Protonet – Teoria bezpieczeństwa
„Nie mam nic do ukrycia”, czyli jak polskie realia zderzają się z zachodnią rzeczywistością.
Ogólnie ludzie dzielą się na wiele grup, jednak w kwestii bezpieczeństwa (tak ogólnie) na dwie. Jedna to bojownicy wolności, a druga podporządkowana władzy. Czasem sobie myślę, że gdyby wprowadzili obowiązkowe obozy koncentracyjne, to ta druga by się temu nie sprzeciwiła, bo rząd wie lepiej.
Niemniej akcje „Reset the net” czy „Prism Break” powstają, by walczyć z złym systemem totalitarnym, czyli pokazać czerwoną kartkę. I taki ma być Protonet – mały serwer do walki z inwigilacją.
Po pierwsze – podział będzie rozdzielony na część serwerową (czyli serwer) i na część klienta (nasz komputer), gdyż to musi być wzajemna ochrona.
Protonet ma być serwerem, który ma zapewnić podstawową ochronę przed szpiegowaniem, niemniej to nie musi być Protonet (a być może nawet nie polecałbym), bardziej bym się rozglądał za małymi komputerami jak Raspberry Pi i jemu podobnych. Dlaczego? Głównie dlatego, że bazują na architekturze ARM, na której jest wielu producentów procesorów (a nie tylko dwóch jak na x86), co zmniejsza szanse na podłożenie pluskwy. Najlepiej by było, jakby cały sprzęt pochodził z grupy „Open Hardware” (czyli otwartego sprzętu), ale takie rzeczy nie zdarzają się często i zazwyczaj są bardzo drogie. Warto też wspomnieć, że jeśli mamy sprzętowe backdoory – wzrasta nam i tak bezpieczeństwo i o tym należy pamiętać.
Jeśli mamy taki serwer, co powinniśmy zrobić?
Wymarzony serwer jest gotowy, więc trzeba wgrać system – o wiele większe zaufanie jest jednak w kwestii bezpieczeństwa do systemów Linuksowych lub BSD i to głównie na nie powinniśmy patrzeć. Oczywiście na kompuerze ARM – OS X czy Windowsa raczej nie wgramy. Ogólnie najlepiej, jakby był w całości Open Source.
Dodatkowo warto, by cała pamięć była zaszyfrowana – np. za pomocą dm-crypta, co powinno zwiększyć bezpieczeństwo i uniemożliwić odczytanie danych w konfrontacji bezpośredniej.
Tutaj będę leciał kategoriami według listy Prism Break, by omówić wszystkie zagadnienia . Dodatkowo opiszę rozwiązania, które mają spore szanse na realizację.
Sieć maskująca – TOR
TOR jest siecią, która przekierowuje nasze pakiety, przez kilka innych serwerów, co pozwala ukryć (przynajmniej teoretycznie) informację skąd zostały wysłane dane.
Wydaje mi się, że jest fizycznie możliwe skonfigurowanie na serwerze – serwera proxy i skonfigurowania klienta, by każdy program łączący się z siecią – szedł w świat.
Należy też wspomnieć, że (jeśli to jest możliwe) jest to sposób dla cierpliwych – i warto zainwestować w internet z mniejszymi prędkościami.
Dystrybucje oprogramowania i gier
Tutaj warto na serwerze zaopatrzyć się w potężny dysk i robić snapshoty (zrzuty) repozytoriów Linuksa. Oprogramowanie może nie będzie zawsze aktualne, ale (jeśli to możliwe) nie da informacji na temat kto i co instaluje. Natomiast powinniśmy ograniczyć używanie zamkniętych programów do minimum lub je usunąć.
Szyfrowanie dysków
W mojej opinii dm-crypt będzie najlepszą możliwą ucieczką, warto też zainteresować się szyfrowaniem klienta.
DNS
Serwery DNS służą (w skrócie) do zamiany adresu (np. google.pl) na adres IP. Warto na serwerze utworzyć serwer DNS (który by automatycznie przypisywał adresy IP do adresów) i wybranie OpenNIC project” - czyli wolnego, otwartego, demokratycznego (?) i antycenzurowego DNS'a lub OpenDNS, który umożliwia szyfrowane połączenie się z nim (Link - zakładka DNS i szyfrowanie zapytań)
Konta e-mail
Ja bym się skłaniał do stworzenia własnego serwera mailowego u nas na serwerze – jeśli jednak nie możemy tego zrobić – polecam zapoznać się z listą „Prism Breaku” (Link)
Klient poczty
Bezpieczeństwo to nie tylko serwer poczty, ale też klient poczty i szyfrowanie maili. W zasadzie powinniśmy wybrać Mozilla Thunderbird, Claws Mail lub Sylpheed – gdyż zapewniają szyfrowanie, a jak coś jest szyfrowane – to jest bezpieczne (podobno wiadomości mailowe przechodzące między różnymi serwerami poczty, muszą być rozszyfrowane i lecą zwykłym tekstem). Thunderbird domyślnie nie ma nic do szyfrowania i tu warto o Enigmailu pomyśleć.
Zapis danych w chmurze
Moim zdaniem możliwości są dwie – Owncloud (jako taki hosting) lub Oneye (jako cały pulpit), to już od nas zależy gdzie będziemy trzymać, niemniej warto, by każdy plik wgrywany – był kompresowany (7-zipem) i szyfrowany (AES-256 z mocnym hasłem)
Jeśli nie musi być to koniecznie coś z interfejsem przeglądarkowym, warto pomyśleć o serwerze OpenSSH, który (proszę o oświecenie mnie) szyfruje pliki podczas przesyłania (co jeśli jest prawdą – wzmacnia bezpieczeństwo)
Komunikatory
O szyfrowaniu komunikatorów już napisałem wpis. Osobiście polecam Pidgina (lub inny komunikator) ze wsparciem OTR (szyfrowanie rozmów), dodatkowo by zwiększyć bezpieczeństwo (jeśli to możliwe) uruchomić serwer XMPP na naszym serwerku. link do wpisu o szyfrowaniu danych
Social media
Tutaj jak ktoś jest uzależniony – za wiele zrobić się nie da. Oczywiście można postawić serwer u siebie, ale tylko ty na nim będziesz, dlatego trzeba skorzystać z innego serwera. Moim zdaniem najlepiej wybrać coś na Diasporze lub GNU Social. Warto też, by miało jakieś szyfrowanie (niemniej to nas nie zabezpiecza przed NSA.
A jeszcze lepiej, zrezygnować z tego całkowicie.
Komunikator z wideo rozmowami
Tutaj najlepiej by mieć własny serwer XMPP z wideo rozmowami. Nie wiem czy Jitsi umożliwia jakieś szyfrowanie wideo rozmów (prawdopodobnie XMPP sam w sobie umożliwia), ale jeśli nie – to Pidgin nam wystarczy.
Przeglądarka
Prawdopodobnie najlepsza do walki z cenzurą przeglądarka to TOR Browser. Jeśli jednak postawiiśmy serwer TOR – powinniśmy się zainteresować Firefoksem lub jakąś jego odmianą (głównie dlatego, że jest wiele wtyczek zwiększających bezpieczeństwo)
Obobiście używam Iceweasel 29 z Adblock Edge (i filtrami Easylist, Easyprivacy, i Fanboy's list), Disconnect (blokuje skrypty szpiegujące), HTTPS Everywhere (wymusza szyfrowanie na wielu stronach), Noscript (blokuje skrypty Javascript, które mogą służyć do niebezpiecznych rzeczy) i Self-Destructing Cookie (usuwa ciasteczka, przez co nie można tobie nadać Unikalnego ID)
Wyszukiwarka
Osobiście używam DuckDuckGo, niemniej warto pomyśleć o przeglądarce P2P (jak Yacy). Jeśli jednak chcemy używać DDG (lub innej ogólnodostępnej wyszukiwarki) – warto pomyśleć o Disconnect Search (ukrywa nasz adres IP przed wyszukiwarką).
Podsumowanie
Ogólnie te kroki zwiększą twoje bezpieczeństwo w sieci, jednak nie gwarantują w 100%, że będziesz bezpieczny! Oczywiście kwestia wolności w internecie jest długa, a to co jest opisane – to dopiero zalążek, więc zawsze można coś ulepszyć.
Niektórzy mogą się zastanawiać co się zmieniło na zachodzie od czasów NSA? Brazylia robi wszystko co może, by zabezpieczyć się przed szpiegowaniem, wielu obywateli na zachodzie też zaczyna walkę z systemem. Ale ty nie możesz, bo nie masz nic do ukrycia ;)
Do zobaczenia w kolejnym wpisie!