20:09
29/11/2019

Dziś sporo firm ogłosiło przeceny na różne produkty i usługi podnoszące bezpieczeństwo lub chroniące prywatność. Poniżej krótki przegląd okazji.

Szkolenia Niebezpiecznika

Przygotowaliśmy 2 okazje:

  
Promocja obowiązuje do 6 grudnia, a jeśli jakiś z obecnych terminów szkoleń komuś nie pasuje, to może wykupić voucher (ważny 12 miesięcy) i wybrać dowolny kolejny termin szkolenia. Szczegóły tej promocji znajdziesz tutaj.

NordVPN – 3 miesiące gratis

Na Czarny Piątek firma przygotowała ofertę w ramach której można otrzymać 3 miesiące gratis jeśli wykupi się plan 3 letni na który zawsze obowiązuje stała “70% obniżka” ceny. Poza 3 miesiącami gratis firma dorzuca też za darmo ich najnowszą aplikację — NordLocker, czyli narzędzie do szyfrowania danych.

Naszym zdaniem, o ile sam NordVPN jest wart uwagi, bo…

  • – ma najwięcej funkcji spośród VPN-ów za tę cenę
  • – ma największą na rynku (?) liczbę serwerów VPN (ponad 5200+), co rzutuje na prędkość transferu, dostępność wielu krajów wyjściowych. A liczba IP między którymi można skakać, to właśnie ta cecha, która odróżnia komercyjne VPN-y od własnego serwera postawionego np. na Algo.
  • – pozwala w ramach 1 licencji na ochronę do 6 urządzeń (przy czym jak jednym z nich będzie router, to wszystkie urządzenia będące za routerem są tą licencją zabezpieczone)
  • – ma tryb filtrowania złośliwych stron, co przyda się do automatycznej ochrony komputerów mniej doświadczonych użytkowników
  • – działa na nim Netflix i inne usługi streamingowe, co nie jest regułą przy VPN-ach. Oraz torrenty :)
  • incydent z bezpieczeństwem jednego serwerów, choć wizerunkowo (ze względu na czas reakcji) był bardzo słaby, to potwierdził, że firma nie trzyma logów dot. użytkowników i stosuje Perfect Forward Secrecy. Zmusił też firmę do większych inwestycji w bezpieczeństwo, a nie tylko marketing.

…to o dorzucanym do NordVPN NordLockerze niczego powiedzieć nie możemy. Nie testowaliśmy go i nie zamierzamy, bo jest sporo darmowych narzędzi do szyfrowania dysków. Użytkownicy Windows mają wbudowanego w system Bitlockera lub mogą skorzystać z potężniejszego VeraCrypt. Na MacOS jest FileVault i niczego więcej nie trzeba. Na Linuksa rozwiązań też nie brakuje.

Przy okazji NordVPN wypuścił też NordPass — managera haseł. Ale, podobnie jak z NordLockerem, na rynku jest sporo świetnych managerów haseł, które każdy z Was może mieć za darmo, np. KeePassa XC, wraz z klientami na iOS (polecamy Strongbox i KeePass2Android).

OK, KeePass do najpiękniejszych nie należy, ale jeśli ktoś chce coś ładniejszego i płatnego, to dobrą opcją może być 1Password, od dawna będący liderem wśród managerów haseł, który ma też czasem dość istotną funkcję np. dzielenia się hasłami między kilkoma osobam i informuje o tym, czy Wasze hasło z danego serwisu wyciekło i trzeba je zmienić. Niestety, 1Password żadnej promocji na Czarny Piątek nie przygotował, więc zostają zakupy po standardowych cenach.

Ale ja nienawidzę Norda!!11!11

Wiemy, że część z Was po ostatnim incydencie w NordVPN zraziła się do tej firmy przede wszystkim długą reakcją na incydent, za którą firmie słusznie należy się krytyka. Są też tacy, którzy nie przyjmują do wiadomości, że włamania się zdarzają (albo zdarzą się) każdemu i po udanym ataku zmieniają dostawcę (ciekawe czy to samo robią z bankami i operatorami telefonii komórkowej, a jeśli tak, to które firmy wybrali ;p).

Co można więc polecić tym, co z Nordem nie chcą mieć nic wspólnego? Promocję na ProtonVPN! Nie jest ona co prawda tak dobra jak ta na Norda (brak planu 3 letniego i prawie 2 razy wyższa opłata miesięczna), ale jest:

Jest też pakiet z ProtonMailem, ale my fanami poczty od Protona nie jesteśmy. Z “full szyfrowanych” skrzynek e-mail naszym zdaniem lepsza jest Tutanota, bo ma więcej funkcji i wygrywa z Protonem na prawie każdym polu, ale przede wszystkim wspiera klucze U2F, które mają krytyczne znaczenie do ochrony przed phishingiem. Proton niestety wciąż się tego nie dorobił…

Kończąc temat promocji na VPN-y, jak zwykle podkreślmy że, przed zakupem VPN-a należy zadać sobie ważne pytanie: co chcesz dzięki tej usłudze osiągnąć? VPN pomoże uchronić się przed tymi ryzykami, ale najbardziej przydatny jest po prostu do szybkiego i wygodnego obchodzenia cenzury i niezostawiania swojego (tego samego) IP podczas rejestracji w kolejnych usługach, co w przypadku wycieku danych z serwisu szalenie ułatwia korelację kont należących do tej samej osoby. VPN może też być dobrą ochroną dla osób korzystających z sieci P2P do pobierania innych materiałów niż legalne dystrybucje Linuksa. Wnioski z RIAA odbiją się od dostawcy VPN, bo “nie ma logów”. Natomiast jeśli ktoś obawia się hakerów na hotelowym Wi-Fi, to wierzcie nam, że nikt nie przechwyci Wam wykonywanego w banku online przelewu na niezaufanym Wi-Fi, bo bank (i większość istotnych serwisów) ma HTTPS, a przeglądarki nie pozwalają dziś na ciche “złamanie” szyfrowania, niezależnie od tego co mówią dostawcy VPN-ów w swoich ofertach.
PS. Możecie też olać i Norda i Protona i wybrać swojego ulubionego VPN-a samodzielnie, na podstawie analizy 100+ usług opisanych w tym pliku Excela.

Shodan?

Zazwyczaj Shodan dawał dożywotnie konto za 5 USD w każdy Czarny Piątek. W tym roku Shodan poinformował, że takiej oferty nie będzie. Serwis rozdawał konta za 1 USD, ale tylko 23 listopada z okazji dziesięciolecia. :(

SpiderFoot XH

Brak Shodana zrekompensujemy innym świetnym narzędziem. SpiderFoot to kombajn, który wykorzystujemy m.in. na naszym szkoleniu z OSINT. Ogarnia sieciowy rekonesans i korelację danych. Chłopaki prowadzą ukrytą promocję na Czarny Piątek (-20%). Trzeba na swojej instancji wejść w ustawienia i subskrypcje a następnie ustawić 1 rok i wpisać kod “SFHXBFDEAL”.

Signal

Signal to najbezpieczniejszy komunikator, zapewniający szyfrowanie punkt-punkt (E2EE) i wiele innych funkcji (rozmowy głosowe, tekstowe, emoji, etc.). Wygrywa z WhatsAppem (który zresztą bazuje na Signalu) i innymi komunikatorami tym, że nie zbiera metadanych na temat użytkowników. I teraz najlepsze. Jest DARMOWY.

Każdego dnia, nie tylko w Black Friday ;) Pobierzesz go stąd — na telefon, tablet lub komputer. Signala polecają znane osoby i doświadczeni eksperci od kryptologii (patrz obrazek powyżej).

Rzeczy zamiast usług?

Jeśli ktoś woli bardziej materialne prezenty na Czarny Piątek, to odsyłamy Was do naszej niebezpiecznikowej listy zakupowej na Amazonie, w której zebraliśmy różne produkty mniej lub bardziej kojarzące się z bezpieczeństwem. Lista powstała parę lat temu, aby pomóc podsunąć pomysły na prezenty dla siebie lub znajomych “informatyków”/bezpieczników.

Większość z produktów jest dostępna z wysyłką do Polski, a jeśli jakiś nie jest to pozostaje Wam szukać go samodzielnie na Ceneo. Powodzenia :)

Z tej listy, naszym zdaniem najbardziej przydatne będą następujące gadżety:

  • Filtr prywatnościowy (nie znaleźliśmy nigdzie w promocji)
  • Klucz U2F Feitiana, jedyny model, który wspiera jednocześnie USB (komputer), ale również NFC (Android) i Bluetooth (iPhone)
  • Dysk przenośny na backupy — dowolny o wielkości Waszego dysku twardego da radę. Kupcie od razu dwa! :)

Cyberksiążka?

Wiadomo, inteligentni ludzie zawsze ucieszą się z książki. Z obszaru security niezmiennie, polecamy pozycje poniżej:

Mudi – router nastawiony na prywatność

I na koniec perełka. 4G LTE privacy router, który powstał z myślą o zapewnieniu maksymalnej prywatności. Na pokładzie ma Tora i opcję podpięcia komercyjnego VPN-a przez OpenVPN. Jest też WireGuard, domyślne szyfrowanie DNS. Można się do niego podpiąć nie tylko po Wi-Fi ale także przez RJ-45, a sam router nie musi korzystać z karty SIM, może działać jako repeater i podpinać się do wybranej sieci Wi-Fi “dobezpieczając” ją. Router Mudi został zaprojektowany przy udziale znanego speca IT Security — grugq.

Niestety, router jest jeszcze w finalnej fazie produkcji, ale już teraz można go zamawiać na Kickstarterze. Więc jeśli po zakupach czarnopiątkowych została Wam kasiora, warto wydać 229 USD (my ustawiliśmy się w kolejce do wersji EMEA).

PS. Ten artykuł NIE JEST sponsorowany i żadna z firm, których rozwiązania tu przedstawiamy nie zapłaciła nam, aby powstał. Niektóre z linków są afiliacyjne, co oznacza, że jeśli daną usługę kupicie po tym linku, to jej sprzedawca przekaże nam trochę PLN. Możecie też kupować bezpośrednio u producentów i nie obrazimy się, bo jak zawsze — polecamy tylko i wyłącznie te usługi, z których rzeczywiście korzystają nasi redaktorzy i które z czystym sumieniem rekomendowaliby swoim znajomym, nawet bez programów partnerskich.

Przeczytaj także:

12 komentarzy

Dodaj komentarz
  1. To ja jeszcze dorzucę ofertę od pCloud: https://my.pcloud.com/
    Storage w cloudzie z szyfrowaniem E2E.

  2. A my od siebie dorzucamy kod bf70 dający 70% off na pierwszy miesiąc licencji cisco AMP oraz cisco Umbrella. Jeśli komuś mało, to z kodem secure_bf2019 dostaniecie jeszcze 2h wsparcia inżyniera do wdrożenia.
    Bezpieczeństwo w cenie kawy tylko na netformers.eu

    • Internet jest mały.
      Zduńska Wola ? ;)

  3. Jeśli chodzi o Protonmail vs Tutanota, to tutaj Tutanocie niestety brakuje jednej rzeczy: wsparcia PGP.
    Oczywiście, można się kłócić o to, czy PGP nie jest już przestarzałe itp., ale nie zmieni to tego, że to wciąż jedyny standard implementowany przez więcej niż jednego usługodawcę.

    Zdarza mi się (co prawda bardzo rzadko, ale jednak) wysyłać lub odbierać szyfrowane emaile. Więc zostaję na razie z PM i czekam aż wprowadzą u2f i kalendarz, co ma kiedyś nadejść :)

    Jeśli jednak ktoś tego naprawdę nie potrzebuje i planuje tylko wysyłać szyfrowane emaile “w systemie”, to Tutanota jest jednak lepsza.

    Ale dodam, że z jakiegoś powodu bardzo lubię podejścia obu firm do swoich produktów, mimo że są pod wieloma względami przeciwieństwami.
    Protonmail się nie spieszy, pracując nad czymś aż będzie gotowe. Niestety nawet z wypuszczaniem kodu aplikacji tak postępują, więc nie są do końca “open source”, bo czekają na zakończenie kilku audytów (webaplikacja, czy aplikacja na iPhone są OSS, ale apka na Androida jeszcze nie).
    Tutanota natomiast rozwija się bardzo dynamicznie i otwarcie z nowymi wydaniami wiele razy w miesiącu (choćby w ciągu ostatnich 30 dni były 4 nowe wydania wg. GitHuba).

    Dodam tu jeszcze, że wydaje mi się że warto obserwować Criptexta, który bazuje na protokole Signala. Wyróżnia się tym, że ma nawet nie przechowywać emaili na serwerze (tj. są usuwane po dostarczeniu do klienta). Obecnie jest w becie i trwa jego kampania na Kickstarterze. Jest też oczywiście open source.
    Ale w zasadzie to nie testowałem tego zbytnio i wydaje się jeszcze w zbyt wczesnej wersji by zastąpić PM lub Tutanotę. Z tego co widziałem na ich GitHubie brakuje choćby blokowania zdalnej zawartości.
    Może jednak być ciekawe kiedy się rozwinie.

    • Wgranie klucza prywatnego do webaplikacji? W życiu. Lepiej gpg obsługiwać systemowo nakładka na każdą aplikacje. W macOS to gpg tools. Wtedy każda aplikacja ma wsparcie dla gpg.

    • PGP przestarzałe? Samo rozwiązanie jest super, mogę się jedynie zgodzić co do “przyjazności dla użytkownika”, która jest słaba raczej i faktycznie przestarzała… Ja widzę inny problem. XXI wiek, a ludzie mają pod nosem rozwiązanie bardzo dobre (PGP), z którego nie korzystają, bo A – nie umieją, B – mają gdzieś, C – nie znają… Ja się pytam CZEGO SIĘ UCZY W SZKOŁACH NA INFIE, że wychodzą w świat impotenci kryptograficzni, którzy kompletnie nie rozumieją znaczenia jakie ma dzisiaj prywatność korespondencji, która przestała istnieć (za psrawą FB, G, MS i innych), a jest elementarną zasadą swobód obywatelskich i filarem wolności…

  4. NordLocker to szyfrowanie plikow a nie manager hasel.

    • Zaszyfruj plik z hasłami i będziesz miał ;-)

  5. BitWarden jest zdaje się dobrą alternatywą, dla tych, których odstrasza design KeePassa, albo nie chcą się go “uczyć”.

  6. odnosnie przekonania osoby nietechnicznej do używania PGP która jest przyzwyczajona do obsługiwania aktualnie maila przez przeglądarkę ewentualnie przez apke generyczna typu mail na komórce..

    problem w tym ze zaszyfrowany mail może odczytać tylko np thundebird+enigmail gdy otworzy to samo w przeglądarce widzi tylko „znaczki”..

    Jak teraz moc deszyfrowania maile pgp „w locie „ w przeglądarce?badz otwierać je na komórce jakaś „generyczna pgp friendly„ apka ?

    Bez potrzeby używania protonmaila

  7. Znowu (NordVPN) polecacie nie to, co trzeba.

    Tutanota ostatnio wprowadziła backdoor do swojej poczty: https://www.reddit.com/r/privacy/comments/dwouqj/tutanota_cooperated_with_authorities_to_keep/

    ProtonMail też pewnie ma, ale u nich można zaszyfrować wszystkie wiadomości za pomocą PGP a Tutanota szyfruje tylko wiadomości pomiędzy własnymi użytkownikami.

    • Trzeba jeszcze umieć czytać ze zrozumieniem to do czego się linkuje:

      This applies only to non-encrypted emails sent/received after a court order was issued.
      End-to-end encrypted emails are not affected.
      End-to-end encrypted data (calendar, contacts, etc) are not affected.
      A valid German court order is required for this (for cases such as blackmail, terror threats, murder), 4 have been issued in the first half of 2019.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: