bezpieczeństwo, anonimowość (VPN, TOR, SSL)

[Harey]

Jeśli są jakieś względnie proste rozwiązania - nie musi być zupełnie łopatologicznie - przycisk on/off

Właśnie takie rozwiązanie chcę zaproponować. Pudełeczko za <150 PLN + abonament kilka $/mc na VPN i zapominasz o temacie.
Nie ma też ryzyka, że nie włączysz VPN, on działa cały czas i dla wszystkich urządzeń podpiętych. Sprawdzone przeze mnie w praktyce.

Czekam na opinię @pm7 - czytając to forum wiem, że ma dobrą orientację w elektronice/ informatyce, może zaproponuje coś jeszcze ciekawszego

[benq]

@Harey, W takim razie również czekam na odpowiedź naszego moderatora i jestem gotowy do działania.
Panowie przygotują adresy BCH na jakieś piwko, jak to wszystko zacznę ogarniać, przyda się pomoc.

[pm7]

Dodano po 37 sekundach:

blokada netu na wypadek padu VPN

Skrypt, czy odpowiednia konfiguracja firewalla? Skrypt nie zareaguje natychmiast

Nie widzę odpowiedzi, czy link do http://docs.gl-inet.com/app/openvpn/ miał być odpowiedzią? Ja bym nie zachowywał oprogramowania z nakładką producenta, tylko wgrał czyste openWRT/LEDE z LuCI. Niestety, producenci routerów mają przykry zwyczaj zostawiać luki, czy wręcz backdoory. Po co ryzykować?

@pm7, spójrz proszę okiem fachowca:
https://gl-inet.com/ar300m/
http://docs.gl-inet.com/app/openvpn/

A, gl-inet. Czytałem o tych routerach, ale jak dotąd nie zdobyły zbytnio popularności. To rzeczywiście upraszcza problem z instalacją openWRT

Czekam na opinię @pm7 - czytając to forum wiem, że ma dobrą orientację w elektronice/ informatyce, może zaproponuje coś jeszcze ciekawszego

Co miałoby być ciekawszego? Router? Ten nexx co wspominałem może być nieco tańszy, ale nie ma już zainstalowanego openWRT jak ten gl-inet.

[Harey]

@pm7, dla świeżaków kolorowy interfejs, dla pozostałych czyste: https://gl-inet.com/firmware/ar300m/clean/
Nie wgryzałem się co do firewalla (bo i tak stosuję VPNy kaskadowo a więc nie jest to dla mnie krytyczne), ale odcinanie netu przy awarii VPN działa wg moich obserwacji natychmiastowo.

Edycja: szukam, na razie widzę wymuszanie DNS:

root@GL-AR750:/etc# cat firewall.user

force_dns() {
# lanip=$(ifconfig br-lan |sed -n 's/.*dr:\(.*\) Bc.*/\1/p')
lanip=$(uci get network.lan.ipaddr)
iptables -t nat -A PREROUTING -s 0/0 -p udp --dport 53 -j DNAT --to $lanip
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 53 -j DNAT --to $lanip
}
force=$(uci get glconfig.general.force_dns)
if [ -n "$force" ]; then
force_dns
fi
root@GL-AR750:/etc#

[pm7]

@pm7, dla świeżaków kolorowy interfejs, dla pozostałych czyste: https://gl-inet.com/firmware/ar300m/clean/

Tylko oficjalna strona projektu!
http://downloads.lede-project.org/relea ... pgrade.bin
Poważnie, nie o to chodzi w instalowaniu czystego openWRT/LEDE, żeby pobierać skompilowany obraz od producenta.

[Harey]

Poważnie, nie o to chodzi w instalowaniu czystego openWRT/LEDE, żeby pobierać skompilowany obraz od producenta

Wiem, wiem - szukam złotego środka, jak prosto i tanio spopularyzować podniesienie poziomu bezpieczeństwa dla przeciętnego użytkownika tego forum.

[pm7]

No to jest to krok w dobrą stronę, natomiast jeżeli ktoś chce instalować czysty obraz openWRT/LEDE, to raczej większy sens ma oficjalny obraz ze strony projektu.

[benq]

@Harey, @pm7,
Znowu dyskusja zawędrowała w kierunku, w którym coraz mniej rozumiem.
Ale nasuwa mi się kilka pytań nie-informatyka:

1) czy VPN praz te chińskie routery mają wpływ na prędkość transferu?
2) czy mają wpływ na torrenty? (Shadow coś pisał, że mu blokują sieci p2p i musi coś ręcznie konfigurować - co nie było łatwe do zrozumienia, co się tam dzieje
3) jak wygląda sprawa logowania się np. do banku, przez https? Czy ma to jakikolwiek wpływ, że moje połączenie jest realizowane przez mikser i mam IP z Kazachstanu?
4) Jak wygląda sprawa, jeżeli przykładowo będąc w domu, korzystam z wifi w telefonie, a wychodząc przełączam się na LTE? Jak rozumiem, wszystko co robię w domu będzie szyfrowane, ale każde działanie poza WIFI już nie, także w sumie to nie ma sensu. Przykładowo, co z tego, że ten post na forum napiszę z szyfrowanego VPN, skoro drugi raz zaloguję się z telefonu i i tak można mnie zidentyfikować?
5) Jeżeli 4) jest prawda, to czy jest jakiś sposób, żeby korzystać z LTE w telefonie przez szyfrowany VPN czy coś innego?
6) czy w ogóle korzystanie z VPN ma sens, jeżeli loguję się właśnie do banku? Gdzie jestem w pełni zweryfikowany i wiadomo kto się zalogował? Czy to działa tak, że za każdym połączeniem moje IP i cała reszta jest wymieszana inaczej i mimo tego, że logowanie do banku wiadomo kto zrobił, to dalej już nie da się tego połączyć?

[Harey]

1) czy VPN praz te chińskie routery mają wpływ na prędkość transferu?

Tak, szyfrowaniem zajmuje się procesor w routerze i jego wydajność będzie "wąskim gardłem" o ile sama usługa VPN zapewni większą przepustowość.
Proponowany przeze mnie tani sprzęt nie jest chyba najgorszy pod tym względem - około 17Mb/s.

2) czy mają wpływ na torrenty?

Nie używam torrentów, ale nie wdając się w szczegóły, chyba problem Shadow'a wynikał z czego innego - blokowali/spowalniali i bez VPN. Sam VPN nie pomógł, ale zamaskowany już tak. (piszę z pamięci, mogę się mylić)

3) jak wygląda sprawa logowania się np. do banku

Dobre pytanie - Twoja tożsamość zostaje przypisana do IP VPN (choć może z niego korzystać np. 50 userów, ale to już wąska grupa)
Rozwiązaniem najtańszym, ale nie idealnym (fingerprint) jest użycie na tym samym komputerze przeglądarki z innym silnikiem dla oficjalnej tożsamości i podłączenie jej na stałe pod PL proxy / tunel SSH itp.
W praktyce torbrowser (bez tora), ale z VPN i zwykła przeglądarka "omijająca" VPN przez proxy używana dla tożsamości, gdzie się logujesz/weryfikujesz - wydaje się być minimum.

4) jest prawda, to czy jest jakiś sposób, żeby korzystać z LTE w telefonie przez szyfrowany VPN czy coś innego?

Jest OpenVPN dla Androida (połączenia z ineternetem operatora), choć telefon to zawsze wróg Twojego bezpieczeństwa.

Ps. pisałem trochę "na szybko" - uciekam, pytaj proszę, jeśli skomplikowałem proste sprawy. Wracam za jakiś czas i przeczytam, a może do tego czasu @pm7, mnie wyprostuje

Edycja: WAŻNE - ta konfiguracja ma za zadanie zabezpieczyć Was przed logowaniem przez ISP odwiedzanych zasobów w sieci i https://pl.wikipedia.org/wiki/Atak_man_in_the_middle

!! W przypadku gdy admin strony (np. giełdy) poda adres IP VPN i czas wizyty to bez współpracy z operatorem VPN zostaniecie namierzeni natychmiast! !!

[benq]

@Harey, Dzięki za wyjaśnienia. Ale każda odpowiedź, rodzi nowe pytania w mej głowie.

Nie używam torrentów, ale nie wdając się w szczegóły, chyba problem Shadow'a wynikał z czego innego - blokowali/spowalniali i bez VPN. Sam VPN nie pomógł, ale zamaskowany już tak. (piszę z pamięci, mogę się mylić)

To można jeszcze bardziej zamaskować VPN? To brzmi jak incepcja.

Rozwiązaniem najtańszym, ale nie idealnym (fingerprint) jest użycie na tym samym komputerze przeglądarki z innym silnikiem dla oficjalnej tożsamości i podłączenie jej na stałe pod PL proxy / tunel SSH itp.

Nie wiem czy ten fragment dobrze rozumiem. Czyli po prostu potrzebuję dwóch osobnych przeglądarek, powiedzmy Chrome do "oficjalnej" działalności w stylu bank, mail, allegro, a w drugiej kolejności np. TORa, do mniej oficjalnych działań - choć obie przeglądarki będą szły przez ten sam VPN, to w jakiś sposób (inne proxy?) nie zostaną one ze sobą powiązane?

Kolejne pytanie, czy VPN daje mi możliwość zdecydowania skąd będzie moje IP? Przykładowo, chcę zobaczyć filmik na youtube który jest niedostępny w danym kraju, restartuje router i nagle jestem kimś innym?

!! W przypadku gdy admin strony (np. giełdy) poda adres IP VPN i czas wizyty to bez współpracy z operatorem VPN zostaniecie namierzeni natychmiast! !!

Tego punktu trochę nie rozumiem. Czytam o biednej Alicji i wrednej Ewie. Tzn rozumiem co jest problemem, rozumiem co robi Ewa i jak to robi, ale nie mogę załapać sposobu na zabezpieczenie przed atakiem.
Dajmy na to, że korzystam z Tora, na komputerze z Linuxem Mint, który służy mi tylko do wchodzenia na to forum. Nigdy nie wszedłem na żadną inną stronę. Załóżmy, że administrator Bitmar podaje komuś IP i VPN wraz z czasem wejścia na forum. Czy to oznacza, że natychmiast zostaję zdemaskowany? Jeśli tak, to jak tego uniknąć?

[Harey]

To można jeszcze bardziej zamaskować VPN? To brzmi jak incepcja.

Tak, wyobraź sobie VPN jako podziemny tunel. ISP widzi, że do niego wszedłeś, ale nie widzi niczego więcej.
Maskowanie dotyczy natomiast tego, aby ISP nie widział nawet faktu wejścia do tunelu - skuteczność tego zabiegu jest dyskusyjna. W PL VPN jest legalny i szeroko wykorzystywany np. w firmach, aby bezpiecznie przesyłać dane między oddziałami. To nie jest TOR (nie mylić z samą przeglądarką TORbrowser) również legalny, ale tu powszechny jest pogląd, że jego włączenie to "czerwona lampka" u dostawcy internetu.

Nie wiem czy ten fragment dobrze rozumiem. Czyli po prostu potrzebuję dwóch osobnych przeglądarek, powiedzmy Chrome do "oficjalnej" działalności w stylu bank, mail, allegro, a w drugiej kolejności np. TORa

Idealne byłyby 2 komputery, 2 łącza itd., ale ja tutaj skupiam się na realnych i w miarę możliwości bezkosztowych rozwiązaniach a więc tak:

powiedzmy Chrome do "oficjalnej" działalności w stylu bank, mail, allegro

Zgadza się, a w configu przeglądarki proxy lub tunel SSH jako tzw. proxy socks5 (to jest kolejny tunel w tunelu VPN, czyli dla dajmy na to banku widać tylko tę warstwę wewnętrzną - ot jakieś ładne PL IP przykładowo)

a w drugiej kolejności np. TORa

TorBrowser - z wyłączonym TOR-em, jedno z najlepszych rozwiązań anty-fingerprint.

Kolejne pytanie, czy VPN daje mi możliwość zdecydowania skąd będzie moje IP? Przykładowo, chcę zobaczyć filmik na youtube który jest niedostępny w danym kraju, restartuje router i nagle jestem kimś innym?

Jak najbardziej, zazwyczaj minimum kilkadziesiąt różnych destynacji do wyboru z panelu routera. (przykład: https://nordvpn.com/servers/)

Dajmy na to, że korzystam z Tora, na komputerze z Linuxem Mint, który służy mi tylko do wchodzenia na to forum.

Jeżeli korzystasz z TOR-a ukrytego w Twoim tunelu VPN to ok, ale prawdopodobnie nie korzystasz, bo jest wolny i sporo stron go blokuje a Ty nie wysyłasz zgłoszenia o podłożonej bombie a więc dodatkowo jest Ci zbędny.
Korzystasz z TORBrowser podpiętego do VPN. ISP jest ślepy, ale gdy dostanie info, od Bitmara, że prawdopodobnie z terenu PL niejaki @benq, łącząc się z Chin z IP 0.0.0.0 zrobił wał stulecia, to sprawdzi kto w danym czasie łączył się z terenu PL (neostrady, gsm, inne) z Chinami o IP 0.0.0.0. Znajdą kilka osób, które odwiedzą o 6.00 Zabezpieczenie: minimum 2 VPN. Wtedy numer wejścia jest różny od numeru wyjścia. A opisana metoda, to tzw. "administracyjna deanonimizacja".

Edycja: czekam na pytania, jeśli mętnie tłumaczę, to obiecuję poprawę!

[benq]

Masz rację, moja aktywność nie wymaga jakiegoś absurdalnego poziomu bezpieczeństwa, ale temat mnie bardzo wciągnął, więc pomęczę Cię dalej. Oczywiście tylko pod warunkiem, że nadal masz czas i chęci tłumaczenia podstaw nieogarowi.
Skoro korzystanie z TORa (nie przeglądarki) jest legalne tak samo jak VPN, to dlaczego korzystanie z TORa wzbudza podejrzenia ISP a VPN już nie, mimo tego ze ISP wie, że "wchodzę do tunelu" i uniemożliwiam mu tracking?

Dodatkowo, skąd strony wiedzą, że korzystam z TORa (pełnego) żeby mnie zablokować? Nie chodzi mi tu o akcje typu NSA, ale po prostu, w jaki sposób np. to forum mogłoby mnie zablokować, skoro mogę do woli miksować/tunelować moje połączenie?

Tak się teraz zastanawiam, czy rozwiązaniem tych wszystkich problemów nie byłoby po prostu kupienie internetu mobilnego na nie-swoje dane?

[Harey]

że nadal masz czas i chęci tłumaczenia podstaw nieogarowi.

Chęci zawsze, czas - najwyżej podzielimy nasze rozważania i zrobimy serial "Niewolnica Isaura"

Skoro korzystanie z TORa (nie przeglądarki) jest legalne tak samo jak VPN, to dlaczego korzystanie z TORa wzbudza podejrzenia ISP a VPN już nie, mimo tego ze ISP wie, że "wchodzę do tunelu" i uniemożliwiam mu tracking?

To właśnie TOR jest używany do popełniania przestępstw, poza tym jeśli ktoś w pobliżu Ciebie korzystając z niego zrobi coś naprawdę głupiego i oboje łączyliście się w czwartek 17.20 - 17.27 to prawdopodobnie wywrócą Twój domek i zabiorą komputery.

Dodatkowo, skąd strony wiedzą, że korzystam z TORa (pełnego) żeby mnie zablokować?

Lista wyjściowych IP jest powszechnie znana: https://torstatus.blutmagie.de/ (exit node)

w jaki sposób np. to forum mogłoby mnie zablokować, skoro mogę do woli miksować/tunelować moje połączenie?

Oczywiście za TOR możesz postawić kolejny VPN/proxy i uniknąć blokady przy zachowaniu bardzo wysokiego stopnia anonimowości. (zakładam, że nie popełniono innych błędów przy korzystaniu z sieci TOR, np. https://www.whonix.org/wiki/DoNot)

Tak się teraz zastanawiam, czy rozwiązaniem tych wszystkich problemów nie byłoby po prostu kupienie internetu mobilnego na nie-swoje dane?

Nie, co najwyżej jako 1 z elementów układanki, ale o tym w następnym odcinku

[benq]

@Harey, Nie ma sprawy, ja cierpliwy jestem z natury niezmiernie.
Dzięki za lekturę.

https://www.whonix.org/wiki/DoNot)

Nie wiem na ile będę w stanie ogarnąć, ale podejmuję rękawicę.
Kolejne pytania - to be continued

[The Real McCoin]

Niestety, tak. W takim przypadku należałoby całkowicie unikać kontrolowanych dostawców Internetu i zainteresować się np. internetem satelitarnym (choć wtedy też jest ryzyko, że zostanie się namierzonym) albo np. anonimowymi kartami pre-paid, krótko używanymi w gęsto zaludnionych miejscach.

Przypomniałeś mi niusa o kolesiu od bombowych telefonów. On zastosował jeszcze inne rozwiązanie: dzięki dobrej antenie łączył się do publicznego hotspotu WiFi ze swojego mieszkania.
Oczywiście ostatecznie popełnił błąd i skończył tam gdzie powinien każdy przestępca: w więzieniu (albo i nie bo tłumaczył swoje zachowanie guzem mózgu). Tak czy owak jedno trzeba mu przyznać: próbował zachować anonimowość.
https://zaufanatrzeciastrona.pl/post/bi ... starczyly/

Ja na takim chińczyku z OpenVPN za 120 PLN wyciągam 17Mb/s, WIFI, blokada netu na wypadek padu VPN itp.

Czekam na odzew/ opinie.

Raspberry Pi 3 wyciąga 26 Mb/s na algo AES-256-CBC przez ethernet.

[benq]

https://zaufanatrzeciastrona.pl/post/bi ... starczyly/

A to jest mega ciekawe, jakieś koncepcje jak go namierzyli?
Patrolowali teren wokół hotspota i zobaczyli podejrzaną antenę? Losowo sprawdzali wszystkie mieszkania w okolicy?
Z mojej perspektywy laika, wszystko wydaje się banalnie proste, gdybym miał jakieś niecne zamiary.
Idę do komisu, kupuję telefon za stówkę, łączę się z WIFI w autobusie, rynku, hotspocie, knajpie i realizuję sobie swój chory plan - oczywiście unikając wzroku innych ludzi czy kamer. W jaki sposób ktokolwiek, nawet szeroko pojęte służby, mogą temu zapobiec?

[Harey]

Idę do komisu, kupuję telefon za stówkę, łączę się z WIFI w autobusie, rynku, hotspocie, knajpie

Pierwszy problem z brzegu https://pl.wikipedia.org/wiki/Adres_MAC. Sprawdzili IP atakującego, doszli do "autobusowego routera", wyciągnęli MAC'a (nic nie piszesz, że zmieniłeś) i zidentyfikowali urządzenie, przeczesali bazy, komisy i znaleźli nagrania z monitoringu autobusu/komisu. Szykujesz szczoteczkę do zębów i piżamkę

Edycja: zresztą hotspoty, często wymagają logowania przez przeglądarkę i wtedy już leci browser fingerprinting.
Może ktoś korzystał z popularnego portalu aukcyjnego, banku i da się znaleźć po odcisku poprzedniego właściciela telefonu?

Dodano po 14 minutach 22 sekundach:
A celowo pomijam szeroki aspekt, że telefony nawet bez karty łączą się ze stacjami bazowymi (przecież na 112 da się zadzwonić) - to dopiero kopalnia wiedzy o lokalizacji, numerze IMEI etc.

Dodano po 4 minutach 7 sekundach:
I jeszcze taka ciekawostka: https://zaufanatrzeciastrona.pl/post/tr ... -randowej/

[Bit-els]

A wysłanie informacji stawiającej służby na nogi z maila w rodzaju protonmail?
Łączę się z serwerem protona przez vpn i tora. Piszę wiadomośc, wysyłam.
Służby idą do protona, ten bezradnie rozkłada ręce. Jeśli naturalnie jest prawdą, że nic nie zapisują.
Z innej strony- że też jeszcze takie formy komunikacji istnieją w dzisiejszym orwellowskim świecie.
Niedopatrzenie, czy one i tak są honey pot?

[Harey]

Łączę się z serwerem protona przez vpn i tora

Trafiasz na exit-noda prowadzonego przez służby => podobnie jak @benq wykulałeś szóstkę

Oczywiście uprościłem, sam mam jeszcze kilka pomysłów, ale też jestem ciekawy co napiszą inni.

honey pot

Zawsze jest takie ryzyko, najciekawsze info już odsiane z szumu informacyjnego - tylko czytać...

[benq]

@Harey, Ok, idźmy dalej w skrajności. Jeżeli ktoś jest groźnym terrorystą/planuje coś skrajnie nielegalnego to pewnie zdaje sobie sprawę, z ryzyka rozpoznania adresu MAC.
Ale przecież wystarczy kupić telefon w "charakteryzacji" lub kupić dwie flaszki dla Pana Menela, obiecać, że je dostanie jak kupi telefon w komisie za rogiem i tu przyniesie - najlepiej w mieście odległym od swojego miejsca zamieszkania.
Telefon jednorazowy oczywiście, więc można zainwestować i niech Pan Menel kupi 3 najtańsze sztuki.
Oczywiście to tylko takie rozważania, jak to robią szeroko pojęci terroryści.
Opisane scenariusze nie mają sensu do codziennego użytku ze względu na fingerprint, MAC i wszystkie inne powody, który wyliczyłeś.