Ustawa inwigilacyjna

Wczoraj w życie weszła ustawa inwigilacyjna, na mocy której służby mogą śledzić każdego z nas nawet bez naszej wiedzy. Dotyczy to głównie naszego ruchu w sieci, czyli to co przegladaliśmy, na jakie strony wchodzimy oraz ogólnie naszą aktywność w Internecie.

Na niebezpieczniku opisano kilka podstawowych rad jak zabezpieczyć się przed inwigilizacją, a przynajmniej w pewnym zakresie. Oczywiście, rzekomo osoby, które nie mają nic na sumieniu nie mają się czego obawiać, ale z drugiej strony świadomość, że ktoś może odczytać mojego prywatnego maila w którym mogę dzielić się swoimi prywatnymi poglądami z najbliższymi – jakoś nie sprawia, że czuję się komfortowo.

W tym miejscu chciałbym pokazać jak można chociaż odrobinę uchronić się przed nożliwością podsłuchiwania naszej aktywności w sieci.

Po pierwsze router

Na niebezpieczniku wspomnieli o tym, aby nie korzystać z urządzeń dostarczanych przez dostawców Internetu (UPC, MultiMedia itp.) ponieważ umożliwiają one na zdalne zalogowanie się przez administratora z tych firm na router i odczytanie np. listy mac adresów, celem weryfikacji, czy takie łączyło się kiedykolwiek z tym routerem.

Mogę tutaj przytoczyć sytuację ze swojego życia, kiedy to po włamaniu do mojego mieszkania, kradzieży MacBook’a i otrzymaniu informacji z Find My Mac o lokalizacji skradzionego sprzętu, policja poprosiła również o mac adres karty sieciowej aby móc przeskanować wszystkie (sic!) routery UPC i MultiMedii na tamtym osiedlu, aby stwiedzić w którym mieszkaniu skradziony sprzęt może się znajdować!

Osobiście polecam z Asus RT-N66U z TomatoUSB na pokładzie, który umożliwia większy zakres konfiguracji od podstawowego oprogramowania (m.in. wirtualne sieci wifi, czy wbudowany klient Tor).

TomatoUSB

Dlaczego akurat taki router?

Jest mocny – w chwili kiedy go kupowałem, był jednym z wiodących na rynku, posiada dwie bezprzewodowe karty sieciowe, dzięki czemu pracuje na dwóch częstotliwościach: 2,4 oraz 5 GHz, ma to znaczenie w przypadku kiedy dookoła mamy wiele sieci oraz innych urządzeń bezprzewodowych. Kanały wewnątrz pasma 5GHz nie nachodzą na siebie, są bardziej odizolowane, a co za tym idzie zakłócenia są znikome co z kolei przekłada się na szybkość. Dodatkowo router posiada 256MB RAMu i wbudowane 32MB pamięci wewnętrznej – które rozszerzć można nawet do 32GB. Nie o tym jednak miał być artykuł, więc wracam do tematu…

Po drugie VPN

Najlepiej tunel bezpośrednio w ustawieniach routera, aby wszystkie urządzeia przyłączone do naszej sieci łączyły się już w bezpieczny sposób.

Aktualnie rozważałem trzy opcje płatnego VPN’a:

Ostatecznie decyzja padła na najtańszy z nich – PureVPN (posiada wiele serwerów na całym świecie i posiada wiele pozytywnych opinii). Oczywiście  firm oferujących płatne jak i darmowe VPNy jest wiele więcej i zależy czego poszukujemy. Warto tutaj jednak zastanowić się nad takim, który posiada serwery umieszczone w państwie znajdującym się w niedalekiej odległości od Polski, ale niekoniecznie w naszym kraju – serwer w naszym kraju podlega pod nasze prawo, a co za tym idzie – dostęp do niego ma również policja (PureVPN obiecuje nie zapisywać logów z ruchu sieciowego, ale kto ich tam wie…).

Jak już zdecydujemy się na usługi konkretnej firmy, możemy skonfigurować router w taki sposób, aby wszystkie urządzenia łączące się z nim (lub dowolną wirtualną siecią). Opis jak poprawnie skonfigurować Tomato do pracy z VPNem znajduje się na stronie PureVPN, natomiast w moim przypadku nie zadziałało dokładnie tak jak tam opisali więc dzielę się swoimi modyfikacjami:

VPN Advanced Settings

Do zakładki Keys natomiast kopiujemy klucze i certyfikaty, ale nie jak w opisie, całą zawartość plików, a tylko to co mieści się w blokach  -----BEGIN XXXX-----  oraz  -----END XXXX-----  wraz z tymi znacznikami.

Pamiętajmy, że przepuszczanie całego ruchu przez szyfrowany tunel musi spowodować obniżenie prędkości przesyłu danych – u mnie jest to 10-krotny spadek wydajności (przy zagranicznym serwerze) i właściwie żaden dla serwera z Warszawy. Poniżej testy prędkości: oryginalny, tunel przez serwer z Warszawy i na koniec Sztokholm.

 

Po trzecie TOR

Jest to sieć, która ma za zadanie ukryć nasze oryginalne IP (nawet po tunelowaniu przez VPN). Oczywiście nie zapewnia to stuprocentowej anonimiwości w sieci, ale sprawnie utrudni namierzenie kto faktycznie odwiedzał dany zasób w Internecie.

Tutaj akurat największym problemem jest prędkość, która znacznie spada z racji, iż sieć TOR w głównej mierze polega na losowym routingu naszego ruchu przez sieć rozmieszczonych po całym świecie exitnode’ów, więc pakiety krążą w sieci a nie wędrują bezpośrednio do żądanego serwera. Drugim problemem jest Gmail – niestety Gmail każde logowanie w ten sposób traktuje jako podejrzane i nietypowe zachowanie (właściwie co się dziwić skoro raz loguję się z Polski, innym razem z Australii, a za chwilę znowu ze Szwecji).

Gmail via TOR

Jeżeli jednak bardziej zależy nam na anonimowości niż na prędkości, to warto jednak rozważyć skorzystanie z TOR‚a. Możliwości mamy kilka i na różnych warstwach.

Przeglądarka TOR, która sama po uruchomieniu już nawiązuje połączenie z siecią i anonimizuje ruch, ale tylko requesty z niej wychodzące.

Tor Browser

Proxy. Ustawiamy w systemie proxy dla połączeń jako TOR’a i od tej chwili wszystkie pakiety wędrować będą przez tę bramkę – przeglądarka, poczta i wszystko co tylko z Internetem musi się łączyć.

Tunel TOR’a na poziomie routera w domu – to rozwiązanie pozwoli przekierować ruch wszystkich urządzeń podłączonych do routera (lub jedynie wybranych) przez sieć TOR’a i nie wymaga żadnej dodatkowej konfiguracji po stronie innych urządzeń – w tym momencie również ruch generowany przez smartphone’y zostanie przepuszczony przez TOR’a – dotyczy tylko ruchu na porcie 80 (czyli wszystkie strony WWW). Tutaj bardzo wygodna jest konfiguracja routera używającego TomatoUSB, ponieważ wymaga to od nas jedynie zaznaczenie jednego checkboxa, aby od razu móc się cieszyć gotowym rozwiązaniem – można oczywiście zaszaleć i stworzyć wirtualną sieć, i tylko urządzenia podłączone do niej proxować, albo podać konkretne IP – to już zależy do prywatnych upodobań.

Tor on TomatoUSB

Na początek takie zabezpieczenia powinny sprawić, że poczujemy się odrobinę pewniej – nawet jeżeli jedyną naszą czynnością jest przeglądanie facebooka 🙂