Jolly Rogers – Wprowadzenie do bezpiecznej komunikacji

Witajcie!
Chciałbym podzielić się z wami swoją wiedzą i doświadczeniami na temat bezpieczeństwa w sieci. Będzie to kompendium dla każdego nowego użytkownika sieci TOR. Jeśli to czytasz, prawdopodobnie już wiesz, że  potrzebujesz oprogramowania anonimowej sieci Tor. Gwarantuje ono anonimowość i bezpieczeństwo dzięki wykorzystaniu 128-bitowego szyfru AES (Advanced Encryption Standard). Kwestią sporną jest to, czy agencja wywiadu NSA może go złamać – najprawdopdobniej tak. Dlatego jeżeli nie chcesz korzystać z szyfrowania PGP (omówione niżej), najlepiej będzie jeśli przez sieć Tor nie będziesz przesyłać zbyt poufnych danych. Łączność między twoim komputerem a siecią zapewnia węzeł wejściowy, który dosłownie dołącza twój komputer do sieci Tor i zapamiętuje adres IP komputera. Następnie zaszyfrowane polecenie wysyłane jest do węzła przekazującego, który to łączy się z węzłem wejściowym i wyjściowym, ale nie zna adresu IP twojego komputera. Węzeł wyjściowy jest miejscem, gdzie następuje rozszyfrowanie twojego polecenia i skąd wysyłane jest ono do sieci. Ten węzeł również nie poznaje IP komputera, a jedynie IP węzła przekazującego. Korzystając z takiego modelu 3 węzłów bardzo trudno będzie wykazać zależność między poleceniem a adresem IP, jednak nadal będzie to możliwe.

Problem pojawia się kiedy w TOR wpisujemy zwykły tekst, ponieważ każdy może utworzyć węzeł wyjściowy i z łatwością wykraść takie dane (może być to ABW, CBŚ, NSA czy przestępcy internetowi). Dlatego nie należy podawać żadnych poufnych danych na stronach internetowych, zwłaszcza jeśli wchodzimy na nie przez TOR. Nasze dane są szczególnie narażone jeśli któreś z węzłów z sieci szwankują (co często się zdarza), i jeśli okaże się, że moc obJR1liczeniowa komputera osoby, która je przejęła była wystarczająco duża. Co można na to zaradzić? Odpowiedzią są coraz popularniejsze serwery oferujące tzw. Ukryte usługi, proponujące tzw. szyfrowanie typu end-to-end. Usługi te łatwo poznasz je po adresie .onion. Działają one w ten sposób, że rozłączają zagrożone węzły wyjściowe i przywracają ci nad nimi kontrolę. Serwer sieci ukrytych usług zamienia się w twój węzeł wyjściowy, oznacza to, że twoja wiadomość jest rozszyfrowywana przez stronę którą odwiedzasz, a więc nie przez losowy węzeł sterowany przez potencjalnego atakującego. Pamiętaj, że węzeł wyjściowy zawiera klucz do rozszyfrowania twojego polecenia. Po rozszyfrowaniu ma on też wgląd do tego, co wysyłasz (w postaci zwykłego tekstu). Jeśli więc np. w którymś polu wpiszesz swoje imię i nazwisko czy adres, węzeł wyjściowy zapamięta tę informację. To samo dotyczy wszystkich innych danych, karty kredytowej, konta w banku czy loginów – pamiętaj, że w ten sposób zdradzasz swoją tożsamość.

Kolejnym krokiem w celu usprawnienia bezpieczeństwa może być odwiedzanie tylko stron internetowych używających HTTP Secure. Jak rozpoznać, czy strona korzysta z szyfrowanej wersji protokołu http? Wystarczy, że w adresie strony widnieje https://. Jest to kolejny rodzaj szyfrowania typu end-to-end. Dzięki temu wszystkie twoje polecenia są szyfrowane i rozszyfrować je może tylko serwer (a więc nikt ze śledzących twoje ruchy w sieci). Każdy, kto będzie próbował je przechwycić, zobaczy tylko zaszyfrowane dane. Rozszyfrowanie ich będzie wymagało większego wysiłku. Z HTTPS powinieneś korzystać jak najczęściej to możliwe, w innym wypadku złośliwewęzły mogą zmienić lub nawet uszkodzić przechodzące przez nie treści i w ten sposób je odbezpieczyć. Łatwo do tego dopuścić jeśli nie korzystasz z HTTPS, a polecenia wysyłasz w formie zwykłego tekstu. Niestety, HTTPS można złamać (wszystko zależy od siły klucza którym został zaszyfrowany). Odwiedzając stronę używając HTTPS szyfrujesz swoje polecenie używając ich klucza publicznego, a oni rozszyfrowują je za pomocą swojego klucza prywatnego – tak działa kryptografia. Klucz publiczny jest dostarczany tym, którzy chcą wysłać zaszyfrowaną wiadomość, a jedynym, który będzie mógł ją rozszyfrować będzie posiadający prywatny klucz.

Niestety, większość stron (w tym wiele banków) nadal korzysta z 1,024-bitowych prywatnych kluczy, które nie są wystarczająco długie jak na dzisiejsze standardy. Przeglądając sieć, sprawdzaj jaki poziom zabezpieczeń ma każda strona. Optymalną wartością będzie 2,048 bitów, a najlepiej, żeby było to nawet 4,096 bitów. Jednak mimo wszystko, pamiętanie o tych wszystkich krokach nie da nam stuprocentowego bezpieczeństwa. Nie wiadomo, co się stanie, gdy zaatakowany zostanie serwer odwiedzanej przez nas strony. Wtedy nie pomoże nawet używanie HTTPS, ani czyste węzły.

To byłoby na tyle w pierwszym poście z serii o ochronie prywatności, zachowaniu anonimowości i wolności w sieci.


Krypto Polak

Może Ci się również spodoba

7 komentarzy

  1. qwerty napisał(a):

    A dlaczego Wy nie macie https skoro to takie dobre i chyba darmowe? Przez to mój komentarz został do Was wysłany zwykłym tekstem, więc nie dbacie wystarczająco o bezpieczeństwo swoich czytelników :-(

    • kryptopolonia napisał(a):

      Wolimy kiedy sami dbają o bezpieczeństwo ;-)
      Poza tym komentując nie zdradzasz nam poufnych danych, nie prowadzimy nielegalnej działalności, Twój komentarz i tak będzie widoczny dla wszystkich.
      HTTPS zapobiega przechwyceniu i zmienieniu przesyłanych danych.
      Więc jakie jest tu zagrożenie dla Ciebie kolego?

      • qwerty napisał(a):

        Zatem nie zapobiegliście przechwyceniu mojego adresu e-mail, który należy podać jeśli chce się wysłać komentarz (niby nie jest on publikowany ale jednak przesyłany jawnym tekstem). Oczywiście można podać nieprawidłowy, aby wyglądał jak e-mail, ale w takim razie jaki sens ma to pole w formularzu? Poza tym osoba podsłuchująca jest w stanie prześledzić, które konkretnie komentarze są wysłane przeze mnie, oraz które artykuły czytam. Gdyby strona chodziła po https potencjalny szpieg między mną a Wami nie wiedziałby czy czytam o dziennikarstwie, o Tor, czy kasowaniu niewygodnych danych. A certyfikat SSL dla https jest darmowy.

        • kryptopolonia napisał(a):

          VPN albo TOR kolego ;-)
          Nie wiem czemu wychodzisz z założenia że ktoś za Ciebie będzie się martwił o to co robisz w sieci. Paternalizm to skrajnie zła postawa.
          Przede wszystkim jeśli chcesz coś ukrywać to Ty to zrób, nikt nie będzie robił tego za Ciebie.
          Jeśli to taki duży problem dla Ciebie to z pewnością po weekendzie zobaczę co da się zrobić.
          Strzeżonego Pan Bóg strzeże.
          Pozdro

  2. qwerty napisał(a):

    Fantastycznie! Wychodzę z założenia, że podsłuchującym należy utrudniać zadanie z obu stron. Uwaga by przede wszystkim dbać o bezpieczeństwo samodzielnie i nie liczyć na innych jest w 100% celna. Pracuję nad tym i tak trafiłem do Was. Dzięki za wymianę zdań i wskazówki. Miłego weekendu i Pozdro

    • kryptopolonia napisał(a):

      Zgadza się!
      Niestety historie, które zamierzamy opisać wkrótce, pokazują że należy liczyć tylko i wyłącznie na siebie i nikomu nie należy ufać. A nad Twoją sugestią popracjemy po weekendzie.

  3. Kacper napisał(a):

    Quwert – jak zawsze super komentator. Mistrz ciętej riposty – możesz mieć wszystkie zabezpieczenia świata ale jeśli masz keylogera bo ktoś cię namierza.. to i tak nic nie pomoże..

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *