Δεν νομίζω ότι υπάρχει τρόπος ο κοινός χρήστης να προστατευθεί. Εδώ δεν υπάρχει τρόπος να προστατευθεί απόλυτα ο expert hacker, πόσο μάλλον ο κοινός θνητός «ασχετος»
Αν δεν έχει κάποιος τις γνώσεις να καταλαβαίνει τι «γίνεται κάτω από το καπό» όταν μπαίνει σε μία σελίδα για παράδειγμα πως θα ξέρει πως να προφυλαχτεί και να παραμείνει «ανώνυμος» όταν κάθε μέρα τα πράγματα αλλάζουν και έχεις κολοσσούς big-brothers να σε παρακολουθούν σε κάθε click σου;
Ακόμα και experts του χώρου την πατάνε one way or another.
Το Internet αρχικά σχεδιάστηκε με την λογική του εύκολου διαμοιρασμού πληροφοριών. Κανείς δεν είχε στο νου του την εξέλιξη που είχαμε και κανείς δεν σκεφτόταν το θέμα της ασφάλειας και του privacy όπως το βλέπουμε σήμερα.
Όλα αυτά τα καλούδια που μας παρέχουν κάποια τυπική ασφάλεια σήμερα είναι αποτέλεσμα των hackers που λες. Πιο συγκεκριμένα των λεγόμενων
Cypher Punks
Αυτοί οι άνθρωποι δεν λένε κάτι για την προστασία του κοινού χρήστη γιατί είναι σαν να προσπαθείς να εξηγήσεις πυρηνική φυσική σε μία μαϊμού
Οι πληροφορίες υπάρχουν εκεί έξω για όποιον θέλει να διαβάσει. Δεν είναι τίποτα κρυφό.
Ωστόσο αυτοί οι «αντικοινωνικοί» hackers που
δεν δίνουν την γνώση στον λαό έχουν φτιάξει σχετικές τεχνολογίες που υποτίθεται προσφέρουν την ασφάλεια που χρειάζεται ο κοινός χρήστης χωρίς να πρέπει να ξέρει κρυπτογραφία ή άλλα περίεργα πράγματα. Βλέπε SSL πχ. Ο τελικός χρήστης δεν έχει ιδέα (και δεν τον νοιάζει) πως δουλεύει το SSL αρκεί να βλέπει το κλειδάκι στον browser του. Αυτό του μάθανε, μέχρι εκεί κοιτάει για την ασφάλεια του. Και για ένα περίεργο λόγο οι browsers τα τελευταία χρόνια το «κρύψανε» ακόμα περισσότερο το περίφημο κλειδάκι (και προωθούν την όλη μπίζνα με τα EV Certs που αυτά όντως ξεχωρίζουν περισσότερο). Δεν είναι το ίδιο εμφανές όπως ήταν παλιότερα IMHO.
Τώρα τι μπορεί να κάνει ο μέσος χρήστης για να προστατευτεί...
Δυστυχώς αν δεν εκπαιδευτεί, δεν διαβάσει, δεν ψαχτεί, δεν μπορεί να κάνει πολλά. Ο Χ πωλητής του Χ Πλαισίου (που το πιο πιθανό είναι να μην έχει την παραμικρή ιδέα περί ασφάλειας πληροφοριακών συστημάτων και δικτύων) θα του πει βάλε το τελευταίο Antivirus (το οποιο θα πληρώσει τουλάχιστον κανένα 50ρικό) και θα είσαι οκ. Θα έχει δηλαδή ο χρήστης την ψευδαίσθηση ότι είναι ασφαλής όταν στην πραγματικότητα πέταξε 50ευρώ και η προστασία που έχει είναι μηδαμινή (τα antivirus δεν θεωρούν spy tools τα google analytics και τα facebook - αυτά είναι «μπίζνες υψηλής τεχνολογίας»
)
Όπως σε κάθε τομέα όπου εμπλέκεται υψηλή τεχνολογία πρέπει να ξέρεις τι κάνεις για να πεις ότι το έχεις το θέμα. Με pointers τύπου πέρνα αυτό, κάνε το άλλο και μην κάνεις το παραάλλο, απλά καλύπτεις την κατάσταση σήμερα και σε μικρό βαθμό.
Ότι προστασία παίζει σήμερα αύριο θα είναι obsolete. Διαρκώς αλλάζουν τα πράγματα και αν δεν είσαι μέρος αυτών τότε δύσκολα μπορείς να είσαι up2date στα θέματα ασφαλείας.
Γενικά pointers που μπορώ να δώσω για την διατήρηση της ανωνυμίας και ασφάλειας κάποιου στο Internet είναι πρωτίστως να μπαίνει παντού με SSL. Είτε είναι το news website που ενημερώνεται, είτε είναι το FB, είτε είναι η αναζήτηση στο google, πρέπει να γίνει κάτι σαν
θρησκεία το να χρησιμοποιούμε μόνο SSL. Δεν λέω να αγοράσουν όλοι certificates από κάποιον CA. Και τα self signed certificates το ίδιο encryption παρέχουν.
Τα αγορασμένα certificates το μόνο που παρέχουν παραπάνω είναι ότι ένας τρίτος οργανισμός (ο CA δηλαδή) πιστοποιεί ότι το site στο οποίο μπαίνεις είναι πράγματι αυτό.
Δεν παρέχει καμία άλλη παραπάνω ασφάλεια από τα self signed certs.
Επομένως παντού SSL (αγορασμένα ή μη). Ιδανικά θα πρέπει να γίνει εκπαίδευση στον κόσμο ότι όταν μπαίνεις σε σελίδα χωρίς SSL απλά είσαι γυμνός στο Internet και ο οποιοσδήποτε μπορεί να snifάρει την κίνηση σου και να δει τι κάνεις στο εκάστοτε site!
Αν ο κόσμος πιέσει να γυρίσουν όλοι σε SSL και αυτό να είναι το default παντού, αυτομάτως θα έχουμε ένα πιο ασφαλές Internet (φυσικά δεν αρκεί μόνο αυτό αλλά είναι ένα σημαντικό βήμα).
Βέβαια αυτό είναι απλά μία φαντασίωση. Ξέρω ότι δεν υπάρχει περίπτωση ο πατέρας μου πχ να πιέσει ποτέ κανέναν να βάλει SSL στην σελίδα του. Ούτε η κοπελίτσα που ψάχνει πληροφορίες να κάνει την εργασία για το σχολείο της.
Στον firefox πάντως παίζει σχετικό
plugin όπου κάνει ακριβώς αυτό. Σε συνδέει αυτόματα στην Https έκδοση της σελίδας (εφόσον υπάρχει).
Οπότε και να μπεις καταλάθος με http στο κάνει αυτόματα rewrite σε https.
Έπειτα, παίζει το θέμα των απείρων trackers κατά το browsing. Σε κάθε επίσκεψη μίας σελίδας, μας παρακολουθούν ένα σωρό κολοσσοί που ένας θεός ξέρει τι κάνουν με τις πληροφορίες που συλλέγουν. (και όχι δεν πιστεύω λέξη απόσα λένε περί data retention & logs anonymizing)
Για όσους νομίζουν ότι το παραπάνω είναι υπερβολή ας τσεκάρει το Collusion addon στον FF
https://addons.mozilla.org/en-US/firefo ... collusion/ να δει όταν μπαίνει σε μία σελίδα πόσες άλλες εταιρίες γνωρίζουν σε ποια σελίδα μπήκε, που πάτησε, τι έκανε, κλπ.
Γιαυτή την δουλειά υπάρχει το
Ghostery addon στον Firefox. Κόβει αυτόματα οτιδήποτε tracker (αυτό σημαίνει πως κόβει όλα τα spy widgets του Facebook, το spy script του google analytics και πάει λέγοντας).
Παράλληλα με αυτό πάει και το Ad Block Plus να κόβει κάθε spy ad network (και φυσικά όλες τις ενοχλητικές διαφημίσεις).
Και επίσης και το No-Script να απενεργοποιεί by default την javascript στα sites προσφέροντας αυξημένη ασφάλεια μιας και τα περισσότερα exploits αξιοποιούν συνήθως την javascript για να τρέξουν.
Πχ μπαίνεις κάθε μέρα στο freestuff. Το έχεις κάνει μόνιμα allow στο NoScript.
Ξαφνικά το freestuff το τρώνε και προσθέτουν ένα κομμάτι javascript σε όλες τις σελίδες το οποίο καλεί διάφορα πράγματα από κάποιο Ρωσικό URL. Το NoScript αυτομάτως θα το κόψει αυτό καθιστώντας σε safe. Ακόμα και να πρόκειται για το super duper 0day exploit του FF δεν θα περάσει. Το Antivirus μπορεί να ήθελε και μία βδομάδα πάρει χαμπάρι (μέχρι να ενημερωθούν τα signatures, και να πιάνει το εν λόγο exploit). Το NoScript θα το κόψει by default.
Φυσικά υπάρχουν και άλλα addons που βοηθάνε στην ανωνυμία. Πχ να μην στέλνει ο brower referrer urls (οπότε δεν ξέρουν από που έρχεται σε κάποιο link).
Ή να αλλάζεις το user-agent ώστε να μην φαίνεται η πραγματική έκδοση του browser/OS.
Ωστόσο όσο σκαλίζεις τόσο αρχίζουν να σπάνε πράγματα. Πολλές σελίδες είναι σχεδιασμένες έτσι που είτε δεν παίζουν χωρίς referer urls. είτε δεν παίζουν χωρίς javascript, είτε ακόμα χειρότερα δεν παίζουν αν δεν φορτώσουν κάποια assets από τρίτους servers όπως πχ το jquery από servers της google (φακέλωμα με το στανιό δηλαδή).
Και εκεί έρχεται το ότι χρειάζεται να ψαχτείς. Δεν γίνεται κάποιος που το μόνο που ξέρει από Internet είναι το FB και το Youtube να έχει ιδέα τι είναι όλα αυτά και πως τον βοηθάνε.
Πέρα από το κομμάτι του browsing υπάρχουν και άλλες υπηρεσίες στο Internet που τρως φακέλωμα.
Πχ υπάρχουν εταιρίες που κάνουν seed παράνομα torrents ώστε όταν τα κατεβάσεις να φακελώσουν την IP σου και αν είσαι ένας από τους ελάχιστους τυχερούς θα σου έρθει το σχετικό χαρτί ότι κατηγορείσαι για copyright infringment και άντε βγάλε άκρη μετά.
Σε αυτές τις περιπτώσεις οι λύσεις (όσο παίζουμε με IPv4 γιατί στο IPv6 προσπαθούν να το αλλάξουν αυτό - για άλλους λόγους επιφανειακά αλλά δεν με πείθουν προσωπικά - το βλέπω το IPv6 ως την εξέλιξη του online tracking) είναι συνήθως κάποιο VPN.
Οπότε αλλάζεις την IP σου σε μία IP πχ της Σουηδίας και έτσι φακελώνουν αυτήν αντί για την IP που σου έδωσε ο ISP σου και μπορούν να σε ταυτοποιήσουν.
Ακόμα και αυτό όμως έχει τα υπέρ και τα κατά του.
Όπως και με τα προηγούμενα αν δεν ξέρεις πως δουλεύει και τι κάνει, δεν μπορείς να ξέρεις αν είσαι προστατευμένος ή όχι. Μπορεί πχ το VPN να μην έχει δυνατό encryption οπότε ο ISP να μπορέσει να δεις τι data περνάς.
Ή μπορεί η εταιρία που παρέχει το VPN να μην αντιστέκεται εύκολα σε αιτήσεις από τις αρχές να δώσει ότι στοιχεία έχει για κάποιον πελάτη της.
Άλλος τρόπος φακελώματος είναι οι DNS Servers. Δεν λέω καλοί χρυσοί οι DNS των ISPs αλλά μπορώ να τους εμπιστευθώ; Που ξέρω ότι δεν Logάρουν κάθε lookup που κάνω οπότε να έχουν πλήρη εικόνα που μπαίνω;
Αντίστοιχα το ίδιο ισχύει και για τους DNS της google ή άλλων free open dns servers στο Internet. Ναι μου δίνει free εύκολους να τους θυμάμαι τους DNS της η Google.
Αλλά με τι αντάλλαγμα; Που ξέρω ότι δεν Logάρει τα lookups όλων για να βγάλει ότι στατιστικά βγάζει για να πουλήσει περισσότερες στοχευμένες διαφημίσεις;
Μετά έχουμε και το Tor Project. Στην θεωρία ακούγεται ωραίο και safe αλλά αν το ψάξει κανείς σε βάθος, υπάρχουν τρόποι να κάνεις identify κάποιον (βλέπε πχ DNS Leaks).
Τουλάχιστον πλέον το διευκρινίζουν ότι δεν είσαι safe με το Tor και ότι πρέπει να ξέρεις τι κάνεις για να πεις ότι θα σου παρέχει πιο σίγουρη ασφάλεια.
Το μεγαλύτερο πρόβλημα είναι ότι μας πουλάνε την ψευδαίσθηση της ασφάλειας όταν by design είναι τρύπιο το όλο πράγμα (Internet) και τα μπαλώματα είναι το encryption που βάλαμε εκ των υστέρων στα περισσότερα πρωτόκολλα.
Όπως είπες είναι τεράστιο θέμα προς συζήτηση.
Προσωπικά δεν βλέπω στο άμεσο μέλλον να αλλάζει κάτι. Αντιθέτως πάμε προς το χειρότερο.
Το online φακέλωμα είναι περισσότερο από ποτέ. Ο κόσμος δεν έχει καν την παιδεία να καταλάβει τι δίνει ως αντάλλαγμα για να χρησιμοποιεί υπηρεσίες τύπου facebook.
Το πρωτόκολλα δεν ενημερώνονται εύκολα (βλέπε DNS - πέρασαν πάνω από 15 χρόνια μέχρι να βγάλουν το DNSSEC και ακόμα είναι ελάχιστο το adoption του)
Γενικά η κατάσταση είναι χάλια. Ο κόσμος είναι άσχετος. Οι τεχνολογίες που λύνουν τα θέματα ασφαλείας είναι περίπλοκες/δύσχρηστες. Οπότε πρακτικά ο κοινός χρήστης πρέπει να σταματήσει να είναι «κοινός» αν θέλει να έχει ασφάλεια. Προσωπικά δεν βλέπω άλλη λύση και ας ακούγεται απαισιόδοξο.
