bezpieczeństwo, anonimowość (VPN, TOR, SSL)

[Bitmar]

@benq, Shadow dobrze gada, ale dla wielu to będzie czarna magia. Proste rozwiązania:

- https://pol.privateinternetaccess.com/ - można zapłacić bitcoinami. Instalujemy tylko program (winzgrozy), który działa tak prosto jak Gadu-gadu. Nie wymaga żadnej wiedzy ani umiejętności.
- https://tails.boum.org/ -Ciężko chyba o coś lepszego i prostego zarazem. Jest to już linuxowy system operacyjny. Instalujemy na drugiej partycji/pendrive/starym lapku i jazda.

[benq]

@Bitmar, Pytanie jest lamerskie, ale niestety informatykiem nie jestem.
Czy VPN przykładowo ze stron podanych przez Bitmara daje dostawcy internetu możliwość szpiegowania mnie?
Czy po prostu każde wyjście z mojego komputera idzie najpierw na VPN, a dopiero potem dalej i Netia/Upc/Vectra nie jest w stanie w żaden sposób dojść do tego co oglądam/pobieram?
A co ze służbami i ustawą inwigilacyjną (wyżej Bitmar wspomniał)?

[pm7]

Tego typu VPN działa na zasadzie przekierowania całego ruchu Internetowego przez serwer firmy przy użyciu szyfrowanego połączenia. Dostawca Internetu (i służby) w teorii widzą jedynie zaszyfrowane połączenie z serwerami firmy VPN i nie wiedzą, co robisz w Internecie.
W praktyce, służby mogą próbować ominąć problem na wiele sposobów:
-zmuszenie firmy VPN do dostarczania im danych (pomaga używanie firmy mającej siedzibę w kraju szanującym prywatność)
-identyfikowanie użytkowników po indywidualnych cechach przeglądarki (https://panopticlick.eff.org/, https://forum.bitcoin.pl/viewtopic.php?p=462098#p462098)
-śledzenie przez ataki na urządzenia użytkowników (wirusy)

Jak ktoś potrzebuje wyższego poziomu ochrony, może zobaczyć projekt Whonix (zwłaszcza w połączeniu z Qubes OS), ale dla większości to przesada.

Dla entuzjastów Linuxa/szyfrowania, polecam zobaczyć https://www.wireguard.com/.
Interesujący projekt nowego VPN (oprogramowania, nie firmy dostarczającej). Używam od jakiegoś czasu do łączenia kilku sieci przez Internet. Świetnie zastępuje OpenVPN na routerach openWRT/LEDE, ale na razie raczej nie da się tego używać sensownie na Windows czy smartphone'ach.

[benq]

@pm7, Dzięki bardzo za wyjaśnienie. jak w takim razie radzą sobie w krajach, gdzie władza kontroluje wszystko, vide Korea Północna? Czy jest jakakolwiek opcja technicznie wykonalna, żeby pan Pim Pong mógł sobie poprzez VPN korzystać z neta?
Bo z Twojego posta rozumiem to tak, że jeżeli ja w Polsce użyję sobie np. VPN z linku Bitmara, a zostanę uznany za groźnego terrorystę, to polska firma VPN może zostać zmuszona do przekazania moich danych.
Jeśli jednak skorzystam z firmy VPN na Grenadynach, to wiadomo, że takich danych nasz rząd nigdy nie dostanie, jedyne czego się dowiedzą, to że łączyłem się z taką firmą i tyle?
Natomiast pan Pim Pong, dostanie wezwanie na gestapo, gdzie panowie łopatologicznie go zmuszą do przyznania się, dlaczego łączył się z ta firmą na Grenadynach i co tam robił oraz dlaczego jest zdrajcą narodu.
Dobrze myślę?

[Harey]

Świetnie zastępuje OpenVPN na routerach openWRT/LEDE

Napiszesz w dwóch słowach, jako praktyk, dlaczego na w/w lepiej się sprawdza? Sam używam OpenVPN na LEDE i jestem ciekawy

Dodano po 7 minutach 10 sekundach:

Czy jest jakakolwiek opcja technicznie wykonalna, żeby pan Pim Pong mógł sobie poprzez VPN korzystać z neta?

https://pl.vpnmentor.com/blog/jak-odblo ... w-chinach/
Nie znam tego serwisu (pewnie to jakaś pseudo porównywarka z refami), ale zauważyłem, że dość ciekawie i nietechnicznie piszą - do poczytania do poduchy.

[pm7]

Napiszesz w dwóch słowach, jako praktyk, dlaczego na w/w lepiej się sprawdza? Sam używam OpenVPN na LEDE i jestem ciekawy

Wydzielone do osobnego tematu: https://forum.bitcoin.pl/viewtopic.php?f=16&t=28853

Dobrze myślę?

Tak.

@pm7, Dzięki bardzo za wyjaśnienie. jak w takim razie radzą sobie w krajach, gdzie władza kontroluje wszystko, vide Korea Północna? Czy jest jakakolwiek opcja technicznie wykonalna, żeby pan Pim Pong mógł sobie poprzez VPN korzystać z neta?

Generalnie, skuteczne uniemożliwienie połączenia się z VPN jest prawie niemożliwe. Istnieje zbyt wiele technik maskowania ruchu. Niestety, żadna z nich nie ukrywa faktu, że generujemy niestandardowy ruch i nie generujemy zwykłego ruchu (jak przeglądanie stron internetowych).

Natomiast pan Pim Pong, dostanie wezwanie na gestapo, gdzie panowie łopatologicznie go zmuszą do przyznania się, dlaczego łączył się z ta firmą na Grenadynach i co tam robił oraz dlaczego jest zdrajcą narodu.

Niestety, tak. W takim przypadku należałoby całkowicie unikać kontrolowanych dostawców Internetu i zainteresować się np. internetem satelitarnym (choć wtedy też jest ryzyko, że zostanie się namierzonym) albo np. anonimowymi kartami pre-paid, krótko używanymi w gęsto zaludnionych miejscach.

[Harey]

W takim przypadku należałoby całkowicie unikać kontrolowanych dostawców Internetu

Może połączenie typu zdalny pulpit, a stamtąd już dowolnie w świat? A może stare poczciwe modemy i połączenie na zagraniczny numer dostępowy?

[pm7]

A może stare poczciwe modemy i połączenie na zagraniczny numer dostępowy?

Łatwe do wykrycia (w takich krajach można oczekiwać podsłuchiwania rozmów), niska prędkość.

Może połączenie typu zdalny pulpit, a stamtąd już dowolnie w świat?

Wciąż połączenie szyfrowane, którego używanie może wzbudzić podejrzenia. Chyba, że nie szyfrujesz, ale wtedy będzie widać co robisz.

[Harey]

No tak, ale w tej sytuacji wszystkie httpS też trzeba by wyrzucić? Wtedy bezpieczeństwo transakcji w internecie stałoby się nieakceptowalne.

[pm7]

@Harey, możliwe jest przejęcie ruchu SSL. Wystarczy mieć kontrolę nad jednym CA (firmą wydającą certyfikaty).

[Harey]

Tak, ale ja mówię o jego "ideologicznym" wyłączeniu przez cenzurę internetu wedle zasady: nadawaj otwartym tekstem, szyfrowanie zabronione i penalizowane.
Dobra, ze swojej strony kończę ten ciekawy, ale chyba jednak offtop. Na tle tych rozważań widać, jaką mamy (jeszcze ??) swobodę w necie

Edycja: poproszę o przeniesienie do nowego tematu, nie zauważyłem, sorki

[pm7]

Dobra, ze swojej strony kończę ten ciekawy, ale chyba jednak offtop.

Już nie offtop, mamy osobny temat

Tak, ale ja mówię o jego "ideologicznym" wyłączeniu przez cenzurę internetu wedle zasady: nadawaj otwartym tekstem, szyfrowanie zabronione i penalizowane.

Wiele rzeczy by się popsuło, choćby działanie banków (połączenia klient<>bank, ale też bank<>bank). Dzisiaj jest wiele automatów, które używają szyfrowania. Zakazanie SSL/https... Trudno mi nawet oszacować, ile rzeczy przestało by działać (na pewno płacenie kartami w sklepach, co jest przecież korzystniejsze dla władzy niż gotówka).

[Harey]

mamy osobny tema

Super, temat wg mnie ciekawy, a więc lecimy dalej...

Skoro zakazanie SSL jest raczej nierealne, to:
podobnie jak tu: https://airvpn.org/ssl/, ale własny serwer SSL (aby IP nie było na liście VPNów znanych)
i jakiś "cloaking" a więc dla usera z przeglądarki wstukującego IP:443 stronka powitalna z ekranem logowania?

[pm7]

Można. Pisałem już o tym:

Generalnie, skuteczne uniemożliwienie połączenia się z VPN jest prawie niemożliwe. Istnieje zbyt wiele technik maskowania ruchu. Niestety, żadna z nich nie ukrywa faktu, że generujemy niestandardowy ruch i nie generujemy zwykłego ruchu (jak przeglądanie stron internetowych).

Możesz udawać ruch SSL (https), ale nie przeskoczysz faktu, że ciągłe połączenie z jednym serwerem, z którego pobierasz dużo danych jest podejrzane.

[Harey]

Pisałem już o tym:

Owszem, ale dopiero teraz poznałem szczegółowe uzasadnienie:

nie przeskoczysz faktu, że ciągłe połączenie z jednym serwerem, z którego pobierasz dużo danych jest podejrzane

i tu już nie do końca się zgadzam, uważam po prostu, że nie jest tak źle. Możesz mieć firmowe/ hobbystyczne materiały, filmy, ich automatyczną aktualizację/ backup? Jeśli pod wskazanym IP kontrolujący znajdzie okienko logowania do sensownego serwisu teoretycznie uzasadniającego taki ruch, to chyba poszuka sobie innego "wroga" do nabicia statystyk.
Przecież teraz mnóstwo urządzeń całą dobę wymienia dane non-stop w dużych ilościach, przykład pierwszy z brzegu konsole do gier.

[pm7]

Możesz mieć firmowe/ hobbystyczne materiały, filmy, ich automatyczną aktualizację/ backup? Jeśli pod wskazanym IP kontrolujący znajdzie okienko logowania do sensownego serwisu teoretycznie uzasadniającego taki ruch, to chyba poszuka sobie innego "wroga" do nabicia statystyk.

To może mieć jakiś sens. Taki ruch często jednak idzie innymi protokołami (np. rsync po ssh). No i może nie backup, bo backup wiąże się z ruchem w odwrotną stronę (więcej wysyłania niż pobierania).

Przecież teraz mnóstwo urządzeń całą dobę wymienia dane non-stop w dużych ilościach, przykład pierwszy z brzegu konsole do gier.

Tego typu urządzenia można sprofilować i usunąć z wyników, żeby skupić się na niestandardowych pakietach.

[Harey]

Tego typu urządzenia można sprofilować i usunąć z wyników, żeby skupić się na niestandardowych pakietach.

Ja zawsze myślę na opak Można się podszyć i udawać PS4!

Pomyślałem o czymś innym teraz... Kiedyś robiłem tutaj obrazkowego TUTka odnośnie botowalnego linuxa z pendrive/portfela.

Zastanawiam się, czy nie przydałby się taki, ale w temacie LEDE/OpenVPN/Wireguard? Chyba większość/wiele osób nie zdaje sobie sprawy, że za <150PLN można mieć router z świetnym bezpiecznym oprogramowaniem i VPN działającym cały czas dla wszystkich urządzeń. Ja na takim chińczyku z OpenVPN za 120 PLN wyciągam 17Mb/s, WIFI, blokada netu na wypadek padu VPN itp.

Czekam na odzew/ opinie.

[pm7]

Ja zawsze myślę na opak Można się podszyć i udawać PS4!

Można próbować. Idealnie jednak się tego raczej nie zrobi, bo nie ma jak odbierać pakietów na IP, których używa PS/Xbox.

Pomyślałem o czymś innym teraz... Kiedyś robiłem tutaj obrazkowego TUTka odnośnie botowalnego linuxa z pendrive/portfela.

Zastanawiam się, czy nie przydałby się taki, ale w temacie LEDE/OpenVPN/Wireguard?

Może?

Chyba większość/wiele osób nie zdaje sobie sprawy, że za <150PLN można mieć router z świetnym bezpiecznym oprogramowaniem i VPN działającym cały czas dla wszystkich urządzeń.

Z tym jest problem, że jest wiele różnych modeli routerów, a w dodatku dany model występuje w wielu rewizjach. Nowsze rewizje często nie są obsługiwane przez openWRT, albo wymagają bardziej skomplikowanej instalacji w celu obejścia zabezpieczeń (np. TP-Link zaczął dodawać kryptograficzną weryfikację w uboot, niby przez wymóg amerykańskiej agencji rządowej).

Dodano po 3 minutach 41 sekundach:

Ja na takim chińczyku z OpenVPN za 120 PLN

Jakiś fajny model?

Ja jestem fanem Nexx WT3020h/WT3020f do drobnych zastosowań i słyszałem dobre rzeczy o Xiaomi Mi Wifi Router 3G (ale jest nieco uciążliwe odblokowanie go, żeby zainstalować openWRT).

Dodano po 37 sekundach:

blokada netu na wypadek padu VPN

Skrypt, czy odpowiednia konfiguracja firewalla? Skrypt nie zareaguje natychmiast

[Harey]

Ja mam na myśli gotowca, dla totalnych humanistów z tego forum
LEDE z nakładką od producenta - super user friendly. Od wielu mc męczę kilka takich, 0 problemów, niewiele większe od pudełka zapałek, nawet gotowy soft do TOR, jakby ktoś chciał.

@pm7, spójrz proszę okiem fachowca:
https://gl-inet.com/ar300m/
http://docs.gl-inet.com/app/openvpn/

@benq dedykacja dla Ciebie (to Ty pisałeś o humaniście?)

[benq]

@Harey, @pm7,
Coraz mniej rozumiem o czym mówicie, ale mówcie dalej!
Bo to jest zagadnienie nie dość, że bardzo ciekawe, to również niezmierne ważne moim zdaniem.
Bardzo chciałbym zachować jak największa anonimowość w sieci, jednak takie rzeczy jak konfiguracja firewalla, DPI, protokoły rsync ( ), konfiguracja fteproxy, no to jest dla mnie nie do przejścia chyba, przynajmniej na razie.
Jeśli są jakieś względnie proste rozwiązania - nie musi być zupełnie łopatologicznie - przycisk on/off, mogę poświęcić parę dni na czytanie, to jestem mega zainteresowany.
Ale nie wyobrażam sobie, że przy każdym łączeniu się z netem, żeby sprawdzić forum, maila czy youtuba będę napotykał tysiąc problemów, które rozwiązać można tylko w wierszu poleceń.