Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace...

Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb

Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb

Od 1. ledna 2017 začal v České republice působit nový Úřad pro tisk a informace, cenzorské oddělení ministerstva vnitra. Skupina analytiků, která čítá přibližně 20 lidí, monitoruje každý den český internet a sleduje ideologicky závadné informace. Po jejich vyhodnocení jsou údaje předány policii a ta poté začne konat. Na AE News je o tom článek zde. Nejčastěji se bude jednat o předvolání k podání vysvětlení, ale může nastat i situace průběžného sledování internetu, telefonů apod. Přestože tento úřad má krycí název „Centrum proti terorismu a hybridním hrozbám“, ve skutečnosti nemá úřad žádnou jinou náplň, než cenzorskou činnost ve spolupráci s policií ČR.

3196795_.jpg
Tisková zpráva Úřadu pro tisk a informace, který pracuje od 1. ledna pod krycím názvem Centrum proti terorismu a hybridním hrozbám.

Vzhledem k tomu, že mnoho lidí nemá vůbec představu o tom, jak se na internetu chránit před případnými problémy, připravil jsem malý návod zabezpečení. Nejde o žádný ultimátní návod, který by zajistil neprůstřelnost proti kapacitám amerického úřadu pro národní bezpečnost (NSA), ale proti běžným kapacitám sledovacích agentur by měl postačit. Návod se týká ochrany soukromí, ne ochrany pro páchání trestné činnosti nebo čehokoliv v rozporu se zákony.

Připojení do internetu přes ISP vs. připojení přes VPN

Do internetu jste připojeni v dnešní době celkem 3 způsoby. Z pohledu uživatele jde o 3 modely, z hlediska technické realizace jde o podobné technické krytí, ale zásadní rozdělení je třeba si uvést. V dnešní době je přístup na internet pomalu samozřejmostí, ale ochrana a bezpečnost není ve středu zájmu laické veřejnosti, alespoň ne do chvíle, než nastane první problém. Celkem se můžete setkat s těmito typy připojení do internetu

  • Pevná linka (pevný telefon, kabelová televize, optika)
  • Mobilní operátor (smartfon, tablet)
  • Bezdrátové pojítko (Wifi, v USA nově i WiMax)

Pokud jste připojeni kterýmkoliv z výše uvedených způsobů, potom Vaše veškerá komunikace z Vašeho zařízení putuje v nekryptované podobě na bránu (gateway) Vašeho internetového poskytovatele. Tomuto poskytovateli se zkráceně říká ISP (Internet Service Provider). Pokud prohlížíte web a stránky a nemají na začátku URL adresy hlavičku „https“, ale je tam jenom „http“, tak Váš ISP operátor vidí, co píšete, jaký komentář jste odeslali, co jste napsali. Ve spolupráci s policií tak může ISP operátor logovat všechno, co napíšete do prohlížeče webu na svém počítači a co odešlete. Hlavička https s písmenem „s“ na konci znamená, že se jedná o zabezpečený http protokol (http secured) pomocí SSL šifrování.

https_diagram_5.gif
MITM útok, grafické znázornění zranitelnosti https komunikace.

Problém s tímto šifrováním je, že se spoléhá na třetí osobu, tzv. CA (certifikační autoritu), ale to není nic pro tajné služby, které mohou příkazem získat od certifikační autority duplicitní (remisní) certifikáty k Vaší soukromé doméně a mohou tak použít MITM (man in the middle) útok a dešifrovat v reálném čase Vaši komunikaci, třeba s bankou a sledovat manipulaci s prostředky na účtu. Při tomto útoku pro zamaskování stop útočník zachycená data jenom přečte, ale ihned je znovu zakryptuje o pošle na cílový server, takže odesilatel a ani příjemce nezjistí, že mezi nimi je útočník.

Zabezpečené HTTP je iluze o bezpečnosti soukromí

Technologie SSL (Secure Socket Layer) je sice bezpečná sama o sobě, ale systém certifikátů domén vnáší do celého systému https velkou hrozbu. Spojení přes https je bezpečné před zločinci a hackery, ale ne před vládními agenturami a policií. Bezpečnost drží certifikační autorita, která podepisuje vydané certifikáty pro weby a jejich domény se zabezpečením https, takže důvěra v https komunikaci je jen tak velká, jak velkou důvěru máte ve vládu. Pokud mluvíme o vládě, mluvíme především o té americké, která má podle informací Edwarda Snowdena všechny americké certifikační agentury v USA zavázané národní doložkou bezpečnosti (zákon NDAA). Země NATO a spojenci v rámci NDAA jsou partneři v boji proti terorismu. Přístup národních tajných služeb k americkým certifikátorům se dá předpokládat, aby mohly pomocí MITM útoku odposlouchávat české „https“ weby klíčových osob a firem.

SYSK 305.jpg
Vláda a tajné služby mohou zkonfiskovat veškeré úspory klienta v zahraniční bance díky MITM útoku. Do zahraničních bank se policie oficiálně na žádost z jiné země nedostane. MITM útok je náhradou, jak získat bankovní informace i bez souhlasu soudu cízí země. Stačí spolupráce s ISP operátorem sledované osoby.

Z tohoto důvodu je třeba bezpečnost komunikace zabezpečit jinak a k tomu slouží technologie VPN. Tahle zkratka znamená Virtual Private Network (Virtuální Privátní Síť) a je to technologie zasíťování skupiny X počítačů v rámci internetu, které mezi sebou mohou komunikovat přes VPN server a kromě toho mohou komunikovat i s celým zbývajícím internetem, ovšem ne pod vlastní fyzickou adresou, ale pod IP adresou VPN serveru. A právě tato vlastnost je používaná pro zajištění soukromí. Nyní si povíme více o technologických aspektech VPN.

VPN lze použít na soukromí a/nebo na změnu IP identity

Své zařízení do VPN sítě zapojíte nejčastěji pomocí dvou protokolů. Jedním je PPTP a druhým OpenVPN. PPTP používá velmi slabé a zranitelné šifrování, takže tímto protokolem se na ochranu soukromí do VPN připojovat nebudete. Ovšem zmiňuji ho zde kvůli něčemu jinému. PPTP je velice rychlý protokol, který tolik nezpomaluje odezvu na internetu na rozdíl od OpenVPN (viz. níže). Proto právě PPTP je vhodný protokol pro připojování do VPN kvůli hraní her, pokud např. některý provozovatel her blokuje určité regiony a státy. Stejně blokují premium obsah třeba americké streamovací televize, ke kterým se bez americké IP adresy nepřipojíte. Ke změně IP identity na jiný stát tak stačí VPN s IP adresou povoleného regionu. A protože VPN na PPTP protokolu je rychlé, nebude vám vrstva VPN zpomalovat ping (odezvu) a spojení na herní servery nebo během streamováni videa z USA.

expressvpn-servers-1.jpg
Express VPN klient.
Síla ochrany OpenVPN komunikace

Pro ochranu soukromí použijeme raději protokol OpenVPN, který používá knihovnu OpenSSL a pro ochranu komunikace uživatele je vytvořen datový šifrovaný tunel o síle šifrování 256bit. Mezi Vaším zařízením a VPN serverem je datový tunel, jehož obsah nemá Váš ISP operátor šanci rozkódovat. Pokud tedy použijete VPN poskytovatele v cizí zemí (to je základní podmínkou pro bezpečnost, je nesmyl pořizovat VPN službu od operátora v zemi, kde žijete), tak k Vaší komunikaci se žádný cenzorský orgán doma nedostane. Celá tato věc má ale jednu podstatnou stránku, kterou nesmíte opomenout.

Zahraniční VPN poskytovatel nepůjde proti vlastní vládě a nepůjde proti soudům ve své zemi. Takže pokud pod krytím zahraničního VPN spácháte nějaký trestný čin, VPN operátor o vás poskytne všechny informace. Znovu opakuji, že tento návod je zde pro získání soukromí na internetu, ne pro páchání zločinu pod krytím cizí IP adresy v zahraničí. OpenVPN má však kvůli kryptování a jeho síle určité zpomalení, které se bohužel projevuje v ping odezvách. V případě online her je to vážný problém, ale vadí to někdy i při provozu Skype, což se projevuje „plechovým“ zvukem. Vyřešíte to tím, že zvolíte jiný OpenVPN server, který je k vám blíže geograficky a je méně zatížený. Vzdálenost a zátěž mají největší vliv na zpoždění pingu.

Usability3.png
NordVPN klient.

Velkým argumentem pro výběr konkrétního VPN poskytovatele je ta vlastnost, že neloguje datovou aktivitu svých klientů. Tohle tvrzení je třeba brát s rezervou, protože nikdy nebudete mít důkaz, že opravdu nic neloguje. Ale pokud neprovádíte nic nelegálního a jde vám jenom o ochranu soukromí před cenzorským orgánem doma, potom vám může být jedno, jestli zahraniční VPN poskytovatel loguje nebo ne. Takže teď přichází to hlavní, výběr VPN poskytovatele.

7 nejlepších VPN služeb

Na internetu jsou tisíce poskytovatelů VPN připojení, tohle je výběr těch sedmi nejlepších, kteří mají nejlepší reference na netu a mají neomezené přenosy dat, nabízí anonymitu plátce (BitCoin platby) a anonymitu registrace uživatele, většina z nich má „zero logging policy“, takže nelogují činnosti a data svých zákazníků (podle svých slov) a hlavně tito VPN poskytovatelé mají největší serverové kapacity v nejvíce zemích světa, takže můžete střídat různé servery a měnit tím svojí IP adresu, abyste se na internetu tvářili jako uživatel z jiné země. Za všechny služby je třeba platit. Nedávám tady seznam VPN zdarma, protože nestojí za nic a jsou prolezlé reklamou a zoufale přetížené. Cena za VPN není vysoká, ne moc, a navíc teď po Novém roce mají tyto služby velké slevy, nečekejte a využijte příležitosti. Někteří nabízejí VPN na zkoušku, všichni mají garanci spokojenosti anebo vrácení peněz.

purevpn-win-purpose.jpg
PureVPN klient.
VPN provider vám poskytne aplikaci, tzv. klienta

Po zakoupení některé ze služeb si musíte nainstalovat do počítače klienta, který vám zautomatizuje proces připojení do VPN. Přihlásíte se do něj pomoci vytvořeného uživatelského účtu. K nákupu VPN služby potřebujete platební kartu, případně PayPal nebo BitCoin. Základním předpokladem je elementární znalost angličtiny. Pokud jí neovládáte, požádejte někoho, aby Vás procesem nákupu VPN služby provedl. VPN účet obvykle lze použít na 5 zařízeních simultánně, takže pomocí VPN můžete chránit počítač, svůj mobilní telefon, tablet a třeba notebook. A ještě vám zbude jedno zařízení, které můžete ochránit.

hma1.png
HideMyAss VPN klient.

Některé klientské aplikace vám dají na výběr, jestli se chcete připojovat přes OpenVPN nebo PPTP. Rozhodněte se podle toho, k jakému účelu připojení VPN zrovna potřebujete (hry nebo soukromí). Další dotaz se může týkat transportního protokolu, jestli chcete připojení TCP nebo UDP. Protokol TCP je zajištěný obousměrný protokol, pakety vždy dorazí na cílový server a pokud ne, dozvíte se o tom z chybové zprávy o nedostupnosti serveru. Toto je výchozí protokol, který byste vždy měli používat. UDP je protokol, který nevrací informace o doručení paketů a nemusí být úplně spolehlivý, i když vrstva IP se stará o vysokou spolehlivost doručení. Při nákupech, komunikaci s bankami, odesílání důležitých emailů a dalších důležitých činnostech byste neměli UDP protokol používat. Je však velmi vhodný pro VoIP komunikaci. Vzhledem k tomu, že UDP komunikace je rychlejší a VoIP protokoly mají korekční ztrátové mechanismy, tak případná ztráta paketů na vrstvě UDP nebude VoIP protokolu vadit.

Emaily u českých operátorů jsou jako otevřená kniha na ministerstvu vnitra

Pokud to myslíte vážně s ochranou soukromí, nesmíte používat české emailové servery. Bezpečnostní složky mají přístup ke všem emailovým poskytovatelům v ČR a čtou si z nich jako z otevřené knihy. Jakýkoliv emailový účet v zahraničí je proto bezpečnější, než email v ČR, pokud píšete komentáře na české alternativní servery. Vrcholem zabezpečení je Proton Mail, z jehož serverů nelze nic číst, pouze samotný majitel emailu je schopný dešifrovat svojí emailovou schránku a v ní uložené emaily. Pokud chcete bezpečnost, změňte email z obligátního seznamu.cz na jiný server v cizině, nejlépe na Proton Mail ve Švýcarsku zde.

Nevýhoda VPN

Hlavní nevýhodou VPN je nižší datová propustnost, než kterou Vám nabízí Váš ISP poskytovatel. Máte od něho linku např. na 200 Mbps, ale po připojení na VPN počítač nebude na internetu komunikovat a stahovat rychleji, než 30 až 50 Mbps, záleží na vytížení konkrétního VPN serveru, přes který budete do internetu připojení. V některých hodinách v podvečer mohou některé evropské VPN servey padnout s rychlostí až někam na 3 Mbps. Na diskutování to postačuje, ale na stahování nebo streamování HD videí z YouTube to není. Obecně se dá VPN zapnout i tak, že přes VPN pojede jenom prohlížeč, ale ostatní aplikace jedou mimo VPN tunel. Ne všechny klientské VPN aplikace toto nabízí. Ale to není ani cílem tohoto článku, abych to tady vysvětloval. Základem je zabezpečení soukromí před sběrem dat na bráně operátora ISP a pro tyto účely slouží VPN nejlépe. Případné dotazy zodpovím dole v diskusi.

-Administrator-

Print Friendly

Komentáře čtenářů

107 Komentářů o "Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb"


Pravidla pro komentáře: Na AE News nikdy necenzurujeme žádný názor, je-li vyjádřen slušně, kultivovaně a nejedná-li se o zjevný trolling vedený v osobní rovině proti autorovi článku nebo diskreditační výroky proti redakci AE News. Máte právo vyjádřit jakýkoliv kritický komentář, avšak bez vulgarit a také bez sprostých formulací, výhrůžek nebo urážek, a to ani ve vztahu k autorovi (autorům) článku, ani vůči ostatním diskutujícím.

Hrubé vulgarismy, schvalování teroristických útoků, komentáře se znaky sadismu nebo bestiality, výzvy k činům proti lidskosti, výzvy k fyzické likvidaci kohokoliv nebo výhrůžky komukoliv nebudou tolerovány, a to ani vůči třetím osobám mimo náš web, např. vulgarismy v diskusi proti osobám zmiňovaným uvnitř kritického článku apod. V diskusích je povoleno vyjadřovat jen vlastní soukromé názory jako fyzická osoba, ne stanoviska firem, podniků, skupin osob, spolků, sdružení nebo organizací. Pro publikaci takových stanovisek kontaktujte nejprve naší redakci. Příspěvky nesplňující tyto základní podmínky slušné diskuse budou mazány, stejně tak komentáře se znaky trollingu, spamu, politické reklamy a nesouvisející diskuse pod články (offtopic příspěvky).

Komentáře jsou automaticky moderovány analytickým systémem Akismet a mohou být navíc dodatečně schvalovány administrátorem, případně dodatečně mazány, pokud Akismet nezachytil závadné příspěvky sám. V diskusi je povolena pouze rodilá čeština a slovenština, ne automatizované překlady do těchto dvou jazyků pomocí Google Translate nebo skrze jiné překladače. Vyjímečně budou tolerována poděkování v cizích jazycích, ne však komentáře nebo diskuse.


Váš vložený komentář se nemusí zobrazit ihned, je-li zadržen Akismetem. V takovém případě je diskusní příspěvek odeslán k ručnímu schválení administrátorem, což může zabrat nějaký čas. Neodesílejte příspěvek znovu, neurychlíte tím jeho schválení. Děkujeme.


Upozornit na
avatar
5000
Třídit podle:   nejnovější | nejstarší | nejvíce hlasů
hanick
Návštěvník

Proton Mail je placený – cca 4euro?

tom
Návštěvník
Pozorovatelka
Autor

To je srandy kopec – v UK se právě Echo 24 dohaduje s Evropskými hodnotami o „ministerstvu pravdy“ a zástupce Echo kritizuje EH za antiruskou propagandu, je to v souvislosti s tím, že Zeman dnes na to téma jednal s Chovancem, zrovna teď opět zmínka o AEN, po 23. h to bude tady
http://www.ceskatelevize.cz/ivysilani/1096898594-udalosti-komentare

dědek 73
Návštěvník

Prohlížeč Opera má vestavěné VPN, kdo má bezpečnostní program Avast, lze používat Avast Safe Zone Browser, nebo si lze dokoupit Avast Secure Line. U toho Avastu to funguje i pro prohlížeče, které nemají nainastalován doplněk VPN, dále pro poštovní klienty. Samozřejmě Tor. Pro prohlížeče Firefox, Google Chrome, IE, Vivaldi je nutno nainstalovat VPN doplněk(rozšíření) podle článku AENews, pokud nemáte bezpečnostní Avast. Kromě toho při použití poštovního klienta Mozilla Thunderbird je možno poštu šifrovat za použití klíčů. Viz návod: http://www.zvedavec.org/techpor/2006/04/1556-sifrujeme-s-aplikaci-thunderbird.htm

BISNODE
Návštěvník

Většinu VPN služeb provozuje NSA či spřátelené tajné služby, stejně tak „supertajné“ mailové služby. Aneb znáte osobně jejich vlastníky?
Problém vzniku dalších dvou agentur kromě BIS, které chtějí odposlouchávat české občany je vcelku prozaický a jednoduchý. Kdo to chce vědět, tak ať zapojí mozek a přemýšlí, proč BIS nestačí.
Jenom jsem nepochopil to, proč BIS se nechala takto veřejně ponížít a prohlásit za neschopnou.

BISNODE
Návštěvník

Dodatek: Přesto význam používat VPN a secure služby zpravidla provozované tajnými službami smysl má. Logicky daná tajná služba např. NSA nebude Sobotkovi dělat rešeřši, pokud k tomu nedostane příkaz z vyšších míst.

TajemneJaro
Návštěvník

Jediné co pomůže je si uvědomit že jsme sledováni psychopaty tudíž nemocnými lidmi a že VEŠKERÁ komunikace je filtrována. Počítače vyrobené po roce 2010 umí jít na net aniž by zaply zdroj takže nic nesvítí a přesto přenášejí data trik je snadný CPU jede jen na 15 procent takže se uchladí aniž by se točil větrák, ssd disky nedělají zvuk takže jsou nonstop čteny a webkamery a mikrofony analyzují obličeje a zvuky. To vše jede díky UEFI biosu. Jediná obrana je posílat zmatečné zprávy. Například Návod na výrobu atomové bomby: 2 vekce 10 dkg mouky mléko a rum a podobně prostě si z toho dělat legraci počítače to sice vyhodnocují ale pokud to nesplňuje vzorec je to kontrolováno lidmi alespoň hodně lidí bude mít dobrou práci :))) Pokud mě nevěříte dejte si na kabel od počítače měřák spotřeby a budete se divit :)))

Nobody
Návštěvník

Já mám připojení kabelem od UPC, takže jsem připojen pořád. Jenomže když jdu spát, nebo na dlouho mimo byt, jednoduše ten káblík z PC vytáhnu. Tak mi vysvětlete, jak si někdo může v té době stahovat nějaká data. Webvačka a mikrofon, bylo první co jsem u PC (lenovo All-in-One) přelepil lepící páskou. Ne samolepkou, ale kousek tvrdého kartonu a přelepeno. Nepotřebuji mikrofon, používám sluchátka s mikrofonem a ty připojují, jen když např. nahrávám nové vlastní video.

TajemneJaro
Návštěvník

A kolik lidí tohle asi dělá ? Myslím si že Vám jde jen o to ukázat jak jste vyjímečně dokonalý, ano uznávám jste dokonalý a klaním se vašemu důvtipu. Snad jsem dostatečně nakrmil vaše ego a bude teď moci v noci klidně spát.

2xs
Návštěvník

Jsem přesvědčen, že tajní si přečtou cokoliv, a to i při použití VPN – tam možná tím spíše, protože tohle je zajímá víc, jelikož je důvodné podezření, že kdo něco potřebuje „skrývat“, více se „zabezpečovat“, tak zřejmě pro to má důvod… dělá něco nekalého nebo na hraně, každopádně je tam pro tajné něco zajímavého. A user se cítí ve falešném bezpečí, a ještě si ten sebeklam platí:-)
Majitelé VPN jsou jistě úplatní, vydíratelní nebo prostě donutitelní, aby s tajnými spolupracovali. Když „musí“ spolupracovat ISP i CA, musí bezpochyby i firmička s VPN službou. A tak nejspíš loguje jako divá (i když tvrdí že ne) a ke svým serverům připojuje přesně ta záhadná zařízení, která donesl pán v tmavém dlouhém plášti.

nývlt
Návštěvník

I když prý ňáci experti zhanobili Tor, prej není spolehlivej. Ale není to pravda. Běžím na dva FF. Jeden otevřenej portable Palemoon, na běžné čtení. Druhej Tor 4.5.1, né větší (!), a musím na dřevo zaklepat, vše OK, promele IP na třech místech a já diskutuji pod jinou IP. Propustnost, zdržení, to áno, ale nebuďme nároční, mně to bohatě stačí. Videa nemusím. Tor je určen pro nenáročný plebs, který chce být v bezpečí….

kaktus
Návštěvník

Se stejnou logikou lze argumentovat proti zamykání vstupních dveří do obydlí, vlastně proti jakýmkoliv zámkům! Naco je instalovat, když kdokoliv se sekyrou nebo pod. si otevře dveře i bez klíče.

kaktus
Návštěvník

admine, jukněte na blogovník.cz. Máte tam obdivovatele.

Charita pro Jullova
Návštěvník

Dovolím si přidat ještě jeden odkaz na video o svobodných lidech:
https://www.youtube.com/watch?v=H_4hlyqCJlU

svobodný občan
Návštěvník

Pokud má zůstat zachována svoboda, je nutné šmírování zakázat a hledat jiné prostředky a způsoby, jak terorismus a podobně zlikvidovat.

Lojza
Návštěvník

Pro svobodu zakazovat – to je příznačné. 🙂 Ono to s tou svobodou asi nebude tak jednoduché, jak si různí ti „svobodní občané“ představují.

svobodný občan
Návštěvník

Jste vedle jak ta jedle. To bychom mohli zrušit celej právní systém. Je svoboda… a vy nechápete rozdíl mezi svobodou, která společnost obohacuje a svobodou který ji poškozuje. A to jsou hodnoty, na kterých se společnost může domluvit, shodnout a to si odsouhlasit do zákonu. Lojzo.

wpDiscuz