Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace...

Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb

Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb

Od 1. ledna 2017 začal v České republice působit nový Úřad pro tisk a informace, cenzorské oddělení ministerstva vnitra. Skupina analytiků, která čítá přibližně 20 lidí, monitoruje každý den český internet a sleduje ideologicky závadné informace. Po jejich vyhodnocení jsou údaje předány policii a ta poté začne konat. Na AE News je o tom článek zde. Nejčastěji se bude jednat o předvolání k podání vysvětlení, ale může nastat i situace průběžného sledování internetu, telefonů apod. Přestože tento úřad má krycí název “Centrum proti terorismu a hybridním hrozbám”, ve skutečnosti nemá úřad žádnou jinou náplň, než cenzorskou činnost ve spolupráci s policií ČR.

3196795_.jpg
Tisková zpráva Úřadu pro tisk a informace, který pracuje od 1. ledna pod krycím názvem Centrum proti terorismu a hybridním hrozbám.

Vzhledem k tomu, že mnoho lidí nemá vůbec představu o tom, jak se na internetu chránit před případnými problémy, připravil jsem malý návod zabezpečení. Nejde o žádný ultimátní návod, který by zajistil neprůstřelnost proti kapacitám amerického úřadu pro národní bezpečnost (NSA), ale proti běžným kapacitám sledovacích agentur by měl postačit. Návod se týká ochrany soukromí, ne ochrany pro páchání trestné činnosti nebo čehokoliv v rozporu se zákony.

Připojení do internetu přes ISP vs. připojení přes VPN

Do internetu jste připojeni v dnešní době celkem 3 způsoby. Z pohledu uživatele jde o 3 modely, z hlediska technické realizace jde o podobné technické krytí, ale zásadní rozdělení je třeba si uvést. V dnešní době je přístup na internet pomalu samozřejmostí, ale ochrana a bezpečnost není ve středu zájmu laické veřejnosti, alespoň ne do chvíle, než nastane první problém. Celkem se můžete setkat s těmito typy připojení do internetu

  • Pevná linka (pevný telefon, kabelová televize, optika)
  • Mobilní operátor (smartfon, tablet)
  • Bezdrátové pojítko (Wifi, v USA nově i WiMax)

Pokud jste připojeni kterýmkoliv z výše uvedených způsobů, potom Vaše veškerá komunikace z Vašeho zařízení putuje v nekryptované podobě na bránu (gateway) Vašeho internetového poskytovatele. Tomuto poskytovateli se zkráceně říká ISP (Internet Service Provider). Pokud prohlížíte web a stránky a nemají na začátku URL adresy hlavičku “https”, ale je tam jenom “http”, tak Váš ISP operátor vidí, co píšete, jaký komentář jste odeslali, co jste napsali. Ve spolupráci s policií tak může ISP operátor logovat všechno, co napíšete do prohlížeče webu na svém počítači a co odešlete. Hlavička https s písmenem “s” na konci znamená, že se jedná o zabezpečený http protokol (http secured) pomocí SSL šifrování.

https_diagram_5.gif
MITM útok, grafické znázornění zranitelnosti https komunikace.

Problém s tímto šifrováním je, že se spoléhá na třetí osobu, tzv. CA (certifikační autoritu), ale to není nic pro tajné služby, které mohou příkazem získat od certifikační autority duplicitní (remisní) certifikáty k Vaší soukromé doméně a mohou tak použít MITM (man in the middle) útok a dešifrovat v reálném čase Vaši komunikaci, třeba s bankou a sledovat manipulaci s prostředky na účtu. Při tomto útoku pro zamaskování stop útočník zachycená data jenom přečte, ale ihned je znovu zakryptuje o pošle na cílový server, takže odesilatel a ani příjemce nezjistí, že mezi nimi je útočník.

Zabezpečené HTTP je iluze o bezpečnosti soukromí

Technologie SSL (Secure Socket Layer) je sice bezpečná sama o sobě, ale systém certifikátů domén vnáší do celého systému https velkou hrozbu. Spojení přes https je bezpečné před zločinci a hackery, ale ne před vládními agenturami a policií. Bezpečnost drží certifikační autorita, která podepisuje vydané certifikáty pro weby a jejich domény se zabezpečením https, takže důvěra v https komunikaci je jen tak velká, jak velkou důvěru máte ve vládu. Pokud mluvíme o vládě, mluvíme především o té americké, která má podle informací Edwarda Snowdena všechny americké certifikační agentury v USA zavázané národní doložkou bezpečnosti (zákon NDAA). Země NATO a spojenci v rámci NDAA jsou partneři v boji proti terorismu. Přístup národních tajných služeb k americkým certifikátorům se dá předpokládat, aby mohly pomocí MITM útoku odposlouchávat české “https” weby klíčových osob a firem.

SYSK 305.jpg
Vláda a tajné služby mohou zkonfiskovat veškeré úspory klienta v zahraniční bance díky MITM útoku. Do zahraničních bank se policie oficiálně na žádost z jiné země nedostane. MITM útok je náhradou, jak získat bankovní informace i bez souhlasu soudu cízí země. Stačí spolupráce s ISP operátorem sledované osoby.

Z tohoto důvodu je třeba bezpečnost komunikace zabezpečit jinak a k tomu slouží technologie VPN. Tahle zkratka znamená Virtual Private Network (Virtuální Privátní Síť) a je to technologie zasíťování skupiny X počítačů v rámci internetu, které mezi sebou mohou komunikovat přes VPN server a kromě toho mohou komunikovat i s celým zbývajícím internetem, ovšem ne pod vlastní fyzickou adresou, ale pod IP adresou VPN serveru. A právě tato vlastnost je používaná pro zajištění soukromí. Nyní si povíme více o technologických aspektech VPN.

VPN lze použít na soukromí a/nebo na změnu IP identity

Své zařízení do VPN sítě zapojíte nejčastěji pomocí dvou protokolů. Jedním je PPTP a druhým OpenVPN. PPTP používá velmi slabé a zranitelné šifrování, takže tímto protokolem se na ochranu soukromí do VPN připojovat nebudete. Ovšem zmiňuji ho zde kvůli něčemu jinému. PPTP je velice rychlý protokol, který tolik nezpomaluje odezvu na internetu na rozdíl od OpenVPN (viz. níže). Proto právě PPTP je vhodný protokol pro připojování do VPN kvůli hraní her, pokud např. některý provozovatel her blokuje určité regiony a státy. Stejně blokují premium obsah třeba americké streamovací televize, ke kterým se bez americké IP adresy nepřipojíte. Ke změně IP identity na jiný stát tak stačí VPN s IP adresou povoleného regionu. A protože VPN na PPTP protokolu je rychlé, nebude vám vrstva VPN zpomalovat ping (odezvu) a spojení na herní servery nebo během streamováni videa z USA.

expressvpn-servers-1.jpg
Express VPN klient.
Síla ochrany OpenVPN komunikace

Pro ochranu soukromí použijeme raději protokol OpenVPN, který používá knihovnu OpenSSL a pro ochranu komunikace uživatele je vytvořen datový šifrovaný tunel o síle šifrování 256bit. Mezi Vaším zařízením a VPN serverem je datový tunel, jehož obsah nemá Váš ISP operátor šanci rozkódovat. Pokud tedy použijete VPN poskytovatele v cizí zemí (to je základní podmínkou pro bezpečnost, je nesmyl pořizovat VPN službu od operátora v zemi, kde žijete), tak k Vaší komunikaci se žádný cenzorský orgán doma nedostane. Celá tato věc má ale jednu podstatnou stránku, kterou nesmíte opomenout.

Zahraniční VPN poskytovatel nepůjde proti vlastní vládě a nepůjde proti soudům ve své zemi. Takže pokud pod krytím zahraničního VPN spácháte nějaký trestný čin, VPN operátor o vás poskytne všechny informace. Znovu opakuji, že tento návod je zde pro získání soukromí na internetu, ne pro páchání zločinu pod krytím cizí IP adresy v zahraničí. OpenVPN má však kvůli kryptování a jeho síle určité zpomalení, které se bohužel projevuje v ping odezvách. V případě online her je to vážný problém, ale vadí to někdy i při provozu Skype, což se projevuje “plechovým” zvukem. Vyřešíte to tím, že zvolíte jiný OpenVPN server, který je k vám blíže geograficky a je méně zatížený. Vzdálenost a zátěž mají největší vliv na zpoždění pingu.

Usability3.png
NordVPN klient.

Velkým argumentem pro výběr konkrétního VPN poskytovatele je ta vlastnost, že neloguje datovou aktivitu svých klientů. Tohle tvrzení je třeba brát s rezervou, protože nikdy nebudete mít důkaz, že opravdu nic neloguje. Ale pokud neprovádíte nic nelegálního a jde vám jenom o ochranu soukromí před cenzorským orgánem doma, potom vám může být jedno, jestli zahraniční VPN poskytovatel loguje nebo ne. Takže teď přichází to hlavní, výběr VPN poskytovatele.

7 nejlepších VPN služeb

Na internetu jsou tisíce poskytovatelů VPN připojení, tohle je výběr těch sedmi nejlepších, kteří mají nejlepší reference na netu a mají neomezené přenosy dat, nabízí anonymitu plátce (BitCoin platby) a anonymitu registrace uživatele, většina z nich má “zero logging policy”, takže nelogují činnosti a data svých zákazníků (podle svých slov) a hlavně tito VPN poskytovatelé mají největší serverové kapacity v nejvíce zemích světa, takže můžete střídat různé servery a měnit tím svojí IP adresu, abyste se na internetu tvářili jako uživatel z jiné země. Za všechny služby je třeba platit. Nedávám tady seznam VPN zdarma, protože nestojí za nic a jsou prolezlé reklamou a zoufale přetížené. Cena za VPN není vysoká, ne moc, a navíc teď po Novém roce mají tyto služby velké slevy, nečekejte a využijte příležitosti. Někteří nabízejí VPN na zkoušku, všichni mají garanci spokojenosti anebo vrácení peněz.

purevpn-win-purpose.jpg
PureVPN klient.
VPN provider vám poskytne aplikaci, tzv. klienta

Po zakoupení některé ze služeb si musíte nainstalovat do počítače klienta, který vám zautomatizuje proces připojení do VPN. Přihlásíte se do něj pomoci vytvořeného uživatelského účtu. K nákupu VPN služby potřebujete platební kartu, případně PayPal nebo BitCoin. Základním předpokladem je elementární znalost angličtiny. Pokud jí neovládáte, požádejte někoho, aby Vás procesem nákupu VPN služby provedl. VPN účet obvykle lze použít na 5 zařízeních simultánně, takže pomocí VPN můžete chránit počítač, svůj mobilní telefon, tablet a třeba notebook. A ještě vám zbude jedno zařízení, které můžete ochránit.

hma1.png
HideMyAss VPN klient.

Některé klientské aplikace vám dají na výběr, jestli se chcete připojovat přes OpenVPN nebo PPTP. Rozhodněte se podle toho, k jakému účelu připojení VPN zrovna potřebujete (hry nebo soukromí). Další dotaz se může týkat transportního protokolu, jestli chcete připojení TCP nebo UDP. Protokol TCP je zajištěný obousměrný protokol, pakety vždy dorazí na cílový server a pokud ne, dozvíte se o tom z chybové zprávy o nedostupnosti serveru. Toto je výchozí protokol, který byste vždy měli používat. UDP je protokol, který nevrací informace o doručení paketů a nemusí být úplně spolehlivý, i když vrstva IP se stará o vysokou spolehlivost doručení. Při nákupech, komunikaci s bankami, odesílání důležitých emailů a dalších důležitých činnostech byste neměli UDP protokol používat. Je však velmi vhodný pro VoIP komunikaci. Vzhledem k tomu, že UDP komunikace je rychlejší a VoIP protokoly mají korekční ztrátové mechanismy, tak případná ztráta paketů na vrstvě UDP nebude VoIP protokolu vadit.

Emaily u českých operátorů jsou jako otevřená kniha na ministerstvu vnitra

Pokud to myslíte vážně s ochranou soukromí, nesmíte používat české emailové servery. Bezpečnostní složky mají přístup ke všem emailovým poskytovatelům v ČR a čtou si z nich jako z otevřené knihy. Jakýkoliv emailový účet v zahraničí je proto bezpečnější, než email v ČR, pokud píšete komentáře na české alternativní servery. Vrcholem zabezpečení je Proton Mail, z jehož serverů nelze nic číst, pouze samotný majitel emailu je schopný dešifrovat svojí emailovou schránku a v ní uložené emaily. Pokud chcete bezpečnost, změňte email z obligátního seznamu.cz na jiný server v cizině, nejlépe na Proton Mail ve Švýcarsku zde.

Nevýhoda VPN

Hlavní nevýhodou VPN je nižší datová propustnost, než kterou Vám nabízí Váš ISP poskytovatel. Máte od něho linku např. na 200 Mbps, ale po připojení na VPN počítač nebude na internetu komunikovat a stahovat rychleji, než 30 až 50 Mbps, záleží na vytížení konkrétního VPN serveru, přes který budete do internetu připojení. V některých hodinách v podvečer mohou některé evropské VPN servey padnout s rychlostí až někam na 3 Mbps. Na diskutování to postačuje, ale na stahování nebo streamování HD videí z YouTube to není. Obecně se dá VPN zapnout i tak, že přes VPN pojede jenom prohlížeč, ale ostatní aplikace jedou mimo VPN tunel. Ne všechny klientské VPN aplikace toto nabízí. Ale to není ani cílem tohoto článku, abych to tady vysvětloval. Základem je zabezpečení soukromí před sběrem dat na bráně operátora ISP a pro tyto účely slouží VPN nejlépe. Případné dotazy zodpovím dole v diskusi.

-Administrator-

Print Friendly, PDF & Email

Třídit podle:   nejnovějších | nejstarších | nejvíce hlasů
Kazatel
Návštěvník

POLITICI NEMAJ PRÁVO MENIT STÁT DEMOKRATICKY
LISTINA ZÁKLADNÍCH PRÁV A SVOBOD

Oddíl druhý
Politická práva
Článek 17
(1) Svoboda projevu a právo na informace jsou zaručeny.
(2) Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu.
(3) Cenzura je nepřípustná.

Oddíl druhý
Politická práva
Článek 23
Občané mají právo postavit se na odpor proti každému, kdo by odstraňoval demokratický řád lidských práv a základních svobod, založený Listinou, jestliže činnost ústavních orgánů a účinné použití zákonných prostředků jsou znemožněny.

Charita pro Jullova
Návštěvník

OK, tak právo vyjadřovat názor máme. Otázka zní: máme právo vyjadřovat i svoje city, pocity a emoce? Nejsem znalcem předpisů, pro se ptám (záměrně nepoužívám slovo zákon, neboť dle mne je zákon něco, co platí vždy a všude, a “oni” ty svoje předpisy nazývají zákonem právě proto, aby ovčané podlehli dojmu, že ty předpisy jsou něco, co nelze porušit). Nabývám dojmu že odpověď je NE. Mám právo vyjadřovat lásku, soucit, dojetí? Jeslti ano, pak mám přece právo vyjádřit i nenávist, zlobu… Dnes nás trestají za vyjádření nenávisti, zítra nás budou trestat třeba za vyjádření lásky, nadšení, radosti… To jako z nás chtějí mít bezduché oživlé mrtvoly nebo co?
Nemívám často sny, ale dnes se mi jeden zdál. Umřel jsem v něm a moje poslední slova byla: “Cukr a bič jsou nástroje otrokářů. Dokud se lidé nepřestanou nanzájem trestat, postup na vyžší úroveň vědomí je jim zapovězen.” Po probuzení jsem si uvědomil, že toto poselství je vlastně poselstvím mého života, a vešeré mé trable pramení z něj, z toho, že lidé toto nechtějí slyšet protože cukr a bič považují ja jedný možný výchovný prostředek a přitom si neuvědomují, že tím navzájem zotročují (ochočují). Staví si přitom vlastní mříže vězení a myslí si, že za nimi budou v bezpečí jistot (nutno dodat, že bezpečí je iluze, stejně tak, jako jistota). Chcete žít život ve vězení, v iluzi relativního bezpečí anebo dýchat čerstvý vzduch svobody, kde smrt číhá na každém rohu? Na to si musí odpvědět každý sám…

.lak
Návštěvník

Dát operu a v nastavení zapnout turbo a změny VPN a skrytí je automatické.

Kazatel
Návštěvník

Lidi nás oběsí a budou v právu. Godfrey Bloom v EP.
https://www.youtube.com/watch?v=nQp09LDnncE

.lak
Návštěvník
baliz
Návštěvník

Zdravim a děkuji za radu jsem z jiného ranku,ale tento typ zabezpečení si nechám zřídit od odborníka.
Otázka jste si opravdu jisti, že CTHH MV bude pročesávat soukromí i Pepíků z Horní Dolní?
Děkuji za odpověď

smrdutá mrtvola Václava Havla
Návštěvník
smrdutá mrtvola Václava Havla

Přece když chci poslat ideologicky závadný názor, na to musí stačit i blbý TOR. Nebo pro jistotu, když třeba chci na webu finanční správy udat řeznictví Procházka. https://www.agrofert.cz/nase-spolecnosti/163/prochazka-a-s

Rex
Návštěvník

Možnost použití VPN je přímo zabudovaná i v prohlížeči Opera. Máte s tím zkušenosti a stačí použít tuto službu?
Když jste psal o https, tak proč ho nemá Aeronet s nějakým zahraničním certifikátem?

smrdutá mrtvola Václava Havla
Návštěvník
smrdutá mrtvola Václava Havla

Mám dva maily u Protonmailu. 100% jistotu ale nemám ani tam, anebo by mi/nám mohl admin říct, co ho konkrétně přesvědčuje, že tvůrci služby říkají pravdu, třeba o tom, že zprávy nemohou dešifrovat ani oni sami. Zvlášť když jde o inženýry CERNu.

Jo, a chápu správně, že Saddáma honící trapáci z BIS můžou nabourat i proces přihlášení na protonmail a tak získat obě hesla?

.B.
Návštěvník

Mám Kaspersky AV, součástí je i VPN připojení 200 MB denně, což je na nic. Nelze si vybrat ani zemi.
Zkoušel jsem několik jiných, třeba HideMyAss, ale upřímně, nefunguje to. Šel jsem na zahr. web, zkusil pustit video dostupné jen v oné zemi a nešlo to. Pak jsem zkusil Kaspersky a náhodou se připojoval ze zmíněné země – a video fungovalo.

Bohužel je ale plná verze momentálně mimo mé možnosti.

RRR
Návštěvník

1) Právo na názor je daný ústavou
2) Museli by prokázat, že příspěvek je nenávistný a ne jen popisující pravdivou skutečnost
3) Je dost vypovídající, že lidem v ČR je to úplně jedno

wpDiscuz