Sifrovani, internetova bezpecnost atd.

[Jenda]

Ještě mě napadlo, že existuje, nebo alespoň brzo existovat bude, USB Armory. Je to dost overkill. Nápad Kocoura by šlo realizovat pomocí nějakého mikrokontroléru, který bude na straně počítače emulovat USB mass storage, na druhé straně bude mít SD kartu (komunikace triviální po SPI) a bude k němu připojená klávesnice pro zadání hesla.

[goral]

Tak jinak, budu muset slevit
linuxy tolik neresim, tam jsem schonej fungovat temer vzdy jak supersuser.
Tam kde ne, by snad mel stacit program, ktery je na flash (portable) - ty jdou pokud me pamet neklame spustit i bez SU prav ne?

Jde spis o windows pocitace kolem me (typicky v praci), ktere jsou zamcene na skoro jakekoliv zmeny. Nevim jak se to jmenuje a admin mi to jen tezko rekne, ale v praxi nemuzu instalovat programy, nemuzu si zmenit ani pozadi na plose, ale treba kopirovat veci z USB na disk muzu bez problemu. A myslim si (musel bych overit), ze mi system ani nezakaze pustit exe soubor, ktery funguje bez instalace.

[pracintl]

TrueCrypt pouštím bez instalace.

[jeniceek]

TrueCrypt na Windows, kde nemáš právo správce počítače nepoužiješ, protože při připojování šifrovaného TC svazku potřebuješ do systémů zavést ovladač TrueCryptu. To bez admin. práv nejde.

[cipis]

? U WXP stačil power user ...

[Rainier Wolfcastle]

Mel bych dotaz. V praci mame klasickou sit do ktere mame pres lan kabel pripojene pc. Kazde pc ma svou identitu a monitoruje se jednak jeho pohyb po siti, tak udajne i diky nejakemu softwaru veskera cinnost na nem.
Krom toho mame i wifi sit, ktera je zaheslovana a je pro hosty- tudiz zadne prihlasovani pomoci identity. Ja to heslo vim. Kdyz se k ni pripojim pres ipad, co je firma schopna monitorovat? Je mi jasne, ze navstevovane stranky, je ale schopna zjistit, co to je za to zarizeni a z toho urcit identitu majitele?

[JenDAG]

Nas "ET" umi toto:

a friendly note to the owner of the Xiaomi 'smartphone', connected to the Guests wireless network:
I just have found that your phone is silently calling back to its vendor [Xiaomi,China],
sending back loads of private information [IMEI of the phone, device ID, contacts etc] in human-readable form, unencrypted across the air.
plus - the phone telco number: +420-XXX-XXX-XXX [last digit was redacted to protect the innocent]
please, do *something* to defend your privacy.

telefoni cislo jsem smazal ja

Edit: MAC adresu zarizeni a dalsi podrobnosti zjistit samo umi taky

[Jenda]

Krom toho mame i wifi sit, ktera je zaheslovana a je pro hosty- tudiz zadne prihlasovani pomoci identity. Ja to heslo vim. Kdyz se k ni pripojim pres ipad, co je firma schopna monitorovat? Je mi jasne, ze navstevovane stranky, je ale schopna zjistit, co to je za to zarizeni a z toho urcit identitu majitele?

Z MAC adresy určíš výrobce zařízení (Apple), jinak si myslím, že iPad, stejně jako snad všechny ostatní „blbuvzdorné“ produkty, bude leakovat spoustu informací (bude synchronizovat kontakty, bude kontrolovat aktualizace…), z čehož půjde zjistit, že je to iPad. Majitele by to snad prozradit nemuselo, na rozdíl od Xiaomi nebo Motoroly si Apple dává pozor, aby důvěrné informace měl jen on a státní orgány (což teda taky není žádná výhra, ale furt lepší, než když si je může přečíst každý jouda po cestě). Druhá věc je když půjdeš, já nevím, třeba sem, a přihlásíš se tu. Rozpad nemá funkční HTTPS, komunikace je naprosto otevřená, takže kdokoli po cestě uvidí to, co vidíš ty (+ heslo co odesíláš a tak). Na takovýchto nepřátelských místech (kavárna, práce, škola… ) je rozumné udělat si šifrované spojení někam, kde tomu trochu víc věříš, a všechno tlačit přes něj (což na iPadu nebude úplně triviální). Já používám (na Linuxu, nic od Apple nemám) SSH tunel, většina lidí používá různé druhy VPN.

Plus dost zařízení leakuje k jakým sítím bylo naposledy připojeno. Takže třeba vidím, že jsi byl připojen k Nevěstinec u Aničky FREE WIFI pro zákazníky

Myslím, že nejlepší bude nainstalovat si někde Wireshark (případně Burp, který umožňuje, pokud zařízení přinutíš ke spolupráci, i dešifrovat šifrovanou komunikaci; pro nekomerční použití je zdarma), připojit se a prostě koukat, co všechno tam teče. Je to dost poučné a občas takhle člověk odhalí i nějaký ten šmírující software, třeba ten Xiaomi co je zmíněn níže by šel odhalit takhle. Osobně si pěstuju sbírku toho, co jsem našel. Nejúžasnější byl ten Stardict posílající hesla do Číny.

[Count]

Odpověď na tvou otázku je "ano". Máte wifi síť chráněnou jedním univerzálním heslem pro všechny, podobně jako hotely, což není dobře. Předpokládám, že v této síti budou strikní omezení, např. napovolený pouze port 80 (HTTP, tzn přístup na Internetové stránky) a nic víc. Pokud je tomu jinak, měl by administrátorovi zvonit v hlavě poplach 24 hodin denně.

Z této sítě se připojíš na závadný obsah a někdo ve firmě bude hlídat, kdo na které stránky přistupuje. Uvidí IP adresu, která na danou stránku přistupovala. Přes ARP si zjistí MAC adresu zařízení. MAC je jedinečný identifikátor každého zařízení a jeho první polovina je u jednoho výrobce stejná, tedy např. Apple. Tím se zúží okruh pátrání. Pak může ten někdo zapojit fantazii a zjistit polohu např. pomocí RSSI, nebo jiným způsobem. Ano, můžeme se bavit o podvrhávání MAC adresy (MAC spoofing) a jiných technikách, ale nemyslím, že je to relevantní.

Je to ale otázka vynaložených peněz a času vs. výsledek. Pokaždé ale platí, chovej se tak, jako by ti přes rameno koukal bezkrký chlap s boxerem v ruce.

[kregan]

Kolega obdržel mail od AČR, který nejde přeposlat. Je možný, že by měli ochranu proti šíření svých zpráv?

[krvfx]

Vzhledem k tomu, že postačuje copy/paste, tak bych spíš viděl problém jinde.

[Count]

Řekl bych, že PČR jen využívá IRM (Information Rights Management) a text pak dle zvolených restrikcí nejde např. kopírovat, nebo přeposílat.

https://support.office.com/en-us/articl ... 96959886c7

Ovšem dvojici tužka&foťák odolá jen máloco.

[proforma]

Ale urcite jde udelat printscreen, ne?

[Count]

IRM umí blokovat i printscreen, jde o technologii jednoho výrobce a tudíž si pohlídali i toto. Proto ten foťák a tužka.

[bacil]

Nebo použít něco jiného, než MS-Office, případně použít hodně staré Office

[tygrsdrakem]

Zdravím pánové a mám dotaz: Osobně považuju za nejlepší ochranu dat data uložená na notebooku zamčeném u mně doma, takže nějaké šifrování disků nebo co moc neřeším. Dělal jsem pokusy s Truecryptem, ale pak jsem tak nějak zjistil, že tam stejně nemám co dát. Spíš mi jde o to, jak zabezpečit komunikaci řekněme v rámci rodiny, nebo nějaké jiné užší skupiny? Řešit velké skupiny typu kolegvé v práci /škole nemá smysl, ty z jejich FB nikdo nedostane, ale aspoň mezi nejbližšími bych chtěl mít nástroj, do kterého neuvidí každý jouda.

Z analýzy EFF údajně nelíp vylezla kombinace ChatSecure + Orbot [1], leč článek je staršího data a vývojáři ChatSecure pro Android zřejmě přešli na Zom [2], [3]. Což je ale projekt o kterém jsem toho moc nedohledal. Jo a ještě jsem narazil na projekt Conversations [4]...

Čili moje otázka zní a) jestli má někdo z vás bližší informace o výše uvedeném a 2) jak byste to řešili / řešíte vy? Ono je totiž celkem naprd mít v trezoru zamčený x krát zatruecryopovaný HDD s "citlivými" daty, ale přitom své plány, denní program, návštěvy, kamarády, a nákupy probírat Velkému Bratrovi přímo pod nosem. Což bohužel z velké části činíme i zde...

-tsd-

[1] http://www.instaluj.cz/magazin/pet-apli ... komunikaci
[2] https://zom.im/
[3] https://github.com/zom/Zom-Android
[4] https://conversations.im/#security

[goral]

Od doby, kdy dal facebook Pidginu slusnou podpasovku bych asi doporucil obycejny Whatsup. Je to cool vec, kterou si snadno kdokoliv naistaluje.
Ano, neni jistota ze tam neni backdoor, ale pouziva to pomerne spolehlive otevreny sifrovani. A je presne na tom pomezi bezpecnosti a uzivatelske privetivosti.
Opravdu bezpecny veci nejsou uzivatelsky dvakrat privetivy a proto nikdy z dlouhodobyho hlediska nedonutis rodinu, aby to pouzivala.
U whatsapu si troufam tvrdit ze jo.

[hrd]

třeba Telegram nebo Signal, pokud to je v rámci uzavřené skupiny, kde je možné se domluvit na stejném SW
jako univerzál asi nejlepší ten WhatsApp

[Permonik]

Používám Telegram (https://telegram.org). Žádná extra registrace, jen přihlášení (tlf.číslo, kód přijde přes sms), takže to může použít kdokoliv pro komunikaci, i když to před tím běžně nepoužíval. Dostupné je to kdekoliv, klient je pro windows, linux, android, mac a má i klienta pro prohlížeč, takže psát můžu též odkudkoliv. Komunikaci lze zahájit běžně (ukládání v cloudu), kde můžu začít psát přes počítač doma, pokračovat psaním přes mobil cestou a dokončit v práci. Nebo to vzít jako secure chat, který po navázání spojení nejde přes servery, neukládá se to a je to šifrované.

[Kocour]

Telegram:
1. vazba na telefonní číslo znamená, že je poměrně snadné identifikovat uživatele účtu.
2. s tím souvisí i problém autentizace přes SMS, protože s těmi můžou manipulovat telefonní operátoři (na žádost úřadů). Doporučuje se použít "dvoufaktorovou autentizaci".
3. použitím platformy, která není masově rozšířená a zároveň je o ní známo, že ji ve zvýšené míře používají různí povstalci, na sebe člověk může přivolat pozornost, které se původně chtěl vyhnout.

(ačkoli by mě zajímalo, co vůbec by úřady měly z monitorování nějaké rodinné komunikace)