Protonet – Teoria bezpieczeństwa

„Nie mam nic do ukrycia”, czyli jak polskie realia zderzają się z zachodnią rzeczywistością.

Ogólnie ludzie dzielą się na wiele grup, jednak w kwestii bezpieczeństwa (tak ogólnie) na dwie. Jedna to bojownicy wolności, a druga podporządkowana władzy. Czasem sobie myślę, że gdyby wprowadzili obowiązkowe obozy koncentracyjne, to ta druga by się temu nie sprzeciwiła, bo rząd wie lepiej.

Niemniej akcje „Reset the net” czy „Prism Break” powstają, by walczyć z złym systemem totalitarnym, czyli pokazać czerwoną kartkę. I taki ma być Protonet – mały serwer do walki z inwigilacją.

Po pierwsze – podział będzie rozdzielony na część serwerową (czyli serwer) i na część klienta (nasz komputer), gdyż to musi być wzajemna ochrona.

Protonet ma być serwerem, który ma zapewnić podstawową ochronę przed szpiegowaniem, niemniej to nie musi być Protonet (a być może nawet nie polecałbym), bardziej bym się rozglądał za małymi komputerami jak Raspberry Pi i jemu podobnych. Dlaczego? Głównie dlatego, że bazują na architekturze ARM, na której jest wielu producentów procesorów (a nie tylko dwóch jak na x86), co zmniejsza szanse na podłożenie pluskwy. Najlepiej by było, jakby cały sprzęt pochodził z grupy „Open Hardware” (czyli otwartego sprzętu), ale takie rzeczy nie zdarzają się często i zazwyczaj są bardzo drogie. Warto też wspomnieć, że jeśli mamy sprzętowe backdoory – wzrasta nam i tak bezpieczeństwo i o tym należy pamiętać.

Jeśli mamy taki serwer, co powinniśmy zrobić?

Wymarzony serwer jest gotowy, więc trzeba wgrać system – o wiele większe zaufanie jest jednak w kwestii bezpieczeństwa do systemów Linuksowych lub BSD i to głównie na nie powinniśmy patrzeć. Oczywiście na kompuerze ARM – OS X czy Windowsa raczej nie wgramy. Ogólnie najlepiej, jakby był w całości Open Source.

Dodatkowo warto, by cała pamięć była zaszyfrowana – np. za pomocą dm-crypta, co powinno zwiększyć bezpieczeństwo i uniemożliwić odczytanie danych w konfrontacji bezpośredniej.

Tutaj będę leciał kategoriami według listy Prism Break, by omówić wszystkie zagadnienia . Dodatkowo opiszę rozwiązania, które mają spore szanse na realizację.

Sieć maskująca – TOR

Zobacz również: Telewizor Samsunga z zakrzywioną matrycą

Logo Tora

TOR jest siecią, która przekierowuje nasze pakiety, przez kilka innych serwerów, co pozwala ukryć (przynajmniej teoretycznie) informację skąd zostały wysłane dane.

Wydaje mi się, że jest fizycznie możliwe skonfigurowanie na serwerze – serwera proxy i skonfigurowania klienta, by każdy program łączący się z siecią – szedł w świat.

Należy też wspomnieć, że (jeśli to jest możliwe) jest to sposób dla cierpliwych – i warto zainwestować w internet z mniejszymi prędkościami.

Dystrybucje oprogramowania i gier

Tutaj warto na serwerze zaopatrzyć się w potężny dysk i robić snapshoty (zrzuty) repozytoriów Linuksa. Oprogramowanie może nie będzie zawsze aktualne, ale (jeśli to możliwe) nie da informacji na temat kto i co instaluje. Natomiast powinniśmy ograniczyć używanie zamkniętych programów do minimum lub je usunąć.

Szyfrowanie dysków

W mojej opinii dm-crypt będzie najlepszą możliwą ucieczką, warto też zainteresować się szyfrowaniem klienta.


DNS

Serwery DNS służą (w skrócie) do zamiany adresu (np. google.pl) na adres IP. Warto na serwerze utworzyć serwer DNS (który by automatycznie przypisywał adresy IP do adresów) i wybranie OpenNIC project” - czyli wolnego, otwartego, demokratycznego (?) i antycenzurowego DNS'a lub OpenDNS, który umożliwia szyfrowane połączenie się z nim (Link - zakładka DNS i szyfrowanie zapytań)

Konta e-mail

Ja bym się skłaniał do stworzenia własnego serwera mailowego u nas na serwerze – jeśli jednak nie możemy tego zrobić – polecam zapoznać się z listą „Prism Breaku” (Link)

Klient poczty

Ikona Thunderbird z ikon Faenza

Bezpieczeństwo to nie tylko serwer poczty, ale też klient poczty i szyfrowanie maili. W zasadzie powinniśmy wybrać Mozilla Thunderbird, Claws Mail lub Sylpheed – gdyż zapewniają szyfrowanie, a jak coś jest szyfrowane – to jest bezpieczne (podobno wiadomości mailowe przechodzące między różnymi serwerami poczty, muszą być rozszyfrowane i lecą zwykłym tekstem). Thunderbird domyślnie nie ma nic do szyfrowania i tu warto o Enigmailu pomyśleć.

Zapis danych w chmurze

Moim zdaniem możliwości są dwie – Owncloud (jako taki hosting) lub Oneye (jako cały pulpit), to już od nas zależy gdzie będziemy trzymać, niemniej warto, by każdy plik wgrywany – był kompresowany (7-zipem) i szyfrowany (AES-256 z mocnym hasłem)

Jeśli nie musi być to koniecznie coś z interfejsem przeglądarkowym, warto pomyśleć o serwerze OpenSSH, który (proszę o oświecenie mnie) szyfruje pliki podczas przesyłania (co jeśli jest prawdą – wzmacnia bezpieczeństwo)

Komunikatory

O szyfrowaniu komunikatorów już napisałem wpis. Osobiście polecam Pidgina (lub inny komunikator) ze wsparciem OTR (szyfrowanie rozmów), dodatkowo by zwiększyć bezpieczeństwo (jeśli to możliwe) uruchomić serwer XMPP na naszym serwerku. link do wpisu o szyfrowaniu danych

Social media

Tutaj jak ktoś jest uzależniony – za wiele zrobić się nie da. Oczywiście można postawić serwer u siebie, ale tylko ty na nim będziesz, dlatego trzeba skorzystać z innego serwera. Moim zdaniem najlepiej wybrać coś na Diasporze lub GNU Social. Warto też, by miało jakieś szyfrowanie (niemniej to nas nie zabezpiecza przed NSA.

A jeszcze lepiej, zrezygnować z tego całkowicie.

Komunikator z wideo rozmowami

Tutaj najlepiej by mieć własny serwer XMPP z wideo rozmowami. Nie wiem czy Jitsi umożliwia jakieś szyfrowanie wideo rozmów (prawdopodobnie XMPP sam w sobie umożliwia), ale jeśli nie – to Pidgin nam wystarczy.

Przeglądarka

Ikona Firefox z ikon Faenza

Prawdopodobnie najlepsza do walki z cenzurą przeglądarka to TOR Browser. Jeśli jednak postawiiśmy serwer TOR – powinniśmy się zainteresować Firefoksem lub jakąś jego odmianą (głównie dlatego, że jest wiele wtyczek zwiększających bezpieczeństwo)

Obobiście używam Iceweasel 29 z Adblock Edge (i filtrami Easylist, Easyprivacy, i Fanboy's list), Disconnect (blokuje skrypty szpiegujące), HTTPS Everywhere (wymusza szyfrowanie na wielu stronach), Noscript (blokuje skrypty Javascript, które mogą służyć do niebezpiecznych rzeczy) i Self-Destructing Cookie (usuwa ciasteczka, przez co nie można tobie nadać Unikalnego ID)

Wyszukiwarka

Osobiście używam DuckDuckGo, niemniej warto pomyśleć o przeglądarce P2P (jak Yacy). Jeśli jednak chcemy używać DDG (lub innej ogólnodostępnej wyszukiwarki) – warto pomyśleć o Disconnect Search (ukrywa nasz adres IP przed wyszukiwarką).

Podsumowanie

Ogólnie te kroki zwiększą twoje bezpieczeństwo w sieci, jednak nie gwarantują w 100%, że będziesz bezpieczny! Oczywiście kwestia wolności w internecie jest długa, a to co jest opisane – to dopiero zalążek, więc zawsze można coś ulepszyć.

Niektórzy mogą się zastanawiać co się zmieniło na zachodzie od czasów NSA? Brazylia robi wszystko co może, by zabezpieczyć się przed szpiegowaniem, wielu obywateli na zachodzie też zaczyna walkę z systemem. Ale ty nie możesz, bo nie masz nic do ukrycia ;)

Do zobaczenia w kolejnym wpisie!

Podziel się:

Przeczytaj także:

Także w kategorii Technologie:

Xanadu - zapomniany przodek WWW. Kto naprawdę wymyślił hipertekst? V3 - mordercza stonoga Hitlera. Największe działo drugiej wojny testowano w Międzyzdrojach Jak prasa pisała o Internecie w 1988 roku? Tajny projekt NASA: dlaczego rozsypano w Kosmosie miliony miedzianych igieł? Technologiczne mity. Sony timer, czyli planowe starzenie produktów Control VR – rękawice współpracujące z Oculus Rift. Nasze dłonie również trafią do wirtualnej rzeczywistości! AOC Q2770Pqu – monitor 27" z panelem WQHD w praktyce [test] Inteligentny dom Fibaro - czujniki, które ochronią przed zagrożeniami GoPlug – ratunek dla turysty. Torba będąca przenośną ładowarką Hey Joe - najlepszy przyjaciel kierowcy. Świeża kawa dostępna w każdej chwili Dzieci widzą stary komputer i... kompletnie nie wiedzą, co z nim zrobić Glance – mózg na pasku. Nawet zwykły zegarek może zmądrzeć! PlayStation 4 będzie sprzedawane w zestawie z PlayStation Vita. Dobra oferta? Permacoin lepszy od Bitcoina: archiwizacja danych zamiast bezsensownych obliczeń Dziecko w śmietniku to nie prawdziwy news. To kolejny przekręt na Facebooku PetPace – weterynarz pierwszego kontaktu. Inteligentna obroża zadba o zdrowie zwierzaka Jak projektanci Apple wyobrażali sobie przyszłość? Granie w salonie i na wynos w 4K, czyli Asus GX500 i Steam Machines na Computex 2014 Wirtualna rzeczywistość odmieni... oglądanie gier? E-sport skorzysta na popularności Oculus Rift Dyson Halo - genialny wynalazca zbudował Google Glass ponad 10 lat temu! Zebble - tani klon smartwatcha Pebble z wyświetlaczem e-ink jest lepszy od oryginału? I-Ox – dziurawe ręce przestaną być kłopotem. Uchwyt jak pierścień! Legion Meter - dzięki niemu naładujesz smartfona o 92 proc. szybciej! Tysiące ludzi chcą skorzystać z prawa do bycia zapomnianym. A Internet i tak będzie pamiętał