Pytanie:
Jakie są konsekwencje inwigilacji NSA dla przeciętnego użytkownika internetu?
nitrl
2013-06-07 07:31:01 UTC
view on stackexchange narkive permalink

Wyglądałoby na to, że noszenie kapelusza z folii aluminiowej zostało dzisiaj potwierdzone, ponieważ ujawniły się wiadomości o prawdziwej skali nadzoru rządu USA nad działaniami online swoich obywateli, prowadzonego głównie przez NSA i pozornie poza sferą prawa.

Jeśli wierzyć doniesieniom, metadane dotyczące praktycznie każdego aspektu życia osób fizycznych - zapisów telefonów i danych geograficznych, e-maili, logowania do aplikacji internetowych czasy i lokalizacje, transakcje kartami kredytowymi - są agregowane i poddawane analizie „dużych zbiorów danych”.

Potencjał nadużyć, szczególnie w świetle ostatniego skandalu IRS i dochodzenia w sprawie wycieku AP, wydaje się nieograniczony.

Wiedząc o tym, jakie kroki mogą podjąć zwykłe osoby, aby się zabezpieczyć przeciwko gromadzeniu i ujawnianiu takich wrażliwych danych osobowych?

Zacząłbym od szerszego zastosowania PGP do e-maili, alternatyw dla aplikacji internetowych o otwartym kodzie źródłowym oraz korzystania z VPN. Czy są jakieś inne (lub lepsze) kroki, które można podjąć, aby zminimalizować ekspozycję na niewód nadzoru?

Jeśli mądrze korzystasz z Internetu, na przykład nie zezwalając na ruch bez SSL do witryny, nie ma nic, co mogą dowiedzieć się o Twojej aktywności w tej witrynie, z wyjątkiem tego, kiedy odwiedziłeś tę witrynę.
@Kurian Przeczytaj artykuł! Chodzi o to, że zbierali dane o połączeniach (kto odwiedził, kiedy co - a raczej, ponieważ chodziło o rozmowy telefoniczne, kto dzwonił do kogo i kiedy). SSL nie pomoże w tym. (Ponadto SSL nie sprawia, że ​​komunikacja jest całkowicie poufna, szczególnie w przypadku komunikacji głosowej, gdzie czas wysyłania pakietów jest zgodny z wzorcami mowy i może umożliwić rozpoznawanie słów kluczowych, jeśli nie pełne odszyfrowanie).
To nasza wina, że ​​nie zauważyliśmy [tego pytania] (http://imgur.com/hy8t3wy) wcześniej
„zwłaszcza w świetle niedawnego skandalu z IRS i śledztwa w sprawie wycieku AP, wydaje się nieograniczony.” Sprawa ta bardzo różni się od skandalu z IRS; był to najprawdopodobniej odosobniony przypadek, który został niemal powszechnie potępiony, w tym przez Baracka Obamę. Są to drobne punkty w porównaniu z tym, co robi NSA.
Przeglądarki naprawdę powinny weryfikować odciski palców certyfikatów SSL jako dodatkową ochronę przed przechwytywaniem ruchu SSL przez Man-in-the-Middle, ponieważ nie ma powodu, aby sądzić, że rząd Stanów Zjednoczonych nie może poprosić (lub zmusić) Verisign o dowolny certyfikat SSL, jaki chcą i używać go do przechwytywania ruchu SSL. Dopóki Twoja przeglądarka nie zauważy nowego certyfikatu, nigdy byś się nie dowiedział.
@Johnny o to chodzi w [Perspectives / Convergence] (http://perspectives-project.org/) Przed czym nie chroni (co może zależeć od tego, jak chętne są różne firmy wymienione w dokumencie PRISM) jest NSA otrzymuje kopię oryginalnego klucza prywatnego, zamiast wydawać sobie zaufany fałszywy certyfikat dla własnego klucza.
Dziwię się, że to wiadomość. Mamy to od powojennej wojny. Czy wyobrażasz sobie, że rządy uznały świat za bezpieczniejsze i po prostu się zatrzymały (?) (Nie jestem pewien, czy pytania retoryczne powinny mieć znak zapytania… nie można zawracać sobie głowy sprawdzaniem tego… czy ktoś?) Http: // en. wikipedia.org/wiki/ECHELON
Do Twojej wiadomości: wygląda na to, że kapelusze z folii aluminiowej faktycznie [* łatwiej * * dla rządu] mogą Cię szpiegować] (http://web.archive.org/web/20130314181014/http://berkeley.intel-research.net/ arahimi / kask /).
Dlatego ważne są Twoje metadane: https://www.eff.org/deeplinks/2013/06/why-metadata-matters
Ale jeśli robią to, co mówią, robią z Facebookiem, który jest prawie wszechobecny SSL, muszą jakoś zdobyć klucze. Może w ramach nakazów FISA? PRISM twierdzi, że ma bezpośredni dostęp do rzeczywistych danych. Nie tylko metadane, jak porażka Verizon.
No cóż, jest pryzmat i cała ta „pod prądem” rzecz, w której dotknęli kwestii, o których mówili od zawsze. Z powrotem w Bush IIRC: http: //gizmodo.com/new-prism-slide-shows-nsa-taking-data-directly-from-com-512098544
Głosowałem za tym pytaniem, więc Twoim przedstawicielem nie będzie „666”. Nie ma za co.
Osiem odpowiedzi:
anon
2013-06-07 18:46:26 UTC
view on stackexchange narkive permalink

Przedmowa: ten problem niekoniecznie dotyczy rządów. Na najbardziej ogólnym poziomie chodzi o udostępnianie przez usługi internetowe swoich danych (dobrowolnie lub przypadkowo) jakiejkolwiek stronie trzeciej. Ze względu na czytelność użyję tutaj terminu „rząd”, ale rozumiem, że zamiast tego można go zastąpić dowolną instytucją, z którą usługodawca ma nieodparty powód, aby współpracować (lub jakąkolwiek instytucją, z którą usługa może zostać całkowicie naruszona - konsekwencje są dość podobne). Poniższe porady można uogólnić w każdym przypadku, w którym chcesz skorzystać z usługi zewnętrznej, zachowując poufność wobec każdego, kto może mieć dostęp do danych tej usługi.

Teraz, aby odpowiedzieć na samo pytanie:

... jakie kroki mogą podjąć zwykłe osoby, aby zabezpieczyć się przed gromadzeniem i ujawnianiem takich wrażliwych danych osobowych?

Jeśli nie chcesz, aby rząd dowolnego kraju, aby mieć dostęp do swoich danych, nie umieszczaj ich w usłudze przechowywania danych, która mogłaby być w zmowie z agencją rządową tego kraju.

Dla naszego modelu załóżmy, że jakiś rząd dostęp do Twoich danych przechowywanych w określonych głównych usługach w stanie spoczynku (a także ewentualnie do ich dzienników serwera). Jeśli masz do czynienia z usługą, która zajmuje się przechowywaniem (Dysk Google, poczta e-mail), SSL nie zrobi absolutnie nic, aby ci pomóc: być może wysiłek nadzoru przeciwko tobie nie widzi, co przechowujesz podczas wysyłania kabel , ale mogą zobaczyć, co przechowujesz, po zapisaniu tego .

Przypuszczalnie taki rząd mógłby mieć dostęp do tych samych danych na temat Ciebie, które ma Google, Microsoft lub Apple. Dlatego problem zachowania tajemnicy informacji przed inwigilacją sprowadza się do problemu z utrzymaniem ich w tajemnicy przed samym dostawcą usług (tj. Google, MS, Apple itp.). Praktycznie mogę zaoferować konkretne wskazówki, jak zmniejszyć ryzyko ujawnienia danych:

  1. Jeśli istnieją jakieś trwałe informacje (np. dokument), których nie chcesz, aby jakiś rząd je zobaczył, nie pozwól też ich zobaczyć swojemu dostawcy usług. Oznacza to, że albo użyj usługi, której całkowicie ufasz (tj. Instalacji FengOffice lub EtherPad, która działa na Twoim SheevaPlug w domu (oczywiście pod warunkiem, że ufasz fizycznemu bezpieczeństwu swojego domu)) lub korzystaj z szyfrowania w spoczynku - tj. zaszyfruj swoje dokumenty silnym szyfrem zanim wyślesz je na Dysk Google (ja może osobiście polecić AES, ale zobacz dyskusję poniżej w komentarzach).

    • W rzeczywistości ta druga strategia jest dokładnie tym, jak działają aplikacje internetowe odporne na hosty ( zwane także aplikacjami „o wiedzy zerowej”, ale niezwiązanymi z pojęciem dowodów o wiedzy zerowej). Serwer przechowuje tylko zaszyfrowane dane, a klient szyfruje i deszyfruje, aby odczytywać i zapisywać na serwerze.

  2. W przypadku danych osobowych, które nie są trwałe dostęp do, podobnie jak historia wyszukiwania, prawdopodobnie możesz zapobiec powiązaniu tych informacji z Tobą osobiście, myląc punkt początkowy każdego wyszukiwania za pomocą VPN lub routingu cebulowego, takiego jak Tor.

Przypomina mi się ten xkcd:

:

Gdy usługa zbierze Twoje dane , nie można kontrolować, co robi z nią ta usługa (ani jak dobrze ta usługa jej broni). Jeśli chcesz mieć kontrolę nad swoimi danymi, nie oddawaj ich . Jeśli chcesz zachować sekret, nie mów go nikomu . Dopóki możliwość zmowy w zakresie nadzoru lub naruszenia bezpieczeństwa danych w odniesieniu do usługi jest niebanalnie wysoka, nie oczekuj, że Twoje dane przechowywane na zewnątrz będą prywatne przed inspekcją przez jakikolwiek rząd, nawet jeśli spodziewałeś się, że dane będą ogólnie prywatne.

Osobną kwestią jest to, czy takie programy zbierające informacje będą miały jakikolwiek znaczący rzeczywisty wpływ na przeciętnego użytkownika Internetu. Nie można tego powiedzieć, przynajmniej częściowo, ponieważ niemożliwe jest przejrzyste kontrolowanie zachowań osób zaangażowanych w tajny program zbierania informacji. W rzeczywistości taki program mógłby mieć wpływ, którego opinia publiczna nie byłaby w stanie rozpoznać jako wpływu takiego programu.

W szczególności w przypadku NSA, NSA jest uprawniona do zajmowania się nadzorem zagranicznym , więc obywatele USA nie są generalnie celem analizy, chyba że zdarzy się, że na ich wykresie społecznym znajduje się w pobliżu obcokrajowiec. NSA publicznie stara się nie gromadzić informacji o obywatelach USA (chociaż stopień, w jakim jest to przestrzegane w praktyce, jest niemożliwy do zweryfikowania, jak omówiono powyżej).

Byłoby b. Zabawne, gdyby się okazało, że podczas kampanii wykorzystano dane PRISM ...
Składasz oświadczenie o używaniu AES do szyfrowania przed umieszczeniem plików w chmurze. Ten algorytm został zatwierdzony przez NIST i NSA. Jak pokazali, nie można im ufać i nie zdziwiłbym się, gdyby mieli wiedzę / ataki niepubliczne, które ułatwiają odszyfrowanie danych. Jeśli spojrzymy na projekt DES, NSA wiedziała o kryptoanalizie różnicowej ** 15 lat **, zanim ktokolwiek inny to rozgryzł. Można bezpiecznie założyć, że są one nadal znacznie bardziej zaawansowane niż ogół społeczeństwa i nie powinniśmy używać ich „zatwierdzonych” algorytmów, ponieważ mówią, że nie mogą ich złamać.
Należy zauważyć, że wszystkie główne firmy wymienione tutaj odmówiły udzielenia NSA dostępu do „niereklamowanych” ilości ich danych. Firmy te od lat przekazują dane różnym agencjom rządowym. PRISM jest najwyraźniej tylko programem, który sprawia, że ​​przesyłanie i żądanie danych jest płynniejsze i bezpieczniejsze.
Być może nie byłem jasny (a może dlatego, że historia metadanych telefonu pękła jako pierwsza, dlatego wszyscy myśleli o tym), ale twoja odpowiedź konkretnie dotyczyła PRISM i środków zaradczych, które można podjąć, aby uniknąć (zminimalizować) czyjąś ekspozycję.
W rzeczywistości jest więcej niż dwie historie. Na przykład. opowieść o urzędzie skarbowym uwzględniającym wszystkie informacje publiczne w skrzynce pocztowej niewymagające nakazu: http://www.aclu.org/blog/technology-and-liberty-national-security/new-documents-suggest-irs-reads-emails-without-warrant
Kolejny odpowiedni xkcd: http://xkcd.com/908/
@zuallauz Kilka powodów, dla których uważam, że jest mało prawdopodobne, aby NSA miała jakiś rodzaj backdoora / ataku na AES. NSA wiedziała o atakach różnicowych na DES, ale zdecydowała się zaprojektować S-Boxy w sposób, który zapewni im jeszcze większe bezpieczeństwo. A to były bardzo różne czasy. Niewiele osób zajmowało się kryptografią poza środowiskiem wywiadowczym i mieli ogromną przewagę. Od lat 90. i pojawienia się Internetu kryptografia stała się ważna w wielu przedsiębiorstwach komercyjnych, a teraz jest dużo finansowania poza tajnymi służbami.
@Lucas, warto zauważyć, że [Bruce Schneier zaleca podwojenie liczby rund dla AES] (http://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html) w celu zwiększenia „marginesów bezpieczeństwa” tj. AES-256 po 28 rundach. Nie widzieliście takich rad wychodzących z NSA, kiedy były na nią ataki. W rzeczywistości, gdybym chciał mieć pewien poziom pewności prywatności ze strony NSA, użyłbym kombinacji AES, Twofish i Serpent, tak jak TrueCrypt, lub może zacznę używać niektórych nowszych algorytmów, takich jak Threefish, które mogą zrobić 512 -bitowy i 1024-bitowy szyfr blokowy.
@zuallauz To interesujący post Bruce'a Schneiera, ale cytat nie odnosi się do żadnego backdoora w algorytmie AES, ale jest głównie konsekwencją kiepskiego harmonogramu kluczy. W rzeczywistości [Bruce Schneier zajmuje rozsądne stanowisko] (http://www.schneier.com/blog/archives/2012/03/can_the_nsa_bre.html): „Czy NSA może złamać AES? Domyślam się, że nie. Oznacza to, że nie mają kryptoanalitycznego ataku na algorytm AES, który pozwala im odzyskać klucz ze znanego lub wybranego tekstu zaszyfrowanego w rozsądnym czasie i ze złożonością pamięci ”. Problemem są ataki Sidechannel i słabe hasło, a nie AES.
aby uniknąć rządu USA, użyłbyś narzędzia stworzonego przez US Navy? Jakie to ironiczne ;-) Jeśli chodzi o wpływ na przeciętnego użytkownika, jeśli TSA nadużywa swojej mocy do okradania bagażu z kosztowności, nietrudno sobie wyobrazić, że jakiś wytrawny pracownik NSA nadużywałby systemu kradzieży, powiedzmy, numerów kart kredytowych.
@vartec - poważnie nie doceniasz przeprowadzonych kontroli - różnica między TSA a NSA to znacznie więcej niż jedna litera. Niepokojąca jest nie skłonność do nadużyć osoby uprawnionej do podsłuchiwania, ale raczej zdolność najwyższych urzędników państwowych (mówię o szczeblu biura wykonawczego lub zastępców sekretarzy) do niszczenia systemu i wykorzystywania zebranych danych do ** celów politycznych * * (zamiast polować na zagrożenia bezpieczeństwa narodowego).
@vartec - przypuszczam również, że miałeś na myśli łotrzyka, a nie rouge :) (chociaż [pracownicy NSA używali tego drugiego w przeszłości] (https://en.wikipedia.org/wiki/Martin_and_Mitchell_defection)).
@DeerHunter: Nie martwię się o nową Watergate, ponieważ, jak mówisz, są zabezpieczenia, martwię się, że jakiś niedopłacany pracownik niskiego szczebla będzie miał dostęp, i to nie do całego systemu, ale tylko do niewielkiej jego części.
@DeerHunter, Poszedłbym o krok dalej w paranoi, martwiąc się, jak dane mogą zostać niewłaściwie wykorzystane. Protestujący z Occupy Wall Street byli wielokrotnie nazywani terrorystami. Co powstrzymuje policję przed zwróceniem się do NSA o dane umożliwiające ich identyfikację? Hasło „Terrorist” stało się głównym hasłem do ustanawiania konstytucji, mimo że nie ma w niej nic na ten temat. Te dane są całkowicie niebezpieczne dla nas wszystkich. Jeśli chcą go odebrać, mogą najpierw poprosić FISA o wydanie nakazu - nie przeszkadza mi to. Ale to podejście dryfujące? Poważnie niebezpieczne.
NULLZ
2013-06-07 07:39:37 UTC
view on stackexchange narkive permalink

Pomimo szumu medialnego kluczową sprawą nie jest to, że rząd FBI / NSA / USA przechwytywał wszystkie rozmowy telefoniczne, ale że gromadził wszystkie rekordy „metadanych” telefonu, które obejmują:

  • Pierwotny numer telefonu
  • Zakończenie numeru telefonu
  • Numer IMSI
  • Numer IMEI
  • Identyfikator linii miejskiej ( który odnosi się do lokalizacji)
  • Numery kart telefonicznych
  • Godzina połączenia
  • Czas trwania połączenia
  • Informacje o lokalizacji (ewentualnie )

Nie mogą jednak słuchać twoich rozmów telefonicznych w ramach tego zamówienia.

Źródło: The Guardian, The Guardian, Wired

Co możesz z tym zrobić jako osoba fizyczna? Nic, technicznie rzecz biorąc. Te informacje nie są tym, o czym się komunikujesz, ale z kim się komunikujesz i skąd. Ta informacja nie jest czymś, co kontrolujesz. Informacje, których żądały agencje alfabetyczne, to „metadane”, czyli dane, które dostawcy usług telekomunikacyjnych generują / przechowują samodzielnie. W ramach korzystania z ich usług (i uzyskiwania użytecznej usługi) te dane są tworzone.

Jeśli jesteś obywatelem USA, możesz zażądać działania od swojego rządu, wesprzeć organizacje, takie jak EFF, które działają na rzecz ochrony Twojej prywatności i wyrazić swoje odczucia w tej sprawie lokalnym przedstawicielom.

W powiązanym, ale starszym artykule prasowym z Niemiec kilka lat temu niemiecki polityk Malte Spitz pozwał niemiecki gigant telekomunikacyjny Deutsche Telekom o przekazanie sześciu miesięcy swoich danych telefonicznych, które następnie udostępnił tutaj. Został wykreślony na mapie i pozwala pokazać, gdzie przebywał w okresie 6 miesięcy, co daje wyobrażenie o tym, co tego typu metadane mogą zrobić.

W szczególności w odniesieniu do PRISM

Prism to wyciek dokumentów opisujących przechwytywanie w wielu dużych firmach internetowych. Ten przeciek jest oddzielny, ale powiązany (o ile rozumiem) z powyższym.

  • Od kogo dane (najwyraźniej (ponieważ nie jest jeszcze w 100% jasne)) są zbierane?

    • Microsoft (Załóżmy, że Hotmail / Live / Bing i wszystkie inne powiązane usługi online MS), Google, Yahoo !, Facebook, PalTalk, YouTube, Skype, AOL, Apple.

  • Co to jest faktycznie są zbierane przez PRISM?

    • E-maile, czat (głos i wideo), filmy, zdjęcia, zapisane dane, VoIP, transfery plików, wideokonferencje, metadane logowania, informacje z serwisów społecznościowych i specjalne życzenia '(co, jak przypuszczam, oznacza wszystko, o czym pomyślą)

  • Co mogę zrobić, aby uniknąć gromadzenia moich danych?

    • Jeśli obawiasz się, że Twoja komunikacja jest przechwytywana przez ten program, możesz wykonać kilka prostych kroków.

    • Nie używaj żadnego z wyżej wymienionych dostawców. Od od jakiegoś czasu powszechnie wiadomo, że e-maile starsze niż 180 dni są dostępne bez nakazu, niezależnie od dostawcy poczty e-mail. Oczywiście, jeśli obawiasz się takich rzeczy, najlepszym rozwiązaniem jest szyfrowanie. Jeśli otrzymujesz usługę za darmo, nadal czymś płacisz. Zwykle jest to Twoje metadane. Istnieją „bezpieczne” lub przynajmniej przyjazne dla prywatności alternatywy dla wszystkich wymienionych powyżej firm i można je łatwo znaleźć. Na przykład duckduckgo.com, PGP, TorMail, TOR, Linux i Pidgin + OTR pomagają w zabezpieczaniu komunikacji (tak, że nawet jeśli jest nieczytelny).

Faktem jest to. Możesz zawsze próbować ćwiczyć `` doskonałe '' bezpieczeństwo (coś, co zmienia się wraz z pojawieniem się nowych technologii), ale ostatecznie wszyscy są ludźmi i prawdopodobnie zepsujesz się (na przykład zapominając o połączeniu z VPN). Jest tak wiele zmiennych związanych z pozostaniem w ukryciu w Internecie, że uwzględnienie dowolnego konkretnego aspektu (takiego jak proste przeglądanie sieci lub po prostu wysyłanie / odbieranie wiadomości e-mail) jest dość złożonym zadaniem i wymaga osobnego pytania, które jest samo w sobie.

* „Nie mogą jednak słuchać twoich rozmów telefonicznych na podstawie tego rozkazu” * - Eee, tylko że mogą i są. Nie jest to nic nowego dla każdego, kto śledzi wiadomości dotyczące bezpieczeństwa, ponieważ wielokrotnie pojawiały się w mediach. Zobacz na przykład [tutaj] (http://www.schneier.com/blog/archives/2008/09/nsa_snooping_on.html) lub [tutaj] (http://www.schneier.com/blog/archives/2005/ 12 / nsa_and_bushs_i.html) lub [tutaj] (http://www.schneier.com/blog/archives/2006/05/nsa_creating_ma.html) lub [tutaj] (http://www.aclu.org/national- bezpieczeństwo / podsłuch-101-co-można-zrobić-nsa) ...
Ponadto NSA [nie jest jedynym działem, który to robi] (http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act); IANAL, ale jak rozumiem, kiedyś wymagali nakazu, aby nasłuchiwać rozmów telefonicznych, ale [już nie] (http://en.wikipedia.org/wiki/Patriot_Act) * (proszę poprawić mnie, jeśli tak źle)*.
@BlueRaja-DannyPflughoeft Właściwie to ** Powiązane **, ale nie to, czego dotyczą najnowsze wiadomości. „Nielegalne” podsłuchy to stare wiadomości, a ** konkretny „wyciek” / zamówienie ** opisane w pytaniu (i moja odpowiedź) jest BARDZO specyficzny, ponieważ obejmuje ** TYLKO ** metadane. To nie tylko NSA, ale także FBI.
Zaktualizowany komentarz: Twoja odpowiedź obejmuje tylko metadane telefonu, które, jak zakładam, są nieistotne dla pytania (które wyraźnie wspomina o * inwigilacji * internetu * i środkach bezpieczeństwa * internetu *): Poprzez projekt Prism, NSA uzyskuje również rutynowy dostęp do serwerów i komunikacji większości dużych firm IT. Oznacza to, że mogą na przykład podsłuchiwać wszystkie rozmowy przez Skype i czytać wszystkie e-maile (ta ostatnia właściwie nie jest wielka, agencje robią to - półlegalnie - od wieków). Twoja odpowiedź to wielki czerwony śledź.
@BlueRaja-DannyPflughoeft Po prostu się mylisz. Odpowiedź jest prawidłowa i została umieszczona kilka miesięcy temu w raportach NSA. Nadal nie mogą słuchać twoich rozmów telefonicznych bez orzeczenia sądowego i i tak nie są skierowane do przeciętnej osoby. Po prostu zbierają te dane, aby uzyskać informacje o ludziach, takich jak „zagraniczni informatorzy” i tym podobne. Nie ma to nic wspólnego z rozbijaniem imprez Pot Party lub śledzeniem rozmów z lokalnym sklepem z bronią. Ten szum medialny ma na celu utrzymanie w Ameryce paranoi, ponieważ „rządzi strach”. Naprawdę myślisz, że byłoby to w wiadomościach, gdyby chcieli, żeby to było ukryte?
sprzątanie niektórych niekonstruktywnych rzeczy - na czacie odwiedź [czat]
-1: ta odpowiedź jest całkowicie niezwiązana z pytaniem. Pytanie dotyczy PRYZMATU.
Dziwię się, że ta odpowiedź otrzymała tak wiele głosów, ponieważ nie wspomniano o programie PRISM (dotyczącym bezpieczeństwa w Internecie)
Należy zwrócić uwagę, że każdy, kto nie jest obywatelem amerykańskim, a także korzysta z usług tych firm (np. Kanadyjczycy, Brytyjczycy itp.), Nie podlega takim samym zabezpieczeniom, jakie przysługują obywatelom amerykańskim. Myślę, że jest jasne, że NSA, te firmy, a także rządy innych krajów muszą odpowiadać za wszystkie te działania. To, że nie masz amerykańskiego paszportu, nie oznacza, że ​​nie masz zagwarantowanego prawa do prywatności za korzystanie z amerykańskiego produktu.
Rory McCune
2013-06-07 16:03:25 UTC
view on stackexchange narkive permalink

Aby dodać do odpowiedzi od @RoryAlsop, zgodzę się, że prawdopodobnie nie masz, jako przeciętna osoba, wielu zmartwień, jeśli chodzi o podsłuchiwanie PRISM / podsłuch telefonu przez NSA używane zgodnie z jego przeznaczeniem (operacje antyterrorystyczne rządu USA), ponieważ ludzka koncepcja bezpieczeństwa / prywatności przez większość czasu nie jest zbyt dobra.

Istnieją jednak inne dobre powody, aby się tym przejmować. Po pierwsze, jeśli pracujesz dla firmy spoza USA i umieszczasz informacje związane z Twoją pracą w osobistej wiadomości e-mail / sieciach społecznościowych, może istnieć ryzyko, że NSA będzie w stanie to przechwycić, a następnie przekazać je korporacjom w USA w celach komercyjnych. korzyść. Nie mam konkretnego dowodu na to, że dzieje się tak z PRISM, ale w przeszłości zdarzały się przypadki, gdy agencje ochrony dostarczały informacji, aby pomóc korporacjom, więc nie jest to nierozsądny odcinek.

Myślę też, że istnieje realne ryzyko zakresu pełzanie. Gdy władza będzie już istniała i zostanie wykorzystana do jednego celu, inne agencje rządowe (być może mniej wykwalifikowane w analizie danych i mniej wnikliwe w ich użyciu) zaczną wykorzystywać dane. Na przykład, jeśli istnieją możliwości gromadzenia danych, gdyby FBI / CIA poprosiło o dane, czy byłyby w stanie je zdobyć, to co z lokalnymi organami ścigania itp.

EDYCJA: Wygląda również na to, że pełzanie zakresu już się dzieje z tą historią mówiącą o tym, jak inne agencje wywiadowcze, w tym GCHQ, wykorzystują PRISM

Jedno z dużych zagrożeń związanych z tego rodzaju danymi wydobywanie (dla mnie) polega na tym, że ktoś kopie dane, a następnie dochodzi do błędnych wniosków. Na przykład przeszukiwanie listy osób, które odwiedziły witrynę i używanie jej jako „dowodu” udziału w przestępstwie. Każdy, kto wie o współczesnym Internecie, może dostrzec problem z takim podejściem, ale nie wszyscy pracownicy organów ścigania mają taki poziom wyszkolenia.

Po tym wszystkim, co możesz z tym zrobić? Cóż, rzecz prawna oczywiście dotycząca wspierania EFF i rozmawiania o tym z przedstawicielami prawnymi.

Technicznie, jak mówi @Dermike, możesz spojrzeć na rzeczy takie jak ToR / VPN do ukrywania ruchu. Jednak słowo ostrzeżenia jest takie, że korzystanie z tych usług może być postrzegane przez typy rządowe jako „mające coś do ukrycia”, więc trochę złapać tam 22. Poza tym nie korzystaj z usług w USA, jeśli nie jesteś w USA. Chociaż nie ma konkretnego powodu, by sądzić, że inne rządy nie robią tego samego, UE i tak ma tendencję do większej ochrony danych osobowych obywateli.

Edytuj Oto strona z listą alternatywnych produktów firm, które zostały wymienione jako uczestniczące w pryzmacie.

+1 Całkowicie się zgadzam. Szczerze mówiąc, to mnie dotyczy - zwłaszcza pewnej wiedzy, że luneta będzie się czołgać. Ale nie sądzę, żeby ktokolwiek z nas tutaj liczył się jako przeciętny użytkownik internetu :-)
AilixgqmdwCMT - http://meta.security.stackexchange.com/a/881/13820
* „… korzystanie z tych usług może być postrzegane przez władze jako„ mające coś do ukrycia ”, więc trochę złap-22” * ... ale ** niewinne, dopóki nie udowodni się winy **, prawda? * prawda? * O cholera.
** „… ale nie wszyscy pracownicy organów ścigania mają taki poziom wyszkolenia” **, co wskazuje na po prostu wolniejszą lub mniejszą skalę adopcji niż w innych branżach. Ostatecznie aspekt ten będzie integralną częścią szkolenia w zakresie egzekwowania prawa, przynajmniej dla części funkcjonariuszy / agentów.
@RoryMcCune Co masz na myśli mówiąc „nie korzystaj z usług w USA, jeśli nie jesteś w USA”? Wierzę, że oznacza to takie usługi jak Facebook, Twitter, a nawet BlackBerry.
@R11G cóż, myślałem, że z tego, co widziałem, NSA ma ograniczenia dotyczące monitorowania obywateli USA, ale żadnych dla obywateli spoza USA, więc jeśli nie jesteś obywatelem USA i korzystasz z jakiejkolwiek usługi prowadzonej przez firmę amerykańską lub z serwerami hostowanymi w USA (tj. podlegającymi prawu Stanów Zjednoczonych) istnieje ryzyko, że korzystanie z tej usługi będzie monitorowane. Obejmuje to Facebook, usługi Google, usługi Microsoft, usługi Apple, Blackberry. Nie jestem pewien, czy to kanadyjska firma, ale prawdopodobnie będzie miała serwery w USA.
AbsoluteƵERØ
2013-06-07 21:41:59 UTC
view on stackexchange narkive permalink

Jako ktoś, kto zarabia na życie śledząc ludzi i ich nawyki, podzielę się kilkoma spostrzeżeniami na temat przeciętnego użytkownika.

Implikacje inicjatywy zbierania informacji telefonicznych w Internecie:

W Internecie będzie się pojawiać trochę więcej działań związanych z obawami o prywatność. wersja twitterverse „wybuchnie” chwilowo, ale ludzie będą świadomi tego jako coś, co dzieje się w amerykańskim rządzie przez około tydzień, dopóki nie wyjdzie z głównego nurtu mediów (gdzie większość ludzi dostaje swoje „wiadomości” ). Wtedy przestaną o tym mówić. Większość ludzi, którzy czują, że nie robią nic złego, poczuje, że nie mają się czym martwić ( większość ludzi czuje ludzi). Ludzie z paranoikami będą próbowali wymyślić, jak ukryć rzeczy i [nieświadomie] sprawić, że będą wyglądać bardziej jak interesujący nas ludzie. Są to ludzie, którzy myślą, że rząd zawsze ich obserwuje, podczas gdy w rzeczywistości rząd szuka wzorców użytkowania, które nie są zgodne z normą (więc ci ludzie prawdopodobnie wzbudzają zainteresowanie, ale nigdy tak naprawdę nie są monitorowani, ponieważ poza kilkoma podobieństwami będą nadal działać normalnie dla siebie).

Odnoszący sukcesy, „źli” ludzie znacznie lepiej radzą sobie ze społeczeństwem niż ci ludzie.

Czy to coś zyska dla rządu? Nie poza tym, że umożliwi im połączenie kilku punktów do komunikacji w przeszłości. (Informacja będzie przytłaczająca.) Politycznie będzie bardziej szkodliwa (o czym ja sam uważam, że i tak w tym wszystkim chodzi). Jeśli ludzie robili złe rzeczy na wyrzuconych telefonach, prawdopodobnie (jeśli ci ludzie są umiarkowanie inteligentni) telefon ze źle powiązanymi identyfikatorami IMEI został odrzucony, sprzedany lub przekazany. To tylko sprawia, że ​​ignoranci „źli” ludzie zdają sobie sprawę, że muszą być lepsi w swoich nawykach.

Wiedząc o tym, jakie kroki mogą podjąć zwykłe osoby, aby zabezpieczyć się przed gromadzeniem i ujawnianiem taki wrażliwy dane osobowe?

Niestety statystyki nie są po ich stronie. Większość „zwykłych osób” lub przeciętnych ludzi nie ma intelektu, dzięki któremu mogliby zacząć rozumieć, co jest możliwe dzięki takim liczbom (identyfikatorom). Kiedy próbują to zbadać, mogą stać się naprawdę dobrzy w tej jednej rzeczy (jeśli mają luksus skupienia się), ale prawdopodobnie gdzie indziej im się nie udaje, a większość z nich jest zbyt zajęta, aby się tym martwić, ponieważ mają problemy z rzeczywistością na. Dla przeciętnego Amerykanina będzie to jeszcze jedna rzecz, która koncentruje się na czymś innym niż to, czego czują, że potrzebują. Prawdopodobnie będą postrzegać to jako wydawanie pieniędzy na coś innego niż potrzeby, którymi będą dla nich takie rzeczy jak edukacja, żywność i pomoc publiczna ... rzeczy, które ponadprzeciętne (niezwykłe) osoby uważają za oczywiste. Rzeczy, których biedni ludzie boją się utraty, ponieważ niestety są poza ich kontrolą.

Zwykli ludzie mogą zauważyć, że na półkach w dużych sklepach detalicznych jest mniej kart telefonicznych z powodu rozprzestrzeniania się paranoi i dlatego, że właśnie tam kupować rzeczy.

Podobnie jak powiedział Rory Alsop, większość ludzi prawdopodobnie nie będzie w stanie odróżnić swojego monitora od komputera (jeśli używają komputera stacjonarnego) i często myślą o elektronicznym telefonie komórkowym urządzenia jako odrobina magii lub mistycyzmu, która działa w jakiejś formie lub w sposób, o którym nie chcą wiedzieć. Lub uważają je za luksusy, gadżety lub zabawki. Dopóki to działa, nie przejmują się technologią.

Ogólne bezpieczeństwo wzrośnie, a dobrze poinformowani ludzie podniosą poprzeczkę; jak zawsze .

Jeśli wiesz, to prawdopodobnie wiesz, że nie możesz nic zrobić, aby temu zapobiec i zacząć prowadzić normalne, „dobre” życie. Jeśli chcesz spróbować zaciemnić całą swoją komunikację lub żyć poza siecią, możesz czuć się bardziej komfortowo, ale mogę ci powiedzieć, że jest to znacznie trudniejsze. Ludzie są śledzeni wszędzie, gdzie się znajdują.

Prosty przykład:

Typowy użytkownik kupuje kartę telefoniczną w dużym sklepie. Używają swojej karty debetowej (lub innej możliwej do zidentyfikowania karty). Wracają do domu i włączają komputer. Łączą się z Internetem za pomocą nieszyfrowanego połączenia. Wchodzą na Facebooka, Twittera, Yahoo lub niezliczone inne strony, na których otrzymują liczne śledzące pliki cookie. Następnie przechodzą na stronę internetową, gdzie ponownie ładują telefon, wpisując numery z zakupionej karty, lub wpisują numery na samym telefonie, aby dodać więcej minut. Mogą używać tego telefonu do bezpośredniego łączenia się ze swoim profilem w mediach społecznościowych, skąd pobrali aplikację śledzącą. Wszystkie telefony mają wbudowaną funkcję śledzenia pod pozorem „ochrony użytkownika”. Ten numer telefonu znajduje się w ich publicznych profilach w mediach społecznościowych i jest podawany we wszystkich ankietach marketingowych, podaniach o pracę i formularzach, które wypełniają. Są identyfikowalne i dość spójne (dopóki nie stracą pracy lub czegoś w tym rodzaju). Jeśli stracą telefon (z „życiem”), zachowają ten sam numer telefonu.

Jak możesz nie być tą osobą?

  1. Używaj gotówki przy wszystkich zakupach związanych z technologią.
  2. Nie rejestruj Twój zakup.
  3. Wyczyść dowolny system operacyjny na urządzeniu i użyj systemu operacyjnego typu open source jako platformy hosta. Lub użyj systemu operacyjnego takiego jak Knoppix, jeśli nie chcesz zostawiać żadnych śladów.
  4. Jeśli musisz uruchomić coś takiego jak Windows, uruchom go na maszynie wirtualnej. Aktywuj, ale nie rejestruj.
  5. Zapobiegaj wszelkiej komunikacji z firmami, które Cię śledzą. Możesz to zrobić za pomocą reguł zapory sprzętowej.
  6. Możesz spróbować użyć czegoś takiego jak TOR, ale pamiętaj, że jeśli monitorują Twoją lokalizację, monitorują lokalizację, do której próbujesz dotrzeć, ponieważ już zorientowali się, jaki jest Twój wzór.
  7. Przestań używać kredytu karty.
  8. Przestań swobodnie udostępniać informacje w internecie. (Rejestracje domen, media społecznościowe itp.)
  9. Przestań łączyć swoje nawyki z osobą w Internecie.
  10. Bądź nieprzewidywalny.
  11. Usuń rzeczy, które mają zostać usunięte. Nie przechowuj popękanych kopii czegokolwiek na czymkolwiek, czego nie można zniszczyć latarką lub zapalniczką.
  12. Pomyśl o pendrive'ach zamiast dyskach twardych i SSD.

Lub jeszcze lepiej ... odłączaj się częściej i przestań się tym martwić. Życie jest za krótkie na takie rzeczy.

Rory Alsop
2013-06-07 15:39:46 UTC
view on stackexchange narkive permalink

Odpowiedź @ D3C4FF trafia prosto w sedno, jednak istnieje inny punkt widzenia dotyczący przeciętnego użytkownika internetu:

Przeciętny użytkownik internetu nie ma pojęcia o prywatności, poza tym, że „rząd patrzy na moje dane są złe, mmmkay ”

Przeciętny użytkownik świadomie udostępnia o wiele więcej informacji o sobie z resztą świata niż trzyliterowy akronim, którym mógł się posługiwać agentami. (Zobacz ten film , aby zobaczyć niezbyt odległy obraz rzeczywistości)

Gdyby przeciętny internauta naprawdę martwił się takimi rzeczami, nie korzystać z serwisów społecznościowych lub wielu innych witryn - ale tak nie jest. Uwielbiają robić fajne rzeczy, rozmawiać z ludźmi, dzielić się informacjami itp.

Więc konsekwencje są prawie zerowe

Teraz to nie działa t odnosi się do kapeluszy z folii aluminiowej, osób, które mogą mieć duże znaczenie, przestępców i innych grup niszowych - ale nie są przeciętni ...

Prawdą jest, że ludzie udostępniają online ogromne ilości informacji o sobie. Jest to jednak wybór, którego dokonują. Jeśli chcę opublikować zdjęcia mojego kota w okularach przeciwsłonecznych i porozmawiać o związkach i śniadaniu, to jest to w porządku i są to dane publiczne. Jednak moja prywatna korespondencja przez Google, Yahoo itp. Ma być prywatna. W Europie generalnie mamy większe oczekiwania i świadomość w zakresie ochrony prywatności / danych niż w USA. Ponieważ jednak przechowujemy Twoje dane w firmach amerykańskich, obniżamy te oczekiwania. To jest do bani!
Ktoś, kogo znam na tyle dobrze, by zostać przyjaciółmi na Facebooku, pozornie podzielił się wszystkim ze swojego życia, robiąc szczegółowe posty ze zdjęciami na Facebooku o sobie, żonie i dzieciach, dużo podróżował w interesach i opublikował wiele interesujących zdjęć z podróży i historii. Jednak około 6 miesięcy temu jego żona dowiedziała się, że ma tajemniczą kochankę i dwuletniego syna. Okazuje się, że nawet ludzie, którzy wydają się wiele dzielić, czasami mają sekrety, których nie chcą, aby inni wiedzieli. Ludzie chcą wybierać, które informacje udostępniają publicznie.
haylem
2013-06-07 19:04:47 UTC
view on stackexchange narkive permalink

To zawsze był problem, po prostu cię to nie obchodziło

Nie jestem pewien, czy musisz się tym martwić o wiele bardziej niż wcześniej. Pamiętaj, że zbierają one rekordy danych połączeń Twojego operatora (lub przynajmniej ich podzbiór). Już w tym wszystkim ufałeś osobie trzeciej, a to już była strona trzecia, której osobiście nie zaufałbym w niczym. To operatorzy komórkowi. Nie zapewniają komunikacji za darmo, podobnie jak Wi-Fi na lotniskach bardzo szybko przestało być towarem darmowym, chyba że jest dostarczane przez sklep, w którym oczekują, że kupisz kawę i ciasto (uważaj na to, czemu ufasz temu sklepowi tak przy okazji, ale to inny temat).

( Uwaga: pracowałem nad narzędziami do przetwarzania rekordów danych połączeń i innych rzeczy dla niektórych główni operatorzy i producenci telefonów. I banki. To szokujące rzeczy, które zakładasz, że są wykonywane „we właściwy sposób” i że są „bezpieczne”, ponieważ tak powinno być, do cholery, , ale tak naprawdę nie jest t ...)

Wyniki

Może skłoni to ludzi do korzystania z bezpieczniejszych systemów komunikacji. Jasne, nie możesz całkowicie ominąć swoich operatorów telekomunikacyjnych. A może możesz?

Twój plan danych jest Twoim przyjacielem

Użytkownicy mogą skorzystać ze swojego planu danych dla VoIP zamiast normalnych kanałów komunikacji w telefonie . To znaczy preferowanie Skype, Google Hangouts, What's App lub innych niż zwykłe połączenia głosowe i SMS-y / MMS-y.

Oczywiście, o ile ufasz, że są one szyfrowane w sposób bezpieczny i nieodwracalny. Powinieneś preferować narzędzie typu open source, które zapewnia więcej informacji na temat tego, co dzieje się pod okładkami i zapewnia silne szyfrowanie ...

Zdecentralizowana komunikacja za pomocą wbudowanych technologii bezprzewodowych telefonu

Nie wiem, co w tej chwili coś takiego robi (ale mogą już istnieć rozwiązania), ale telefony z wbudowanymi antenami do Wi-Fi lub innymi technologiami bezprzewodowymi o przyzwoitym zasięgu (lub możliwością podłączenia anteny zewnętrznej z USB) może już prowadzić do całkiem interesujących sposobów komunikacji, które NIE musiałyby łączyć się z wieżami komórkowymi Twojego operatora.

Pomyśl o tym w ten sposób: dzięki nim Twój telefon może dotrzeć do każdego telefonu znajdującego się w lokalny zakres wybranej technologii. Które mogą dotrzeć do innych. Jeśli to nie przypomina ci o roju i systemach DHT niektórych sieci P2P ...

Ma to niesamowite konsekwencje, ponieważ możesz mieć zdecentralizowany system komunikacji, który nie opiera się na operatorach, jest zasadniczo anonimowy ORAZ bezpieczny i może być używany zarówno na obszarach „cywilizowanych”, aby uniknąć kosztów, jak i na obszarach „uciskanych”, aby uniknąć cenzury i śledzenia.

Oczywiście, możesz posunąć się tylko tak daleko, jak zabierze Cię sieć komórkowa , aw odległych rejonach to nie byłoby takie wspaniałe (powiedzmy, dotrzymaj kontraktu, jeśli wybierasz się na trekking w górach ...). Ale co do reszty, ponieważ w 2013 r. Pojawiło się kilku 6,8 miliarda aktywowanych abonentów telefonów komórkowych w 2013 r. i więcej, możesz być w porządku i być w stanie dotrzeć do wcześniejszych czasów, jeśli jesteś w dużym mieście i utworzyliśmy kilka węzłów VPN pomiędzy nimi ...

To byłoby niesamowite. Ale to wymagałoby poważnego wysiłku i ducha społeczności, aby obejść się bez wielkich włochatych rąk chciwych, którzy próbowaliby ukraść ciasto (lub uchwalić prawa, które uczynią to nielegalnym). Wydaje mi się, że moglibyśmy nawet użyć tych samych pasm, co w przypadku normalnej komunikacji przez telefon komórkowy, jednak jestem prawie pewien, że jest to całkiem nielegalne, nawet jeśli odbywa się w sposób niepowodujący zakłóceń.

Aktualizacja 2014-04- 02: A potem był OpenGarden FireChat...

Z drugiej strony, nadal musisz ufaj, że Twój telefon i jego system operacyjny nie będą podsłuchiwane. Cholera.

Naprawdę nie rozumiem, dlaczego zasługuje to na złą opinię. Wyjaśnij, co uważasz za problem, abym mógł go poprawić.
Nie przegłosowałem cię, ale NFC nie stworzyłoby świetnej sieci peer to peer, chyba że rówieśnicy są * bardzo * blisko - ma opublikowany zasięg 10 cm, ale 4 cm jest bardziej realistyczny. A osiąga około 400 kbit / s. Na tak krótkim zasięgu możesz równie dobrze skorzystać z przewodowego połączenia USB, aby uzyskać znacznie lepszą prędkość (a komunikacja byłaby znacznie trudniejsza do przechwycenia).
@Johnny: dzięki, Johnny. Właściwie to całkowicie w porządku, myślałem o czymś innym. * To * mogło być ważnym głosem przeciw! Lepsze byłoby również korzystanie z połączeń Wi-Fi ad-hoc za pomocą wbudowanych anten (lub, jak wspomniano, bluetooth, chociaż zasięg jest również bardzo ograniczony).
@Johnny:, w tym pośpiesznym braindumpie było kilka innych błędów (w tym literówka, w której powiedziałem, że POTRZEBUJESZ polegać na swoim operatorze, gdy oczywiście miałem na myśli coś przeciwnego). Nie wspomniałem o tym, ale myślę, że byłoby to technicznie wykonalne, przy wystarczającej kontroli nad sprzętem słuchawki, aby użyć normalnej anteny telefonu komórkowego i pasm do komunikacji w tym P2P. Ale jak wspomniano w mojej poprawionej odpowiedzi, jestem prawie pewien, że jest to niezgodne z prawem w większości miejsc, w których operatorzy komórkowi są objęci zasięgiem.
czy istnieje jakikolwiek problem z bezpieczeństwem przy korzystaniu z szyfrowania typu end-to-end w sieci operatora? Trudno mi uwierzyć, że anonimowe węzły sieci Wi-Fi adhoc są bardziej godne zaufania niż operatorzy.
@LieRyan: Myślę, że problem z uruchomieniem w sieci operatora polega na tym, że podlega ona blokowaniu. Jeśli rząd nie chciał, aby ludzie używali szyfrowania, jeśli przewoźnik nie może zdekodować pakietu za pomocą DPI (lub gorzej, jeśli musisz używać ich serwera proxy, aby mogli łatwo rejestrować szczegóły), mogą tego nie robić Daj temu minąć.
Właściwie zawsze mi zależało.
@this.josh: cóż, dobrze dla ciebie :) Dlaczego nie ostrzegłeś pozostałych?
Zrobiłem. Nikt nie słuchał.
DerMike
2013-06-07 13:42:31 UTC
view on stackexchange narkive permalink

Jeśli chcesz ukryć miejsce docelowe i treść swojej komunikacji (i pomóc innym ludziom na całym świecie je ukryć *), spójrz na „The Onion Router”, czyli TOR.

To używa (przeważnie trzech) wybranych przez ciebie serwerów proxy. Każdy nie wie, z którym serwerem chcesz się połączyć, ale jest następnym sąsiadem. Biorąc pod uwagę, że nie wszystkie serwery proxy są kontrolowane przez Sam-Wiesz-Kogo, nie jest możliwe ustalenie, skąd pochodzi pierwotne żądanie. Poza tym nie jest możliwe, aby dowiedzieć się, dokąd kierowane jest żądanie, ponieważ znany jest tylko następny serwer proxy w Twojej linii.

Ale nie wierz mi na słowo, zobacz ich opis na https : //www.torproject.org/

*) Im więcej osób używa go do „legalnego” surfowania, tym lepsi ludzie np. Syria może zaprzeczyć, że chciała zobaczyć rzeczy zakazane. Kiedy tylko ... powiedzmy, że propaganda nazistowska jest kierowana z TOR i nic więcej, łatwo jest powiedzieć, na co patrzyłeś, używając jej.

Wadą korzystania z TOR jest to, że jest bardzo powolny. Lepiej nie używać go do swobodnego surfowania, aby dysydenci w dyktaturach mogli prowadzić badania i komunikować się bez narażania ich rodzin lub siebie.
Pamiętaj też, że istnieje ** mnóstwo ** złowrogich ludzi, którzy stawiają węzły wyjściowe TOR i mosty, aby mogli zerknąć na Twój ruch. Więc używanie TOR jest dobre ... jeśli używasz szyfrowanych połączeń!
Zaletą TOR jest to, że rozkłada ruch wyjściowy na wiele węzłów wyjściowych, więc przechwycenie dużej części ruchu wymaga wielu złowrogich węzłów wyjściowych. A nawet jeśli przechwytują treści, nie mogą łatwo stwierdzić, kto o to poprosił. (chyba że obserwują Twój komputer i korelują sygnatury czasowe). Jeśli więc robisz coś w tajemnicy, sfałszuj swój adres MAC i użyj otwartych węzłów Wi-Fi z dala od domu, aby zmniejszyć prawdopodobieństwo, że „oni” mogą podsłuchać Twój koniec połączenia.
Fałszowanie adresu IP za pomocą TOR w ogóle nie pomoże w walce z backdoorami danych NSA w Google, Facebooku itp.
Szybkość TOR zależy od liczby istniejących węzłów TOR. Jeśli wiele osób zacznie używać TOR do normalnego przeglądania, ale nikt nie utworzy nowych istniejących węzłów, cała sieć zwalnia. Nie pomagasz systemowi, używając go do celów, które nie wymagają anonimowości.
JackSparrow
2015-04-24 13:41:25 UTC
view on stackexchange narkive permalink

Istnieje czasopismo poświęcone tego typu zabezpieczeniom (szczególnie przeciwko NSA i innym). Seria Tech Active - Podręcznik hakera 2015. W pierwszym rozdziale jest mowa o prywatności; jak chronić swoją prywatność, jak uniemożliwić agencjom lub czarnym kapeluszom śledzenie danych, alternatywne rozwiązania open source dla codziennych usług, jak zabezpieczyć smartfon i szyfrować dane. Zalecam uważne przeczytanie, ponieważ jest kilka szczegółów, które mogą Cię zaskoczyć.

Na przykład:

  • ... monitorowanie aktywności w sieci jest skuteczniejsze niż atakowanie systemów, więc NSA ma programy, które przechwytują sprzęt konsumencki, taki jak laptopy i routery, i zamieniają je w urządzenia monitorujące, które można włączyć zdalnie”
  • .Tor używa wielu węzłów przekaźnikowych do prywatności, ale są nieusortowane raporty, że wiele węzłów wyjściowych jest zarządzanych przez agencje rządowe.
  • ..jak używać ZRTP do szyfrowania połączeń telefonicznych
  • . NSA poświęca znaczne zasoby na infiltrację komputerów obsługiwanych przez grupę TAO. Uważa się, że TAO ma wiele exploitów, które mogą zaatakować każdy komputer.
  • jak skonfigurować własną chmurę, aby uniemożliwić śledzenie danych za pomocą OwnCloud
  • jak używać szyfrowania PGP w swoich e-mailach (może to być Gmail, Yahoo lub dowolna usługa)
  • jak proxy ruchu i e-maili przez JonDo
  • wtyczki szyfrujące do komunikatorów internetowych (Pidgin, Kopete) przez OTR
  • jak udostępniać bezpieczne pliki http://www.securesha.re
  • używanie Rasperry Pi do własnej chmury i usługi VPS

Myślę, że nie ma lepszego nauczyciela niż podejrzliwość w dziedzinie bezpieczeństwa. Nie ufaj nikomu, mnie ani temu magazynowi, ale jednocześnie nie ufaj Google, Facebookowi, Dropbox czy nawet Torowi. W tym wieku każdy może korzystać z własnych narzędzi, usług, systemów, chociaż dla niektórych może to być kosztowne;

prywatność jest bezcenna

Na przykład; - ... monitorowanie działań sieciowych jest bardziej wydajne niż atakowanie systemów, więc NSA ma programy, które przechwytują sprzęt konsumencki, taki jak laptopy i routery, i zamieniają je w urządzenia monitorujące, które można włączyć zdalnie - lub --Tor używa wielu węzłów przekaźnikowych w celu zachowania prywatności, ale istnieją nieusortowane raporty, że wiele węzłów wyjściowych jest zarządzanych przez agencje rządowe - lub - jak używać ZRTP do szyfrowania połączeń telefonicznych - lub - NSA poświęca znaczne zasoby infiltrują komputery obsługiwane przez grupę TAO. Uważa się, że TAO ma wiele exploitów, które mogą zaatakować każdy komputer.
„niepotwierdzone raporty” - do diabła, wielkie niedomówienie, jeśli kiedykolwiek istniało.
@DeerHunter mówi w moim kraju; Nie ma dymu bez ognia, ale nie mam na myśli teorii konsystencji, ale przywiązuję wagę do zaufania komukolwiek, np. Ludziom, organizacji lub niewielkiemu narzędziu na pulpicie
Raporty wcale nie są „niepotwierdzone”. Powszechnie wiadomo, że DoD zarządza węzłami Tora. Nie są podstępni - oni też korzystają z Tora.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...