9:16
27/10/2017

Po krótkiej przerwie, zapraszamy do wysłuchania 4 odcinka niebezpiecznikowego podcastu pt. Na Podsłuchu. Marcin Maj, Kuba Mrugalski (tym razem bez Piotrka) rozmawiają o VPN-ach i sieci Tor, przedstawiając zastosowania i wskazując, czego i kiedy potrzebujemy, aby zachować bezpieczeństwo niektórych połączeń.

Zasubskrybuj nasz podcast w swojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu”, a o kolejnych odcinkach będziesz informowany automatycznie przez Twój telefon.

Posłuchaj tego odcinka

Listen to “NP #004 – ten o VPN i sieci TOR” on Spreaker.

Jeśli masz jakieś pytania odnośnie tego odcinka, zostaw je w komentarzach poniżej. Niebawem zrobimy odcinek podcastu będący Q&A, w którym postaramy się zebrać zadawane nam pytania odnośnie kilku pierwszych odcinków i odpowiemy na nie zbiorczo.

Linki do omawianych zagadnień

Zasubskrybuj nas, aby nie przegapić nowych odcinków

Najwygodniej jest nas zasubskrybować poprzez dowolną aplikację do słuchania podcastów. Po prostu wpiszcie “niebezpiecznik” w wyszukiwarce, a Waszym oczom ukaże się:

Kliknięcie w “Subscribe” sprawi, że będziecie automatycznie informowani o kolejnych odcinkach. Możecie też kliknąć w poniższy przycisk, aby zapisać się na podcast przez iTunes:

 

Wszystkie odcinki w jednym miejscu

“Na Podsłuchu” ma także swoją stałą stronę na Niebezpieczniku:

Strona podcastu Na Podsłuchu

Tam znajdziecie player pozwalający odsłuchać wszystkie odcinki, oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi). Można nas też słuchać na YouTube.

Do podsłuchania!

P.S. Jeśli masz jakieś pytania, zostaw je w komentarzach poniżej. Niebawem zrobimy odcinek podcastu będący Q&A, w którym postaramy się odpowiedzieć na pytania dotyczące kilku pierwszych odcinków.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Heh… “Po krótkiej przerwie”? No niech będzie.. ;)

    • Humor jest w cenie :)

  2. I [usunięte przez moderatora, aby nie psuć zabawy innym] ;)

    Jest to [usunięte przez moderatora, aby nie psuć zabawy innym].

    Pozdrawiam

  3. “[usunięte przez moderatora, żeby nie psuć zabawy innym]”

    VY73 de SQQ7KGH!

  4. Przy każdej rozmowie chwalącej TOR mnie zastanawia, czy to ma jakikolwiek sens w przypadku tzw. “zwykłego człowieka”?
    TOR pod względem zastosowań jest trochę jak Torrent i już dawno tak został zaszufladkowany.

    W artykule z 7/2/2016 piszecie o metadanych. Otóż ich brak (połączenie SSL TOR z nieznanymi serwerami) jest również informacją. Problem z TOR polega na tym, że metadane użytkownika ściągającego najnowszą dystrybuję Ubuntu mogą być podobne do metadanych użytkownika ściągającego ostatnio wykradzioną bazę danych lub inne nielegalne materiały.

    O łakomych pośrednikach i wpadkach samej “przeglądarki” już nie wspominam.

    • Pytanie, jaki sens ma nieużywania Tora?

      Moim zdaniem Tor, czy połączenie a’la Tor (routing mieszany) powinien być standardową metodą podłączenia do internetu, a inne używane być powinny jedynie w szczególnych przypadkach, kiedy kluczowe są maksymalnie niskie opóźnienie transmisji. Jak inaczej chcesz radzić sobie ze śledzeniem?

      Ludzie z Tor Project pzaleceją używanie Tora zawsze i do wszystkiego. Tu masz fajny wywiad z Colinem Childsem w Privacy & Security Podcast:

      https://soundcloud.com/user-98066669/040-a-conversation-with-the-tor-project

      A czemu nie VPN-y? Jest wiele przyczyn.

      https://gist.github.com/joepie91/5a9909939e6ce7d09e29

      Moim zdaniem główna to niedoskonałe przeglądarki, podane na fingerprinting. I to, że wielu by chciało VPN-ów używać na Windowsach, gdzie zerwanie połączenia = wyciek ruchu.

    • @Rafał P.
      Bardzo fajnie i bardzo dobrze, tylko na razie TOR nie zdobył (jeszcze?) takiej popularności, żeby stawiać równość typu Internet=TOR.
      Podobnie wiele osób żyje dobrze całe lata bez jakiegokolwiek klienta typu Torrent.

      Odnośnie tej mitycznej prywatności i śledzenia, to przypominam że tutaj wskazuję na tzw. “szaraczka” używającego swojego komputera, swojego zarejestrowanego na siebie Internetu, włączającego komputer z klientem swojej poczty i przeglądarki z wieloma aktywnymi sesjami. Taki użytkownik już dawno podał wszędzie swoje dane włącznie z numerem buta na portalu aukcyjnym, listą znajomych na społecznościówkach i zainteresowaniami w panelach komentarzy.

      Wróćmy teraz do pytania: co daje takiemu komuś TOR?
      Że ISP lub służby nie będą znały przesyłanych danych? HTTPS już podobno to czyni.
      Że opłacony ISP lub służby nie będą znały przesyłanych metadanych, ale nieznane mu node już tak?

      A jakie są tego koszty?
      Dodatkowa warstwa, dodatkowe oprogramowanie, i wektor dla malware.
      Skutecznym spowolnieniem sieci jest używanie już jednego proxy, a TOR używa ich więcej. Na początku odpadają już gry i YouTubue HD.
      Pośrednik i wszelkie wady z tym związane.
      Adresy zewnętrzne sieci TOR są dobrze znane i wiele serwisów zasypie nas różnymi zagadkami typu “czy jesteś robotem?” lub odmówi działania.
      TOR jest używany do niecnych celów.
      Jest wiele opracowań dot. wykrywania użycia TORa przez klienta.

      W sumie więc dostajemy narzędzie, które podobno coś daje, ale często nie działa i sporo utrudnia,
      W dodatku już sam fakt, że TOR jest widziany jako narzędzie przestępców zniechęca do jego używania.

      Opowieści o prywatności dzięki użyciu TORa można porównać do założenia przez cywila kominiarki i wycieczki do banku z dowodem osobistym. Niby więcej prywatności, niby nikt w autobusie i nikt ze śledzącybh kamery w banku na początku nie pozna twarzy, a spowolnienia działania występują jedynie czasami… :)

      Tak więc ja osobiście do cywilnych rzeczy tego rozwiązania nie “kupuję”. Może jakiemuś dziennikarzowi się przyda. Zresztą kończę gadanie o prywatności, bo mi się znów Telemetria od MS sama włączyła. :)

    • Dzięki VPN unikamy “DNS leak” w Torze. Spora część Nodów z Tora jest w rękach NSA (kopiują wszystko co przez te nody nie przechodzi i trzymają te dane przez 2 lata – nie wiem jak jest w chwili obecnej).

  5. Wrzućcie to proszę na stitcher. To jedna z popularniejszych aplikacji do podcastów na androida.

  6. Apropos sytuacji opisywanej w 9 minucie – czyli blokowaniem maili z Panoptykonu – myślę, że redaktor Maj jest tu mocnym optymistą sugerując, że spowodowane to było nieufnością do TORa.
    To było celowe działanie mające utrudnić życie fundacji, która jest cierniem dla każdego ministerstwa czy instytucji publicznej. Panoptykon wielokrotnie wytykał błędy, omijanie procedur i przepisów, działanie na szkodę obywateli, etc. TOR był tu po prostu idealnym pretekstem aby “dowalić” fundacji – bo akurat nadarzyła się okazja. Niestety ;)

  7. Kuba, proszę Cię… włączam, wyłączam, przełączam. Ze 3-4 razy babol poleciał ;)

    Ale podcast jak zawsze na duży plus – żeby nie było, że tylko krytykuję ;)

  8. Szczęśliwy numer to [x]. Wypatruj go wszędzie :)

    • Tylko co z tym [x]? Jedyne co da się znaleźć na jego temat to ów “aforyzm” w którym się pojawia.

  9. > Że ISP lub służby nie będą znały przesyłanych danych? HTTPS już podobno to czyni.

    Z TLS niby treść jest zaszyfrowana. Ale nadal po wielkości pakietów można dojść, którą podstronę zaszyfrowanej strony, otwierałeś. A rzeczona strona nadal widzi wszystko, a jej trackery śledzą wszystko po Twoich ciasteczkach, IP i odcisku palca przeglądarki. Dopiero Tor Browser robi różnicę.

    Mi się wydaje, że przeciętny szaraczek własnie kompletnie nie rozumie, jak działa internet i wyobraża go sobie jak Tora. Bo tak działają inne zdane mu usługi, jak kanalizacja, prąd czy woda.

    Najpopularniejsze teorie negacjonistyczne odnośnie masowej inwigilacji to “instnieje szum informacyjny…” oraz “gdyby tak było, to nikt by nie korzystał”. Pierwsza z nich właśnie wynika z faktu niezrozumienia, jak działają komputer i Internet, i mylenia ich z miejskim przedsiębiorstwem oczyszczania.

    Stawiam tezę, że gdyby szaraczek rozumiał, to nie czyniłby 90 % rzeczy, które czyni obecnie.

    • Co do teorii negacjonistycznych – wielu znajomych w moim wieku, powiedzmy, zainteresowanych technologią, ale nietechnicznych, po prostu zlewa temat, wprost mówiąc, że woli mieć profilowane reklamy, albo żeby producent wychodził mu na przeciw. Nie mówiąc o graczach, którzy inwestują w przedpremierowe wersje gier, żeby moc zapłacić za bycie betatester^H^H^H^H zagrać w produkcję, kiedy jest na nią największy ‘hajp’, czyli marketingowa hucpa trwa w najlepsze. I mówią to wprost.
      Ja, jako początkujący paranoik, tego nie rozumiem.

    • > nadal po wielkości pakietów można dojść, którą podstronę zaszyfrowanej strony, otwierałeś
      @Rafał P.: Mówicie, że znacie algorytmy aż tak dobre, że zadziałają również na dynamicznie generowanych stronach o zmiennej długości dla każdego użytkownika i dla każdego wyświetlenia? A jaką realną skuteczność macie i ile to kosztuje na jednostkowe użycie? :)

      A nawet jeśli się domyśla, to czy należy się tego od razu paranoicznie bać skoro wiesz co przeglądałeś?

      Zresztą podobnie może zadziałać kobieta, którą właśnie mijacie idąc chodnikiem. Na podstawie analizy ukształtowania męskich spodni jest ona w stanie odgadywać, czy jest bardziej pociągająca od jej koleżanki, którą mijałeś minutę temu. Tylko czy przez to należy unikać chodników i zwykłych spodni?
      Podobnie brak prywatności występuje w sklepie i publicznych środkach transportu (monitoring). O samochodach już nie wspominam, bo to ciągle te same znaki identyfikujące z przodu i z tyłu. :)

      Niebezpiecznika nie prowadzę, więc dalej twierdzę, że mnie osobiście (jak i wielu innym “szarakom”) TOR nie daje relnego zysku a daje koszty i upierdliwości, więc nie będziemy robić “szumu informacyjnego” w nim.
      Ponadto taki Piotr używa TORa bo wie, jakich stron i technik tam używać (kolejny stopień wiedzy). Ja na szczęście nie muszę tego wiedzieć i mogę podsłuchiwany poczekać na strony w normalnym Webie. :)

    • > A nawet jeśli się domyśla, to czy należy się tego od razu paranoicznie bać skoro wiesz co przeglądałeś?

      Co?

      Dalej, sugerowałeś wcześniej, że TLS zapewnia prywatność. Nie zapewnia. Nadal widać, kto co przegląda i kiedy. Zapobiega jedynie możliwości egzekucji różnych ataków, poglających np. na przechwyceniu sesji czy podsłuchaniu loginów.

      Ustalenie, która z podstron została wywołana, jest trywialne, bo wystarczy spojrzeć na wielość pobranych treści.

      http://www0.cs.ucl.ac.uk/staff/G.Danezis/papers/TLSanon.pdf

      Na VPN podobnie:

      https://mail.whonix.org/wiki/Comparison_Of_Tor_with_CGI_Proxies,_Proxy_Chains,_and_VPN_Services#Comparison_of_Tor_and_VPN_services

      Z tymi kamerami w autobusach, to też nie rozumiem. Czy ja je tam ustawiłem, że winisz mnie za ich obecność?

      Chodniki też nie bardzo rozumiem, co tutaj mają do rzeczy. Czy postulujesz tezę, że era masowej inwigilacji zaczęła się nie z momentem upowszechnienia technik śledzenia ludzi przez komputery, a z momentem pojawienia się chodników?

  10. Odcinek trzyma poziom jednak koncert na 3 głosy stanowczo lepiej się brzmi ;-)
    Trochę ad personam (no hate!) @Jakub: rozumiem, że niektóre cechy ludzie mają out-of-the box i np. z takim wzrostem czy dykcją ciężko coś zrobić, ale błagam, nigdy więcej “włanczać”. Niespodziewana szpila w ucho :-( I to nie 1 raz!

  11. Taka malutka uwaga do samego początku podcastu – przedstawiłeś Kubę, ale siebie już nie. Słuchacz powinien wiedzieć, kto do niego mówi :)

  12. Jak się bronić przed podsłuchiwaniem przez służby i Policję martwiłem się od połowy do końca lat 90-tych. Teraz szukam jak się bronić przed podsłuchiwaniem i sterowaniem przez guglę, micro$oft i coraz więcej dystrybucji Linuksa. Ci pierwsi tylko podsłuchują, ci nowi dodatkowo wpływają na moje zachowania. Zdecydowanie jest przed czym się chronić. Zaryzykuję stwierdzenie, że to tym nowym zależy na zmyleniu tropu i wygenerowanie rynku do ochrony przed kimś innym niż oni :)

  13. Co do vpn warto jeszcze zadbać o to aby nie było wycieku zapytań dns, nie wiem jak na windowsie czy makówkach ale na linuksie trzeba zadbać o to samemu korzystając przykładowo z lokalnego dnscrypt-proxy lub wrzucając w resolvconf dnsy dostarczane przez vpn:
    https://www.dnsleaktest.com/

  14. A nie można tak staromodnie i przyciskiem “pobierz” ?? Nie mam ochoty bawić się z odsłuchem online .

    • Robię tak:

      youtube-dl –extract-audio https://www.youtube.com/watch?v=B-IGxNpIqn8

      nawet w zgodzie z tematem, bo w Koosoli na Whoniksie (Qubes OS).

    • ale jest link do pobrania mp3 na stronie z podcastem, spreakerze.

    • @Piotr Konieczny

      Mi kazali zalogować się na jakieś konto. Uznałem więc że to scam, jak z tym Facebookiem, i odpuściłem.

    • @mrbolt “Mi kazali zalogować się na jakieś konto”

      bo klikasz bez opamiętania zamiast zrobić to po ludzku :)

    • @vania

      Rzeczywiście, jak się ręcznie wywoła plik z linka, to zaskakuje. Inaczej skrypt każe się logować.

  15. może ktoś wytłumaczyć na czym polega cannary check?

  16. Skoro było dużo o VPN, to jaki VPN (dla tylko windowsowych) polecacie? Czy http://privateinternetaccess.com/ to dobre rozwiązanie?

    • Ale w jakim celu na Windowsa? Jeśli w kwestii zapewnienia prywatności, to nie ma to żadnego sensu.

      Windows, pierwsze co zrobi, to wyśle do komputera matki numery seryjne twoich komponentów i będzie się komunikował z nim komunikował na podstawie przydzielonemu tobie w ten sposób unikalnego numeru GUID, z VPN czy bez:

      https://en.wikipedia.org/wiki/GUID

      To oprogramowanie służące do zbierania danych, a nie zapewnieniu tobie ich ochrony. To nie jedyna z zaimplementowanych tam złośliwych funkcji:

      https://www.gnu.org/proprietary/malware-microsoft.html

      Dodatkowo, na Windowsach masz zapewnione wycieki ruchu przy awarii takiego połączenia z VPN. Priorytetowe, co powinieneś zrobić, to zmienić to oprogramowanie na inne. Nie tędy droga.

    • a na jakie oprogramowanie wymienić? Co sugerujesz?

    • Jaki? QubesOS.

      Ale też dowolną dystrybucję Linuksa, BSD czy macOS można ustawić tak, by nie było wycieków ruchu przy awarii takiego połączenia z VPN.

      macOS jednak będzie się identyfikował numerem instalacji czy per konto Apple do ich serwerów. Linuksy nie, za wyjątkiem chyba Ubuntu, które ma mechanizm raportowania błędów przydzielone do instalacji. Chyba opt-in.

      Jeśli są jakieś programy windowsowe, których nie uruchomisz przez Wine, to polecam maszyny wirtualne. VirtualBox ma akcelerację 3D.

  17. Jaki VPN polecacie? Czy NordVPN czy Privateinternetacces?

    • unknow polecał protona, przetestowałem i rzeczywiście nawet ten darmowy bangla całkiem znośnie, chociaż osobiście wolę swoje rozwiązanie w postaci vps-a, większe pole do manewru oraz większe bezpieczeństwo i poufność od gotowych rozwiązań

  18. Czy jest jakaś szansa ze podcasty znajdą się na spotify? Chyba już w całości się na nich przerzuciłem, całkiem to wygodnie fajnie by było Was tam znaleźć.

  19. (Poprawka)

    Dzięki VPN unikamy “DNS leak” w Torze. Spora część Nodów z Tora jest w rękach NSA (kopiują wszystko co przez te nody przechodzi i trzymają te dane przez 2 lata – nie wiem jak jest w chwili obecnej). Lista nodów NSA: https://beamstat.com/chan/Crypto-Anarchist%20Federation/ae7a0e31a9169103f2abcd2719ca33192cf8e50f34861f7a5cc4b44c8770bd0a
    Polecam książkę: https://helion.pl/ksiazki/zbrodnie-przyszlosci-jak-cyberprzestepcy-korporacje-i-panstwa-moga-uzywac-technologii-przeciwko-to-marc-goodman,zbrodn.htm

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: