Tag Archives: ITSec

The IT Security primer

How to start improving your computer security.

Start using safer communication immediately:

Tools that are more advanced or still in development.

Further readings (yes, you have to read it)..

Jailbreak time. Are we ready to migrate to Friendica?

We are looking for people interested migrating out of FB, specifically to decentralised social network run under Friendica. If there is enough of us (say, 10 ppl) ready to spend some time and effort, we can go along the following list:
1. Set up a FB group for future migrants. If FB blocks it, we may fallback to some external forum.
2. Evaluate conditions needed for being happy Friendica users.
3. Evaluate resources we need to fulfill the said conditions.
4. Gather supporters.
5. Pool resources.
6. Set up a test server (for those who do not want to meddle with own local server).
7. Teach and support those who do.

Certain features of Friendica we may be interested in:

    • Decentralised architecture with no central authority or ownership
    • Extensible via third-party plugin modules and themes. A growing number of both are currently available.
    • Server-to-server military grade message encryption (on supported networks)
    • Private conversation groups – on these pages all communications are restricted to group members – similar to Google+ “circles” or Diaspora “aspects”
    • Optionally “expire” old content after a certain period of time. The content is also removed from all other Friendica servers which might be holding a copy.
    • Location and other private information embedded in uploaded photos from cell phones is stripped
    • Download your personal data. It all belongs to you.
    • Facebook contacts and posts may be imported and become an extension of the Friendica network

See the infographic:

friendica_infographic


You will learn more at http://friendica.com/features

Join us at https://www.loomio.org/g/kyormDWI/jailbreak-are-we-ready-to-migrate-to-our-own-social-network

Dlaczego potrzebujemy bezpiecznej komunikacji w internecie?

Życie pod mikroskopem

Inwigilacja sieciowa stwarza trzy główne zagrożenia:

  • Jest w dużej mierze automatyczna. Zbierane są tak wielkie ilości danych, że brak jest ludzi-analityków, którzy mogliby je w miarę na bieżąco przeglądać i inteligentnie interpretować. Oznacza to, że generowanie alertów – metaforycznych “czerwonych lampek” – spada na programy. W efekcie można się spodziewać coraz częstszych fałszywych alarmów. Każdy z nas, tutaj na forum, może już figurować na jakiejś “krótkiej liście” – tylko dlatego, że jakiś program wyłapał wzorce korespondencji, słowa kluczowe w treści, albo “niewłaściwe” znajomości. I dopóki nie zawita do nas grupa realizacyjna, nie będziemy mieć o tym najmniejszego pojęcia. A wtedy będzie już ciut za późno.
  • Obejmuje bezterminową retencję danych. W praktyce oznacza to, że kopie naszej korespondencji sieciowej (w tym treści z chatów i nagrania głosowe ze Skype) przechowywane są na serwerach “służb” do końca naszego życia. Nawet, jeśli nikt ich nie czyta w tej chwili, to w dowolnym momencie mogą zostać wyciągnięte z archiwum i wykorzystane w dowolnym celu. Prawo się zmienia i za 10-20 lat to, czym zajmujemy się teraz może być na przykład uznane za zagrożenie dla państwa.
  • Inwigilacja w coraz większym stopniu jest realizowana przez firmy komercyjne, działające na zlecenie agencji rządowych. Zarówno agencje miedzy sobą, jak i “kontraktorzy” wymieniają się danymi – w tym treścią naszej komunikacji – a niektórzy je po prostu sprzedają. Oczywiście, żaden z nas nie czuje się na tyle ważny, aby czuć się zagrożonym, ale nie wiadomo kiedy to się może zmienić.

Po zeszłorocznych rewelacjach Edwarda Snowdena, stopniowo (wciąż jeszcze nie do końca) odsłaniających zasięg inwigilacji w sieciach komunikacyjnych, zakres handlu danymi z tej inwigilacji i poziom infiltracji w firmach internetowych, cała wiedza o tym, jak bezpiecznie komunikować się w Internecie, stanęła na głowie. Nie wiadomo, jakim produktom, jakim producentom, którym ekspertom ufać, a którzy są opłaceni lub szantażowania przez NSA lub jej odpowiedniki z innych krajów.

Jedno stało się pewne: jeśli my nie zadbamy o nasze bezpieczeństwo, nikt tego nie zrobi za nas.

W tej chwili na uniwersytetach, w rządowych laboratoriach i w hackerspejsach trwa wyścig zbrojeń. Ludzie pracują nad wdrożeniem nowych systemów szyfrowania, które były dotychczas teoretycznie znane, ale nie wdrażane, jako “za mocne”. To się zmieniło. Dotychczasowe standardy: TOR (współfinansowany przez US NAvy Labs), algorytmy RSA i funkcje haszujące, nie są już uznawane za bezpieczne. Ale na razie nie mamy nic lepszego – i nie wiemy, czy mieć będziemy.

To, co mamy, to rosnąca ilość narzędzi pozwalających w sposób _względnie_ skuteczny szyfrować różne rodzaje komunikacji na całej długości kanału. Tak, aby nikt – operator internetu, służby lokalne, NSA – nie miał swobodnego (pozwalającego na automatyczną analizę) dostępu do treści komunikacji, listy kontaktów i tzw. metadanych. Abyśmy mieli (w rozsądnych granicach) pewność, że korespondujemy właśnie z tym, z kim myślimy, że korespondujemy. Abyśmy wreszcie, w razie potrzeby, mogli całkowicie wyprzeć się faktu tej komunikacji.

Poniżej przedstawiam Wam RetroShare – narzędzie, które w rozsądnym zakresie (i w sposób niewymagający głębokiej wiedzy informatycznej) realizuje całkiem sporo tych funkcji.

Czym jest RetroShare?

To jest program, służący do komunikowania się z innymi użytkownikami tego samego programu, w sposób zapewniający prywatność, pewność identyfikacji i umiarkowany poziom anonimowości. Oczywiście warunkiem tego wszystkiego jest zachowywanie dobrych praktyk bezpieczeństwa.

Prywatność, ponieważ cała komunikacja jest szyfrowana i poza odbiorcą (odbiorcami) nikt nie ma dostępu do odszyfrowanych treści. Szyfrowanie odbywa się bezpośrednio w komputerze nadawcy, a odszyfrowywanie – w komputerze odbiorcy.

Pewność identyfikacji, ponieważ każdy użytkownik programu generuje sobie własny klucz, którym potem posługuje się w komunikacji z innymi. Oznacza to, że korespondując z kimś, mam za każdym razem powody wierzyć, że to ta sama osoba (znana mi osobiście, lub nie).

Umiarkowana anonimowość, ponieważ nie muszę się w żaden sposób legitymować, rejestrować, przedstawiać, zaczynając korzystać z programu. Jednakże nie jest bardzo trudno (dla fachowca) zdobyć np. adres IP, z którego “nadaję”. Jeśli więc chcę być w pełni (na ile to możliwe) anonimowy, muszę użyć dodatkowych środków.

Jaką komunikację zapewnia RetroShare?

Czat, wiadomości typu email, komunikację głosową, fora, wymianę plików i linków. Są też kanały multimedialne i RSS.

Wszystkie te sposoby komunikacji przeznaczone są dla grup znajomych. Innymi słowy, moje pliki (o ile nie zadecyduję inaczej) mogą widzieć tylko moi znajomi i ich znajomi. To samo dotyczy rozmów i wymiany wiadomości.

Gdzie przechowywane są dane?

RetroShare nie korzysta z żadnych serwerów. wszystkie dane (treść maili, adresy itp.) przechowywane są – zaszyfrowane i rozproszone – w komputerze moim i innych użytkowników. Nikt nie ma wszystkich danych w jednym miejscu. Nie istnieje żaden serwer, do którego można by podłączyć system inwigilacji.

Jak bezpieczne jest RetroShare?

Wystarczająco, żeby prowadzić korespondencję i rozmowy na tematy “wrażliwe”, czyli zawierające słowa kluczowe, wzbudzające zainteresowanie “służb”. Na razie przynajmniej, nie jest to narzędzie poziomu “czerwonego”, czyli dające całkowite bezpieczeństwo przed skoncentrowanym atakiem. Z jednej strony są w środowisku zastrzeżenia co do mechanizmów bezpieczeństwa użytych w RS, z drugiej – spodziewana jest niebawem wersja 6.0, która ma być znacznie ulepszona.

Jak używać RetroShare?

Pobrać odpowiednią wersję z http://retroshare.sourceforge.net/ (wskazane jest znajomość angielskiego – polskie tłumaczenie programu jest fragmentaryczne). Zainstalować. Utworzyć tożsamość (najlepiej na razie testową). Przeczytać informacje o zdobywaniu przyjaciół na http://retroshare.wikidot.com/ – podłączyć się do serwerów publicznych.

Wymienić się kluczami z innymi użytkownikami – w taki sposób, żeby mieć pewność, że klucze są autentyczne.

Zacząć używać.

Gdzie się mogę dowiedzieć więcej?

Linki na temat RS:

http://retroshareteam.wordpress.com/

http://retroshare.sourceforge.net/

http://retroshare.wikidot.com/

http://en.wikipedia.org/wiki/RetroShare