Echelon

ECHELON

Čemu paranoja

Torej, paranoje ni. So samo dejstva. Uradna in neuradna, zamolčana in razkrita. Masovno zbiranje podatkov o vsakeršni komunikaciji ali izmenjavi podatkov v vseh oblikah in načinih je realnost.

Je to sploh pomembno

Če vas ne moti, da se o vas zbirajo vse, tudi najbolj intimne informacije, ki se hranijo v digitalni kartoteki in vsebujejo tekoče in pretekle podatke potem ne, ni pomembno. Dokler na oblast ne pride nek avtokrat.

Nič ne skrivam

Ali res? Torej se lahko naokoli sprehajate goli, to namreč ste, če vso zasebnost prosto delite z nadzornimi službami. V tej izprijeni demokraciji je veliko odvisno tudi od tega ali oblastem stopite na žulj .

ANON

TOR lahko smatrate kot storitev, ki vam omogoče anonimno brskanje po spletu.

TOR ni 100% zanesljiv, je pa krepko blizu. Mnenja so sicer deljena.

Promet na omrežju TOR je šifriran. Vaš IP, izvorno mesto, ni znano, ko se povezujete na spletne strani. Povežete se na "proxy strežnik" in vse informacije se posredujejo preko tega strežnika. TOR je skupek "proxy strežnikov". Ko se povezujete preko TOR je vaša povezava posredovana preko večih strežnikov. Spletna stran, na katero se povezujete ne ve, da to počnete vi. Spletna stran vidi samo zadnji strežnik. Povezava med vami in prvim strežnikom ni šifrirana, enako velja za povezavo med zadnjim strežnikom in spletno stranjo. Vsak strežnik ve samo za predhodnjega in naslednjega.

Proxy? Imamo Boštjana, Jakoba in Anjo. Boštjan ima vprašanje za Anjo, a noče, da ona to ve. Boštjan gre do Jakoba in ga pošlje z vprašanjem do Anje. Jakob dobi odgovor in ga odnese nazaj k Boštjanu. Jakob je proxy. TOR ima veliko Jakobov, ki se med sabo ne poznajo. Vsak pozna samo Jakoba, ki mu je prinesel vprašanje/odgovor in Jakoba, ki mu bo posredoval vprašanje/odgovor.

Brskalnik TOR lahko dobite na https://www.torproject.org/

Namestitev je preprosta saj dejansko samo ekstrahirate datoteko, ki ste jo prenesli.

TOR spletnih strani ne bo odpiral tako hitro, kot ste vajeni. Nekatere strani se vam morda sploh ne bodo odprle ali vam dovolile prijave kot uporabnika ali registracijo. Google recimo, bo za vsako iskanje od vas zahteval potrditev, da niste robot (captcha). Temu posledično boste morali uporabiti alternativo, kot je https://search.disconnect.me/

Za zagotovitev anonimnosti in varnejše rabe, brskalnika TOR ne uporabljajte za prijavo v enake račune/spletne strani kot v drugih običajnih brskalnikih. Ko se povezujete preko TOR ne uporabljajte enakih uporabniških imen in gesel kot v ostalih brskalnikih.

Uradna dokumentacija - https://www.torproject.org/docs/documentation.html.en

TOR messenger https://trac.torproject.org/projects/tor/wiki/doc/TorMessenger#Downloads lahko uporabite za tekstovno sporočanje

Prenesite in namestite program. Ob zagonu izberete možnost connect.

Program podpira šifriranje. Vaša tekstovno sporočanje je zasebno. Program omogoča več protokolov, tako se vanj lahko vpišete z vašim že obstoječim računom, kot je Google ali Facebook. Za zagotovitev boljše zasebnosti se to odsvetuje. Z nekaj kliki si namreč lahko ustvarite nov anonimni XMPP (Jabber) račun. XMPP je protokol.

Ob zagonu vam ponudi način prijave.

Registracija novega računa:


izberete možnost XMPP
next
vpišite poljubno ime (ali drugo, če že imate XMPP)
vpišite domeno dukgo.com (ali drugo, če imate/poznate)
izberite možnost "new account" (razen, če se vpisujete z obstoječim)
next
continue
continue
done
ok, brez vpisa (razen, če se povezujete z obstoječim računom)
izberite vsaj 8 mestno geslo (velike in male črke, številke, znaki)
connect
vnesite geslo, ki ste si ga izbrali

Po želji lahko omogočite "automatic connections".

ID vašega računa je ime@dukgo.com. To bodo potrebovali drugi, da vas lahko dodajo kot stik.

Ne uporabljajte enakih uporabniških imen in gesel kot jih imate drugje.

Dodajanje stika

file - add contact
izberite za kateri račun (če imate več kot enega)
izberite skupino za kontakt (če ste ustvarili skupine)
vnesite ID vašega kontakta, naprimer ime@dukgo.com ali ime@gmail.com ali ime@jit.si
kliknite "add"

Oseba, ki jo želite dodati, bo prejela vašo zahtevo, ki jo lahko ali sprejme ali zavrne. Enako se zgodi, če nekdo želi dodati vas.

Pričnite tekstovni pogovor z vašim stikom. Zgoraj desno je ikona ključavnice. Če je ključavnica rdeča pogovor ni šifriran. Prikazano je obvestilo "The current conversation is not private".

1x kliknite na ključavnico
izberite možnost "start private conversation"

Če ste to storili prvič se vam bo prikazalo obvestilo o stvaritvi zasebnega ključa. Kliknite "done".

S klikom na ikono pogovor postane šifriran, ključavnica postane oranžna.

Zavoljo pedantnosti in pravilnega postopanja se morate prepričati, da je kontakt na drugi strani res oseba za katero se predstvalja. To storite s klikom na Verify, pri čemer izberete eno od metod, katere postopek je samoumevnen. Recimo postavite vprašanje in vpišite odgovor, klik na "verify". Stik na drugi strani vidi vprašanje in mora vpisati identičen odgovor.

Po tem koraku, če bo uspešen, je ključavnica zelene barve.

TOR messenger skrije lokacijo preko katere se povezujete na "klepet" in šifrira pogovor. Še vedno pa je vidno katere identitete se med sabo pogovarjajo, kako pogosto...ipd Program za "klepet", ki dela na tem da obide tudi ta problem, je Ricochet https://ricochet.im/ .

Syncthing, https://syncthing.net/ je program namenjen šifrirani sinhronizaciji map in datotek med različnimi napravami. Recimo med vašim službenim računalnikom, domačim računalnikom, telefonom in prenosnim računalnikom.

Torej alternativa za Dropbox, Google drive, One drive, iCloud...

Nič ni oblačnega. Je samo jasno. Torej, med vami in vašimi podatki ni "oblaka" (cloud), ni posrednika. Prenos podatkov je neposreden iz naprave na napravo.

Program nima grafičnega vmesnika, kot ste ga morda vajeni. Za prikaz delovanja in nastavitve uporablja lokalni spletni vmesnik - program upravljate v spletnem brskalniku preko naslova http://localhost:8384/
Localhost = 127.0.0.1

Pomembno pravilo

Prvo vedno sinhronizacija, šele nato spreminjanje in urejanje datotek. V nasprotnem si lahko povozite že spremenjene (a še ne sinhronizirane) datoteke na drugem računalniku. Preden napravo izklopite se prepričajte, da je sinhronizirana z vsaj eno drugo vklopljeno napravo.

Dodajanje nove mape

Ko prenesete program ga zaženite in s tem se bodo ustvarili kriptografski ključi. Nato dodate mapo s klikom na Add Folder, ki ji določite poljuben folder ID, vnesete pot do mape na trdem disku in določite file versioning, ki naj bo recimo trash can. Če že imate dodane naprave izberite s katero napravo boste delili mapo. Kliknite Save. Če drugih naprav še nimate lahko to uredite naknadno.

Na drugih napravah mora obstajati mapa z identičnim! folder ID. To je pomembno. Mapa ima lahko drugo ime in durgo pot (mesto) na trdem disku ampak folder ID mora biti enak.

Ko dodate novo mapo boste program morda morali ponovno zagnati.

Dodajanje nove naprave

Pojdite pod Actions in izberite Show ID. Prikažeta se vam dve polji. Prvo gornje ima osem sklopov po sedem znakov, ki jih lahko označite in kopirate. Drugo polje je QR koda. Oboje je device ID, ki ga rabite, da lahko to napravo dodate na drugi napravi in obratno. QR koda služi dodajanju naprave na telefon. Da se lahko dve napravi med sabo povežata morata vsebovati device ID druga od druge. Enako velja za tri naprave, štiri naprave...itd

Seveda ni nujno, da so vse naprave med seboj povezane. Naprava A je recimo povezana z napravo B. Naprava B pa je povezana s C,D in E. Tako bo naprava A imela vse podatke od naprav C,D in E (in obratno) navkljub temu, da niso direktno povezani - ČE si seveda vse naprave delijo isto mapo. Naprave si med seboj lahko delijo različne mape.

S klikom na Add Device dodate novo napravo tako, da vnesete ID naprave, ki jo želite dodati. Dodajte poljubno ime pod katerim bo naprava vidna. Če že imate obstoječe mape lahko določite katere mape boste delili s to napravo. Kliknite Save.

Ko dodate napravo A na napravi B, se bo na napravi A pokazalo obvestilo/opozorilo, da do nje želi dostopati "neka nova" naprava, na kar na napravi A odobrite povezavo.

Vsako napravo lahko naknadno urejate in vidite, kopirate ID preko gumba Edit (kliknite na ime naprave).

Introducer pomeni, da bo naprava, ki jo nameravate dodati, z vami delila device ID vseh ostalih naprav, ki so povezane nanjo.

Ob vsem tem boste na zaslonu računalniku vedno opazili "črno okno" v katerem se nekaj izpisuje. To okno mora ostati odprto. Lahko ga minimizirate, vendar naj bo odprto. Če zaprete to okno hkrati zaprete/ugasnete program.

Mapa je sinhronizirana, ko je oznaka na mapi in vseh napravah, ki so aktivne enaka Up to Date.

Ko dodate novo napravo boste program morda morali ponovno zagnati.

Telefon - Android

Ko aplikacijo prvič zaženete na telefonu si le ta lahko vzame kar nekaj časa, da ustvari kriptografske ključe. Dodajanje map in naprav je enako, s to razliko, da v primeru telefona z zadnjo kamero preberete QR kodo.

Za vse ostale podrobnosti je na voljo uradna dokumentacija - http://docs.syncthing.net/

pengu

Linux Mint je uporabniku prijazna distribucija Linuxa, ki bazira na distribucijah Debian in Ubuntu (Ubuntu tudi bazira na Debian-u)

Spletna stran distribucije je http://www.linuxmint.com/

Prilagojena verzija te distribucije je bila v uporabi več let na vseh računalnikih, ki so na hodnikih in nekaterih študentskih računalnikih v knjižnicah. Trenutno računalniki na hodnikih poganjajo Debian 9 s poljubno sestavljenim in prilagojenim grafičnim okoljem.

Linux Mint je na voljo z večimi različnimi grafičnim okolji.

Cinnamon - odcepek GNOME 3, razvito za Linux Mint
KDE - to grafično okolje je še najbol podobno Windows
Xfce - grafično okolje za manj zmogljive/starejše računalnike
MATE - nadaljevanje grafičnega okolja GNOME 2 pod drugim imenom

Povezava do uradne dokumentacije - http://www.linuxmint.com/documentation.php

Kriptografija - https://sl.wikipedia.org/wiki/Kriptografija

Windows - potrebujete tri programe

1 - Thunderbird https://www.mozilla.org/en-US/thunderbird/all/
2 - GnuPG http://www.gpg4win.org/features.html
3 - dodatek Enigmail za Thunderbird

Dobro je imeti tudi spodobni tekstovni urejevalnik, kot je Notepad ++ https://notepad-plus-plus.org/

Namestite 1 in 2 s privzetimi možnostmi. V 1 preko menija za razširitve oziroma Add-ons namestite 3.

MAC uporabniki oziroma OS X - https://gpgtools.org/gpgsuite.html

Ključi

Ključ je iz dveh delov. Public in Private. Public lahko vidijo/imajo vsi in služi za enkripcijo. Private je samo vaš in služi za dekripcijo.

ČE IZGUBITE KLJUČ S TEM ZA VEDNO IZGUBITE TUDI DOSTOP DO VSEH PODATKOV, KI SO KADARKOLI BILI ŠIFRIRANI S TEM KLJUČEM

Ključ (certifikat) ustvarite v programu Kleopatra (certificate manager).

Postopek

settings - self test (vse mora biti zeleno)
close
file - new certificate
izberite personal OpenPGP key pair
vnesite neko ime, ki je lahko tudi vaše pravo ime
vnesite nek email, ki je lahko vaš pravi email
next
create key
dvakrat vnesite geslo (ki ga ne boste nikoli pozabili)
izberite MAKE BACKUP OF YOUR KEY PAIR
izberite poljubno ime in lokacijo
ok
ok
finish

Sedaj imate na trdem disku ime.gpg. To je vaš zasebni ključ!

V glavnem oknu programa Kleopatra boste videli ravnokar ustvarjeni certifikat. Kliknite z desno in izberite export certificates. Izberite poljubno ime in lokacijo. Sedaj imate na trdem disku ime.asc. To je vaš javni ključ.

Takoj naredite varnostno kopijo obeh datotek.

Thunderbird

enigmail - setup wizard
izberite drugo možnost, extended configuration
next
omogočite za vaš poštni račun
enigmail bi moral zaznati vaš že ustvarjen ključ, izberite ga v oknu
next
finish

Če pričnete s pisanjem novega sporočila se vam z rdečo izpiše, da sporočilo ne bo šifrirano/kriptirano. Za enkripcijo kliknite na ključavnico. Vnesite naslovnike, "subject" (zadevo) in morebitne priponke ter vsebino sporočila.

S klikom na "send" (pošlji) se vam odpre dodatno okno, ki vas sprašuje po prejemnikih. Tukaj vnesete javne ključe vseh ljudi za katere želite, da bodo lahko dekriptirali sporočilo. Kot prejemnika dodajte tudi samega sebe (svoj javni ključ), v nasprotnem primeru kasneje ne boste mogli videti sporočila.

Ne pozabite - dekriptirate lahko samo tiste podatke, ki so bili pred tem kriptirani z vašim javnim ključem.

Če ste sporočilu dodali priponko vas bo posebej povprašalo tudi o tem. Tukaj izberite drugo možnost, razen, če gre morda za vaš javni ključ.

Kadarkoli vas tekom tega postopka povpraša po geslu vnesete tisto geslo, ki ste si ga izbrali med kreiranjem certifikata.

POMEMBNO - SUBJECT (ZADEVA) sporočila NI kriptiran zato bodite diskretni, da ne izdate kaj je v kriptirani vsebini.

Da lahko sporočilo kriptirate za druge prvo seveda rabite njihove javne ključe, ki jih vnesete import certificates v programu Kleopatra. Vnesete datoteko *.asc

Če vam je ključ posredovan v sledeči obliki (glej spodaj) označite vse, vključno z "begin" in "end" delom in vsebino skopirate v tekstovni urejevalnik ter datoteko shranite kot ime.asc To datoteko nato vnesete.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGP Universal 2.9.1 (Build 347)

mQMuBFG3x4URCACZ/c7PjmPwOy2qIyKAYRftIT7YurxmZ/wQEwkyLJ4R+A2mFAvw
EfdVjghAKwnXxqeZO9WyAEofqIX5ewXD9J4H6THaWNlDeNwnIU hbVsSEgT6iwGEG
arXvkrMyy+U5KA0x2dcsYRKAPMM1db+4zSQkWTWzufLU7lcKi3 gU3pNTxSA0DjCn
wfJQspiyWchSfgZ59+fKaGZJVSElrS2i2ok5mK3ywCXRWvnAC/VxA3N6T4jvkX/+
to3UsZXERO4NtVI0IT0uhLXh+IhhBBgRCAAJBQJRt8eFAhsMAA oJELiVbb/ufBBc
QjgA/j1J7nN42zDMJxoAKQDvp+H3dErZVY7hJ8qHeGVbExWGAP97G/jWhl6FEg7M
2vOMWRC5GQUM8TU1YkCeAuhsxSj3ew==
=dgnf
-----END PGP PUBLIC KEY BLOCK-----

Uradna dokumentacija - http://www.gpg4win.org/documentation.html

Google Android


Lineage OS - http://lineageos.org/
Fdroid - https://f-droid.org/

Signal - https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms&hl=en

ChatSecure - https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im&hl=en

Apple iOS

Signal - https://itunes.apple.com/us/app/signal-private-messenger/id874139669

Na kratko...

Lineage OS, naslednik CyanogenMod je google in bloatware free Android OS. NE nameščajte, če vam raba tehnike povzroča težave!
F-droid je google play store alternativa.

Signal omogoča šifrirana tekstovna sporočila in klice (zastonj preko interneta, drugače pa preko mobile data). Oseba na drugi strani rabi isto aplikacijo. V sistem se prijavite (preprost postopek) s svojo mobilno številko, za avtomatsko potrditev prejmete SMS. Program gleda stike v vašem imeniku in jih primerja s tistimi prijavljenimi v sistem. Torej stik morate imeti v imeniku (in obratno) ter obe številki morata biti prijavljeni v sistem. Za svoje delovanje potrebuje google apps (nano).
SMS, ki ga dobite na telefon, seveda NI šifriran in temu posledično je lahko "nekomu" vidno, da ste namestili to aplikacijo.

SMS sporočila se z lahkoto prestreže. Zato se v splošnem odsvetuje, da imate "ponastavljanje gesel" (password reset) urejeno preko kode poslane kot SMS na vaš telefon.

ChatSecure omogoče šifrirano tekstovno sporočanje (wifi ali mobile data), uporabite lahko XMPP račun. Za razliko od Signal lahko preko ChatSecure govorite z nekom, ki uporablja računalnik.

Če vam je ime Janez Novak in je vaše geslo janez potem verjetno radi živite nevarno. Tako geslo je namreč izredno nespametno. Če geslo spremenite v janez123, ste dosegli bore malo. To bo pred "vdorom" (uspešnim ugibanjem gesla) v vašo pošto ustavilo samo soseda.

Če vaše geslo vsebuje besede in datume, ki so osebno vezani na vas ali družinske člane (kot recimo imena in rojstni dnevi) in je ob vsem tem manj kot 8 mestno, ste zelo slabo zavarovani pred vdorom. Idealno naj geslo nebi vsebovalo niti besed, ki se jih lahko najde v slovarju.

Dolžina je pomembna

Če imate na voljo samo ševilke 0-9 obstaja 10 različnih možnosti za vsako mesto v geslu. Če je geslo 6 mestno to pomeni 1 milijon različnih kombinacij. Če se tako geslo skuša uganiti s samo največ 12,5 različnimi poskusi vsako sekundo (80 milisekund za vsak poskus) pridete do odgovora v največ 22 urah, v povprečju v 11 urah. Če je možnih več poskusov vsako sekundo lahko pridete do odgovora v nekaj sekundah/minutah.

Pri 7 mestnem geslu bi enak postopek vzel največ 9 dni.
Pri 8 mestnem največ 46 dni.
9 mestnem 2,5 let.
10 mestnem 12,6 let.
11 mestnem 127 let.
12 mestnem 1286 let.
13 mestnem 25367 let.

Torej, dolžina gesla je pomembna.

Ker ima tipkovica več kot samo številke uporabimo: velike črke, male črke, številke in posebne znake, ter dobimo okoli 95 različnih možnosti za vsako mesto v geslu.

Geslo naj bo vsaj 8 mestno.

Primer varnega 15 mestnega gesla: O4nJ[0]x'E"t$gl

10 mestno geslo, ki si ga je lažje zapomnit: F1|0Zof$k4

veliki F, 1, | (pipe), 0 (nič), veliki Z, mali o, mali f, dolar, mali k, 4

Problem tega lažjega gesla? Preveč je "logično" in raba 1 namesto "i" in 4 namesto "A", 0 namesto "o" ipd so že "stare fore", a vendar mnogo mnogo bolje kot janez.

Dodatno: shramba za gesla.

VeraCrypt stvaritev kontejnerja 1/2

VeraCrypt, naslednik TrueCrypt, je program, ki med drugim, omogoča ustvarjanje kriptiranih kontejnerjev. Kontejner ima poljubno določeno velikost, ki pa je fiksna, ko jo enkrat določimo. Kontejner je datoteka v katero lahko spravite druge mape in datoteke. Kontejner lahko razumete kot skrinjo s ključavnico. Ključavnica je izredno močna. Lahko jo odprete samo s pravim ključem. Teoretično jo lahko odprete na silo, a ne v času vaše življenjske dobe. Skrinjo lahko nosite naokoli s seboj in v njej različne stvari. Če vam jo ukradejo vam ni potrebno skrbeti, saj jo lahko odprete samo vi. Če izgubite ključ, je ne more odpreti nihče!!!

VeraCrypt dobite na naslovu https://veracrypt.codeplex.com/wikipage?title=Downloads, pri čemer prenesete verzijo, ki ustreza vašemu operacijskemu sistemu. Zaženite namestitveno datoteko. Tekom namestitve izberite možnost EXTRACT. Izberite kam naj se program ekstrahira.

Zaženite program in sledite korakom vidnim na slikah (klik za povečavo):

create volume
create an encrypted file container
standard VeraCrypt volume
next
select file location

Korak 4: preprosto kliknite Next.

Korak 5: izberite kje na vašem disku želite ustvariti kontejner in mu določite poljubno ime.

VeraCrypt stvaritev kontejnerja 2/2

Korak 6: določite poljubno velikost kontejnerja. Ta bo vedno in že takoj po stvaritvi imel izbrano velikost. Neglede na dejansko vsebino. Velikosti naknadno ne morete spremeniti.

Korak 7: določite ustrezno geslo, ki naj ima vsaj 8 znakov.

Korak 8: znotraj VeraCrypt okna sporadično premikajte miško, dokler indikator na dnu ni zelen po celotni dolžini.Ko je indikator zelen kliknete Format.

Korak 9: potrdite dokončanje VeraCrypt kontejnerja.

Korak 10: izhod.

VeraCrypt mount dismount

Kontejner odprete tako, da znotraj VeraCrypt okna z desnim klikom izberete poljubno črko pogona in:

select file and mount (pri čemer je file vaš kontejner)
vnos gesla
pogon postane viden

Ta pogon bo viden enako kot katerikoli drug pogon. Torej ta pogon bo viden tako kot vsebina USB ključa ali prenosnega diska ali vašega trdega diska. Mape in datoteke ustvarite ali prenesete v kontejner tako, kot če bi jih recimo prenašali na USB ključ. Preprosto jih posnamete v izbrani pogon. Na sliki je to recimo pogon R.

Ko končate z ukazom Dismount zaklenete kontejner.

Kot je že bilo omenjeno, kontejner je datoteka. To datoteko lahko kopirate in prenašate tako kot ostale datoteke.

Uradna dokumentacija - https://veracrypt.codeplex.com/documentation.

Dodatna opomba za tiste, ki morda uporabljate Syncthing: spremembe vsebine kontejnerja od zunaj niso vidne. Skrinja vedno zgleda enako. Znan je samo datum stvaritve. Ker datum spremembe ni znan, orodje kot je Syncthing ne zazna "novejše/starejše" in zato ne izvede sinhronizacije, če se dejanska vsebina kontejnerja na enem koncu spremeni.

Jacob Appelbaum - Razsežnosti masovnega nadzora in vdiranja v zasebnost

Julian Assange - WikiLeaks

Edward Snowden - Podrobnosti masovnega nadzora

Edward Snowden - Gesla

Jacob Appelbaum - Zlorabe masovnega nadzora