Echelon

ECHELON

Čemu paranoja

Torej, paranoje ni. So samo dejstva. Uradna in neuradna, zamolčana in razkrita. Masovno zbiranje podatkov o vsakeršni komunikaciji ali izmenjavi podatkov v vseh oblikah in načinih je realnost.

Je to sploh pomembno

Če vas ne moti, da se o vas zbirajo vse, tudi najbolj intimne informacije, ki se hranijo v digitalni kartoteki in vsebujejo tekoče in pretekle podatke potem ne, ni pomembno. Dokler na oblast ne pride nek avtokrat.

Nič ne skrivam

Ali res? Torej se lahko naokoli sprehajate goli, to namreč ste, če vso zasebnost prosto delite z nadzornimi službami. V tej izprijeni demokraciji je veliko odvisno tudi od tega ali oblastem stopite na žulj .

ANON

TOR omogoča anonimno brskanje po spletu.

TOR ni 100% zanesljiv, je pa krepko blizu. Mnenja so sicer deljena.

Promet na omrežju TOR je šifriran. IP, izvorno mesto uporabnika, ni znano, ko se povezuje na spletne strani. Povezava se vrši preko večih posrednikov. Spletna stran vidi samo zadnjega posrednika. Povezava med uporabnikom in prvim posrednikom ni šifrirana, enako velja za povezavo med zadnjim posrednikom in spletno stranjo. Vsak posrednik ve samo za predhodnjega in naslednjega.

Imamo Boštjana, Jakoba in Anjo. Boštjan ima vprašanje za Anjo, a noče, da ona to ve. Boštjan gre do Jakoba in ga pošlje z vprašanjem do Anje. Jakob dobi odgovor in ga odnese nazaj k Boštjanu. Jakob je posrednik. TOR ima veliko Jakobov, ki se med sabo ne poznajo. Vsak pozna samo Jakoba, ki mu je prinesel vprašanje/odgovor in Jakoba, ki mu bo posredoval vprašanje/odgovor.

Brskalnik TOR se dobi na https://www.torproject.org/

Namestitev je preprosta.

TOR spletnih strani ne odpira tako hitro, kot običajni brskalniki. Nekaterih strani sploh ne bo odprl. Na večini strani ne bo možna prijava kot uporabnika ali registracija. Google recimo, bo za vsako iskanje zahteval potrditev (captcha). Temu posledično se morda uporabi alternativo, kot je https://duckduckgo.com/

Za zagotovitev anonimnosti in varnejše rabe, se brskalnika TOR ne uporablja za prijavo v enake račune/spletne strani kot v drugih običajnih brskalnikih. Ko se povezuje preko TOR se ne uporablja enakih uporabniških imen in gesel kot v običajnih brskalnikih.

Uradna dokumentacija - https://www.torproject.org/docs/documentation.html.en

Syncthing, https://syncthing.net/ je program namenjen šifrirani sinhronizaciji map in datotek med različnimi napravami. Recimo med službenim računalnikom, domačim računalnikom, telefonom in prenosnim računalnikom.

Torej alternativa za Dropbox, Google drive, One drive, iCloud...

Nič ni oblačnega. Je samo jasno. Med napravami ni "oblaka" (cloud), ni posrednika. Prenos podatkov je neposreden iz naprave na napravo.

Program nima klasičnega grafičnega vmesnika. Za prikaz delovanja in nastavitve uporablja lokalni spletni vmesnik - program se upravlja v spletnem brskalniku preko naslova http://localhost:8384/
Localhost = 127.0.0.1

Pomembno pravilo

Prvo vedno sinhronizacija, šele nato spreminjanje in urejanje datotek. V nasprotnem se lahko povozi že spremenjene (a še ne sinhronizirane) datoteke na drugem računalniku. Pred izklopom naprave je le to potrebno sinhronizirati z vsaj eno drugo vklopljeno napravo.

Dodajanje nove mape

Z zagonom programa se ustvarijo kriptografski ključi. Mapo se doda s klikom na Add Folder. Label (ime za mapo) in folder ID sta poljubna. Kot folder path se vnese pot do mape na trdem disku. Pod advanced settings se določi file versioning, ki naj bo recimo Trash Can File Versioning, in Clean out after recimo 60 dni. Če že obstajajo dodane naprave, se izbere s katero napravo naj se deli novo mapo. Save. Če drugih naprav še ni se to uredi naknadno.

Trash Can versioning pomeni sledeče: na napravi A se izbriše datoteka, to dejanje se sinhronizira na napravo B, kjer gre izbrisana datoteka v skrito mapo .stversions in tam ostane 60dni, na kar se trajno izbriše.

Na drugih napravah mora obstajati mapa z identičnim! folder ID. To je pomembno. Mapa ima lahko drug label in seveda pot (mesto na trdem disku), ampak folder ID mora! biti enak.

V sinhronizacijo so vključene vse podmape in datoteke.

Po dodajanju nove mape bo program morda potrebno ponovno zagnati.

Dodajanje nove naprave

Pod Actions se izbere Show ID. Prikažeta se dve polji. Gornje ima osem sklopov po sedem znakov, ki se jih lahko označi in kopira. Drugo polje je QR koda. Oboje je device ID, ki se ga rabi za dodajanje te naprave na drugi napravi in obratno. QR koda služi dodajanju naprave na telefon. Da se lahko dve napravi med sabo povežata morata vsebovati device ID druga od druge. Enako velja za tri naprave, štiri naprave...

Seveda ni nujno, da so vse naprave med seboj povezane. Naprava A je recimo povezana z napravo B. Naprava B pa je povezana s C,D in E. Tako bo naprava A imela vse podatke od naprav C,D in E (in obratno) navkljub temu, da ni neposredne povezave - ČE si seveda vse naprave delijo isto mapo. Naprave si med seboj lahko delijo različne mape. Naprava B je sicer v tem primeru šibka točka.

S klikom na Add Device se doda novo napravo z vnosom ID naprave, ki se jo želi dodati. Ime pod katerim bo naprava vidna je poljubno. Za obstoječe mape se določi katere se delili s to napravo. Save.

Z dodajo naprave A na napravi B, se na napravi A pokaže obvestilo/opozorilo, da do nje želi dostopati "neka nova" naprava, na kar se na napravi A odobri povezavo in s tem avtomatično doda napravo B.

Vsako napravo je možno naknadno urejati preko gumba Edit (klik na ime naprave).

Če je naprava Introducer bo samodejno delila device ID vseh ostalih naprav, ki so povezane nanjo, z vsako drugo napravo, ki jo doda.

Ko je program aktiven je na zaslonu računalnika "črno okno" v katerem se nekaj izpisuje. To okno mora ostati odprto. Lahko se ga minimizira, vendar naj bo odprto. Če se zapre to okno se hkrati zapre/ugasne program.

Mapa je sinhronizirana, ko je oznaka na mapi in vseh aktivnih napravah enaka Up to Date.

Po dodajanju nove naprave bo program morda potrebno ponovno zagnati.

Telefon - Android

Ko se aplikacijo prvič zažene na telefonu si ta vzame svoj čas, da ustvari kriptografske ključe. Dodajanje map in naprav je enako, s to razliko, da se v primeru telefona z zadnjo kamero prebere QR kodo.

Za vse ostale podrobnosti je na voljo uradna dokumentacija - http://docs.syncthing.net/

pengu

Linux Mint je uporabniku prijazna distribucija Linuxa, ki bazira na distribucijah Debian in Ubuntu (Ubuntu tudi bazira na Debian-u)

Spletna stran distribucije je http://www.linuxmint.com/

Prilagojena verzija te distribucije je bila v uporabi več let na vseh računalnikih, ki so na hodnikih in nekaterih študentskih računalnikih v knjižnicah. Trenutno računalniki na hodnikih poganjajo Debian 9 s poljubno sestavljenim in prilagojenim grafičnim okoljem.

Linux Mint je na voljo z večimi različnimi grafičnim okolji.

Cinnamon - odcepek GNOME 3, razvito za Linux Mint
KDE - to grafično okolje je še najbol podobno Windows
Xfce - grafično okolje za manj zmogljive/starejše računalnike
MATE - nadaljevanje grafičnega okolja GNOME 2 pod drugim imenom

Povezava do uradne dokumentacije - http://www.linuxmint.com/documentation.php

Kriptografija - https://sl.wikipedia.org/wiki/Kriptografija

Windows - potrebuje se tri programe

1 - Thunderbird https://www.mozilla.org/en-US/thunderbird/all/
2 - GnuPG http://www.gpg4win.org/features.html
3 - dodatek Enigmail za Thunderbird

Dobro je imeti tudi spodobni urejevalnik teksta, kot je Notepad++ https://notepad-plus-plus.org/

Thunderbird in GnuPG se namesti s privzetimi možnostmi. V Thuderbird se preko menija za razširitve oziroma Add-ons namesti Enigmail.

GPG za macOS - https://gpgtools.org/gpgsuite.html

Ključi

Ključ je v dveh delih. Public in Private. Public lahko vidijo/imajo vsi in služi za enkripcijo. Private je samo vaš in služi za dekripcijo.

ČE IZGUBITE KLJUČ S TEM ZA VEDNO IZGUBITE TUDI DOSTOP DO VSEH PODATKOV, KI SO KADARKOLI BILI ŠIFRIRANI S TEM KLJUČEM

Ključ (certifikat) se ustvari v programu Kleopatra (certificate manager).

Postopek

settings - self test (vse mora biti zeleno)
close
file - new certificate
personal OpenPGP key pair
neko poljubno ime
nek poljuben email
next
create key
dvakratni vnos gesla (ki ga ne boste nikoli pozabili)
MAKE BACKUP OF YOUR KEY PAIR
izbere se poljubno ime in lokacija
ok
ok
finish

Sedaj obstaja datoteka ime.gpg. To je zasebni ključ!

V glavnem oknu programa Kleopatra je viden ravnokar ustvarjeni certifikat. Klik z desno, izbere se export certificates s poljubnim imenom in lokacijo. Sedaj obstaja datoteka ime.asc. To je javni ključ.

Takoj se naredi varnostno kopijo obeh datotek.

Thunderbird

enigmail - setup wizard
druga možnost, extended configuration
next
za uporabnikov poštni račun
enigmail zazna že ustvarjen ključ, izbere se ga v oknu
next
finish

S pričetkom novega sporočila se z rdečo izpiše, da sporočilo ne bo šifrirano/kriptirano. Enkripcijo se vklopi s klikom na ključavnico.

Po ukazu pošlji se odpre dodatno okno, ki sprašuje po prejemnikih. Sprašuje za vnos javnih ključev vseh prejemnikov, za katere se želi, da bodo lahko dekriptirali sporočilo. Kot prejemnika pošiljatel doda tudi samega sebe (svoj javni ključ), v nasprotnem primeru kasneje pošiljatel ne bo mogel videti lastnega sporočila.

Uporabnik lahko dekriptira samo tiste podatke, ki so bili pred tem kriptirani z njegovim javnim ključem.

Če se sporočilu doda priponko uporabnik izbere ali želi kriptirati tudi to.

Kadarkoli tekom tega postopka povpraša po geslu, se vnese tisto geslo, ki je bilo izbrano med kreiranjem certifikata.

POMEMBNO - SUBJECT (ZADEVA) sporočila NI kriptiran zato se svetuje diskretnost.

Enkripcija sporočil za prejemnike seveda zahteva imetje njihovih javnih ključev (in obratno), ki se jih vnese import certificates v programu Kleopatra. Vnese se datoteko *.asc

Če je ključ posredovan v sledeči obliki (glej spodaj) se označi vse, vključno z "begin" in "end" delom in vsebino skopira v tekstovni urejevalnik, ter datoteko shrani kot ime.asc.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGP Universal 2.9.1 (Build 347)

mQMuBFG3x4URCACZ/c7PjmPwOy2qIyKAYRftIT7YurxmZ/wQEwkyLJ4R+A2mFAvw
EfdVjghAKwnXxqeZO9WyAEofqIX5ewXD9J4H6THaWNlDeNwnIU hbVsSEgT6iwGEG
arXvkrMyy+U5KA0x2dcsYRKAPMM1db+4zSQkWTWzufLU7lcKi3 gU3pNTxSA0DjCn
wfJQspiyWchSfgZ59+fKaGZJVSElrS2i2ok5mK3ywCXRWvnAC/VxA3N6T4jvkX/+
to3UsZXERO4NtVI0IT0uhLXh+IhhBBgRCAAJBQJRt8eFAhsMAA oJELiVbb/ufBBc
QjgA/j1J7nN42zDMJxoAKQDvp+H3dErZVY7hJ8qHeGVbExWGAP97G/jWhl6FEg7M
2vOMWRC5GQUM8TU1YkCeAuhsxSj3ew==
=dgnf
-----END PGP PUBLIC KEY BLOCK-----

Uradna dokumentacija - http://www.gpg4win.org/documentation.html

Google Android


Lineage OS - http://lineageos.org/
Fdroid - https://f-droid.org/

Signal - https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms&hl=en

Apple iOS

Signal - https://itunes.apple.com/us/app/signal-private-messenger/id874139669

Na kratko...

Lineage OS, naslednik CyanogenMod je google in bloatware free Android OS. Namestitev se odsvetuje vsem, ki jim osnovna raba tehnike povzroča težave.
F-droid je google play store alternativa.

Signal omogoča šifrirana tekstovna sporočila in video/zvočne klice (zastonj preko interneta, drugače pa preko mobile data). Oseba na drugi strani mora imeti isto aplikacijo. V sistem se prijavi (preprost postopek) z mobilno številko, avtomatska potrditev preko SMS. Program gleda stike v imeniku in jih primerja s tistimi prijavljenimi v sistem.

Za svoje delovanje potrebuje google apps (nano). SMS, za potrditev, seveda NI šifriran in temu posledično je lahko "nekomu" vidno, da se je namestilo to aplikacijo.

SMS sporočila se z lahkoto prestreže. Zato se v splošnem odsvetuje, "ponastavljanje gesel" (password reset) preko kode poslane kot SMS.

Signal deluje tudi na Windows, macOS in Debian distribucijah - https://signal.org/download/. Aplikacijo se po namestitvi poveže s tisto, ki je že nameščena na telefonu. To omogoča tekstovno komunikacijo z računalnika (oseba A) na telefon (oseba B).

Če ima Janez Novak geslo janez verjetno rad živi nevarno. Tako geslo je namreč izredno nespametno. Če geslo spremeni v janez123, bo dosegel bore malo. To bo pred "vdorom" (uspešnim ugibanjem gesla) ustavilo samo soseda.

Če geslo vsebuje besede in datume, ki so osebno vezani na uporabnika ali družinske člane (imena in rojstni dnevi) in je ob vsem tem manj kot 8 mestno, je uporabnik zelo slabo zavarovan pred vdorom. Idealno naj geslo nebi vsebovalo niti besed, ki se jih lahko najde v slovarju.

Dolžina je pomembna

Če so na voljo samo ševilke 0-9 obstaja 10 različnih možnosti za vsako mesto v geslu. Če je geslo 6 mestno to pomeni 1 milijon različnih kombinacij. Če se tako geslo skuša uganiti s samo največ 12,5 različnimi poskusi vsako sekundo (80 milisekund za vsak poskus) je geslo razbito v največ 22 urah, v povprečju v 11 urah. Če je možnih več poskusov vsako sekundo je geslo razbito v nekaj sekundah/minutah.

Pri 7 mestnem geslu bi enak postopek vzel največ 9 dni.
Pri 8 mestnem največ 46 dni.
9 mestnem 2,5 let.
10 mestnem 12,6 let.
11 mestnem 127 let.
12 mestnem 1286 let.
13 mestnem 25367 let.

Torej, dolžina gesla je pomembna.

Ker ima tipkovica več kot samo številke se uporabi: velike črke, male črke, številke in posebne znake, kar nudi okoli 95 različnih možnosti za vsako mesto v geslu.

Geslo naj bo vsaj 8 mestno.

Primer varnega 15 mestnega gesla: O4nJ[0]x'E"t$gl

10 mestno geslo, ki si ga je lažje zapomnit: F1|0Zof$k4

veliki F, 1, | (pipe), 0 (nič), veliki Z, mali o, mali f, dolar, mali k, 4

Problem tega lažjega gesla? Preveč je "logično" in raba 1 namesto "i" in 4 namesto "A", 0 namesto "o" ipd so že "stare fore", a vendar mnogo mnogo bolje kot janez.

Dodatno: shramba za gesla.

VeraCrypt stvaritev kontejnerja 1/2

VeraCrypt, naslednik TrueCrypt, je program, ki med drugim, omogoča ustvarjanje kriptiranih kontejnerjev. Kontejner se lahko razume kot skrinjo s ključavnico. Ključavnica je izredno močna. Odklene jo samo pravi ključ. Če se izgubi ključ je vsebina skrinje izgubljena! Teoretično je skrinjo možno odpreti na silo, a ne v času uporabnikove življenske dobe. Skrinjo lahko nosite naokoli s seboj in v njej različne stvari.

Kontejner ima poljubno določeno velikost, ki pa je fiksna, ko jo enkrat določimo. Kontejner je datoteka v katero se spravi druge mape in datoteke.

VeraCrypt se dobi na naslovu https://veracrypt.codeplex.com/wikipage?title=Downloads.

zagon namestitvene datoteke
EXTRACT na poljudbno lokacijo
zagon programa
create volume
create an encrypted file container
standard VeraCrypt volume
next
select file location
next

Korak 5: poljubno ime in lokacija za kontejner

VeraCrypt stvaritev kontejnerja 2/2

Korak 6: določtev velikosti kontejnerja. Kontejner bo vedno in že takoj po stvaritvi imel izbrano velikost. Neglede na dejansko vsebino. Velikosti naknadno ni možno spremeniti

Korak 7: izbor ustreznega gesla

Korak 8: znotraj VeraCrypt okna se sporadično premika miško, dokler indikator na dnu ni zelen po celotni dolžini.Ko je indikator zelen sledi Format

Korak 9: potrdite dokončanja VeraCrypt kontejnerja

Korak 10: izhod

VeraCrypt mount dismount

Za odprtje kontejnerja se znotraj VeraCrypt okna z desnim klikom izbere poljubno črko pogona in:

select file and mount (pri čemer je file kontejner)
vnos gesla
pogon postane viden

Ta pogon bo viden enako kot katerikoli drug pogon. Torej ta pogon (na sliki je to recimo pogon R) bo viden tako kot vsebina USB ključa ali prenosnega diska ali trdega diska. Mape in datoteke se ustvari ali prenese v kontejner tako, kot če bi se jih recimo prenašalo na USB ključ.

Z ukazom Dismount se kontejner zakleni.

Kontejner je datoteka. To datoteko se lahko kopira in prenaša tako kot ostale datoteke.

Uradna dokumentacija - https://veracrypt.codeplex.com/documentation.

Dodatna opomba za tiste, ki morda uporabljate Syncthing: sprememba vsebine kontejnerja od zunaj ni vidna. Skrinja vedno zgleda enako. Znan je samo datum stvaritve. Ker datum spremembe ni znan, orodje kot je Syncthing ne zazna "novejše/starejše" in zato ne izvede sinhronizacije, če se dejanska vsebina kontejnerja na enem koncu spremeni.

Ubijmo Assanga

Julian Assange - WikiLeaks

30c3 - Sysadmins of the world unite

Edward Snowden - Gesla

Jacob Appelbaum - Zlorabe masovnega nadzora