Szeroko pojęte bezpieczeństwo danych.

0

Nawiązując do przecieków z USA, incydentu z laptopem w tygodniu Wprost zeszłego roku oraz ostatnią kontynuacją owej afery nachodzi mnie pytanie jak się chronić.

Jak? Jakie programy. Jaki sprzęt. Jakie metody.
Rozważając prosty przypadek.

Mamy coś ważnego na dysku. Nie chcemy tego ani stracić ani oddać w przypadku wizyty osób trzecich(rządowych(*) i nie).

  1. Rozumiem, że trzeba robić kopie zapasowe. Tylko gdzie? Inne dyski? Pendrive? Może w sieci? W chmurze?
    Co do chmury. To jakiej? Najlepiej szyfrowanej. Polskiej? Amerykańskiej? Czy to nie jest tak, że upraszczając władza wysyła list do serwerowi o udostępnienie danych/plików to udostępniają?

Co do zagranicznych. W takich "aferach" jak podsłuchowa NSA raczej nie będzie zainteresowana i nie będzie ingerować w dane. Zakładając, że Snowden ma racje to i tak NSA ma do nich dostęp ;) W takim wypadku czy owe polskie służby mogą wystąpić do zagranicznego serwera o udostępnienie danych? Pewnie mogą ale czy udostępnią? Co z prywatnością?

ZAWSZE WYDAWAŁO MI SIĘ, ŻE JEŚLI NIE CHCEMY CZEGOŚ POKAZAĆ TO NIE POKAZUJEMY NAWET POLICJI ;) Młodość spędziłem w błędzie czy mamy takie prawo?

  1. Rozumiem, że trzeba szyfrować dane. Ale jak? TrueCrypt? BitLocker? Mam rozumieć, że polskie władze nie mają dostępu do furtek?
    To szyfrować programowo i sprzętowo?

  2. Temat bezpieczeństwa jest bardzo obszerny i to sprzętowo, programowo i bezpieczeństwo sieci. Dlatego zawężając co zrobić by czuć, że nasze dane są bezpieczne i pseudo informatycy z ABW nie dostaną się do nich nawet po zabraniu laptopa? Oczywiście niech to będzie SKUTECZNE rozwiązanie ale też NIE narzucające przy każdym uruchomieniu laptopa/pliku wpisywanie 20 haseł po 40 znaków.

    • rząd ma prawo zabrać sprzęt bo może być na nim coś co mu przeszkadza lub jest istotne dla sprawy?

Dokładając dla odważnych do tematu:

  1. W przypadku telefonii komórkowej czy wszystkie moje rozmowy głosowe, tekstowe są dostępne dla operatora? Władzy? Jak im odebrać tą możliwość.

  2. W przypadku Internetu. Czy mój dostawca Internetu ma wgląd to co robię? Że przeglądam takie strony, że siedzę teraz na FB, że wysyłam wiadomości i rozmawiam przez Skype? Czy oni mają dostęp do tych danych? W końcu przechodzi to przez ich "skrzynki". Jak mogę sprawdzić czy jest inaczej? W końcu nie które strony mam poblokowane na aktualnym Internecie.

Więc:
1a) Jak bezpiecznie surfować po Internecie?
2a) Jak bezpiecznie komunikować się ze znajomymi poprzez Internet?

1
  1. Wszędzie gdzie się da, tylko szyfruj przed zbackupowaniem. Zwykłe archiwum na hasło wystarczy. Policji możesz powiedzieć, że zapomniałeś hasła i w Polsce nic Ci nie grozi.
  2. Wybierz coś, co jest najwygodniejsze. Nigdy nie masz pewności, że nie ma furtki, niemniej Truecrypt wydaje się bezpieczny. Szyfrowanie programowe ma tę zaletę, że możesz takie dane wrzucić w chmurkę.
  3. Zrób keepassa i hasła nie będą problemem, a resztę ustaw tak, żeby było wygodnie. Dla mnie sprawdzają się archiwa rar na hasło, mogę je przeglądać bezpośrednio total commanderem, mogę je bez obaw wrzucać w Internet i teoretycznie jestem bezpieczny. Do tego szyfrowany dysk Bitlockerem.
  4. Tak, GSM ma słabe szyfrowanie. Musisz używać zewnętrznych aplikacji.
    1a. Wykup jakiś VPN albo zrób swój i jesteś bezpieczny (tak bezpieczny, jak bezpieczny jest VPN).
  5. Ma, chyba że używasz SSL, to wtedy nie może podejrzeć treści komunikacji (ale może ustalić, że taka komunikacja była).
    2a. Są różne wtyczki do komunikatorów szyfrujące wiadomości, możesz też używać szyfrowanych skrzynek mailowych. Opcji jest dużo, pytanie tylko, które z nich są na tyle wygodne, aby używać ich na co dzień.
1

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Nie przeglądałem jeszcze dokładnych komentarzy co do ostatniej afery, ale:

  1. W backupie stosuj zasadę 2+2 - dwa różne media (np. dyski + DVD) i dwa różne miejsca przechowywania. Chmura jest niezła jako off-site backup, ale musisz tutaj "zaufać" swojemu oprogramowaniu szyfrującemu. Polska czy amerykańska (są polskie?) w zasadzie nie ma tak dużego znaczenia, polskie służby mogą wystąpić o udostępnienie ewentualnych danych. A firmy będą starały się postępować zgodnie ze służbami.

W przypadku danych szyfrowanych Dropbox i jego synchronizacja różnicowa ma przewagę np. nad OneDrive, bo wysyła tylko zmienione bity kontenera, a nie cały.
AFAIR w Polsce wciąż nie ma obowiązku donoszenia na samego siebie i udostępniania swoich kluczy szyfrujących.

  1. TrueCrypt jest nie do końca pewny z uwagi na aferę z nim związaną. BitLocker z uwagi na tę samą aferę jest również niepewny. Ja osobiście lubię BitLockera, bo bardzo zgrabnie się integruje z TPM, eDrive i Windows jako takim, ale nie traktuję go obecnie jako narzędzia idealnego dla paranoików. Polskie władze mają dostęp do kodu źródłowego systemu Windows, więc jeżeli są tam furtki to prawdopodobnie mają do nich dostęp.
    Aczkolwiek analizując "wycieknięte" akta i stwierdzenia w postaci "w telefonie iPhone nie stwierdzono karty pamięci" można przypuszczać, że wiedza władz o furtkach może być żadna.

  2. Wygoda vs bezpieczeństwo. Wybierz jedno. Jestem bardzo ciekawy jak ABW poradziłaby sobie z zaszyfrowanym dyskiem tandemem BitLocker + eDrive

  3. Tekstowe na pewno. Nie wiem jak z GSM, bo nie znam się na kwestiach technicznych, ale podsłuchiwanie GSM jest dość proste, nieco trudniejsze jest podsłuchiwanie UMTS.

  4. Dostawca internetu ma możliwość śledzenia pakietów z twojego komputera, zwłaszcza odwołań do DNS śledząc jakie domeny próbujesz odwiedzać. Ruch HTTPS nie jest możliwy do podsłuchania bez ataków postaci Man In the Middle, które są zauważalne. Facebooka, Google i parę stron da się wymusić na HTTPS (dodatek HTTPS Everywhere do przeglądarki od fundacji EFF). Nie wiem jak wygląda sprawa obecnie ze Skype, ale rozmowy przechodzą przez serwer centralny.

Co do bezpiecznej komunikacji: komunikator oparty o protokół XMPP z obsługą GnuPG lub OTR. Poczta szyfrowana przez GnuPG. Kryptografia asymetryczna rozwiązuje problem udostępniania klucza, a jest nietrudna w implementacji w wielu przypadkach.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iEYEARECAAYFAlV4iA0ACgkQrIXFKcJ+IPGJxACgptMpi+NjOb5gXxY/WKccSpG4
4aEAnibmVpTY2YG4SH/kbpTg6PbPomK+
=jvzN
-----END PGP SIGNATURE-----

0

Ograniczając się na razie tylko do jednego fragmentu.
To co napisałeś o dostawcy Internetu zinterpretowałem tak, że widzą, że to z mojego PC wysłałem tego posta ma tym forum, mój login itd... To samo jak wysyłam jakąś wiadomość nie przez HTTPS to widzą jej treść? Np. email z o2.pl i tym podobne?

0

Tak, mogą. Ruch przechodzi przez twojego ISP, więc każdy nieszyfrowany ruch można podsłuchać. Login i hasło lecą czystym tekstem.
Co do maili to może też do dotyczyć nie tylko przez przeglądarkę, ale i nieszyfrowany POP3, IMAP i SMTP.

Fakt, że można to zrobić, nie oznacza automatycznie, że to się robi.

1 użytkowników online, w tym zalogowanych: 0, gości: 1