłem byłoby zapisywanie ich na kartce po prostu.
> Szansa, że stracę zarówno dane w chmurze, jak na dysku są niewielkie
Ja zakładam że kiedyś kliknę w jakiś lewy załącznik i ktoś przejmie kontrolę nad moim komputerem. Taki ktoś będzie miał dostęp do moich haseł do chmury i może chcieć pokasować mi wszystkie dane. Dlatego powoli myślę o dodatkowym backupie w AWS Glacier Deep Archive w trybie compliance. Tryb compliance zapewnia że dane nie mogą zostać przez nikogo skasowane, nawet przez administratora lub właściciela konta. Koszt Deep Archive to 1-2$ za terabajt (sic!) miesięcznie czyli mega tanio. Minusem jest to, że trzeba poświęcić trochę czasu na setup, bo AWS jest mało user-friendly i poczytać co dokładnie ile kosztuje, bo łatwo sobie wygenerować spory rachunek jeżeli się nie wie w co się klika. Szczęśliwie po zasetupowaniu wrzuca się pliki w miarę normalnie jak do każdej innej chmury.
W przypadku przjęcia dostepów do danych jeżeli masz keepassa (lub fork) to możesz mieć yubikey i to pomoże. Ponadto myśle że agresora ma ciekawsze rzeczy niż kasować dostęp do Twojej chmury, chyba że nie jesteś zwyklym userem a VIPem to już inna bajka.
Poprzez kasowanie backupów przestępca zwiększa swoje szanse na to że ofiara zapłaci mu okup. A w przypadku takich ludzi jak Adam, z którym kryminaliści mają na pieńku taki scenariusz jest wysoce prawdopodobny z czystej złośliwości.
2FA w KeePass nic nie pomoże – jak wprowadzasz hasła to atakujący jest w stanie je przechwycić. Może pomóc YubiKey podpięty do chmury z backupem chociaż jeżeli atakujący jest bardzo zdeterminowany to poczeka aż się zalogujesz i np wyciągnie ciasteczko z identyfikatorem sesji. (może to zrobić np. poprzez instalację złośliwego dodatku w przeglądarce)
Marek, znasz choć jeden przykład takiego ataku? Jest gdzieś opisany taki scenariusz (jeżeli tak daj link)? Wiem, że warto dmuchać na zimne, ale to może załóżmy że cokolwiek zaszyfrowane i wrzucone do chmury jest jawne i to dla wszystkich. Czy w takim przypadku mamy nie korzystać z chmury? Paranoja ma swoje granice.
https://www[.]bleepingcomputer[.]com/news/security/ransomware-attackers-use-your-cloud-backups-against-you/
Chmura jest dobrym rozwiązaniem, ale trzeba umieć jej używać, a niestety nie jest w użyciu łatwa. Zasady, które przychodzą mi do głowy to:
1. Backup musi być nienadpisywalny (WORM – write-once, read-many)
2. Backup musi być zaszyfrowany, najlepiej kluczem publicznym, a prywatny trzymać wydrukowany w sejfie (nie przechowywać go w ogóle w formie elektronicznej)
3. Dostęp do chmury musi być chroniony kluczem sprzętowym
Jak ktoś nie potrzebuje mieć tych kodów na komórce, a jedynie na komputerze stacjonarnym lub laptopie, to może użyć narzędzia „oathtool” do generowania tokenów, a klucze prywatne trzymać w menedżerze haseł. Proste i wygodne.
Dziękuję za bardzo cennego hinta z trybem compliance.
Ciekawe jeszcze jak z przesyłaniem danych – glacier i/lub s3 może być dobrym miejscem na zapisywanie obrazu z kamer bezpieczeństwa, o ile płaci się tylko/głównie za przechowywanie.
W Glacierze głównie płaci się za odtworzenie/dostęp do danych i ich późniejsze ściągnięcie. To jest ten moment, kiedy ludzie dostają niespodziewane rachunki ;) Dlatego dla mnie Glacier jest kopią innej chmury, wariantem ostatecznym, nigdy nie powinien służyć za backup podstawowy.
Samo wrzucanie danych kosztuje grosze jeżeli wrzucasz małe ilości dużych plików. Także np. w przypadku kamer, jeżeli każda kamera produkuje jeden plik na godzinę i nawet miałbyś tych kamer 10 to wszystko jest ok. Ale jakbyś chciał wrzucić milion plików po 1kb każdy to polecam mocno wczytać się w cennik.
Czy załączone zdjęcie przedstawia Twoje prawdziwe biuro?
Mam kilka miejsc pracy, to jedno z nich w fazie eksperymentalnej, potem zostało zmodyfikowane :)
Przecież to jest piwnica albo garaż, a nie żadne tam biuro :)
Adam, dlaczego nie używasz rozwiązań typu NAS do tworzenia kopii bezpieczeństwa?
QNAP nie dogadywał się z TimeMachine
Pytanie co do najbliższej rodziny i bliskich znajomych:
Chwilę temu był koniec wsparcia na win 7, osobiście mam w rodzinie kilka bardzo opornych osób ze zmianą sprzętu na win 10 albo zmianą samego OS na nowszy ( nawet przy zaoferowaniu bezpłatnej pomocy z przegraniem wszystkiego ). To samo czasem z telefonami (stare androidy, po co zmieniać bo działa), o sprzęcie sieciowym takim jak AP / mydelniczki do sieci nie mówiąc bo one są zmieniane jak odmówią posłuszeństwa…
Czy masz jakieś magiczne, wypróbowane triki aby kogoś przekonać, czy zostaje syzyfowa praca u podstaw i liczenie, że najbardziej „opornych” jakiś nowy / stary exploit nie trafi.
Drugie pytanie dotyczące IOT w domu:
Dostałeś od wiernego czytelnika samobieżny smart odkurzacz :D. Oddajesz w prezencie koledze czy jednak robisz tą osobną sieć na IOT (wifi+vlan+separacja na fw) ?
1. Kupuję im sprzęt z nowym OS i wtedy nie mają wyboru ;)
2. Wrzucam na #rozdajo na Wykop, za dużo schodów w domu :)
Może Authy do kodów?
Może, będę sprawdzał.
„nikt tego nie zbiera w centralnym punkcie” – skąd pewność, że urządzenia nie zbierają odcisków palców?
Z tego że analiza kodu systemu wykazuje zgodność z dokumentami architektury i w żadnym momencie odciski palców czy wzory twarzy nie opuszczają telefonu.
Zawsze można też zadać sobie pytanie, kto i po co miałby to centralnie zbierać. Samej firmie Apple nie jest to potrzebne. Projekt byłby raczej zauważalny więc trudno spodziewać się by inne niż amerykańskie służby mogły to po cichu zrobić.
A amerykańskie służby… mają odciski palców większości osób, którymi są zainteresowane. Czy to z programu wizowego, czy to z działalności operacyjnej oficerów w kraju docelowym. Akurat odcisk palca to jedna z łatwiejszych do zebrania rzeczy (dla służb US, w przypadku non-HVT oczywiście).
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Wysoki sąd:
Dlaczego oskarżony utopił swoją konkubinę?
Oskarżony:
Ależ wysoki sądzie „w sumie nie utopiłem, tylko za długo trzymałem pod wodą”.
Aplauz, kurtyna, światła.
—–BEGIN PGP SIGNATURE—–
iQEzBAEBCgAdFiEELoD/X+zwQFk0qJ1/m217zfyHC4oFAl8hHKsACgkQm217zfyH
C4pY+QgAhuzq6dL8+2WYQaPXipTIzvq0Mpmw+AjZ482ATftCZyVaaf2ppDRvNAqr
cL7XGvuuHVtyaP3v3ZOVpbTQXZk2T7YHsjJUf0i0XLHSe9cK4HDohdkl9NGd5hnw
x4ix4OUSnFP/PCTM6bnLCcgh+LowXzsZ49roqHoNRjm45Gt0GbxlmwMiY8c1h7Nu
jYBlswkLWg3ijUdErOxEVYcknmJ1H8sgk0/K5RoJqKfn/jqAc2vimI5jO5Q/o80x
oJVKtPfmAHVaBKRjiyLmpDe/baQycMOdHjYDZv7rlEWTVpf1QRn8ysNiWpL465k4
aDyEOBsEaj39vVtbbNofmfcgy3ptQw==
=G2em
—–END PGP SIGNATURE—–
Co sądzisz o uproszczonej wersji unikatowych emaili – emailach ze znacznikami? Wielu dostawców poczty, takich jak gmail przekaże maile w formacie [email protected] do twojej skrzynki, a dzięki temu od razu wiesz skąd twój email wyciekł jeśli pojawią się podejrzane wiadomości. Niektóre portale nie akceptują rejestracji przez znaczone emaile, ale zwykle działa to bez problemu
Załóżmy, że email „[email protected]” wyciekł do atakującego.
Załóżmy, że atakujący wie o mechanizmie znaczników w google, bo czemu miałby nie wiedzieć, jeśli my wiemy. Zamienia w bazie „[email protected]” na „@google”.
To sądzę.
To prawda że „+” jest znany. Jednak zwykle nie wycieka 20 maili, tylko 2000, 20000 czy 200000. I nikt nie będzie sobie zawracał głowy usuwaniem plusów, bo zwyczajnie ma 199999 innych maili bez takich niespodzianek.
Czasem używam, ale wiem też, że dla kogoś, kto zdobędzie bazę adresów, wycięcie wszystkiego między „+” a „@” to jedno polecenie, więc nie robię sobie wielkich nadziei.
Troy Hunt mówi, że nie wycina bo to za dużo roboty (pytałem go kiedyś). Więc skoro Troyowi się nie chce, to mam nadzieję, że zwykłym przestępcom też nie ;P
Tak btw to maile z '+’ utrudniają potem sprawdzanie siebie w HIBP. Zamiast sprawdzić 2-3 maile z poziomu strony trzeba się męczyć z eksportem wszystkich loginów z managera haseł, a potem pisać skrypt który przejdzie przez całą listę i odpyta API HIBP. Ja unikalnych maili mam już prawie 400…
Słuszna uwaga
Mam pytanie związane z płatnościami, nie tylko do autora, ale również do czytelników. Robimy zakupy w sklepie spożywczym, płacimy kartą albo telefonem, po czym okazuje się, że ktoś z personelu albo inny klient sklepu był zarażony SARS-CoV-2. Sanepid poszukuje klientów sklepu. Czy nie boicie się, że zostaniecie namierzeni i wysłani na kwarantannę? Jak zminimalizować to niebezpieczeństwo? Powrót do gotówki?
Odwrócę pytanie: czy nie boisz się, że Ty też zostałeś zarażony w tym sklepie? Jak zminimalizować to niebezpieczeństwo, że będziesz chodził i rozsiewał na kolejnych?
On się nie boi, jemu nic nie grozi, jego to nie dotyczy. A jak przy okazji wykituje sąsiad – ten co go wku*wia albo teściowa to w ogóle same plusy.
Minimalizuję to niebezpieczeństwo w następujący sposób:
1. Zakrywam usta i nos.
2. Dezynfekuję dłonie.
3. Mam listę zakupów i przebywam w sklepie jak najkrócej.
4. Korzystam z kas samoobsługowych (jeżeli są).
5. Płacę zbliżeniowo kartą.
Poza tym jestem młodszy od prezydenta Białorusi, więc mam szansę, że podobnie jak on przejdę infekcję bezobjawowo :-)
Przejdziesz bezobjawowo zarażając innych, którzy mogą nie mieć tyle szczęścia. W śledzeniu możliwych zarażeń nie chodzi tylko o ciebie, ale głównie o to, by zatrzymać przekazywanie wirusa dalej. Jeśli nie chcesz ponosić tego ryzyka, zamawiaj zakupy z dostawą do domu :)
>zamawiaj zakupy z dostawą do domu :)
Kurier prawie wlazł do mieszkania, bez żadnych środków ochronnych, a na zwrócenie uwagi powiedział, że nie ma żadnego wirusa, bo nie ogłoszono stanu wyjątkowego.
To ja wolę iść do sklepu.
Dodam jeszcze, że prowadzę zdrowy tryb życia i uprawiam sport, i dlatego obawiam się, że Sanepid może mi to uniemożliwić, jeżeli dowie się, że płaciłem kartą w konkretnym sklepie.
Mam się bać wysłania na kwarantannę? Jakby sanepid chodził i rozstrzeliwał wszystkich którzy mieli kontakt z zakażonym to bym się martwił, ale 2 tygodnie w domu mnie nie zaszkodzą a innym mogą pomóc.
Tak jak normalnie praktycznie w ogóle nie korzystam z karty (lubię prywatność), to jak zaczęła się zaraza to zrobiłem rachunek zysków i strat i zacząłem płacić zbliżeniowo.
Rozstrzeliwanie wszystkich, którzy mieli kontakt niewątpliwie minimalizuje ryzyko zakażenia. Być może tak robią w Korei Północnej. Ale w cywilizowanym kraju da się to zrobić z poszanowaniem wolności jednostki. Wystarczy robić codziennie testy. Dopóki wyniki są negatywne, chodzisz gdzie chcesz i spotykasz się z kim chcesz. Dwa pozytywne wyniki z rzędu – siedzisz w domu. Nadal masz codzienne testy. Dopóki wyniki są pozytywne – siedzisz w domu. Dwa negatywne wyniki z rzędu – koniec kwarantanny i testów. Ale w tym kraju zrobią ci test po tygodniu, przy czym zgubią wynik i będziesz siedział miesiąc.
Dodaj jeszcze do tego fakt, że testy dają wyniki fałszywie pozytywne i reagują na wiele innych czynników, a nie na ten jeden właściwy.
A na jakie konkretnie i link do badań najlepiej daj :)
eh.. ręce opadają…
„Jeśli im nie ufacie, to dlaczego trzymacie tam swoje pieniądze?”
@adam, przeciez jestesmy zmuszani do posiadania konta. Pensje to jeden z wielu przykladow.
Nikt nie jest zmuszony do posiadania konta w Revolucie – to o to chodziło.
Pensję możesz dostawać w gotówce, wystarczy złożyć wniosek. A wszelkie płatności – możesz płacić na poczcie, chyba nawet PayU i DotPay coś takiego wspierają.
W firmach, w ktorych pracuje nie ma mozliwosci, aby otrzymac pensje w gotowce.
Wyjedz za granice, tam jest jeszcze gorzej jesli chodzi o dostepnosc gotowki i mozliwosc jej wykorzystania.
>W firmach, w ktorych pracuje nie ma mozliwosci, aby otrzymac pensje w gotowce.
Jeżeli firma prowadzi działalnośc w Polsce, to w obecnym stanie prawnym ma obowiązek wypłacać na żądanie pracownika całą pensję w gotówce.
Apropos Revoluta odpowiem tak – czy bałbyś się przesłać skan dowodu do ROSYJSKIEGO banku? Tak wiem, że twórcy mieszkają w Londynie. Ale dla rosyjskiej mafii kupno biletu na samolot to nie problem. Jak Storoński albo Jacenko zobaczą zdjęcia swoich dzieci w drodze do szkoły, to w d… będą mieli bezpieczeństwo waszych kart płatniczych.
Jeśli naprawdę myślisz, że ktoś będzie porywał dzieci żeby zdobyć skany dowodów przypadkowych ludzi to chyba cię fantazja poniosła. Nie tak się w bankach / na bankach zarabia pieniądze.
Czy używasz Usecrypt, jedyny komunikator bez backdoorów i chroniący przed Pegasusem?
Oczywiście.
Będzie zapowiadany artykuł o UseCrypcie? (obiecywałeś na PWNningu w zeszłym roku)
Sporo fajnych tematów czeka na dobry moment do opisania, ten wśród nich. W sumie to nawet dwa dobre lub wręcz bardzo dobre artykuły by były.
Usecrypt, kiedy polskie wojaki maja cos wspolnego z aplikacja, ktora w zalozeniu ma chronic, to lepiej trzymac sie od niej z daleka. Polscy obroncy granic, to oksymoron.
Polak na Polaka i nie tylko lubi donosic. Lepiej nie dawac mu mozliwosci.:(
Jak Usecrypt ma chronić przed Pegasusem skoro można nim zainfekować telefon bez interakcji ofiary?
Zainfekowany telefon (na odpowiednio głębokim poziomie) to koniec gry – wszystko jest dla takiego oprogramowania dostępne i pod kontrolą.
Adam, dlaczego nie używasz rozwiązań typu NAS do tworzenia kopii bezpieczeństwa?
Próbowałem, ale z jakiegoś powodu mój Mac nie pokochał się z QNAP-em i za każdym razem chciał robić backup od nowa, więc odpuściłem.
czy zmieniasz DNS z tych operatora na Cloudflare, Google albo inne?
Tak, używam DNS-ów Google
Wymuszanie na innych Gmaila… Na to powinno być specjalnie wydzielone miejsce w piekle.
Nie chcesz brave’a bo ma „swoje za uszami” a używasz chrome od googla ,który też ma bardzo dużo za uszami. Firefox przerobiony zgodnie z privacytools.io > każda inna przeglądarka
A co z tematem danych dostępowych do kont bankowych? Powierzasz je password managerowi czy jakoś inaczej? Jeśli już pass manager, to czy jako standardowe wpisy haseł do stron www czy jako secure notes?
Tak, hasło zna tylko menedżer haseł.
Nie ufasz Brave (słusznie) ale ufasz googlowi używając chrome’a.
Gdzie tu logika?
Wiem co Google robi z moimi danymi i na czym zarabia.
Tylko to nie zawsze są tylko własne dane użytkownika. Rykoszetem obrywają czasem osoby trzecie, które mają nieszczęście mieć kontakt z użytkownikami Google. Część z nich może nie życzyć sobie, żeby dane przekazane po prostu konkretnemu człowiekowi poleciały z automatu do chmury.
Doświadczone osobiście, niestety właśnie z rąk człowieka jak najbardziej świadomego technicznie, ale mającego inne granice tolerancji dla szpiegów.
W takim razie będziesz chyba musiał przestać używać maila do komunikacji z ludźmi.. Większość nawet w Polsce ma/używa Gmaila..
Owszem i dlatego ja maila po prostu przestałem używać.
Chcesz się komunikować – pisz na Signalu, innych rzeczy nie używam.
Z instytucjami państwowymi tylko papierowo i nie dam sobie wcisnąć żadnych ePUAP-ów, bo wiem jaki to badziew, podobnie jak wszystkie urzędy jeśli mowa o bezpieczeństwie informatycznym.
Akurat obecnie do prywatnych spraw większość osób i tak preferuje „szybsze” metody komunikacji niż mail. Przede wszystkim komunikatory, a jak już osoby i tak ogarniają obsługę 2 czy 3 to uświadomienie im istnienia Signala, który jest podobnie łatwy w obsłudze, to nie problem. Innych z kolei najłatwiej mi złapać na IRCu. Albo gdzieś jeszcze, zależnie od okoliczności.
@Gyffl – na rządowych stronach jak się trochę zwróci uwagę na etapy procesu logowania, na przykład do Profilu Zaufanego przez bank, te wszystkie przekierowania między stronami, to można sobie wyobrazić, w ilu momentach ile rzeczy tam może rypnąć po drodze :/
Adamie, nosisz Yubikeya z kluczami/luzem?
Zastanawiam się jak delikatne są złącza i czy śmiało można go maltretować bez obaw uszkodzenia mechanicznego.
Kilka lat na breloku z kluczami i dalej żyje.
Akurat YubiKeye są znane z tego, że ciężko jest je uszkodzić. Z innymi kluczami bywa różnie.
> Praktycznie nie używam gotówki od paru lat
> i nadal nie wiem, jakie zauważalne / odczuwalne
> skutki związanej z tym utraty prywatności
> miałbym odczuć, bo do tej pory żadnych nie
> odczułem.
prze – ra – ża – ją – ce
zas – ka – ku – ją – ce. Możesz rozwinąć swoją myśl, co cię przeraziło?
czemu qnap a nie synology? QNAP chyba mial wiecej problemow z dziurami
Jak czytam o problemach użytkowników to oba są siebie warte. A dziury mnie nie martwią bo nie wystawiam go do internetu.
tak się zastanawiam dlaczego google nie świadczy usługi antyddos sparowali by serwer macierzysty z serwerem googla ustalają granicę przepustowości do której to serwer macierzysty odpowiada a po której to google ma brać na klatę ruch i wysyłać do serwera macierzystego tylko najważniejsze dane/zmiany (hasła,zamówienia,itd) a całą resztę władowywanie obrazków animacji itd brać na siebie, ciężko mi sobie wyobrazić że ktoś mógł by zajechać serwery googla, czy coś takiego było by możliwe czy to raczej fantazje ? sory pytanie od laika
Świadczy. Poszukaj hasła Google’s Project Shield.
A komercyjnie: cloud[.]google[.]com/cdn/
Poza tym jest masa innych tego typu rozwiązań. Z3S korzysta z Cloudflare dla przykładu.
Ah, źle napisałem, w przypadku Google ochronę przed DDoS pełni Google Cloud Armor, nie CDN.
Do kodów na systemy Apple polecam „OTP Auth”. Zarówno na MacOS jak i iOS.
MacOS a nie Qubes OS? Gmail? Chrome? Platnosci karta? Myslalam, ze Adam jest wiekszym paranoikiem ode mnie, ale jak widac nie… No i wisienka na torcie czyli wysylanie emaila przez sygnaliste na Gmaila – tresc zaszyfrowana, ok, ale gdzie mozliwosc zachowania anonimowosci?
Szyfrujesz cały dysk systemowy Truecrypt / Veracrypt pod MacOS?
Czy playlista „Adam Haertle – występy” jest na bieżąco aktualizowana?
Staram się chociaż głowy nie dam.
Dlaczego Chrome, a nie Chromium?
Dlaczego hasła 12-20 znakowe a nie np. 32 znakowe? Menadżer haseł i tak je zapamięta :)
Możliwe, że na okazję, gdyby hasło trzeba było przepisać „z palca”. To oczywiście rzadkie sytuacje, dotyczące wybranych haseł. Ale sam się z tym czasem spotykam, przy okazji „reanimacji” serwerów wirtualnych, gdy utraci się dostęp przez SSH i pozostaje jedynie jakaś webowa konsola, nieobsługująca wklejania. Czy podobna sytuacja przy logowaniu się „z klawiatury” na fizyczną maszynę, w której utracono dostęp zdalny. Przy długim, losowym haśle, można nie wyrobić się w „timeout” i zalogowanie może w ogóle nie być możliwe bez zaawansowanej gimnastyki. Pewnie jeszcze kilka innych scenariuszy się znajdzie.