Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s
Często pytacie mnie „czy produkt X jest bezpieczny”. Nie ma prostych odpowiedzi na to pytanie – wszystko zależy od tego co macie do ukrycia i przed kim. Mogę Wam za to opowiedzieć jak sam zabezpieczam swoje dane.
Nikt przy zdrowych zmysłach nie stworzy kompleksowego przewodnika po świecie bezpieczeństwa który będzie pasował każdemu użytkownikowi. Każdy inaczej postrzega potencjalne zagrożenia i inaczej może oceniać wartość posiadanych informacji. Taka ocena ryzyka jest zawsze subiektywna i subiektywny jest wybór narzędzi, które mają te ryzyka ograniczyć lub wyeliminować.
Opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa. Sam, na podstawie kilkunastoletniego doświadczenia i praktyki, dokonałem takich, a nie innych wyborów i sam będę ponosił ich ewentualne konsekwencje. Poziom tych zabezpieczeń odpowiada mojemu postrzeganiu zagrożeń i chęci – lub jej braku – akceptacji konkretnych ryzyk oraz konieczności znajdowania równowagi między bezpieczeństwem a użytecznością. Ta konfiguracja wcale nie musi odpowiadać Waszym potrzebom – ale mam nadzieję, że zachęci Was do ciekawej dyskusji.
Wpis zainspirowany został serwisem The Security Setup a szczególnie wpisem H D Moore’a.
Moje urządzenia
Co prawda posiadane urządzenia nie determinują poziomu ich bezpieczeństwa, ale czasem narzucają pewne ograniczenia lub wymogi, dlatego zacznę od krótkiego opisu używanego przeze mnie sprzętu komputerowo-telekomunikacyjnego.
Najczęściej korzystam z laptopa Dell XPS 13 w średniej konfiguracji (I5, 8GB RAM, SSD). Drugim roboczym komputerem jest desktop (Intel Core2 Duo, 4GB RAM, HDD). Używam jednocześnie dwóch telefonów/smartfonów – Nexusa 5X oraz BlackBerry 9320. Praktycznie nie korzystam z tabletów (choć w domu jest) czy telefonów stacjonarnych (w domu nie ma). Telewizora ani lodówki nie podłączałem do internetu (z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania a ostatnia wersja zrywa połączenie po paru sekundach). Posiadam także sieciowy serwer plików DNS-320L D-Linka – o nim więcej piszę w paragrafie poświęconym kopiom bezpieczeństwa.
Dostęp do internetu
Tę podstawową ludzką potrzebę realizuję na kilka sposobów, w zależności od lokalizacji. Praktycznie 90% swojego czasu spędzam w jednej z dwóch lokalizacji lub w podróży między nimi. W pierwszej lokalizacji korzystam z internetu UPC z modemem Thomson TWG870U. W drugiej lokalizacji używam internetu LTE od RedBull Mobile dzięki modemowi Huawei E3276 oraz ruterowi Airlive N450R plus dla polepszenia sygnału ruterowi Linksys WRT54GL z wgranym oprogramowaniem dd-wrt. W odwodzie stoi jeszcze ruter TP LINK WR740N również z dd-wrt. W obu lokalizacjach do sieci podłączam się poprzez WiFi zabezpieczone WPA2 (niesłownikowe hasło o długości kilkunastu znaków), tylko desktop podłączony jest kablem.
Będąc w ruchu korzystam z internetu wyłącznie na Nexusie dzięki T-Mobile. Do WiFi na co dzień podłączam się tylko w dwóch zaufanych lokalizacjach wymienionych powyżej. Jeśli muszę w drodze podłączyć do sieci laptopa, udostępniam WiFi z Nexusa.
Telefonia mobilna
Jak wspomniałem korzystam z dwóch telefonów. BlackBerry służy wyłącznie do rozmów telefonicznych oraz SMSów, z kolei Nexus służy wyłącznie do obsługi internetu. Podstawowym powodem takiej konfiguracji jest fakt, że korzystam bardzo intensywnie z Nexusa, zatem bateria potrafi się rozładować w kilka godzin i nie chcę zostać bez telefonu, a BlackBerry wystarczy ładować raz na 3-4 dni. Dodatkowym plusem jest fakt, że wszystkie SMSy z kodami autoryzującymi logowanie lub przelew przychodzą na telefon, który wydaje mi się wystarczająco bezpieczny.
Przez wiele lat używałem telefonów Samsunga – od Galaxy S, przez S2, S3 po S3 Neo. Brak regularnych aktualizacji i nikomu niepotrzebne dodatkowe oprogramowanie w końcu skłoniły mnie do przesiadki na czystego Androida. Po drodze były jeszcze liczne eksperymenty z Cyanogenem, ale ciągle coś nie działało. Na dysku pozostał folder z kilkunastoma gigabajtami różnych wersji oprogramowania, sterowników, narzędzi do flashowania itp. Sam nie wiem po co się tak męczyłem. Od kiedy przesiadłem się na Nexusa nie mam żadnych problemów. Zawsze najnowszy Android z ostatnimi łatami (aktualnie 6.0.1) i wszystko działa.
Nie korzystam z antywirusa dla Androida – testowałem kilka rozwiązań, ale żadne mi nie pasowało zatem staram się po prostu nie instalować przypadkowych aplikacji, poza tym nie spotkałem jeszcze w naszej okolicy masowych ataków na użytkowników Androida. Staram się zwracać uwagę na uprawnienia aplikacji i raczej nie zainstaluję latarki z dostępem do SMSów, ale już Facebookowi pozwalam na wszystko. Telefon zabezpieczony jest kodem PIN oraz czytnikiem linii papilarnych, jest domyślnie cały zaszyfrowany, ekran wyłącza się i blokuje sam po kilkunastu sekundach. Telefon odblokowuje moja opaska Xiaomi Mi Band (jeśli od ostatniego odblokowania PINem i palcem minęło mniej niż x godzin). To mój jedyny „inteligentny” gadżet naręczny, który jest wystarczająco mądry, by rejestrować podstawowe informacje, a jednocześnie wystarczająco głupi, że nawet jak go zgubię lub ktoś go zhakuje albo podsłucha komunikację to najwyżej dowie się że się nie wyspałem.
Z dodatkowych aplikacji podnoszących bezpieczeństwo korzystam tylko z Preya. Komunikację szyfrowaną omawiam w jednym z kolejnych paragrafów. Testowałem także aplikacje umożliwiające wykrycie prób podsłuchów na warstwie GSM jak np. SnoopSnitch, jednak nigdy nie natrafiłem na nic niepokojącego.
Bezpieczeństwo Windows
Na obu komputerach, przenośnym i stacjonarnym, systemem podstawowym jest Windows 8.1. Mam włączone automatyczne pobieranie wszystkich aktualizacji systemowych z opcją ręcznej instalacji. Włączyłem też opcję automatycznej aktualizacji we wszystkich aplikacjach które oferują taką możliwość. Dodatkowo korzystam z Personal Software Inspector firmy Secunia do weryfikacji dostępności aktualizacji, czasem pomaga także Avast.
Używam Avasta na laptopie oraz Aviry na desktopie (na desktopie Avast generował ogromne obciążenie dysku twardego uniemożliwiające pracę). Oba antywirusy chronią tylko system plików i ruch WWW, nie dotykają poczty ani innych protokołów – nie widzę takiej potrzeby. Jako dodatkowe zabezpieczenie przed potencjalnymi atakami długo używałem EMETa Microsoftu a obecnie przerzuciłem się na Malwarebytes Anti-Exploit. Ani jeden ani drugi jak do tej pory nigdy nie wygenerowały prawdziwego alertu ale nie mam powodu nie wierzyć w ich skuteczność.
Nie używam osobnego firewalla, za to korzystam z programu GlassWire Network Security, rejestrującego statystyki ruchu internetowego, które przeglądam raz w tygodniu. Program ten także informuje o nowych wersjach aplikacji używających internetu oraz o aplikacjach próbujących połączyć się z siecią a także np. zmianach serwerów DNS lub ustawień serwerów proxy w systemie operacyjnym.
Bezpieczeństwo przeglądarek
Moją podstawową przeglądarką jest Google Chrome, okazjonalnie uruchamiam Firefoksa jeśli coś w Chromie nie działa. Mam włączoną opcję „kliknij aby uruchomić” dla wszystkich wtyczek takich jak Java czy Flash. Używam dodatków uBlock Origin oraz Quick Javascript Switcher. Domyślnie JavaScript jest na każdej stronie wyłączony. Blokuję wszystkie reklamy oprócz wyjątków dla kilku stron.
Moje hasła
Hasła przechowuję w KeePassie i tylko tam. Nie zapisuję haseł w przeglądarkach, plikach konfiguracyjnych klientów FTP ani nigdzie indziej. Korzystam z wersji Windows oraz KeePassDroid na smartfonie. Stosuję tylko hasło zabezpieczające, bez pliku klucza. Plik z hasłami synchronizuję na wszystkich urządzeniach (2 komputery i telefon) przez jedną chmurę na bieżąco (Dropbox) oraz drugą jako kopię bezpieczeństwa (Jotta). O kopiach bezpieczeństwa i chmurach przeczytacie w jednym z kolejnych paragrafów.
Co do zasady stosuję 3 rodzaje haseł – pierwszy gatunek to trywialne (np. kluska997), drugi gatunek to trudne ale do zapamiętania (np. Makaron@Gotowany#Trzy$Minuty%678) oraz trzeci gatunek to bardzo trudne, nie do zapamiętania, generowane losowo (np. 1KvuSPm&i21F”EsW^R4H).
Haseł pierwszego gatunku (najczęściej jest to jedno i to samo lub jego drobne wariacje) używam we wszystkich serwisach, w których nie trzymam niczego istotnego a z jakiegoś powodu zostałem zmuszony do założenia konta – i prawdopodobnie nie będę do niego wracał. Hasła drugiego gatunku bronią dostępu do usług, z których korzystam często, są dla mnie ważne i czasem muszę je podawać z pamięci (np. KeePass, powtórne logowanie do usługi by zmienić jej konfigurację, logowanie z innego urządzenia niż zwykle, logowanie gdzie nie mogę użyć automatycznie menedżera haseł itp.). Haseł trzeciego gatunku używam wszędzie, gdzie mogę logować się za pomocą menedżera haseł i robię to w miarę regularnie np. banki (mój bank umożliwia korzystanie z hasła niemaskowalnego) czy strony odwiedzane codziennie.
Oczywiście hasła pierwszej i drugiej kategorii również przechowuje w menedżerze, lecz dla tych pierwszych nie widzę sensu generowania ich losowo bo to strata czasu, a dla tych drugich nie zawsze mam ochotę sięgać do menedżera (co np. na smartfonie bywa uciążliwe, szczególnie, jeśli trzeba potem hasło przepisać do komputera).
Szyfrowanie danych na dysku
Nie stosuję szyfrowania całego dysku w Windowsie – nie odczuwam takiej potrzeby. Poufne lub prywatne dane przechowuję korzystając z szyfrowanych wolumenów TrueCrypta oraz PGP. Używam dwóch programów ze względów historycznych, jakoś nigdy nie zebrałem się by zmigrować do jednego. Gdybym miał to robić to pewnie wybrałbym TrueCrypta.
Nie używam także dysków z szyfrowaniem sprzętowym ani szyfrowanych napędów przenośnych. Jeśli mam na dysku przenośnym zapisać poufne dane, to szyfruję je w postaci pliku TrueCrypta albo PGP. Okresowo formatuję dyski przenośne i staram się maksymalnie ograniczać liczbę używanych nośników (moją ostatnią miłością jest SanDisk Ultra Fit).
Szyfrowanie danych w komunikacji
Pocztę elektroniczną szyfruję sporadycznie – może 5 do 10% wysyłanych wiadomości. Korzystam z GNU Privacy Assistant. Na co dzień czatuję za pomocą wielu narzędzi (IRC, Hangouts, Facebook), choć szyfrowane czaty to szybko rosnący ułamek mojej komunikacji i używam wtedy Pidgina + OTR lub Signala. Rozmawiam też czasami za pomocą Signala – zdarza mi się może raz w tygodniu.
Internet przeglądam najczęściej bez dodatkowego szyfrowania. Korzystam z wtyczki HTTPS Everywhere, która zapewnia, że tam, gdzie to możliwe, używam HTTPS. Z VPNa korzystam najczęściej po to, by uzyskać dostęp do niektórych serwisów filtrujących ruch na podstawie adresów źródłowych (dużo prościej jest dodać do listy adres IP serwera VPN niż kilka zakresów w zależności od tego, skąd akurat się łączę). VPNa mam swojego, prywatnego, na własnym VPSie (OpenVPN). Drugim zastosowaniem VPNa jest korzystanie z sieci WiFi do której nie mam zaufania (poza miejscami, gdzie sam nią zarządzam lub znam osoby zarządzające). Korzystam również z sieci Tor i przeglądarki Tor Browser – ale głównie do odwiedzania ukrytych usług, sporadycznie jedynie do anonimowego odwiedzania stron w zwykłej sieci. Pilnuję, by Tor Browser zawsze był aktualny.
Poczta elektroniczna
Od dawien dawna korzystam z Gmaila. Mam tam kilka kont na różne okazje. Dwa konta podstawowe – prywatne (z pseudonimem) oraz bardziej eleganckie, z nazwiskiem. Do tego kilka kont do których nie jestem w ogóle przywiązany, które podaję losowo gdy trzeba się gdzieś zarejestrować a poczta na koszmaila nie dociera. Konta podstawowe są zabezpieczone kodami SMS oraz hasłami drugiej kategorii (skomplikowane ale do zapamiętania).
Na koncie Gmail trzymam w zasadzie większość swojego cyfrowego życia, dlatego raz na kwartał wykonuję kopię bezpieczeństwa całej jego zawartości – tak na wszelki wypadek.
Konta w serwisach społecznościowych
Nie unikam korzystania z serwisów społecznościowych. Mam konto na Facebooku, Twitterze, LinkedInie, G+ czy Naszej Klasie i podaję na nich swoje prawdziwe dane. Od czasu do czasu sprawdzam ich ustawienia prywatności (np. próbując zajrzeć do konta nie będąc zalogowanym) i powiązane aplikacje. To samo robię na wszelki wypadek z kontami moich bliskich – za ich zgodą.
Hosting
Oprócz z3s (o którym za chwilę) posiadam kilka innych stron i zarządzam kilkoma innymi dla znajomych. Dla większości posiadanych domen włączyłem opcje ukrywania danych ich posiadacza. Strony w większości oparte na WordPressie trzymam w dwóch polskich firmach – jednej dużej (te ważniejsze) i drugiej dużo mniejszej (projekty porzucone lub odwiedzane przez trzy osoby miesięcznie). Taka struktura rozproszenia usług jest bardziej wynikiem niedokończonej migracji niż jakiegoś konkretnego zamysłu, ale mi nie przeszkadza.
ZaufanaTrzeciaStrona stoi w jeszcze innej, zaprzyjaźnionej serwerowni (znam hostmastera osobiście od wielu lat). Korzystam z serwera wirtualnego pod kontrolą CentOS 7 i obok PIWIKa jest to jedyna witryna obsługiwana przez ten serwer. Do serwera można się połączyć po HTTPS i SSH. Przez SSH można się zalogować tylko na konto zwykłego użytkownika, wymuszone jest logowanie za pomocą klucza. Sam serwer znajduje się za CloudFlare (co pomaga także w dużym stopniu ignorować próby ataków DDoS). Kopie bezpieczeństwa wszystkich istotnych danych serwera wykonywane są w cyklach dobowych na serwer w jeszcze innej serwerowni. Poczta elektroniczna obsługiwana jest przez serwer Microsoftu (wybór podyktowany tym, że w momencie zakładania skrzynki była to jedna z niewielu sensownych darmowych ofert poczty we własnej domenie, ale wkrótce planuję migrację poczty ze względu na bardzo słaby interfejs WWW Outlook.com).
Bankowość
Mam konta w kilku bankach, ale w zasadzie w ponad 90% korzystam tylko z mBanku. Używam standardowego zabezpieczenia, czyli kodów SMS, które przychodzą na mój telefon. Strona internetowa banku to chyba jedyna, gdzie przy każdej wizycie sprawdzam, czy kłódka jest i czy jest w odpowiednim kolorze. Do banku nigdy nie loguję się z cudzych komputerów. Używam mobilnej aplikacji mBanku z limitem transakcji (poza zdefniowanymi) w standardowej wysokości 200 PLN.
Na rachunku bieżącym, do którego podpięta jest karta płatnicza, trzymam środki pozwalające mi na swobodne przeżycie całego miesiąca. Raz na miesiąc nadwyżkę przenoszę na inny rachunek, do którego nie mam karty.
Staram się przynajmniej raz na tydzień sprawdzić wyciąg mojej karty kredytowej. Używam jej rzadko, ale ze względu na długą datę ważności pewnie wylądowała już w kilkudziesięciu systemach. Jak do tej pory najwyraźniej nie trafiła w ręce przestępców.
Przed skorzystaniem z bankomatu lub innej maszyny czytającej karty oceniam, czy nie ma na nich dziwnych narośli skanujących karty lub odczytujących naciśnięte klawisze. Najczęściej korzystam ze znanych mi dobrze urządzeń, więc zadanie jest proste. Gorzej w trakcie wycieczek – wtedy bywa, że poszarpię trochę wystające elementy. Zasłaniam też dłonią palce w momencie wpisywania kodu PIN.
Korzystam swobodnie z płatności zbliżeniowych. Nie trzymam karty płatniczej z antenką w specjalnym futerale, nie wyłączyłem funkcji zbliżeniowej, nie przecinałem także antenki. Nie spotkałem się z przypadkiem kradzieży danych z takiej karty w świecie rzeczywistym, za to wiele razy słyszałem o skradzionych portfelach i też nie przywiązałem swojego na stalowej żyłce.
Kopie bezpieczeństwa
Kiedyś korzystałem z płyt DVD, potem dysków USB, aż w końcu skonfigurowałem sieciowy serwer plików z dwoma dyskami twardymi w trybie RAID 1. Obecnie włączam go raz na pół roku, by zgrać najważniejsze dane. Przez pewien czas używałem Dropboksa, jednak ze względu na ograniczoną pojemność również zrezygnowałem z niego jako podstawowej kopii bezpieczeństwa. Używam go tylko do synchronizowania pliku z hasłami KeePassa.
Po dłuższych poszukiwaniach kupiłem usługę Jotta bez limitu ilości danych za 100 dolarów rocznie. Lądują tam automatycznie kopie danych wszystkich urządzeń mobilnych oraz dedykowanego folderu na dysku twardym. Dodatkowo, na wszelki wypadek, kopię kopii trzymam na dysku USB w odległym miejscu.
Bezpieczeństwo w podróży
W podróże staram się zabierać ze sobą minimalną ilość gadżetów i danych, choć zależy to także od lokalizacji. Jeśli zabieram gdzieś komputer to upewniam się, że mam aktualną kopię bezpieczeństwa wszystkich danych. W podróż do krajów takich jak Chiny czy Rosja zapewne zabrałbym ze sobą nowy dysk twardy z czystym systemem i zważył sprzęt przed wyjazdem z dużą dokładnością oraz pomalował śrubki farbą z brokatem – bardziej dla rozrywki niż z obawy, że coś się w nim znajdzie, ale i tak wybrałbym sprzęt, z którego nie będę korzystał po powrocie.
W przypadku podróży w trakcie których spodziewam się, że będę korzystał z kafejek internetowych (np. wyjazdy bez komputera w bardziej egzotyczne miejsca) przed wyjazdem tworzę specjalne, nowe konto pocztowe, na które przekierowuję swoją pocztę przychodzącą. Powiadamiam też najbliższe osoby o nowym adresie. Bywa, że loguję się w miejscu, gdzie nie ma dostępu do sieci komórkowej, zatem musiałbym zabierać ze sobą wydrukowane kody jednorazowe – wolę wariant nowego konta. Po powrocie takie konto po prostu kasuję.
W trakcie podróży małych lub dużych prawie nigdy nie spuszczam z oka lub zasięgu ręki telefonu i komputera. Oczywiście zdarza mi się np. wyjść z sali konferencyjnej w której zostają pozostali uczestnicy spotkania wraz z moim komputerem, jednak zawsze komputer jest zablokowany (nie korzystam z automatycznego blokowania ekranu, robię to ręcznie wstając od klawiatury). Komputera nigdy nie zostawiam w bagażu rejestrowanym, bagażniku samochodu czy przedziale pociągu. Jedyny wyjątek to hotelowy sejf lub miejsca prywatne takie jak domy znajomych lub rodziny u których przebywam.
Inne narzędzia
Skasowane dane odzyskuję w razie potrzeby za pomocą Recuvy. Dane kasuję Eraserem. Do analizy złośliwego oprogramowania używam wielu narzędzi, w zależności od potrzeb. Najczęściej są to VirtualBox, Wireshark, Fiddler, Process Explorer oraz takie serwisy jak VirusTotal, Malwr, HybridAnalysis.
Po co ja to wypisuję
Niektórzy pewnie stwierdzą, że zwariowałem, czekam też z utęsknieniem na głosy typu „Windows 8? rezygnuję z lektury tego portalu!”. Ja natomiast marzę o dniu, w którym decyzje o poziomie zabezpieczeń będą inspirowane wyważoną, przemyślaną analizą ryzyka a nie nagłówkami z żółtego paska stacji telewizyjnych. Każdą Czytelniczkę i Czytelnika zapraszam do przeprowadzenia własnego rachunku sumienia – czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?
Czy są pytania?
Zapraszam także do zadawania pytań – jeśli będzie ich wystarczająco dużo, to powstanie druga część artykułu w której postaram się odpowiedzieć na wszystkie zarzuty i komentarze. A może ktoś z Was chciałby podzielić się swoim zestawem zasad bezpieczeństwa? Są na sali samobójcy? :)
Przydatne linki
Aplikacje mobilne:
Aplikacje używane na komputerze:
- Personal Software Inspector
- Avast
- Avira
- Microsoft EMET
- Malwarebytes Anti-Exploit
- GlassWire Firewall
- Signal Desktop
- Eraser
- Recuva
Dodatki do przeglądarki Chrome:
Oprogramowanie do haseł:
Szyfrowanie:
Oprogramowanie do komunikacji:
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Moja spowiedź bezpieczeństwa 2023 – wersja tekstowa
- Moja spowiedź bezpieczeństwa AD 2023, czyli z czego i dlaczego korzystam i za co płacę
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
Bardzo fajna lektura. Przypomina mi to trochę udostępnienie swoich dotfiles na githubie :)
Dlaczego Jotta, a nie [tu_wstaw_dowolną_nazwę]? Szyfrujesz backupy i wrzucasz tam wielkie paczki czy leci na żywca bez szyfrowania?
Jeszcze raz, bo mi wycięło tekst pomiędzy ostrymi nawiasami ;)
Ja mam SpiderOak co – jeżeli wszystko co piszą jest prawdą – załatwia sprawę szyfrowania po stronie dostawcy. Tak jak ProtonMail przechowują tylko zawartość zaszyfrowaną, odszyfrowanie jest po stronie klienta.
Dołączam się do tego pytania. W jaki sposób (jeżeli w ogóle) szyfrujesz dane przed wrzuceniem do chmury?
Zdaje się ze napisał? Szyfrowany kontener Truecrypta z danymi i plik z bazą haseł KeePassa. Choć uważam że wysyłając KeePassa na zewnętrzne serwery należałoby dodatkowo użyć lokalnego pliku do zabezpieczenia bazy żeby wykluczyć ataki bruteforce.
Swego czasu też synchronizowałem zaszyfrowany kontener TrueCrypta na Dropboxa. Dlaczego tam? Ponieważ jako jedyny synchronizował różnice w pliku przez co synchronizacja kilkugigabajtowego kontenera trwała parę sekund. Po aferze z Droboxem uznałem że mogę nie mieć świadomości jak mało ;) czasu potrzebuje NSA żeby złamać mój klucz więc postanowiłem że będę robić archiwum lokalnie. Niestety wygoda padła i nie mam tak aktualnych kopii ale przynajmniej wiem że nikogo nie kusi zajrzeć do moich prywatnych danych bez względu na to czy mam coś do ukrycia czy nie.
Generalnie zniechęciłem się bardzo do chmur przez naszą pseudo rodzimą usługę zwaną BitBank z której nie mogę od 5 lat doprosić się o wykasowanie moich danych które w jakiś dziwny sposób rozsynchronizowały się z jednym z komputerów. Miejsce zajmują ale dostać się do nich nie mogę. Nie pomagają prośby o usunięcie konta itp. Ja podziękuję. Panowie skutecznie wyleczyli mnie z modnego słowa „Cloud” i to na dość wczesnym etapie. Aktualnie gdy słyszę słowo cloud uruchamia mi się DefCon 3
Powiem szczerze że miło mi widzieć że ktoś wypracował podobne metody jak ja. ;)
Dodatkowo wspomnę że baaardzo polubiłem słowo OFFLINE i wszędzie gdzie ono się pojawia wzbudza moje zainteresowanie.
Windows 8? rezygnuję z lektury tego portalu!
awast ?
„czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?”
Prawdopodobnie nie. I wynika to raczej z mojej psychiki niż – mam nadzieję! – faktycznych luk w zabezpieczeniach. Po co kusić los? (:
Pytanie przedstawia się następująco: co sprawia, że z3s wyzbył się takiej obawy? Mówimy w końcu o tekście, który będzie tutaj wisiał przez lata (long live the site!). A „tutaj” oznacza stronę poświęconą bezpieczeństwu w sieci, odwiedzaną – jak sądzę – przez naprawdę różne persony, w tym /kapelusze/ wszystkich trzech odcieni.
Poza OS (obecnie Mint + XFCE) i tym że używam FF + ublock + ghostery – ostatnio z firejail (dzięki Adam za info w Weekendowej) – no raczej nie chwaliłbym się.Kilka rzeczy muszę poprawić ewidentnie,choć szanse że takiego nerda-paranoika jak ja ktoś chciałby przetrzepać czy atakować nie są jakieś duże. ___ Adam – w zasadzie też tak można,ale ja bym chyba cierpiał na niestrawności i ból żołądka na samą myśl o tak wyraźnym zostawianiu metadanych niczym jakieś krwawiące zwierzę… Pewnie. Kto zechce to i tak z internetu zbierze co trzeba tak że mi w pięty pójdzie (robot i odpowiednia analiza stylograficzna) Ale po co aż tak ułatwiać wszystko każdemu poczynając od agencji reklamowych żeby mieli to gotowe bez żadnego wysiłku ? Chrome + gmail = Google+… A tak.To też masz ;) __ Po drugie co do Chin i Rosji: Nie wydaje mi się,żeby była różnica między tymi a innymi krajami typu np USA czy UK w tym względzie.Ważenie to chyba żart.Oczywiście odebrany przez jakieś służby sprzęt to byłby zawsze i wszędzie „spalony” sprzęt tylko do sprzedania albo lepiej do utylizacji czy ewentualnie „do przyszłych podróży”.
BTW – dlaczego ważenie to moim zdaniem żart ? A o wolframowych pozłacanych sztabkach sprzedanych Chińczykom przez Amerykanów nie wiedziałeś ? Masą można bardzo łatwo manipulować,a już zwłaszcza tacy Chińczycy z ich kosmiczną techologią podrobionych dysków opartych o pamięć flash i żelastwo są do tego zdolni ;)
Brak wirtualizacji środowiska roboczego. Osobliwe ;-)
Zrobiłem to tak: vmware ESXi w domu, na tym systemy (Windows, Linux). Praca zdalna to SSH do domu (autentykacja kluczem z hasłem, bezpośrednio lub przez Tora, oczywiście port != 22), RDP lub VNC w tunelu SSH. Czyli tani tablet z klawiaturą zawiera tylko klucz i klienta SSH na zaszyfrowanym nośniku. Działało płynnie wszędzie, nawet w Iranie :-)
Autentykacja…
Czasem może warto zrobić bilans czy rzeczywiście potrzebujemy takiego namnożenia zabezpieczeń (często zbędnych) w domu zamiast zwykłego zdrowego rozsądku.
@Zwirtualizowany: Jakieś wskazówki gdzie szukać info co do vmware pod linuchem ? Qubes odpada.
Adamie, i tak jak będzie wirus to większość Polaków zrobi format. Swoja drogą ciekawa lektura ^^
Fajny głos rozsądku, a przynajmniej ja w tym widzę tego typu głębsze przesłanie ;)
Aha… Po co łączysz sie z użyciem Tor na SSH do domu? SSH nie zapewnia wystarczającego poziomu poufności danych czy co?
SSH przez Tora bo 1) łącząc się bezpośrednio zostawiałbym w logach publicznych sieci IP i port swojego SSH, 2) Tor pozwala ominąć zablokowane porty zdalne inne niż 80 i 443, 3) dwie warstwy szyfrowania to zawsze lepiej niż jedna :-)
W ogóle to jak to jest z tym security through obscurity. Niby takie złe i w ogóle, ale z drugiej strony zatajanie niektórych informacji może utrudnić atak. Na przykład jak jakieś gimbo chce ci podesłać malware, to może wcześniej na jakimś twoim asku czy czymś niewinnie zapytać o antywirusa, wersje offica, czy system operacyjny. I co, mówić, wzorem Adama, czy nie mówić, żeby nie kusić losu?
Dzięki Adam za Glass Wire, czegoś takiego ostatnio szukałem do małego monitoringu, a ten soft ładny i darmowy :)
Z ilu plików/baz KeePassa korzysta redaktor z3s?
Wszystko w jednym? Ja niedawno tak miałem i stwierdziłem, że muszę zwiększyć ilość i podzielić na mniej i bardziej istotne.
***
Mail. Nie przeszkadza taka ilość skrzynek pocztowych? Ja kiedyś miałem kilkanaście, ale to było uciążliwe i zmniejszyłem do 5 + ewentualnie aliasy ważniejszego adresu pocztowego.
Cześć
Mam to podobnie opisane,dodatkowo disaster recovery ale nie podzieliłbym się z ta wiedza publicznie.
Zainteresował mnie KeePass. Poczytałem o nim przez chwilę, ale nie dotarłem do jednej kwestii – czy idzie go skonfigurować w taki sposób, że autouzupełnia on formularz po wejściu na daną stronę (oczywiście po podaniu master-hasła)? Bo o ile dobrze wyczytałem, musiałbym do tego otwierać te strony z poziomu KeePassa (z zaintslowaną wtyczką KeeForm) lub z KeePassa „przeciągać” username/password do pól formularza. A chodzi, żebym mógł te strony owtierać z poziomu przeglądarki.
Trzeba mieć wtyczke np. keefox
KeePass posiada wtyczki do praktycznie każdej przeglądarki.
Zajrzyj na ich stronę do Plugins and Ext. do sekcji Integration & Transfer
Ma skróty klawiaturowe do Auto-Type. Praktyczne.
Ja mam u siebie Ctrl+Shift+Q. Aleź jest wesoło jak czasem Keepass nie odpali :D
Potrzebna jest wtyczka, np. ta: https://github.com/pfn/passifox/ – używam w Chromium, działa bez zarzutu, bardzo dobrze integruje się z KeePassem, potrafi automatycznie generować hasła, a jeśli ręcznie wypełniasz pola, to oferuje opcję automatycznego zapisania do bazy.
Ojojoj. Poczta na Gmailu, Android i Windows. Bezpieczne to to na pewno nie jest. Nie pojmuje jak można prowadzić stronę poświęconą bezpieczeństwu i trzymać dane w chmurze i dodatkowo używać Chroma, a do tego mieć Windowsa na niezaszyfrowanej partycji. Jezusicku. Jak czytałem artykuł, to w pewnym momencie myślałem, że to żart jakiś jest.
A spodziewałeś się wyznań jakiegoś paranoika ? Hasło do TC na 64 znaki, z netem łączy się tylko z VM revertowanej przy wyłączeniu hosta a cały ruch leci przez modem GSM tak aby admin z UPC nie był w stanie podsłuchać metadanych ?
VPN na routerze. Własny serwer poczty bez pozostawiania kopii na serwerze. No i Linux z Firefoxem. Smartfona z Androidem bym się bał z powodu lepkich rączek Googla. To już lepiej Ubuntu Touch albo inny wynalazek jak ktoś koniecznie chce mieć internet w kieszeni.
W końcu mowa o redaktorze/dziennikarzu strony poświęconej bezpieczeństwu, która może mieć kontakt z przestępcami elektronicznymi i z tego powodu w pierwszej kolejności będzie na podsłuchu.
Akurat Adam adminów z UPC się pewnie nie boi ;-)
Jasne, są w tym zestawieniu elementy nie do końca bezpieczne. Jednak chyba nie do końca zrozumiałeś przesłanie artykułu. Autor bierze pod uwagę zagrożenia, które stosują się w jego przypadku oraz odrzuca te mniej prawdopodobne na rzecz wygody. Polecam poczytać: https://en.wikipedia.org/wiki/Threat_model
Załóż swoją, zobaczymy czy starczy Ci czasu na cokolwiek poza konfigurowaniem. Pamiętaj że bezpieczeństwo to proces, możesz porównywać jego poziom z korporacją w której pracujesz, mieć w głowie pomysły jak zrobić coś lepiej, ale nie zawsze jest na to od razu czas.
1 kwietnia
Zwirtualizowany: przepraszam ze zniszczę Twój świat ale… Mikołaja nie ma a Tor nie jest dodatkowa warstwa * szyfrowania*.
BTW… Portu Twojego SSH nie trzeba szukać w logach operatorów. Wystarczy użyć nmap’a :).
Przeciez zeby zrobic port-scan trzeba znac IP, ktory w przypadku polaczenia przez Tor nie jest ujawniany. No ale nawet jakby to IPS wykryje port-scan. Kilkadziesiat portow mam otwarte. Na nich pracuja honeypoty ssh, http, sql, … a ja sobie ogladam wyniki z analizatora logow i czasem zglaszam na adresy abuse operatorow.
Zaskoczyłeś mnie, szkoda że nie pozytywnie.
– Avast, Avira… Ja żeby zredukować zużycie systemu używam ESETa. Bez porównania do darmówek.
– WiFi: dlaczego nie RADIUS, skoro masz NASa na którym może dało by się to skonfigurować? Znacznie utrudnia łamanie.
– przeglądarki: nie rozumiem blokowania JS, dla mnie to „zbyt mocne” zabezpieczenie w stosunku do reszty opisanej przez Ciebie. Brak JS skutecznie przeszkadza w surfowaniu po ciekawszych stronach (chociażby StackOverflow)
– backupy w chmurze OK, ale szyfrowane?
> Testowałem także aplikacje umożliwiające wykrycie prób podsłuchów (…) jednak nigdy nie natrafiłem na nic niepokojącego.
Nie korzystasz już a czujność uśpiona ;) Brzmi to śmiesznie przy braniu jednorazowego sprzętu za granicę, gdzie postawienie BTSa jest prostsze technicznie niż dolutowanie jakiegoś keyloggera.
Czy są na sali samobójcy ? – Jasne ,że tak! :-D
Kim jestem ? Nikim ważnym.
Jakie mam zasady bezpieczeństwa ? Czasem bardziej ścisłe niż Twoje.
1. Konto bankowe w 2 instytucjach. mBank i SmartBank.
Do „rachunków bieżących” mam karty. Większość kasy leży jednak na lokatach lub rachunkach oszczędnościowych bez dostępu z kart płatniczych. W razie potrzeby przelewam mobilnie…
2. Podróże, miasto etc. – korzystam z telefonu Nexus 5 i w zasadzie tylko z niego, jeśli chodzi o telefony. Software rootowany, nagrywanie rozmów, blokowanie reklam. Aplikacje instalowane z głową – latarki z dostępem do SMS nie przejdą. Antywirusa brak.
Jedyna dziura w zabezpieczeniach to chyba MigtyText do synchronizowania SMS telefonkomputer.
3. Komputer – laptop, 4 rdzenie, 16gb ram, intel 4600hd. Dysk HDD i SSD. Nieszyfrowane. Dane wrażliwe trzymane w kontenerach VeraCrypt. Główny system to Linux Mint XFCE. Antywirusa brak.
4. Hasła osobiste – jest ich kilka grup.
a) gówno hasła – niesłownikowe, identyczne dla kilkudziesięciu serwisów 6 lub 8 znakowe hasło (2 warianty).
b) Serwisy ważne do których muszę mieć dostęp bez komputera (banki, poczta, kopie zapasowe, może konto firmowe czy coś w tym guście) – długie 10 lub więcej znakowe hasła niesłownikowe.
c) jeśli się da i z serwisu korzystam tylko u siebie na komputerze to KeePassX i ~30 znakowe hasła alfanumeryczne…
d) kontenery truecrypt/veracrypt – hasła ~30 znakowe, chyba niesłownikowe, ale możliwe do zapamiętania.
5. Kopie wykonywane nieregularnie, w jakiś ludzkich odstępach czasu. Kontenery były dotychczas backupowane do chmur typu Copy.com, ale ten serwis zdycha w okolicach maja więc pewnie zmigruję na SeaFile (możliwe ,że z własnym serwerem) albo na DropBox.
Kopie bezpieczeństwa to oczywiście synchronizacja kontenerów do chmury (część także do DropBox), wykonywana raz na pół roku kopia na dysk twardy leżący w domu rodzinnym (wszystko szyfrowane) i ewentualnie na drugi dysk w laptopie (jeśli akurat nie mam nic innego a dane są cenne to chociaż kopiuję na ssd i hdd), jeśli jest możliwość to składam dane (najważniejsze – jak klucze do portfela BTC) w szyfrowanych kontenerach na pendrive.
6. Komunikacja: bardzo rzadko szyfrowana, tylko z wybranymi osobami ,które to ogarniają. Nie jestem w życiu specjalistą od bezpieczeństwa (chociaż może mało brakło niedawno, żeby pracować mniej-więcej w branży) więc nie mam czego szyfrować.
Kiedyś Gajim z wtyczką OTR (albo czymś od GPG), teraz raczej Telegram a niedługo Signal (czekam na dostęp do Desktop)
7. Przeglądarki internetowe:
W sumie to Chrome w pracy i na telefonie. Chromium na prywatnym komputerze.
Z TORa korzystam rzadko, raczej z ciekawości penetrując te dość mroczne zakamarki internetu.
8. Sieci WiFi itp. itd.
Ogólnie łączę się normalnie. W miejscu zamieszkania – zaufane sieci WiFi z zabezpieczeniami WPA2.
Poza – raczej łączenie się przez swój telefon ,który nie padnie bo ładuję go wtedy z kabla i odbieram sieć po kablu usb.
W skrajnych przypadkach szło jakieś VPN. Jeśli np. siedziałem w pracy a obawiałem się podsłuchiwania (a nie mogłem wyłączyć komputera z sieci) lub innej ingerencji w połączenie to zdarzała się maszyna wirtualna (VirtualBox) z podłączonym do niej urządzeniem USB (nie wiem jak nazywa się ta funkcja w VBoxie) którym był telefon. Czasem występował dowolny VPN, czasem własny – były czasy ,że takiego posiadałem na VPSie.
9. Inne – jeśli coś nie zostało wspomniane to pewnie brak lub mało istotne)
To chyba tyle. I tak raczej nie ma czego kraść. (przynajmniej nie przy tych zabezpieczeniach)
10. O czym pewnie teraz sam pomyślę ? O zrobieniu kopii Gmaila na wypadek jakiś dziwnych zdarzeń. A no i może niedługo kupię jakiś serwer plików do domu, bo trochę smutno czasem jak nie ma jak przytulić backupów…
Seafile to nie jest dobry pomysł: https://github.com/haiwen/seafile/issues/350
ze swej strony raczej polecę Ci syncthing
Panie i Panowie. Polecam wam router z oprogramowaniem openwrt i dd-wrt z dość dużą 50k pamięcią nvram. Taki router pozwoli wam na spokojne skonfigurowanie wifi z tunelem VPN. Dzięki temu, żadne sensory na polskich węzłach nie będą was niepokoić :)
Co ważne, konfigurując VPN, pamiętajcie o silnej wymianie kluczy, funkcji haszującej oraz o ile możliwe, szyfrowaniu algorytmem GCM. Jednak znając asów z naszych służb, nawet słaba konfiguracja nie będzie dla nich do rozpoznania :D
SILNY VPN albo śmierć ;)
Yo. Jaka jest różnica między uBlockiem Origin a zwykłym?
uBlock Origin jest rozwijany przez pierwszego autora. uBlock (nieOrigin) nie jest chyba wcale rozwijany.
Dobre wyjaśnienie masz tutaj:
https://www.reddit.com/r/chrome/comments/40033b/im_getting_conflicts_between_disconnect_and/cyy7ncf
A ja mam wrażenie, że to po prostu patyk w mrowisko żeby fajną dyskusję wywołać. (-:
Jakoś ten Windows, Dropbox, Gmail, poczta w Microsofcie i konta w portalach społecznościowych z prawdziwymi danymi mi trochę nie pasują.
Radek
Problem z kontenerami TC jest taki że potrafią się zepsuć
lepiej wydzielić partycję
ps do dziś nie mam smartfona tylko stary telefon ;)
jak się zepsuć?
Dla kontenerów i woluminów True/VeraCryptu trzeba robić kopie nagłówka. Tam są zaszyfrowane hasłem użytkownika klucze szyfrujące zawartość kontenera. Uszkodzenie tego obszaru oznacza nieodwracalną utratę danych.
BTW TrueCrypt ma lukę bezpieczeństwa CVE-2015-7358 (obsługa nazw woluminów). Może warto przesiąść się na VeraCrypt?
Tak, zaskakuje mnie Windows. Nie ma tutaj hejta (ok, troszkę jest, ale tylko troszkę :P ), a właśnie zdziwienie.
Jeżeli moje założenia są prawdziwe, a brzmią:
– znasz pingwina
– no i w sumie tyle wystarczy xD
To nie mogę zrozumieć dlaczego na dwóch maszynach masz windę. Na jednej- ok, czasem coś łatwiej wykorzystać spod windy, sam czasem instaluję sobie windę na laptopie (no dobra, próbowałem z dziesięć razy i nie chciała wskoczyć, mówiła „nie bo nie” :P ), albo odpalam starocia z już strasznie zmęczonego dysku… ale tak kompletnie olać Linuksa?
Nie będę piał na jego temat, jeżeli o oczywiste rzeczy chodzi: bezpieczniejszy, wygodniejszy, praktyczniejszy… łączy więc chyba te cechy do których nawiązujesz cały czas w tekscie. Więc dlaczego windows? A raczej- dlaczego nie Linuks? (To drugie pytanie jest właściwsze, ponieważ o ile obecność windowsa jest czymś, co „może się zdarzyć najlepszym”, to brak Linuksa jest naprawdę zaskakujący!).
mój boże z całym szacunkiem, mimo wszystko ale to pachnie jakąś manią wielkości
wcale nie
W UPC jest dla klientów tak zwany 'pakiet bezpieczeństwa’ a o ile dobrze kojarzę jest to F-Secure (max. 3 hosty) więc na pewno chyba lepiej niż avast/avira.
1. W jaki sposób robisz backup gmaila?
2. Dlaczego Jotta? Kierowałeś się tylko ceną czy czymś jeszcze? Dlaczego nie Tresorit/SpiderOak (chmury z szyfrowaniem po stronie klienta)?
3. Planujesz przesiadkę na Protonmaila? (zwłaszcza, że niedługo mają wprowadzić możliwość podpięcia własnej domeny)
Ciężko teraz z przesiadką na protonmail, bo zablokowali jakiś czas temu rejestrację. Sam przez to cierpię.
Szczerze, to spodziewałem się wyższego poziomu paranoi. Większość opisu zabezpieczeń typowo zdroworozsądkowa. Wybór systemu operacyjnego dla desktopa niezrozumiały – o ile dla laptopa z dotykową matrycą Win 8.0 i 8.1 jest jak najbardziej podyktowany praktycznością, o tyle na desktopie jest niezrozumiały, ale o gustach się nie dyskutuje. Troszkę dziwi brak Linuxa jako podstawowego systemu operacyjnego. Teraz z trochę innej strony – im bardziej wyszukane zabezpieczenia się stosuje, tym bardziej zwraca się na siebie uwagę. Stosowanie całkowicie szyfrowanej komunikacji, VPN-ów i TOR-a zwraca uwagę jako anomalia. Nikt normalny nie korzysta tylko z szyfrowanej komunikacji, więc na pewno ma coś do ukrycia co warto zbadać.
W bezpieczeństwie nic nie zastąpi zdrowego rozsądku. Im bardziej próbujemy swoje działania ukryć, tym bardziej zwracamy na siebie uwagę. Idąc spokojnym krokiem ulicą i patrząc przed siebie ewentualnie lekko na boki nie zwracamy na siebie uwagi. Rozglądając się o oglądając za siebie wyglądamy co najmniej dziwnie i zwracamy na siebie uwagę. Tak samo komandos obwieszony granatami i skaczący przez żywopłoty w pełnym moro zwróciłby na siebie uwagę w centrum miasta.
Zabezpieczenia nie mogą rzucać się w oczy bo wtedy same swoją obecnością prowokują.
Co się czepiasz Win 8? O Classic Shell nie słyszałeś? Moim zdaniem dużo lepszy niż 7 bo nie ma wodotrysków w stylu Aero które w 7 trzeba w usługach wyłączać bo sama zmiana kompozycji to za mało. Poza tym 8 była optymalizowana pod słabe tablety przez co jest naprawdę szybka. Dodatkowo hibernuje dużą cześć rdzenia systemu przez co wstaje na archaicznym lapku z Pentium DC T23xx w 5sek(SSD), jeszcze z 5 uruchamia usługi ale daje się już atakować. Tymczasem oryginalna Vista na tym kompie świeżo wyciągniętym z pudełka startowała 60sek jak ją zainstalowałem na SSD to i tak 40sek! Teraz przymierzam się do 10. Wyłączę telemetrię i poobserwuję co tam jeszcze wysyła. Clasic Shell też tam działa więc można się pozbyć tego dziwacznego menu start.
kurde zawsze myślałem a nawet byłem pewny że używasz systemów unix like…
ja mam trochę większa paranoję: ruter openwrt+dnsmasq+dnscrypt+vpn desktop i lap debian+pełne szyfrowanie dysków+apparmor
Jakoś mnie nie dziwi lekceważący stosunek autora do prywatności i nie do końca przestrzegania dobrych praktyk dot. bezpieczeństwa. Wielokrotnie dał temu wyraz w komentach pod wpisami :)
Poza tym było już wielokrotnie o tym, że dziennikarze piszący o bezpieczeństwie popełniali szkolne błędy, a przez to narażali się na wyciek swoich danych. Nie pisząc już o ekspertach bezpieczeństwa, którzy również często udowadniali swój brak wyobraźni w tym względzie. Dlatego nie ma za bardzo co narzekać na Adama i jego pragmatyczne podejście do życia.
Jedna sprawa jednak jest według mnie złą praktyką. Mianowicie pisanie o tym z jakiego modelu modemu/routera się korzysta. Jest trochę słabe ze względu na proszeniem się o wizytę włamywaczy. Sam kontaktowałem się z autorem z3s i otrzymałem od niego odpowiedź. Nie wiem czy adres IP był zamaskowany (nie sprawdzałem), ale sposobów na jego wyciągnięcie jest trochę. Zwłaszcza gdy utrzymując się stały kontakt z kimś, to wtedy staje się to jeszcze prostsze. A to już tylko jeden krok. Nie uczmy w taki sposób postępować, bo nic dobrego z tego nie wyniknie :)
No i na koniec tego komenta podziękowanie za namiary na program GWF, który wydaje się ciekawym rozwiązaniem.
Pozdro
*Zwłaszcza utrzymując stały kontakt z kimś, to wtedy staje się to jeszcze prostsze. A to już tylko jeden krok do wpadki. Nie uczmy w taki sposób postępować, bo nic dobrego z tego nie wyniknie :)
A nie podoba Ci sie bardziej Windows 10?
Adam, swietny pomysł z tym artykułem. I ja spodziewałem się większej paranoi. :) Myślałem, że znając tyle problemów z Androidem w ogóle dałeś sobie z nim spokój. Czy DD-WRT nie jest już za stary? Z dodatków do przeglądarek poleciłbym jeszcze Privacy Badger i Disconnect dla tych, którzy chcą trochę ograniczyć śledzenie na rożnych stronach. Dla wygody i oszczędzenia zasobów jest też ciekawy dodatek The Great Suspender, który usypia poszczególne karty po zdefiniowanym czasie.
Mam nadzieje, że jak najwiecej osób skorzysta z tego artykułu. Ciekawe, czy pudełek bezpieczeństwa zdobyłby się na polecenie tekstu swoim czytelnikom dla ich dobra… Zapomniałeś zasugerować ludziom wyłączenie Adblocka i jego odpowiedników na swoim serwisie ;) A warto wesprzeć Z3S. Ten serwis mnie wciąż zaskakuje ;)
To mówisz, że używasz Avasta… ( ͡° ͜ʖ ͡°)
Może dlatego, że ten program to gwiazda z Mr. Robot :)
Czy bezpiecznie jest korzystanie z darmowego VPN np. http://www.vpngate.net żeby zabezpieczyć komunikację w publicznych sieciach WIFI?
Spodziewałem sie wysypu teoretyków i paranoików w komentarzach, nie zawiodłem się :-) Dla mnie wszystko spoko, jedyne co bym zmienił – zamiast trywialnych haseł do gównoportali jednak randomowe, ale zapisane w przeglądarce. Gdzie się da – 10minutemail. No i avast z avirą – zabezpieczenie prawie żadne, lag duży. Pozdr.
Zastanawia mnie ta dyskusja dotycząca Avasta. Z testów, które czytałem, wynikało, że to jest jeden z najlepiej radzącym sobie w tym zakresie programów (choć rzeczywiście ESET często reaguje troszkę szybciej, to nie zawsze). Ale jeszcze bardziej zainteresowała mnie sprawie wydajności. Zaskoczyło mnie to, że na słabszym Laptopie Adam używa Avasta, a na mocniejszym desktopie powodowało to problemy. Przypomniałem sobie wtedy, że sam napotkałem już na podobny problem. Otóż u siebie używam Avasta (w wersji płatnej) na desktopie nie powoduje on żadnych istotnych obciążeń mimo, że jest to komputer dość stary i słabszy od tego, który opisał Adam. Za to gdy u żony, na komputerze znacznie nowszym, próbowałem zainstalować darmową wersję Avasta, to wystąpił efekt podobny do wspomnianego w artykule, a nawet być może w większej skali. Nie rozszyfrowałem jednak w czym tkwi problem (było to niedawno, a czasu w domu miałem bardzo mało).
Klucz wydajności avasta: szybki dysk, w przypadku autora artykułu – SSD
poza tym, ze nie prowadzę żadnych serwisów ani portali w tej tematyce, moje zasady są niemal zbieżne z twoimi. w dużej mierze właśnie dzięki z3s. a i opis ciekawy, bardzo fajny art.
Wow, spodziewałem się Qubes jako podstawowego systemu na desktopie, tails na laptopie, GSM jammer w plecaku. Sieć przez whonixa w Wietnamie ;)
Czytając fragmenty o tym jakich programów używasz do czego skojarzyło mi się to z tym: https://www.youtube.com/watch?v=5jTmbqzM1gk :)) Dobry artykuł dzięki.
Nie rozumiem głosu oburzonych na opisane w artykule metody. Domyślam się, że wynika on z nieumiejętności czytania tekstu ze zrozumieniem, bo przecież autor wyraźnie napisał, że „opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa”. Zatem każdy ma prawo a nawet obowiązek wybrać sobie takie narzędzia i stosować takie metody, które spełnią potrzeby bezpieczeństwa wg jego subiektywnej oceny a nie autora tekstu.
.
Poza tym chyba, niektórzy nie uwzględniają jednej podstawowej kwestii związanej z bezpieczeństwem – powodu wdrażania mechanizmów mających je zapewnić. Jeżeli ktoś myśli, że obroni/ukryje się przed NSA, Google czy Chińskim wywiadem, to niestety nie ma szans i może tupać nóżkami w złości, że Google analizuje jego pocztę ale nic z tym nie zrobi (chyba, że wróci do listów papierowych wysyłanych gołębiem). Zatem stawiając na szali „inwigilację” ze strony wielkich korporacji, które dostarczają całkiem bezpieczne usługi oraz totalną paranoję czy jakieś lokalne „super-rozwiązanie”, autor wybrał to pierwsze.
.
Na koniec warto zauważyć, że dopóki samemu się nie zrobi swojego urządzenia począwszy od procesora, nie można mieć żadnej pewności, że w sprzęcie nie zaszyto wrogich mechanizmów. Zatem czy warto się masturbować odnośnie używanego przez autora routera czy telefonu skoro i tak żaden Linuksowy system nie uchroni nas przed zamkniętym firmware-m i warstwą sprzętową. Możemy jedynie minimalizować ryzyko i nic poza tym.
Interesujące. Dla porównania https://niebezpiecznik.pl/post/ustawa-inwigilacyjna-jak-sie-bronic-przed-podgladaniem-przez-policje-i-sluzby/
Ja z kolei nigdy niczego nie trzymam w zadnej chmurze.
FDE na TrueCrypcie, ESET, EMET.
Backupy na wlasny FTP (low-end desktop w domu) po TLS, w postaci woluminow TC.
„Spowiedź bezpieczeństwa” – jak znalazł na rozpoczynający się jutro Wielki Post
Nie boisz się zostawiać laptopa w sejfach hotelowych? Większość z nich ma hasła główne, na wypadek zapomnienia przez gościa jego własnego, znane przez hotel, a zapewne bardzo często pozostawione na ustawionym fabrycznie, nie wspominając już o tym że dla porządnego włamywacza taki sejf to kwestia kilku minut.
Wiem że to tylko jedna warstwa zabezpieczeń, ale będąc atakowanym przez odpowiednio dużą agencję, czy korporację, mógłbyś tą metodą dostać prywatnego trojana z keyloggerem którego nie wykryje avast, czy nawet „dodatek hardware’owy”, i wszystkie pozostałe warstwy padają jak muchy…
Wydaje mi się, że Adam po prostu nie jest człowiekiem, spodziewającym się ataku ze strony „odpowiednio dużej agencji czy korporacji” ;).
Co sądzicie o np 10minutemail do zakładania tymczasowych kont?
Guerrillamail lepszy – skrzynka jest utrzymywana do momentu aż z niej nie zrezygnujesz, można też odpisywać na maile.
https://www.guerrillamail.com/
a’propos routera..
ja używam jednego ze starszych Asusow z alternatywnym (acz b.podobnym do stocka) firmware Merlina:
– hasło do wifi ~30 znakow generowanych przez keepass, zmieniane co 2 miesiace
– dostęp admin tylko wewn., z kilku IP, hasło zmieniane co miesiąc, nieslownikowe, ale zapamietywalne ;D
– wszystkie urządzenia w sieci mają na stale zarezerwowane IP
– komputer i tablety dzieci mają na routerze skonfigurowane DNS Norton Child (czy jak to się tam nazywa), pozostale Norton Family/Safe, laptop służbowy i moj desktop maja DNS od ISP :))
poza tym:
– komp dzieciaków jeszcze do niedawna chodził na XP, ale w końcu postawiłem tam linuxa (manjaro z xfce)
– sluzbowy laptop to win7, szyfrowane dyski i inne zabezpieczenia wymagane w korpo, desktop to linux (manjaro z cinnamon, wcześniej bylo kubuntu)
– laptop żony to win10 i darmowy AV – Panda ma rozsądny stosunek możliwości do upierdliwości/ociężałości
– backup staram się robić co miesiąc (dysk zewn., kontenery truecrypt, przechowywany poza domem)
co jeszcze?
bankowości mobilnej w ogóle nie używam, hasła do b.internetowych zmieniam co miesiąc (kilkanaście znaków generowanych przez keepass), gmail podobnie, oczywiście włączone 2-skladnikowe uwierzytelnianie, tak samo w OVH
więcej grzechów nie pamiętam ;))
ps.
mam w nosie, że 3-literowe sluzby mogą złamać truecrypta lub keepassa – zalezy mi na ochronie przed byle złodziejem czy leszczem w serwisie..
Hm. Ciekawe. Ja mam Mac’a i szyfruję wszystko (FileVault2) nie to żebym miał coś do ukrycia, tylko chcę spać spokojnie jakby ktoś mi ukradł kompa, bo mam sporo kodów źródłowych z projektów biznesowych i prywatnych.
Z VPN nie korzystam – w sumie nie widzę takiej potrzeby, bo większość ważnych połączeń i tak idzie przez SSL, więc jak admin podejrze z jakim serverem się kontaktowałem to raczej nie ma tragedii, a treści nie przechwyci.
E-maile staram się szyfrować GPG, ale nie za dużo ludzi go niestety ma, więc większość idzie niezaszyfrowane.
Backup’y lecą przez TimeMachine kilka razy na dobę (zdarzało mi się usunąć coś, co po kilku dniach okazało się potrzebne) na zaszyfrowany dysk USB. Czasem go targam ze sobą gdzieś w podróży, więc szyfruję by dane nie trafiły do kogoś przypadkiem.
Z dropbox’a korzystam by zsynchronizować jakieś dane. Na przykład mam na nim repo git’owe do kilku włąsnych małych 1-osobowych projektów, ale repo jest w zaszyfrowanym kontainerze bo nie ufam dropbox’owi i na wypadek jakby ktoś się włamał.
PYTANIE: W jaki sposób weryfikujesz, czy nie dograł się (sam lub z czyjąś pomocą) jakiś nieznany jeszcze przez antywirusy malware na komputer z Windowsem?
Do haseł i notatek wystarczy prosty notepad3 z plikiem na hasło: https://rizonesoft.com/download/notepad3/
Serwer SSH można łatwo ograniczyć i nie ma żadnego syfu w logach:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
Może przetestowałby ktoś takiego firewalla http://www.privacyware.com/personal_firewall.html i konkretnie opisał.
Jak zachowują się szyfrowane partycje podczas wystąpienia nagłego wyłączenia prądu podczas zapisu?
Czy utraci się dane?
Jak dla mnie za dużo tych szczegółów. Spis narzędzi jak najbardziej pomocny, ale informacje typu UPC /RedBull T-mobile mogłeś sobie odpuścić :) Tak, a propo szyfrowania, przydała by się przestroga dla kidscr. Nie znając podstaw kryptografii lepiej nie szyfrować sobie dysku, tylko dlatego, że fajnie być bezpiecznym. Co raz bardziej mnie zastanawia skąd 15 latkowie wiedzą takie rzeczy. O tym raczej nauczyciel w gimnazjum nie mówi. Ostatnio jadę sobie do pracy i nagle para nastolatków zaczyna mówić o TrueCrypcie.. Popularność robi swoje :D Offtop
„tylko dlatego, że fajnie być bezpiecznym”? Nie mów, że w trosce o bezpieczeństwo moich rodziców, którzy nie mają pojęcia w tej dziedzinie, powinienem im wykupić kurs kryptografii, albo wysłać na studia, bo włączyłem im szyfrowanie w telefonach oraz partycji z wrażliwymi danymi :) Trochę mania wyższości nad ludźmi, którzy po prostu chcą się czuć bezpieczniej, nie uważasz?
Nie mówię tutaj o zabezpieczaniu danych swoich bliskich, bardziej chodziło mi tutaj o młodzież, która nie ma wgl z tym kontaktu. Ostatnio znajoma mnie zawołała bo okazało się, że synek sobie zaszyfrował dysk, a tam wszystkie dane itd. Klucza nie ma albo zaszyfrowany razem z dyskiem :D Chłopak może miał 15 lat :) Ostatnio często się to powtarza skąd takie natarcie ?
Ransomware
Panie Adamie, mam prośbę. Czy może pan opisać system Tails podczas używania z płyty DVD. Bardziej mi chodzi o to czy ten system można zhackować i jak się ustrzec przed zhakowaniem i napisać czy ktoś tego dokonał. Bardzo mało informacji w internecie na ten temat jest.
Jacek.
Co do zaufania do Avasta:
https://code.google.com/p/google-security-research/issues/detail?id=679
W ten sposób raczej obniżasz poziom zabezpieczeń niż go podwyższasz ;-)
KeePass umożliwia automatyczne logowane na maskowane hasła, słowo kluczowe {pickchars} ;)
Adasiu, a używałeś kiedyś comodo internet security?
i btw. na pewno każdy myślał, że masz linuxa, a w nim 8 linuxów, a jednak zaskoczyłeś ich windą i dobrze, bo wiele dzieciaków myśli, że „wgram linuxa i będę global elite hackerem przez samo używanie linuxa”.
Linux fajny, ale wkurza mnie, że różne dystrybucje głupich ikon do siatki nie przyciągają i mogę ikony w pionie przesuwać o milimetr w górę, bo przyciąganie w pionie nie działa w ogóle, a jedynie w poziomie, co za baran to wymyślił? Czuję się tak jakby programistom nie chciało się dopisać drugiej połowy kodu. Ktoś zna sposób na naprawienie tego?
Swoją drogą przyciąganie w poziomie niby działa, ale geniusze zrobili tak, że czcionki jednej ikony nachodzą na czcionki sąsiednich ikon! Genialne! Teraz wiem dlaczego wielu użytkowników Linux nie używa skrótów na pulpicie (oficjalnie tłumaczą, że są bardziej pro i mają pasek wgrany, a w praktyce nie chcą śmietnika na pulpicie przez lenistwo programistów)
„Teraz wiem dlaczego wielu użytkowników Linux nie używa skrótów na pulpicie (oficjalnie tłumaczą, że są bardziej pro i mają pasek wgrany, a w praktyce nie chcą śmietnika na pulpicie przez lenistwo programistów)”
hahahaah u mnie na pulpicie po prostu dla wygody mam zamiast burdelu ze skrótów dwie instancje rxvt a tak samo szybki dostęp do najczęściej używanych apek mam spokojnie z dobrze skrojonego i przystosowanego pod swoje potrzeby menu openboksa albo po prostu bezpośrednio z palca w terminalu..kwestia przyzwyczajeń i podejścia (kidyś używałem skrótów na pulpicie na swoim ob i nie zauważyłem problemów które opisujesz..
Czy w toalecie w pociągu nie jest Ci za ciasno z laptopem? :)
Na pewno nie w pociagu PESA – tam drzwi automatyczne skutecznie zablokuja probe wejscia :)
Proponuję dodać do listy drugi profil przeglądarki. Ja trzymam bardziej „chodliwe” usługi na ataki w osobnym profilu przeglądarki Chrome, mam tam gmaila, facebooka, twittera itp.
Nie przeglądam internetu z poziomu tamtej przeglądarki, dzięki czemu unikam np. kradzieży lajków i innych phishingowych ataków.
A do logowania do banku to oczywiście „tryb porno” i konto bankowe ze środkami przelewanymi co miesiąc. Wygodny i nie tak bardzo kłopotliwy model bezpieczeństwa, a daje radę.
Oglądasz podejrzliwie bankomat, a jednocześnie Masz Win 8?;-)
beletrystyka dla bezpieczeństwa ;D
Serio? Hasła nie do zapamiętania? Ja się nauczyłem na pamięć mojego adresu Bitcoin:-)
to ciekawe – tylko ja stosuję wymyślony przez siebie algorytm generowania silnych haseł na podstawie adresu serwisu? Miałem kiedyś dylemat – jedno hasło do wszystkiego? (źle), skomplikowane hasło ale takie samo? (źle), skomplikowane hasło inne do każdego serwisu? też nie za dobrze. Wymyśliłem sobie algorytm generujący hasła na podstawie adresu lub nazwy serwisu. Łatwo go „odpalić” w głowie a wynikiem jest mocne hasło, inne do każdego serwisu. Oczywiście jesli ktoś dostałby listę adresów z przypisanymi hasłami to jest nikła szansa że po głębokiej analizie wykryje procedurę generowania hasła. Jednak jest to mało prawdopodobne, bo hasła wyglądają jak przypadkowe. Polecam :>
A hasła zapamiętuje w przeglądarce, ale profil przeglądarki leży w kontenerze Veracrypt :]
@animuss: A co konkretnie ci daje trzymanie profilu przeglądarki w VeraCrypt?
Podczas gdy system jest uruchomiony, przeglądarka jest uruchomiona i ma wczytany profil, jest on naturalnie odszyfrowany i odczytywany z kontenera VeraCrypt, dostępny w pamięci przeglądarki.
Menedżery haseł w przeglądarkach są niezalecane ze względu na znane ataki, w których można było stosunkowo łatwo odczytać te hasła i wykraść, wchodząc na odpowiednio spreparowaną stronę (przykład).
Nie pamiętam szczegółów ataków (wyciągnięcie danych z pamięci operacyjnej czy skopiowanie pliku keychain z systemu plików i zdeszyfrowanie), dlatego trudno mi ocenić czy Twoje rozwiązanie ma jakiś sens czy też zupełnie mija się z celem, ale wstępnie sądzę, że to drugie. Jeśli się mylę, czekam na korektę.
U mnie jest podobnie. Choć z nie korzystam z menadżera haseł. Też mam trzy rodzaje. Łatwe dla jednorazowej rejestracji (chyba, że przy rejestracji jest wymagane skomplikowane, to wpisuję losowe znaki pasujące do wymagań, potem korzystam z resetowania hasła, jak chcę się znowu zalogować), średnie dla codziennych stron i bardzo skomplikowane np dla bankowości. Nie potrzebuję menadżera, bo odruchowo potrafię wpisać odpowiednie hasło jednocześnie nie potrafiąc go przeliterować. Staram się je zmieniać co określony czas.
heh, nie szyfrujesz OS’a a szyfrujesz hdd, po co? Z wjazdem na SYSTEM i tak każde Twoje hasło moje.
Besides! Information disclosure, podałeś tyle info, że jesteś hackable prędzej czy później.
IMO antisec, mogłeś mówić o jakiejś teoretycznej osobie a nie o sobie.
@heliar:
Zapewne po to, by ktoś kto uzyska fizyczny dostep do maszyny nie otrzymał za jednym zamachem dostępu do wszystkich danych.
A generalnie jeśli kontrolujesz OS swojej ofiary to i tak żadne zabezpieczenia na nic się nie zdadzą…
A co do ostatniego zdania-myślę, że Adam doskonale zdaje sobie sprawę z tego, że „jest hackable”. Podobnie jak zresztą każdy z nas (a na pewno 99%). Nawet nie z racji braku wiedzy a raczej czasu i potrzeby.
Pytanie jakich ataków Adam realnie się obawia. Jeśli nie ścigają go 3-literowe służby, a jedyne potencjalne zagrożenie stanowią script-kiddies, chcący popisać się na podwórku „shackowaniem” (cokolwiek zresztą miałoby to znaczyć) redaktora popularnego serwisu to myślę, że zabezpieczenia Adama są dobrane w sam raz i ich upublicznienie jakoś go też specjalnie nie naraża.
Fizyczny, nienadzorowany dostęp do sprzętu – zaszyfrowanego czy nie – oznacza, że ten sprzęt jest skompromitowany. Oczywiście czasem to Pan Janusz chciałby tylko skorzystać z komputera i pooglądać porno (bez trybu porno, bo nie wie co), a czasem Pan Janusz zrobi coś innego, bo będzie wiedział po co i do kogo przyszedł. :)
Hej,
proponuję jeszcze w mBank kartę przedpłaconą a nie kredytówkę.
Jakiego VPS polecasz do OpenVPN?
Jakiegokolwiek, byle działał.
A jak zabezpieczyć przynajmniej w minimalny sposób przeglądarkę? Używam Chrome i domyślnie jestem w niej zalogowany, jednak obawiam się, że czasem będę potrzebował kogoś zostawić przy kompie na dosłownie 2 minuty (na tyle spontanicznie i krótko, że nie obawiam się dużych szkód – instalacji keylogerów, czy innego badziewia, ale na tyle długo, żeby odpalić gmaila i przejrzeć przynajmniej kilkanaście maili).
DD-WRT w wersji stable czy beta? Wiesz, od majstrowania przy routerach wyrosła całkiem pokaźna społeczność…
Trochę rozumiem przesiadkę na Nexusa, sam używam Motoroli właśnie ze względu na soft.
Gratka dla obrońców Firefoksa ;)
http://sekurak.pl/firefox-wykluczony-z-konkursu-pwn2own-2016-powodem-zbyt-slabe-zabezpieczenia/
„Korzystam swobodnie z płatności zbliżeniowych. Nie trzymam karty płatniczej z antenką w specjalnym futerale, nie wyłączyłem funkcji zbliżeniowej, nie przecinałem także antenki. Nie spotkałem się z przypadkiem kradzieży danych z takiej karty w świecie rzeczywistym, za to wiele razy słyszałem o skradzionych portfelach i też nie przywiązałem swojego na stalowej żyłce.”
Myślę że czas pomyśleć o ekranowanym portfelu https://www.facebook.com/photo.php?fbid=10154000160962146&set=a.10150122896072146.326593.564277145&type=3&theater
Zdjęcie z Moskwy. Zero przypadków w Polsce. Setki przypadków kradzieży portfela. Może jednak lepiej zacząć od stalowej linki.
Wystarczy wszyc w portfl folie aluminiową, zerowy koszt, zerowy wysilek ale zawsze to ta odrobinka pewnosci wiecej xd
Ja niestety posiadam karte ze zblizeniowym, jeszcze antentki nie wylaczylem ale mam zamiar to zrobic tłukąc w nią mlotkiem czy coś :D i to takim uzym, przed placowka mojego banku zostawiajac im na odchodne soczystego kloca przed drzwiami za potraktowanie mnie jak gówno kiedy prosilem o karte kompletnie bez chipa.
Katy uzywam tylko do platnosci online (przez co nie moge osczedzac o kusi, ja oszczedzam poprzez ucinanie sobie mozliwosci wydawania pieniedzy) i wyplacania z bankomatu, uzywam gdzie sie da zywej gotowki.
„czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?”
Primo:
Minimalizuje skrajnie trzymanie danych co do ktorych nie mialbym zadnego ale zeby latały po internetach w formie cyfrowej, co się da po prostu nie istnieje na zadnym dysku twardym.
Secundo, keepass i haslą po 20 znakow min, staram sie przynajmniej raz na pol roku zmieniac haslą do portali/keepassa
Tetrio, maile mam dwa, oba gmail, pierwsze jest do takich rzeczy jak komunikacja podstawowa z znajomymi, nic co wykraczaloby poza „no to co z tą laską co ja spotkaleś w pubie?”, drugi tez gmail i tam praktycznie tylko payslipy trzymam i tyle, tez nic wielkiego, nic co nie mogloby na dobrą sprrawe latac luzem po necie.
Stosuje win7 z zablokowanymi aktualizacjami i wyjebanymi niemal wszystkimi mozliwymi funkcjami systemu ktore nie spowodowałyby crasha calosci/niedzialania jakiejs aplikacji. Wszystkie .net frameworki i inne badziewia oczywiscie up to date, tak samo javy, nie javy etc. Przegladarka only lisek, nie ufam niczemu, na androidzie jest to CM browser (niemal tylko pornosy i czasem jakies googlowanie bylegunwa, po prostu nie ma na rynku zwyklej przegladarki ktora wygladalaby jak desktopowa a ta jest najbardziej zblizona, i tak wali chujem :/). Do tego sandboxie, brak antywirusa, sprawdzam esetem raz na jakis czas kompa i virustotalem niemal wszystko co pobiore. Na lapku mam syncha z dyskiem od googla gdzie mam kilka rzeczy ktore sa jako kopia zapasowa (nic wielkiego, moze latac po necie), troche starych rzeczy do szkoly, w tym prace zaliczeniowe na maturke, i baza keepassa ktorej kopie mam na pendrivie tez.
Na glownym pendrivie mam jakiegos linucha w wersji portable plus kilka malych rzeczy, na mniejszym, niepodlaczanym niemal nigdzie penku mam keepassa i tylko keepassa.
Przegladarka z adblockiem, wymuszaniem https’a, wszystkie dodatki są domyslnie wylaczone i potrzebuja zatwierdzenia poprzez klikniecie, wyjątki od tego to omegle, vocaroo, i tunerr (bo mnie wkurza ze za kazdym razem zeby nastroic ukulele musialem flashowi dawac permisje xD)
Telefon to z1 compact, niemal wszystkie aplikacje od googla maja wyjebane permisje umozliwiajace im zczytywanie informacji telefonu itp, po prostu blokuje wszystko az nie acznie sie cos crashowac, w tym takie aplikacje jak klawiatura systemowa etc, WSZYSTKO co instaluje ma z automatu usuwane wszystkie permisje zanim wlacze, po czym odblokowywuje te ktore uwazam za najmniej „grozne” az sie apka wlaczy, faceooka nie mam bo jak mu wylaczylem mozliwosc szpiegowania to sie nie wlaczal, messenger jest, wylaczona mozliwosc szpiegowania :v. Jedyyna apka ktorej permisji nie ruszalem to xposed, supersu i pixel dugeon (bo nie potrzebuje zadnych permisji, jedyna gra na google playu ktora nie potrzebuje ;-;), tableta mialem ale juz nie mam, tablet byl od amazona (HDX 7), z wgranymi gappsami i wyjebanymi permisjami z wszystkiego tak samo jak i fon :D, na andku mam adlocka anwet na yt :D
Co do higieny sieci, kozystam z wifi w domu, oraz z internetu w komorce od mojego operatura, wychodzac z domu wylaczam mozliwosc laczenia sie mojemu sprzetowi z wifi, laptop ma udostepniany internet przez kabel usb z telefonu (robiąc wtedy jednoczesnie za battery packa xd), nie interesuje mnie nic.
Zaden portal poza moim bankiem i serverami urzędów pastwowych nie zna mojego numeru telefonu dzieki czemu pozbywam sie dwuskladnikowego uwiezytelniania, wole zeby wycieklo mi wszystko z gmaila niz jedna cyfra mojego num telefonu. Gdzie mozna kozystam z dwuskladnikowego uwiezytelnienia niewymagajacego num tele (aplikacją na andku, zewnetrznym fizycznym tokenem czy innym urzadzeniem, emailem itp), niestety te kutasy z portali typu google, facebook czy steam nawet jak maja dwuskladnikowe uwierzytelnienie przez apke w foenie i tak wymagaja num telefonu… guh :/
Co do szyfrowania, na razie nie potrzebuje nic szyfroac, natomiast jak juz porzebuej to z regoly robie to w dosyc prosty sposob, nie dopuszczam do istnienia tej informacji w ormie cyfrowej, proste. W skrajnych sytuacjach zdaje sie na truecrypta albo wbudowane szyfrowanie w systemach linuxowych z jakich kozystam aktualnie szyfrujac jakas wydzielona, mala partycje na dysku ktora po skonczeniu uzywania zajezdzam tak ze to na dobra sprawe jeden wielki badsector sie robi przez ilosc cykli zapisu/odczytu.
Do laczenia sie z torem uzywam tailsa, na pensticku albo VM’ce ale zbootowanego jako live CD.
No i gdzie mozna tam uzywam yopmaila nie? :D
A możes zmi wyjaśnić dlaczego korzystasz z Chroma i Gmaila, skoro sam Google przyznaje, że jego narzędzia same w sobie stworzone są do przechwytywania informacji o użytkowniku?
Bezpieczeństwo i wygoda są dla mnie ważniejsze niż prywatność. Poza tym w dużej mierze ufam Google.
A to nie jest niekonsekwencją? Skoro Google przejmuje dane, to nie po to, by je chronić! Czyli jest to naruszeniem bezpieczeństwa własnych danych, prawda? Czy się mylę?
Każdy definiuje bezpieczeństwo wg swoich priorytetów.
Co to znaczy?
Nie rozumiem. Naprawdę. Bezpieczeństwo danych, to bezpieczeństwo danych, a udostępnianie ich podmiotowi, który je wykorzystuje dalej nie bardzo wpisuje się w definicję bezpieczeństwa. Przepraszam, będę wulgarny, ale takie mi przychodzi porównanie – być zgwałconym przez Johna to przyjemność, a przez Billa to hańba?
SnoopSnitch bez roota??
bezpieczeństwo przeglądarki rozumiem także przez bezpieczeństwo poufności danych jakie codziennie wysyłam do sieci i nie ma znaczenia czy są to dane bezwzględnie wrażliwe czy pospolite, Dlatego chrome i wszystkie jego klony zdecydowanie odpadają ok chrome jest bezpieczniejsza od firefoxa ale tylko w domyślnej konfiguracji. O bezpieczeństwie swojej przeglądarki decyduje przede wszystkim user ja korzystam na co dzień z linuksa i mam możliwość prostego profilowania apparmorem wybranej apki do tego obkładam fajerfoxa dodatkami pozwalającymi regulować politykę js i połączeń
-noscript
-requestpolicy
dodatkowo jakiś sprawny bloker reklamowego chłamu
-ublock
i dodatek wymuszający tam gdzie to możliwe połączenie po tls ewentualnie tylko i wyłącznie czyli
-https everywhere
i mam to co w chrome czyli sandbox+rewelacyjne dodatki, których niestety chrome nie posiada quickjavascriptswitcher ma się ni jak do noscripta, nie posiada nawet funkcji tj jak selektywne blokowanie skryptów o innych nie wspominając no i prywatnośc to temat rzeka, naqwet devi debiana nie moga się czasami uporać z wycięciem wszystkich puskw w chromium a gdzie tu mowa o chromie
pozdro
Będzie aktualizacja na 2020?
&