6 GROSZY NA BEZPIECZNE SURFOWANIE I KOMUNIKACJĘ
poradnik dla kompletnego laika
Creative Commons Attribution-ShareAlike 3.0 Unported License
author: krewetki
Uwaga generalna: większość przedstawionych technik można ze sobą łączyć.
1. flash USB jako przybornik bezpieczeństwa, przeglądarka internetowa, poczta, facebook
flash USB
Bardzo użyteczne może okazać się noszenie przy sobie pendrive USB zawierający zestaw narzędzi do bezpiecznego surfowania. Poradnik krok-po-kroku, jak przygotować taki zestaw znajduje się tutaj. Tekst jest po angielsku, ale polskie tlumaczenie można uzyskać poprzez wklejenie adresu strony do http://translate.google.com Jedną z ciekawych funkcji translatora google jest to, że wszystkie linki są klikalne, a otwierane w ten sposób strony - rownież przetłumaczone. Wyjątek stanowią jedynie obrazki i grafiki.
przeglądarka internetowa
Sporo danych o użytkowniku przechowywanych jest przez przeglądarkę internetową, m. in. hasła, pamięć podręczna, historia odwiedzanych stron. Ponadto za pomocą przeglądarki możliwe jest uzyskanie szerszego dostępu do zasobów komputera. Bezpieczna (i najszybsza) jest Opera, ale również FireFox, Safari, Nautilus, Sea Monkey itd. Internet Explorer jest odradzany ze względu na luki bezpieczeństwa. Istnieją też obawy, że Google Chrome, zbiera informacje o aktywności użytkownika w sieci, a następie przesyła je do firmy Google. Z tego względu dwie ostatnie przeglądarki nie są polecane jako bezpieczne.
bezpieczne logowanie do poczty
Wszystkie popularne serwisy pocztowe posiada możliwość logowania za pomocą interfejsu WWW. Podczas logowania należy jednak upewnić się, że odbywa się ono za pośrednictwem bezpiecznego połączenia SSH (zwykle dotyczy to tylko loginu i hasła, reszta odbywa się w sposób nieszyfrowany). Jeśli korzysta się z programu pocztowego, należy używać protokołu IMAP zamiast POP3 oraz SMTPS (o ile serwer obsługuje) zamiast SMTP.
facebook
Mało kto zdaje sobie sprawę z faktu, że Facebook przechowuje wszystkie dostarczone mu informacje, a ich usunięcie lub zmiana (np. imienia i nazwiska) powoduje jedynie nie wyświetlanie ich, podczas gdy są one dostępne na serwerze przez cały czas. W celu zwiększenia bezpieczeństwa, należy:
- najlepiej nie używać Facebooka - najskuteczniejsza metoda
- ograniczyć dostęp do materiałów (głównie zdjęć) osobom trzecim
- zarejestrować się pod nieprawdziwym nazwiskiem
- nie podawać numeru telefonu
- podać specjalnie stworzony w tym celu adres e-mail, który ma ustawione przekierowywanie korespondencji z Facebooka na prawdziwy adres
- nie podawać adresu konta na FB pracodawcy oraz osobom postronnym
2. TOR - znajdź mnie, jeśli potrafisz. Również w GSM.
TOR to sieć, która umożliwia zamaskowanie fizycznej lokalizacji. Normalnie drogę, jaką pokonuje sygnał od komputera do serwera można prześledzić wstecz i odczytać pierwotny adres IP komputera, z którego wykonano połączenie, a następnie jego fizyczną lokalizację.
Uruchomienie klienta TOR powoduje, że komputer podłącza się najkrótszą drogą do któregoś z serwerów sieci TOR, gdzie sygnał "odbija" się wielokrotnie, po czym wychodzi na zewnątrz i idzie do właściwego celu. Ponieważ żaden fragent drogi, pokonywanej przez sygnał wewnątrz sieci TOR nie jest nigdzie zapisywany, niemożliwe jest prześledzenie wsteczne, a zatem określenie fizycznej lokalizacji komputera, z którego wykonywane jest połączenie. Niektóre serwery jednak mają ustawione blokowanie połączeń wykonywanych za pośrednictwem sieci TOR - np. Salon24. Sieć TOR powinna być wykorzystywana np. do blogowania, gdyż ściąganie dużych ilości danych (np. filmów, poczty, itd) bardzo ją obciąża i utrudnia pracę tym, którzy naprawdę jej potrzebują.
Bardzo ciekawy podręcznik, napisany specjalnie dla bloggerów, jak chronić swoją prywatność i anonimowość w sieci, znajduje się tutaj. Polecane jest również zapoznanie się ze stroną domową autorów http://rsf.org/ Reporters Without Borders (ang. Reporterzy Bez Granic)
Sieć GSM lokalizuje fizyczną pozycję telefonu komórkowego z dokładnością do 5 metrów w budynkach i 75 metrów na zewnątrz. Wynika to ze specyfiki budowy sieci. Cały obszar np. kraj podzielony jest na komórki (stąd nazwa "telefonia komórkowa"), aparat odbiera informacje o parametrach dostępnych w danym momencie nadajników, pozycjonuje się, a następnie wysyła tę informację do sieci. Czytaj więcej tutaj. Do tej pory jedynym skutecznym sposobem zapobieżenia lokalizowaniu jest wyjęcie baterii oraz karty SIM. Niewykluczone jednak, że metoda ta jest nieskuteczna w przypadku smartfonów (np. iPhone, Nokia, HTC, itp.).
3. system operacyjny na flash USB
Większość systemów informatycznych np. w firmach czy instytucjach blokuje możliwość instalowania własnego oprogramowania przez nie-administratora. Dodatkowo, posiada możliwość audytowania nie tylko programów zainstalowanych na danym komputerze ale również uruchamianych całkowicie z zewnętrznych nośników np. USB. Ponadto cała aktywność jest zapisywana w specjalnych plikach na serwerze, do którego dostęp ma tylko administrator, m. in. odwiedzane miejsca w sieci, uruchamiane programy, długość korzystania danych serwisów/programów itd. Dlatego najlepiej zawsze korzystać z własnego sprzętu i podłączać się do internetu bezpośrednio np. telefon komórkowy, zamiast firmową/urzędową sieć.
Jeśli istnieje konieczność korzystania z cudzego komputera, a jest fizyczny dostęp do gniazda USB albo czytnika CD, to można uruchomić na takim komputerze własny system operacyjny, najlepiej jakiś Linux np. Mint , Ubuntu albo Knoppix. Użytkowników Windowsa uspokoi fakt, że wszystkie mają interfejsy graficzne i komplet potrzebnego oprogramowania, a dodatkowo można doinstalowywać nowe np. klient TOR. Dwa pierwsze tzn. Mint i Ubuntu są całkowicie spolszczone, a trzeci cechuje się tym, że uruchamia się zawsze, wszędzie i na każdym sprzęcie (a jeśli się nie uruchamia lub są problemy, to najczęściej oznacza usterkę sprzętu).
Aby przygotować taki pendrive/CD, należy ściągnąć plik ISO wybranego systemu operacyjnego (Mint tutaj, Ubuntu tutaj, Knoppix tutaj) i zainstalować go na nośniku za pomocą programu UNetbootin (dostępny pod Windows, Linux i Mac). Instalacja trwa ok. 5-10 minut. Następnie zrestartować komputer, na którym chcemy uruchomić taki system, a podczas startu upewnić się, że w BIOS komputera pierwszym miejscem, gdzie komputer szuka systemu operacyjnego jest USB lub CD. Aby wejść do ustawień BIOS trzeba wcisnąć naczęściej F2 i odszukać sekcję "Boot", dokonać zmian, zapisać i wyjść z BIOSu. Ponowny restart z nowymi ustawieniami nastąpi automatycznie.
Czasem podłączanie nośników USB obwarowane jest hasłem. Najczęściej jest to hasło systemowe, czyli ustawione w Windows, co objawia się w ten sposób, że komputer "nie widzi" pendriva. W takim wypadku należy uruchomić własny system operacyjny z nośnika USB. Jeśli natomiast hasło założone jest w BIOS (niewielki układ scalony, zawierający instrukcje potrzebne do uruchomienia komputera) a jest fizyczny dostęp do obudowy komputera, należy otworzyć obudowę i zresetować ustawienia BIOS. Wykonuje się to albo poprzez wyjęcie niewielkiej bateryjki podtrzymującej pamięć o jego ustawieniach, albo przestawić specjalną zworkę na płycie głównej w pozycję "reset". Nie licząc zdjęcia obudowy, reset BIOSu zajmuje ok. 20 sek., a mankamentem tej metody jest pozostawienie śladu w postaci ustawień domyślnych, czego jednak znaczna część administratorów nie sprawdza. Opis krok-po-kroku tutaj lub w google pod hasłem "jak zresetować BIOS".
Podczas pracy w systemie operacyjnym uruchomionym z flash lub cd (tzw. Live OS ang. żywy system operacyjny, lub LiveUSB lub LiveCD), ) należy uważać, gdzie zapisuje się dane. Najlepiej na Pulpicie. O ile bowiem Pulpit znajduje się na pamięci flash, o tyle pozostałe widoczne dyski to dyski twarde danego komputera tzw. dyski lokalne. Czyli właśnie te, na których zapisu należy się wystrzegać.
Dla dociekliwych: dyski lokalne znajdują się (w terminologii Unixowej podmontowane są, w Windowsowej - zmapowane) w katalogu /mnt/nr_partycji lub /media/nr_partycji na pniu głównym. Dla przykładu (zwróć uwagę na kolory), pierwsza partycja na pierwszym dysku twardym typu ATA (dyski starszego typu) znajduje się najczęściej w katalogu /mnt/hda1 lub /media/hda1. Trzecia partycja na pierwszym dysku ATA - w /mnt/hda3 lub /media/hda3. Z kolei druga partycja na drugim dysku typu SATA (dyski nowszego typu) znajduje się w /mnt/sdb2 ewentualnie w /media/sdb2 zaś trzecia partycja na tym samym dysku - w /mnt/sdb3 lub /media/sdb3. O numerowaniu partycji dyskowych w systemach Unix/Linux czytaj więcej tutaj. Dlatego najbezpieczniej zapisywać pliki na Pulpicie takiego LiveOS.
4. zewnetrzne konto - przechowywanie plików i bezpieczne połączenia
Dobrze jest również zaopatrzyć się konto na zewnętrznym serwerze - najlepiej Unixowym i najlepiej poza Polską. Ze względu na obecną sytuację szczególnie polecana lokalizacja takiego serwera to USA. Można np. trzymać na nim kopie ważnych plików albo kierować przez niego połączenia w sposób bezpieczny. Do bezpiecznych połączeń służy protokół sieciowy SSH. A już najlepiej wszystkie połączenia wykonywać za pośrednictwem sieci TOR.
Dla przykładu, lista darmowych kont tzw. shellowych znajduje się tutaj. Ale są również rozwiązania płatne, np. w tej ofercie, najbardziej wypasione konto kosztuje 2.75 GBP miesięcznie, akceptowana jest wiekszość kart płatniczych oraz PayPal.
- łączenie z serwerem za pomocą konsoli tekstowej np. w celu wysłania, ściągnięcia, a nawet podejrzenia pliku
- W Unix, Linux konsola jest częścią systemu
Menu Gnome -> akcesoria -> terminal
albo
Ctrl+Alt+F1 - przełącza na tzw. wirtualną konsolę nr 1 (domyślnie F1-F6 to konsole tekstowe, F7 to pierwsza wirtualna konsola graficzna czyli znane i lubiane okienka)
- Winows - należy skorzystać z dodatkowego programu np. bardzo popularnego PuTTY, który emuluje Unixową konsolę (do ściągnięcia tutaj)
- Mac (jest Unixem, o czym mało kto wie, i konsola jest wbudowana w system)
ikona dysku twardego -> aplikacje -> narzędzia -> terminal
- iPhone/iPad - AnyConnect
- Symbian - PuTTy
- Android - connectbot a dodatkowo program ułatwiający pisanie - Hacker's Keyboard
- kierowanie połączeń w sposób bezpieczny
Możliwe jest przekierowywanie połączeń z dowolnych protokołów sieciowych np. HTTP (popularne WWW), FTP (transfer plików - większość przegądarek ma go wbudowanego), POP3 / IMAP / SMTP (poczta elektroniczna) itd. przez szyfrowany protokół SSH. Ta technika nazywana jest tunelowaniem. Obecność tunelu może ewentualnie zostać zauważona, fakt przesyłania danych również, ale same dane są bezpieczne, bo szyfrowane. Do wykonania tunelu potrzebny jest serwer z możliwością łączenia się do niego przez SSH, oraz klient SSH na komputerze/telefonie, którego używa się np. do obejrzenia jakiejś strony www. Wszystko można wykonać ad-hoc, zajmuje to max. kilka minut.
Szczegółowy opis krok po kroku wykonania takiego tunelu opisany jest tutaj. Użytkowników Mac ucieszy fakt istnienia programu SSH Tunnel Manager oraz SSH Tunnel. Obydwa darmowe.
5. Szyfrowanie plików, SMS-ów i partycji na dysku twardym
Mało kto zdaje sobie sprawę, że e-mail najbardziej przypomina kartkę pocztową niż list polecony, zwłaszcza w dobie wszechobecnych sieci bezprzewodowych. Ale nawet połączenie za pomocą kabla to tylko nieznaczne utrudnienie szczególnie, jeśli intruz ma prawne możliwości uzyskania od dostawcy internetu odpowiednich informacji a nawet bezpośredniego dostępu umożliwiającego "wpięcie" się pomiędzy użytkownika a resztę sieci Internetowej.
szyfrowanie plików
Istnieje kilka dobrych algorytmów szyfrujących, na których bazują aplikacje na różne platformy sprzętowe. Godnym polecenia jest PGP (strona domowa tutaj) Opiera się na dwóch kluczach: prywatny i publiczny. Prywatny umożliwia zaszyfrowywanie i odszyfrowywanie dlatego powinien byc trzymany przez właściciela w bezpiecznym miejscu. Klucz publiczny pozwala tylko zaszyfrowywać, zatem może być udostępniany ogółowi. Nadawca otrzymuje klucz publiczny i używając go wraz z hasłem, szyfruje plik i przekazuje odbiorcy. Ten, używając klucza prywatnego oraz hasła, odszyfrowywuje plik. Bardziej szczegółowe wyjaśnienie n/t szyfrowania, PGP itd. można znaleźć tutaj.
Z serii PGP ukazały się dotychczas:
- PGP - szyfrowanie poczty. Podręcznik użytkownika dla Windows i Mac oraz dla Linuxa
Poradnik krok-po-kroku jak ustawić czyfrowanie wychodzącej i przychodzącej poczty w iPhone opisane jest tutaj.
- PGPdisk - program umożliwiający zaszyfrowanie całej partycji na dysku twardym. Podręcznik użytkownika
- PGPfone - program umożliwiający wykonywanie bezpiecznych połączeń telefonicznych z użyciem modemu lub internetu. Współpracuje również z sieciami AppleTalk. Podręcznik użytkownika
szyfrowanie SMS'ów możliwe jest dzięki aplikacjom na poszczególne systemy operacyjne.
szyfrowanie danych na dysku
Polecanym przez wszystkich specjalistów rozwiązaniem jest szyfrowanie danych na dysku, nie tylko pojedynczych plików, ale całej partycji - więcej na ten temat w linkowanym powyżej (PGPdisk) podręczniku użytkownika. Cała zaszyfrowana w ten sposób partycja jest niemożliwa do odczytania bez znajomości hasła oraz posiadania specjalnego klucza deszyfrującego, którego należy trzymać poza danym urządzeniem - np. na nośniku USB, albo zewnętrznym koncie na serwerze z połączeniem SSH.
usuwanie danych z dysków
Usuwanie danych z dysku twardego lub pamięci flash w zwykły sposób (usunięcie plików do kosza i opróżnienie kosza) powoduje jedynie, że ze specjalnego sektora dysku/pamięci flash - odpowiednika spisu treści książki (czytaj więcej) - usuwana jest jedynie informacja o istnieniu pliku. Natomiast sam plik pozostaje nienaruszony, dopóki w tym konkretnym miejscu na dysku nie zostanie zapisany nowy plik. Z wielkim zdziwieniem przekonała się o tym np. p. Krystyna Jakubowska w związku z Aferą Rywina, której wydawało się, że opróżnienie kosza w Windows trwale usunie pliki z dysku.
Nawet sformatowanie dysku lub wybranej partycji dysku w zwykły sposób również nie jest skuteczną metodą, ponieważ nawet domowe aplikacje potrafią odzyskać dane. Znacznie lepszym sposobem jest tzw. format niskiego poziomu. Polega on na nadpisaniu na dysk generowanych losowo zer i jedynek (kod maszynowy, zero-jedynkowy). W zależności od wielkości dysku, taki proces może trwać od kilku do kilkudziesięciu godzin, dla pamięci flash odpowiednio krótszy. Ponieważ specjalistyczne firmy chwalą się, że potrafią odzyskać dane z dysków poddanych formatowaniu niskopoziomowemu nawet do 3 razy, formatowanie należy powtórzyć minimum 4 razy. Niektóre firmy potrafią podobno odzyskać dane z dysków zniszczonych, rozhermetyzowanych, a nawet spalonych. Dlatego krytyczne dane zaleca się trzymać na zewnętrzych kontach z dostępem SSH (patrz "usuwanie danych - wariant "bez zapisywania"), a dyski niszczyć poprzez spalenie wyjętych z niego cylindrów wysokiej temperaturze, najlepiej po uprzednim formacie niskiego poziomu. Instrukcja krok-po-kroku znajduje się tutaj.
Programy do formatowania niskopoziomowego:
- Windows - HDD Low Level Format Tool lub DBAN - działa również pod Windows (patrz punkt dot. Linux)
- Mac - DriveSetup (poradnik krok-po-kroku tutaj) lub DBAN - działa również pod Mac (patrz punkt dot. Linux)
- Linux
- użyć wbudowanego programu dd poprzez wpisanie do konsoli tekstowej następującej komendy:
dd if=/dev/zero of=/dev/oznaczenie_partycji bs=1M
lub
- ściągnąć program DBAN (strona domowa tutaj), wypalić go na CD lub - używając Unetbootin - flash USB, uruchomić z niego komputer, postępować zgodnie ze wskazówkami. Poradnik krok-po-kroku dot. DBAN jest tutaj.
- do formatowania niskopoziomowego dyskietki użyć programu fdformat - wpisując w konsoli komendy:
sudo MAKEFLOPPIES
(uwaga: wielkość liter ma znaczenie) i wcisnąć klawisz [Enter]
sudo fdformat /dev/
i wcisnąć klawisz [Tab] aż na końcu, po znaku "/", pokaże się coś w rodzaju fd0, fd0H1440 lub fd0u720, a dopiero potem klawisz [Enter]
Jak otworzyć konsolę tekstową, czytaj w pkt. 4 "zewnętrzne konto", sekcja "łączenie z serwerem". Oznaczenie partycji znajdziesz w pkt. 3., akapit "Dla dociekliwych"
Jeśli istnieje konieczność sformatowania niskopoziomowego pamięci flash, należy podłączyć ją do USB obok liveUSB (patrz pkt. 3.) i użyć odpowiedniego narzędzia opisanego wyżej.
usuwanie danych - wariant "bez zapisywania"
Przeważnie w średnich i dużych firmach oraz instytucjach i administracji wykonywane są kopie zapasowe (ang. backup), nie tylko dysków sieciowych, ale również dysków poszczególnych komputerów indywidualnych. W takim wypadku, aby unimożliwić odtworzenie danych, zamiast zapisywać plik na dysku twardym komputera, a potem kopiować go do flash USB, należy pracować (zapisywać i edytować) bezpośrednio na plikach na zewnętrznym nośniku np. flash USB. W pewnym sensie jest to więc wariant usuwania danych, który można nazwać "usuwaniem bez zapisywania". Ten wariant jest szczególnie polecany, niezależnie od wszystkiego innego. W przypadku restrykcji w podłączaniu nośników USB, w tym przez kabel oraz miniaturową antenę BlueTooth na USB lub czytnikach kart pamięci, można uruchomić komputer z własnego systemu operacyjnego - patrz pkt. 3.
6. Jak skonstruować mocne hasło (dostępu)?
Warto również nauczyć się konstruować mocne hasła, ponieważ obecne algorytmy szyfrujące są tak skomplikowane i trudne do złamania, że uwaga intruzów skupia się na najsłabszym ogniwie, jakim jest człowiek. Tak postępował zresztą już Kevin Mitnick, najbardziej chyba znany hacker, a po wyjściu z więzienia różne techniki opisał w książce p.t. "The art of deception" (ang. "Sztuka podstępu") - do przeczytania po angielsku tutaj, na życzenie udostępnię polskie tłumaczenie. Z grubsza rzecz biorąc, atak na sam algorytm szyfrujący jest w zasadzie bezcelowy, dlatego atakujący próbują odgadnąć hasło. Jedna z głównych metod to tzw. atak brute force, co na Polski tłumaczy się "na chama" - próbowanie kolejnych kombinacji znaków/cyfr aż do skutku. Druga popularna metoda to tzw. atak słownikowy - kolejne słowa z listy (słownika) możliwych haseł np. imiona członków rodziny, dat urodzenia, zwierzątek domowych, nazwa pracodawcy itp. Zwykle te dwie metody są łączone.
Prostym i skutecznym rozwiązaniem na zbudowanie mocnego hasła dostępu jest ułożenie długiego ciągu znaków zawierającego nie tylko litery i cyfry, ale również tzw. znaki specjalne np. # * ^ ~ itd. (zabezpieczenie na brute force). Najlepiej niech będzie to jakieś zdanie, które jest na tyle szokujące lub niecodzienne (utrudnia atak słownikowy), że twórca ma z nim emocjonalny związek (ułatwia zapamiętywanie). Dodatkowo spacje można zastąpić jakimś słowem lub znakiem, najlepiej specjalnym, oraz np. co drugą literę "e" cyfrą 3.
Inny, ciekawy pomysł, przydatny zwłaszcza do szyfrowania SMS'ów, gdy hasło musi się często, nawet codziennie, zmieniać i nie ma możliwości wcześniejszego jego uzgodninia, to uznanie za hasło np. pierwszych trzech słów z nagłówka jakiejś gazety i - jak powyżej - zastąpienie spacji jakimś słowem, oraz wybranych liter cyframi lub znakami specjalnymi. Więcej na temat budowania bezpiecznych haseł dostępu można przeczytać w linkowanym ze strony PGP artykule.
Przykłady zastosowania z wykorzystaniem opisanych technik.
Uruchamiając klienta TOR, łączę się ze światem za pośrednictwem sieci TOR. Następnie za pomocą tunelu SSH łączę się kontem na blogu i zamieszczam notkę. (O bezpiecznym blogowaniu czytaj więcej w specjalnym poradniku napisanym przez Reporters Without Borders.)
Za pomocą tunelu SSH łączę się z serwerem pocztowym i wysyłam e-mail, którego esencję stanowi zaszyfrowany PGP załącznik.
Łączę się przez SSH i wysyłam na serwer zaszyfrowany plik.
Wchodzę do kafejki internetowej, restartuję komputer z LiveUSB Linux, wykonuję wybrane czynności.
W iPhone uruchamiam EncryptSMS, szyfruję wiadomość hasłem wg uzgodnionego z odbiorcą formatu (np. 3 pierwsze słowa z treści drugiego nekrologa dzisiejszej Gazety Wyborczej rozdzielając słowa znakiem #) i zastępując litery "L" jedynkami, wysyłam do odbiorcy.
BEZPIECZNEGO SURFOWANIA!
