Jak bronić się przed inwigilacją?

Prowadzona na szeroką skalę inwigilacja komunikacji elektronicznej to nic nowego – jednak wiele wskazuje na to, że wraz z wejściem w życie nowej ustawy o Policji obywatele naprawdę poczują, czym może być prowadzona praktycznie bez ograniczeń tzw. kontrola operacyjna. Nie jest jednak tak, że osoby zatroskane o swoją prywatność, czy też zobowiązane do utrzymywania wrażliwych informacji w tajemnicy (jak choćby prawnicy, lekarze czy dziennikarze) stoją tu na z góry przegranej pozycji. Nie trzeba wcale zastępować komputera maszyną do pisania, a smartfonu gołębiami pocztowymi. Korzystanie z nowoczesnej techniki nie musi oznaczać utraty prywatności, o ile będziemy korzystali z niej umiejętnie i rozważnie. W tym cyklu artykułów przedstawimy wam wiedzę i narzędzia niezbędne do tego, by uczynić korzystanie z elektronicznej komunikacji bezpieczniejszym. Zaczynamy od analizy zagrożeń dla smartfonów, podstawowych dziś narzędzi, bez których wielu ludzi nie wyobraża już sobie życia.
Włącz swój smartfon, a powiem ci gdzie jesteś

Mówi się niekiedy, że smartfon to urządzenie, które powstało po to, by śledzić swoich użytkowników. Te kieszonkowe komputerki z przyspawaną do nich funkcją telefonu są wykorzystywane przecież do uruchamiania przeróżnych aplikacji, wysyłania wiadomości, robienia zdjęć, nagrywania rozmów i przede wszystkim – łączenia się z Siecią. Można by było pomyśleć, że takie urządzenia powinny zostać zaprojektowane tak, by w najwyższym stopniu chronić prywatność i bezpieczeństwo, ale jak zobaczycie, jest wręcz przeciwnie. Producenci sprzętu robią co mogą, by ograniczyć kontrolę właścicieli smartfonów nad ich działaniem, zarazem ułatwiając operatorom usług telekomunikacyjnych monitorowanie tego, jak są one wykorzystywane. To zaś oznacza, że napastnik, który jest w stanie zmusić dostawców usług do współpracy, może sporo dowiedzieć się o swoich ofiarach, nie musząc przy tym podejmować praktycznie żadnych aktywnych działań operacyjnych. Przy nieco większym wysiłku, wykorzystaniu narzędzi technicznych, może zaś podsłuchiwać ich rozmowy, wykradać hasła do internetowych usług, wysyłać w ich imieniu fałszywe wiadomości, a nawet zamieniać smartfon w pasywne urządzenie podsłuchowe.

Wystarczą trzy maszty, by mierząc odległość telefonu od każdego z nich, dokładnie namierzyć użytkownika

Kliknij aby rozwinąć...

Zagrożenie dla prywatności użytkownika smartfonu (a także zwykłej „komórki”) rozpoczyna się już w momencie włączenia urządzenia i jego zarejestrowania w sieci operatora (co wiąże się z ujawnieniem identyfikującego urządzenie numeru IMEI, oraz ujawnieniem identyfikującego kartę SIM numeru IMSI). Już to pozwala na namierzenie urządzenia z niezłą dokładnością. Wykorzystuje się w tym celu klasyczną metodę triangulacji za pomocą znajdujących się w okolicy stacji bazowych telefonii komórkowej. Anteny zamontowane na ich masztach zwykle występują trójkami, tak, że każda pokrywa 120 stopni łuku okręgu wokół masztu. Oprogramowanie sterujące stacją bazową jest w stanie ocenić odległość od komunikującego się z nim urządzenia, mierząc siłę sygnału i czas między wysłaniem danych tam i z powrotem, a także wskazać, w którym z wycinków okręgu się ono znajduje.

Przy jednym maszcie pomiar nie będzie dokładny, a im dalej od masztu, tym błąd jest większy. Wystarczy jednak wykorzystać drugi maszt, z którym telefon negocjuje połączenie, a pomiar zyskuje na precyzji. W dużych miastach, gdzie sieć telefonii komórkowej jest gęsta, już przy wykorzystaniu trzech masztów można dziś określić położenie urządzenia z dokładnością do kilkudziesięciu metrów kwadratowych. Przekonał się o tym niemiecki polityk Malte Spitz, który zażądał od Deutsche Telekom wydania danych lokalizacyjnych dla jego telefonu zebranych między sierpniem 2009 roku a lutym 2010. Po wygranym procesie sądowym (telekom nie kwapił się do wydania tych danych), we współpracy z magazynem Zeit zdecydował się upublicznić je na interaktywnej mapie. Z zatrważającą dokładnością, ujawnia ona pół roku życia polityka partii Zielonych, pokazując gdzie był, jak się tam dostał, kiedy pracował, kiedy odpoczywał, gdzie szedł pić piwo, kiedy rozmawiał przez telefon, a kiedy wysyłał SMS-y. Dla służb prowadzących kontrolę operacyjną takie dane to sama przyjemność.

Dane zebrane przez Deutsche Telekom o Malte Spitzu: życie jak na dłoni

Kliknij aby rozwinąć...

Można także podejść do sprawy z drugiej strony, zamiast śledzić telefon jednej konkretnej osoby, wziąć na celownik grupę o zadanych cechach. Tzw. zrzut z masztu zinstytucjonalizowanemu napastnikowi pozwala pozyskać kompletną listę urządzeń, które się łączyły z określonym masztem w określonym miejscu i określonym czasie. To idealne rozwiązanie przy np. próbie ustalenia, kto np. uczestniczył w demonstracji antyrządowej.

Za pomocą tych numerów identyfikowany jest telefon komórkowy w sieci operatora

Kliknij aby rozwinąć...

Kliknij aby rozwinąć...

remool napisał:

W dużych miastach, gdzie sieć telefonii komórkowej jest gęsta, już przy wykorzystaniu trzech masztów można dziś określić położenie urządzenia z dokładnością do kilkudziesięciu metrów kwadratowych. Przekonał się o tym niemiecki polityk Malte Spitz, który zażądał od Deutsche Telekom wydania danych lokalizacyjnych dla jego telefonu zebranych między sierpniem 2009 roku a lutym 2010. Po wygranym procesie sądowym (telekom nie kwapił się do wydania tych danych), we współpracy z magazynem Zeit zdecydował się upublicznić je na interaktywnej mapie. Z zatrważającą dokładnością, ujawnia ona pół roku życia polityka partii Zielonych, pokazując gdzie był, jak się tam dostał, kiedy pracował, kiedy odpoczywał, gdzie szedł pić piwo, kiedy rozmawiał przez telefon, a kiedy wysyłał SMS-y. Dla służb prowadzących kontrolę operacyjną takie dane to sama przyjemność.

Kliknij aby rozwinąć...

kuba-xp napisał:

Czyli jeśli zostanę niesłusznie oskarżony o zabójstwo, a nie będę miał alibi, nie będę miał jak się obronić, to technologia jest w stanie potwierdzić moją niewinność, że na przykład w tym czasie przebywałem w innym miejscu? Bomba

Kliknij aby rozwinąć...

al_arsen napisał:

Technologia potwierdzi jedynie gdzie był telefon a nie jego właściciel. No chyba że połkniesz kartę SIM

Kliknij aby rozwinąć...

Społeczny sprzeciw wobec przygotowywanej przez PiS nowelizacji ustawy o Policji jest o tyle godny pochwały, co zarazem nieistotny dla tych, którzy troszczą się o swoją prywatność i choćby z racji zawodu muszą dbać o poufność przechowywanych danych. Inwigilacji komunikacji elektronicznej nie da się powstrzymać regulacjami prawnymi, lecz jedynie metodami technicznymi. Przedstawiliśmy już Wam główne zagrożenia, czyhające na poddanych tzw. kontroli operacyjnej użytkowników smartfonów – teraz zastanowimy się nad kwestią obrony przed nimi.
Telefony jednorazowe

Metoda to dobrze znana z filmów sensacyjnych. Inwigilowany bohater, wiedząc o tym, że jest na celowniku służb, korzysta z tanich, jednorazowych telefonów. Dosłownie jednorazowych, gdyż po ich wykorzystaniu (odebraniu połączenia głosowego, wysłaniu wiadomości) wyrzuca urządzenie do kosza na śmieci czy topi je w rzece. Tańszą odmianą tej metody jest wykorzystanie jednorazowych kart SIM – po wykorzystaniu są łamane i wyrzucane. Czy „jednorazówki” faktycznie jednak chronią nasze bezpieczeństwo?

Wśród specjalistów z branży panuje przekonanie, że to filmowa bzdura. Nawet jeśli założymy, że udało się kupić anonimowo telefon i kartę SIM (co nie wszędzie jest kwestią łatwą i oczywistą, są kraje, w których nawet zakup karty prepaid wymaga rejestracji u operatora), to wykorzystanie jednorazówek jest bardzo podatne na ataki korelacyjne. O co chodzi? Zacznijmy od zmieniania kart SIM w telefonach. To podejście nieskuteczne, ponieważ operator telekomunikacyjny obserwuje w chwili t1 urządzenie z numerem IMEI1 i kartę z numerem IMSI1, a w chwili t2 urządzenie z numerem IMEI1 i kartę z numerem IMSI2. To pozwala wysunąć uzasadnioną hipotezę, że obie karty należą do tej samej osoby i przyjrzeć się momentom i miejscom ich aktywacji w sieci komórkowej.
Jeśli inwigilowany korzysta z telefonów jednorazowych, to też wcale nie jest ciekawie. Czy urządzenia znajdują się w tej samej lokalizacji, noszone są ze sobą? Na podstawie analizy logów z użyciem technik Big Data można łatwo znaleźć te pary IMEI/IMSI, które charakteryzują się podobną charakterystyką. Załóżmy jednak, że ostrożna ofiara inwigilacji będzie pilnowała, by jej telefony nigdy nie znalazły się blisko siebie. By zadzwonić z „bezpiecznego” urządzenia (kupionego np. w chińskim sklepie internetowym), wsiądzie w auto i przejedzie na drugi koniec miasta do swojej skrytki. Niestety i taka aktywność wykazuje cechy, które zinstytucjonalizowany napastnik może wykryć na podstawie analizy metadanych. Problem tkwi bowiem w tym, że każdy z nas przejawia charakterystyczne wzorce zachowań komunikacyjnych – i zamaskowanie ich nie jest łatwe. Chodzi o np. wykonywanie połączeń telefonicznych do określonych osób, czas trwania rozmów itp.

Możliwości takich systemów analitycznych przedstawił w 2014 roku serwis The Intercept

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

na przykładzie amerykańskiego ICREACH, będącego czymś w rodzaju wyszukiwarki metadanych pozyskiwanych z inwigilacji komunikacji elektronicznej. Biedniejsze państwa systemami o takich możliwościach raczej nie dysponują, ale nie oznacza to, że są zupełnie bezsilne – klaster obliczeniowy do analizy Big Data jest dziś w zasięgu budżetu nawet pomniejszych korporacji. Systemy takie pozwalają wytyczyć korelacje pomiędzy telefonami i kartami, które mają wspólne źródło, znajdowały się blisko siebie czy wykorzystywane były do rozmów z tymi samymi osobami.

Aby więc bezpiecznie korzystać z jednorazówek, należałoby nabywać je w różnych miejscach, nie przekładać między nimi kart SIM, nigdy ich nie aktywować w tym samym miejscu, i nigdy nie wykorzystywać do połączeń z tymi samymi osobami. Niektórzy mówią, że należałoby też mówić innym głosem, ale wątpliwe jest, czy nawet amerykańskie służby byłyby w stanie na taką skalę monitorować połączenia głosowe.

Kliknij aby rozwinąć...

Niewidzialni dla anten
Wyłączonego telefonu nie sposób namierzyć. Skąd jednak wiadomo, że telefon jest wyłączony – i co to znaczy, że telefon jest wyłączony? Nawet jeśli ekran jest ciemny, połączenia radiowe wyłączone, a urządzenie nie reaguje na żadne bodźce poza włącznikiem to nie znaczy, że nic w nim nie działa – procesor taktowany jest z najniższą możliwą częstotliwością, działają podstawowe procesy systemowe i aplikacje takie jak alarm. W takim wypadku mogą na nim działać też procesy pozwalające na włączenie radia i aktywowanie śledzenia. To samo jest możliwe, nawet jeśli system operacyjny na procesorze aplikacyjnym jest całkowicie wyłączony – wciąż może działać oprogramowanie na procesorze pasma podstawowego, nad którym użytkownik nie sprawuje żadnej kontroli.
By mieć pewność wyłączenia, ustać musiałyby wszystkie procesy, co do tego jednak użytkownik nie może mieć pewności. Znane są czysto software'owe ataki, które mogą sprawić, że telefon będzie sprawiał wrażenie wyłączonego, a jednocześnie będzie komunikował się ze stacjami bazowymi telefonii komórkowej. Edward Snowden radził więc, by z telefonu, który chcemy ukryć, wyjąć baterię i włożyć je do lodówki. Dotyczy to też urządzeń, których nie jesteśmy pewni. Samo wyjęcie baterii nie daje żadnej gwarancji – czy jesteśmy pewni, że urządzenie faktycznie nie ma autonomicznych systemów zasilanych z dodatkowej baterii, które mogłyby być wykorzystane do namierzania?

Noszenie ze sobą lodówki jest dość niewygodne. Na szczęście istnieją rozwiązania, które pozwolą telefon skutecznie odizolować od sieci, blokując wszelką łączność radiową. W teorii pomoże nawet kilka warstw folii aluminiowej (tak, znamy dowcipy o noszeniu czapeczek), ale znacznie pewniejszym rozwiązaniem będą specjalne futerały do ekranowania sygnałów. Na rynku pojawiło się ostatnio kilka takich rozwiązań – np. zintegrowany z dodatkowym akumulatorem futerał Privoro

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

(osłaniający przed sygnałem radiowym do 110 dB, wyciszający też dźwięki otoczenia do 90 dBA) czy relatywnie niedrogi (kosztujący ok. 90 dolarów) futerał PrivacyCase,

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

zapewniający podobnie najskuteczniejszą osłonę przed falami radiowymi.
Tego typu futerały, których zapewne pojawiać się będzie coraz więcej, stanowią najlepszy, bo bazujący na fizyce sposób na zniknięcie smartfonu z „pola widzenia” anten na masztach telefonii komórkowej – nawet jeśli doszło do ingerencji w urządzenie. Łatwo też w dowolnym momencie telefon uaktywnić, gdy go potrzebujemy, wystarczy wyjąć go z futerału (oczywiście w przemyślanym miejscu, z uwzględnieniem przedstawionych powyżej uwag). Jeśli ktoś zaś chce sam sobie takie zabezpieczenie przygotować, to polecamy przygotowane przez Chaos Communication Club warszaty KillYourPhone.com, z których nauczycie się robić tani futeralik zapewniający osłonę na poziomie przynajmniej 70 dB.

Przypominamy, że układy GPS w smartfonach nie nadają swojej pozycji do satelitów. Zagrożenie związane z lokalizacją przez GPS bierze się przede wszystkim z możliwości wycieku danych z odbiornika przez luki w systemie operacyjnym czy aplikacjach smartfonu. Zamknięty w takim futerale telefon, nawet jeśli zainstalowano na nim szpiegowskie oprogramowanie, nie ujawni swojej pozycji – gdyż fizycznie będzie odcięty od sieci.

Kliknij aby rozwinąć...

Nie daj się użądlić
Opisując metody stosowane do inwigilacji smartfonów wspomnieliśmy o łowcach IMSI, fałszywych stacjach bazowych, które mogą zostać wykorzystane do przechwycenia komunikacji między urządzeniem klienckim a masztem telefonii komórkowej. Nie powinno to dziwić. Z tej formy ataku elektronicznego korzystają służby nie tylko w USA. W ostatnim roku ujawniono, że z amerykańskich łowców IMSI typu Stingray, podobno najbardziej zaawansowanych na świecie, korzystała też policja w Irlandii i Wielkiej Brytanii. Przedstawione na Chaos Communication Congress odkrycia pokazują jednak, że nie jesteśmy bezbronni, aktywność łowców IMSI da się wykryć – i w jakimś stopniu zneutralizować.

Te fałszywe stacje bazowe wykorzystują sztuczkę z kanałem kontroli dostępu (BCCH), aby wirtualnie podbić siłę swojego sygnału, zmuszając słuchawki do do połączenia się z nimi (telefony wybierają najsilniejsze stacje). Zmieniając przy tym numer stacji bazowej, łowca zmusza telefony do wysłania na nowo żądań rejestracji, gromadząc pozwalające namierzyć telefon dane. Wykorzystywana jest tu też technika „bezgłośnych SMS-ów” (SMS Type0), swoistego „pingu” – wiadomości niewidzialnych dla odbiorcy, które pozwalają napastnikowi wykryć, czy telefon jest włączony, a także „bezgłośnych połączeń”, które pozwalają powiązać parę IMEI/IMSI z numerem telefonu w sieci komórkowej.
Fałszywa stacja bazowa potrafi też wymusić osłabienia szyfrowania, z względnie bezpiecznego A5/3 (KASUMI) na praktycznie bezwartościowe dziś A5/1 i A5/2, a nawet wyłączenie szyfrowania (A5/0), tak by możliwy był podsłuch połączeń głosowych w czasie rzeczywistym. Warto tu wspomnieć, że owo osłabienie szyfrowania nijak nie jest ujawniane przez większość telefonów, i to mimo tego, że specyfikacja GSM dopuszcza taką funkcję. Na jej wprowadzenie do Androida społeczność naciska od 2009 roku, jednak Google z jakiegoś powodu nie zamierza tego zrobić.
Wykrywanie ataków
Powstały więc narzędzia, zarówno sprzętowe, jak i software'owe, które pozwalają wykryć inwigilacyjną aktywność. Te komercyjne rozwiązania są zwykle wbudowywane w drogie smartfony, takie jak ESD Cryptophone

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

czy GSMK Cryptophone

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, dostępne też są jako stacjonarny sprzęt, pozwalający chronić przed łowcami IMSI określony obszar (np. IMSI Catcher Detector firmy DFRC). Koszty takich rozwiązań są jednak bardzo wysokie, więc niezależni hakerzy rozpoczęli prace nad tanimi alternatywami, które byłyby dostępne dla mas. Całkiem skuteczny detektor łowców

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

można dziś zbudować nawet kosztem około 100 euro, ale wymaga to z kolei pewnych umiejętności technicznych.
Na szczęście nawet zwykły użytkownik smartfonu z Androidem może skorzystać z aplikacji, które w wielu wypadkach wykryją próby inwigilacji. Należy podkreślić, że nie gwarantują one pełnej skuteczności – gra w kotka i myszkę tu nigdy się nie kończy. Jednak wobec napastników, którzy nie dysponują sprzętem porównywalnym z tym, co ma NSA, są całkiem skuteczne. Najważniejszą aplikacją tego typu jest Android IMSI Catcher Detector

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, wykorzystujący kompleksowo liczne techniki detekcji, by wykryć zachodzące w pobliżu próby manipulacji siecią komórkową – i ostrzec użytkownika o zagrożeniu wymownymi ikonami. Program potrafi wykryć też ciche SMS-y, próby ataków za pomocą tzw. FemtoCells – domowych routerów, które służą zwiększeniu zasięgu sieci w zamkniętych pomieszczeniach i blokuje próby zdalnego instalowania aplikacji na telefonie przez potencjalnie złośliwą usługę Google'a GTalkService. Tej otwartoźródłowej aplikacji nie znajdziecie w Google Play, trafiła jednak do naszej bazy oprogramowania na Androida. Nie wymaga ona uprawnień roota, posiadaczom roota zapewnia jednak dodatkowe możliwości.

Drugą wartą uwagi aplikacją tego typu jest SnoopSnitch

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, gromadzący i analizujący dane z sieci komórkowej, by ostrzec o pojawieniu się fałszywych stacji bazowych, śledzeniu użytkownika i próbach dostarczenia mu zdalnie złośliwego oprogramowania. Aplikacja wymaga roota i działa póki co jedynie na telefonach z czipsetem Qualcomma. Liczba wspieranych modeli nie jest duża, pojawiają się problemy przy niefirmowym oprogramowaniu systemowym, ale tam gdzie program działa, tam robi to bardzo skutecznie. SnoopSnitcha znajdziecie w naszej bazie oprogramowania na Androida.

Wypada też wspomnieć o aplikacji Darshak, która informuje m.in. o użytym przez sieć szyfrowaniu i atakach za pomocą cichych SMS-ów, jej główną wadą jest jednak liczba wspieranych urządzeń – oficjalnie jedynie Samsung Galaxy S3. Znajdziecie ją w naszej bazie

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, wymaga roota.

Utrudnianie podsłuchów
Sposobem na ochronę przed podsłuchem za pomocą łowcy IMSI może być uodpornienie się na pogorszenia szyfrowania. Wbrew pozorom nie jest to trudne. Bezwartościowe dziś szyfry powstały dla łączności 2G – więc obsługę sieci 2G w telefonie należy więc po prostu wyłączyć. By to zrobić, należy dysponować na swoim telefonie rootem i zainstalować framework Xposed, którego automatyczny instalator dla Androida 4.x znajdziecie w naszej bazie oprogramowania

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. W wypadku Androida 5/6 to wciąż wymagający „ręcznych” działań proces, opisaliśmy go jednak w szczegółach tutaj

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

.
Po zainstalowaniu Xposed Frameworka należy sięgnąć po jego moduł Intelli3G

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. Po zainstalowaniu wystarczy przełączyć w nim domyślne ustawienia GSM/WCDMA na WCDMA only albo LTE/WCDMA – w ten sposób nawet jeśli telefon połączy się z siecią fałszywej stacji bazowej z osłabionym szyfrowaniem, nie będzie mógł z nią „rozmawiać”.
Nie zawsze praktycznym, ale najbardziej niezawodnym sposobem na uniemożliwienie podsłuchu rozmów głosowych i SMS-ów jest jednak z nich rezygnacja – jak się przekonacie w kolejnym artykule z tego cyklu, potraktowanie smartfonu jako przenośnego komputera z modemem 3G, na którym uruchamiamy bezpieczne oprogramowanie komunikacyjne, może poważnie utrudnić życie napastnikom.

Maskowanie numerów
Kontrowersyjną metodą obrony przed inwigilacją elektroniczną jest maskowanie danych o swoim urządzeniu. Dla zwykłego użytkownika zamaskowanie informacji o karcie SIM (numeru IMSI) jest bardzo trudne, ale też informacja ta przesyłana jest do sieci rzadko (w zasadzie tylko wtedy, gdy telefon jest włączany, lub gdy dane uwierzytelniania zostają unieważnione) – tymczasem numer TMSI, tymczasowo identyfikujący urządzenie w sieci, przyznawany jest losowo przez sieć. Można jednak maskować przed operatorem numer identyfikacyjny samego urządzenia (IMEI), wykorzystywany m.in. do blokowania w sieci skradzionych telefonów.

Na wielu forach przeczytacie, jak bardzo nielegalne jest to działanie. Kwestia interpretacji, faktycznie próbowano podciągnąć zmianę numeru IMEI pod paragraf dotyczący odpowiedzialności karnej za… fałszowanie dokumentów (art. 270 § 1 k.k.). Po pierwsze jednak dotyczy to urządzeń „trwale oznakowanych” – zaś w wielu współczesnych smartfonach IMEI jest w pełni programowalne, co więcej niektórzy producenci sami informują jak to zrobić. Po drugie jednak w 2005 roku wypowiedział się w tej sprawie Zastępca Prokuratora Generalnego Karol Napierski, który choć uznał aparat telefoniczny za trwale oznakowany dokument, to jednak zauważył, że warunkiem odpowiedzialności karnej jest tu intencja, chęć wykorzystania przerobionego telefonu jako autentycznego.

Kliknij aby rozwinąć...

Dla starających się uniknąć inwigilacji przydatne będzie też zmienianie adresów MAC interfejsów sieciowych Wi-Fi i Bluetooth. Choć metod na to jest wiele, najwygodniejszą będzie wykorzystanie modułu frameworka Xposed – Device Id IMEI Changer

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. Pozwala on na modyfikację IMEI, identyfikatora Android ID, numeru seryjnego urządzenia, oraz adresów MAC dla Wi-Fi i Bluetootha, zarówno ręcznie, jak i generując losowe numery

Jeśli moduł ten nie będzie działał z Waszym urządzeniem, można spróbować wykorzystać moduł IMEI Changer

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, pozwalający generować numery losowe, jak również numery charakterystyczne dla urządzeń Apple'a, Samsunga, Nokii i HTC.

Zaawansowanym użytkownikom, korzystającym z chińskich smartfonów z czipsetem MediaTeka, warto polecić jeszcze zestaw narzędzi Mobileuncle Tools

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, które oddają pełną kontrolę nad urządzeniem w trybie fabrycznym. To narzędzie również może posłużyć do zmiany IMEI, i to dla obu slotów SIM, jakie zwykle można znaleźć w chińskim sprzęcie

Wycieki z aplikacji
Dla prowadzącego kontrolę operacyjną komunikacji elektronicznej największym sukcesem jest umieszczenie na sprzęcie ofiary „pluskwy”. Najlepiej sprzętowej, ale nikt nie pogardzi też software'ową, którą można dostarczyć znacznie łatwiej. Nie jest też źle, jeśli znane są luki w popularnym oprogramowaniu, przez które napastnik mógłby pozyskać interesujące go informacje – w szczególności lokalizację, ustaloną za pomocą systemu obejmującego nie tylko moduł nawigacji GPS, ale też dane z masztów telefonii komórkowej i wykrytych sieci Wi-Fi.

By żyło się wygodniej, takie informacje są regularnie wysyłane przez smartfon do wielu dostawców usług. W teorii Android pozwala na ograniczenie dostępu do tych informacji dla zainstalowanych w systemie aplikacji, ale za pomocą jawnie dostępnych w systemie opcji nie zrobimy tego w pewny sposób.
Najpewniejszym sposobem jest obecnie wykorzystanie modułu Xposed o nazwie XPrivacy

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. Potrafi on selektywnie dla konkretnych aplikacji ograniczyć dostęp do określonych typów danych, blokując dostęp lub „karmiąc” fałszywymi informacjami. Dlaczego aplikacja latarki chce wiedzieć, gdzie jesteś? Niech za każdym razem gdy o to zapyta, dowie się, że jesteś gdzieś na Biegunie Północnym. Dlaczego odtwarzacz muzyki miałby mieć dostęp do zawartości SMS-ów? XPrivacy potrafi wykazać mu, że na telefonie nie ma żadnych SMS-ów. Dysponuje on także wersją płatną, która oferuje dodatkowo dostęp do rozwijanego przez społeczność systemu współdzielenia schematów restrykcji dla aplikacji

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Drugą warstwą zabezpieczeń przed wyciekiem informacji ze smartfonu powinna być skuteczna zapora sieciowa, korzystająca ze sprawdzonych linuksowych rozwiązań. Czemu w ogóle aplikacja latarki ma mieć dostęp do Internetu? Pomocny w skutecznym zablokowaniu wycieków danych z telefonu będzie graficzny interfejs do mechanizmu iptables o nazwie AFWall+

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, w którym ustalić można prawa dostępu do sieci dla poszczególnych aplikacji, w trybie białych i czarnych list. Warte uwagi jest to, że program pozwala selektywnie blokować dostęp, w zależności od rodzaju sieci – tak że dana aplikacja, np. zablokowana dla połączenia komórkowego, będzie mogła rozmawiać w ramach domowego Wi-Fi w sieci lokalnej, ale nie będzie miała dostępu do Internetu. Zablokujemy tu też dostęp nie tylko aplikacjom, ale i komponentom systemowym Androida.

W rękach wroga: zaszyfruj swój telefon
Napastnik, który uzyska fizyczny dostęp do naszego smartfonu jest w znakomitej sytuacji. Zapewne będzie dysponował sprzętem wykorzystywanym w informatyce śledczej do zrobienia zrzutu zawartości urządzenia, będzie mógł też zainstalować na nim szpiegowskie oprogramowanie – jeśli zrobi to niepostrzeżenie dla ofiary, to osiągnie pełen sukces w swojej pracy. I powiemy tutaj szczerze – nie tak wiele można zrobić, by się przed takim atakiem na nasze urządzenie zabezpieczyć. Kilka dni temu pojawiły się Informacje, że specjaliści holenderskiej policji skutecznie zaatakowali znane z wysokiego poziomu bezpieczeństwa i prywatności telefony BlackBerry, wykorzystując w tym celu m.in. technikę fizycznej analizy zawartości czipów pamięci, usuniętych z płytki głównej telefonu (zainteresowanych kwestią zabezpieczeń Jeżynek polecamy interesującą prezentację ludzi, którzy zawodowo próbują je forsować).

Znów jednak nie należy załamywać rąk, ale postarać się uczynić atak dla nieposiadającego nieograniczonych zasobów napastnika tak kosztownym i trudnym, jak to jest tylko możliwe.
Przede wszystkim należy pamiętać o uaktywnieniu szyfrowania zawartości swojego urządzenia. Od czasu Androida 4.4 wykorzystuje ono porządną implementację linuksowego dm-cryptu, dodatkowo w niektórych urządzeniach z Androidem 5.x można przechowywać klucze szyfrujące w specjalnej, sprzętowo zabezpieczonej sekcji procesora. Zabezpieczenie wykorzystujące 128-bitowy szyfr symetryczny AES-cbc z szyfrowanymi i solonymi wektorami inicjalizacji jak na razie nie ma żadnych znanych słabości.
Zaszyfrowanie telefonu nie jest trudne. Przed rozpoczęciem, urządzenie należy podłączyć do ładowarki – proces ten trochę potrwa. W systemowych Ustawieniach wybieramy Zabezpieczenia > Blokada Ekranu. Jeśli wcześniej była już jakaś blokada wprowadzona (np. PIN lub wzór graficzny), trzeba je będzie teraz wprowadzić. Następnie zmieniamy ustawienie Blokady na Hasło i podajemy ciąg znaków o maksymalnej długości 16 znaków. Warto pamiętać o wykorzystaniu dużych i małych liter oraz cyfr, ale też nie przesadzać na tym etapie ze złożonością – w końcu w ten sposób będziemy odblokowywali ekran logowania.

Po ustawieniu hasła przechodzimy do Ustawienia > Zabezpieczenia > Zaszyfruj urządzenie. Wybieramy opcję Zaszyfruj telefon i podajemy ponownie hasło. Pozostaje poczekać kilkanaście do kilkudziesięciu minut.

Warto też zaszyfrować używaną kartę SD – w tym celu w Ustawienia > Zabezpieczenia włączamy Zaszyfruj zewnętrzną kartę SD i wybieramy opcje takiego szyfrowania. Dla zaoszczędzenia czasu można tu pominąć szyfrowanie plików multimedialnych. Po wprowadzeniu hasła, o ile mamy przynajmniej 2 GB wolnego miejsca na karcie, rozpocznie się proces szyfrowania.

Gdy telefon jest już zabezpieczony, warto zrobić coś dodatkowo. Posiadacze roota na swoich telefonach mogą skorzystać z narzędzia Cryptfs Password

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, które pozwala zmienić główne hasło szyfrujące, odłączając je od hasła używanego do odblokowania ekranu. Za jego pomocą można więc zastosować znacznie silniejsze hasło, które wprowadzane będzie tylko przy uruchamianiu smartfonu – a odblokowanie ekranu będzie prostsze.

Ceną szyfrowania jest spadek wydajności urządzenia. Nie powinien on jednak przekroczyć więcej niż 10%, jest to więc naszym zdaniem gra warta świeczki. Trzeba jednak pamiętać o jednej rzeczy: szyfrowanie zabezpiecza nas sprzęt tylko wtedy, gdy jest on wyłączony. Znane są ataki pozwalające wydostać klucze szyfrujące z pamięci urządzenia, dlatego należy zrobić wszystko, by napastnik nigdy nie dostał do rąk włączonego smartfonu. Jeśli nie korzystamy z telefonu przed dłuższy czas, np. zostawiamy go w szafce na odzież, wcześniej fizycznie go wyłączmy. Należy też pamiętać, by hasło szyfrujące nie było nigdy wykorzystywane w żadnej innej usłudze, w szczególności nie powinno być tym samym hasłem, co do Google'a.

Kliknij aby rozwinąć...

Bezpieczeństwo to nie to samo, co prywatność
Przedstawione w tym artykule metody ochrony przed inwigilacją smartfonów nie zapewnią nikomu absolutnego bezpieczeństwa, podniosą jednak koszt przeprowadzenia ataku przez napastnika – a to jest właśnie celem realistycznie rozumianych metod obronnych. Co najważniejsze, upowszechnienie tych metod w społeczeństwie utrudni to, co najbardziej zagraża wolnościom obywatelskim, tj. inwigilacji prowadzonej na masową skalę.

Dobrze zabezpieczone telefony można wykorzystać teraz do zapewnienia sobie prywatności. Zabezpieczenia sieci 3G/LTE nie są złe, ale czy można ufać szyfrowaniu, którego nie kontrolujemy?

Kliknij aby rozwinąć...

Słynny pisarz Philip K. Dick napisał w latach siedemdziesiątych zaskakująco prorocze słowa: przyjdzie taki czas, gdy kiedy nie będzie się już mówiło „oni mnie podsłuchują przez telefon”. Będzie się mówiło „mój telefon mnie podsłuchuje”. Dzisiaj w erze smartfonów można powiedzieć, że ku uciesze wielkiego biznesu, cyberprzestępców jak i organów ścigania wizja ta się spełnia na naszych oczach. Naszym zdaniem sytuacja nie jest jednak beznadziejna. Choć powszechnie używane smartfony nie są urządzeniami, które gwarantowałyby bezpieczeństwo i prywatność, to można je w dużym stopniu uodpornić na elektroniczną inwigilację. W poprzedniej części przedstawiliśmy metody, dzięki którym utrudnimy śledzenie telefonów i nieupoważniony dostęp do przechowywanych na nich danych, teraz przyjrzymy się sposobom na możliwie bezpieczną komunikację głosową i tekstową oraz anonimowe korzystanie z Sieci.

Na początku trzeba podkreślić jedną rzecz. Bezpieczeństwa i prywatności w Sieci nie uzyskamy w automagiczny sposób, poprzez zainstalowanie i uruchomienie jakiejś aplikacji z wielkim zielonym przyciskiem „bądź bezpieczny”. Wiele takich porad, publikowanych ostatnio przez rozmaite serwisy, jest dla zwykłego Kowalskiego bardzo szkodliwa – po pierwsze daje mu fałszywe poczucie bezpieczeństwa, po drugie nakłania do użycia narzędzi, których należy używać z głową, rozumiejąc ich ograniczenia i zagrożenia, jakie się z nimi wiążą. Niekompetentne ich użycie może sprawić, że ów zwykły Kowalski może zostać objęty bardziej dokładną „kontrolą operacyjną”, której rezultaty mogą być bardzo różne. Niestety taki stan rzeczy bierze się z pogoni za łatwo przyswajalną sensacją i niewystarczającą kompetencją techniczną – za pisanie tekstów o ochronie prywatności biorą się ludzie, którzy nigdy w życiu nie uruchomili sieciowego sniffera, nie potrafią napisać regułek zapory sieciowej iptables – ale właśnie potrafią polecić uruchomienie Tora na telefonie jako sposób na zapewnienie sobie prywatności w Sieci.

O bezpieczeństwie IT należy myśleć tymczasem jako o ciągłej walce, w której w miarę rozwoju naszych zabezpieczeń napastnik rozwija swoje metody ataku. Pokazaliśmy to w pewnym stopniu w naszym cyklu poświęconym ofensywnemu bezpieczeństwu sieci Wi-Fi – ulepszaniu miecza i tarczy nie ma końca, ale zwykle to tarcza ma przewagę, chyba że dojdzie do odkrycia jakiejś spektakularnej luki w zabezpieczeniach, która uczyni cały system zabezpieczeń bezwartościowym (tak jak było to z szyfrowaniem WEP). Jeśli takich luk akurat nie ma, napastnik będzie stosował rozmaite metody niefrontalnego ataku, sztuczki mające nas zmylić czy osłabić stosowane zabezpieczenia do poziomu możliwego do złamania. My ze swojej strony, stosując rozsądnie rozmaite techniki zabezpieczeń, możemy zwiększać koszt przeprowadzenia takiego ataku, tak by stał się on w praktyce niemożliwy. Stuprocentowej gwarancji bezpieczeństwa jednak nie ma i nie będzie – pamiętajcie o tym zawsze, gdy robicie cokolwiek, co powinno pozostać tylko Waszą tajemnicą.
Prywatność w sieciach komórkowych
Jak pisaliśmy wcześniej, szyfrowanie używane w łączności komórkowej GSM jest dziś nic nie warte, można je łamać w czasie rzeczywistym. Dopiero rozwój sieci 3G i 4G/LTE przyniósł wykorzystanie bardziej zaawansowanych kryptosystemów, dzięki którym można założyć, że transmisja danych między smartfonem a stacją bazową jest nie do ruszenia. Tak samo jest w wypadku wykorzystania dobrze zabezpieczonego Wi-Fi – na odcinku między między smartfonem a punktem dostępowym do naszych danych nikt się nie dostanie.

Co dzieje się jednak później? Smartfon, który staje się terminalem internetowym, zyskuje możliwość korzystania ze wszystkich usług sieciowych, jakie dostępne są dla zwykłych pecetów, zarazem jednak staje się podatny na te wszystkie metody elektronicznej inwigilacji, które wykorzystuje się przeciwko pecetom. Zaczyna się od tego, że po połączeniu z infrastrukturą operatora telekomunikacyjnego, w logach zostaje zapisane (w uproszczeniu), że o danej godzinie, poprzez daną stację bazową, uzyskało dostęp do sieci urządzenie z kartą SIM, które zgłosiło się z określonym adresem MAC i otrzymało z puli określony adres IP.

Wszelka ujawniająca adres IP aktywność w Sieci (a więc przeglądanie stron internetowych, używanie komunikatorów, wysyłanie e-maili, korzystanie z aplikacji dostępowych do usług czy nawet pobieranie plików przez sieci P2P) pozostawia w logach ślad. Zgodnie zaś z obecnym prawem telekomunikacyjnych, operatorzy zobowiązani są do przechowywania danych o połączeniach w ramach sieci komórkowej i Internetu przez 12 miesięcy – i w praktyce dane te są udostępniane na każde żądanie służb, bez jakiejkolwiek kontroli sądowej. Z nich można wyczytać adresy wszystkich urządzeń, z jakimi się komunikujemy i czas, w którym do tego doszło. Dysponując tymi danymi, łatwo ustalić tożsamość użytkownika. Od tego tylko krok do uważniejszego śledzenia aktywności w Sieci, gromadzenia wszystkich pakietów IP kierowanego do niego ruchu sieciowego. Co prawda według prawa sama treść komunikacji objęta jest tajemnicą i poddana ochronie prawnej, co miałoby oznaczać, że służby nie mogą bez żadnych regulacji się jej przyglądać, jednak już same metadane, czyli informacje o tym, kto, z kim i kiedy się komunikował, wystarczą do stworzenia profilu aktywności każdego internauty.

Najgorzej w tej sytuacji mają klienci korzystający z abonamentu – poproszony o ujawnienie danych operator wyda od razu logi całych 12 miesięcy aktywności w Sieci, połączone z ich imieniem, nazwiskiem i adresem zameldowania. W razie czego mogą się oni co najwyżej tłumaczyć się, że to kolega podkradł telefon i opublikował na publicznym forum np. wpis szkalujący władze państwowe. Stosunkowo najlepiej mają ci, którzy do nierejestrowanego w kraju smartfonu włożyli zakupioną za gotówkę w innym mieście kartę SIM dla numeru prepaid, ale jak wieść gminna niesie, i takich potrafiono namierzyć. Nawet bowiem korzystanie z pozornie anonimowych kart nie chroni przed atakami korelacyjnymi, czy atakami zbierającymi „odcisk palca” namierzanego urządzenia – dysponujący odpowiednimi zasobami napastnik jest w stanie powiązać go z podobną aktywnością, przeprowadzaną za pomocą mniej już anonimowych form połączenia, z podobnych lokalizacji. Pewną ochroną może być podobnie wykorzystanie otwartych publicznych hotspotów Wi-Fi zamiast połączenia komórkowego, ale i tu trzeba się liczyć z możliwością namierzenia.

Politycy, urzędnicy i organizacje pozarządowe mogą bez końca dyskutować nad zasadnością przechowywania tych danych i ich udostępniania służbom, ogłaszana może być konieczność zmian takiego stanu rzeczy (notabene konieczność zmiany tej dowolności w sięganiu po dane telekomunikacyjne przez służby potwierdziła Najwyższa Izba Kontroli, która m.in. skrytykowała fakt, że w Polsce jedynym podmiotem oceniającym zasadność sięgnięcia po dane jest służba, która danych tych sobie zażądała). Niczego to jednak nie zmieni – policja i inne służby dysponują środkami technicznymi pozwalającymi na szeroko zakrojoną elektroniczną inwigilację, i żadne prawne i administracyjne akty tego nie zmienią. Ceniący swoją prywatność muszą zadbać o nią sami.
Internet bez rozgłosu
Obecnie dysponujemy w praktyce trzema dojrzałymi narzędziami, które pozwoliłyby ukryć naszą aktywność w Internecie. To wirtualne sieci prywatne (VPN), router cebulowy Tor, oraz anonimowa sieć I2P. Każda z nich ma swoje zalety, każda ma i wady, żadna jednak nie stanowi internetowej czapki-niewidki. Przyjrzyjmy się im bliżej.

Uwaga: Jeśli zależy nam na najwyższym poziomie bezpieczeństwa przy anonimowym przeglądaniu Internetu, warto zadbać o to, by wyłączyć obsługę JavaScriptu. Skrypty znajdujące się na odwiedzanych stronach mogą być złośliwe, i zdradzić ich administratorom nasz adres IP. Niestety nawet bezpieczna przeglądarka Orfox ma obsługę JavaScriptu domyślnie włączoną. By ją wyłączyć, należy przejść do adresu about:config i wyszukać ustawienie javascript.enabled, a następnie przyciskiem Toggle zmienić wartość na false.

Coś za coś: niestety w konsekwencji wiele stron internetowych nie będzie działało.

Kliknij aby rozwinąć...

VPN
Wirtualne sieci prywatne (Virtual Private Networks) stanowią fundament bezpiecznej komunikacji w Internecie i co najważniejsze, wykorzystywane są powszechnie także przez ludzi, którzy twierdzą, że w zasadzie nie mają nic do ukrycia. Wystarczy, że pracują w większej korporacji – ze względów bezpieczeństwa skorzystanie z firmowej infrastruktury informatycznej (choćby firmowej poczty) wymaga nawiązania połączenia z serwerem VPN, tworząc w ten sposób szyfrowany tunel. To bardzo istotna informacja – wirtualne sieci prywatne są po prostu częścią biznesowej komunikacji, samo pojawienie się takich szyfrowanych tuneli nie wywołuje alarmu u monitorującego ruch sieciowy napastnika.

Dane, które trafiają do tunelu VPN zostają ukryte poprzez protokoły szyfrowania (np. SSLv3/TLSv1), co oznacza, że nikt, nawet operator telekomunikacyjny, nie może ich zobaczyć. Jedyne co odnotuje, to fakt, że taki tunel został utworzony przez urządzenie podłączone do jego sieci, jak również ile danych przez ten tunel przechodzi. Z kolei zewnętrzny obserwator, przyglądając się ruchowi sieciowemu przechodzącemu przez drugi koniec tunelu, nie będzie w stanie powiedzieć nic na temat urządzenia, które inicjowało połączenia po drugiej stronie.

VPN: napastnicy widzą tylko ruch między serwerem VPN a Siecią

Kliknij aby rozwinąć...

W ten sposób łączące się przez VPN urządzenie może przebić się przez restrykcyjne zapory sieciowe, ukryć komunikację przed napastnikami nasłuchującymi ruch w otwartych publicznych sieciach Wi-Fi, strumieniować muzykę czy filmy z usług, które są geograficznie zablokowane (usługa widzi wówczas adres IP serwera VPN, np. w Stanach Zjednoczonych, a nie adres IP smartfonu czy komputera w Polsce), korzystać ze stron WWW bez ujawniania ich serwerom swojego adresu IP, czy bez większych obaw wymieniać się plikami w sieciach P2P.

Czemu zatem VPN nie jest uniwersalną receptą na zachowanie prywatności? Pierwszy problem polega na tym, że sam serwer VPN widzi cały przechodzący przez niego ruch, tworzy i przechowuje logi całej aktywności. Deklaracje niektórych dostawców VPN, że oni niczego nie logują, nie muszą być wiarygodne – tym bardziej, że bez jakiegokolwiek logowania trudno byłoby walczyć z technicznymi nadużyciami czy utrzymać jakość usług. Jeśli zresztą weźmiecie się za czytanie regulaminów wielu firm świadczących takie usługi, zobaczycie, że zastrzegają one konieczność współpracy z organami ścigania, mimo że w materiałach marketingowych gorączkowo zapewniają, że ich klienci mogą cieszyć się anonimowością w Sieci. Drugi to koszt – jedynie nieliczni dostawcy VPN oferują darmowy dostęp, który jest wówczas zwykle bardzo okrojony i spowolniony. W praktyce za dostęp do wirtualnej sieci prywatnej trzeba płacić, zwykle równowartość od 5 do 15 dolarów miesięcznie. I to nas prowadzi do trzeciego problemu, anonimowości. Dostawcy VPN, którym zapłacimy kartą kredytową, będą znali naszą tożsamość. A jeśli mają przy tym też pełne logi naszej aktywności w Sieci… nasza anonimowość zależy wyłącznie od dobrej woli dostawcy i jego odporności na naciski. Pamiętajmy jednak, że praktycznie żaden operator nie jest jednak odporny na uzbrojonego w sądowy nakaz policjanta.

Na szczęście jest w czym wybierać. Możemy znaleźć dostawców usług VPN, którzy nie tylko minimalizują okres przechowywania logów i działają we względnie bezpiecznych państwach, ale też nawet nie chcą znać naszej tożsamości – płatności za swoje usługi przyjmują za pomocą kryptowalut, takich jak bitcoiny czy litecoiny. Godnymi polecenia dostawcami są (w kolejności alfabetycznej):

AirVPN, przyjmujący bitcoiny i kosztujący miesięcznie 7 euro. Dostawca ten pozwala na tunelowanie wszystkich protokołów, usług i aplikacji, oferuje własny, odporny na cenzurę serwer DNS, nie ogranicza maksymalnej szybkości transferu ani ilości danych i wykorzystuje OpenVPN, najbezpieczniejsze spośród dostępnych rozwiązań do tworzenia sieci prywatnych, z najwyższym poziomem szyfrowania (klucze RSA 4096 bit, kanał danych szyfrowany AES-256) i mechanizmami regularnej wymiany kluczy kryptograficznych. Co szczególnie ważne, nie używa jakiegoś własnościowego klienta VPN, który nie wiadomo co tak naprawdę robi, ale standardowego klienta Open Source.
BolehVPN, który kosztuje miesięcznie 10 dolarów i przyjmuje płatności nie tylko w bitcoinach, ale też w wysoce anonimowej walucie Dash (niegdyś DarkCoin), oraz kryptomonetami XEM, wykorzystywanymi przez cyfrową platformę wolnej gospodarki NEM. I tu wykorzystywany jest OpenVPN z najwyższym poziomem szyfrowania (oraz L2TP dla tych urządzeń, na których OpenVPN nie działa), jak również autorska usługa xCloak, która podobno jest w stanie zamaskować szyfrowany tunel VPN, tak, że dla dostawcy Internetu nie wygląda już na VPN.
TrilightZone, które zostało uznane kilka lat temu przez amerykański NSA za „katastrofę” dla prowadzących inwigilację. Kosztuje 30 euro za trzy miesiące (50 euro za sześć miesięcy i 80 euro za rok), płatności przyjmuje w bitcoinach i litecoinach. Podobnie jak w wypadku AirVPN oferuje nieograniczony, nielimitowany transfer danych, wykorzystuje OpenVPN z najwyższym poziomem szyfrowania i opensource'owym klientem, a także pełne wsparcie techniczne dla klientów. Zaawansowani użytkownicy, którzy z różnych powodów nie chcą lub nie mogą korzystać z VPN, mogą skorzystać z oferowanych przez tego dostawcę tuneli SSH.
Niezależnie od tego, na którego dostawcę wirtualnych sieci prywatnych się zdecydujecie, konfiguracja połączenia przebiegać będzie podobnie. Sam Android nie obsługuje OpenVPN (wstyd Google, wielki wstyd) – po opłaceniu, dostawca przekaże wam plik konfiguracyjny .ovpn, który wykorzystać można w kliencie OpenVPN for Android. Po uruchomieniu klienta importujemy plik konfiguracyjny (i ewentualnie dodatkowe pliki .pem/.pkcs12) dotykając ikonkę pobierania w prawym górnym rogu ekranu – jeśli jest on poprawny, wystarczy teraz zapisać go, dodając do listy VPN-ów i połączyć się, dotykając nazwę swojej sieci prywatnej.
Tor
O Torze (The Onion Router) głośno (może za głośno?) jest od wielu już lat – cebulowy router jest najbardziej dziś kojarzony z tzw. „darknetem”, anarchistyczną stroną Sieci, czyli witrynami z adresem kończącym się rozszerzeniem .onion. Są one niedostępne przez „zwykłe” przeglądarki i uważane przez wielu za przystań dla wszystkiego, co złe i nielegalne. Przede wszystkim Tor jest jednak siecią anonimizującą, przeznaczoną do ukrywania tożsamości użytkownika, poprzez przekierowywanie jego ruchu sieciowego przez rozproszoną sieć autonomicznych węzłów, z których każdy zna tylko adresy IP węzłów, z którymi jest połączony, nie zna natomiast jednocześnie adresu łączącego się klienta ani adresu serwera, z którym klient chce się połączyć. Przesyłane między węzłami dane są oczywiście wielokrotnie szyfrowane, a cała ścieżka losowo dobierana, tak by nawet napastnik, który przejął kontrolę nad którymś z węzłów, nie mógł za wiele z tym zrobić.
Każdy z tych węzłów Tora prowadzony jest przez ochotników, zarówno osoby prywatne, jak i organizacje hakerskie (np. Chaos Computer Club) czy organizacje walczące o wolność Sieci (Electronic Frontier Foundation). Ci, którzy prowadzą węzły w środku, mogą mieć spokojne głowy, pomagają sieci, ale w zasadzie nic im nie grozi. Zagrożeni są jedynie prowadzący węzły wyjściowe, przez które ruch przechodzący przez Tora trafia do docelowych serwerów internetowych – to ich odwiedzić mogą w każdej chwili służby i pociągnąć do odpowiedzialności za np. zakazane treści, w których przekazywaniu węzły te pośredniczyły. By Tor dobrze działał, potrzeba więc dla tych ochotników wsparcia finansowego, pozwalającego im opłacić zarówno generowany ruch sieciowy, jak i pomóc w razie problemów prawnych. Oczywiście zwykły użytkownik nie musi (a nawet nie powinien) robić ze swojego urządzenia węzła wyjściowego, ale zainteresowani rozwojem Tora mogą pomóc, wpłacając środki na konto niemieckiej fundacji Zwiebelfreunde e.V. Oprócz „zwykłych” pieniędzy przez przelew bankowy czy PayPala, przyjmuje też ona bitcoiny, litecoiny i dashe.
Samo korzystanie z Tora na jest oczywiście bezpłatne – i w tych czasach mogłoby się wydawać, bardzo łatwe, także na smartfonach. Wystarczy pobrać Orbota

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, oficjalnego klienta Tora dla Androida, oraz zintegrowaną z nim lekką przeglądarkę Orweb

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, lub cięższą, ale wygodniejszą przeglądarkę Orfox

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, zbudowaną na bazie mobilnego Firefoksa. Czemu zatem nie korzystać po prostu z Tora do całej prywatnej komunikacji
Niestety Tor oprócz swoich licznych zalet ma liczne wady. Przede wszystkim jego uruchomienie jest zauważalne dla obserwującego ruch sieciowy napastnika, a w przeciwieństwie do wirtualnych sieci prywatnych, trudno tu ukryć się wśród „biznesowych użytkowników”, łączących ze swoimi korporacyjnymi sieciami. Włączający Tora zwykły Kowalski od razu daje sygnał, że jest bardziej interesujący, niż grono korzystających z VPN-ów Iksińskich. Po drugie, Tor działa znacznie wolniej, niż połączenie VPN, jest też często blokowany przez same serwisy internetowe – robi to np. Wikipedia, która by uniemożliwić akty anonimowego wandalizmu, blokuje wszelkie próby redakcji artykułów z węzłów wyjściowych Tora. Praktycznie nie nadaje się też do wymiany plików przez P2P i strumieniowania mediów, łatwy jest również do przeciążenia i „zatkania” atakami DDoS.

Po trzecie wreszcie, ze względu na popularność cebulowego routera nieustannie rozwijane są też metody ataku, zarówno pośrednie (np. nakłanianie użytkowników do wejścia na strony internetowe zawierające złośliwy kod, demaskujący realny adres IP), jak i bezpośrednie, związane np. z analizą charakterystyk ruchu, czy wykorzystaniem ujawniający adresy IP błędów w protokołach sieciowych uruchomionych po Torze. Problemem są też sami użytkownicy, którzy korzystają z Tora w sposób nieodpowiedzialny, używając go np. wraz z niebezpiecznymi systemami operacyjnymi czy innym oprogramowaniem, które komunikuje się z serwerami w sieci bezpośrednio. Nawet jeśli jednak po swojej stronie wszystko zabezpieczyliśmy, wciąż istnieje zagrożenie, że węzeł wyjściowy został przejęty przez napastnika – i widzi on wszystko, co robimy. Niektórzy eksperci otwarcie mówią o tym, że znaczna część węzłów wyjściowych Tora jest prowadzona przez agencje wywiadu, które mają przecież więcej pieniędzy, niż walczące o wolność Sieci organizacje. Przejęte na węźle wyjściowym dane, nawet jeśli nie ujawnią adresu IP, pozwolić mogą napastnikowi na skuteczne zgadywanie tożsamości użytkownika.
Androidowy Orbot działa dziś nawet na urządzeniach bez roota, mając roota możemy jednak wykorzystać mechanizm przezroczystego proxy, który pozwoli przekierować cały ruch generowany przez urządzenie przez Tora. W przeciwnym wypadku będziemy mogli wykorzystać z nim jedynie aplikacje zaprojektowane z myślą o Orbocie (Orweb czy Orfox) oraz te, w których możemy zmieniać ustawienia proxy. Konfiguracja jest bardzo prosta, w większości wypadków nie będziemy potrzebowali nic zmieniać. Przycisk Sprawdź przeglądarkę uruchomi nam Orfoksa lub Orbota ze stroną testową, pozwalającą ustalić, czy jesteśmy (względnie) anonimowi. Przycisk Aplikacje pozwoli uruchomić tryb VPN, w którym przekierujemy cały ruch ze wszystkich aplikacji przez Tora – ale nie jest to bezpieczne, służy raczej przebiciu się przez blokujące nas zapory sieciowe. Przycisk Mostki pomoże, gdy dostawca Internetu zablokował u siebie Tora, program spróbuje wówczas ustanowić tunel do któregoś z prowadzonych przez ochotników serwerów-przekaźników. Uruchomienie bezpiecznego połączenia odbywa się przez dotknięcie dużej ikony cebuli – przeciągając zaś palcem od lewej krawędzi zobaczymy panel z logami aktywności.
I2P
Niektórzy uważają I2P (Invisible Internet Project) za alternatywę dla Tora. W przeciwieństwie do Tora niewiele się jednak o I2P mówi, blogoidy nie piszą o tej sieci sensacyjnych artykułów, a jednak działa – i jest bardzo interesującym rozwiązaniem dla tych, którzy w anonimowy sposób chcą czytać i udostępniać w ukrytej sieci informacje.

Pod względem architektury jak i założeń projektowych jest to coś zupełnie innego. I2P to sieć P2P, która służyć ma nie tyle anonimowemu dostępowi do publicznego Internetu (choć jest to możliwe przez system bramek) co uruchomieniu w Internecie prawdziwego, ukrytego darknetu, dla ruchu pozostającego w jego granicach. Zamiast kierować pakiety po losowo ustanawianych obwodach, I2P rozsyła swoje pakiety wszystkimi możliwymi drogami pomiędzy węzłami, oczywiście z szyfrowaniem transmisji. Ma też całkowicie rozproszoną formę, bez katalogu pozwalającego na uzyskanie kompleksowego oglądu sieci, dynamicznie tworzy i aktualizuje strukturę tras między węzłami, w której każdy z węzłów-routerów nieustannie ocenia przepustowość innych i wymienia się z nimi tymi informacjami. To sprawia, że dobrze się spisuje przy w pełni anonimowej wymianie plików P2P, jak i zapewnia szybszy dostęp do ukrytych witryn (tzw. eepsites, stron z adresami kończącymi się na i2p).

Największą różnicą między I2P i Torem jest obsługa aplikacji. O ile klient Tora jest czymś w rodzaju lokalnego proxy dla zewnętrznego oprogramowania (przeglądarek czy komunikatorów, to I2P jest raczej platformą, na której działa oprogramowanie napisane do działania na I2P – np. klient BitTorrenta I2PSnark, anonimowy system poczty I2P-Bote czy komunikator I2P-Talk. Z I2P działają też takie (dość niszowe) kryptowaluty jak Anoncoin czy Monero.

Dostęp do Niewidzialnego Internetu na Androidzie można uzyskać poprzez oficjalnego, opensource'owego klienta o nazwie I2P

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. Po zainstalowaniu wystarczy dotknąć dużego przycisku na głównym ekranie interfejsu – i poczekać, niekiedy nawet kilka minut. Klient rozpoczyna poszukiwanie tuneli, z którymi się połączy. Teraz kliknięcie w jakikolwiek adres z końcówką I2P otworzy stronę we wbudowanej prostej przeglądarce.
By skorzystać z dostępu do WWW przez bardziej rozbudowane browsery, należy ustawić im proxy HTTP, tak by korzystały z lokalnego adresu 127.0.0.1 port 4444. Wygodnie jest w tym celu znaleźć jedną przeglądarkę, którą tak skonfigurujemy – polecamy skorzystać ze zwykłego Firefoksa, oferującego rozbudowane mechanizmy ochrony prywatności. Niestety nie oferuje on interfejsu graficznego do zmiany tych ustawień, ale łatwo zrobimy to po doinstalowaniu dodatku Network Preferences z oficjalnego sklepu Mozilli. Wystarczy wówczas wywołać z menu Narzędzia pozycję Dodatki, tam wybrać Network Preferences Add-On i ustawić HTTP Proxy na wspomniany adres i port.

Skoro I2P jest takie fajne, to czemu nie jest uniwersalnym sposobem na ochronę przed inwigilacją? Cóż, przede wszystkim jest mniej odporne na blokowanie, wolniej się rozwija (mniejsze fundusze, mniej deweloperów), słabo sobie radzi z dostępem do zewnętrznej sieci (mało bramek wyjściowych), w teorii podatny jest też na kilka typów ataków ze strony napastników dysponujących odpowiednio dużymi zasobami, których realne konsekwencje nie zostały dobrze zbadane. Należy więc I2P uważać za interesujący dodatek do Tora i VPN, mający swoje zastosowania, lecz nie uniwersalny. W niedalekiej przyszłości poświęcimy mu oddzielny artykuł.

Bezpieczeństwo kombinowane: VPN + Tor
Możliwe jest wykorzystanie VPN i Tora ze sobą, w celu uzyskania większego bezpieczeństwa i prywatności. Tak przynajmniej powiedzą czołowi dostawcy VPN, oferujący obsługę Tora jako dodatkową atrakcję, mającą przyciągnąć im klientów. Dyskusje ekspertów na listach związanych z Torem pokazują jednak, że wcale tak jednak być nie musi – w zależności od tego, co robimy, możemy nawet zmniejszyć swoje bezpieczeństwo i prywatność. Możliwości jest tu wiele, omówimy najbardziej sensowne z nich.
Klient › VPN ›Tor

Przekierowanie Tora przez aktywny VPN jest dobrym sposobem na ukrycie przed dostawcą Internetu (i co za tym idzie napastnikami prowadzącymi „kontrolę operacyjną”), że korzystamy z Tora. Po połączeniu tunel VPN będzie domyślnym połączeniem internetowym, a „storowana” przeglądarka będzie się łączyła przez niego. Zaletą takiego rozwiązania jest to, że nawet przejęty przez napastnika węzeł wyjściowy Tora nie będzie wiedział, kto stoi za adresem przedstawionym przez VPN, o ile dostawca VPN nie wyda logów. Wówczas atak korelacyjny może łatwo zdemaskować użytkownika

Ważne jest jednak, by zawsze pamiętać o uruchamianiu klienta VPN przed uruchomieniem Tora. Problem może również wystąpić w razie zerwania połączenia VPN. Przyda się w tej sytuacji root i uruchomienie w Orbocie mechanizmu przezroczystego proxy dla wszystkich aplikacji.

Rozwiązanie to jest najbardziej polecane tym, którzy nie są na celowniku napastnika o globalnych wpływach (np. NSA), a a po prostu chcą ukryć swoje działania przed np. lokalnymi służbami (np. dziennikarze dysponujący nagraniami prywatnych wypowiedzi ministra).
Klient › Tor › VPN

Można przekierować też usługi VPN przez Tora, co ukryje aktywność w sieci przed węzłami wyjściowymi. Jest to jednak rozwiązanie bardzo jednak trudne, wymagające wykorzystania maszyn wirtualnych (najlepiej skorzystać ze specjalizowanej dystrybucji Linuksa – Whonix), raczej nie należy próbować robić tego na smartfonie.

Konfiguracja ta ma jednak swoje zalety – dostawca VPN nie widzi naszego adresu IP, chroni to także przed złośliwymi węzłami wyjściowymi, gdyż dane są zaszyfrowane poza Torem. Pozwala też obejść wszelkie blokady postawione przed Torem.
Klient › własny VPN › Tor

To rozwiązanie dla osób, które chcą uruchomić swój własny serwer VPN. Nietrudno to dziś zrobić na nowoczesnych routerach czy dyskach sieciowych, np. w urządzeniach Synology własnego VPN-a w kilka minut, i oczywiście nic za to nie płacimy. Po co to robić? Nie ukryje to przed naszym dostawcą Internetu ruchu Tora, nie ochroni to przed analizą aktywności przez przejęte węzły wyjściowe Tora, pozwoli jednak zagwarantować, że cały ruch sieciowy wychodzący z urządzenia będzie przekierowywany przez Tora, bez żadnych wycieków. Jest to więc rozwiązanie lepsze, niż bezpośrednie łączenie się z Torem.

Rozmowy niekontrolowane
Dysponując bezpiecznym połączeniem z Siecią po VPN, można pomyśleć o bezpiecznym rozmawianiu przez telefon. Nawet jeśli wierzymy w niezawodność szyfrowania połączeń 3G/4G, to i tak trzeba pamiętać, że każda rozmowa czy wysłanie SMS-a przez sieć komórkową pozostawia ślady – metadane, z których napastnik dowie się, z kiedy i z kim rozmawialiśmy oraz gdzie wtedy byliśmy.

Jeśli jednak przeprowadzimy rozmowę przez bezpieczną platformę telefonii internetowej SIP, napastnik może jedynie bezsilnie zgrzytać zębami – nie dość, że nie wie prawie nic o naszym ruchu sieciowym, to i nie zbierze żadnych metadanych o rozmowie. W wypadku Androida polecić możemy trzy sposoby na takie bezpieczne rozmowy
CSipSimple
Pierwszy to klient telefonii internetowej CSipSimple

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

, oferujący nie tylko wysoki poziom jakości dźwięku (kodeki HD) ale też solidne szyfrowanie (TLS), możliwość nagrywania rozmów oraz integrację z systemowym dialerem. Radzimy wykorzystywać go w połączeniu z dostawcą telefonii Ostel – w kliencie wystarczy podać tylko login i hasło, nie trzeba niczego już ustawiać. Niestety pamiętajmy, że przez OStel nie zadzwonimy do numerów w sieciach komórkowych czy stacjonarnych, nasz rozmówca też musi mieć konto w Ostelu. Możemy oczywiście sięgnąć po komercyjnego dostawcę telefonii VoIP, zapewniającego bramki do zewnętrznych sieci telefonicznych, ale trzeba pamiętać, że obniża to nasze bezpieczeństwo, polscy operatorzy takich usług raczej nie oferują anonimowych kont i płatności kryptowalutami.

Linphone
Drugi warty uwagi klient telefonii i wideotelefonii to Linphone. Oferuje pełną zgodność z dostawcami SIP, możliwość prowadzenia wideokonferencji i silne szyfrowanie po protokole ZRTP. Można wykorzystywać go z kontem u dostawcy Ostel, jak również z innymi dostawcami, także polskimi (pamiętając o problemach z anonimowością, jakie to przynosi).

ChatSecure
Jeśli Signal z tych czy innych powodów Wam nie odpowiada, można zainteresować się dostępnym w naszej bazie oprogramowania opensource'owym komunikatorem ChatSecure

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

. Wykorzystuje on szyfrowanie OTR po protokole XMPP (Jabber), pozwala też na połączenie z kontami na Facebooku i Google (co nie jest dobrym pomysłem z perspektywy bezpieczeństwa. Jako że nie ma on własnej infrastruktury, bezpieczeństwo komunikacji w dużym stopniu jednak będzie zależało od tego, którego z dostawców XMPP wybierzemy – zaawansowani mogą uruchomić nawet własny serwer XMPP i hostować go w Torze. Pozostałym możemy jednak polecić dwóch solidnych dostawców Jabbera, którzy stosują dobre praktyki, nie gromadzą logów i oferują anonimowy dostęp przez Tora. Są to Calyx Institute

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

oraz OTR.im.

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Kliknij aby rozwinąć...

RedPhone to kolejna aplickacja ze stajni WhiperSystems. Służy do szyfrowania połączeń głosowych. Aplikacja jest przeznaczona na system operacyjny Android i można ją ściągnąć za darmo ze sklepu Google Play. Do poprawnego działania aplikacji wymagany jest dostęp do internetu, a także to aby obydwie strony konwersacji miały ją zainstalowaną.

Kliknij aby rozwinąć...

Dzięki niej możemy przesyłać szyfrowane SMSy i przechowywać je w zaszyfrowanym kontenerze w telefonie komórkowym. Program jest darmowy. Aplikację można ściągnąć bezpośrednio ze strony producenta Open WhisperSystems

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

lub z Google Play.

Przede wszystkim jeśli smsy mają być zaszyfrowane, to obydwie strony biorące udział w komunikacji muszą mieć zainstalowane TextSecure i wymienić klucze (operacja automatyczna). Jeśli tylko jeden z uczestników SMS-konwersacji będzie miał textsecure to SMSy nie będą szyfrowane lub nie będą czytelne dla osoby z którą się pisze. Należy też pamiętać aby przechowywane SMSy zabezpieczyć hasłem. Znacznie to utrudni osobą postronnym dostęp do Twoich prywatnych danych w razie kradzieży telefonu. TS jest dostępny w ponad 30 językach w tym polskim. Język zmienia się w Ustawieniach

Kliknij aby rozwinąć...