23 odpowiedzi w tym temacie

[Aidil]

Czy coś takiego jak prywatność w sieci, eterze jest jeszcze możliwa? 

[D.K.]

Stuprocentowa? Nie, nie ma takiej możliwości. 

Można natomiast mocno ograniczyć zakres i ilość informacji osobistych, jakie wypływają na zewnątrz -- przy czym wiele metod zakrawa na mniejszą lub większą paranoję lub utrudnia dość mocno korzystanie z Internetu.

[element]

używaj vpnów i tora razem z tor browser. 

 

I zainfekuj jeszcze Jej komputer wirusami, a wstawki polityczne zostaw proszę dla siebie! - nie to forum! 

ulti

jakie wstawki polityczne? dałem link do poradnika ze strony spidersweb bo wczoraj go czytałem.

[SoScary]

W torze nie ma wirusów

[Daniel.]

Co to za jakaś mania na prywatność w sieci ostatnio zapanowała? Jesteście jakimiś przestępcami? Czy może myślicie, że ktoś tam "na górze" się wami interesuje i sprawdza co wy tam sobie robicie, a potem opowiada kolegom?

Jak ktoś chce być anonimowy to niech wyrzuci komputer i telefon.
 

[Adventus]

Też mnie dziwią trochę ludzie, którzy aż tak bardzo chcą zachować prywatność w internecie / boją się ujawniać gdziekolwiek swoich danych osobowych. Nadal zadaję sobie pytanie: "Czemu?". Osobiście jedyne co mnie strasznego w tej sprawie spotkało to trochę spamu w skrzynce mailowej gdy wklepałem swój adres tam gdzie nie trzeba.

 

Znałem kiedyś gościa, który miał taką chorą zasadę, że kompletnie niczego o sobie nie ujawniał w internecie (nie potrafił wyjaśnić czemu, ot, bo tak). Zawarł przez internet znajomość z moją koleżanką, bardzo się polubili, utrzymują kontakt już od ponad 3 lat... Ona dotąd nie zna jego nazwiska czy nawet prawdziwego imienia

[Staniq]

DarkWeb  już został dawno spenetrowany przez odpowiednie służby, czego dowodem jest zamknięcie kilku szemranych portali darkwebowych. 

Wystarczy myśleć nad tym co się robi i mieć nadzieję, że nasze dane nie zostaną ukradzione.

I jeszcze pytanie, które przy takich tematach zadaję:

- co macie do ukrycia, że tak bardzo się boicie?

Ja jestem pewien, że nic co robię w sieci, nie wzbudzi czyjegoś zainteresowania.

[Zaciekawiony]

Chcecie stać się niewidzialni w sieci? Nie zakładajcie konta na Fejsie.

[Daniel.]

Chcecie stać się niewidzialni w sieci? Nie zakładajcie konta na Fejsie.

A to anonimowość w sieci zależy tylko od fejsa? Większej bzdury dawno nie czytałem.

[ultimate]

 

Chcecie stać się niewidzialni w sieci? Nie zakładajcie konta na Fejsie.

A to anonimowość w sieci zależy tylko od fejsa? Większej bzdury dawno nie czytałem.

 

Sprawdź sobie na co zgodziłeś się po "podpisaniu" fejsowego regulaminu, mają dostęp do całości Twojego kompa, wiedzą na jakie strony wchodzisz, z kim rozmawiasz, generalnie co robisz. Tak jak pisali przedmówcy, ja również mam zainstalowane takie sprawy, ale nie mam się czego obawiać bo po prostu nie robię nic złego. Ostatnia nowelizacja pewnej ustawy, pozwala służbą na jeszcze więcej, anonimowość zeszła do zera. Nie piszcie mi tu o torze -- bo to bardzo niebezpieczne, można pobawić się VPN-ami, ale powtarzam, jeżeli nie masz nic na sumieniu - nie ma sensu.   

[bomej]

DarkWeb  już został dawno spenetrowany przez odpowiednie służby, czego dowodem jest zamknięcie kilku szemranych portali darkwebowych. 
Wystarczy myśleć nad tym co się robi i mieć nadzieję, że nasze dane nie zostaną ukradzione.
I jeszcze pytanie, które przy takich tematach zadaję:
- co macie do ukrycia, że tak bardzo się boicie?
Ja jestem pewien, że nic co robię w sieci, nie wzbudzi czyjegoś zainteresowania.

Nie masz racji, zamknięcie tych szemranych portali było spowodowane wyłącznie nieuwagą ich właścicieli, można poczytać np. na niebezpieczniku jak zamknięto silkroad.

Wysłane z mojego SM-N9005 przy użyciu Tapatalka

[ThePrz]

komórka kupiona na bazarze => uszkadzamy mikrofon i kamerę => wsadzamy kartę sim kupioną na zadupiu (najlepiej żeby tel i kartę kupili nam pośrednicy) => łączymy się przez ten telefon z netem przez wirtualkę linuxa leżącą na czystym systemie => dalej vpn/tor 

 

+kilka zasad bezpieczeństwa: swój telefon zosawiamy w domu i NIGDY nie nosimy go razem z tym "bazarowym"

+wszystkie programy itp nie mogą byc na twoje dane

 

no i nie ma szans by cie wytropic

Użytkownik ThePrz edytował ten post 17.01.2016 - 11:57

[Daniel.]

 

 

Chcecie stać się niewidzialni w sieci? Nie zakładajcie konta na Fejsie.

A to anonimowość w sieci zależy tylko od fejsa? Większej bzdury dawno nie czytałem.

 

Sprawdź sobie na co zgodziłeś się po "podpisaniu" fejsowego regulaminu, mają dostęp do całości Twojego kompa, wiedzą na jakie strony wchodzisz, z kim rozmawiasz, generalnie co robisz. Tak jak pisali przedmówcy, ja również mam zainstalowane takie sprawy, ale nie mam się czego obawiać bo po prostu nie robię nic złego. Ostatnia nowelizacja pewnej ustawy, pozwala służbą na jeszcze więcej, anonimowość zeszła do zera. Nie piszcie mi tu o torze -- bo to bardzo niebezpieczne, można pobawić się VPN-ami, ale powtarzam, jeżeli nie masz nic na sumieniu - nie ma sensu.   

 

I uważasz, że gdyby nie fejsbuk to byłbym anonimowy? Kiedyś fejsbuka nie było. Poza tym jest jeszcze wiele różnych portali, zresztą sam fakt posiadania internetu powoduje, że nie jesteś anonimowy, chyba że masz jakieś swoje łącze, choć nie wiem czy coś takiego jest możliwe.

Sorry, ale ja po prostu nie wierzę w to, że jakieś tam służby nie mają co robić tylko sprawdzać co ja robię na kompie, na jakie strony sobie wchodzę i z kim sobie piszę. Może tak jest w przypadku ludzi, na których "polują", np którzy są w aktach, jakaś recydywa czy potencjalni niebezpieczni, a nie że śledzą i przeczesują komputery 15mln Polaków dla zabawy. Wiesz ile to jest wiadomości tygodniowo, albo miesięcznie? To jest liczone w dziesiątkach miliardach pewnie. To jest nawet fizycznie niemożliwe do kontrolowania. Nawet tutaj jak jakiś gość pisał o zabijaniu to KronikarzPrzedwiecznych pisał, że takie sprawy musi sam zgłaszać jako admin. Po co? Przecież mogliby sami to sobie znaleźć jak nas tak inwigilują.

Zresztą wejdź czasami w komentarze na onecie, wp czy youtube. Chyba nawet tutaj były wstawiane niektóre: życzenie śmierci, groźby zabijaniem i inne podobne lub gorsze pisane normalnie wprost na głównych stronach i co? I przeważnie wielkie nic.

[Staniq]

No dobra, trochę wiedzy wam podam na tacy, bo to wszystko przypomina zabawę w głuchy telefon.

Po pierwsze:

 

komórka kupiona na bazarze => uszkadzamy mikrofon i kamerę => wsadzamy kartę sim kupioną na zadupiu (najlepiej żeby tel i kartę kupili nam pośrednicy) => łączymy się przez ten telefon z netem przez wirtualkę linuxa leżącą na czystym systemie => dalej vpn/tor 

 

+kilka zasad bezpieczeństwa: swój telefon zosawiamy w domu i NIGDY nie nosimy go razem z tym "bazarowym"

+wszystkie programy itp nie mogą byc na twoje dane

 

no i nie ma szans by cie wytropic

Zacytowałem kolegę w całości, bo całość jest istotna.

 

Smartfon niekontrolowany: metody i narzędzia do obrony przed inwigilacją

 

Społeczny sprzeciw wobec przygotowywanej przez PiS nowelizacji ustawy o Policji jest o tyle godny pochwały, co zarazem nieistotny dla tych, którzy troszczą się o swoją prywatność i choćby z racji zawodu muszą dbać o poufność przechowywanych danych. Inwigilacji komunikacji elektronicznej nie da się powstrzymać regulacjami prawnymi, lecz jedynie metodami technicznymi.

 

Telefony jednorazowe

 

Metoda to dobrze znana z filmów sensacyjnych. Inwigilowany bohater, wiedząc o tym, że jest na celowniku służb, korzysta z tanich, jednorazowych telefonów. Dosłownie jednorazowych, gdyż po ich wykorzystaniu (odebraniu połączenia głosowego, wysłaniu wiadomości) wyrzuca urządzenie do kosza na śmieci czy topi je w rzece. Tańszą odmianą tej metody jest wykorzystanie jednorazowych kart SIM – po wykorzystaniu są łamane i wyrzucane. Czy „jednorazówki” faktycznie jednak chronią nasze bezpieczeństwo?

 

Wśród specjalistów z branży panuje przekonanie, że to filmowa bzdura. Nawet jeśli założymy, że udało się kupić anonimowo telefon i kartę SIM (co nie wszędzie jest kwestią łatwą i oczywistą, są kraje, w których nawet zakup karty prepaid wymaga rejestracji u operatora), to wykorzystanie jednorazówek jest bardzo podatne na ataki korelacyjne. O co chodzi? Zacznijmy od zmieniania kart SIM w telefonach. To podejście nieskuteczne, ponieważ operator telekomunikacyjny obserwuje w chwili t1 urządzenie z numerem IMEI1 i kartę z numerem IMSI1, a w chwili t2 urządzenie z numerem IMEI1 i kartę z numerem IMSI2. To pozwala wysunąć uzasadnioną hipotezę, że obie karty należą do tej samej osoby i przyjrzeć się momentom i miejscom ich aktywacji w sieci komórkowej.

 

Jeśli inwigilowany korzysta z telefonów jednorazowych, to też wcale nie jest ciekawie. Czy urządzenia znajdują się w tej samej lokalizacji, noszone są ze sobą? Na podstawie analizy logów z użyciem technik Big Data można łatwo znaleźć te pary IMEI/IMSI, które charakteryzują się podobną charakterystyką. Załóżmy jednak, że ostrożna ofiara inwigilacji będzie pilnowała, by jej telefony nigdy nie znalazły się blisko siebie. By zadzwonić z „bezpiecznego” urządzenia (kupionego np. w chińskim sklepie internetowym), wsiądzie w auto i przejedzie na drugi koniec miasta do swojej skrytki. Niestety i taka aktywność wykazuje cechy, które zinstytucjonalizowany napastnik może wykryć na podstawie analizy metadanych. Problem tkwi bowiem w tym, że każdy z nas przejawia charakterystyczne wzorce zachowań komunikacyjnych – i zamaskowanie ich nie jest łatwe. Chodzi o np. wykonywanie połączeń telefonicznych do określonych osób, czas trwania rozmów itp.

 

Możliwości takich systemów analitycznych przedstawił w 2014 roku serwis The Intercept na przykładzie amerykańskiego ICREACH, będącego czymś w rodzaju wyszukiwarki metadanych pozyskiwanych z inwigilacji komunikacji elektronicznej. Biedniejsze państwa systemami o takich możliwościach raczej nie dysponują, ale nie oznacza to, że są zupełnie bezsilne – klaster obliczeniowy do analizy Big Data jest dziś w zasięgu budżetu nawet pomniejszych korporacji. Systemy takie pozwalają wytyczyć korelacje pomiędzy telefonami i kartami, które mają wspólne źródło, znajdowały się blisko siebie czy wykorzystywane były do rozmów z tymi samymi osobami.

 

Aby więc bezpiecznie korzystać z jednorazówek, należałoby nabywać je w różnych miejscach, nie przekładać między nimi kart SIM, nigdy ich nie aktywować w tym samym miejscu, i nigdy nie wykorzystywać do połączeń z tymi samymi osobami. Niektórzy mówią, że należałoby też mówić innym głosem, ale wątpliwe jest, czy nawet amerykańskie służby byłyby w stanie na taką skalę monitorować połączenia głosowe.

 

Niewidzialni dla anten

 

Wyłączonego telefonu nie sposób namierzyć. Skąd jednak wiadomo, że telefon jest wyłączony – i co to znaczy, że telefon jest wyłączony? Nawet jeśli ekran jest ciemny, połączenia radiowe wyłączone, a urządzenie nie reaguje na żadne bodźce poza włącznikiem to nie znaczy, że nic w nim nie działa – procesor taktowany jest z najniższą możliwą częstotliwością, działają podstawowe procesy systemowe i aplikacje takie jak alarm. W takim wypadku mogą na nim działać też procesy pozwalające na włączenie radia i aktywowanie śledzenia. To samo jest możliwe, nawet jeśli system operacyjny na procesorze aplikacyjnym jest całkowicie wyłączony – wciąż może działać oprogramowanie na procesorze pasma podstawowego, nad którym użytkownik nie sprawuje żadnej kontroli.

 

By mieć pewność wyłączenia, ustać musiałyby wszystkie procesy, co do tego jednak użytkownik nie może mieć pewności. Znane są czysto software'owe ataki, które mogą sprawić, że telefon będzie sprawiał wrażenie wyłączonego, a jednocześnie będzie komunikował się ze stacjami bazowymi telefonii komórkowej. Edward Snowden radził więc, by z telefonu, który chcemy ukryć, wyjąć baterię i włożyć je do lodówki. Dotyczy to też urządzeń, których nie jesteśmy pewni. Samo wyjęcie baterii nie daje żadnej gwarancji – czy jesteśmy pewni, że urządzenie faktycznie nie ma autonomicznych systemów zasilanych z dodatkowej baterii, które mogłyby być wykorzystane do namierzania?

 

Noszenie ze sobą lodówki jest dość niewygodne. Na szczęście istnieją rozwiązania, które pozwolą telefon skutecznie odizolować od sieci, blokując wszelką łączność radiową. W teorii pomoże nawet kilka warstw folii aluminiowej (tak, znamy dowcipy o noszeniu czapeczek), ale znacznie pewniejszym rozwiązaniem będą specjalne futerały do ekranowania sygnałów. Na rynku pojawiło się ostatnio kilka takich rozwiązań – np. zintegrowany z dodatkowym akumulatorem futerał Privoro (osłaniający przed sygnałem radiowym do 110 dB, wyciszający też dźwięki otoczenia do 90 dBA) czy relatywnie niedrogi (kosztujący ok. 90 dolarów) futerał PrivacyCase, zapewniający podobnie najskuteczniejszą osłonę przed falami radiowymi.

 

 

Tego typu futerały, których zapewne pojawiać się będzie coraz więcej, stanowią najlepszy, bo bazujący na fizyce sposób na zniknięcie smartfonu z „pola widzenia” anten na masztach telefonii komórkowej – nawet jeśli doszło do ingerencji w urządzenie. Łatwo też w dowolnym momencie telefon uaktywnić, gdy go potrzebujemy, wystarczy wyjąć go z futerału (oczywiście w przemyślanym miejscu, z uwzględnieniem przedstawionych powyżej uwag). Jeśli ktoś zaś chce sam sobie takie zabezpieczenie przygotować, to polecamy przygotowane przez Chaos Communication Club warszaty KillYourPhone.com, z których nauczycie się robić tani futeralik zapewniający osłonę na poziomie przynajmniej 70 dB.

 

Przypominamy, że układy GPS w smartfonach nie nadają swojej pozycji do satelitów. Zagrożenie związane z lokalizacją przez GPS bierze się przede wszystkim z możliwości wycieku danych z odbiornika przez luki w systemie operacyjnym czy aplikacjach smartfonu. Zamknięty w takim futerale telefon, nawet jeśli zainstalowano na nim szpiegowskie oprogramowanie, nie ujawni swojej pozycji – gdyż fizycznie będzie odcięty od sieci.

 

Nie daj się użądlić

 

Opisując metody stosowane do inwigilacji smartfonów wspomnieliśmy o łowcach IMSI, fałszywych stacjach bazowych, które mogą zostać wykorzystane do przechwycenia komunikacji między urządzeniem klienckim a masztem telefonii komórkowej. Nie powinno to dziwić. Z tej formy ataku elektronicznego korzystają służby nie tylko w USA. W ostatnim roku ujawniono, że z amerykańskich łowców IMSI typu Stingray, podobno najbardziej zaawansowanych na świecie, korzystała też policja w Irlandii i Wielkiej Brytanii. Przedstawione na Chaos Communication Congress odkrycia pokazują jednak, że nie jesteśmy bezbronni, aktywność łowców IMSI da się wykryć – i w jakimś stopniu zneutralizować.

 

Te fałszywe stacje bazowe wykorzystują sztuczkę z kanałem kontroli dostępu (BCCH), aby wirtualnie podbić siłę swojego sygnału, zmuszając słuchawki do połączenia się z nimi (telefony wybierają najsilniejsze stacje). Zmieniając przy tym numer stacji bazowej, łowca zmusza telefony do wysłania na nowo żądań rejestracji, gromadząc pozwalające namierzyć telefon dane. Wykorzystywana jest tu też technika „bezgłośnych SMS-ów” (SMS Type0), swoistego „pingu” – wiadomości niewidzialnych dla odbiorcy, które pozwalają napastnikowi wykryć, czy telefon jest włączony, a także „bezgłośnych połączeń”, które pozwalają powiązać parę IMEI/IMSI z numerem telefonu w sieci komórkowej.

 

Fałszywa stacja bazowa potrafi też wymusić osłabienia szyfrowania, z względnie bezpiecznego A5/3 (KASUMI) na praktycznie bezwartościowe dziś A5/1 i A5/2, a nawet wyłączenie szyfrowania (A5/0), tak by możliwy był podsłuch połączeń głosowych w czasie rzeczywistym. Warto tu wspomnieć, że owo osłabienie szyfrowania nijak nie jest ujawniane przez większość telefonów, i to mimo tego, że specyfikacja GSM dopuszcza taką funkcję. Na jej wprowadzenie do Androida społeczność naciska od 2009 roku, jednak Google z jakiegoś powodu nie zamierza tego zrobić.

 

Wykrywanie ataków

 

Powstały więc narzędzia, zarówno sprzętowe, jak i software'owe, które pozwalają wykryć inwigilacyjną aktywność. Te komercyjne rozwiązania są zwykle wbudowywane w drogie smartfony, takie jak ESD Cryptophone czy GSMK Cryptophone, dostępne też są jako stacjonarny sprzęt, pozwalający chronić przed łowcami IMSI określony obszar (np. IMSI Catcher Detector firmy DFRC). Koszty takich rozwiązań są jednak bardzo wysokie, więc niezależni hakerzy rozpoczęli prace nad tanimi alternatywami, które byłyby dostępne dla mas. Całkiem skuteczny detektor łowców można dziś zbudować nawet kosztem około 100 euro, ale wymaga to z kolei pewnych umiejętności technicznych.

 

Na szczęście nawet zwykły użytkownik smartfonu z Androidem może skorzystać z aplikacji, które w wielu wypadkach wykryją próby inwigilacji. Należy podkreślić, że nie gwarantują one pełnej skuteczności – gra w kotka i myszkę tu nigdy się nie kończy. Jednak wobec napastników, którzy nie dysponują sprzętem porównywalnym z tym, co ma NSA, są całkiem skuteczne. Najważniejszą aplikacją tego typu jest Android IMSI Catcher Detector, wykorzystujący kompleksowo liczne techniki detekcji, by wykryć zachodzące w pobliżu próby manipulacji siecią komórkową – i ostrzec użytkownika o zagrożeniu wymownymi ikonami. Program potrafi wykryć też ciche SMS-y, próby ataków za pomocą tzw. FemtoCells – domowych routerów, które służą zwiększeniu zasięgu sieci w zamkniętych pomieszczeniach i blokuje próby zdalnego instalowania aplikacji na telefonie przez potencjalnie złośliwą usługę Google'a GTalkService. Tej otwartoźródłowej aplikacji nie znajdziecie w Google Play, trafiła jednak do naszej bazy oprogramowania na Androida. Nie wymaga ona uprawnień roota, posiadaczom roota zapewnia jednak dodatkowe możliwości.

 

Drugą wartą uwagi aplikacją tego typu jest SnoopSnitch, gromadzący i analizujący dane z sieci komórkowej, by ostrzec o pojawieniu się fałszywych stacji bazowych, śledzeniu użytkownika i próbach dostarczenia mu zdalnie złośliwego oprogramowania. Aplikacja wymaga roota i działa póki co jedynie na telefonach z czipsetem Qualcomma. Liczba wspieranych modeli nie jest duża, pojawiają się problemy przy niefirmowym oprogramowaniu systemowym, ale tam gdzie program działa, tam robi to bardzo skutecznie. SnoopSnitcha znajdziecie w naszej bazie oprogramowania na Androida.

 

Wypada też wspomnieć o aplikacji Darshak, która informuje m.in. o użytym przez sieć szyfrowaniu i atakach za pomocą cichych SMS-ów, jej główną wadą jest jednak liczba wspieranych urządzeń – oficjalnie jedynie Samsung Galaxy S3. Znajdziecie ją w naszej bazie, wymaga roota.

 

Utrudnianie podsłuchów
Sposobem na ochronę przed podsłuchem za pomocą łowcy IMSI może być uodpornienie się na pogorszenia szyfrowania. Wbrew pozorom nie jest to trudne. Bezwartościowe dziś szyfry powstały dla łączności 2G – więc obsługę sieci 2G w telefonie należy po prostu wyłączyć. By to zrobić, należy dysponować na swoim telefonie rootem i zainstalować framework Xposed, którego automatyczny instalator dla Androida 4.x znajdziecie w naszej bazie oprogramowania. W wypadku Androida 5/6 to wciąż wymagający „ręcznych” działań proces (...).

 

Po zainstalowaniu Xposed Frameworka należy sięgnąć po jego moduł Intelli3G (dostępny w naszej bazie oprogramowania). Po zainstalowaniu wystarczy przełączyć w nim domyślne ustawienia GSM/WCDMA na WCDMA only albo LTE/WCDMA – w ten sposób nawet jeśli telefon połączy się z siecią fałszywej stacji bazowej z osłabionym szyfrowaniem, nie będzie mógł z nią „rozmawiać”.

 

Tak, jesteśmy świadomi pracy ujawniającej słabości KASUMI i skutecznego ataku na ten kryptosystem z 2010 roku. Trzeba jednak zauważyć, że nie do końca przekłada się on na implementację KASUMI w szyfrowaniu A5/3 używanym w sieciach 3G. Niewykluczone, że ataki na A5/3 są znane niektórym napastnikom i zaawansowane modele łowców IMSI mogą je realizować sprzętowo – ale taka metoda obrony jest lepsza niż nic.

 

Nie zawsze praktycznym, ale najbardziej niezawodnym sposobem na uniemożliwienie podsłuchu rozmów głosowych i SMS-ów jest jednak z nich rezygnacja – jak się przekonacie w kolejnym artykule z tego cyklu, potraktowanie smartfonu jako przenośnego komputera z modemem 3G, na którym uruchamiamy bezpieczne oprogramowanie komunikacyjne, może poważnie utrudnić życie napastnikom.

 

Maskowanie numerów

 

Kontrowersyjną metodą obrony przed inwigilacją elektroniczną jest maskowanie danych o swoim urządzeniu. Dla zwykłego użytkownika zamaskowanie informacji o karcie SIM (numeru IMSI) jest bardzo trudne, ale też informacja ta przesyłana jest do sieci rzadko (w zasadzie tylko wtedy, gdy telefon jest włączany, lub gdy dane uwierzytelniania zostają unieważnione) – tymczasem numer TMSI, tymczasowo identyfikujący urządzenie w sieci, przyznawany jest losowo przez sieć. Można jednak maskować przed operatorem numer identyfikacyjny samego urządzenia (IMEI), wykorzystywany m.in. do blokowania w sieci skradzionych telefonów.

 

Na wielu forach przeczytacie, jak bardzo nielegalne jest to działanie. Kwestia interpretacji, faktycznie próbowano podciągnąć zmianę numeru IMEI pod paragraf dotyczący odpowiedzialności karnej za… fałszowanie dokumentów (art. 270 § 1 k.k.). Po pierwsze jednak dotyczy to urządzeń „trwale oznakowanych” – zaś w wielu współczesnych smartfonach IMEI jest w pełni programowalne, co więcej niektórzy producenci sami informują jak to zrobić. Po drugie jednak w 2005 roku wypowiedział się w tej sprawie Zastępca Prokuratora Generalnego Karol Napierski, który choć uznał aparat telefoniczny za trwale oznakowany dokument, to jednak zauważył, że warunkiem odpowiedzialności karnej jest tu intencja, chęć wykorzystania przerobionego telefonu jako autentycznego.

 

Dla starających się uniknąć inwigilacji przydatne będzie też zmienianie adresów MAC interfejsów sieciowych Wi-Fi i Bluetooth. Choć metod na to jest wiele, najwygodniejszą będzie wykorzystanie modułu frameworka Xposed – Device Id IMEI Changer, dostępny w naszej bazie oprogramowania. Pozwala on na modyfikację IMEI, identyfikatora Android ID, numeru seryjnego urządzenia, oraz adresów MAC dla Wi-Fi i Bluetootha, zarówno ręcznie, jak i generując losowe numery.

 

Jeśli moduł ten nie będzie działał z Waszym urządzeniem, można spróbować wykorzystać moduł IMEI Changer (do pobrania w naszej bazie oprogramowania), pozwalający generować numery losowe, jak również numery charakterystyczne dla urządzeń Apple'a, Samsunga, Nokii i HTC.

 

Zaawansowanym użytkownikom, korzystającym z chińskich smartfonów z czipsetem MediaTeka, warto polecić jeszcze zestaw narzędzi Mobileuncle Tools, które oddają pełną kontrolę nad urządzeniem w trybie fabrycznym. To narzędzie również może posłużyć do zmiany IMEI, i to dla obu slotów SIM, jakie zwykle można znaleźć w chińskim sprzęcie.(...)

 

Wycieki z aplikacji

 

Dla prowadzącego kontrolę operacyjną komunikacji elektronicznej największym sukcesem jest umieszczenie na sprzęcie ofiary „pluskwy”. Najlepiej sprzętowej, ale nikt nie pogardzi też software'ową, którą można dostarczyć znacznie łatwiej. Nie jest też źle, jeśli znane są luki w popularnym oprogramowaniu, przez które napastnik mógłby pozyskać interesujące go informacje – w szczególności lokalizację, ustaloną za pomocą systemu obejmującego nie tylko moduł nawigacji GPS, ale też dane z masztów telefonii komórkowej i wykrytych sieci Wi-Fi.

 

By żyło się wygodniej, takie informacje są regularnie wysyłane przez smartfon do wielu dostawców usług. W teorii Android pozwala na ograniczenie dostępu do tych informacji dla zainstalowanych w systemie aplikacji, ale za pomocą jawnie dostępnych w systemie opcji nie zrobimy tego w pewny sposób.

 

Najpewniejszym sposobem jest obecnie wykorzystanie modułu Xposed o nazwie XPrivacy. Potrafi on selektywnie dla konkretnych aplikacji ograniczyć dostęp do określonych typów danych, blokując dostęp lub „karmiąc” fałszywymi informacjami. Dlaczego aplikacja latarki chce wiedzieć, gdzie jesteś? Niech za każdym razem gdy o to zapyta, dowie się, że jesteś gdzieś na Biegunie Północnym. Dlaczego odtwarzacz muzyki miałby mieć dostęp do zawartości SMS-ów? XPrivacy potrafi wykazać mu, że na telefonie nie ma żadnych SMS-ów. Ten nieoceniony moduł znajdziecie w naszej bazie oprogramowania. Dysponuje on także wersją płatną, która oferuje dodatkowo dostęp do rozwijanego przez społeczność systemu współdzielenia schematów restrykcji dla aplikacji.

 

Drugą warstwą zabezpieczeń przed wyciekiem informacji ze smartfonu powinna być skuteczna zapora sieciowa, korzystająca ze sprawdzonych linuksowych rozwiązań. Czemu w ogóle aplikacja latarki ma mieć dostęp do Internetu? Pomocny w skutecznym zablokowaniu wycieków danych z telefonu będzie graficzny interfejs do mechanizmu iptables o nazwie AFWall+, w którym ustalić można prawa dostępu do sieci dla poszczególnych aplikacji, w trybie białych i czarnych list. Znajdziecie go w naszej bazie oprogramowania. Warte uwagi jest to, że program pozwala selektywnie blokować dostęp, w zależności od rodzaju sieci – tak że dana aplikacja, np. zablokowana dla połączenia komórkowego, będzie mogła rozmawiać w ramach domowego Wi-Fi w sieci lokalnej, ale nie będzie miała dostępu do Internetu. Zablokujemy tu też dostęp nie tylko aplikacjom, ale i komponentom systemowym Androida.

 

W rękach wroga: zaszyfruj swój telefon

 

Napastnik, który uzyska fizyczny dostęp do naszego smartfonu jest w znakomitej sytuacji. Zapewne będzie dysponował sprzętem wykorzystywanym w informatyce śledczej do zrobienia zrzutu zawartości urządzenia, będzie mógł też zainstalować na nim szpiegowskie oprogramowanie – jeśli zrobi to niepostrzeżenie dla ofiary, to osiągnie pełen sukces w swojej pracy. I powiemy tutaj szczerze – nie tak wiele można zrobić, by się przed takim atakiem na nasze urządzenie zabezpieczyć. Kilka dni temu pojawiły się Informacje, że specjaliści holenderskiej policji skutecznie zaatakowali znane z wysokiego poziomu bezpieczeństwa i prywatności telefony BlackBerry, wykorzystując w tym celu m.in. technikę fizycznej analizy zawartości czipów pamięci, usuniętych z płytki głównej telefonu (zainteresowanych kwestią zabezpieczeń Jeżynek polecamy interesującą prezentację ludzi, którzy zawodowo próbują je forsować).

 

Znów jednak nie należy załamywać rąk, ale postarać się uczynić atak dla nieposiadającego nieograniczonych zasobów napastnika tak kosztownym i trudnym, jak to jest tylko możliwe.

 

Najbardziej zaawansowani użytkownicy mogą pomyśleć na początku o wykorzystaniu odmian Androida budowanych pod kątem bezpieczeństwa. Warto zainteresować się projektami takimi jak AOKP (Android Open Kang Project), AICP (Android Ice Cold Project) oraz CopperheadOS, radykalnie utwardzoną wersją Androida. (...)

 

Przede wszystkim należy pamiętać o uaktywnieniu szyfrowania zawartości swojego urządzenia. Od czasu Androida 4.4 wykorzystuje ono porządną implementację linuksowego dm-cryptu, dodatkowo w niektórych urządzeniach z Androidem 5.x można przechowywać klucze szyfrujące w specjalnej, sprzętowo zabezpieczonej sekcji procesora. Zabezpieczenie wykorzystujące 128-bitowy szyfr symetryczny AES-cbc z szyfrowanymi i solonymi wektorami inicjalizacji jak na razie nie ma żadnych znanych słabości.

 

Zaszyfrowanie telefonu nie jest trudne. Przed rozpoczęciem, urządzenie należy podłączyć do ładowarki – proces ten trochę potrwa. W systemowych Ustawieniach wybieramy Zabezpieczenia > Blokada Ekranu. Jeśli wcześniej była już jakaś blokada wprowadzona (np. PIN lub wzór graficzny), trzeba je będzie teraz wprowadzić. Następnie zmieniamy ustawienie Blokady na Hasło i podajemy ciąg znaków o maksymalnej długości 16 znaków. Warto pamiętać o wykorzystaniu dużych i małych liter oraz cyfr, ale też nie przesadzać na tym etapie ze złożonością – w końcu w ten sposób będziemy odblokowywali ekran logowania.

 

Po ustawieniu hasła przechodzimy do Ustawienia > Zabezpieczenia > Zaszyfruj urządzenie. Wybieramy opcję Zaszyfruj telefon i podajemy ponownie hasło. Pozostaje poczekać kilkanaście do kilkudziesięciu minut.

 

Warto też zaszyfrować używaną kartę SD – w tym celu w Ustawienia > Zabezpieczenia włączamy Zaszyfruj zewnętrzną kartę SD i wybieramy opcje takiego szyfrowania. Dla zaoszczędzenia czasu można tu pominąć szyfrowanie plików multimedialnych. Po wprowadzeniu hasła, o ile mamy przynajmniej 2 GB wolnego miejsca na karcie, rozpocznie się proces szyfrowania.

 

Uwaga: posiadacze Androida 4.x mogą wzmocnić siłę szyfrowania, korzystając z narzędzia Cryptfs Password, które pozwala zmienić główne hasło szyfrujące, odłączając je od hasła używanego do odblokowania ekranu. Za jego pomocą można więc zastosować znacznie silniejsze hasło, które wprowadzane będzie tylko przy uruchamianiu smartfonu – a odblokowanie ekranu będzie prostsze.(...)

 

Ceną szyfrowania jest spadek wydajności urządzenia. Nie powinien on jednak przekroczyć więcej niż 10%, jest to więc naszym zdaniem gra warta świeczki. Trzeba jednak pamiętać o jednej rzeczy: szyfrowanie zabezpiecza nas sprzęt tylko wtedy, gdy jest on wyłączony. Znane są ataki pozwalające wydostać klucze szyfrujące z pamięci urządzenia, dlatego należy zrobić wszystko, by napastnik nigdy nie dostał do rąk włączonego smartfonu. Jeśli nie korzystamy z telefonu przez dłuższy czas, np. zostawiamy go w szafce na odzież, wcześniej fizycznie go wyłączmy. Należy też pamiętać, by hasło szyfrujące nie było nigdy wykorzystywane w żadnej innej usłudze, w szczególności nie powinno być tym samym hasłem, co do Google'a.

 

Bezpieczeństwo to nie to samo, co prywatność

 

Przedstawione w tym artykule metody ochrony przed inwigilacją smartfonów nie zapewnią nikomu absolutnego bezpieczeństwa, podniosą jednak koszt przeprowadzenia ataku przez napastnika – a to jest właśnie celem realistycznie rozumianych metod obronnych. Co najważniejsze, upowszechnienie tych metod w społeczeństwie utrudni to, co najbardziej zagraża wolnościom obywatelskim, tj. inwigilacji prowadzonej na masową skalę.

Dobrze zabezpieczone telefony można wykorzystać teraz do zapewnienia sobie prywatności. Zabezpieczenia sieci 3G/LTE nie są złe, ale czy można ufać szyfrowaniu, którego nie kontrolujemy? Już w przyszłym tygodniu przedstawimy narzędzia i metody, za pomocą których zapewnimy sobie wysoką poufność w komunikacji głosowej i tekstowej, a także anonimowość w przeglądaniu Internetu.

 

Źródło: 

 

P.S. To jest ściana tekstu, ale wyczerpuje w zasadzie wszystkie zagadnienia z grubsza związane z tematem. Darowałem sobie grafiki, bo tylko zaawansowanym one posłużą, a można je sobie obejrzeć w źródłowym tekście. 

 

 

 

DarkWeb  już został dawno spenetrowany przez odpowiednie służby, czego dowodem jest zamknięcie kilku szemranych portali darkwebowych. 

Nie masz racji, zamknięcie tych szemranych portali było spowodowane wyłącznie nieuwagą ich właścicieli, można poczytać np. na niebezpieczniku jak zamknięto silkroad.

Jak ponownie trafię w sieci na tekst o tym mówiący, wkleję go, aby potwierdzić to o czym mówię. Niestety nie pamiętam, gdzie na niego trafiłem. Póki co zagadnienie jest otwarte.