TOMASZ STROJNY
Informatyka

Potocznym językiem o bezpieczeństwie komputerowym

Opublikowane przez Tomasza Strojnego | maj 03, 2014

Kilka prostych słów na temat bezpieczeństwa komputerowego.

Przedmowa

Wszędzie na około spotykam się z artykułami o tym jak nie dać się cyberprzestępcom, w których są napisane porady w stylu nie udostępniaj zdjęć nieznajomym, albo nie otwieraj załączników od nieznajomych. Znaczna większość tych porad jest dla ludzi zupełnie nie związanych z komputerami. Niestety brakuje artykułów na temat bezpiecznego serfowania po Internecie dla ludzi którzy widzą więcej zagrożeń w cyberprzestrzeni niż zawirusowanie komputera z kliknięcia w reklamę.

Mam tu na myśli zagrożenia związane z podsłuchiwaniem rozmów, gromadzeniem danych osobowych i osobistych, kradzieże sprzętu zawierającego poufne informacje i to co związane z naszymi prawami, których jesteśmy po trochu, sukcesywnie pozbawiani.

Jesteśmy szpiegowani i inwigilowani przez przeróżne służby bezpieczeństwa narodowego, korporacje międzynarodowe i wszystkich, którzy mają w tym jakiś biznes. Te słowa potwierdzi każdy kto się tą tematyką kiedykolwiek zainteresował. Dlaczego miałoby nam to przeszkadzać? - dużo osób w tym momencie pyta. A cóż mi to przeszkadza? Kiedyś naiwnie myślałem, że wszystkich powinien przekonać sam dyskomfort bycia podsłuchiwanym. Niestety coraz częściej zauważam bierną postawę ludzi, którzy chętnie udostępniają na portalach społecznościowych cały swój życiorys, zostawiając w ten sposób nieścieralny znak w Internecie, który nie wiadomo kiedy może zostać wykorzystany przeciwko nim. Teraz jest najlepszy czas dla firm, które zbierają dane osobowe, bo ludzie nie wiedzą jak cenne takie dane są i rzucają nimi na lewo i prawo. Wpisz tutaj swoje imię i nazwisko, a dostaniesz darmowe piwo!, Dostaniesz puszkę naszego napoju jak będziemy mogli zrobić Ci z nim zdjęcie, to bardzo popularne chwyty i dużo ludzi nie widzi w tym nic złego.

Nie jestem specjalistą od socjotechniki, ani marketingu (a szkoda), ale intuicja mi podpowiada, że ktoś chce zrobić z tym coś złego. Zainteresowanych szkodami jakie można wyrządzić posiadając różne dane zapraszam do lektury The Art of Deception: Controling the Human Element of Security autorstwa Kevina Mitnicka, lub innych książek związanych z marketingiem lub socjotechniką.

W związku z powyższym oraz w myśl wpisu Technologiczne zniewolenie wpis będę opierał o narzędzia darmowe, z otwartym kodem źródłowym. Jeżeli komuś uda się przenieść moje wypociny na komercyjne systemy (i da mi pewność, że to faktycznie jakkolwiek go zabezpiecza), proszę o komentarz. Dodam w artykule specjalną sekcję z uwzględnieniem autora.

Podsumowując, chciałbym żeby każdy (mniej i bardziej doświadczony) po przeczytaniu tego wpisu wiedział jak zabezpieczać siebie i swoje dane w cyberświecie, albo przynajmniej miał świadomość jakie zagrożenia na niego czyhają.

Co nas może czekać?

W całej tej gonitwie w ukrywaniu tego co robimy trzeba mieć na uwadze, że nie wolno popaść w paranoję. Najprościej się zabezpieczyć zakopując się dwa metry pod ziemią. Ale właśnie o to nam chodzi, żeby robić wszystko na co pozwala obecna technologia, a przy okazji czuć się w miarę bezpiecznie. Warto w tym miejscu dowiedzieć się z jakiego typu zagrożeniami możemy się spotkać:

  • kradzież laptopa lub innego medium zawierającego poufne dane
  • dostęp do komputera przez osoby niepowołane
  • podsłuchiwanie i/lub zapisywanie transmisji w tym przechwytywanie przesyłanych rozmów, zdjęć, muzyki, obrazu z kamerki wideo, dźwięku z mikrofonu
  • nieusuwanie danych, które chcemy usunąć (maile, archiwa rozmów, pliki)
  • gromadzenie informacji, które udostępniamy dobrowolnie w sieci (chcąc wysłać znajomym zdjęcie lub wiadomość przez Facebooka musimy liczyć się z tym, że najpierw trafiają do Zuckerberga i dopiero on wysyła je naszym znajomym)
  • gromadzenie informacji które udostępnia nasz komputer mimo naszej woli

Z każdym z podanych zagrożeń jesteśmy w stanie walczyć, tylko najpierw musimy zrozumieć ich powagę. Jeżeli chociaż jeden z powyższych podpunktów nie zadziałał na Twoją wyobraźnię skończ czytać ten artykuł w tym miejscu.

Kradzież komputera / pendriva

To, że kradzież fizycznych nośników danych jest możliwa wiedzą wszyscy. Ale może nie wszyscy wiedzą, że da się przed tym zabezpieczać.

Hasło zabezpieczające logowanie na swojego użytkownika do systemu jest na ogół dobre tylko w sytuacjach, w której nie chcemy uciążliwej siostry dopuścić do swoich zdjęć z imprez. Takie hasło da się usunąć w kilka minut (może nawet sekund jak złodziej jest wprawiony).

W tym miejscu wypadałoby przedstawić programy, którym warto by było poświęcić osobne wpisy, ale tutaj tylko dotknę tematu. Jeżeli masz jakieś pytania, śmiało możesz zostawić komentarz.

Przechowywanie haseł na komputerze (KeePassX)

Nigdy nie powinniśmy trzymać haseł zapisanych na karteczce przy komputerze, albo w jakimś dokumencie tekstowym, albo gdziekolwiek, gdzie można bezproblemowo się dostać mając komputer. Z pomocą przychodzi program KeePassX, który przechowuje nasze hasła w zaszyfrowanej bazie. Bazę możemy szyfrować plikiem z kluczem, lub hasłem. Program pomaga generować losowe hasła (są to najmocniejsze hasła), zapamiętuje i może je wpisać do naszych formularzy. Pełny spis funkcji można znaleźć tutaj[EN]. Dzięki niemu jestem w stanie mieć do wszystkich usług różne, bardzo silne hasła i nie bać się, że po kradzieży mojego laptopa, ktoś się do nich dobierze.

Prawdopodobnie program ten niedługo dorobi się swojego własnego wpisu na moim blogu.

Szyfrowanie dysku (tcplay, TrueCrypt)

Kiedyś w tej kategorii był tylko Truecrypt. Jednakże po spoważnieniu zarzutów, że Truecrypt może zawierać jakieś backdoory [EN], postanowiłem przerobić ten akapit na tcplay. Tcplay to implementacja truecrypta, co oznacza, że jest on w stanie obsługiwać dyski zaszyfrowane przez Truecrypt.

Obydwa te programy obok wielu płatnych konkurentów służą do szyfrowania danych na dysku w locie. Oznacza to mniej więcej tyle, że nasz dysk jest cały czas zaszyfrowany, a dopiero jak komputer potrzebuje danych to sobie to odszyfrowuje. To niestety może sprawić, że komputer będzie chodził wolniej, ale jest to cena za takie zabezpieczenie. Dzięki temu jest duża szansa, że nawet po kradzieży naszego komputera/pendriva, danych nie uda się odczytać.

W Internecie można znaleźć wiele informacji na temat programów szyfrujących. W linuksie szyfrowanie można wdrożyć zgodnie z informacjami zamieszczonymi na Archwiki.

Monitorowanie skradzionego laptopa (Prey)

Bardzo ciekawym narzędziem jest Prey. Jest to zestaw skryptów, który pozwala na zdalne uruchamianie modułów pozwalających monitorować komputer, który został oznaczony jako skradziony. Innymi słowy, jak mam zainstalowany Prey na komputerze który ktoś mi ukradł, mogę przez swoje konto na stronie Internetowej zobaczyć zdjęcia robione przez aparat mojego laptopa, sprawić by laptop połączył się najszybciej jak się da z najbliższą otwartą siecią wi-fi i wysyłał wszystkie dane jakie ustawię mu żeby wysyłał.

Polecam zainteresowanie się tematem.

Bezpieczeństwo w Internecie

Jest kilka ważnych pojęć związanych z bezpieczeństwem w Internecie które warto zrozumieć przed przejściem do dalszej części artykułu:

  • Anonimowość: wiemy co ktoś mówi, ale nie wiemy kto to
  • Prywatność: rozmawiamy z naszym rozmówcą i nikt inny tego nie słyszy
  • Wiarygodność: wiemy że rozmawiamy z tą osobą, z którą mamy zamiar rozmawiać

W Internecie jest o wiele ciężej zachować anonimowość, prywatność i wiarygodność niż w życiu codziennym, gdzie wystarczy poszeptać do kolegi w miejscu gdzie nikt tego nie usłyszy. Jest wiele mechanizmów dających nam każdy z tych przywilejów i teraz postaram się opisać każdy z nich.

Anonimowość

W sieci istnieje kilka sposobów na zachowanie anonimowości. Można w tym celu skorzystać z technologii takich technologii jak proxy, VPN lub Tor.

Proxy

Serwer proxy w ogólnym zarysie jest komputerem przez który łączymy się z Internetem. Jest to sposób w którym wszystkim z którymi rozmawiamy wydaje się, że rozmawiają nie z nami, ale z tym komputerem. Dzięki technologii nazywanej SOCKS, możemy sprawić by cały ruch (komunikatory, przeglądarki internetowe, programy p2p i inne które mają wsparcie dla SOCKS) wychodzący z naszego komputera był kierowany do adresata przez serwer pośredniczący. W Internecie jest dużo publicznych serwerów proxy do których możemy się podłączyć. W programie firefox trzeba w tym celu otworzyć opcje programu, w kategorii zaawansowane wybrać zakładkę sieć i w sekcji Połączenie kliknąć przycisk ustawienia. Otworzy się nam okienko w którym możemy skonfigurować dowolny serwer proxy. Problem z publicznymi serwerami proxy jest taki, że są awaryjne i często serwisy Internetowe blokują ruch przychodzący z takich serwerów. Niestety o ile nasi rozmówcy widzą, że rozmawiają z pośrednikiem i nie wiedzą kto stoi za nim, o tyle jeżeli ktoś podsłucha nasz ruch pomiędzy nami, a serwerem, wciąż będzie mógł odczytać wszystko co przesyłamy.

VPN

VPN jest technologią zbliżoną do serwerów proxy, ale niesie ze sobą więcej korzyści, przez co najczęściej jest płatna. Sama technologia służy do łączenia się z prywatnymi zasobami po niebezpiecznym łączu jakim jest Internet. Udało się tego dokonać korzystając z szyfrowania ruchu pomiędzy naszym komputerem, a serwerem. W tym przypadku, gdy ktoś nas chce podsłuchać to jedyne co zobaczy to to, że jesteśmy połączeni z serwerem VPN, ale nie będzie wiedział co tam przesyłamy. Co więcej gdy chcemy korzystać z VPNów nie musimy konfigurować każdego programu z osobna tak jak w przypadku serwerów proxy. Jest to spowodowane tym, że w przypadku VPNów łączymy się z siecią wirtualną, przypominającą zwykłą sieć domową.

Tor

Tor jest najlepszym z omawianych tu sposobów na zachowanie anonimowości w Internecie. Korzystanie z Tora jest proste i darmowe. Niestety korzystając z Tora musimy się uzbroić w cierpliwość, bo niestety jest to mało wspierana technologia i brakuje jej przepustowości. W związku z tym można się spodziewać, że nawet zwykła strona będzie się ładowała kilka minut. Trzeba jednak wiedzieć, że im więcej osób korzysta z Tora tym jest to bezpieczniejsze. Gorąco zachęcam do korzystania z Tor Browser Bundle dostępnego na torproject.org. Po uruchomieniu Vidalii mamy możliwość skonfigurowania jej tak, żeby nasz komputer na specjalnym porcie stał się serwerem proxy. W ten sposób każdą aplikację, której ustawimy serwer SOCKS (podobnie jak w Firefox dwa paragrafy wyżej) możemy przestawić na korzystającą z Tora.

Prywatność

Gdy chcemy porozmawiać ze znajomym i nie chcemy żeby ktoś inny nas zrozumiał najlepiej skorzystać z szyfru. Mamy do czynienia z dwoma rodzajami szyfrowania: Szyfrowanie synchroniczne, w którym mamy jeden klucz (hasło), którym zarówno szyfrujemy jak odszyfrowujemy wiadomość. Szyfrowanie asynchroniczne, w którym musimy mieć dwa klucze. Jednym z nich szyfrujemy wiadomość, a drugim deszyfrujemy. Jest to dlatego genialne, że klucz którym ktoś miałby szyfrować wiadomości wysyłane do nas możemy wysyłać gdzie chcemy i komu chcemy, bo z założenia i tak nikt bez posiadania drugiego klucza nie rozszyfruje tej wiadomości. Klucz do szyfrowania nazywamy kluczem publicznym, do deszyfrowania kluczem prywatnym. Każdy może sobie wygenerować parę kluczy i zacząć korzystać z dobrodziejstw jakie oferują. Do tego celu można skorzystać z programu GnuPG dostępnego na licencji GPL.

Prywatne rozmawianie

Jako przykład opiszę dokładnie co należy zrobić, aby porozumiewać się ze swoimi znajomymi zachowując prywatność. Propaguję ten sposób komunikacji między znajomymi, ponieważ w ten sposób tylko odbiorca i nadawca wie o czym jest rozmowa. Gdy korzystamy z innych opcji takich jak Google Talk, Gadu-Gadu, Facebook, to dopóki nie korzystamy z szyfrowania pomiędzy dwoma punktami, nie ma mowy o prywatności. Zazwyczaj ktoś sobie zapisuje (i ma w tym niezły biznes) wszystkie nasze rozmowy. Żeby porozumieć się z drugą osobą prywatnie wystarczy przejść przez 6 nietrudnych kroków:

  1. Założyć konto jabbera lub skorzystać z konta facebookowego. Najlepiej w tym celu odwiedzić stronę www.jabber.org i postępować zgodnie z instrukcją. To znaczy można założyć konto na samym jabber.org lub wybrać sobie dogodny serwer publiczny z listy serwerów XMPP.
  2. Zainstalować klienta Jabbera (ja używam Psi+, ale jest ich bardzo dużo) i skonfigurować w nim konto podając świeżo zarejestrowane dane.
  3. W linuksie wystarczy mieć zainstalowane gpg oraz libqca2-plugin-gnupg. GPG jest w większości dystrybucji preinstalowany, natomiast libqca2-plugin-gnupg trzeba doinstalować, żeby Psi+ miał wsparcie dla szyfrowania.
  4. Po tym trzeba wygenerować parę kluczy wpisując gpg –gen-key odpowiadając domyślnie na pytania których się nie rozumie. W pewnym momencie komputer się zatrzyma i poinformuje nas o tym, że musi pozbierać dane losowe. Jest to spowodowane tym, że komputer nie potrafi generować liczb losowych. Przez to monitoruje ruchy myszką i wciskane klawisze klawiatury traktując to jako dane o wysokim współczynniku losowości. Gdy klucze już się wygenerują najwygodniej jest wrzucić swój klucz publiczny na serwer. W linuksie wystarczy wydać polecenie gpg --export , gdzie id_klucza to id klucza, który dostaliśmy. Może wyglądać np. tak 38E6D500.
  5. Kiedy znajomy zrobi krok 4 powinno się udać otrzymać ID jego klucza publicznego po wydaniu polecenia gpg --search-keys 'adres@email.pl'. A następnie importując jego klucz podając gpg --recv-keys .
  6. Teraz wystarczy tylko skonfigurować Psi, aby używał podanych kluczy. W tym celu musimy do naszego konta dodać klucz prywatny jaki wygenerowaliśmy (żeby odszyfrowywać wiadomości które dostajemy), a do kontaktu przypisać klucz publiczny znajomego, który pobraliśmy z serwera.

Wiarygodność

Potwierdzić swoją tożsamość można korzystając z wcześniej wygenerowanych kluczy. O ile w świecie rzeczywistym podpis jest zawsze taki sam o tyle w świecie wirtualnym podpis cyfrowy jest zawsze inny i tworzy się go korzystając z klucza prywatnego.. Jest to tak sprytne, że pozwala ludziom posiadającym nasz klucz publiczny zweryfikować poprawność podpisu cyfrowego, ale nie daje możliwości wygenerowania klucza za nas.

Ukrywanie aktywności w sieci

Co w Internet wrzucamy (sieci społecznościowe)

Niestety jeżeli wrzuciliśmy coś na serwery Facebooka, to musimy pogodzić się z tym, że na zawsze tam zostają. I to nie ukrywane. Niestety nie mamy na to wpływu. Oczywiście możemy ordynarnie przestać korzystać z sieci społecznościowych, przysłowiowo zakopać się pod ziemię i z nikim nie rozmawiać. Ale nie o to chodzi. Oczywiście jest alternatywa dla Facebooka. Diaspora*.

Ciasteczka i inne trackery

Wiele się ostatnio mówi o tych małych szpiegach. Wiele można przeczytać w Internecie na ten temat. Na przykład na stronie http://wszystkoociasteczkach.pl/pytania-i-odpowiedzi-faq/ na której możemy przeczytać ogólnie czym są. I chociaż zapewniają, że to w żaden sposób nie identyfikuje użytkownika, piszą, że dzięki nim reklamy są lepiej dopasowane do użytkownika. Czy to sobie nie zaprzecza?

Ciekawym przypadkiem są zapisywane w ciasteczkach informacje przez linie lotnicze i podbijanie cen w zależności od tego jak bardzo nam zależy na danym locie. Żeby nie paść ofiarą takich zagrywek warto korzystać do tego celu z trybu prywatnego przeglądarki. W Firefox Ctrl+Shift+P.

Gorąco zachęcam do zobaczenia strony: http://donttrack.us/

Komentarze

Dodaj komentarz

Informacje o najnowszych wpisach publikuję na moim profilu na Facebook.

Najnowsze wpisy

Zaprzyjaźnione strony

Używamy plików cookie w celu zapewnienia najlepszej jakości usług. Kontynuując, wyrażasz zgodę na korzystanie z plików cookie.
Ustawienia zaawansowane