2009. július 24., péntek

email perfect privacy

Egy módszer emailek biztonságos bonyolításához :

1. Látogassunk el erre az oldalra : http://privacybox.de
Itt Sign up, vagyis hozzunk létre egy accountot.
Lehetőleg valami független account legyen pl :
h4rr7p0tt3r , stb...
Olyan amit meg tudunk jegyezni, de alapjában véve valami "marhaság" :-)
Miután létrehoztuk a logint az account settings-ben állítsuk be a
"save messages local and use the POP3 postbox with your email client" opciót
(azért ezt és ne a forward message-t, mert ha forwardoljuk egy publikus címre, akkor máris ugrott az anonimitásunk...)
encryption of incoming messages-ben állítsuk be ezt :
"OpenPGP encryption" Itt állítsuk be a pgp kulcsunk azonosítóját (key id)
(Winpt-ben jobb egérgomb, Attributes,Copy Key ID to clipboard-al jutunk ehhez :-)
"upload public key"-ben töltsük fel a publikus pgp kulcsunkat.
Jó az is amit használunk máshol, de lehet erre külön létrehozni egy új kulcsot is (én ezt tenném)

Ha ez mind megvan, akkor már csak a klienst kell bekonfigurálni.
1000 és 1 pop3 mail kliens van én csak a Thunderbird-et fogom elmondani.
Thunderbird-ből is a portableapps-t használjuk.(portolt verzió)
A Thunderbirdet kétféleképpen lehet használni :
Simán vagy torral. Ha tor nélkül használjuk,(ne...) akkor állítsuk be a
tools -> about settings -> server settings -nél
a server name : privacybox.de port: 995
user name : h4rr7p0tt3r (pl)
security settings : SSL

Amennyiben tor alól használjuk, allítsuk még be ezt is :
tools -> options -> advanced -> Network -> Connections :
Socks host 127.0.0.1:9050 SOCKS v5

(ide most betehettem volna képernyőképeket, meg minden de egyelőre csak ennyire futotta.)

Ha ez megvan, akkor a thunderbirddel "get mail message" és ott van az első teszt üzenet a pgp kulcsunkkal automatikusan titkosítva.

Üzenni így tudnak nekünk :
https://privacybox.de/tor-proxy.de.html
ide írjuk be : http://privacybox.de/h4rr7p0tt3r.msg
(ez egy tor proxy-n keresztül fog menni)

vagy tor hálózatból :

http://c4wcxidkfhvmzhw6.onion/h4rr7p0tt3r.msg

vagy i2p hálózatból :

http://privacybox.i2p/h4rr7p0tt3r.msg

Nyilván a h4rr7p0tt3r helyére azt a usernevet írjuk, amit mi hoztunk létre...

Így elég biztonságosan tudunk üzenetet fogadni. (küldeni meg amúgy is valami anonym senderen keresztül küldünk :-) Ha a másik félnek is van itt mailboxa, akkor pedig nagyon egyszerűen lehet üzengetni egymásnak.

Ez a módszer valamivel kultúráltabb mint a TorPM, mivel az tor nélkül nem elérhető.

Tervezem még, hogy a TorPm-ről és a I2P-ről és a JonDonym-ról is írok majd egy posztot. Ez a kettő a tor-hoz hasonló anonimitást biztosító hálózatok. (majd ahogy időm/kedvem engedi)

Ezek p2p-re meg fájlcserére annyira nem alkalmasak (nem is erre valók, aki warezkedni akar az használja az arra való cél kütyüket)
Ezek a hálózatok elsősorban biztonságos információcserére valók (nem játék szoftver csere-berére, meg film letöltésre) amire viszont nagyon jók, on-line (irc, chat) és off-line (e-mail, blogok, http felület, fórumok,stb) információk biztonságos és anonim cseréjére.

2009. július 21., kedd

Onion és a tor2web

A .onion egy a tor hálózatban lévő relytett szolgáltatások biztosítására lett létrehozva. A .onion domain név valójában nem létezik, csak a tor hálózatán belül lehet rá kapcsolódni. A tor-on kívülről csak egy proxyn keresztül lehet elérni. Például ezt a helyet : http://kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page a tor hálózaton kívülről így kell elérni : http://kpvz7ki2v5agwt35.tor2web.com/wiki/index.php/Main_Page.
Ez egy relytett szolgáltatás. Elvileg nem lehet kideríteni, hogy melyik ip címen fut. így aztán nehéz "bezáratni" meg efféle dolgokat művelni vele. Ha esetleg illegálisnak minősített dolgok kerülnének fel rá. Természetesen ilyen oldalakon vannak tényleg illegális dolgok is amit normális ember nem tenne fel oda, ettől függetlenül ilyen szolgáltatásokat akkor is igénybe lehet venni, ha nem akarjuk, hogy a szolgáltatón keresztül a nyomunkba eredjen valaki. Ez egy rejtőzködésre létrejött szolgáltatás. Senki nem tud - elvileg semmit. Se a szerver üzemeltetője, hogy kik látogatják, se a látogatók, hogy hol van valójában a szerver.
Hogy hogy kell ilyet létrehozni az részletesen le van írva az előbb említett oldalon, úgyhogy erre nem térek ki. A már létező szolgáltatások listája megtekinthető itt :
http://anegvjpd77xuxo45.tor2web.com/services/
Itt pedig teljes free web hosting van hidden szervizek részére : http://xqz3u5drneuzhaeo.tor2web.com/
Egy biztos : lassú lesz :-) viszont nem nézik, hogy mit raksz fel. Mivel az onion routing miatt teljes homály, hogy merre mennek a csomagok, emiatt nehéz felderíteni a dolgot. Ez sok mindenre jó. Például, ha olyan dolgot akar publikálni valaki, ami miatt egyesek megorrolhatnak rá, ha kiderül a kiléte. Vagy, ha olyan információkat akar közölni valaki másokkal, amik "normál" oldalakról gyorsan lekerülnének... ezek a szolgáltatások pont azért jöttek létre, hogy ne lehessen ellene ilyen lépéseket tenni. Persze illegális (mármint valóban illegális) dolgokra is fel lehet használni, de ez már nem a technológia hibája.
A technológia csupán lehetőséget ad arra, hogy valaki tényleg teljesen névtelenül és kideríthetetlenül meg tudjon osztani információt másokkal. Csak egy példa :
Valaki megtud valami disznóságot valamivel vagy valakivel kapcsolatban. Ezután létrehoz egy ilyen rejtett oldalt vagy a saját gépén, de még jobb egy freedom hosting oldalon, és ott leírja amit megtudott. Utána az oldal linkjét (tor2web.com -ra konvertálva) elküldi azoknak akiket érint a dolog - persze anonym emaileren keresztül. Az információ eljut ahhoz akihez kell , viszont az informátor személyét homály fedi. Ez kb erre való és nem többre. Olyan, mint egy névtelen levél egy "jóakarótól", csak a web lehetőségeivel megspékelve. Képekkel, linkekkel, egyéb információval kiegészíthetjük a szöveget.
Egy lelkes fejlesztő egyébként már elkezdte fejleszteni a tdor-t egy udp alapú onion routingot. Ez várhatóan jóval gyorsabb lesz majd a jelenlegi tcp-s routingnál.
(ha sok időm lesz erről is csinálok majd egy rövid videót. Mit hogyan, stb)

TorCheck

A TorCheck egy egész jó dolog így hát megemlékezem róla. Ez tulajdonképpen egy ellenőrzés amit a https://torcheck.xenobite.eu oldalon találunk. Érdemes tor használata nélkül is megnézni, mivel általános információkat szolgáltat a böngésző aktuális beállításairól. Mozilla és IE alól egyaránt megnézhetjük az aktuális állapotunkat. Ellenőrzi többek között a következőket : tor exit node vagyunk-e (azaz tor alól böngészünk-e vagy saját ip címről), a java-script támogatást, az Active-X támogatást, a Java támogatást, a cookies támogatást, a HTTP referer és a HTTP VIA támogatást. Ezen kívül kiír még néhány informatív dolgot a böngészőről (user-agent, HTTP-ACCEPT kódok, stb)
Amennyiben firefoxot használunk, akkor kiírja hozzá a letölthető pluginokat, amikkel az egyes támogatásokat kapcsolgathatjuk.(ki-be)
Ezek a Noscript addon (javascript ellen),a CookieCuller (sütik ellenőrzéséhez) és a RefControl (HTTP-referer ellenőrzéséhez) Installálás után be tudjuk állítani az Options-ban, hogy védjenek-e (alap esetben engedékenyre vannak állítva, úgyhogy, ha blokkolni akarunk valamit, akkor el kell mélyednünk a beállítások menüjében. Ha lesz kedvem, akkor majd átnyálazom a beállításokat és a lényeges dolgokat összefoglalom pár mondatban. Mit érdemes beállítani és hogyan.)

A torcheck főoldalán van egy link erre a címre : https://cert.startcom.org/ ezt is jó szívvel tudom ajánlani olvasgatásra. A lényeg a https://www.startssl.com-n van kifejtve.

Ez egy free vagyis nem fizetős tanúsítási lehetőség. A startcom root tanúsítványa benne van a firefox-ban. (Persze az M$ IE-ben nincsen benne, de két kattintással oda is be lehet tenni - mondjuk én IE-t csak arra használnék, ha active-x vagy javascript támadásokat akarnék írni és ezen akarnám letesztelni, egyébként a IE-t nem használnám interneten való böngészésre..) ez a tanúsítás azért is jó, mert ez egy alternatíva a pgp-re. Titkosított levelezésre ezt is lehet használni, meg web szerver tanúsításra is. INGYEN. Tudom, hogy nem mind arany ami fénylik, de ez a szolgáltatás talán tényleg alkalmas a használatra. (A startssl DNS-t is lehet használni, például dinamikus ip-cím használatnál név-feloldási problémák megoldására...)

Nos, ennyit a TorCheck-ről - egyelőre.

2009. július 10., péntek

ssl check - 2

Firefox-ban írjuk be : about:cache, majd cut and paste módszerrel másoljuk ki a mamória cache és a diszk cache (már, ha van) tartalmát a cache.txt fájlba.

Utána engedjük rá a cache.bat fájlt. A létrejött urls.lis tartalmazza a https-en meglátogatott webhelyeket. Ezt másoljuk hozzá a korábbi listához, majd "sort -u"-val rendezzük le és megkapjuk az aktuális listánkat.
A korábbi ssl1 és ssl2 batch-et gyúrjuk egybe, és ha egy helyhez van már .orig fájl, akkor ellenőrizze, ha meg nincs, akkor hozzon létre egyet.

cache.bat :

@echo off

type cache.txt | perl -w szuro3.pl | sort -u > urls.lis


szuro3.pl :

use strict;
use warnings;

while () {
if (/http:\/\/(([a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?\.)*[a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?)\/(.*)/) {
print "$1\n";
}
}


Már csak be kell at-vel tenni az időzítőbe a checkerünket és van egy elég jó védekezési mechanizmusunk ssl törés ellen. Eltéréskor persze kell valami hangjelzés, vagy egy ablak az arcunkba, hogy észrevegyük az eltérést. Ilyenkor kiértékeljük a helyzetet és annak függvényében ténykedünk tovább amit észleltünk.

Tanúsítványosdiról, meg saját stunnel kiépítéséről még majd fogok írni (egyszer valamikor :-) bővebben...

Ezt egyébként lejáró tanúsítványok ellenörzéséhez is lehet használni (aki https szervert üzemeltet. Csak ott a lejárati időt kell kiszedni a perl szűrővel és azt kell összevetni a mai dátummal...

2009. július 9., csütörtök

ssl checker

Írtam egy sslchecker-t. ssl szerver ellenőrzéséhez. man-in-the-middle beépülés kizárására.(Mivel a gagyi szoftveres megoldások miatt lehetőség van egy hiba kihasználására)

Az ssl1.bat eltárolja a webhely fontosabb adatait egy webhely.orig fájlba.
Az ssl2.bat pedig összeveti a korábban eltárolt tartalmat az új eredménnyel.
(a két program szinte ugyanaz - megoldhattam volna egy programmal is egy paraméter beadásával, hogy mit kell csinálni ellenőrizni vagy létrehozni, de most nem volt kedvem többet tökölődni vele :-)

ssl1.bat:

@echo off

echo QUIT | openssl s_client -connect %1:443 2>NULL | perl -w szuro.pl > %1.cer
openssl x509 -inform PEM -in %1.cer -text | perl -w szuro2.pl > %1.dat
ren %1.dat %1.orig


ssl2.bat:

@echo off

echo QUIT | openssl s_client -connect %1:443 2>NULL | perl -w szuro.pl > %1.cer
openssl x509 -inform PEM -in %1.cer -text | perl -w szuro2.pl > %1.dat
diff %1.dat %1.orig


szuro.pl:

use strict;
use warnings;

while () {
print if (/-----BEGIN CERTIFICATE-----/ .. /-----END CERTIFICATE-----/);

}


szuro2.pl:

use strict;
use warnings;

while () {
print if (/Serial Number:/ .. /Signature/);
print if (/Issuer:/ .. /Subject:/);
print if (/Modulus/ .. /Exponent:/);

}


A .bat file paramétere a webhely neve (pl: mail.google.com - gmailnél, vagy www.hushmail.com - hushmailnál, stb)
Tehát ssl1 mail.google.com -> létrehozza a mail.google.com.orig fájlt
ssl2 mail.google.com pedig összeveti a jelenlegi állapotot egy előzővel.
Ha nincs eltérés, akkor nem ír ki semmit, ha pedig van, akkor kiírja, hogy mi az.
(Eltéréskor megnézhetjük, hogy csak egy új kulcsot adott ki a tanúsító a szerverre, vagy pedig valaki megpróbál beékelődni.)

Egy másik batch-el "for" alkalmazásával egy egész sor szervert le lehet így ellenőrizni egy listából és csak az eltéréseket fogja kiírni.

Ha lesz kedvem összerakok egy olyan batch-et, ami leellenőrzi az ssl-el védett csatornákat amiket használunk,(az adatokat egy listából fogja venni) egy másik módszert meg kieszelek, hogy hogyan lehet összegyűjteni (egy listába), hogy netezés közben milyen helyeket látogattunk meg, ahol gond lehet az ssl kapcsolat sérülése.

(openssl, perl, unxutils, stb kellenek hozzá, de ezek nélkül az ember nem is megy sehova :-)

2009. július 7., kedd

Biztonságos chatelés

A következő videón letöltöm a portable pidgint és hozzá az encryption plugin-t
Majd beállítom és a privát és publikus kulcsot is létrehozom.
Amennyiben ez a túloldalon is megtörténik, már csak a publikus kulcsunkat kell kicserélni (pl egy aláírt és titkosított pgp levélben) és tudunk biztonságosan beszélgetni egymással. Az ilyenfajta kommunikáció nem csak lehallgatás ellen véd, de azt is megakadályozza, hogy valaki az ellopott jelszavunkkal belépve a nevünkben tudjon beszélni. (mivel azonnal lebukik, ha a titkosított csatornán nem tud visszaválaszolni. Márpedig, ha nem rendelkezik a privát kulcsunkkal, akkor nem fog tudni válaszolni.) A megoldás hordozható. Feltöltjük az usb-re a programot a kulccsal együtt és bárhonnan tudunk biztonságosan kommunikálni azokkal akikkel a publikus kulcsot már egyeztettük. Persze csak windows alól. De , hogy találunk valahol egy internetre kötött windowst annak nagyobb a valószínűsége, mintha egyéb más rendszert keresnénk.

2009. július 6., hétfő

portable pgp

Hordozható pgp alkalmazásra azért van szükségünk, hogy a pgp-vel titkosított leveleinket bárhol és bármikor el tudjuk olvasni.
Ha ez a csomag nálunk van, akkor akármelyik windows xp-ről ahol van hálózat hozzá tudunk férni titkosított levelezésünkhöz. Nem kell admin jog, nem kell szoftvereket installálni, csak futtatni kell a portablePgp-t akár egy usb meghajtóról...



Miután felinstalláltuk a pgp-t és a kulcsokat elhelyeztük a rendszerben, teljesértékűen használható lesz. Figyelem!Ez csak egy portált pgp interfész. Kulcsokat ne próbáljunk meg ezzel generálni - ez nem arra való. Ez a szoftver csak arra jó, hogy már létező kulcsokat beletöltsünk, illetve , hogy a titkosított leveleket kibontsuk vagy mások számára szöveges információt betitkosítsunk.
Windows alatt a winPT-t alkalmazzuk kulcsok létrehozására. Vagy más gnupg kompatibilis megoldást.

Portable Tor firefox, torbutton

Lássuk az alapvető kellékeket, amik az anonym böngészéshez kellenek :
Letöltünk egy Portable Tor-t és egy portable firefoxot, majd utána felinstalláljuk a portable firefoxhoz a torbutton plugint. Így a firefoxon belül egy kattintással tudjuk vezérelni, hogy a saját ip címünkről akarunk-e menni valahova, vagy pedig a tor hálózaton keresztül a valódi ip címünket elrejtve...



Ez még csak az installáció. Működés közben is csinálok majd róla egy videót. Hogy még a hozzánemértőknek is világos legyen, hogy mit kell csinálni.

A tor tényleg egy jó dolog. Anonymitást nyújt sok esetben. Persze a gyengeségeit is szem előtt kell tartanunk. De hordozható anonimitásra szerintem a legjobb módszer.

2009. július 4., szombat

Oktató videók

Néhány magyarázó videó:

Az elsőben létrehozunk egy pgp kulcsot a felhasználónk (alice@hushmail.com) részére.
(WinPT-t használok a célra - ennek már installálva kell lennie a gépre - majd erről is felteszek egy videót) A létrehozott kulcsot kiexportáljuk egy file-ba



A második videón a kiexportált publikus kulcsunkat elküldjük e-mailben annak akivel titkosítottan akarunk levelezni.



A harmadik videón a túloldali felhasználó fogadja az elküldött publikus kulcsunk



A negyedik videón a fogadott és elmentett publikus kulcsot a túloldalon beimportálják a kulcstárba.



Az ötödik videón a túloldal elküld egy levelet a publikus kulcsunkkal titkosítva



A hatodik videón a megkapott titkosított levélből kivesszük a titkosítatlan tartalmat.



Ezek nagyon alapvető tudnivalók - teljesen hozzá nem értőknek szánom.

Tehát a lényeg : Készítünk egy pgp kulcsot, a publikus felét exportáljuk, elküldjük a partnerünknek. A partner ír egy levelet, az üzenetet betitkosítja a kulcsunkkal. így az ő postaládájában is titkosítva fog tárolódni az üzenet. Rajtunk kívül nem fogja tudni elolvasni senki. Az üzenetet megkapva a titkos kulcsunkat használva kiszedjük a titkosított levélből az információt.

Az első, második és a hatodik videó az a mi oldalunkon történik, a harmadik, negyedik és az ötödik pedig annál a partnernél akivel a levelezést lefolytatjuk.

Ezek a pgp használatával kapcsolatos alap dolgok. Folyt. köv.

2009. július 3., péntek

Preparáció

A cím az is lehetne, hogy hordozható anonimitás. Ahhoz, hogy egy hordozható anonimitást biztosító csomagot össze tudjunk állítani nem kell más, mint hordozható szoftverek (amelyek működnek installálás nélkül is) és hordozó eszköz (pl: usb drive, cd, flash memória, stb)

Hordozható programok közül a következőkre van csak szükségünk :

1. Portable Tor
2. Portable Firefox
3. Portable Pgp
4. Portable Pidgin

Ezek aktuális verzióját megtaláljuk a Portableapps.com helyen. Egy verzió linkelve van a letöltéseknél is (oldalt) da az később nem biztos, hogy működni fog.

Letöltjük ezeket és egy alkönyvtárba kibontjuk. Pl: C:\temp\portable
Kibontás után ilyen könyvtárstruktúránk lesz:
c:\temp\portable\PortableTor
C:\temp\portable\PortableFirefox
C:\temp\portable\PortablePgp
C:\temp\portable\PortablePidgin

A tor így jó ahogy van azzal nincs több tennivaló. A firefox-hoz töltsük le a tor button plugint és installáljuk. A pidginhez töltsük le az otr és az encrypt plugineket (egyik is elég lenne, de nem árt, ha megvan mind a kettő)
Ezeket elég egyszerű betelepíteni (van róla leírás a portableapps-on)

Ha ez kész, akkor indítsuk el a tor-t a PortableTor alkönyvtárból.
Várjuk meg, míg sikeresen kapcsolódik a tor hálózathoz. Utána indítsuk el a Firefox-ot a PortableFirefox könyvtárból. Telepítsük rá a tor button plugint és próbáljuk is ki, hogy a tor ki be kapcsolása működik.

Most készíthetünk a portable könyvtárról egy tömörítést (ebben nincsenek benne a pgp kulcsok és az im account információink) Ezt tegyük fel valahova a web-re. Tök publikus, nincs benne semmi titkolni való. Ha szükség van rá, akkor bármikor le lehet tölteni.
(Majd csinálok én is egy ilyen csomagot és felteszem valahova)

Ezután indítsuk el a pgp-t a PortablePgp könyvtárból. Ha nincs még pgp kulcsunk, akkor generáljunk egyet az e-mail címünkhöz, ha pedig már van pgp kulcsunk, akkor töltsük be.

Ezután indítsuk el a pidgin-t és ott is állítsuk be az accountunkat (vagy többet is)

Ha mindennel kész vagyunk, akkor dugjuk be az usb drive-ot (elég egy 256 megás is) a meghajtóba. A C:\temp\portable alatti könyvtárakat másoljuk be az usb drive gyökerébe.

Valami ilyesmit kell látnunk :
F:\PortableTor
F:\PortableFirefox
F:\PortablePgp
F:\PortablePidgin

Ezzel kész is lennénk. Biztonság kedvéért próbáljuk ki, hogy minden ugyanúgy működik-e mint a merevlemezről (kicsit talán lassabban fognak betöltődni a dolgok)
Ezt ki írhatjuk cd-re is, vagy becsomaguljuk (jelszóval) egy állományba és felmásolhatjuk egyéb helyekre : flash memória mp3 lejátszó, stb (ahonnan egyébként a futtatás nem megy. Nem tudom, hogy mp3 lejátszókról megy-e vagy flash drive-okról.) A fényképezőnk flash memóriájára is felmásolhatjuk és akkor ehhez csak egy ilyen kis usb-s flash olovasó kütyü kell.

A pidgin-t be lehet konfigurálni, hogy tor-al menjen. Ehhez a network-nél a proxy-nál be kell állítani, hogy SOKCKS 5 és hogy a proxy 127.0.0.1 : 9050
Ezt is megtehetjük, és akkor a böngészés és az im is a tor hálózatán fog átmenni.
Ha így mentjük el, akkor tor nélkül nem fogjuk tudni használni - de végülis könnyen vissza lehet állítani, ha nem menne a tor, vagy tiltva van vagy valami.

Figyelem !!! A pgp alatt a privát kulcsaink vannak, tehát ha pl cd-re írjuk ki, akkor azt jól rejtsük el (tegyük be a páncélszekrénybe :-) (vagy még pgp kulcsok felkerülése előtt írjuk ki cd-re) (im accounjaink is benne lesznek a configban, szóval a cd-t tényleg jól rejtsük el. Én elvinném anyukámhoz és rábíznám, hogy őrizgesse ;-)
(persze a cd-t előtte teleraknám mindenféle hülyeséggel, hogy ne tudják, hogy mi a lényeg rajta ;-)

Ki fogom próbálni, hogy mp3 lejátszóról, vagy fényképezőgép, telefon flash memóriáról lehet-e így használni.(kommentekbe beírom majd, hogy működik-e) Ha igen, akkor ez egy elég biztonságos tárolás. Senki nem gondolná, hogy ilyen infó is van ott. Nyilván ezekre vigyázni kell, de mp3 lejátszóra vagy fényképezőre, mobiltelefonra amúgy is vigyáz az ember...

A fentiekkel létrehoztunk egy hordozható környezetet, amivel gyakorlatilag bárhonnan, bármely windows xp gépről ahonnan a tor nincs tiltva tudunk anonim böngészni, biztonságosan levelezni (pgp) és biztonságosan és anonim chatelni (internet messages)

A tor-t úgy is be lehet konfigurálni, hogy proxy-t használjon, tehát kliens oldali (pl szolgáltató) tor tiltásnál ezt lehet használni. Beállítunk egy free http proxyt és azt használva megyünk fel a tor-ra. Ez valamivel lassabb lesz. Ez vállalaton belülről is megy, ha a tor nincs a vállalati proxyról kitiltva) Ha már a tor megy, akkor pedig nyugodtak lehetünk forrás oldali lehallgatás és cél oldali azonosítás nem lesz lehetséges.

2009. július 2., csütörtök

E-mail használat - alapok

Ingyenes (free) mail fiókok közül én csak kettőt tudok ajánlani : a husmail-t és a gmail-t.
A hushmail egyik legfontosabb előnye, hogy automatikusan https-en megy. A gmail-nak pedig be lehet állítani, hogy https-en menjen. (https://mail.google.com) Önvédelmi szempontból ezek létfontosságúak. Ha megpróbálna valaki beékelődni a kapcsolatba (pl tor exit ponton) , akkor böngésző szólna, hogy valami nem stimmel... tehát megfelelő és elégséges biztonságot nyújt leveleink olvasásához.
Mivel web-en keresztül működik, nem kell hozzá semmilyen plusz program, bővítmény, installáció. Bárhonnan elérhetőek a levelek (akár egy net kávézóból is) a csatorna mégis biztonságos marad. Persze van, aki külön szoftvereket használ e-mailjeinek kezelésére. Én nem gondolom, hogy ez lenne a jó megoldás - kivéve, ha valaki több száz levelet kap/küld hetente/naponta. Az email az kb olyan, mint a rendes levelezés. Off-line kapcsolattartásra való. Nem dokumentumok és adatok tárolására. Az email szolgáltatónknál tárolni az adatainkat nem jó ötlet. valaki megszerzi a jelszavunkat és hozzáfér az összes levelünkhoz. (Ez kb olyan, mintha az elolvasott leveleinket ahelyett, hogy eltennénk valamelyik fiókba, visszadobnánk a levélládába...senki nem így csinálja nemigaz ?)
Szokjunk hozzá, hogy elektromos postaládánkat ugyanúgy, mint az igazi postaládát kiürítjük és nem adatok tárolására használjuk.
Legtöbbször kényelemből vagy csak lustaságból nem törlik a leveleket (hogy pl később könnyebb legyen visszakeresni.) A legegyszerűbb, nyitni egy txt file-t notepad-al, és a fontos leveleket egy az egyben belemásolni. gmailben pl a "részletek megjelenítése" lehetőségre kattintunk és így elmentjük az egész szöveget. (A gépen már akár titkosítani is lehet az egész fájlt egy mozdulattal) Keresni bármire könnyedén lehet, sőt perl-ben mindenféle programot lehet rá írni, ha erre van szükség) Titkosított leveleket lementhetjük titkosítva, de kibontva is - ez egyéni elbírálás kérdése, bár egyszerűbbnek tűnik a levelezés.txt-t egy az egyben letitkosítani (akármilyen módszerrel) titkosításról már volt szó, itt most ne nagy titkokra gondoljunk. azokat más módon kell tárolni, publikus adatokat meg elég valami egyszerű módon elkódolni és kész.
Ez a módszer rá fog minket kényszeríteni valamire : Csak a tényleg fontos leveleket fogjuk eltárolni, a többi megy a kukába.
A mail szolgáltatónál tárolt levelek olyan veszélyeket hordoznak, hogy ha valaki belép, akkor egy csomó információt ki tud belőle olvasni. Ilyen hülyeséget ne csináljunk...
Ne higyjünk ezeknek az átlátszó dolgoknak : több száz megabájtos postafiók meg a többi kábítás. Ez olyan, mintha a levelesládánk akkora lenne, mint egy kétajtós szekrény. Elég oda pár mega. Fájlok cserélésére vannak más bevált módszerek. emailben csak olyanokat küldjünk, ami oda való - elektronikus leveleket.
gondolkozzunk el rajta, hogy miért jó az a szolgáltatóknak, hogy a sok semmitmondó levelünket nem a saját gépünkön tároljuk, hanem fent egy olyan helyen, amihez "bárki" hozzáférhet a tudtunk nélkül...
Ha mindenáron tárolásra akarjuk használni a levelesládánkat, akkor pedig tegyük a következőket :
Minden levelet töröljünk (ez alap) a beérkező az elküldött és a piszkozatok mappából is. Utána szerkesszünk egy piszkozatot. Az elmenteni kívánt infó-t egy webes titkosítóval titkosítsuk. (http://www.flexcrypt.com/) A kimenetet tegyük bele a levél törzsbe mentsük el a piszkozatokba és kész. Aki belenéz a levelesládánkba csak egy halom hexadecimális kódot fog látni... Nem fog tudni kezdeni vele semmit.

Rengeteg email szolgáltató van. hatalmas feature mátrixokkal bizonygatják, hogy miért jobb az ő szoftverük mint a többi. Ne dőljünk be ezeknek a hülyeségeknek! Ez csak egy "vacak" postafiók. Lehet zöld, kék, csiripelhet, bemondhatja a pontos idót, de ez akkor is csak egy postaláda marad. Ne akarjunk tőle többet. Minél egyszerűbb annál praktikusabb. A "postás" bedobja a levelet, mi kivesszük és kész. A problémáinkat ne a postaládánkban akarjuk megoldani. Ez is csak egy félrevezetés a sok közül amivel ma próbálnak manipulálni minket. Használjuk a józan eszünket.
A legjobb persze, ha saját mail szerverünk van és a postaládánkat ott őrizzük. De mivel ehhez nem mindenki ért, meg erőforrása sincs, használja nyugodtan az ingyenes lehetőségeket. De csak ésszel...

2009. július 1., szerda

Elfedés - 2

Az elfedésről szóljunk még pár szót, mivel nem csak alkalmazni célszerű, de felismerni sem árthat. Vagyis mindkét oldalról meg kell vizsgálni a kérdést, mivel minden éremnek két oldala van. Alapjában véve a világon kétféle információ van : Igaz és hamis. A kettő keveréke a hamisság, ami sem nem teljesen igaz, se nem teljesen hazug. Hamisságot kétféle dolog érdekében lehet alkalmazni :
1. Igaz tényt hazug környezetbe ágyazunk, ezáltal azt a célt érjük el, hogy az igazságban fognak a szemlélődők kételkedni.
2. Hazug tényt igazi információk közé (valódi környezetbe) keverünk, ezáltal a hazugság valódi információnak (hitelesnek) fog tűnni.
(Meg kell itt jegyeznem, hogy ma a XXI. században a tömegkommunikáció - sajtó, média, reklámok, stb - előszeretettel alkalmazza mind a két módszert, attól függően, hogy mire van szükség : igazságok hiteltelenítésére, vagy hazugságok hitelesítésére)

Hogy lehet felismerni és védekezni ellene ? Elemzéssel. Elemezni kell az egybegyúrt információkat külön-külön. Meg kell vizsgálni egyesével a különböző információk valóságtartalmát.

Ez egyáltalán nem valami könnyű és csak koncentrálással lehetséges. Ha nem figyelünk oda - az agyunk nem erre összpontosít -, akkor nagyon könnyen meg tudnak téveszteni minket. Erre itt van egy egész jó kis cikk :

http://www.mtv.hu/magazin/cikk.php?id=105750

Ebben el is magyarázzák, hogy mi okozza a gondolatok ilyen fajta sebezhetőségét.
Próbaképp halgassunk ilyen szemmel híreket, vagy nézzünk így végig párbeszédeket, esetleg a kedvenc filmünket. Az egyes mondatokat önmagukban vizsgáljuk meg és próbáljuk meg kideríteni, hogy mi az a tény amit elferdít és mi az a hazugság, amit sugall az adott helyzet. (Meg fogunk lepődni)

Itt egy használható doksi még a szteganográfiáról :
http://tszo.hte.hu/root/vegzoskonf/cikkek/Foldes_Adam_VK2009_cikk.pdf

innen :
http://www.titoktan.hu/_raktar/_e_vilagi_gondolatok/FarkasJinftarskusz.htm
egy idézet : (A megismerés csapdája)
"Organon címû nagy mûvében Arisztotelész a megismerésnek arról a csapdájáról beszél, amikor az ellentétek nem esnek nagyon távol egymástól. Elõfordulhat, hogy adatainkat ellenkezõleg értelmezzük, mint ahogy elsõ pillanatban gondoltuk, vagy ahogy kellene. Ez a "néma jegy" csapdája a megismerésben, amikor a lényegtelen mozzanatok elfedik a valóságot. ..."

Az elfedés ellen az egyik legjobb módszer, ha megpróbálunk objektívek maradni. Amelyik információról az derül ki, hogy az igaz lehet, azt fogadjuk el igaznak, amiről viszont gyanítható, hogy nem igaz, arra ne alapozzunk és ha ezek az információk egy tömegben keverve jönnek, akkor is csak azt fogadjuk el igaznak, amiről meggyőződtünk magunk. Amiről nem tudjuk, hogy igaz-e azt fenntartásokkal kezeljük. És ne etgyben értelmezzük az információt, csak ha minden részletéről meggyőződtünk, hogy egyik sem hamis.

Legyünk óvatosak és gyanakvóak, hogy ellenünk ne lehessen alkalmazni és legyünk kreatívak és találékonyak, hogy mi mások ellen be tudjuk vetni ;-)