Dlaczego potrzebujemy bezpiecznej komunikacji w internecie?

Życie pod mikroskopem

Inwigilacja sieciowa stwarza trzy główne zagrożenia:

  • Jest w dużej mierze automatyczna. Zbierane są tak wielkie ilości danych, że brak jest ludzi-analityków, którzy mogliby je w miarę na bieżąco przeglądać i inteligentnie interpretować. Oznacza to, że generowanie alertów – metaforycznych “czerwonych lampek” – spada na programy. W efekcie można się spodziewać coraz częstszych fałszywych alarmów. Każdy z nas, tutaj na forum, może już figurować na jakiejś “krótkiej liście” – tylko dlatego, że jakiś program wyłapał wzorce korespondencji, słowa kluczowe w treści, albo “niewłaściwe” znajomości. I dopóki nie zawita do nas grupa realizacyjna, nie będziemy mieć o tym najmniejszego pojęcia. A wtedy będzie już ciut za późno.
  • Obejmuje bezterminową retencję danych. W praktyce oznacza to, że kopie naszej korespondencji sieciowej (w tym treści z chatów i nagrania głosowe ze Skype) przechowywane są na serwerach “służb” do końca naszego życia. Nawet, jeśli nikt ich nie czyta w tej chwili, to w dowolnym momencie mogą zostać wyciągnięte z archiwum i wykorzystane w dowolnym celu. Prawo się zmienia i za 10-20 lat to, czym zajmujemy się teraz może być na przykład uznane za zagrożenie dla państwa.
  • Inwigilacja w coraz większym stopniu jest realizowana przez firmy komercyjne, działające na zlecenie agencji rządowych. Zarówno agencje miedzy sobą, jak i “kontraktorzy” wymieniają się danymi – w tym treścią naszej komunikacji – a niektórzy je po prostu sprzedają. Oczywiście, żaden z nas nie czuje się na tyle ważny, aby czuć się zagrożonym, ale nie wiadomo kiedy to się może zmienić.

Po zeszłorocznych rewelacjach Edwarda Snowdena, stopniowo (wciąż jeszcze nie do końca) odsłaniających zasięg inwigilacji w sieciach komunikacyjnych, zakres handlu danymi z tej inwigilacji i poziom infiltracji w firmach internetowych, cała wiedza o tym, jak bezpiecznie komunikować się w Internecie, stanęła na głowie. Nie wiadomo, jakim produktom, jakim producentom, którym ekspertom ufać, a którzy są opłaceni lub szantażowania przez NSA lub jej odpowiedniki z innych krajów.

Jedno stało się pewne: jeśli my nie zadbamy o nasze bezpieczeństwo, nikt tego nie zrobi za nas.

W tej chwili na uniwersytetach, w rządowych laboratoriach i w hackerspejsach trwa wyścig zbrojeń. Ludzie pracują nad wdrożeniem nowych systemów szyfrowania, które były dotychczas teoretycznie znane, ale nie wdrażane, jako “za mocne”. To się zmieniło. Dotychczasowe standardy: TOR (współfinansowany przez US NAvy Labs), algorytmy RSA i funkcje haszujące, nie są już uznawane za bezpieczne. Ale na razie nie mamy nic lepszego – i nie wiemy, czy mieć będziemy.

To, co mamy, to rosnąca ilość narzędzi pozwalających w sposób _względnie_ skuteczny szyfrować różne rodzaje komunikacji na całej długości kanału. Tak, aby nikt – operator internetu, służby lokalne, NSA – nie miał swobodnego (pozwalającego na automatyczną analizę) dostępu do treści komunikacji, listy kontaktów i tzw. metadanych. Abyśmy mieli (w rozsądnych granicach) pewność, że korespondujemy właśnie z tym, z kim myślimy, że korespondujemy. Abyśmy wreszcie, w razie potrzeby, mogli całkowicie wyprzeć się faktu tej komunikacji.

Poniżej przedstawiam Wam RetroShare – narzędzie, które w rozsądnym zakresie (i w sposób niewymagający głębokiej wiedzy informatycznej) realizuje całkiem sporo tych funkcji.

Czym jest RetroShare?

To jest program, służący do komunikowania się z innymi użytkownikami tego samego programu, w sposób zapewniający prywatność, pewność identyfikacji i umiarkowany poziom anonimowości. Oczywiście warunkiem tego wszystkiego jest zachowywanie dobrych praktyk bezpieczeństwa.

Prywatność, ponieważ cała komunikacja jest szyfrowana i poza odbiorcą (odbiorcami) nikt nie ma dostępu do odszyfrowanych treści. Szyfrowanie odbywa się bezpośrednio w komputerze nadawcy, a odszyfrowywanie – w komputerze odbiorcy.

Pewność identyfikacji, ponieważ każdy użytkownik programu generuje sobie własny klucz, którym potem posługuje się w komunikacji z innymi. Oznacza to, że korespondując z kimś, mam za każdym razem powody wierzyć, że to ta sama osoba (znana mi osobiście, lub nie).

Umiarkowana anonimowość, ponieważ nie muszę się w żaden sposób legitymować, rejestrować, przedstawiać, zaczynając korzystać z programu. Jednakże nie jest bardzo trudno (dla fachowca) zdobyć np. adres IP, z którego “nadaję”. Jeśli więc chcę być w pełni (na ile to możliwe) anonimowy, muszę użyć dodatkowych środków.

Jaką komunikację zapewnia RetroShare?

Czat, wiadomości typu email, komunikację głosową, fora, wymianę plików i linków. Są też kanały multimedialne i RSS.

Wszystkie te sposoby komunikacji przeznaczone są dla grup znajomych. Innymi słowy, moje pliki (o ile nie zadecyduję inaczej) mogą widzieć tylko moi znajomi i ich znajomi. To samo dotyczy rozmów i wymiany wiadomości.

Gdzie przechowywane są dane?

RetroShare nie korzysta z żadnych serwerów. wszystkie dane (treść maili, adresy itp.) przechowywane są – zaszyfrowane i rozproszone – w komputerze moim i innych użytkowników. Nikt nie ma wszystkich danych w jednym miejscu. Nie istnieje żaden serwer, do którego można by podłączyć system inwigilacji.

Jak bezpieczne jest RetroShare?

Wystarczająco, żeby prowadzić korespondencję i rozmowy na tematy “wrażliwe”, czyli zawierające słowa kluczowe, wzbudzające zainteresowanie “służb”. Na razie przynajmniej, nie jest to narzędzie poziomu “czerwonego”, czyli dające całkowite bezpieczeństwo przed skoncentrowanym atakiem. Z jednej strony są w środowisku zastrzeżenia co do mechanizmów bezpieczeństwa użytych w RS, z drugiej – spodziewana jest niebawem wersja 6.0, która ma być znacznie ulepszona.

Jak używać RetroShare?

Pobrać odpowiednią wersję z http://retroshare.sourceforge.net/ (wskazane jest znajomość angielskiego – polskie tłumaczenie programu jest fragmentaryczne). Zainstalować. Utworzyć tożsamość (najlepiej na razie testową). Przeczytać informacje o zdobywaniu przyjaciół na http://retroshare.wikidot.com/ – podłączyć się do serwerów publicznych.

Wymienić się kluczami z innymi użytkownikami – w taki sposób, żeby mieć pewność, że klucze są autentyczne.

Zacząć używać.

Gdzie się mogę dowiedzieć więcej?

Linki na temat RS:

http://retroshareteam.wordpress.com/

http://retroshare.sourceforge.net/

http://retroshare.wikidot.com/

http://en.wikipedia.org/wiki/RetroShare

Advertisements
About

Turning stories into reality.

Tagged with:
Posted in Po polsku

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: