Krótki poradnik dla osób działających w polityce (i nie tylko).
Wersja 1.6, grudzień 2023
Autorzy: Leszek Karlik, marmarta i inni 🙂
Model ataku i poziomy bezpieczeństwa
Aby ustalić, jak zabezpieczyć swoje komputery, smartfony i metody komunikacji cyfrowej musimy najpierw ustalić model ataku, czyli przed jakim stopniem zagrożenia chcemy się bronić, oraz sprawdzić, jakie zabezpieczenia już mamy wdrożone.
Bezpieczeństwo komputerowe jest kwestią procesów i wyrobionych nawyków. Na potrzeby tego dokumentu wyróżnimy 5 poziomów bezpieczeństwa.
- poziom 0 (brak zabezpieczeń) oznacza, że jesteśmy jak Dworczyk czy inne ofiary “ataków hakerskich”. Na nasz komputer może się włamać każdy, włącznie z naszym kotem.
- poziom 1 (podstawowy): zapewnia ochronę przed zautomatyzowanymi atakami cyberprzestępców, i to by było na tyle. Nasze hasła są odrobinę bardziej skomplikowane niż “mruczek1990” i mamy inne hasło do poczty, inne do facebooka, inne do banku i jeszcze inne do wszystkich serwisów typu księgarnie internetowe.
- poziom 2 (wysoki): oznacza, że przy używaniu komputerów pamiętamy o bezpieczeństwie i mamy sporo zabezpieczeń. Mamy zaszyfrowany dysk w komputerze, korzystamy z managera haseł (inne hasło na każdym serwisie) i uwierzytelniania dwuskładnikowego.
- poziom 3 (bardzo wysoki): korzystanie z komputerów jest momentami niewygodne przez ilość zabezpieczeń, jakie wykorzystujemy, ale też dobranie się do naszych informacji będzie sporym wyzwaniem.
- poziom 4 (aktywna paranoja): poświęcamy bardzo dużo wysiłku na zabezpieczenie komputerów i komunikacji elektronicznej, co oznacza sporą niewygodę i często bycie postrzeganym jako osoba trochę dziwna
Nie ma sensu próbować przeskoczyć kilku poziomów na raz, bo zapewne się to nie uda.
Postaw sobie za cel zwiększenie poziomu zabezpieczeń o poziom w kilka miesięcy, a kiedy już przyzwyczaisz się do zwiększonego poziomu ochrony możesz zastanowić się, czy wejść poziom wyżej. Poziom 4 nie ma sensu dla większości ludzi, poziom 2 zapewnia dobrą równowagę pomiędzy uciążliwością a skutecznością zabezpieczeń.
Jeżeli nie rozumiesz czegoś w tym poradniku to możesz anonimowo zadać pytanie w dokumencie online, na podstawie pytań przygotujemy dodatkowy dokument z pytaniami i odpowiedziami: https://pad.riseup.net/p/tanczyla_spodnico_obozu-keep
Poziom 0: Dworczyk i przyjaciele.
Mamy hasło “haslo123” lub “mruczek1990” do naszych wszystkich kont, PIN do bankomatu ustawiony na 1234, nie robimy kopii bezpieczeństwa, w pracy zostawiamy laptopa z otwartą pocztą i niezablokowanym ekranem idąc na obiad, telefon odblokowujemy przesuwając palcem po ekranie bo po co go zabezpieczać czymkolwiek, w telefonie i komputerze ciągle odkładamy aktualizacje na później żeby nie przeszkadzały.
Z tego poziomu trzeba wyjść jak najszybciej do poziomu 1.
Poziom 1. Podstawowy
Podstawowe zabezpieczenia służą do ochrony przed cyberprzestępcami stosującymi masowe ataki na miliony potencjalnych celów w nadziei, że ktoś się złapie, czy przed sytuacją typu “zostawiłem komórkę/laptopa w pociągu”.
Co robić w celu zapewnienia podstawowego bezpieczeństwa komputerów/telefonów?
- Aktualizuj oprogramowanie kiedy tylko pojawi się aktualizacja (to dotyczy zarówno smartfonów jak i Windowsów).
- Stosuj różne hasła dla różnych usług. Absolutne minimum to unikalne hasło dla poczty, której używasz do odzyskiwania haseł w innych serwisach, unikalne hasła do banków i do mediów społecznościowych (czyli krytycznych usług, do których nie chcesz żeby ktoś się włamał, w odróżnieniu od jakiejś księgarni internetowej, Vinted czy OLXa). Możesz zapisać te hasła w jakimś notatniku trzymanym gdzieś w szufladzie, ważne żeby miały co najmniej 8-10 znaków.
A jeszcze lepiej jest pobrać plik https://hell.pl/leslie/polskie_slowa_bez_pliterex_max8.txt, przeciągnąć pobrany plik na tę stronę: https://securitymb.github.io/hasla/ i wygenerować sobie kilka 3-wyrazowych haseł (do poczty, do banku, do Facebooka, do Twittera) i zapisać gdzieś w notesiku na wszelki wypadek.
Możesz sprawdzić, czy hasło jest wystarczająco skomplikowane i nie znajduje się już w jakiejś wyciekniętej bazie haseł przy pomocy tego narzędzia: https://password.kaspersky.com/pl/
Na wyższych poziomach bezpieczeństwa stosowanie usługi, w której wpisujemy swoje hasło żeby nie wiadomo kto sprawdził nam w Internecie “czy jest wystarczająco dobre” jest oczywiście bardzo złym pomysłem, ale na razie chcemy odejść od haseł typu dupa.8 (“To hasło pojawiło się 1624 razy w bazie danych upublicznionych haseł i może zostać złamane metodą siłową na typowym komputerze domowym w około 3 godziny”) czy dupa.128 (“To hasło pojawiło się 1 raz w bazie danych upublicznionych haseł”).
- Zabezpiecz telefon PINem mającym co najmniej 4 cyfry. Jeżeli używasz odblokowania biometrycznego, np. na odcisk palca, to możesz użyć 6+ cyfr, bo nie musisz ich wpisywać za każdym razem, kiedy chcesz skorzystać z telefonu, a jedynie po restarcie, po dłuższym okresie nieużywania lub po skorzystaniu z trybu awaryjnego (sprawdź jak włączyć tryb awaryjny: zwykle jest to pięć razy szybko naciśnięcie przycisku włączania/wyłączania lub wciśnięcie na raz przycisku głośności i włączania/wyłączania).
Nie używaj blokowania ekranu wzorkiem, a już na pewno nie zostawiaj telefonu bez żadnej blokady.
Nie używaj najpopularniejszych PINów: 1234, 1111, 0000, 1212, 7777 itp.: https://niebezpiecznik.pl/post/najpopularniejszy-pin-do-karty-kredytowej-to/ - Włącz uwierzytelnianie dwuskładnikowe w poczcie i w mediach społecznościowych (używając aplikacji w telefonie, nie SMSów, numer telefonu można łatwo przejąć): https://www.pcworld.pl/news/Jak-korzystac-z-uwierzytelniania-dwuskladnikowego-poradnik,412959.html
Ważne: przy konfigurowaniu uwierzytelniania dwuskładnikowego musisz wygenerować awaryjne hasła do odzyskiwania dostępu na wypadek utraty urządzenia z aplikacją. Te hasła wydrukuj/zapisz i przechowuj gdzieś w bezpiecznym miejscu.
Ustawienie jako metody zapasowej uwierzytelniania dwuskładnikowego przez wysłanie SMSa lub e-maila powoduje, że atakujący musi jedynie skorzystać z metody zapasowej, czyli równie dobrze można by ustawić SMSy od razu. Ale metod przejmowania SMSów jest wiele, więc tego nie rób. - Nie wysyłaj SMSów. SMSy to taki odpowiednik pocztówek – gdyby poczta miała obowiązek kserowania każdej pocztówki i przechowywania jej kopii przez 2 lata.Możesz usunąć ikonę aplikacji z SMSami z ekranu głównego smartfona. Do komunikacji tekstowej zamiast SMSów zainstaluj na smartfonie aplikację Signal i/lub WhatsApp (Signal jest bezpieczniejszy, WhatsAppa używa więcej ludzi) i namów wszystkie osoby, z którymi kontaktujesz się na codzień do tego samego.
- Nie klikaj w linki w e-mailach. Dostałeś e-mail od banku/Googla/Facebooka że “ktoś ci się właśnie włamuje na konto, szybko, kliknij w ten link żeby zresetować hasło!”? Nie klikaj w link! Wejdź do banku/Google/Facebooka tak jak wchodzisz zawsze i zobacz czy tam masz jakieś powiadomienie tego typu.
Phishing to jeden z najpopularniejszych sposobów przejmowania kontroli nad cudzymi kontami internetowymi, opiera się na szybkim wzbudzeniu emocji (“ktoś właśnie próbuje się zalogować na Twoje konto! hakerzy atakują!”) i dostarczeniu od razu czegoś, co wygląda jak rozwiązanie (“kliknij tutaj, aby rozwiązać problem!”). Nie klikamy w te linki. https://bezpieczny.blog/jak-rozpoznac-phishing/ - Co najmniej jedna kopia zapasowa wszystkich ważnych danych to absolutna podstawa: nawet jeżeli to tylko trzymanie dokumentów w katalogu Dropboksa, Google Drive czy OneDrive (chociaż lepsza będzie chmura szyfrowana, np. mega.nz albo sync.com).
Wszystkie te usługi oferują 5 GB (lub więcej) miejsca za darmo. Dla wielu osób będzie to wystarczające do trzymania dokumentów, których utrata byłaby bolesna.
Zapewniają również możliwość przywrócenia wcześniejszych wersji dokumentów z ostatnich 30 dni (zwykle więcej dla płatnych wersji), co oznacza, że w przypadku zaszyfrowania naszych dokumentów przez ransomware i żądania okupu możemy po prostu odzyskać wcześniejsze wersje z chmury. - Zawsze blokuj ekran odchodząc od komputera (Windows+L w Windows, w Linuksie albo tak samo, albo Ctrl+Alt+L, na Macu Command+Control+Q)
- Jeżeli masz na laptopie Windows 10 Pro/Enterprise/Education, to włącz BitLockera z kopią klucza trzymaną przez Microsoft. Użytkownicy OS X używają do szyfrowania dysku FileVault 2 – tutaj również jest możliwość zachowania klucza odzyskiwania na serwerach Apple, co na tym poziomie bezpieczeństwa jest słuszne.
- Używaj przynajmniej Gmaila lub poczty Apple, nie wp.pl czy onetu. (Google czy Apple mają dużo większe i lepiej finansowane zespoły specjalistek do spraw bezpieczeństwa, a polska prokuratura będzie mieć dużo większe problemy z uzyskaniem wszystkich naszych e-maili niż gdybyśmy mieli je u polskiego dostawcy)
Poziom 2. Wysoki
Osoby aktywne politycznie mogą założyć, że konieczne będzie poświęcenie trochę czasu na zabezpieczenie się, tak aby na przykład nie paść ofiarą jakiegoś konfederaty z nadmiarem czasu i umiejętności komputerowych, albo rosyjskich hakerów usiłujących namieszać w lokalnej polityce.
Jakie są następne kroki, które trzeba podjąć, żeby zwiększyć poziom bezpieczeństwa?
- Zacznij używać managera haseł (Bitwarden, Keepas XC, 1Password itp.) z bardzo mocnym, losowanym hasłem (np. 6 wyrazów wylosowanych przy pomocy kostek do gry, czyli metodą diceware) oraz uwierzytelnianiem dwuskładnikowym.
Pamiętasz wtedy tylko jedno mocne hasło: do managera haseł, a dla wszystkich serwisów internetowych (poczta, bank, media społecznościowe) generujesz w managerze hasło z 30 czy 40 absolutnie losowych znaków (przykładowe hasło z managera: #my4hGM!KA$iQD$6mvfD@dqnwde68T – nie do zapamiętania, ale i nie do złamania).
Hasło do managera haseł musi być losowe i składać się z 6 wyrazów jeżeli losujesz hasło-zdanie metodą diceware (5 wyrazów jeśli generujesz Hasłowatorem czy PWGen z pliku z polskimi słowami z odmianą) lub z 12+ losowych znaków, jeżeli chcesz zapamiętać losowe hasło alfanumeryczne.
Odradzamy używanie LastPassa. - Zaszyfruj dyski w komputerze i kopie zapasowe VeraCryptem (z mocnym, losowanym hasłem-zdaniem). Na początek możesz hasło używane do zaszyfrowania danych w komputerze i kopii zapasowych zapisać gdzieś na karteczce i zawsze po pracy wyłączać komputer. Konieczność codziennego wpisywania 6 wylosowanych wyrazów zaraz po uruchomieniu komputera po miesiącu-dwóch wypali je skutecznie w mózgu, wtedy możesz zniszczyć karteczkę z hasłem.
(Możesz też skorzystać z BitLockera z długim PINem wprowadzanym przed uruchomieniem systemu i bez kopiowania klucza odzyskiwania na serwer Microsoftu, przy czym musisz wtedy pamiętać że PIN jest ograniczony do maksymalnie 20 znaków, a klucz odzyskiwania musisz absolutnie i niezbędnie zachować gdzieś w kilku zaszyfrowanych kopiach, np. na dysku z kopiami bezpieczeństwa i w aplikacji do przechowywania zaszyfrowanych danych w smartfonie)
Uwaga: szyfrowanie dysku i kopii zapasowych musi wykorzystywać mocne, losowane hasło – tylko losowanie hasła gwarantuje bezpieczeństwo danych. Wybranie 6 wyrazów “z głowy” nie spełnia warunku losowości, konieczne jest użycie albo kostek, albo programu takiego jak PWGen czy Hasłowator w połączeniu z plikiem z polskimi wyrazami (wtedy wystarczy 5 wyrazów).
Dobrym pomysłem jest użycie tego samego mocnego, losowego hasła-zdania do dysku komputera i do kopii zapasowych, ponieważ kopia zapasowa do której nie pamięta się hasła nie jest kopią zapasową, a hasła używane bardzo rzadko dużo łatwiej zapomnieć. - Ustaw w telefonie PIN mający 6-8 cyfr, a jeżeli masz opcję odblokowania biometrycznego (np. odciskiem palca), to hasło na 6+ znaków alfanumerycznych. W końcu w telefonie masz manager haseł oraz aplikację do uwierzytelniania dwuskładnikowego.
- Zacznij używać uwierzytelniania dwuskładnikowego wszędzie, gdzie jest to obsługiwane. Rozważ przejście na uwierzytelnianie sprzętowym kluczem U2F/FIDO2.
Kody odzyskiwania wygenerowane przy włączaniu uwierzytelniania dwuskładnikowego trzymaj na jakimś zaszyfrowanym nośniku (np. w zaszyfrowanej chmurze albo na szyfrowanym dysku z kopiami zapasowymi). - Trzymaj bezpieczne (czyli zaszyfrowane) kopie zapasowe wszystkich danych w dwóch różnych miejscach (np. w chmurze i na dysku w szufladzie).
- Stosuj szyfrowaną komunikację (aplikacją Signal na telefonie) z automatycznym usuwaniem wiadomości po pewnym czasie (tak aby w razie włamania hacker nie miał dostępu do całej historii rozmów z kilku lat).
- Nie odpowiadaj na “pytania bezpieczeństwa” typu “imię panieńskie matki” czy “jak miało na imię Twoje pierwsze zwierzę”, a jeżeli system to wymusza to zamiast odpowiedzi podawaj długie losowe hasło z managera haseł. (“Jak miał na imię Twój pierwszy pies?” “7v7&e^JH*pLLi@brZLw9”).
Poziom 3. Bardzo wysoki
Osoby bardziej aktywne politycznie (np. posłanki) i mieszkające w kraju, w którym nie można wykluczyć motywowanych politycznie aktów oskarżenia ze strony prokuratury za jakieś wyssane z palca zarzuty typu “organizowanie demonstracji w pandemii” powinny zabezpieczyć się jeszcze bardziej.
- Zawsze łącz się z Internetem przez VPN (płatny).
- Istotne rozmowy prowadź bez smartfonów i komputerów, całkowicie wyłączając telefon przed udaniem się na spotkanie (a najlepiej zostawiając go w innym miejscu).
Niestety, nie możemy założyć że “będziemy robić wszystko istotne bez komputerów”, bo to chroni nas tylko przed niektórymi modelami ataku (tj. pozyskaniem informacji na temat działań i zamiarów), a większość organizacji politycznych nie jest w stanie przejść tylko na rozmowy twarzą w twarz.
Poza tym przejęcie konta osoby znanej publicznie i wrzucanie na nim rzeczy, które będą walić w jej wizerunek (np. jakichś transfobicznych wypowiedzi) nadal jest sporym ryzykiem, dlatego nadal trzeba zwiększyć poziom ochrony swojej działalności w Internecie.
- Załóż oddzielny e-mail do odzyskiwania haseł do kluczowych serwisów (bankowość, główna poczta, social media) nie będący e-mailem <imię.nazwisko@cośtam.com> tylko <trzy.losowe.wyrazy@protonmail.com> (lub <trzy.losowe.wyrazy@gmail.com> z włączonym Google Advanced Protection Program).
Tego maila nie używaj do sklepów internetowych, codziennej korespondencji itp. – ustaw go tylko jako adres do odzyskiwania hasła dla podstawowej poczty, do Facebooka/Twittera/Instagrama i do banku (adres i mocne hasło trzymaj zapisany w managerze haseł).
https://medium.com/@veeralpatel/if-your-email-is-hacked-everything-is-47544aeee699 - Zaszyfruj wszystkie nośniki danych w domu VeraCryptem (policja wbijająca do mieszkania z nakazem przeszukania zabierze komputery, laptopy, smartfony, pendrive’y, dyski przenośne i co jeszcze tylko znajdą).
- Istotne informacje przesyłaj wyłącznie w pełni zaszyfrowanymi kanałami (Signal, poczta na ProtonMail, wideokonferencje przez Signala/WhatsApp lub Jitsi Meet z włączonym E2E).
Dodatkowe zabezpieczenie Signala: wyłącz podgląd stron https://freedom.press/training/locking-down-signal/ - Przejdź na uwierzytelnianie dwuskładnikowe sprzętowym kluczem U2F/FIDO2 (Universal Second Factor, urządzenie wyglądające jak pamięć USB, wkładamy to do portu USB i naciskamy przycisk aby potwierdzić, że to my). Pamiętaj o hasłach awaryjnych do odzyskiwania dostępu w razie zgubienia klucza sprzętowego. (Najlepiej kupić od razu dwie sztuki i drugą trzymać w domu w sejfie razem z paszportami i zapasem gotówki, jeżeli takowy posiadamy)
Uwaga: na razie jedyny bank w Polsce obsługujący klucze sprzętowe to ING.
Jeżeli mamy w banku jakieś większe pieniądze a nie ciągłe debety, to warto założyć oddzielny numer telefonu (prepaid w taryfie zapewniającej bezterminową ważność konta) wykorzystywany tylko do rejestrowania się w banku (i ewentualnie serwisach takich jak Gmail). Tego numeru nikomu nie podajemy, więc nie będzie powiązany z nami publicznie lub półpublicznie, tak jak nasz codzienny telefon wykorzystywany do komunikacji.
Kartę SIM z tym numerem możemy włożyć do naszego podstawowego telefonu, jeżeli mamy model obsługujący dwie karty SIM, albo do jakiegoś starego telefonu (najlepiej starego nie-smartfona, jakiejś Nokii czy Samsunga).
Stary smartfon z Androidem czy iOSem bez aktualizacji nie jest bezpiecznym urządzeniem (w końcu punkt 1 to “Zawsze aktualizuj oprogramowanie kiedy tylko pojawią się aktualizacje”).
Jeżeli mamy smartfona który ciągle ma aktualizacje, to możemy też na nim trzymać aplikację do uwierzytelniania dwuskładnikowego (jest dużo serwisów, które nie obsługują U2F, a na tych, które obsługują należy mieć jakąś rezerwową metodę uwierzytelniania; niezłą opcją jest wtedy aplikacja na leżącym w szufladzie smartfonie mającym normalnie wyłączone wifi i połączenia internetowe; przy używaniu trzeba upewnić się, że telefon pokazuje prawidłowy czas, bo aplikacje TOTP generują kod w oparciu o datę, godzinę i minutę, jeżeli telefon z aplikacją pokazuje złą godzinę to wygeneruje nieprawidłowy kod). - Wybierz jako telefon iPhone z iOS 16 i włącz na nim Lockdown Mode – tryb, w którym funcjonalność telefonu jest znacząco pogorszona, ale przejęcie go przez malware typu Pegasus jest znacząco utrudnione.
Smartfony bardzo trudno jest dobrze zabezpieczyć, ale iOS16, który będzie dostępny od jesieni 2022 roku ma mieć specjalny tryb, który znacząco zmniejsza powierzchnię ataku dla Pegasusa i innych tego typu programów: blokuje większość załączników, uniemożliwia obcym osobom nawiązywanie z nami połączeń FaceTime, uniemożliwia połączenie się z urządzeniem po kablu, wyłącza część funkcji przyśpieszających przeglądarkę w telefonie, przez co będzie działać wolniej, ale bezpieczniej itp. Lockdown Mode w iOS16 można będzie włączyć również na iPadach oraz na komputerach Mac z macOS Ventura.
Alternatywnie,wybierz jeden z nowych Pixeli i zainstaluj na nim GrapheneOS – system stworzony specjalnie z myślą o wysokim poziomie bezpieczeństwa.
Jeżeli masz starsze urządzenie i nie masz możliwości inwestycji w bezpieczny telefon, to opcją jest również zainstalowanie DivestOS (który jest oparty o LineageOS), z tym że z odblokowanym bootloaderem urządzenie zawsze będzie podatniejsze na ataki, jest to istotny element zabezpieczenia urządzenia (dlatego GrapheneOS jest dostępny tylko na Pixele, bo mają one funkcję verified boot i możliwość ponownego zablokowania bootloadera po zainstalowaniu nowego systemu).
Poziom 4: aktywna paranoja.
Pogodzenie się z wysokim poziomem niewygody w celu maksymalnego utrudnienia ataków ze strony upartych atakujących z wysokim poziomem zasobów. To nadal nie zapewnia 100% bezpieczeństwa – nic nie zapewnia, komputery są ze swojej natury niebezpieczne a komputery podłączone do sieci zawsze będą podatne na ataki, o których wiedzą tylko hakerzy, a twórcy zabezpieczeń jeszcze nie.
Aby uniknąć śledzenia w Internecie należy przygotować sobie USB z którego będziemy uruchamiać system TAILS, wszystkie połączenia będą wtedy kierowane przez sieć TOR.
Do rejestracji konta w mediach społecznościowych, które ma być odporne na możliwość procesu typu SLAPP można wykorzystać kartę SIM kupioną już zarejestrowaną lub kupioną z allegro kartę SIM z numerem z Czech (co zakłada zaufanie, że sprzedawca nie zapisuje jaki numer komu sprzedał – bezpieczniejszą alternatywą jest znalezienie fizycznego sklepu sprzedającego takie karty i płatność gotówką). Warto jednak pamiętać, że jeżeli będziemy chodzić po mieście z dwoma telefonami z różnymi kartami SIM, to ustalenie, że ten drugi numer telefonu należy do nas jest trywialnie proste. Wymiana karty SIM w telefonie zapewnia zerową anonimowość, ponieważ sieć rejestruje również unikalny identyfikator telefonu IMEI, konieczne jest stosowanie innego aparatu, nie powiązanego z nami (Bezpieczeństwo operacyjne jest trudne, nawet szpiedzy wpadają)
Możemy też na komputerze zaszyfrowanym VeraCrypt mieć ukryty system operacyjny: jeżeli wpiszemy jedno hasło, pokazuje się system operacyjny 1 (na którym mamy zdjęcia kotków i trochę nieistotnych dokumentów), a kiedy wpiszemy inne hasło pokazuje się system operacyjny 2 (z tajnymi danymi). Nie polecam, testowałem kiedyś, bardzo upierdliwe, ale ogólnie poziom 4 to raczej przerost formy nad treścią o ile nie jesteśmy Edwardem Snowdenem, Reality Winner czy Julianem Assange.
Ogólnie: jeżeli chcemy być zabezpieczeni na tym poziomie to nie opieramy się o jeden poradnik w sieci tylko prowadzimy ciągłe kształcenie i doskonalenie zawodowe. Co zresztą jest dobrym pomysłem również na niższych poziomach bezpieczeństwa, ale dla paranoików jest absolutnie niezbędne.
Rodzaje zagrożeń
Jeżeli działamy politycznie, to istnieją trzy istotne potencjalne zagrożenia:
- Cyberprzestępcy. Przestępczość internetowa jest niezłym źródłem dochodów. Dzięki kryptowalutom “rynek” ransomware odnotowuje imponujący wzrost z roku na rok, z czym wiąże się ryzyko tego, że pewnego dnia zobaczymy odkryjemy że wszystkie nasze dokumenty i fotografie są zaszyfrowane a przestępcy domagają się okupu typu 500 dolarów w kryptowalucie.
- Przeciwnicy polityczni (ta kategoria obejmuje zarówno kogoś, kto jest zwolennikiem przeciwnej opcji politycznej jak i zagraniczne służby usiłujące namieszać w polityce danego kraju).
- Służby siłowe w kraju staczającym się w stronę autorytaryzmu (pozdrowienia dla oficera prowadzącego).
Do zabezpieczenia się przed państwowym aparatem przymusu trzeba podejść trochę inaczej niż do zabezpieczenia przed cyberprzestępcami i hackerami na usługach Władimira Władimirowicza czy Kubusia Puchatka czy innego NSA.
Co mogą służby z punktu widzenia technicznego:
Łatwo, szybko i bezproblemowo:
– namierzyć lokalizację dowolnego włączonego telefonu w Polsce [ważne: to nie jest tak, że super szybko mogą namierzyć historię gdzie ten telefon był wcześniej]
– uzyskać podstawowe informacje nt. wszystkich naszych połączeń z ostatnich dwóch lat (z jakim numerem się łączyliśmy, ile trwała rozmowa, z jakim nadajnikiem się łączyliśmy)
– przeczytać zawartość niezaszyfrowanego telefonu, jeśli już go nam zabiorą
Legalnie ale trochę bardziej upierdliwie:
– przeczytać nasze SMSy z ostatnich dwóch lat
– przyjść z nakazem przeszukania, zabrać wszystkie komputery, dyski, pendrive’y itp. z domu i przejrzeć wszystko co na nich jest w poszukiwaniu czegoś, za co można postawić jakieś zarzuty
Nie wiadomo czy legalnie i dość kosztownie, niskie, ale nie zerowe ryzyko:
– bardziej prawdopodobne: przejąć nasz telefon i dzięki temu czytać na bieżąco nasze wiadomości niezależnie od tego, czy mamy różnej maści Signale czy WhatsAppy oraz przerobić go na podsłuch (jest wiele firm oferujących oprogramowanie do przejmowania telefonów, wiemy że CBA kupiło od Izraela system Pegasus)
– mniej prawdopodobne: włamać się do komputera i czytać nasze wiadomości nawet jeżeli są szyfrowane podczas przesyłania, oraz przerobić go na podsłuch (jeżeli ma mikrofon/kamerę)
Jak nie zostać namierzonym kiedy idzie się na demonstracje
Pomaga:
– nie branie telefonu: zalety: nie da się namierzyć czegoś czego nie ma; wady: posiadanie kamery czy aparatu pomaga nagrywać i upubliczniać co się dzieje
– wyłączanie telefonu/tryb samolotowy: w 99% przypadków wystarcza
Nie pomaga:
– unikanie apki Stop Covid czy co tam; to zupełnie nic nie zmienia
Hasła
Same mocne hasło nie wystarczy do zapewnienia sobie bezpieczeństwa, ale słabe hasło gwarantuje brak bezpieczeństwa.
Nawet jeżeli korzystamy z managera haseł, to i tak będziemy potrzebować jakiegoś krótkiego i w miarę mocnego 8-10 znakowego hasła do lokalnego konta użytkownika w systemie operacyjnym, przyda się również do smartfona.
Możemy wykorzystać pierwsze litery jakiegoś mało znanego zdania czy wiersza. Ale nie może być to jakiś znany i powszechnie stosowany cytat. Hasło takie jak L,om!Tjjz jest dość podatne na łamanie: aplikacje do łamania haseł posiadające w korpusie tekst Pana Tadeusza szybko ustalą, że są to pierwsze litery zdania: “Litwo, ojczyzno moja! Ty jesteś jak zdrowie”, chociaż oczywiście jest to lepsze niż polecane przez rząd w poradniku dla parlamentarzystów zastąpienie a przez @, s przez $ i spacji przez % w zdaniu “Mam psa”. Nie, M@m%p$a to nie jest dobre hasło – aplikacje do łamania haseł też wiedzą, jakie litery można łatwo podmienić na jakie symbole.
Jednak lepsze jest wylosowanie krótkiego hasła, a następnie dorobienie do niego wstecznie jakiegoś nawet nonsensownego zdania. Do tworzenia angielskojęzycznych zdań dla losowych 10-znakowych haseł można skorzystać z tabelki na blogu Diceware:
http://diceware.blogspot.com/2013/12/making-random-letter-passwords-memorable.html
I tak na przykład wylosowanie hasła MFWTTRQACR daje nam zdanie Mary’s fine wolves timidly tackle rude queens arousing cold refreshment. Można oczywiście losować krótsze hasła (Mary’s fine wolves timidly tackle rude queens daje nam 7 znaków), można też wylosować jakieś liczby do wstawienia w zdanie (Mary’s 3 fine wolves timidly tackle 10 rude queens czyli M3fwtt10rq)
Manager haseł (KeePassXC, BitWarden, 1Password) to podstawa. Pamiętamy jedno hasło – to do managera – reszta powinna być losowa i wygenerowana przez manager. Jeżeli korzystamy tylko z Firefoxa zarówno na komputerze jak i na smartfonie, to możemy użyć wbudowanego managera haseł (Firefox Lockwise), zabezpieczając go silnym, losowym Master Password.
Czemu ważne jest bardzo silne hasło: bo hasła są łamane przez komputery i coś, co nam wydaje się trudne do zgadnięcia dla systemu stworzonego specjalnie z myślą o łamaniu haseł może okazać się trywialne do złamania. Dlatego hasła muszą być losowe i długie (co oznacza wysoką entropię, czyli nieprzewidywalność). Wtedy do porządnego zabezpieczenia naszych danych potrzebujemy tak naprawdę dwóch mocnych, sześciowyrazowych haseł: jednego do szyfrowania dysku i drugiego do managera haseł takiego jak Bitwarden, Keepass czy 1Password.
https://trybawaryjny.pl/silne-haslo/#Jak-utworzy-haso-frazowe
Lista wyrazów polskich: https://kwestiabezpieczenstwa.pl/wp-content/uploads/dicelist-pl.txt
Lista wyrazów angielskich: https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt
Entropia w losowaniu sześciu wyrazów jest tak wysoka, że złamanie takiej kombinacji zajmie bardzo dużo czasu, tymczasem jeżeli używamy hasła typu imię_zwierzaka_urodziny_dziecka_miasto_z_którego_pochodzi_mąż to jego złamanie jest trywialnie proste dla komputera.
Kluczem jest to, żeby hasło było losowane a nie wybierane, ale naprawdę losowane: stąd wykorzystanie 5 sześciościennych kości do gry do wylosowania każdego z wyrazów. Jeżeli masz pomysł na bardzo dobre, nie do złamania hasło to możesz je wpisać do https://password.kaspersky.com/pl/ żeby zobaczyć, czy na ten sam pomysł nie wpadł już wcześniej ktoś, kto został potem zhakowany i hasło nie znajduje się w bazie używanych haseł, a potem wziąć i wyrzucić to hasło niezależnie od wyniku, bo przecież właśnie wpisałeś je w jakiś serwis internetowy i może ktoś je sobie zapisał.
Korzystając z listy wyrazów polskich możesz zmienić przypadek niektórych wyrazów lub użyć jakiegoś maluteńkiego zdrobnionka, żeby zwiększyć przestrzeń potencjalnych łamanych haseł.
Możesz też skorzystać z hasłowatora: https://securitymb.github.io/hasla/ lub programu PWGen: https://pwgen-win.sourceforge.io/ w połączeniu z plikiem z polskimi słowami o długości do 12 znaków (4-słowowe hasło ma wtedy prawie 67 bitów entropii, czyli więcej niż 5 ale mniej niż 6 słów losowanych ze słownika Diceware, 5-słowowe hasło ma 87 bitów entropii, czyli prawie tyle co 7 słów losowanych kostkami z Diceware) lub z plikiem z polskimi słowami o długości do 8 znaków (5-słowowe hasło ma 80 bitów entropii czyli stanowi rozsądne minimum odpowiadające 6 słowom z Diceware).
https://hell.pl/leslie/polskie_slowa_bez_pliterex_max12.txt
https://hell.pl/leslie/polskie_slowa_bez_pliterex_max8.txt
Dla miłośników gier fabularnych Electronic Frontier Foundation ma również listy słów do losowania przy uzyciu 3K20, z tematyką (do wyboru) Star Wars, Star Trek, Game of Thrones itp: https://www.eff.org/deeplinks/2018/08/dragon-con-diceware
Ale sam manager haseł nie rozwiązuje problemu przejęcia głównego adresu e-mail wykorzystywanego do resetowania haseł na pozostałych kontach metodą “inżynierii społecznej”: https://www.dobreprogramy.pl/bezpieczenstwo-w-sieci-to-fikcja,6628001005500545a https://www.wired.com/2012/11/ff-mat-honan-password-hacker/
Dlatego do kluczowych serwisów (czyli mediów społecznościowych jeżeli działa się w polityce oraz do bankowości internetowej) zakładamy oddzielny adres e-mail z nazwą użytkownika typu “trzy.losowe.wyrazy”, oraz nie używamy pytań pomocniczych do odzyskiwania hasła, typu “Jakie jest panieńskie nazwisko Twojej matki” (do wyguglania) czy “Na jakiej ulicy mieszkałeś w podstawówce” (często też możliwe do ustalenia). Jeżeli serwis wymaga od nas podania takich pytań pomocniczych to jako odpowiedzi używamy losowych, 20 czy 30-znakowych haseł wygenerowanych w managerze haseł (“Jakie jest panieńskie nazwisko Twojej matki?” “w&uj$229*YUw!aTJX33n”).
Uwierzytelnianie dwuskładnikowe
Wszędzie gdzie mamy taką opcję ustawiamy uwierzytelnianie dwuskładnikowe (nazywane czasem 2FA, od “two factor authentication”) przy użyciu aplikacji w smartfonie albo, jeszcze lepiej, sprzętowego klucza U2F (Google umożliwia wykorzystanie telefonu z Androidem 7+/iOS 10+ jako klucza U2F, ale wyłącznie do produktów Google) tam, gdzie jest obsługiwany (Google, Facebook, Twitter, Bitwarden, Dropbox): https://bezpieczny.blog/co-to-jest-yubikey/
Nawet jeżeli mamy klucz U2F, to i tak będziemy potrzebować aplikacji obsługującej kody TOTP (FreeOTP, Authy, Google Authenticator, Microsoft Authenticator, Duo itp.), bo mnóstwo serwisów nie obsługuje jeszcze U2F (na przykład ProtonMail zapewniający szyfrowaną pocztę obsługuje tylko aplikacje 2FA).
Przy ustawianiu uwierzytelniania dwuskładnikowego nie używamy SMSów jako zapasowej formy odzyskiwania hasła, tylko generujemy “kody zapasowe” (zazwyczaj 10 jednorazowych, długich kodów), które drukujemy czy zapisujemy na karteczce i chowamy w bezpiecznym miejscu, tam gdzie paszporty (np. w szufladzie biurka, bo raczej nie mamy w domu sejfu), a jeżeli chcemy być jeszcze bardziej bezpieczni, to kopiujemy w formie pliku tekstowego na co najmniej dwa zaszyfrowane, bezpieczne nośniki.
Jeżeli mamy klucz U2F i telefon z Androidem 7+/iOS 10+ z Google Smart Lock (lub dwa klucze U2F) oraz konto na Gmailu to włączamy Google Advanced Protection: https://landing.google.com/advancedprotection/
Klucze U2F mają sporo wad: wykorzystuje je niewiele serwisów (np. z managerów haseł tylko Bitwarden), obsługa na smartfonach jest problematyczna (trzeba mieć wersję z NFC i smartfon z NFC i używać Chrome albo Firefoxa), sporo kosztują, a w zasadzie należałoby od razu kupić dwa i do każdego serwisu skonfigurować obydwa i rezerwowy trzymać w szufladzie czy w sejfie.
Mają też jedną gigantyczną zaletę: zabezpieczają nas przed tzw. “spear-phishing”, czyli podszywaniem się przez przestępców pod pomoc techniczną w celu “resetu hasła” (w ten sposób rosyjscy hakerzy zdobyli maile Johna Podesty, szefa sztabu Hillary Clinton przed wyborami w 2016 roku). Jeżeli złapiemy się na taki mail i wpiszemy hasło, to dostaniemy informację “teraz wprowadź kod uwierzytelniający”, i jak wprowadzimy to system hackerów automatycznie zaloguje się na nasze konto kodem, który sami wprowadziliśmy. Klucz U2F zobaczy, że link nie prowadzi do Google, tylko do innej strony i nie zadziała.
Szyfrowanie danych w komputerze
Wszystkie urządzenia na jakich masz jakiekolwiek informacje powinny być zaszyfrowane. Nawet, jeżeli nie ma tam nic interesującego. To ta sama zasada co ubieranie się w ciemne, w miarę jednolite ubrania na protest: utrudnienie pracy aparatowi przymusu. Ponadto na dyskach SSD bezpieczne usunięcie pliku jest praktycznie niemożliwe, więc nawet jeżeli teraz nie masz nic interesującego to zaszyfruj swój dysk SSD na wszelki wypadek na przyszłość, bo jeżeli coś interesującego na niego skopiujesz, to usunięcie tego będzie praktycznie niemożliwe.
Szyfrowanie w Windows: Windows 10 lub 11 Pro, Enterprise i Education mają wbudowanego BitLockera, który jest wygodny, ale włączenie hasła przed załadowaniem systemu wymaga trochę kombinowania (i układu TPM na płycie głównej, w laptopie prawie na pewno będzie ale w komputerze stacjonarnym niekoniecznie).
UWAGA: podczas szyfrowania dysku BitLockerem generowany jest “Recovery Key” (plik tekstowy zawierający 8 grup po 6 cyfr). Ten klucz należy koniecznie zapisać w bezpiecznym miejscu (czyli nie na szyfrowanym komputerze, ale też nie na karteczce w szufladzie). W przypadku wystąpienia jakiegoś problemu z szyfrowaniem trzeba go będzie podać żeby uzyskać dostęp do danych, ale jeżeli ktoś znajdzie karteczkę czy niezaszyfrowany pendrive z zapisanym kluczem, to może ominąć hasło i dostać się do danych przy użyciu klucza. Jeżeli komputer automatycznie szyfruje dysk BitLockerem, to najprawdopodobniej Recovery Key jest zapisany na koncie Microsoftu powiązanym z tym komputerem – dzięki czemu będziemy mogli odzyskać swoje dane jeżeli zapomnimy hasła, ale też istnieje możliwość że Microsoft przekaże ten klucz po otrzymaniu nakazu sądowego (chociaż ryzyko to jest niewielkie, bo amerykańskie korporacje zwykle niespecjalnie się przejmują polskimi organami ścigania)
Dowolny system operacyjny można zaszyfrować przy pomocy programu VeraCrypt: https://www.veracrypt.fr/ – instrukcja szyfrowania, patrz załącznik 1.
WAŻNE: zrób kopie zapasowe wszystkich danych i trzymaj je na zaszyfrowanym dysku z backupami i/lub w zaszyfrowanej chmurze. Jeżeli masz jakieś informacje w Google Docs, Dropboksie czy innej usłudze tego typu, to jest ryzyko że prokuratura uzyska do nich dostęp.
Szyfrowanie danych w telefonie
Współczesne telefony (iOS od wersji 8, Android od wersji 6.0) mają domyślnie zaszyfrowaną pamięć, ale żeby to zadziałało musisz mieć ustawiony PIN (lub mocniejsze hasło alfanumeryczne). Hasła są niewygodne do wprowadzania, zwłaszcza jeżeli nie mamy opcji logowania się odciskiem palca, rozsądnym kompromisem jest PIN mający więcej niż 4 cyfry (np. 6 lub 8).
Jeżeli telefon ma “tryb awaryjny” (zwykle aktywowany przez szybkie wciśnięcie 5 razy przycisku zasilania lub wciśnięcie na raz przycisku zasilania i głośności), blokujący logowanie biometryczne, to można ustawić mocniejsze hasło alfanumeryczne (np 10 znaków) i w normalnym użytkowaniu logować się przy użyciu odcisku palca – podanie długiego hasła będzie konieczne po ponownym uruchomieniu telefonu, po kilku godzinach bez używania lub po włączeniu trybu awaryjnego.
Androidy zwykle nie mają zaszyfrowanej karty pamięci: jeżeli się ją zaszyfruje, to nie będzie można jej odczytać w innym urządzeniu (np. czytniku podłączonym do komputera), więc mamy do wyboru bezpieczeństwo albo wygodę. Teoretycznie mając zrootowanego Androida można sobie skopiować na komputer klucz stosowany do szyfrowania karty SD i potem ją podmontować, ale jest to mocno upierdliwe i trzeba ten klucz mieć przegrany przed awarią, po której odkryjemy, że telefon umarł, mamy tylko dane na karcie SD ale nie mamy ich jak odzyskać, więc w praktyce nie można.
Backup systemu w chmurze może być przekazany prokuraturze, lepiej korzystać z adb lub iTunes na komputerze. Podobnie z automatycznym wysyłaniem zdjęć w chmurę: chroni nas przed utratą telefonu, ale jest to kolejne miejsce, z którego te zdjęcia może zdobyć ktoś inny.
Kopie zapasowe
Kopie zapasowe to bardzo ważna rzecz. Utrata danych jest bardzo bolesna, dlatego zawsze należy mieć co najmniej jedną kopię zapasową wszystkich ważnych danych, a najlepiej dwie: jedną w domu, drugą w chmurze.
Robisz kopie zapasowe, PRAWDA!? Ja mam jedną kopię bezpieczeństwa na dysku zewnętrznym (który normalnie leży w szufladzie i jest dzięki temu w 100% bezpieczny przed atakami ransomware, czyli wirusów szyfrujących dane i domagających się okupu w kryptowalucie za ich odszyfrowanie) i drugą w szyfrowanej chmurze.
Zewnętrzny dysk z danymi, na którym trzymamy kopie zapasowe też oczywiście trzeba zaszyfrować. Bez sensu mieć zaszyfrowany komputer i te same informacje w formie kopii zapasowej na zewnętrznym dysku lub na Dropboksie bez szyfrowania.
Z rozwiązań zapewniających szyfrowane przechowywanie danych w chmurze sync.com daje za darmo 5GB przestrzeni, Icedrive daje za darmo 10 GB, a mega.nz daje za darmo 20 GB.
Możesz też założyć konto na Keybase, które zapewnia 250 GB szyfrowanej chmury za darmo, ale KeyBase zostało w maju 2020 roku wykupione przez Zooma i od tej pory nie jest rozwijane, więc w dowolnym momencie może się okazać że zamkną tę możliwość (tak jak kiedyś Flicker oferował 1 TB przestrzeni za darmo na przechowywanie zdjęć a potem przestał).
Jeżeli masz konto na którymś z popularnych serwisów takich jak Dropbox, Google Drive czy OneDrive to możesz użyć Cryptomatora albo Boxcryptora do zaszyfrowania przechowywanych tam danych.
Dostępne są też płatne usługi robienia kopii zapasowej całego komputera, które mają opcję zaszyfrowania kopii własnym hasłem: Backblaze, Carbonite, CrashPlan czy Nordic Backup. To koszt rzędu 60 czy 70 dolarów rocznie, niezależnie od tego ile masz danych na swoim komputerze. Musisz jednak pamiętać, że w ich przypadku opcja pełnego szyfrowania (taka że nie ma opcji “odzyskaj hasło”) musi być włączona dodatkowo – bo większość użytkowników jest przyzwyczajona do tego, że opcja “odzyskaj hasło” jest dostępna.
Do szyfrowania kopii zapasowej można użyć samego hasła, co do szyfrowania dysku twardego – o ile oczywiście jest to mocne hasło czyli sześć losowych wyrazów. W przypadku zaszyfrowanych kopii zapasowych bardzo, bardzo, bardzo ważne jest żeby tego hasła nie zapomnieć, więc korzystanie z bardzo rzadko używanego i jednocześnie bardzo skomplikowanego hasła to proszenie się o nieszczęście.
Bezpieczna komunikacja w Internecie
Zasadniczo nie ma czegoś takiego, jak w 100% bezpieczna komunikacja, chyba że mamy specjalne ekranowane pomieszczenie sprawdzane na obecność podsłuchów, w którym możemy z kimś porozmawiać w cztery oczy. No ale są sposoby bardziej i mniej bezpieczne: e-mail czy SMS to odpowiednik przesyłania informacji pocztówkami, ale można też przesłać coś listem w pancernej kopercie (czyli komunikacją szyfrowaną).
Kiedy korzystamy z Internetu to nasz dostawca usług wie dokładnie, co robimy: jakie serwisy odwiedzamy i jak długo na nich przebywamy jeżeli są zabezpieczone (https://) a także co z nich pobieramy i co do nich wysyłamy jeżeli nie są (http://).
Wiedza dostępna dostawcy usług jest bardzo łatwo dostępna służbom. Dlatego VPN jest bardzo ważny. Najlepiej płatny – darmowe VPNy albo sprzedają nasze dane, albo oferują bardzo powolne łącze, albo jedno i drugie.
Jeżeli nie mamy pieniędzy na VPNa zawsze opcją jest zainstalowanie przeglądarki Tor Browser, która pozwala na anonimowe przeglądanie Internetu: https://www.torproject.org/download/
(Jeżeli robimy coś wymagające anonimowości to z Tor Browser można korzystać również przez niektóre VPNy) Uwaga: przeglądarka Tor nie uruchamia się powiększona na cały ekran i nie należy jej powiększać na cały ekran, bo to ułatwia zidentyfikowanie nas w Internecie.
E-maile
Infrastruktura e-maili nie została stworzona z myślą o bezpiecznej komunikacji. Można chronić treść maila przy użyciu szyfrowania PGP/GPG, ale metadane i tak będą widoczne w internecie dla każdego komputera na drodze e-maila z punktu A do punktu B, przy czym szyfrowanie maili jest dość uciążliwe.
Google czyta nam wszystkie maile w skrzynce gmailowej, żeby lepiej wiedzieć, jakim reklamodawcom nas sprzedawać, ale jeżeli wysyłamy e-mail z naszego konta na gmailu do czyjegoś konta na gmailu to przynajmniej nie wychodzi na szerokie wody Internetu.
Z szyfrowanej poczty szwajcarski ProtonMail szyfruje wszystkie e-maile na swoich serwerach, więc administratorzy nie wiedzą, co piszemy (chociaż wiedzą, do kogo piszemy: metadane mówią dużo o naszej komunikacji) i umożliwia szyfrowaną korespondencję e-mailową: automatycznie z innymi osobami mającymi konta na ProtonMailu, a z osobami korzystającymi z innych serwerów pocztowych jeżeli osoby używają one PGP, ale nie ma opcji zaimportowania własnego, wygenerowanego wcześniej klucza PGP.
Pobranie publicznego klucza z naszego konta ProtonMail i wgranie go Facebookowi w opcjach bezpieczeństwa spowoduje, że wszystkie e-maile wysyłane do nas przez Facebook będą zaszyfrowane.
Warto jednak pamiętać, że jeżeli nasz komputer zostanie przejęty przez malware (albo zostanie zabrany/zgubiony/ukradziony a nie mamy pełnego szyfrowania dysku), to wiadomości pobrane na dysk (do lokalnego klienta poczty typu Thunderbird) nie będą zaszyfrowane.
Komunikatory
SMSów nie należy używać do niczego. To takie pocztówki, bardzo łatwe do przechwycenia i archiwizowane na 2 lata.
Do bezpiecznej komunikacji dużo łatwiej, wygodniej i bezpieczniej jest wykorzystywać komunikator taki jak Signal, Wire czy WhatsApp, instalowane na telefonie (który służy za miejsce przechowywania kluczy do szyfrowania).
Z tych wszystkich opcji najbezpieczniejszy jest Signal. Dodatkowo, w Signalu należy do ważnych konwersacji włączyć opcję kasowania wiadomości po jakimś czasie: krótkim jeżeli omawiamy naprawdę tajne rzeczy, dłuższym typu dzień czy tydzień jeżeli przekazujemy tam informacje, które mogą się potem przydać (np. “gdzie się spotykamy”). W “Ustawienia -> Prywatność -> Domyślny czas dla nowych rozmów” można ustawić domyślny czas znikania wiadomości dla wszystkich nowych rozmów, np. na 4 tygodnie albo na tydzień.
Signal i WhatsApp mają klienta na komputery, który po zsynchronizowaniu przez zeskanowanie kodu QR telefonem umożliwia potem komunikację z komputera. To wygodne, ale oczywiście oznacza trochę większą powierzchnię ataku dla przeciwników.
Telegram oraz Facebook Messenger też są bezpieczniejsze od SMSów (wszystko jest bezpieczniejsze od SMSów), ale domyślnie nie szyfrują komunikacji w całości, więc administrator serwera ma dostęp do treści wiadomości. Oba mają specjalny tryb “tajny”, który ma pełne szyfrowanie i znikające wiadomości, ale działa tylko do komunikacji z telefonu nadawcy z telefonem odbiorcy (nie można napisać do kogoś tajnej wiadomości z Facebooka w przeglądarce na komputerze), no i przede wszystkim trzeba go włączyć.
Do szyfrowania “tajnych wiadomości” w Facebook Messengerze jest wykorzystywany ten sam algorytm szyfrowania co w WhatsApp – algorytm Signala. Różnica między Signalem a WhatsAppem, Telegramem czy FB Messengerem w trybie tajnym jest taka, że Signal nie przechowuje absolutnie żadnych metadanych (czyli “kto z kim rozmawiał i jak długo”), jedynie ostatni dzień, kiedy dany użytkownik łączył się z serwerem.
Główną wadą Signala jest to, że do zarejestrowania potrzebny jest numer telefonu (chociaż można i należy zabezpieczyć się dodatkowo PINem, który chroni przed atakiem “SIM swap”, czyli opowiedzeniem w salonie operatora komórkowego smutnej historii o zgubieniu telefonu w celu dostania nowej kopii karty SIM), w związku z czym jest on naszym identyfikatorem: jeżeli chcemy się z kimś skontaktowac, musimy mu podać ten numer.
Jeżeli potrzebujemy szyfrowanego komunikatora nie wymagającego podania numeru telefonu (bo chcemy skontaktować się z kimś, komu nie chcemy podać numeru), to Wire Secure Messenger umożliwia zarejestrowanie się na adres e-mail (a ProtonMail umożliwia założenie e-maila bez podawania numeru telefonu).
Wideokonferencje
Zarówno Signal jak i WhatsApp umożliwiają szyfrowane rozmowy głosowe i połączenia wideo dla grup do 8 osób, przy czym klient WhatsAppa na komputery obsługuje tylko rozmowy jeden-na-jeden.
Do telekonferencji z komputera na więcej osób Jitsi Meet (https://meet.jit.si) ma funkcję end-to-end encryption (włączaną przez ikonę tarczy w prawym dolnym rogu, pod opcją podania hasła do dołączenia do telekonferencji, z której to opcji również należy skorzystać, przesyłając hasło zaszyfrowanym kanałem takim jak np. Signal). Szyfrowane telekonferencje w jitsi meet są możliwe tylko przy użyciu przeglądarek opartych o silnik Chromium wersja 83 i nowsza (czyli Brave, Chrome, Microsoft Edge i Opera; z punktu widzenia ochrony prywatności najlepszą opcją jest Brave).
Strona https://jitsi.random.redirect.de/ przerzuca do najmniej obciążonego serwera Jitsi Meet w okolicy, ale one mogą jeszcze nie obsługiwać szyfrowania.
Zoom również obsługuje szyfrowanie end-to-end, ale konieczne jest włączenie go przez administratora. Szyfrowane spotkania na Zoomie nie mają części funkcji (takich jak nagrywanie spotkania w chmurze) i mają zieloną ikonę tarczy w lewym górnym rogu.
Oprogramowanie do współpracy zdalnej
Dokumenty/Arkusze/Prezentacje/Formularze Google są bardzo wygodne, ale są Googla, więc płacimy za ich jakość swoimi danymi. Dostępne są różne podobne, ale otwarte narzędzia:
Etherpad to odpowiednik Google Docs, oprogramowanie do zdalnej do pracy nad dokumentem przez wielu użytkowników na raz. Nieszyfrowane.
https://etherpad.random-redirect.de/
Cryptpad to cały zestaw narzędzi biurowych w chmurze (edytor tekstu, arkusz kalkulacyjny, prezentacje itp.) który jest zaszyfrowany, przez co właściciel serwera nie może sobie oglądać tworzonego dokumentu, tak jak robi to Google (i jak może to zrobić admin etherpada).
https://cryptpad.random-redirect.de/
Noodle to otwarty odpowiednik Doodle pozwalający na ustalenie terminu na spotkanie:
https://poll.random-redirect.de/
Wrzucanie zdjęć i filmów do Internetu
Jeżeli filmujemy rzeczy typu “nieznani sprawcy sprejują płodowóz”, to należy co najmniej usunąć metadane, a najlepiej użyć aplikacji ObscuraCam, która pozwala na zamazywanie twarzy i automatycznie usuwa dane identyfikujące smartfona. Film/zdjęcie zrobione naszą standardową aplikacją można wysłać sobie samemu Signalem, który usuwa metadane z przesyłanych multimediów. Ale najlepiej nic nie wrzucać, bo uparty człowiek wiele znajdzie po pierdołach typu “numer seryjny buta” albo “charakterystyczny t-shirt”.
Jeśli filmujemy rzeczy typu “policja pałuje pokojową demonstrację”, to najlepiej streamować na żywo albo używać aplikacji automatycznie robiącej kopię w chmurze (na Androida: Mobile Witness), żeby przypadkowe trafienie w smartfona teleskopową pałką nie spowodowało utraty nagranych wcześniej informacji.
Dokumentacja filmowa (np. przemocy policyjnej): trzymamy telefon poziomo, nie pionowo, unikamy krótkich ujęć, filmujemy identyfikatory miejsca i czasu (np. tabliczka z nazwą ulicy). Jeżeli zakładamy, że będziemy na demonstracji filmować to trzeba pamiętać wychodząc na demonstrację o wzięciu naładowanego powerbanka. Przydatny może też być selfie-stick.
Kilka uwag na koniec
Wysokiej jakości konta pod pseudonimem wymagają niepowiązanego z nami numeru telefonu, ale są bardzo przydatne. ChromeOS z takim kontem Google jest niezłym rozwiązaniem dla osób nie mających bardzo wysokiego ogaru IT: ChromeOS jest bardzo bezpieczny i jest rekomendowanym systemem dla osób mogących być celem APT, ale przez powiązanie z kontem Google i trzymanie wszystkiego w chmurze przed prokuraturą z nakazem sądowym już nie chroni tak dobrze. Stary komputer można przerobić na ChromeOSa przy użyciu pendrive i oprogramowania ChromeOS Flex: https://chromeenterprise.google/os/chromeosflex/#intro-text
Jednak kupno Chromebooka “żeby było bezpiecznie” wiąże się z problemem natury ekologicznej: te urządzenia przestają być z czasem wspierane, a wtedy przestają działać:
https://www.pcworld.com/article/393324/77-chromebooks-you-shouldnt-buy-why-googles-expiration-dates-matter.html
Laptop z Windowsami albo Linuksem będzie działać przez dekady, najwyżej powoli, i będzie dostawać aktualizacje bezpieczeństwa, Chromebook nie. Dlatego lepiej używać “normalnego” laptopa z ChromeOS uruchamianym z pendrive z ChromeOS Flex.
Stary telefon można częściowo utwardzić przeciwko cyberprzestępcom przez instalację LineageOS (albo, lepiej, jego wersji skoncentrowanej na bezpieczeństwie, DivestOS: https://divestos.org/pages/devices). Rootowanie czy nawet samo odblokowanie bootloadera telefonu drastycznie utrudnia zabezpieczenie go przed policyjnym analitykiem, który ma pozyskać z niego dane, ale aktualizowany, zrootowany telefon będzie bezpieczniejszy niż stary Android, który ostatnią aktualizację dostał 8 lat temu i następnych nie będzie. Natomiast niestety stare smartfony są z zasady dziurawe i niebezpieczne. Pierwsza zasada bezpieczeństwa to instalacja aktualizacji, kiedy tylko się pojawią.
Większość smartfonów dostaje aktualizacje przez dość ograniczony okres. Nie ma więcej aktualizacji – nie ma bezpieczeństwa. Telefony, które nie mają wsparcia i aktualizacji nigdy nie mogą być sensownie zabezpieczone. Ogólnie telefony trudno zabezpieczyć, więc najlepiej nie trzymać tam żadnych istotnych danych, a we wszystkich rozmowach w Signalu mieć ustawione kasowanie wiadomości po godzinie czy dniu.
Więcej źródeł po polsku
Krótki poradnik oko-press: https://oko.press/jak-nie-byc-dworczykiem/
Poradnik Kuby Łuczaka opublikowany przez Federację Anarchistyczną Wrocław: https://wolnywroclaw.pl/serwis/stop-inwigilacji/
Poradnik fundacji Panoptykon:
https://panoptykon.org/poradnik-bingo-1-niebezpieczny-smartfon
https://panoptykon.org/poradnik-bingo-2-bezpieczenstwo-informacji-wybrane-narzedzia
https://panoptykon.org/poradnik-bingo-3-uwaga-kryzys
https://panoptykon.org/poradnik-bingo-6-wizyta-sluzb
Poradnik dla nauczycieli:
https://cik.uke.gov.pl/gfx/cik/userfiles/w-gunia/uke-bezpieczenstwo_komputerowe_szkoly._poradnik-final.pdf
Więcej źródeł po angielsku
https://howto.informationactivism.org/content/top-5-tips-digital-security-privacy.html
https://ssd.eff.org/en#index
https://opsec.riotmedicine.net/downloads/
https://www.wired.com/2017/12/digital-security-guide/
https://restoreprivacy.com/secure-home-network/ (i ogólnie cała strona restoreprivacy.com)
https://cpj.org/2019/09/digital-safety-diy-guides/
https://cpj.org/2018/09/digital-safety/
https://www.digitaldefenders.org/digital-first-aid-kit/
https://github.com/narwhalacademy/zebra-crossing
https://datadetoxkit.org/en/home
https://freedom.press/training/your-smartphone-and-you-handbook-modern-mobile-maintenance/
https://onlineharassmentfieldmanual.pen.org/
https://totem-project.org/
https://safeandsecure.film/introduction
https://www.fordfoundation.org/work/our-grants/building-institutions-and-networks/cybersecurity-assessment-tool/
https://arstechnica.com/features/2021/10/securing-your-digital-life-part-1/
https://arstechnica.com/information-technology/2021/10/securing-your-digital-life-part-2/
Historia zmian
1.0 – pierwsza publiczna wersja dokumentu
1.1 – łącze do instruktażowego YouTube dla szyfrowania VeraCryptem
1.2 – odpowiedź na pytanie, dodatkowe dwa artykuły z Ars Technica
1.3 – dodanie zinów o bezpieczeństwie operacyjnym z riotmedicine
1.4 – dodanie informacji o Lockdown Mode w iOS 16 dla trzeciego poziomu bezpieczeństwa
1.5 – dodanie informacji żeby raczej nie używać LastPassa i usunięcie go z listy polecanych
1.6 – dodanie GrapheneOS jako alternatywy dla iOS z Lockdown Mode, napisanie że ING obsługuje klucze U2F, polecanie DivesOS, drobne zmiany redakcyjne
Załącznik 1: pytania i odpowiedzi
Tutaj będą odpowiedzi na pytania zadane przez https://pad.riseup.net/p/tanczyla_spodnico_obozu-keep
Pytanie 1: co robić z Emergency Kitami generowanymi przez menedżery haseł (1password)
Odpowiedź: to jest jak zapisanie na kartce mocnego hasła do managera haseł/szyfrowania dysku. Jeżeli ryzyko że zapomnimy hasła istnieje, to warto sobie zapisać to hasło i je zachować w bezpiecznym miejscu, tylko kwestia co to jest “bezpieczne miejsce”.
Skrytka w banku jest bezpieczna jeżeli chcemy się zabezpieczyć przed cyberprzestępcami, ale prokuratura z nakazem sobie taką skrytkę przejrzy, więc lepiej zostawić to jakiejś zaufanej osobie – ale znowu, ta zaufana osoba musi wtedy to dobrze zabezpieczyć oraz nie zgubić, bo jak po trzech latach przyjdziemy do niej “stary, zapomniałem hasła do szyfrowania backupów, pamiętasz może że trzy lata temu dałem ci karteczkę do przechowania? To teraz ją oddaj” to się może okazać że jej nie znajdzie.
Niezłym patentem jest przypisanie “emergency access” innej bliskiej osobie (taką opcję ma LastPass czy BitWarden) – wtedy jeżeli zapomnimy hasła albo wylądujemy w więzieniu albo przejedzie nas autobus, to osoba ta może uzyskać dostęp do naszych haseł, przy czym to wymaga czasu (bo ta opcja zakłada że bliska osoba klika na “uzyskaj dostęp”, wtedy my dostajemy o tym powiadomienie na telefonie i możemy ten dostęp zablokować, a jak minie ustalony czas, typu 24 godziny, przez który nie zablokujemy to wtedy dostaje ona dostęp).
Załącznik 2: Instrukcja zaszyfrowania dysku przy pomocy programu VeraCrypt
UWAGA: przed rozpoczęciem procedury szyfrowania upewnij się, że masz kopię zapasową wszystkich ważnych danych. Kopie zapasowe ratują życie. W przenośni, nie dosłownie, oczywiście (chyba że w szpitalu, to wtedy dosłownie).
Film z instrukcją na YouTube: https://youtu.be/VoVtemQnTmY
Do szyfrowania dysku używamy darmowego i otwartego programu VeraCrypt, do pobrania ze strony veracrypt.fr, natomiast do utworzenia silnego hasła metodę diceware: rzuć sześć razy pięcioma kostkami sześciościennymi, każde pięć wyników odpowiada jednemu losowemu słowu z listy wyrazów polskich:
https://kwestiabezpieczenstwa.pl/wp-content/uploads/dicelist-pl.txt
lub z listy wyrazów angielskich:
https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt
Utworzone hasło składa się z 6 losowych wyrazów i jest nie do złamania w rozsądnym czasie obecną technologią.
Korzystając z listy wyrazów polskich możesz zmienić przypadek części wyrazów lub użyć jakiegoś maluteńkiego zdrobnionka, żeby zwiększyć przestrzeń potencjalnych łamanych haseł
Możesz też skorzystać z hasłowatora: https://securitymb.github.io/hasla/ lub programu PWGen: https://pwgen-win.sourceforge.io/ w połączeniu z plikiem z polskimi słowami o długości do 12 znaków (4-słowowe hasło ma wtedy prawie 67 bitów entropii, czyli więcej niż 5 ale mniej niż 6 słów losowanych ze słownika Diceware, 5-słowowe hasło ma 87 bitów entropii, czyli prawie tyle co 7 słów losowanych kostkami z Diceware) lub z plikiem z polskimi słowami o długości do 8 znaków (5-słowowe hasło ma 80 bitów entropii czyli stanowi rozsądne minimum odpowiadające 6 słowom z Diceware).
https://hell.pl/leslie/polskie_slowa_bez_pliterex_max8.txt
https://hell.pl/leslie/polskie_slowa_bez_pliterex_max12.txt
Do zaszyfrowania systemu wybierz opcję “Szyfruj partycję lub dysk systemowy” i typ “Normalny” – ukryte systemy operacyjne to opcja dla zaawansowanych i bardzo paranoicznych osób, mocno niewygodna w używaniu. Następnie wybierz szyfrowanie całego dysku. Nie wykrywaj obszarów HPA (czyli ukrytych partycji odzyskiwania itp.). Wybierz jeden system jeżeli masz jeden system operacyjny (czyli samo Windows albo sam Linux, i nic więcej).
Następnie wybierz algorytm AES do szyfrowania i SHA-512 jako funkcję skrótu (hash function), lub SHA-256 jeżeli SHA-512 nie jest dostępne (przy szyfrowaniu dysku MBR a nie GPT). Algorytm AES jest wystarczająco bezpieczny, a wszystkie współczesne procesory mają sprzętową akcelerację AES przez co wpływ na wydajność jest pomijalny.
Potem wpisz hasło dwa razy (jeżeli nie chcesz po wpisaniu hasła czekać pół minuty przy każdym uruchomieniu komputera i masz bardzo mocne hasło, czyli 6 losowych wyrazów, to możesz też podać PIM rzędu 5-9, wtedy dokładnie taki sam PIM trzeba będzie podać przy uruchamianiu komputera), a następnie przejdź do generowania losowości (czyli ruszaj myszką dopóki nie zapełni się pasek na dole).
Po wygenerowaniu losowości i przejściu dalej musisz utworzyć płytę ratunkową, czyli plik, z którego możesz zrobić USB pozwalający na uratowanie danych w razie problemów z szyfrowaniem.
Uwaga: to nie oznacza, że masz metodę na uratowanie się jeżeli zapomnisz hasła. NIE MOŻESZ ZAPOMNIEĆ HASŁA. Jeżeli zapomnisz hasła, to płyta ratunkowa nic nie da. Więc po co ona jest?
Zaszyfrowany dysk to masa wyglądających losowo danych (czyli pancerny, niezniszczalny sejf), a na początku malutki program (zamek), który po wpisaniu hasła (klucza) te dane odszyfrowuje. Jeżeli błąd sprzętowy lub programowy uszkodzi ten malutki program, to posiadanie klucza nic nie da, bo zamek będzie zepsuty. Więc musisz wykonać kopię zapasową zamka i zapisać ją na zewnętrznym dysku USB, w zaszyfrowanej chmurze, wgrać na telefon itp. – ogólnie w jakiś bezpieczny sposób zapisać w kilku kopiach.
Teraz przejść do testu tego, czy działa program deszyfrujący w bootloaderze: czyli sprawdzasz funkcjonowanie zamka przy zostawieniu drzwi w pozycji otwartej. Jeżeli zamek się zatnie, to danym nic się nie stanie. Wybierz test, uruchom ponownie komputer i wpisz hasło (oraz PIM jeżeli wybrałeś inny niż domyślny).
System się uruchomi ponownie i możesz zacząć szyfrowanie danych. W trakcie szyfrowania możesz pracować, możesz też zapauzować, wyłączyć komputer, a potem wznowić proces. Masz opcję “Wstrzymaj” – po kliknięciu zmienia się na “Wznów”. Przycisk “Opóźnij” pozwala na odłożenie szyfrowania na później.
Zaszyfrowany dysk można w razie czego odszyfrować opcją “System -> Trwale odszyfruj partycję lub dysk systemowy”.
BARDZO WAŻNE: jeżeli zapomnisz hasło, lub okaże się, że pamiętasz odrobinę złe hasło to Twoje dane będą nie do odzyskania. Trzymanie w szufladzie karteczki z zapisanym hasłem przez pierwszy miesiąc czy dwa i wyłączanie komputera zawsze po zakończeniu pracy spowoduje, że dzięki codziennemu wpisywaniu hasło-zdanie szybko wypali się w neuronach.
Tutaj mamy zaletę metody diceware: jeżeli masz gdzieś w bezpiecznym miejscu kartkę z samymi liczbami, to w oparciu o nie możesz wygenerować sobie hasło ponownie jeśli je zapomnisz. Możesz też na przykład zapisać te liczby stanowiące podstawę hasła ołówkiem na ostatniej stronie książki, którą pożyczysz przyjacielowi czy w jakiś inny sposób je zachować, na przykład w managerze haseł. Hasło generowane przez Hasłowator/PWgen czy ręczne odmienienie wyrazów wylosowanych przez Diceware musisz zapisać w całości, oczywiście.
Dla zwiększenia bezpieczeństwa zmień jeszcze dwa ustawienia:
Ustawienia -> Konfiguracja wydajności i sterownika -> Aktywuj szyfrowanie kluczy i haseł przechowywanych w RAM (zużywa 10% RAMu więcej)
Ustawienia -> Preferencje -> Używaj funkcji bezpiecznego pulpitu do wprowadzenia hasła
Kiedy masz zaszyfrowany dysk systemowy, ale masz też jeszcze inny dysk z danymi, to jego też musisz zaszyfrować. Procedura wygląda podobnie, ale bez konieczności tworzenia dysku ratunkowego, restartowania systemu i sprawdzania bootloadera. Wybierz “Wolumeny -> Utwórz nowy wolumen -> Zaszyfruj bezsystemową partycję lub dysk”, i ponownie “Standardowy wolumen”.
Następnie wybierz partycję z danymi i opcję “Zaszyfruj partycję w miejscu”, dzięki czemu znajdujące się na partycji dane nie zostaną utracone (pierwsza opcja, “Stwórz zaszyfrowany wolumen i sformatuj go” usuwa wszystkie dane z dysku).
Potem ponownie wybierz AES i SHA-512 i wprowadź hasło – takie same jak dla dysku systemowego. Następnie zbierz losowość i zaszyfruj dane.
Kiedy masz już zaszyfrowany dysk zewnętrzny to najpierw uruchom w Windows program “Tworzenie i formatowanie partycji dysków twardych” i odłącz literę, która została do niego automatycznie przypisana przez system (bo Windowsy będą proponować sformatowanie tego dysku kiedy będziesz wchodzić na tę literę), w VeraCrypt wybierz literę, pod jaką chcesz podłączyć zaszyfrowany dysk, następnie kliknij na “Wybierz urządzenie”, wybierz zaszyfrowany dysk z danymi i kliknij “Podłącz”, wprowadź hasło i dysk będzie dostępny.
Na koniec wybierz “Ulubione -> Dodaj montowany wolumen do ulubionych systemu” i dysk będzie automatycznie podłączany przy uruchomieniu Windowsów.
I gotowe, masz zaszyfrowany komputer, możesz na nim przechowywać informacje podpadające pod RODO, możesz planować demonstracje w obronie praw kobiet, możesz szykować akcje obywatelskiego nieposłuszeństwa związane z nadciągającą katastrofą klimatyczną, a możesz nie mieć na dysku żadnych kompromitujących materiałów ale i tak lepiej jest, kiedy wszyscy szyfrują dane.