Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania
Ostatni wpis na temat stosowanych przeze mnie zabezpieczeń wywołał ciekawą dyskusję w komentarzach. Zgodnie z obietnicą postaram się dzisiaj odpowiedzieć na wszystkie Wasze wątpliwości oraz zadane pytania.
Cieszę się bardzo, że tak wiele osób, choć niekoniecznie zgadzających się z moim podejściem, zrozumiało jego filozofię – to moja ocena istniejących przeciwników i zagrożeń leży u podstaw podjętych decyzji. Większość odpowiedzi na Wasze pytania będzie oscylowała właśnie wokół modelu zagrożeń – i dobrze, bo faktycznie za mało o nim wcześniej napisałem.
Kopie bezpieczeństwa
Dlaczego Jotta? Gdy szukałem oferty backupu w chmurze był to jedyny dostawca z nielimitowaną usługą w sensownej cenie (miałem do wrzucenia powyżej 1 TB danych), a do tego oferował oprogramowanie zarówno dla Windows jak i Androida, pobieranie plików przez WWW a lokalizacja w Norwegii wydawała mi się dużo przyjaźniejsza niż w USA. Jotta obiecuje, że nie będzie monitorować moich plików i nie da ich nikomu dopóki nie dostanie nakazu wydanego przez norweski sąd. Na skali koszt vs pojemność vs prywatność Jotta jest w moim przypadku rozwiązaniem idealnym. Używam od ponad roku i nigdy nie miałem żadnych problemów.
Co z szyfrowaniem backupów? Jak niektórzy słusznie zauważyli, szyfruję dane poufne (TC lub PGP) bez względu na to czy robię ich kopie czy nie. Jeśli coś jest poufne, to jest poufne również na dysku lokalnym, zatem gdy robię backup dysku do chmury to nie muszę się przejmować tym czy wszystko co trzeba zaszyfrowałem i w backupie lądują po prostu dyski TC obok plików jawnych.
Dlaczego wrzucam plik KeePassa bez dodatkowego szyfrowania do chmury? KeePass ma wbudowane silne szyfrowanie a moje hasło jest takiej długości, że trzeba by NSA by do niego podejść. O tym dlaczego nie obawiam się NSA będzie w osobnym akapicie.
Szyfrowanie
A co z luką bezpieczeństwa w TrueCrypcie (CVE-2015-7358)? A nic. Umożliwia ona podniesienie uprawnień ze zwykłego użytkownika. Oznacza to, że jeśli ktoś będzie mógł wykonać dowolny kod na moim komputerze i zorientuje się, że potrzebuje uprawnień administratora i mam TrueCrypta, to będzie mógł za jego pomocą sobie uprawnienia podnieść. Uważam, że jeśli ktoś będzie wykonywał bez mojej wiedzy kod na moim komputerze z takimi uprawnieniami jak ja, to jest już bardzo źle i uzyskanie uprawnień administratora przez atakującego mojej sytuacji znacznie nie pogorszy. A TrueCrypta lubię, zatem dopóki szyfruje prawidłowo to będę go używał.
Antywirus
Paru komentatorów było zdziwionych wyborem antywirusa. Obstawiam, że jakiego bym nie wybrał, zawsze kilku się znajdzie. Nie sądzę by którykolwiek z antywirusów z listy tych bardziej popularnych był wart więcej od pozostałych. W żadnym nie pokładam zbyt wysokich nadziei – wiem, że świeże binarki zawsze przez co najmniej kwadrans lub dwa pozostaną niewykryte (a dobre kryptery ominą także metody emulacji kodu czy inne techniki heurystyczne) i antywirusa traktuję jako ostatnią linię obrony przed własną głupotą, gdyby mnie akurat coś zaćmiło i chciałbym kliknąć gdzie nie trzeba. I nie ma znaczenia czy będzie to Avast, Avira czy cokolwiek innego. W każdym odkryto fatalne błędy (i pewnie zostanie ich jeszcze wiele odkrytych), ale dla mnie korzyści z ich posiadania przewyższają potencjalne zagrożenie, jakie powodują. Wirusów jest mnóstwo a celowanych ataków na posiadaczy antywirusów nie kojarzę.
Hasła
Ilu używam plików KeePassa? Jednego, w zupełności wystarcza. Przełączanie się między dwoma bazami to duże obniżenie użyteczności które pewnie i tak kończy się tym, że obie są cały czas uruchomione i odblokowane, co kwestionuje sens posiadania dwóch.
Dlaczego nie używam losowych haseł zapisywanych w przeglądarce do mało znaczących serwisów? Jestem przeciwnikiem zapisywania haseł w przeglądarce, poza tym naprawdę w tych serwisach nie mam niczego istotnego, zatem jedno i to samo hasło niczemu nie przeszkadza.
Poczta
Pytanie o sens posiadania wielu skrzynek – ja nie mam z nimi problemu, po prostu z niektórych korzystam bardzo rzadko. Jeść nie wołają, ważne emaile tam nie przychodzą.
Czy mają sens skrzynki tymczasowe np. 10minutemail? Tak, co kto lubi. Ja korzystam ze skrzynki „stałej” bo wygodniej mi potem przypomnieć sobie login czy odzyskać hasło – przynajmniej pamiętam adres email, jaki podawałem przy rejestracji.
Przeglądarka
Czy blokowanie JavaScriptu to nie przesada? Nie, dlaczego? Odblokowanie dla danej strony to jedno – dwa kliknięcia a zawsze trochę mniej okazji na wykonanie jakiegoś nieautoryzowanego kodu. Odblokowuję tylko jeśli coś, czego akurat potrzebuję, nie działa. Sporo witryn działa i bez JS.
Czym się różni uBlock od uBlock Origin? Autor oryginalnego uBlocka przyjął do projektu drugą osobę, która próbowała sobie przypisać wszystkie zasługi, zatem stworzył osobną wtyczkę (właśnie Origin) by odróżnić ją od tej przejętej w nieciekawych okolicznościach.
Gmail, Chrome i Google
Często przewijał się wątek „Jak można używać Chroma” lub „Ojej poczta na Gmailu”. Zacznę od tego, że jeśli ktokolwiek obawiający się inwigilacji Google nie używa Chrome i Gmaila za to korzysta z Google to robi to źle. Sama historia zapytań do Google wystarcza do stworzenia tak dokładnego profilu człowieka, że Gmail i Chrome to już tylko wisienki na torcie. Zatem niech pierwszy rzuci kamień ten co binga (binguje?) wszystkie informacje. Ja bez Google nie potrafię pisać artykułów, zatem nie będę z jego usług rezygnował bo żadnej korzyści mi to nie da.
Kto nie korzysta z Gmaila niech sprawdzi, jaki procent jego wiadomości jest Gmailowi znany (czytaj: jaki procent przychodzi z Gmaila lub do niego wychodzi). Wszystkie wyniki poniżej 50% można uznać za spory sukces. Warto też zaznaczyć, że Gmail jest idealnym narzędziem do walki z malware (i przy okazji spamem) – przez 4 lata zbierania próbek jeszcze mi się nie zdarzyło, by jakiś złośliwy program Gmail przeoczył.
Co do Chrome – kto używa innej przeglądarki ten jest w dziedzinie bezpieczeństwa samobójcą (no poza niszowymi produktami czy innymi Lynxem). Firefoks – wolne żarty, jedyna przeglądarka bez wbudowanego sandboksa (a mamy rok 2016!), na którą nie dalej jak w zeszłym roku był 0day używany do prawdziwych ataków. No, może Edge, który dokonał wielkiego skoku w dziedzinie bezpieczeństwa wkrótce dorówna Chromowi, ale dajmy mu kilka miesięcy. Chrome dzięki działaniom Google nie miał w historii dostępnego exploita który umożliwiałby zdalne wykonanie kodu. Amen.
Ktoś zawsze patrzy
System operacyjny
Dlaczego Windows? Dlaczego nie Linux? Uważam, że Windows, szczególnie wersja 10, której instalację rozważam, to nie jest ten sam Windows który był obiektem żartów przez tyle lat. Microsoft dokonał niesamowitych postępów i dzisiaj Windows jest bardzo bezpieczny (i mówię o bezpieczeństwie, nie o prywatności, choć doniesienia o naruszaniu prywatności przez Windows 10 ciągle czekają na dowody rzeczowe). Oczywiście to wrażenie psuje użytkownik, który klika w linki bez opamiętania, ale ja nie klikam. Windows daje poziom bezpieczeństwa porównywalny z każdym innym dojrzałym systemem operacyjnym. Błędy są szybko łatane, system automatycznych aktualizacji wygodny, nie widzę powodu, by z niego nie korzystać.
Hobbystycznie czasem uruchamiam sobie wirtualkę na której zmienia się od czasu do czasu wersja Linuksa – aktualnie oglądam Minta. Popracuję z nim kilka godzin w czasie których np. uda mi się ustawić pobieranie polskich napisów do filmów pod prawym przyciskiem myszy a potem wracam do Windowsa, gdzie zajmuje mi to 30 sekund. Z rozwiązań linuksowych korzystam głównie zdalnie – kilka serwerów pomaga ogarniać jakieś analizy, przetwarzanie plików, zbieranie danych – może nie jestem mistrzem awka ale uniksowe narzędzia do obróbki danych tekstowych są niezastąpione.
Telefony komórkowe
Jeden z komentatorów twierdzi że śmiesznie brzmi brak zabezpieczeń przed fałszywymi BTSami przy jednoczesnym zabieraniu za granicę jednorazowego sprzętu. Nie wszędzie zabrałbym sprzęt jednorazowy – na większość swoich wyjazdów zabieram sprzęt używany codziennie. Fałszywych BTSów się nie obawiam ponieważ nie sądzę, by ktokolwiek posiadający taki sprzęt i odpowiedni personel próbował atakować mój telefon. Co więcej, nawet gdyby go podsłuchał, to i tak znakomita większość informacji przesyłana jest kanałami zaszyfrowanymi a skoro korzystam z Signala to mogą podsłuchiwać do upadłego. Zatem nie boję się fałszywych BTSów.
Czy zrootowałem telefon? Nie, do tej pory nie miałem takiej potrzeby (chociaż jakiś AdBlock kusi).
WiFi
Dlaczego nie RADIUS? Bardzo się cieszę, że padło to pytanie, bo to właśnie klasyczny objaw przekombinowania w dziedzinie bezpieczeństwa. Jak szybko można łamać WPA2? Załóżmy że ktoś znalazł mój adres, zaczaił się z komputerem i anteną i przechwycił odpowiednie pakiety z mojej sieci WiFi. Sensowna karta graficzna może osiągnąć 500 tysięcy prób hasła na sekundę. Niech atakujący ma 4 takie karty. Podręczny kalkulator mówi, że łamanie w tym tempie 15-znakowego hasła składającego się z małych i dużych liter, cyfr oraz znaków specjalnych zajmie ok. 256208276528740 lat. Oto odpowiedź na pytanie dlaczego WPA2 w zupełności mi wystarczy.
Jeden z komentatorów uważa, że podawanie modeli ruterów naraża mnie na niepotrzebne ryzyko. Nie zgadzam się. Nie jest trudno ustalić mój adres IP – podeślijcie mi ciekawego linka a pewnie kliknę. Teraz znacie także moje modele ruterów. Mogę Wam też podać wersje softu. I co z tym zrobicie? Może jest wśród Czytelników tego wpisu kilka osób, które potrafią znaleźć 0daya w oprogramowanie rutera – ale kto powiedział, że ruter jest dostępny z internetu? Kto powiedział, że mój komputer udostępnia swoje porty prosto do sieci? Naprawdę, jeśli chcecie rysować scenariusze zagrożeń to musicie je doprowadzić do momentu, w którym dochodzi do zagrożenia, a nie tylko wydaje się Wam, że coś jest niebezpieczne.
Czy dd-wrt nie jest za stary? Nie sądzę, wiek systemu nie ma dla mnie znaczenia tak długo jak błędy są usuwane w kolejnych wersjach. Błędy? Jakie błędy? :)
Dlaczego nie boję się NSA
W moim modelu zagrożeń nie ma miejsca dla NSA, GRU czy służb Izraela lub Chin. Po pierwsze nie uważam się za osobę która dysponuje wiedzą interesującą dla obcych wywiadów. Prowadzę niszowego bloga w niszowym kraju i nie posiadam żadnej tajemnej wiedzy ani umiejętności. Nie sądzę, by obce wywiady w ogóle wiedziały o moim istnieniu a już na pewno nie będą na mnie marnować swoich 0dayów.
Drugim powodem jest fakt, że jeśli Twoim wrogiem jest NSA, to powinieneś wyłączyć komputer, zjeść dysk twardy i udać się w Bieszczady bo żadne szyfrowanie ani brak konta na Facebooku nie uchroni Cię przed implantem w kablu monitora lub dodatkowymi linijkami kodu w oprogramowaniu sterownika klawiatury, którego nawet nie potrafisz zgrać do pliku, o jego analizie nie wspominając. Jeśli ktoś myśli, że się przed NSA zabezpieczy i nie jest Joanną Rutkowską to tkwi w błędzie.
Na mojej liście wrogów nie ma również Google czy Microsoftu – bez wahania oddaję w ich ręce sporą część swojego bezpieczeństwa, ponieważ nie widzę żadnych dowodów na to, by mieli stanowić dla niego zagrożenie. Nikt tak nie obroni serwera poczty jak zespół ekspertów Google a nie sądzę, by czytanie poczty użytkowników było popularną rozrywką wśród Googlersów. To samo dotyczy Androida – jego najnowsza wersja ma porównywalny poziom bezpieczeństwa z iOS i nie widzę powodu, by z niego rezygnować.
Pytania pozostałe
Czy bezpieczne jest korzystanie z darmowego VPNa w otwartych sieciach WiFi? A co to znaczy „bezpieczne”? Kogo się obawiasz, co i przed czym chcesz się chronić? Zacznij od odpowiedzi na te pytania, dalej będzie z górki. I tak, szyfrowanie ruchu nawet darmowym VPNem jest lepsze od nieszyfrowania, choć jego „darmowość” może sprawiać, że przenosisz ryzyko gdzie indziej.
Czy nie boję się zostawiać laptopa w sejfach hotelowych? Gdzieś zostawiać czasem trzeba, do morza go nie zabiorę. Sejfy da się otworzyć, ale nie zrobi tego tani złodziejaszek a nie słyszałem by obsługa kradła laptopy z sejfów.
Podsumowanie
Chyba odpowiedziałem na wszystkie pytania które pojawiły się pod ostatnim tekstem. Dziękuję wszystkim, którzy je zadawali. Mam nadzieję, że choć kilka osób spojrzało inaczej na swoje reguły bezpieczeństwa, kilka haseł uległo wydłużeniu, aplikacje zostały aktualizowane a stosowane poziomy zabezpieczeń zostały dopasowane do rzeczywistych zagrożeń. Na ewentualne przyszłe pytania będę odpowiadał tradycyjnie w komentarzach.
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Moja spowiedź bezpieczeństwa 2023 – wersja tekstowa
- Moja spowiedź bezpieczeństwa AD 2023, czyli z czego i dlaczego korzystam i za co płacę
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
No to jedziemy ;)
skąd ta niechęć do Firefoxa? Przecież można sobie spokojnie sandboxować przeglądarkę systemowo albo zapiąć ją w SELinux-a lub AppArmor-a. Choć pewnie w większości wypadków wystarczy spokojnie no-script i requestpolicy..
pozdrawiam
Właśnie tak to robię. Sandboxie na Windows. Można pięknie ustawić opróżnianie po użyciu. Tylko trzeba co jakiś czas otworzyć bez sandboxa żeby zaktualizować FF no i pełną konfigurację (dodatki) wykonujemy bez sandboxa. Synchronizacja zakładek pozwala nam być na bieżąco nawet w sandboxie ;) A dodatkowo sandboxować można też aplikacje do których mamy wątpliwości albo (to fajna funkcja) chcemy przetestować działanie i po sprawdzeniu 5 z kolei trafiamy na tą co robi to co chcemy (a rejestr puchnie). A tu ciach opróżniamy piaskownicę i śmieci poszły precz ;)
Trochę tracimy na wygodzie ale niestety wygodabezpieczeństwo to dwie różne szale wagi i nie chodzi tu o NSA ;) tylko o jakieś 0-wirusy co podmieniają konta bankowe.
Z tego, co się orientuję, to 0day dotyczył paskudztwa zwanego pdf.js, czyli wbudowanego czytnika PDF. Ten czytnik jest taki „świetny”, że można otwierając porządnie spakowany dokument doprowadzić do swapowania, i to takiego, że system zapomina o aktualizacji pozycji kursora (SumatraPDF to przy tym program wysoce wydajny i zużywający malutko pamięci). Jest to jedna z wielu, wielu rzeczy, które po zainstalowaniu FF wyłączam. W zasadzie jedyną bolączką „Chruma”/Chromium są słabsze możliwości dostosowywania.
a VeraCrypt?
Chyba jest ok, ale nie korzystam.
Vera crypt ma jedną wadę: nie szyfruje dysku systemowego (Windows) jeśli nie jest to partycja MBR. Niestety nie wiem czym sensownym da się to zastąpić.
BitLocker, chociaż nie wszystkim może odpowiadać.
Czesc..
1. Której wersji truecrypta używasz? ostatniej „prawilnej” czy tej kombinowanej
2. KeePass można używać w jednej bazie na ios i pc ? (tablet, alfon, chrome)
1. Ostatniej działającej. 2. Można nawet mieć ten sam plik na dwóch urządzeniach otwarty, dobrze się synchronizuje.
Może się mylę ale z tego co napisałeś nie używasz VPNa w życiu codziennym. Nawiązując do nowej ustawy dotyczącej inwigilacji przez policję nie obawiasz się podsłuchów?
O „inwigilacji” może jeszcze kiedyś napiszę. Nowelizacja ustawy niczego w kwestii podsłuchów nie zmieniła. Służby w Polsce praktycznie nie podsłuchują internetu.
Teraz pewnie zaczną bo mogą ;)
Skąd wiadomo, że polskie służby nie podsłuchują internetu? Na chłopski rozum też mi się tak wydaje, ale raczej nie ma żadnych wiarygodnych źródeł, które mogłyby to potwierdzić.
Może kiedyś o tym napiszę bo to ciekawy temat. Podsłuchiwanie internetu jest skomplikowane technicznie i wymaga bardzo dużych zasobów ludzkich i techniki. Nie każdy kraj na to stać.
„Podsłuchiwanie internetu jest skomplikowane technicznie i wymaga bardzo dużych zasobów ludzkich i techniki. Nie każdy kraj na to stać”. To stwierdzenie jest częściowo prawdziwe, częściowo fałszywe. Prawdziwe jest, jeśli rozważamy globalną prewencyjną inwigilację całego „polskiego internetu” – takie coś, owszem, byłoby drogie i skomplikowane. Ale inwigilacja pojedynczej osoby, na którą chcemy coś zebrać może być względnie tania (zależy na jakim poziomie chcielibyśmy się na tę osobę zasadzić). Problem oczywiście lawinowo narasta w momencie zwiększania skali, bo nie jest dużym technicznym problemem nakłonienie operatora do udostępnienia np. kopii ruchu danego użytkownika. Problemem zaczyna być odebranie tego ruchu i jego analiza. Ale – ponownie – przy małej skali nie jest to takie skomplikowane i drogie.
Dla polskich służb jest. Telefon – OK. Internet – masakra. Zresztą, zrób sobie tcpdumpa z całego dnia swojego korzystania z internetu i poddaj analizie. Ile stracisz czasu? Miesiąc? A do tego te wszystkie SSLe, tyle roboty…
I znowu – nie do końca się zgodzę ;-)
A poważnie – jeśli chodzi o dokładne monitorowanie czyjejś aktywności (na przykład w poszukiwaniu konkretnej rzeczy, która może się pojawić w jakimkolwiek kanale komunikacyjnym) – rzeczywiście analiza jest upierdliwa. Ale jeśli robimy to bardziej pod kątem „posłuchamy ruchu pana X, a może wyłapiemy cokolwiek, żeby mieć 'haka'”, to już prościej, bo patrzysz tylko w to, co łatwo wygrzebujesz z ruchu.
Tylko że podsłuch zakłada się podejrzanemu w konkretnej sprawie i zbiera się materiał z tą sprawą związany.
Od tego trzeb zacząć, że inwigilacja została przerzucona na barki korporacji informatyczno-telekomunikacyjnych i służby z nimi żyją w symbiozie. I na każde zawołanie służb państwowych wszystkie dane lądują na biurku śledczych.
To nie jest tak pomyślane od wczoraj, ale istnieje przynajmniej od kilkudziesięciu lat i jest rozwiazaniem systemowym. Przede wszystkim chodziło o koszty i dlatego zdecydowano się na taki pomysł.
Jak widać współpraca rozwija się dobrze, bo jakiś czas temu polskie służby już mogą nawet dostawać zwrot kosztów obsługi przygotowania raportów inwigilacyjnych. Na Zachodzie to jest już naturalne i korporacje rok w rok dostają zwrot kosztów idące w dziesiątki mln dolarów.
Teraz rozważmy czy polskie służby mogą starać się o dane Polaków. Tak, nie nastręcza to żadnych problemów. A świadczy o tym ilość wniosków które rozpatrzył pozytywnie M$, ktore zostały wniesione przez polskie służby. Te 20-30 procent odrzuceń może wynikać z tego, że w USA wolność słowa pozwala na o wiele więcej niż w PL.
No i na koniec, bez takiej ścisłej wspołpracy korpów z sektora IT ze służbami, nie byłoby ich wielkości. Popatrzeć choćby na pana Wyrocznię i jego współpracę z CIA. Są jeszcze inne przykłady, choćby wiele osób ze służb zasiadających „na emeryturze” we wspomnianych spółkach. Bo to są kluczowe społki dla kraju i są pod ochroną wiadomych osób.
Dlatego Polska nie musi nic zbierać, świetna wspołpraca miedzynarodowych służb zwalnia ich z tego trudnego kawałka informatyczne chlebka ;)
*W akapicie „Jak widać współpraca” chodzi o polskie firmy – nie służby.
No właśnie cały cymes polega na tym, że obecnie zupełnie legalnie służby mogą żądać danych w celu „wykrywania i zapobiegania” przestępstwom, bez dodatkowych wymogów, na ile dobrze widzę w noweli.
Ależ ten przepis brzmiał do tej pory identycznie.
Tak, ale bez nowelizacji utraciłby moc z dn. 7.02.2016 na podstawie wyroku TK. (mówię o art. 20c). Nowelizacja ponownie wprowadza ten przepis.
Kolejna osoba, która wypowiada się jakby znała sprawę od podszewki. Jeśli wierzysz w dobre intencje służb i polityków to już poległeś.
Ustawa daje takie rzeczy jak: zwykly posterunkowy z komendy KP w Kaliszu lub Ożarowie, nie lubi cię. To bez problemu bo obecnie nie musi mieć zgody sądu i innych instytucji by wyciągnąć od razu bez żadnych opłat twoje bilingi od operatora i od dostawcy netu. I również jeśli ci to nie przeszkadza to ok. Te dowody, które zbiera również wedlug nowej ustawy będą stanowily prawidlowo zdobyty dowod w sprawie przeciwko tobie.
Dziękuję.
Mówisz o rzeczach o których nie masz pojęcia. Na przykład posterunkowy nie ma uprawnień do pozyskiwania danych retencyjnych. Od dostawcy internetu nie dostanie spisu połączeń. Poczytaj ustawy i rozporządzenia.
„policjantowi wskazanemu w pisemnym wniosku Komendanta Głównego Policji, Komendanta CBŚP, komendanta
wojewódzkiego Policji _albo osoby przez nich upoważnionej_” (podkreślenie moje).
Aczkolwiek zaraz zejdziemy na tematy polityczne, których tu na forum, moim zdaniem, nie potrzebujemy, więc proponuję na tym zakończyć.
Znajdź posterunkowego z upoważnieniem a odszczekam :)
Adam, ustawy swoje, życie swoje. U mnie w rodzinie sporo osób pracuje/pracowało w policji i obraz z opowieści nie za ciekawy się z tego wyłania. Poza tym b. często słyszy się o nadużyciach oraz patologiach w służbach..
„Znajdź posterunkowego z upoważnieniem a odszczekam :)”
Chyba naprawdę nie chcesz przyjąć do wiadomości, że świat nie jest taki piękny jak się wydaje ;)
Nagminną praktyką w PL jest, że pozwolenia na inwigilację podczepia sie pod inne sprawy, które taki wniosek już otrzymały. Dlatego bogu ducha winny bedzie miał kartotekę w sprawie np. mafii paliowej. Takich przykładów jeșt dużo i wielu policjantów, Panoptykon i in. na ten temat się wypowiadało. Poszukaj i zobaczysz możliwe obejścia ustaw..
Znam realia udostępniania danych przez operatorów telekomunikacyjnych i mam na ten temat swoje zdanie.
Trochę na ciśnieniu ten art Adamie :D
„Prowadzę niszowego bloga w niszowym kraju i nie posiadam żadnej tajemnej wiedzy ani umiejętności.”
I do tego jesteś skromny :)
Skromność ważna cecha :D
dobra, teraz serio unsub
WU wcale nie jest wygodny i bezawaryjny. Po grubszych aktualizacjach lubi się wysypać i często trzeba aktualizować system partiami. Często potrafi aktualizować cały dzień, a pobieranie aktualizacji ślimaczy się niemiłosiernie. W Linuksie jest to zrobione bez porównania lepiej.
Guglersi może nie czytają. Ale znajomi rozwijający Gmail już mogą. Spotkałem się na własnej skórze z czymś podobnym, że znajomy przesłał mi wiadomość na mojego maila, a którego nie mógł znać. Wspomnieć należy, że pracuje w Google w Stanach :)
Co sadzisz o Lastpass? Keepas mnie odstrasza swoim topornym softem na urzadzenia mobilne – nie ma tak naprawde oficjalnej aplikacji od nich :( na OS X to juz w ogole dziala jak mu sie podoba.
Nie używam, nie mam opinii.
Na OSX, iOS i Android jest 1Password (jest też klient na WIndowsa, ale ZTCW to słabo działa).
Używasz jakiegoś narzędzia do backupu gmaila?
A zapomniałem napisać. Thunderbirda.
Istnieje takie coś jak gmvault, ale chyba ostatnio przestało się rozwijać :(
Oficjalna wersja ma jeden błąd związany z uwierzytelnianiem, z którym nie loguje się poprawnie na konta z użyciem tokena. Jeśli umiesz sobie ten błąd poprawić to działa fajnie, mam w cronie taki backup też ustawiony, nie narzekam :)
„Niszowy kraj”. Fajne. Naprawdę dobre?
„Chrome dzięki działaniom Google nie miał w historii dostępnego exploita który umożliwiałby zdalne wykonanie kodu. Amen.”
To bardzo ciekawe co mówisz i chyba dość nie precyzyjne bo trzeba by zapytać chyba „dostępnego dla kogo ?”
Jeżeli uważasz że sandboxing to sedno sprawy to jesteśmy w kropce, sądzę że na poziom bezpieczeństwa danego rozwiązania jak zwykle składa się cały szereg mniej i bardziej medialnych elementów
Faktycznie ff nie ma sandboxa ale np ma dedykowany menadżer pamięci a dziś wszytko prawie związane jest z pamięcią dynamiczną (kwestia wykorzystywanej technoligi np CPP ma stringi / C nie miał), w związku z czym eksploitacjia całej masy błędów w FF wymaga głębokiej znajomości owego menadżera są jeszcze takie detale jak np to że od jakiegoś czasu FF jest dostępny w 64bitowej wersji dla kontrastu taby w IE nadal są 32 bitowe, etc
Podsumowując ff ma problemy z sandobingiem i również na przykład z izolacją wszelkich rozszerzeń (w chrome z tego co wiem tego nie ma [nie używam]), IE również ma SandBoxing, itp nie zmienia to faktu że chyba nadal w szeregu exploit-kitów
najczęściej atakuje się Flash-a/jave i IE
Nie widziałem od szeregu lat dostępnego exploita na FF (od czasu ataków FBI na TOR-a ?) i sądzę że ma to związek z menadżerem pamięci – populizm/demagogia
Można by długo dyskutować chociaż sądzę że to bez sensu dopóki nie jesteśmy wstanie udowodnić stawianych tez – aw ja nadal używam firefoxa
Proszę: wykres modułów metasploita https://mobile.twitter.com/explanoit/status/693644539794292736
Proszę: https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
Bardzo ładnie ale to jest błąd – powiedziałbym semantyczny
dlatego tak ważne są mitygacje na nieco innym poziomie niż separacja procesów, ochrona pamięci i dlatego wspomniałem mn. o separacji rozszerzeń (nie pluginów)
Co do wykresów to sądzę że są równie wiarygodne jak (w pewnym sensie) CVE albo posty na bugzillach tzn. Poc to nie Exploit
Ok, rozumiem, NSA nie jest Tobą zainteresowane, ale dlaczego interesuje się miliardami ludzi zbierając ich zdjęcia z sieci społecznościowych? Dlaczego interesuje się wszystkimi, których metadane jest w stanie zebrać? Bez wątpienia, są zainteresowani posiadaniem takich baz danych, abyś przechodząc przed jakąś publiczną kamerą dał się zidentyfikować. I tutaj wchodzi pytanie „i co z tego?”.
Z jednej strony Twoje zachowania służą do modelowania zachowań podejrzanych. Jesteś szumem na którym widać `podejrzanych`.
Z drugiej strony rząd ma świadomość tego gdzie jesteś i co robisz. I o ile raczej nie zdradzi tego dla jakiś łatwych wygranych, ale może dojść do wniosków w stylu: za często jeździsz za granicę, pewnie coś szmuglujesz, za często się kręcisz przy przedszkolach, a nie masz dzieci, pewnie pedofil.
Gorzej jak jakiś black box powie „podejrzany” na podstawie metadanych i będziesz szczegółowo sprawdzany przed każdym lotem i nie będziesz się mógł nawet dowiedzieć dlaczego.
Oczywiście, część tych tematów dotyczy USA i ich obywateli. Póki co nic nie wiemy o aspiracjach polaków (jedynie skanowanie kopert jest faktem).
Oczywiście, przed wieloma z tych zagrożeń nie da się ochronić samodzielnie. Brak zdjęcia na FB nie wiele da, jeśli potem wysyłamy CV do firmy, która pocztę trzyma w Google. NSA ma Twoje zdjęcie i życiorys. Do tego, przecież nam zależy na tym, aby nasze nazwiska itp. były markami, żeby nasza twarz była rozpoznawalna na konferencjach, w mediach, przez ludzi z branży.
Tak więc jest konflikt: niech moje zdjęcie będzie w Internecie dla każdego zainteresowanego, żeby mógł mnie rozpoznać, skontaktować się, żeby mógł się upewnić z kim rozmawiał, itp., ale niech nikt nie zbierze tych wszystkich zdjęć, nie zrobi z tego łatwego do przeszukania, otagowanego, zbioru danych, niech nie łączy tego z innymi źródłami danych, niech nie modeluje, analizuje, niech nie wykorzystuje wniosków, itp. Niestety, jeśli nie rządy, to zrobią to firmy reklamowe. Dlatego możliwe, że nie jesteśmy w stanie tego uniknąć.
Osobiście preferowałbym jasne zasady zbierania danych i jasne procedury dostępu do nich i ich wykorzystania. Te bazy już istnieją w wielu państwach, powstają kolejne i będą powstawać.
I jak trafnie zauważyłeś, nie interesują się Tobą. To czy będziesz w ich bazach czy nie pewnie niewiele zmienia dla Ciebie, ale jeśli z jakiegoś powodu staniesz się interesujący, to będziesz miał bardzo ciężko.
Odnośnie zdjęcia, to właściwie to nie jest konflikt. Jeśli ktoś zaczyna dbać o to, aby być postacią medialną, to fakt, że będzie miał zdjęcie w bazach praktycznie nic już nie zmieni. Natomiast dla firm reklamowych najprzydatniejsze jest nazwisko i imię skojarzone z adresem (przynajmniej e-mail). I to jest już problem (może nie dla większości czytelników z3s, ale napewno dla większości społeczeństwa), bo firmy reklamowe, to pół biedy, ale takie coś ułatwia phishing. Tyle… że to z inwigilacją przez Państwo ma niewiele wspólnego. Olbrzymia większość Ludzi sama podaje te dane, to tu, to tam… Najłatwiej mają chyba takie osoby, jak moja niemal 90-letnia babcia. Nabrała by się pewnie na każdy internetowy pshishing, ale.. się nie nabierze, bo nigdy nie korzystała i nadal nie korzysta z komputera. ;-)
A pytanie takie, przeglądarka portable wrzucana do ram disku ?
i
VPN privatoria, dobrze opisane manuale wygodne platnosci nawet rachunek w Zabce jest mozliwy. Do tego klient poczty i kilka innych dodatkow. Prosze o opinie
Google Chrome uruchamiane pod kontrolą dodatkowej piaskownicy (w moim przypadku sandboxie), która swój magazyn ma w 1GB partycji znajdującej się w pamięcie RAM, czyli typowym RAMdysku. Automatyczne oczyszczanie piaskownicy po zamknieciu ostatniego programu w niej działającym.
Dzieki podwójnemu sandboxowaniu (wewnetrzny chrome i sandboxie jako wrapper procesów chrome), jest bezpieczniej pod kątem RCE. Sam fakt uzywania RAMdysku wyłącznie wydajnościowy – przegladarka całkowicie przerzucona do RAMu dziala szybciej, a czyszczenie takiej piaskownicy jest natychmiastowe i nie trzeba się bawić w wielokrotne nadpisywanie magazynu sandboxie, bo przeciez to pamięc RAM a nie trwały nosnik danych.
To jest zaje-fajny felieton Panie Adamie. Juz lece po kolejna paczke chipsow bo sie zapowiada na wiecej. Swoja droga… czytajac te Wasze komentarze dochodze do wniosku, ze Tu – w Irlandii – 90% spoleczenstwa nie dba o tzw. IT Security – swoje oraz pracodawcy! Bardzo mnie cieszy poziom „swiadomosci” Polskiego spoleczenstwa. Mial bym swojego Irlandzkiego Bloga, to sam bym zadal swoim userom takie pytania…
PS. going to register my own Blog now ;-)
PPS. Haters gonna hate! Keep it going.
Witajcie, kompletnie nie wiem, gdzie z tym uderzyć (jakieś forum?), wiec napiszę tu, przy okazji drugiej części spowiedzi.
Mam potrzebę zabezpieczenia danych na pięciu komputerach działających na windows 10 (niestety, z przyczyn ode mnie niezależnych NIE do zmiany), z UEFI i strukturą danych w formacie GPT. Cele:
1. Zaszyfrowanie partycji systemowej TrueCrypt, Veracrypt lub Diskcryptor, żeby hasło było wymagane przed startem systemu (podświadomie, być może niesłusznie sądzę, że „zwykłe windowsowskie” hasło stanowi liche zabezpieczenie?). Tu jest mały problem: mimo, iż zmieniłem strukturę danych dysku z GPT na MBR (programem AIMEI), to żaden z powyższych programów nie chce zacząć szyfrować partycji systemowej.
2. Zaszyfrować jedną partycję na której będzie działał spider oak i tresorit i oba te programy będą „normalnie” synchronizowały pliki między poszczególnymi komputerami (oczywiście po zamontowaniu zaszyfrowanej partycji).
3. Możecie doradzić, jak zrobić powyższe, albo chociaż gdzie szukać? Ewentualnie jaka firma by to ogarnęła?
PS.Nie chodzi o zabezpieczenia przed NSA:)
NordVPN poleca ktoś,używa? Jaki VPN będzie najlepszy z płatnych dostępnych spoza UE/USA? Adamie jaki Ty polecasz ?
z płatnych jest dobry i tani FrootVPN – szwedzka firma, mozna płacic bitcoinami i obsługuje torrenty
Równie dobrze można by powiedzieć że to nie kwestia publicznych exksploitów (heh) ale że nie zostały wykryte ataki przy użyciu chrome a żeby być bardziej „rzetelnym” powołać się na atak chińczyków na google – no bo jak firma produkująca najbezpieczniejszą przeglądarkę mogła dać zhakować się jakimś chińczykom ?
To jest właśnie TO, co uważam za coś co nie ma nic wspólnego z bezpieczeństwem bo rolą ludzi od bezp. nie jest terror, straszenie ludzi, oferowanie spełnienia marzeń a redukcja zagrożeń
Do końca to co pan Adam pisze to też nie jest prawdą. Służby się niestety ale panem się interesują skoro pan korzysta z Tora.
Kolejny mit pokutujący w społeczeństwie.
Mit?
Jeśli mit, to częściowo wykreowany przez z3s. Choć to prawda, samo korzystanie z Tora nie było tam wystarczającym warunkiem, dodatkowo trzeba chyba jeszcze było albo odwiedzić stronę projektu, albo dodatkowo wyszukiwać frazy takie, jak truecrypt, linux etc. Nie pamiętam dokładnie tych warunków, które zapamiętałem, ale zapamiętałem wniosek. „Acha, jeśli nigdy nie szukałeś w clearnecie nic na ten temat, to nawet jeśli używasz, to twój ip trafił na listę tych bardziej szczegółowo analizowanych (chyba, że zrobiłeś z siebie węzeł)”.
Tyle, że Adam napisał, że on nie przejmuje się zainteresowaniem przez NSA.
Nie do końca się zgodzę. Zawodowo na wniosek organów ścigania udostępniam informacje o niektórych zdarzeniach wykreowanych przez ludzi. Loguję tylko tyle ile muszę, ale przy okazji kontaktów z w/w służbami widzę ogromną presję na logowanie większej ilości informacji. Dlaczego? Ano dlatego, że mocno upraszcza im to pracę i umożliwia otrzymanie winnego niemal jak na tacy. Dlatego też w ustawie o inwigilacji widzę duże zagrożenie – jeżeli jest możliwość podsłuchiwania – to dlaczego by z niej prewencyjnie nie korzystać? Już raz próbowano przerzucić na operatorów koszty tego typu działalności – jaki to problem wykreować, zwłaszcza posiadając media potrzebę „narodowego bezpieczeństwa”, „ukrócenia spisku mającego na celu zamach” czy „zadbania o bezpieczeństwo naszych dzieciaczków”?
Widzisz presję – OK, nic dziwnego. A co mówią przepisy? Nie wiem czy jesteś operatorem telekomunikacyjnym, ale w ich wypadku wiadomo co trzeba i nikt nie robi więcej – choć służb życzenia oczywiście mają inny zakres. Ale pozostają życzeniami.
A nowelizację ustawy o policji przeczytaj i podkreśl różnice w stosunku do istniejącej – wiele nie będzie roboty :)
Rejestrowanie faktu połączenia, a rejestrowanie zawartości pakietów to jednak bardzo duża zmiana ;). Jak sam pisałeś – niech sobie ktoś zaloguje jedną dobę zrzutu z tcpdumpa.
A gdzie masz taką zmianę?
i to do tego stopnia że się wycofali z kraju X ? WTF
Jeżeli jest to mit to po co pan wchodzi do Tora. Przeciętny obywatel nie ma co szukać w Torze.
Bo piszę artykuły o Torze.
To nie jest dobre tłumaczenie panie Adamie. Wszyscy o torze mogą pisać.
Niech piszą!
Nie znalazłem odpowiedzi na swoje pytanie, więc się powtórzę.
PYTANIE: W jaki sposób weryfikujesz, czy nie dograł się (sam lub z czyjąś pomocą) jakiś nieznany jeszcze przez antywirusy malware na komputer z Windowsem?
Nie chodzi mi o antywirusa. Chodzi mi o wykrywanie nieznanego jeszcze parszywego malware włącznie z rootkitami pisanymi specjalnie na ten jeden komputer.
Umknęło mi. Nie weryfikuję, to praktycznie niemożliwe. Tak samo w biosie czy firmware. Staram się raczej zapobiegać instalacji ale jak ktoś się uweźmie to nie mam szans.
Korzystając z systemu Linux można wykorzystać narzędzia do detekcji modyfikacji plików. Automatyzując rozwiązanie otrzymamy powiadomienie w przypadku wykrycia podejrzanych zmian. Oczywiście nie ochroni to przed wszystkimi przypadkami, może też skutkować pewną ilością false-positive.
https://avlab.pl/loki-skaner-do-wykrywania-rzadowych-trojanow-przeskanuj-swoj-system-operacyjny
Dziękuję za odpowiedzi. LOKI znam, generuje masę false-positives, ale ma kilka unikalnych funkcji wykrywania.
Bardziej mnie interesowało coś na wzór starych antywirusów generujących sumy kontrolne plików/sektorów i jakoś zgrabnie je analizujące, ale wiem, że to może być po prostu trudne przy dzisiejszych systemach.
Istnieje metoda weryfikacji w pewnym stopniu. Związana jest ona z porównywaniem obrazów. Ale… to bardzo trudne zadanie, przecież są aktualizacje. Czyli i tak opiera się na założeniu, że niepożądany gość nie dostał się w czasie robienia aktualizacji.
Super, że tak szybko pojawiło się rozwiniecie, dzięki :)
Firefox ma już sandboksa, a przynajmniej spory kawałek i na większości platform. https://wiki.mozilla.org/Sandbox Niestety mam za małą wiedzę, żeby ocenić stopień zaawansowania prac i ochrony. Dlatego ze względów bezpieczeństwa jestem za używaniem Chrome.
Co do NSA, to być może każdy przez przypadek może wyskoczyć w jakimś automatycznym klasyfikowaniu jako ktoś interesujący, ale chyba wszyscy odpadniemy w następnym etapie (na przykład kolejnym automatycznym sprawdzeniu treści, które przesyła). Jednak większość z nas czuje się tak istotna dla świata, że mogła by być wybrany do inwigilowania z 7 mld ludzi. Tak, już widzę, jak po piętrach w NSA krąży notatka, że żona przez komunikator poprosiła mnie o kupno ryżu po pracy (czy to jakiś kod? Co oni knują?). Albo w polskich służbach: tak, napisał dobrze o PiS/PO/Nowoczesnej, do tego lubi piwo, pizzę i kebab, na 100% spiskuje.
Dd-wrt uznałem za stary, bo na mój router nie znalazłem dawno temu aktualizacji, a potem sprzęt padł i już nie sprawdzałem pózniej. Dzięki za wyjaśnienie. :)
Wydaje mi się, że niektórzy mieli dużo watpliwości pod pierwszym artykułem, bo za mało uwagi poświęcili wstępowi i zakończeniu, gdzie jest wyraźnie wskazana życiowa analiza ryzyka :)
Odnośnie prywatności w Internecie – póki co Adamie nie obawiasz się swojej prywatności i nie interesują Cię zbierane dane o Tobie. To jest stan na dzień dzisiejszy – NSA i inne służby zbierają dane aby w przyszłości gdy Twoje poglądy się zmienią łatwiej Cię zidentyfikować. Pewnie część zachowań zmienisz wiedząc, że służby mogą Cię złapać ale wciąż jeden ślad może być dla nich strzałem w 10.
PS. Ja o swoją prywatność nie dbam za bardzo.
PPS. Świetne dwa artykuły!
Adblocka można swobodnie używać na niezrootowanym Androidzie, trzeba tylko pobrać apkę i przekierować cały ruch sieci wifi (niestety, dla każdej osobno) na 127.0.0.1 port 2020.Trik działa tylko via wifi.
Zapomniałem dodać, że apkę ze strony www a nie ze sklepu googla :)
Auć.
a ja chciałbym się zapytać o chmurę. pisałeś że używasz google drive, ale z jakiegoś konkretnego powodu czy po prostu przy okazji posiadania konta na gmail’u? jest jakaś różnica między google drive, one drive a dropbox’em? pomijając kwestie pojemności.
A jeżeli jesteśmy już przy bezpieczeństwie, systemach, przeglądarkach to IMHO należy też zwrócić większą uwagę na prywatność.
Błędnym jest twierdzenie, że skoro nie robię nic nielegalnego to nie mam się co obawiać. Dane o nas są zbierane przez wiele nazwijmy to organizacji do różnych celów. Mogą to być cele czysto biznesowe (reklamy, targetowanie etc), statystyczne czy też szeroko pojętego bezpieczeństwa (wykrywanie nietuzinkowych zachowań). Niestety to jak zostaną wykorzystane nie zależy od nas.
Nawet nie chodzi tu tylko o same narzędzia, ale też o sposób poruszania się w sieci, zachowań itd. Mając 15 wrzucasz śmieszne filmiki na YT, piszesz nie do końca wyważone komentarze w serwisach społecznościowych itd. 5-7 lat później szukając pracy możesz się przez nie gdzieś nie dostać. 10 lat później startując na wójta gminy ktoś może wyciągnąć jeden komentarz/zdjęcie/filmik i pogrzebać twoją karierę.
Nie da się też uniknąć przeplatania się sposobu zachowań z narzędziami. Chcąc dobrze chronić swoją prywatność nie da się bez nich obejść. Zamieszczając komentarz możesz świadomie podać nieprawdziwe dane, specjalny mail, ale potrzebujesz narzędzi żeby ukryć swój domowy IP, dane o systemie/przeglądarce (Browser Fingerprint) itd.
Na koniec polecam zapoznanie się z https://www.privacytools.io/
„Sejfy da się otworzyć, ale nie zrobi tego tani złodziejaszek (…)” zrobi :) Sam miałem przypadek, gdy żona blokując sejf hotelowy źle wpisała hasło i nie mogła go otworzyć… (Nie)stety zazwyczaj tanie sejfy w hotelach można można otworzyć trybem serwisowym. Na szczęście udało mi się go otworzyć w ten sposób.
Swoją drogą pisał też kiedyś o tym N.
Nie mniej jednak obsługa hotelu zazwyczaj o tym nawet nie wie…
Podoba mi się, że umiesz znaleźć złoty środek i nie popadasz w paranoję. Wkurza mnie, że oczekuje się od ludzi z działki bezpieczeństwa zachowań skrajnych typu telefon z własnym softem, monitorowaniem btsów, VPNami, szyfrowaniem rozmów, itd.
Jak mogę osiągnąć level Joanny Rutkowskiej?
dlaczego nie avast? nie chodzi o ewentualne luki bezpieczeństwa, a o głupoty, które wyczynia
chętniej usuwa własne pliki niż realne zagrożenia
dlaczego jednak firefox? nie jestem paranoikiem, wyżej cenię sobie wygodę, niż sandboksa (który i tak przydaje się raczej na niespecjalnie zaufanych stronach, choć oczywiście może się zdarzyć włam czy trefna reklama w każdym miejscu), flaszki odpalam on demand, najbardziej mnie boli niska wydajność spidermonkey, ale wciąż chrome czy chropera zapewniaja mi znacznie mniejsze możliwości
Dokładnie, Avast to tylko program podszywający się pod antyvirusa.
Ja boleśnie tego doświadczyłem parę lat temu, a obecnie widzę co się dzieje z komputerami klientów którzy używają Avasta. Na jednym po wywaleniu go, i wgraniu Aviry, myślałem że się Avira podpali, odnośnie ilości wyłapywanych wirusów.
Z artykułu:
Warto też zaznaczyć, że Gmail jest idealnym narzędziem do walki z malware (i przy okazji spamem) – przez 4 lata zbierania próbek jeszcze mi się nie zdarzyło, by jakiś złośliwy program Gmail przeoczył.
Moja część:
Gmail w ogóle mało przepuszcza rodzajów plików. Nie przepuszcza jakichkolwiek exe. Nie przepuszcza .rar w formacie piątym. .rar w formacie czwartym tylko, jeśli nie zawierają zakazanych rodzajów plików i nie są zaszyfrowane.
Nie przepuszcza wielu innych formatów plików.
Jak kiedyś pomagałem na studiach napisać koledze pewien program, to te ograniczenia mocno dawały się we znaki.
Trochę głupio będzie, ale napiszę.
Problem z myśleniem o bezpieczeństwie jest taki, że np. gdyby pojawił się Snowden^2 (do kwadratu) i załóżmy prześle m.in. do Zaufanej Trzeciej Strony informacje z dowodami o tym, że np. USA zbiera wrażliwe dane medyczne o naszych dzieciach/ludziach władzy, nagrania ostatniej rozmowy Kaczyńskich przed lądowaniem w Smoleńsku lub dowód na to, że chemitrails (jak to się pisze???) to prawda… to nie dowiemy się tego od Ciebie.
Służby po prostu wezmą te dane, które mają o Tobie autorze i albo pokasują Ci informację z twoich gmailów/innych skrzynek, albo ją zmienią (jeszcze gorzej – uczynią ją niewiarygodną, że sam ją skasujesz), albo „Ciebie dojadą” będą np. wiedzieć, że kupujesz zabawki dla dzieci, korki analne i dużo lubrykantów przed urlopem w Tajlandii…
Twoje podejście do bezpieczeństwa de facto czyni z bloga Zaufana Trzecia Strona… stronę informacyjno-rozrywkową. Ale dzięki za szczerość.
Janek1
Opisany przez Ciebie ciąg wydarzeń jest bardzo ciekawyale odpowiedz najpierw na kilka pytań.
1. Dlaczego Snowden^2 miałby pisać do mnie a nie do Poitras/Greenewalda?
2. Snowden ^2 chyba będzie korzystał z PGP, jak służby mają odczytać treść jego wiadomości?
3. Co miałbym zrobić by NSA nie mogło włamać się do mojej skrzynki? Myślisz że do Protonmail się nie włamali na samym początku? Albo gdybym postawił swój własny serwer to byłby bezpieczniejszy?
Nie będzie Snowdena^2. Patrząc co zrobili z Snowdenem^1 (jeśli naprawdę jest „bojownikiem o wolność” a nie np. rosyjskim „śpiochem” czy „wrzutką” NSA) czy chociażby z Julianem Assagne i Wikileaks i jak mały impakt ich działania ma na ogół społeczeństwa i zmiany w dobrą stronę, to nie widzę sensu ujawniania takich faktów. O sprawach które Snowden ujawnił pisali już niemieccy dziennikarze w połowie lat ’90 XX wieku i poza zainteresowanymi dla których nie jest to nowość, reszta ma to głęboko w … Tym którym zależy na ukryciu wiedzą o wielu istotnych szczegółach dot. pracy ich „przeciwników” (inaczej zagrożone jest ich działanie), a reszcie to zwisa. Dlatego moim zdaniem da się przepchnąć każdą inwigilację i zmiany, a większość musi się z tym pogodzić i nauczyć z tym żyć. Czasy gdy Ojcowie Założyciele uchwalali konstytucję USA nie wrócą, chociażby z uwagi na rozwój techniki który umożliwia takie a nie inne działanie. A rolą służb jest wykorzystanie najnowszych dostępnych technik do realizacji ustawowych celów. I dopóki nie będzie woli politycznej (a nie ma jej od wielu lat), to nic się nie zmieni.
Większośc danych wrażliwych jest szyfrowanych w sieci, jeśli dbasz o bezpieczeństwo.
Co do chemitrails, to… po ostatnim włamie do NASA i udostępnieniu danch, wiadomo, że są prowadzone badania nad stopniem szkodliwości chemitrails. Były wymienione obok zastosowania dronów do zdalnego sterowania pogodą – tak, NASA to bada, prace są zaawansowane, a komisja Laska stwierdziła, że to bzdury, bo to niemożliwe, by sterować pogodą ;)
Jak to mało jeszcze wiemy :D
Artykuł jest niezły ;)
Pozdrawiam!
Adamie napisałeś bardzo ciekawy i pouczający artykuł. W moim przypadku pomogłeś odpowiedzieć na pytanie Firefox czy Chrome. Sam nie mogłem znaleźć odpowiedzi od dłuższego czasu. Uświadomiłeś że zapamiętywanie haseł w przeglądarkach jest złe. Odwaliłeś kawał roboty z przeanalizowaniem nielimitowanych usłuch cloud. Z mojej strony dziękuję!
To prawda, że przede wszystkim trzeba przeanalizować ryzyko a następnie brać się za zabezpieczenia. W moim przypadku na świat mam wystawiony tylko port ssh i to nie 22. Nim jak potrzebuję zestawiam tunel przez putty i cały ruch z przeglądarki kieruję przez dom. Mam też OpenVPN i to wszystko co widać z zewnątrz. Po ostatnim włamaniu na mój router (krótkie hasło) i nieautoryzowanym udostępnianiu telewizji satelitarnej przeszedłem szybki, bardzo szybki kurs bezpieczeństwa, a ten artykuł odpowiedział na wiele pytań.
Przepraszam że pytam a włamali się na protonmail NSA panie Adamie.
No to czekamy, aż ktoś podniesie rzuconą rękawicę ;-D
Autor uważa FF za gorszego od pozostałych? hahahah
Win lepszy od np. Ubuntu? Pomijasz całkowicie kwestię inwigilacji, piszesz dkładnie tak jak pracownik od MS lub Apple. Używajcie tylko oryginalne, nasze systemy i urządzenia, tylko ne zapewnią bezpieczeństwo. REszta to mydlenie oczu… Tiaaa…
I tak jak potrzebujesz pracować i wyszukać ważnych danych pracuj na google, poza tym zmień na duckdukcgo lub disconnect search i po sprawie.
Nie szyfrujesz swojego smartfona? aha. Zakończmy w takim razie n na tym :).
Służby ci nic nie zrobią bo po takim artykule będą wniebowzięte kolego.
Sio trollu. Niektórymi stwierdzeniami udowadniasz, że nie przeczytałeś artykułów w całości, albo zrobiłeś to bez zrozumienia tekstu. Jeden z przykładów: szyfrowanie smartfona. Sio!
Jeszcze raz zapytam: Co z kartą przedpłaconą w mBanku zamiast kredytowki?
Przy okazji: Z torem jest ten problem, że jednak ktoś tam siedzi i słucha na wezle wyjsciowym – wiec mamy anonimowosc ale nie mamy poufnosci (było bodaj w lekturze na weekend jakies badanie w tym temacie).
Swietny art, i swietny serwis.
„Z torem jest ten problem, że jednak ktoś tam siedzi i słucha na wezle wyjsciowym – wiec mamy anonimowosc ale nie mamy poufnosci”
przecież zawsze ruch na wyjściu jest widoczny i może być podsłuchany dajmy na to przy vpn’ie też masz tylko tunel na odcinku klient–serwerVPN…
Ok, ale exit node TORa może założyć każdy bez wysiłku. Służby jednak jakiejś tam kontroli podlegają.
Zdrowe podejście do tematu Adamie. Świetne artykuły. Czy mógłbyś napisać coś więcej o synchronizacji bazy KeePass między urządzeniami? Jak to robisz? Przez swoją chmurę czy KeePass ma taką możliwość w sobie (upload bazy do publicznego zbioru oferowanego przez keepass)?
Co do Chrome: jedyne czego sobie życzę od tej przeglądarki to możliwość wyłączenia WebRTC w tak prosty sposób (i skuteczny) jak w FF.
Co z Firefoksem? Jest odpowiedź ;)
http://sekurak.pl/firefox-wykluczony-z-konkursu-pwn2own-2016-powodem-zbyt-slabe-zabezpieczenia/
A ja mam pytanie o przeglądarkę: czy klony Chrome’a, np. SR Ware Iron jest równie bezpieczny, czy czegoś mu brakuje?
Ja polecam Vivaldi i CopperheadOS. Naprawdę fajne rozwiązania, szczególnie to drugie.