Ustawa antyterrorystyczna/rejsitracja kart sim

[kosteko]

Obecnie korzystam z dostępu do sieci LTE na kartę prepaid. Już niedługo będę musiał ją zarejestrować najprawdopodobniej na siebie.
Chciałem się dowiedzieć czy istnieją jakieś sprzęty które mogły by zapisywać w logach historię z adresami mac? Tak że w razie czego miał bym dowody na swoją niewinność w razie gdyby ktoś korzystał z sieci w niewłaściwy sposób.
Drugą sprawą jest to czy warto wykupić dostęp do VPN żeby uchronić się przed inwigilacją? Jakoś tak niefajnie mieć świadomość że każdy mój ruch jest śledzony.
Zauważyłem też że ip pod którym jestem widoczny na stronach wykorzystywane jest przez więcej osób np oceny n speedtest.net Sam nie wystawiałem oceny ale ktoś już wystawił Mam nadzieję że operator odróżnia mnie od innych osób podpiętych pod to samo ip

[dvbx]

Zgodnie z ustawą karty które są już w użyciu podlegają rejestracji do 31.01.2017r. także spokojnie, masz jeszcze ponad pół roku.

[morfik]

Co do inwigilacji, to już od dawna twoje połączenia są rejestrowane, a log trzymany chyba 2 lata, czy coś koło. Poza tym, nikogo nie obchodzą zwykle surowe adresy IP, bardziej mają znaczenie nazwy domen i frazy wpisywane do wyszukiwarki. To drugie zwykle jest już szyfrowane, więc sobie zadbaj o zaszyfrowanie zapytań DNS i będziesz miał inwigilację w dużej części z głowy. Drugie poza tym, jeśli kupowałeś imiennie urządzenie sieciowe, które ci daje wyjście na świat, to pewnie przy odrobinie wysiłku dałoby radę ustalić twoje imię i nazwisko w oparciu o zgłaszane przez ciebie informacje do BTS. Także skoro nikt ci jeszcze krzywdy nie zrobił z tego powodu, znaczy, że albo nie robisz nic interesującego w sieci albo nikomu się nie chce tych ton logów analizować.

[krystianb]

więc sobie zadbaj o zaszyfrowanie zapytań DNS

Co za różnica, prawie zawsze da się na podstawie IP uzyskać adres serwisu, który na nim działa, jedyny problem może być tylko w przypadku jeśli na jednym IP działa więcej serwisów.

Chciałem się dowiedzieć czy istnieją jakieś sprzęty które mogły by zapisywać w logach historię z adresami mac?

Kilka osób korzysta z routera? Nie operator nie ma możliwości rejestrowania tego co się dzieje za routerem klienta. W gsm'ie itp. operator ma tylko bazę klient/przydzielone ip/czas do tego oczywiście też sobie chomikuje IMEI urządzenia łączącego się z jego siecią. Od jakiegoś czasu prowadzi też rejestr z jakimi IP klient się łączył. Żadnych maców nie kolekcjonuje, bo żadnych od klienta nie ma jak dostać.

[morfik]

więc sobie zadbaj o zaszyfrowanie zapytań DNS

Co za różnica, prawie zawsze da się na podstawie IP uzyskać adres serwisu, który na nim działa, jedyny problem może być tylko w przypadku jeśli na jednym IP działa więcej serwisów.

No właśnie w tym problem.

[krystianb]

Nie przeceniał bym tego, szyfrowane dns'y to obłuda prywatności. Z resztą póki co jeszcze za samo przeglądanie www nikogo nie posadzili, jeszcze podobno żyjemy w wolnym kraju.

[mk64]

Dziś chciałem w salonie play zarejestrować kartę ale niestety wyskakiwał jakiś błąd. Miła pani powiedziała, że dzieje się tak nagminnie i kazała mi przyjść jutro rano, bo ponoć dziala to lepiej.

[morfik]

Nie przeceniał bym tego, szyfrowane dns'y to obłuda prywatności. Z resztą póki co jeszcze za samo przeglądanie www nikogo nie posadzili, jeszcze podobno żyjemy w wolnym kraju.

Czemu obłuda?

[krystianb]

Bo nawet jeśli pod jednym adresem jest kilka serwisów nawet szyfrowanych, to mając dumpa'a tego co przesyłasz bez problemu można zobaczyć z którym z tych serwisów się połączyłeś.

[morfik]

Bo nawet jeśli pod jednym adresem jest kilka serwisów nawet szyfrowanych, to mając dumpa'a tego co przesyłasz bez problemu można zobaczyć z którym z tych serwisów się połączyłeś.

Nie rozumiem. Masz zaszyfrowane zapytanie DNS, potem łączysz się z jakimś bliżej nieokreślonym adresem IP i wymieniasz z nim zaszyfrowane dane. Jak na podstawie tych "informacji" wyciągnąć z jakim serwisem się połączyłeś?

[krystianb]

potem łączysz się z jakimś bliżej nieokreślonym adresem IP

No i tu się chyba kończy Twoja wiedza. Bo z "bliżej nieokreślonym adresem IP" połączyć się nie da. A jak za często łączysz się z IP za którym gdzieś głębiej stoją niepożądane serwisy, to zawsze można Ci "podsłuch" na neta założyć. Mając do dostęp do Twojego łącza da się to zrobić tak, że wszystko będzie wyglądało tak jakbyś się łączył ze swoim "ulubionym" serwisem po ssl'u tylko, że połączenie będzie z serwerem pośredniczącym.

[morfik]

potem łączysz się z jakimś bliżej nieokreślonym adresem IP

No i tu się chyba kończy Twoja wiedza. Bo z "bliżej nieokreślonym adresem IP" połączyć się nie da.

Pod pojęciem "bliżej nieokreślony adres IP" miałem na myśli adres, który na dobrą sprawę nic ci nie powie, np. hosting wordpressów, a nie jakiś zaszyfrowany adres IP.

A jak za często łączysz się z IP za którym gdzieś głębiej stoją niepożądane serwisy, to zawsze można Ci "podsłuch" na neta założyć. Mając do dostęp do Twojego łącza da się to zrobić tak, że wszystko będzie wyglądało tak jakbyś się łączył ze swoim "ulubionym" serwisem po ssl'u tylko, że połączenie będzie z serwerem pośredniczącym.

Zdefiniuj "dostęp do mojego łącza". Masz na myśli kable, po których leci sygnał? Może moją domową sieć WiFi albo operatora, który mi net udostępnia? Nadal nie wiem, gdzie chciałbyś mi tutaj się wpiąć bez jednoczesnego powiadomienia mnie o naruszeniu certyfikatu TLS. Właśnie po to są te certy, by tych MITM wyeliminować.

Jeśli nadal upierasz się, że można "taki podsłuch na net po TLS prosto założyć", to opisz mi procedurę, bo ja tego jakoś nie potrafię dostrzec.

[kosteko]

Mam na myśli taką sytuacje:
Np.
1.Sąsiad włamie się do mojej sieci bezprzewodowej i będzie korzystał z internetu niezgodnie z prawem
2.Inna osoba która ma dostęp do sieci bezprzewodowej będzie korzystała z internetu niezgodnie z prawem
Chodzi o to że wtedy jak mam jakieś logi to mam podkładkę w razie czego dlatego chcę "inwigilować sam siebie"

[krystianb]

Pod pojęciem "bliżej nieokreślony adres IP" miałem na myśli adres, który na dobrą sprawę nic ci nie powie, np. hosting wordpressów, a nie jakiś zaszyfrowany adres IP.

Za czytanie wordpresa jeszcze nikogo nie zamknęli Pisanie to co innego, ale wtedy idą do dostawcy po adres autora.

Zdefiniuj "dostęp do mojego łącza"

Gdzieś pomiędzy twoim routerem, a internetem. Zwykle na routerze Twojego dostawcy.

Nadal nie wiem, gdzie chciałbyś mi tutaj się wpiąć bez jednoczesnego powiadomienia mnie o naruszeniu certyfikatu TLS.

Mając dostęp do Twojego łącza wystarczy podszyć się pod dostawcę certyfikatów.

Chodzi o to że wtedy jak mam jakieś logi to mam podkładkę w razie czego dlatego chcę "inwigilować sam siebie"

Tyko pytanie jaką moc dowodową miałby taki log? IMO żadnej, od bardzo dawna mac można dowolnie podmieniać, nie mówiąc już o ingerencji z sam log. A do tego włamanie do routera poprawnie zabezpieczonego choćby WPA jest bliskie 0.

[morfik]

Blogi wordpressa to tylko przykład mający zobrazować upchnięcie całej masy stron na kilku IP. Co w przypadku, gdy serwer stoi za granicą?

Mając dostęp do Twojego łącza wystarczy podszyć się pod dostawcę certyfikatów.

Wystarczy podszyć się... A jak zamierasz to zrobić? Tutaj masz przykład tego typu ataków "podszywczych". Jeśli nie uda ci się zatem przekonać zespołów odpowiedzialnych za system operacyjny lub samą przeglądarkę, to możesz próbować się podszywać. Może na windowsach i IE bez problemu by dało radę ale na rozwiązaniach opensource, np. debian + firefox? A jeśli po głowie chodzi ci podrzucenie trefnych certów bezpośrednio na maszynę klienta, to LUKS (zwłaszcza "headless") skutecznie powstrzyma napastników przed tego typu zalotami.

[krystianb]

No sam stwierdziłeś, że się da, przynajmniej pod IE. Nie zapominaj o tym, że niektórzy są uprzywilejowani i mają dostęp do narzędzi, które wygenerują fałszywy certyfikat opatrzony autentycznym podpisem organizacji certyfikującej.
Tyle, że rozmawiamy tu o sytuacji absurdalnej, ktoś komu zależy na anonimowości, nie będzie bawił się w żadne durne szyfrowanie zapytań dns, tylko pójdzie po całości i wykupi sobie tunel w kraju, który nie ma podpisanych żadnych zobowiązań prawnych względem kraju w którym się znajduje. Choć i tu pozostaje problem bezpiecznego przesłania kluczy szyfrujących.

To tyle z mojej strony.

[morfik]

Wszystko się da, problem tylko z rozwiązaniem. Ja z windowsami nie miałem do czynienia od wielu lat, to ja tam nie znam się zbytnio na nich ale w świecie opensource, takie kwiatki raz dwa są publikowane i organizacje stojące za nimi są wykluczane z naszego życia. Wątpię by jakaś większa firma czy nawet korporacja ugięła się pod naciskiem polskiego rządu, który by jej kazał zaimplementować taki trefny cert. Po pierwsze nie musi się bać jako zagraniczna jednostka, po drugie, nie będą oni narażać swojego dobrego imienia za sprawą polskiego rządu.

Zasada zawsze jest taka sama, im więcej informacji szyfrujesz, tym mniej ich udostępniasz i postronni ludzie o tobie wiedzą mniej.

[krystianb]

takie kwiatki raz dwa są publikowane i organizacje stojące za nimi są wykluczane z naszego życia.

No nie wiem, rzecz zrobiona pod jeden serwer, użyta na jednego/kilku userów. Wątpię, żeby zdążyli cokolwiek opublikować, zanim by trafili za # Oczywiście nie zrobią tego dla byle zenka, tylko przeciwko tym którzy na serio mają coś grubego na sumieniu.

[morfik]

Oczywiście nie zrobią tego dla byle zenka, tylko przeciwko tym którzy na serio mają coś grubego na sumieniu.

No i w sumie wróciliśmy do punktu wyjścia. Jak ustalisz, czy ktoś ma coś grubszego na sumieniu? Najprościej to jest przeczytać fejsa tego kogoś. A tak na poważnie, to próby podmiany certyfikatu, zwłaszcza wystawianych przez zagraniczne podmioty, nawet jeśli możliwe w wykonaniu polskiego rządu, to by były bardzo trudne do zorganizowania. Oczywiście pomijam już co by się stało z tą firmą w przypadku wykrycia tego typu praktyk. Dużo łatwiej jest analizować ruch sieciowy, a nazwy domen jednoznacznie określają, gdzie "byle zenek" chodzi, jak często i ile czasu przebywa. Różnica jest taka, że służby nie muszą się w żaden sposób wysilać, by poznać te informacje, bo nie szyfrując zapytań, podajesz im je praktycznie za free.

[kosteko]

Czy mogę włączyć szyfrowanie zapytań z dowolnym serwerem DNS? Czy znacznie ograniczy to wydajność? Niby jest "bezpieczna" siec TOR ale co z tego jak do normalnego korzystania się nie nadaje

[paweł1945]

morfik-musisz wyjść z założenia,że jak będą chcieli to wyśledzą i musisz zaufać,że tam naprawdę nie siedzą głupi ludzie .Wszystko rozbija się o relację koszt/efekt. Na tym można byłoby zakończyć dyskusję,lecz jeszcze zapominasz o tak zwanym ,,czynniku ludzkim" a on często nawala,nawet przy najlepszym zacieraniu śladów.

[paweł1945]

A na początek radzę poczytać o podstawach operations security.Pozdrawiam

[morfik]

morfik-musisz wyjść z założenia,że jak będą chcieli to wyśledzą i musisz zaufać,że tam naprawdę nie siedzą głupi ludzie .Wszystko rozbija się o relację koszt/efekt. Na tym można byłoby zakończyć dyskusję,lecz jeszcze zapominasz o tak zwanym ,,czynniku ludzkim" a on często nawala,nawet przy najlepszym zacieraniu śladów.

Ja wychodzę z założenia, że trudności zniechęcają. Po co zatem komuś ułatwiać sprawę?

Nie ma takiego zabezpieczenia, którego by się nie dało obejść ale to nie znaczy, że lepiej jest ich w ogóle nie stosować. Każdy chyba ma szereg zamków w swoich drzwiach wyjściowych w domu/mieszkaniu, po co, skoro można to "obejść bez problemu", choćby przez okno, hmm?

Czy mogę włączyć szyfrowanie zapytań z dowolnym serwerem DNS?

Jak serwer obsługuje to pewnie.

[ja.michal]

Poczytaj kto stworzył TOR.

[paweł1945]

morfik-utrudnić?Zamykają darknetowe fora,markety,które działają tylko przez Tora a myślisz,że z twoimi ,,zabezpieczeniami" sobie nie poradzą?Wystarczy,że raz się połączysz nie przez tora i klops(to tak najbardziej prosty przykład),zresztą wiele można rzeczy zestawić z sobą(https://www.youtube.com/watch?v=7G1LjQSYM5Q ,dosyć fajnie i prosto wytłumaczone) ,może ktoś Ciebie sypnąć...masz pewność,że łącząc się z Torem ruch nie przechodzi przez ,,inne serwery"?A zaszyfrowany masz dysk?gdzie przechowywany jest klucz? truecrypt niby nie do złamania i jakoś pewnego dnia,dziwnym trafem...Wiesz jeden z najbardziej zdolnych ,,czarnych kapeluszy" wpadł w taki sposób,że nie zdążył wyciągnąć wtyczki od zasilania .Ale tak jak pisałem koszt/efekt ,po ,,drugiej stronie" naprawdę siedzą utalentowani ludzie(przykład NSA-praktycznie nieograniczone zasoby finansowe i najbardziej uzdolnieni ludzie) ale możesz być spokojny,takie mechanizmy i sztaby ludzi są uruchamiane naprawdę w ,,grubych" sprawach.Chodzi o to,że jak wejdą Tobie na ,,grzbiet" to ,,utrudnić",już nie jeden próbował i ...cóż.

[morfik]

Zamykają darknetowe fora,markety,które działają tylko przez Tora a myślisz,że z twoimi ,,zabezpieczeniami" sobie nie poradzą?

Ja już wielokrotnie spotkałem się z nagłówkami w gazetach, że "złamano AES256", także wiesz.

Wystarczy,że raz się połączysz nie przez tora i klops...(to tak najbardziej prosty przykład),zresztą wiele można rzeczy zestawić z sobą(https://www.youtube.com/watch?v=7G1LjQSYM5Q ,dosyć fajnie i prosto wytłumaczone) ,może ktoś Ciebie sypnąć...masz pewność,że łącząc się z Torem ruch nie przechodzi przez ,,inne serwery"?

Co to za argument przeciwko szyfrowaniu komunikacji? To tak jak byś powiedział, że mając stronę po SSL/TLS (wliczając formularz logowania) ale przez fakt, że możesz połączyć się po http, to powinieneś odpuścić sobie szyfrowanie danych, bo i tak twój login i hasło może być widoczne dla każdego. Może pijesz do samego TOR'a ale nawet wtedy powiem ci, że i tak przy zachowaniu szeregu zasad bezpieczeństwa będziesz miał zabezpieczoną komunikację. Przykładowe reguły: 1) nigdy nie słać całego ruchu z danego hosta via TOR, 2) jak już chcesz coś słać przez TOR, to tylko w formie szyfrowanej.

może ktoś Ciebie sypnąć...masz pewność,że łącząc się z Torem ruch nie przechodzi przez ,,inne serwery"?

No jasne, że ktoś może cię wsypać ale nawet nie musi, bo sam możesz się wsypać, np. korzystając z kluczy GPG/PGP (sygnatury zaszyfrowanych wiadomości). Ale to już w sumie przeszłość, bo do zabezpieczenia komunikacji, np. na jabberze używa się OTR, który niweluje chyba wszystkie problemy z kluczami GPG/PGP. Niemniej jednak, jeśli chcesz mieć pewność, że dana wiadomość pochodzi od ciebie, to korzystasz dalej z kluczy GPG/PGP.

Nody TOR'a też mogą być trefne, openssl też może mieć bugi. Chyba ostatnio nawet sporo ich było, a jakoś net dalej korzysta z https, a nie samego http.

A zaszyfrowany masz dysk?gdzie przechowywany jest klucz? truecrypt niby nie do złamania i jakoś pewnego dnia,dziwnym trafem...Wiesz jeden z najbardziej zdolnych ,,czarnych kapeluszy" wpadł w taki sposób,że nie zdążył wyciągnąć wtyczki od zasilania

Mi się podoba jak ludzie atakują protokoły szyfrujące podając w argumencie nieprzestrzeganie procedur bezpieczeństwa. Co ma piernik do wiatraka? Titanic też był cool, aż idiotę za sterami posadzili.

Ale tak jak pisałem koszt/efekt ,po ,,drugiej stronie" naprawdę siedzą utalentowani ludzie(przykład NSA-praktycznie nieograniczone zasoby finansowe i najbardziej uzdolnieni ludzie) ale możesz być spokojny,takie mechanizmy i sztaby ludzi są uruchamiane naprawdę w ,,grubych" sprawach.Chodzi o to,że jak wejdą Tobie na ,,grzbiet" to ,,utrudnić",już nie jeden próbował i ...cóż.

NSA chyba coś tam napominało o problemie z opensource i przemycaniem nam backdorów, które mają obchodzić zabezpieczenia. Sam widzisz, że nawet NSA się ugina pod ruchem wolnego oprogramowania i otwarto źródłowych protokołów zabezpieczających, np. ten wspomniany wyżej AES. Jeśli implementacja protokołu szyfrującego będzie bezbłędna, a człowiek nie będzie olewał procedur bezpieczeństwa, to jest nikła szansa, że ktokolwiek cokolwiek z jego kompa wyciągnie.

[paweł1945]

morfik-od atakowania jestem daleki i od negowania instytucji szeroko pojętej kryptologii:) tylko trzeba mieć świadomość,że to jeden i tylko jeden z elementów i ot wymiana poglądów- za to cenię to forum.Co do ,,titanica"(poczytaj o gustloffie ,rzadko mówi się o tej tragedii),odległość galaktyki dzieli mnie od twierdzenia,że wpadali niesprytni ludzie, to byli geniusze czasami,lecz byli tylko ludźmi...jak człowiek siedzi trochę w tym hobbistycznie,to wie,że nic nie wie i to jest fajne(defcon,to marzenie,lecz żona to najlepszy analityk i tu nawet najlepsze zabezpieczenia wysiadają ).Pozdrawiam

[ksx4system]

Chodzi o to,że jak wejdą Tobie na ,,grzbiet" to ,,utrudnić",już nie jeden próbował i ...cóż.

Warto pamiętać, że w niektórych miejscach na świecie szyfrowanie jest niestety tylko tak "mocne" jak odporność na ból i/lub niedogodności szyfrującego...