Wpis z mikrobloga

Jak bezpiecznie rozmawiać między 2 osobami np. Alice i Bob przez Internet?
TL;DR na końcu.

#anonimowosc #tor #freenet #i2p #nieprzyjacieleniewoli #cypherpunk #ciekawostki #internet

Tutaj znajduje się bardzo szczegółówy poradnik. Jeżeli pominiesz dowolny element opisu to na pewno nie będziesz bezpieczny, zawarte tu jest sporo informajci które ciężko znaleźć.

Celem może być równocześnie lub osobno:

prywatność - osoby inne niż nasza Grupa (Alice i Bob) nie zobaczą treści wiadomości

anonimowość - gdy Alice pisze do Boba, to Bob nie wie kim jest Alice (nie zna jej fizycznych danych, danych osobowych, lokalizacji, adresu IP, ani żadnych innych informacji oprócz tego co Alice sama powie)

niewidzialność - inne osoby niż Alice i Bob nawet nie wiedzą że Alice komunikuje się z Bob

autentykacja - gdy Alice pisze do Bob, to Bob wie że dana wiadomość jest od Alice, w sensie np. od osoby która założyła konto "Alice", które jest identyfikowane np po kluczu publicznym lub innym jakby "numerze seryjnym"

UWAGA: przeczytaj dokładnie całość zanim cokolwiek zaczniesz robić lub otwierać linki, strony!

warunki ogólne:
- po pierwsze przed zainstalowaniem programów poczekajcie losowo jakiś czas, jeżeli nie chcecie być związani np. z przeczytaniem niniejszego artykułu, bo jak 5 minut po jego przeczytaniu klikniesz link nawet przez Tor (przez poprawnie ustawiony Tor Browser Bundle) wpiszesz ręcznie np. "http://getip2.net" to łatwo się domyśleć kto to. Jeżeli możesz to najlepiej poczekać nawet miesiąc, a przynajmniej z dzień.
- tor używa sporo osób, wystarczy poczekać dzień, i2p raczej mniej, poczekaj z tydzień, a Freenet jeszcze mniej gdyby dodatkowo było wiadomo np że pisze z z Polski to poczekaj miesiąc lub parę. Lepiej było by aby używać tych mniej popularnych sieci przez tor, ale obecnie to nie jest technicznie zbyt wykonalne więc załóż ja np za parę dni, a zacznij używać na poważnie za miesiąc.
- zawsze szyfruj. Szyfruj bo to co robisz jest mało ciekawe. Wtedy masz doświadczenie oraz nie jest dziwne że "nagle" zaczynasz to robić. Prywatność to podstawowe prawo człowieka, ważniejsze niż różne socjalistyczne głupoty - i możesz sam to zrobić.
- ogólnie musisz mieć nie-zawirusowany komputer i system. Windows, MAC OS X, zawierają moim zdaniem na pewno backdoory rządowe, oraz wiele lub i dziur wykorzystywanych przez Crackerów i włamywaczy. Dobrze ustawiony Linux ma szansę być bezpieczny
- warto też zaszyfrować dysk. Cały dysk razem z plikami tymczasowymi, z swap itd, a nie tylko swój katalog domowy lub /home.
- i tak nie wygrasz z agencjami różnych złych rządów, oni mają backdoory na poziomie sprzętu z którymi nic nie zrobisz. Jeżeli będziesz np kupował bombę atomową ;) czy coś, to nie da się tego obronić w ten sposób.
- zawsze lepiej mieć osobny komputer do anonimowości na którym nie robisz błędów, nie używasz Adobe Flash czy innych wirusów, nie instalujesz zamkniętego i nie zaufanego oprogramowania. Można kupić używane komputery za 300-500 złotych. Jest też ryzyko iż ona już są zawirusowane na poziomie BIOS, ale z tym też nie zbyt wiele raczej zrobisz niestety. Na razie musisz pominąć te problemy i po prostu nie rób nic nie legalnego - ani nic co mogła by zbytnio wkurzyć bardzo silne np. mafie (np. rządowe).
- zawsze są ataki czasowe, np gdy "ktoś" będzie wysyłał update na jakiś poufny blog zawsze 5 minut po tym gdy Twój telefon komórkowy wróci do Twojego domu (widać to po stacjach bazowych BTS - triangulacja, po monitoringu miejskim, oprócz tego WiFi telefonu, oraz z którego IP telefon ściąga aktualizacje automatycznie sprawdza - w ogóle telefony to tragedia dla bezpieczeństwa) - to będzie wiadomo że to pewnie Ty jesteś
- są też style pisania na przeróżnym poziomie (długość zdań, interpunkcja, częstotliwość używania danych słów/synonimów, oraz wyrażeń)
- są też ataki różne socjologiczne, gdy ktoś napisze że np. straż miejska X oszukuje, w godzinę po tym gdy przez telefon będziesz się z nimi o coś kłócik - to też źle.
- no i zostaje też banalna kwestia pochwalenia się komuś co robisz nawet zaufanej osobie a nie widziałeś że jej komputer jest zhackowany
- ataki czasowe są bardzo skuteczne.
-- w sieciach połączeniowych jak Tor, oraz i2p używane np do jakiegoś jabbera czy coś - to działa bardzo źle, gdy zerwie Ci połączenie to prawie od razu w tym momencie wyrzuci Cię z anonimowego połączenia, zastawiając te dane będzie wiadomo "kim jest Alice"
- błędy w klientach! w tym w klientach email
-- wiele programów (nie?)chcąco niszczy Twoją prywatność
-- program poczty Thunderbird rozsyła niezaszyfrowane pytanie n/t domeny którą używasz przy zakładaniu konta
-- programy XMPP Jabber np. Pidgin, ale też pewnie Psi i inne, ustawiają dużo danych o Tobie np klienty ma Macintosh ale i inne domyślnie uzupełniają Twoje dane nazwę usera imię nazwisko o ile są podane w systemie operacyjnym itd, oraz publikują logo użytkownika (to z systemu) o ile pamiętam
- ogólnie najpierw poużywaj technologii przez tydzień (a lepiej miesiąc) codziennie jako zabawę, popróbuj, zobacz czy coś wycieka
- zawsze ucz sie, pytaj, czytaj nowości i raporty błędów programów, protokołów, systemów operacyjnych których używasz

- aha wszystko w/w zakłada że działasz zwyczajnie, tzn siedzi w domu, z komputerem (lub tym drugim komputerem).
W praktyce dużą pomocą może być użycie innej sieci np. przez serwer VPS (ale kupiony anonimowo itd),
lub zakup innego łącza lub z tel komórkowego, lub od znajomych ( :P ).
Zresztą najprostsza rada na w miarę anonimową komunikację dla kogoś kto nie jest ekspertem: po prostu wydaj z 500 zł kup komputer, kup lub jakoś zorganizuj łącze internetowe, tam napisz coś jednorazowo i gotowe.
Z drugiej strony jednak też uważaj na różnego rodzaju monitoring zły pracownik ochrony może sobie zapisać kto używa WiFi, używa kafejki (bardzo zły pomysł!), kupuje karty prepaid (na stacji, dworcach i innych takich miejscach to zły pomysł) tak że wszystko z głową. Są kamery, jest Twoja pozycja GPS/BTS gdy masz telefon, są notowane numery seryjne laptopa którego używasz np numer MAC karty WiFi którą masz w laptopie, modem karty prepaid też ma numer IMEI seryjny który zgłasza operatorowi.
Zależy czy do zabawy w szyfrowanie, czy do np ciekawej publikacji politycznej w jakimś kraju gdzie rządzi reżim i niszczy wolność słowa.

i2p połączenia np. XMPP jabber - tego NIE należy używać jeżeli chodzi o w miarę poważne bezpieczeństwo gdzie ktoś będzie próbował serio zgadnąć kim jesteś a nie zabawę czy testy. Bo gdy zerwie łącze (np padnie WiFi, padnie dostawca internetu, laptop się uśpi, itd) - to wtedy widać że ta tajna "Alice" też znika i potem wraca akurat wtedy gdy Ty wracasz. Np gdy Twój skype pokazuje że jesteś online. Zobaczą to znajomi (bo znają Skype), zobaczy to ktokolwiek z funduszami (przekupi/zhackuje po stronie ISP lub po stronie Skype/gg/irc/itd).
Tam samo wszystkie inne połączeniowe rzeczy.
Do tego XMPP większość klientów leakuje nawet soro danych.
Szkoda, bo ma dobrą wtyczkę OTR (off-the-record).
Oraz jest serwer, serwer wie dokładnie kto z kim pisze.
Do rozmów gdzie NIE musisz się ukrywać zbytnio, nie chcesz właściwie anonimowości, a jedynie poufność treści rozmowy i autoryzację (do pracy na przykład) to polecam - tu bardzo pasuje (aby był w tej roli prawie idealny to brakuje tylko odporności na kwantowe komputery).

tor - torchat z github.com/prof7bit/TorChat/ - ma opisane powyżej wady protokołów połączeniowych (korelacja czasowa), ale oprócz tego jest dobry. Nie jest odporny na komputery kwantowe i nie ma forward-secrecy (złamanie hasła np za 10 lat pozwoli odczytać wszystko wstecz zdaje się).
Podsumowując, o ile używa się go ostrożnie do raczej krótkich rozmów a nie aby pozostawiać go ciągle włączone na komputerze który czasem straci łącze albo tym bardziej na laptopie - to może być nawet. Szkoda że nie ma szyfrowań odpornych na komputery kwantowe i forward-secrecy.

i2p-bote - daje bardzo dobrą prywatność, nawet z odpornością na komputery kwantowe (wybierz adres NTru), dobrą anonimowość i niewidzialność (pod warunkiem iż, najlepiej, zostawisz program włączony 24/7) i bardzo dobrą autentykację.
Sieć #i2p (poszukaj w google, ale ogólnie http://geti2p.net/) i w niej użyć pluginu i2p-bote, w menu głównym na 127.0.0.1:7657 jest on z menu z boku pod nazwą "SecureMail" (po angielsku przynajmniej).
Warunki: po pierwsze stosują się wszystkie warunki ogólne podane powyżej
Przy tworzeniu konta np Alice, wybierz rodzaj konta/szyfrowania NTru (odporne na kwantowe).
Stwórz tylko jedno konto na jednym komputerze (bo inaczej korelacje czasowe).
Miej włączony program cały czas i ustaw odbieranie wiadomości dość rzadko np co godzinę (jest w opcjach "Check for mail every ... minutes"). Być może da się wykryć kiedy Alice sprawdza konto, co pomogło by odkryć kim Alice jest (adres IP) zobaczyć że odbiera pocztę o 10:15, 11:15, 12:15, 13:15, 15:15 (brakuje o 14:15) porównując czasy kiedy komputery używające sieci I2P są włączone (ISP mają te informacje)
lub też przeciwnie, ustaw hasło na skrzynce i odbieraj emaile tylko ręcznie np raz na dzień co usuwa powyższy problem lecz w zamian pokazuje kiedy dokładnie byłeś przy komputerze.
W przyszłych wersjach i2p mam nadzieję iż czasy odbierania wiadomości będą losowe ogólnie, a powinny być w ogóle losowe dla każdego konta oraz losowo powinien komputer udawać iż "go nie ma" co jakiś czas.
Emaile można dodatkowo jeszcze szyfrować przez GPG z czasem. @TX1683 pisał o tym artykuł ogólnie jak to szfyrować. Aby to podpiąć z niniejszym programem możesz ręcznie szyfrować pliki tekstowe z wiadomościami i przeklejać ich treść przez np. --armor aby był łatwy do wklejenia zaszyfrowany tekst.
Lub, możech chyba też podpiąć klienta email do i2p-bote, ale uwaga na błędy w klientach email opisane powyzej

freenet-freemail wolna metoda (emaile może dojdą i dzień później) ale wydaje mi się bardzo, bardzo bezpieczna. Dość podobna do i2p-bote. Niestety obecnie używa systemu zaufania WoT (web of trust) który domyślnie rozgłasza kiedy jesteś online.

Ciągle jest jak widać pole do poprawy w tej tematyce...

TL;DR: najlepiej zacznij od komputera do prywatności, jeżeli masz wolne ~500 zł z linux np. Mint czy Debian i daj szfyrowanie dysku w instalacji (ale jak nie to trudno).

Poczekaj losowo z dzień i załóż sobie Tor / Tor Browser Bundle. Używaj ich od czasu do czasu.

Poczekaj jeszcze z tydzień i załóż sobie i2p i freenet, zostawiaj je włączone.
Przy instalacji Freenet koniecznie daj wielkość store na 1 GB lub mniej.

Do rozmów anonimowych - używaj emaila i2p-bote
Do szybkich rozmów w miarę anonimowych - torchat powinien być niezły
Nie powstał jeszcze idealny bezpieczny komunikator. Ale używaj tego co istnieje dziś i się rozwijaj :)
Ciągle ucz się szyfrowania, to za miesiąc będziesz być może naprawdę dość bezpieczny.

Zachowaj odstępy czasowe w tym co robisz (unikaj jakiejkolwiek korelacji). Zmień styl pisania w tym ulubione wyrażenia, błędy, długość zdań, interpunkcja, oraz styl ogólnie (dokładny/ogólny logiczny/emocjonalny, itd itd). Zapraszam do kopiowania i imitowania "mojego" im więcej tym lepiej ;)

Jeżeli interesują Cię takie tematy to zapraszam do obserwowania mnie oraz tagów na górze wpisu.