Surfowanie na podsłuchu

Nowa ustawa o policji zwana potocznie ustawą inwigilacyjną, która weszła w życie w lutym 2016 roku, ponownie zwróciła uwagę opinii publicznej na zagrożenia prywatności w internecie. W myśl nowej ustawy policja i inne służby takie jak kontrwywiad czy wywiad skarbowy mają praktycznie nieograniczony dostęp do tzw. danych internetowych. Funkcjonariusze nie muszą, jak dotychczas, składać pisemnych wniosków o dostęp do danych. Wystarczy, że skorzystają ze stałego połączenia z serwerami operatora – stworzenie takiego łącza, na koszt firm internetowych, wymusza nowe prawo.

Pewną ochroną zwykłego zjadacza chleba są ograniczenia związane z możliwościami organizacji, które będą monitorować sieć. Warto jednak pamiętać, że internet jest globalny i są gracze, którzy mają zasoby i technologię umożliwiające inwigilację na szeroką skalę. Najczęściej wymienianym przykładem jest amerykańska Narodowa Agencja Bezpieczeństwa (NSA) zajmująca się wywiadem elektronicznym. Według informacji ujawnionych przez Edwarda Snowdena, byłego administratora systemów w NSA, gromadzi ona wszystkie dane internetowe, których może dosięgnąć. Są one zapisywane w potężnych bazach danych, gdzie czekają na chwilę, gdy mogą stać się przydatne. Pojemność tych baz, donosi Snowden, powiększa się co roku o rząd wielkości. W połączeniu z wyrafinowanymi algorytmami profilowania pozwalającymi ustalić zainteresowania i znajomości użytkownika, odtworzyć trasy jego podróży, historię życia zawodowego i rodzinnego czy transakcji finansowych pozwala to stworzyć kompletny obraz człowieka bez konieczności organizowania fizycznej inwigilacji.

Zagrożenia dla użytkowników płyną także ze strony szeroko rozumianego sektora prywatnego. Korzystając z sieci, warto mieć świadomość, że do wszystkich informacji o twojej aktywności ma dostęp operator telekomunikacyjny. Z jego logów może korzystać nie tylko policja, ale także prawnicy, reprezentujący np. właścicieli praw autorskich. Na podstawie decyzji sądu mogą oni uzyskać dane osobowe użytkownika, którego adres IP został namierzony np. w sieci Torrent. Podczas ściągania plików za pomocą tego protokołu równocześnie się je udostępnia, a to, w przeciwieństwie do samego ściągania, jest w Polsce nielegalne. Jako że sieć Torrent nie jest zabezpieczona przed inwigilacją, twój adres IP jest dostępny dla każdego. Wyspecjalizowane firmy działające na rzecz właścicieli praw autorskich rejestrują aktywność użytkowników, selekcjonując osoby, którym można wytoczyć proces ku przestrodze dla innych użytkowników.

Słabo zabezpieczone połączenie internetowe ułatwia także śledzenie użytkowników przez firmy handlowe i usługodawców, którzy na podstawie adresu IP mogą dowiedzieć się, skąd łączysz się z siecią, z jakiego sprzętu korzystasz itp. Na tej podstawie mogą np. dynamicznie modyfikować ceny produktów i usług albo odcinać dostęp do niektórych materiałów, co jest standardową praktyką w serwisach wideo. Korzystanie z sieci za pomocą otwartego połączenia to zachęta dla hakerów i nieuczciwych administratorów, którzy mogą zidentyfikować cię w sieci np. na podstawie adresu IP, a następnie uzyskać wgląd w treść korespondencji, która w wielu wypadkach przesyłana jest bez szyfrowania, podobnie jak wszystkie dane o połączeniach z serwerami.

Funkcjonariusze mogą przeglądać logi połączeń, gdzie są zarejestrowane adresy IP, z którymi użytkownik się łączył, przeglądane strony WWW, adresy użyte w korespondencji elektronicznej itp. Ustawa pozwala wyłącznie na przeglądanie metadanych, tzn. treść stron WWW czy e-maili nie może zostać odczytana. Niestety słaby nadzór nad procesem inwigilacji nie gwarantuje, że to ograniczenie będzie przestrzegane w praktyce. Z samych metadanych też można się sporo dowiedzieć. Jeśli użytkownik przegląda strony medyczne, służby zdobędą informacje o jego przypadłościach zdrowotnych czy o uzależnieniach. Odwiedzanie portali randkowych może sugerować zdradę małżeńską, a wizyty w serwisach z poradami prawnymi – konflikty, w które uwikłany jest obywatel. W podobny sposób da się ustalić preferencje seksualne czy poglądy polityczne. Analiza użytych adresów e-mail, aktywności w komunikatorach czy serwisach społecznościowych ujawnia znajomości użytkownika.

Można zastanawiać się, czy prywatność w sieci jest potrzebna zwykłym ludziom. Edward Snowden skomentował to tak: Argumentowanie, że nie dbasz prywatność, ponieważ nie masz nic do ukrycia, jest tym samym co twierdzenie, że nie dbasz o wolność słowa, bo nie masz nic do powiedzenia.

Mimo zagrożeń prywatność w sieci można skutecznie ochronić za pomocą rozwiązań technologicznych, które ukrywają aktywność online – opiszemy je w dalszej części materiału. Część z prezentowanych rozwiązań była wykorzystywana przez Snowdena, który ukrywał za ich pomocą kontakty z dziennikarzami. Robił to na tyle skutecznie, że potężna NSA dowiedziała się o przecieku z mediów, gdy jej pracownik był bezpieczny poza granicami Stanów Zjednoczonych.

Absolutnym minimum, jeśli chodzi o zabezpieczenie komunikacji w internecie, jest używanie protokołu HTTPS, czyli hybrydy standardowego protokołu WWW z protokołem kryptograficznym TLS, który odpowiada za szyfrowanie danych przepływających między klientem a serwerem za pomocą 128-bitowego klucza AES. Dzięki temu treść przesyłana takim kanałem jest niedostępna dla operatora telekomunikacyjnego, a co za tym idzie – dla służb specjalnych. Zdekodowane kopie wiadomości są dostępne tylko na komputerze użytkownika i na serwerze. Oznacza to, że śledczy mogą dowiedzieć się jedynie o nawiązaniu połączenia i czasie jego trwania oraz o adresach IP użytych podczas wymiany danych. Oczywiście zmieni się to, jeśli uzyskają nakaz sądowy, który zmusi firmę do udostępnienia danych w związku z podejrzeniem dokonania przestępstwa albo na podstawie uprawnień związanych z działalnością wywiadowczą lub kontrwywiadowczą.

O tym, że połączenie jest zabezpieczone, świadczy obecność zielonej kłódki lub przycisku przed adresem strony WWW w oknie przeglądarki. Po kliknięciu tej ikony możesz zapoznać się z informacjami o certyfikacie cyfrowym poświadczającym tożsamość witryny oraz zastosowanym algorytmie szyfrującym. Jeżeli serwis nie korzysta z protokołu HTTPS, jedynym skutecznym zabezpieczeniem prywatności jest zestawienie własnego bezpiecznego połączenia internetowego poprzez sieć VPN lub TOR.

Najwygodniejszym narzędziem do szyfrowania połączenia internetowego jest Virtual Private Network (VPN), czyli wirtualna sieć prywatna. Technologia została opracowana w celu umożliwienia zdalnej pracy w sieci korporacyjnej, ale świetnie sprawdza się w roli strażnika prywatności użytkowników w czasach wszechobecnej inwigilacji.

Połączenie VPN działa podobnie do HTTPS – przed przesłaniem danych tworzony jest bezpieczny, silnie szyfrowany „tunel”, którym wędrują dane. Jest też istotna różnica – w przypadku VPN-ów szyfrowane jest nie tylko połączenie z serwerem WWW, a cała transmisja danych pomiędzy komputerem a internetem. Na końcu „tunelu” znajduje się serwer VPN, który dekoduje dane i przekazuje je do internetu. Usługa obejmuje także zabezpieczony DNS, dzięki czemu rozwiązywanie nazw także odbywa się w ramach chronionego kryptograficznie połączenia. Dzięki temu cała komunikacja pomiędzy komputerem a serwerem VPN jest nieczytelna dla trzeciej strony, co wyklucza inwigilację poprzez monitorowanie połączeń u operatora telekomunikacyjnego.

Usługi VPN chroniące prywatność wyróżniają się bardzo silnymi zabezpieczeniami. Standardem jest szyfrowanie połączenia kluczem AES 256-bit, czyli dwukrotnie dłuższym niż w protokole HTTPS. Usługodawcy oferują opcjonalnie jeszcze silniejsze zabezpieczenia – podwójny szyfr AES 256-bit czy kombinację VPN z innymi usługami anonimizującymi, np. TOR-em.

Aby VPN sprawdził się jako narzędzie zabezpieczające, niezbędny jest dostęp do serwera VPN, który nie tylko dekoduje połączenie, ale i czyści je ze wszystkich śladów zdradzających źródło sygnału oraz nie zachowuje logów dotyczących tej czynności. Taką funkcję mają w ofercie dostawcy wyspecjalizowanych usług VPN zaprojektowanych w celu ochrony prywatności, np. NordVPN https://nordvpn.com/pl, PureVPN www.purevpn.com i VyprVPN www.goldenfrog.com/vyprvpn. Porównanie VPN-ów znajdziesz na stronach http://pcformat.pl/u/2335 i http://pcformat.pl/u/2336.
Niestety tego typu usługi są płatne – koszt dostępu do serwera VPN wynosi od 3 do 10 dol. miesięcznie w zależności od czasu trwania umowy i marki. Jeśli zdecydujesz się na roczny dostęp do serwera, bez problemu znajdziesz dobry VPN w cenie 3–4 dol. miesięcznie.

Korzystając z sieci VPN, możesz wybrać serwer docelowy, w którym twój sygnał opuści szyfrowaną sieć prywatną. Renomowani usługodawcy udostępniają setki punktów wyjściowych na całym świecie, także w Polsce. Rezultatem działania usługi, który najłatwiej zobaczyć, jest zmiana adresu IP komputera, pod którym występujesz online. Twój komputer jest identyfikowany za pomocą adresu IP wybranego przez ciebie serwera VPN, gdzie urywa się ślad prowadzący do ciebie. Biorąc pod uwagę, że możesz połączyć się z dowolnym krajem, VPN przydaje się do omijania ograniczeń geograficznych w dostępie do treści wideo.

Korzystając z dobrej jakości VPN-a, nie zauważysz różnicy w szybkości transferu danych. W przepadku renomowanych usług bardzo rzadko pojawiają się problemy ze stabilnością połączenia – jest to zazwyczaj związane z przeciążeniem serwera. W takiej sytuacji wystarczy wybrać mniej przeciążony punkt docelowy. Innym problemem, szczególnie gdy używa się serwera zlokalizowanego w odległym miejscu, może być konieczność ponownego zalogowania się na Facebooku czy w usługach Google, bo te serwisy traktują nagłą zmianę lokalizacji jako informację o możliwym przejęciu konta.

Bezpłatną alternatywą dla VPN-ów jest sieć TOR . W tym wypadku anonimowość zyskuje się poprzez przesyłanie sygnału przez kilkanaście serwerów, które zacierają ślady użytkownika. Ta metoda jest skuteczniejsza od VPN, gdzie za anonimizację odpowiada pojedynczy serwer. Niestety ceną jest bardzo wolne działanie połączenia sieciowego, dlatego TOR można polecić tylko w wyjątkowych sytuacjach, gdy ochrona tożsamości jest szczególnie ważna – do ochrony podczas codziennej aktywności online TOR zwyczajnie się nie nadaje. Rozwiązanie ma także inne wady – np. nie można wybrać serwera wyjściowego, więc IP zmienia się bardzo często. Z sieci TOR najwygodniej korzysta się za pomocą przeglądarki TOR Browser, czyli modyfikacji Firefoksa skonfigurowanej z myślą o nawiązywaniu bezpieczne połączenia.

Dobrym rozwiązaniem dla użytkowników TOR-a, które gwarantuje maksymalną ochronę dostępną w warunkach domowych lub w małej firmie, jest system operacyjny Tails https://tails.boum.org. Domyślnie przekierowuje on cały ruch sieciowy przez TOR i stosuje szereg dodatkowych zabezpieczeń prywatności użytkownika.
Tails jest wyspecjalizowaną dystrybucją Linuksa przeznaczoną głównie do uruchamiania z nośnika USB lub płyty DVD. Dzięki temu, że Tails startuje z pamięci zewnętrznej, nie grożą mu trojany i keyloggery, które mogą być zainstalowane w środowisku Windows. Co więcej, system nie zostawia żadnych śladów na komputerze, gdyż wszystkie pliki tymczasowe są przechowywane na wirtualnym dysku w nietrwałej pamięci RAM. Opcjonalnie na pendrivie można utworzyć szyfrowany wolumin i przechowywać w nim dokumenty i pliki konfiguracyjne aplikacji. W warsztacie pokazujemy, jak uruchomić system.

Przykładem bezpiecznego zamiennika zwykłej usługi pocztowej jest Protonmail https://protonmail.com. Serwis szyfruje wiadomości w taki sposób, że ich treść jest znana tylko właścicielowi skrzynki pocztowej, który jako jedyny zna dodatkowe hasło do prywatnego klucza dekodującego. Właściciele serwisu mają dostęp wyłącznie do nagłówków wiadomości, a te są chronione prawem kraju, w którym mieści się firma, w tym wypadku Szwajcarii, poważnie traktującej prawo do prywatności. Wiadomości wysyłane do zewnętrznych odbiorców są przesyłane za pomocą protokołu TLS, podobnie zresztą jak np. wiadomości Gmail. Ich treść można odczytać dopiero na serwerze docelowym, podczas transportu są bezpieczne. Użytkownicy mogą też wygenerować hasło dla znajomego, który nie ma Protonmaila, i przesłać mu odnośnik. Niestety hasło w tym wypadku trzeba przekazać innym, bezpiecznym kanałem.

Chcąc uzyskać podobny poziom zabezpieczeń w zwykłej skrzynce pocztowej, należy skorzystać z aplikacji szyfrującej bazującej na tzw. GPG, np. Gpg4win www.gpg4win.org. Pozwala ona na szyfrowanie korespondencji w dowolnym koncie pocztowym za pomocą pary kluczy kryptograficznych (publicznego – szyfrującego oraz prywatnego – dekodującego). Niestety w przypadku korzystania z GPG za wymianę kluczy oraz kodowanie i dekodowanie wiadomości odpowiada użytkownik – Protonmail wszystkie czynności wykonuje sam, więc korzystanie z niego nie różni się niczym od obsługi zwykłej skrzynki pocztowej. Serwis dostępny jest także na platformach mobilnych dzięki dedykowanym aplikacjom w wersjach na Androida i iOS.

Jeśli chcesz w podobny sposób zwiększyć bezpieczeństwo korzystania z komunikatorów internetowych, możesz skorzystać z jednej z implementacji protokołu OTR z 128-bitowym kluczem szyfrującym AES, na przykład komunikatora Jitsi https://jitsi.org, lub Pidgin www.pidgin.im z wtyczką OTR. W tym wypadku także stosowane są dwa klucze, publiczny i prywatny, ale wymiana kodów i szyfrowanie odbywa się bez angażowania użytkownika. Alternatywą dla tych desktopowych programów jest Cryptocat https://crypto.cat, aplikacja czatu internetowego z funkcją rozmów grupowych, która wykorzystuje protokół OTR i szyfrowanie po stronie klienta z wykorzystaniem JavaScriptu. Dzięki temu aplikację można uruchomić w każdej przeglądarce (dzięki wtyczce), na desktopie oraz na iOS-e. Aplikacja na Androida dopiero powstaje.

Użytkownicy mobilnego OS-u od Google także mogą korzystać z komunikatora zgodnego z OTR. Popularna jest apka ChatSecure https://chatsecure.org, która pozwala wymieniać wiadomości także z desktopowymi klientami wpierającymi OTR. Jednak najlepsze rozwiązanie, szczególnie ze względu na wygodę użytkowania, stanowi opisywany przez nas dalej komunikator Signal https://whispersystems.org. Jest on jeszcze bezpieczniejszy niż programy zgodne z OTR dzięki stosowaniu 256-bitowego klucza AES, który w przewidywalnej przyszłości nie zostanie złamany. Ta polecana przez Snowdena aplikacja automatyzuje zestawianie bezpiecznego połączenia, za pomocą którego można wymieniać nie tylko wiadomości tekstowe, ale także multimedia. Signal ma też wbudowany moduł szyfrowanej komunikacji głosowej. Dzięki integracji z Kontaktami bezpieczne połączenia nawiązuje się tak samo łatwo jak zwykłe, nieszyfrowane połączenia GSM.

Skuteczność nawet najdoskonalszych narzędzi szyfrujących komunikację może być żadna, jeżeli użytkownik nie będzie kierować się zdrowym rozsądkiem. Można założyć, że to, co trafia do internetu, zostaje w nim na zawsze. Zastanów się, czy chcesz, by ktoś obcy oglądał materiały, które publikujesz. Używając Facebooka czy innych portali, ogranicz krąg odbiorców do znanych i zaufanych osób. Pamiętaj też o drugoplanowych informacjach, które niechcący udostępniasz – rodzinna fotografia z wakacji zdradza, że mieszkanie stoi puste, a zdjęcie mieszkania, auta czy zakupów informuje o twoim statusie materialnym.

Aplikacja Signal działa w tle jako usługa, można więc odbierać poufne wiadomości oraz szyfrowane połączenia głosowe nawet wtedy, gdy główne okno jest nieaktywne. Wiadomości pojawiają się w formie powiadomień, a połączeniom głosowym towarzyszy ekran odbierania. Dzięki temu Signal jest bezpieczną alternatywą dla aplikacji Telefon oraz SMS-ów i MMS-ów w Androidzie.

W pierwszej kolejności zainstaluj komunikator. Pobierzesz go ze sklepu Play. Osoba, z którą chcesz prowadzić bezpieczne rozmowy, także musi korzystać z tego narzędzia. Podczas pierwszego uruchomienia musisz wprowadzić swój numer telefonu. Po weryfikacji za pomocą SMS-a Signal wygeneruje klucze i zarejestruje numer telefonu, który będzie odtąd twoim loginem.

Następnie Signal zapyta, czy chcesz używać nowej aplikacji do wysyłania SMS-ów. Jako że nie jest to niezbędne, zalecamy, żeby tego nie robić. Zawsze możesz zmienić zdanie po instalacji (patrz krok 1 części warsztatu „Konfiguracja zaawansowana”). Następnie program sprawdzi, które z numerów wpisanych w twojej książce telefonicznej są zarejestrowane na serwerach Signal i mogą przyjmować szyfrowane wiadomości.

Przy numerach użytkowników Signala pojawią się odpowiednie ikony. Dostęp do kontaktów korzystających z Signal możesz uzyskać także z poziomu aplikacji. Aby wysłać wiadomość albo nawiązać połączenie głosowe, uruchom Signal, naciśnij ikonę z symbolem ołówka w prawym dolnym narożniku. Na liście zobaczysz wszystkie numery z książki, które są zarejestrowane w usłudze Signal.

Aby rozpocząć konwersację, naciśnij nazwę użytkownika. Potwierdzeniem, że komunikat zostanie wysłany poprzez szyfrowane łącze, jest niebieski kolor przycisku wysyłania. Jeśli przycisk jest szary, znaczy to, że bezpieczny kanał nie działa, a wiadomość zostanie wysłana zwykłym SMS-em.

Jeśli aktywujesz pole edycji bez wpisywania treści wiadomości, z prawej strony będzie widoczna ikona z symbolem spinacza. Kliknij ją, by wysłać szyfrowaną wiadomość multimedialną. Do komunikatu możesz dołączyć obraz, dźwięk lub wideo, da się też podać lokalizację. Jeśli naciśniesz przycisk z symbolem aparatu, będziesz mógł zrobić zdjęcie lub nagrać film, który zostanie dołączony do wiadomości.

W każdej chwili możesz rozpocząć rozmowę głosową. Służy do tego ikona z symbolem słuchawki telefonu widoczna na belce u góry okna. Obecność kłódki informuje, że rozmowa będzie szyfrowana. Jakość rozmów głosowych przeprowadzonych podczas testów w Warszawie nie odbiegała od jakości zwykłych rozmów, jedyną różnicą jest minimalne opóźnienie typowe dla połączenia VoIP.

Jeśli chcesz nawiązać połączenie głosowe lub wysłać wiadomość do osoby, której nie masz w kontaktach, w głównym oknie programu naciśnij ikonę z symbolem ołówka, a gdy znajdziesz się w widoku kontaktów, użyj przycisku z symbolem kropek widocznego na górnej belce. Numer wpisz, poprzedzając go kodem kraju. Jeśli Signal wykryje wpisany numer w swojej bazie danych, będziesz mógł nawiązać bezpieczne, szyfrowane połączenie.

Jeśli numer nie zostanie rozpoznany, naciśnij wpisany numer, aby wysłać tradycyjną wiadomość. Pojawi się także okno, które umożliwi wysłanie zachęty do instalacji Signala. Znajomych możesz także zaprosić, klikając kolejno ikonę menu i Zaproś znajomych. W oknie Zaproś znajomych naciśnij Wyślij SMS i zaznacz kontakty na liście.

W menu aplikacji Signal znajdziesz szereg opcji, które pozwolą ci dopasować aplikację do własnych potrzeb. Kliknij ikonę menu i Ustawienia. W sekcji SMS i MMS możesz ustawić Signal jako domyślną aplikację do obsługi wiadomości w Androidzie, także tych nieszyfrowanych. W sekcji Powiadomienia określisz sposób sygnalizowania przychodzących wiadomości.

W części Zaawansowane znajdziesz Wiadomości i połączenia Signal. Funkcja służy do usunięcia numeru telefonu z sieci Signal. Musisz z niej skorzystać przed odinstalowaniem aplikacji, aby powiadomisz całą sieć o tym, że już nie przyjmujesz szyfrowanych komunikatów. Inaczej użytkownicy mogą dalej próbować wysyłać do ciebie wiadomości, których nie będziesz w stanie odczytać.

Korzystanie z VPN-a zabezpiecza wszystkie poczynania w sieci przed ujawnieniem. Najlepiej skorzystać z komercyjnej usługi, która gwarantuje pełną anonimizację danych przed przesłaniem ich do otwartego internetu. Warsztat przygotowaliśmy na przykładzie NordVPN , niedrogiej usługi (kosztuje ok. 12 zł miesięcznie po zapłaceniu za rok z góry), która wyróżnia się dobrą obsługą sieci P2P oraz możliwością podłączenia sześciu urządzeń jednocześnie. Jako że wszystkie usługi działają na podobnej zasadzie, warsztat przyda się przy konfiguracji innych VPN-ów.

Zanim przystąpisz do konfiguracji, musisz wypełnić formularz rejestracyjny na stronie dostawcy usługi. Zaletą NordVPN-a jest możliwość zapłacenia za pomocą PayPala, dzięki czemu nie trzeba udostępniać numeru karty płatniczej. Firma przyjmuje też BitCoiny, co zapewnia pełną anonimowość transakcji.

Po założeniu konta i uiszczeniu płatności zaloguj się do konta w serwisie i przejdź do zakładki Download area. Aby pobrać podstawowy pakiet oprogramowania, znajdź swoją wersję systemu Windows i kliknij Software. Po pobraniu pliku kliknij go dwa razy. Do uruchomienia instalatora niezbędne są uprawnienia administracyjne.

Instalator doda nowy interfejs sieciowy, który pozwoli na łączenie się bezpośrednio z serwerami anonimizującymi. Po instalacji pojawi się okno logowania. Wpisz nazwę użytkownika oraz hasło, które utworzyłeś podczas instalacji, zaznacz opcję Remember me i naciśnij niebieski przycisk, by się zalogować Log in.

Po zalogowaniu zobaczysz listę krajów, w których znajdują się serwery sieci VPN. W tych miejscach twoje dane trafią do otwartej sieci. Jeśli wykorzystujesz VPN do ochrony prywatności, a nie do omijania zabezpieczeń regionalnych, wybierz bliski serwer docelowy. W przypadku Nord VPN najlepiej wybrać opcję Poland i kliknąć Connect.

Aby dowiedzieć się więcej o parametrach serwerów, kliknij Server. Na górze listy znajdziesz wybrane punkty, które wyróżniają się szczególnie silnymi zabezpieczeniami. W sekcji Double VPN są serwery, do których połączenia są szyfrowane dwoma przebiegami AES 256-bit, z kolei serwery Tor over VPN dodatkowo anonimizują pakiety, przesyłając je przez sieć TOR.

Do codziennych zastosowań wystarczą serwery Standard VPN, które w przypadku usługi NordVPN i podobnych renomowanych dostawców usług anonimizujących zapewniają szyfrowanie AES 256-bit. Wybierając ręcznie serwer – co można polecić, jeśli polski zrywa połączenie – należy wybrać ten, który ma najmniejsze obciążenie i najkrótszy ping.

Najlepiej szukać takich połączeń w sąsiednich krajach, przede wszystkim w Niemczech, gdzie jest ponad 60 serwerów (w Polsce na razie jeden). Jeśli problemem będzie przełączanie stron WWW na obcy język lub konieczność ponownej autoryzacji na Facebooku i w usługach Google, najlepiej zalogować się za pomocą otwartego łącza, a później włączyć VPN.

Jeśli chcesz łączyć się z VPN od razu po starcie systemu, naciśnij przycisk Settings, zaznacz Start with Windows i Start minimized, następnie z listy Auto connect to wybierz Poland lub inny sprawdzony serwer, z którego korzystasz. Jeśli chodzi o protokół, najlepiej pozostać przy Default protocol, który generalnie zapewnia większą szybkość pobierania danych z sieci.

Podłączenie przeglądarki do VPN-a pozwala na selektywne korzystanie z bezpiecznego połączenia, na przykład gdy serwis nie obsługuje protokołu HTTPS. Najlepiej wówczas skorzystać z rozszerzenia pozwalającego na szybkie przełączanie się między różnymi połączeniami z siecią, na przykład FoxyProxy Standard (współpracuje z Chrome’em i Firefoksem).

Do ustawień FoxyProxy można dostać się, klikając ikonę z symbolem lsika na pasku narzędzi i wybierając polecenie Options. W ustawieniach kliknij Add New Proxy i przejdź do Proxy Details. Zaznacz Manual Proxy Configuration i w polu Host or IP Address wpisz adres serwera. Listę serwerów znajdziesz na stronie usługodawcy. Możesz też wpisać w Google nazwę usługi i słowo „servers”.

Następnie wpisz numer portu. Zazwyczaj dla proxy HTTP będzie to numer 80, jeśli ten nie działa, znajdź port w dokumentacji usługodawcy. Wybierz protokół SOCKS v5, chyba że w dokumentacji usługi jest inne zalecenie. Następnie zaznacz Save Login Credentials i w sekcji Authentication wpisz login do usługi VPN oraz hasło (dwukrotnie).

Bardzo przydatną funkcją FoxyProxy jest możliwość selektywnego włączania VPN na wybranych stronach. W tym celu w ustawieniach rozszerzenia przejdź do zakładki QuickAdd i zaznacz opcję Enabled , a z listy: wybierz polecenie Use proxies based on their pre-defined patterns.... Następnie zamknij zakładkę.

Teraz wejdź na stronę, którą chcesz wczytywać za pomocą VPN (polecamy dodać każdą, która nie korzysta z HTTPS), kliknij ikonę FoxyProxy i z menu wybierz polecenie Quick Add. W oknie FoxyProxy StandardQuickAdd naciśnij OK. Jeśli chcesz usunąć stronę z listy, w ustawieniach przejdź do Proxies, zaznacz dodany wcześniej wpis i kliknij Edit Selection.

Przejdź do zakładki URL Patterns, zaznacz wpis ze stroną, którą chcesz usunąć z listy, i naciśnij Delete selection. Na końcu naciśnij Save. Oczywiście możesz ustawić wtyczkę tak, by wszystkie strony w przeglądarce były wczytywane za pomocą VPN. W tym celu naciśnij ikonę FoxyProxy i z menu wybierz polecenie Use proxy de24....

Ochronę sieci Torrent opisujemy na przykładzie bardzo popularnego klienta tej sieci – uTorrent. Zanim przystąpisz do konfiguracji, upewnij się czy twój usługodawca VPN obsługuje protokoły P2P. W przypadku NordVNP, z którego korzystaliśmy w czasie opracowywania tego warsztatu, nie napotkaliśmy żadnych problemów. Aby rozpocząć konfigurację, uruchom program uTorrent, kliknij kolejno Opcje i Ustawienia.

Przejdź do zakładki Połączenie, następnie w sekcji Serwer proxy z listy Typ wybierz opcję Socks5. W polu Proxy wpisz adres z listy dostępnych serwerów, w dokumentacji usługi znajdź numer portu, za pośrednictwem którego obsługiwany jest protokół Torrent. W wypadku NordVPN jest to port 1080.

Teraz zaznacz opcję Uwierzytelnianie, wpisz swój login do usługi VPN. Następnie zaznacz wszystkie opcje w sekcjach Serwer proxy oraz Prywatność proxy, by zagwarantować sobie maksymalną anonimowość podczas pobierania plików. Na końcu naciśnij OK. Trzeba wziąć pod uwagę, że połączenie przez VPN działa z mniejszą przepustowością (20–40 Mbit) niż otwarte (100 Mbit). Skuteczność zabezpieczeń sprawdzisz na stronie http://ipmagnet.services.cbcdn.com.

System Tails najlepiej zainstalować i uruchamiać z pamięci USB (min. 8 GB). Dzięki temu można nosić go ze sobą i używać za każdym razem, gdy trzeba pobrać prywatne dane z sieci albo wymienić szyfrowane informacje. W warsztacie pokazujemy, jak zainstalować system z pliku ISO za pomocą narzędzia Universal USB Installer.

Wejdź na stronę https://tails.boum.org/download, przejdź od razu do punktu Download the ISO image i kliknij zielony przycisk Tails 2.0 ISO Image. Następnie wejdź na stronę www.pendrivelinux.com107 i użyj odnośnika Popular Universal USB Installer, a na następnej stronie naciśnij przycisk Download. Po pobraniu uruchom tę aplikację, ignorując ostrzeżenie o braku podpisu cyfrowego.

W oknie Universal USB Installera, w sekcji Step 1, z listy wybierz Tails. W części Step 2 kliknij Browse i wskaż miejsce na dysku, gdzie zapisałeś plik ISO z systemem operacyjnym. W sekcji Step 3 z listy wybierz pendrive’a, na którym chcesz zainstalować system. Zaznacz Format, aby usunąć całą jego zawartość. Na końcu pojawi się komunikat, sprawdź jego treść i, jeśli wszystko się zgadza, naciśnij Tak, by rozpocząć instalację.

Możesz także zainstalować system z LiveDVD i za jego pomocą przygotować dysk USB. Zaletą tej metody jest dostęp do funkcji Persistent volume, czyli szyfrowanej partycji, na której można przechowywać pliki konfiguracyjne oraz dane takie jak klucze kryptograficzne. W tym celu uruchom system z płyty, kliknij Applications, Tails i Tails Installer.

Wybierz opcję Install by cloning. Jeśli w oknie Tails Installer widoczny jest dysk USB przeznaczony na system, kliknij Install Tails. Dalsza część warsztatu bazuje na systemie utworzonym za pomocą LiveDVD z funkcją zachowywania danych (Persistence). Jeśli system nie wystartuje, sprawdź BIOS i jako pierwszy dysk startowy wybierz USB (bez EFI w przypadku wersji przygotowanej w Windows, z EFI w przypadku pendrive’a przygotowanego dzięki LiveDVD).

Podczas logowania zobaczysz ekran z pytaniem More options?. Jeśli klikniesz przycisk Tak, będziesz mógł wpisać hasło administracyjne, co jest niezbędne do zaawansowanej modyfikacji systemu. Hasło nie jest zapamiętywane. Aby utworzyć magazyn na dane, po wczytaniu pulpitu kliknij Applications, System Tools i Configure persistent volume.

Po zdefiniowaniu hasła zaznacz dane, które chcesz przechowywać w bezpiecznym systemie. Jeśli Tails ma być używany do komunikacji, zaznacz poniższe kategorie. Dla pełnego komfortu zaznacz wszystko, co pozwoli zachować także pliki konfiguracyjne Linuksa. Po zakończeniu kliknij Save, a następnie ponownie uruchom system.

Po ponownym uruchomieniu aktywuj funkcję User persistence, a następnie wpisz hasło, które utworzyłeś w czasie konfiguracji zabezpieczonego woluminu. Własne pliki przeznaczone do zachowania zapisuj w katalogu Persistent. Pozostałe kategorie danych system zachowa automatycznie. Aby przenieść je do innego komputera, użyj pendrive’a.

Po zalogowaniu musisz włączyć obsługę języka polskiego. W tym celu wskaż ikonę power i użyj widocznego w panelu przycisku z symbolem klucza i śrubokręta. Następnie kliknij Region & language, w sekcji Input Sources, naciśnij +, potem menu. Na liście zaznacz Polish i kliknij Add. Następnie z listy języków w obszarze powiadomień wybierz Polish.

Tails po logowaniu automatycznie podłącza się do sieci TOR. O przygotowaniu połączenia poinformuje ikona zielona. Gdy się pojawi, kliknij Applications, Internet i Tor Browser. Za pomocą tej przeglądarki będziesz mógł całkowicie anonimowo korzystać z internetu. Żadne informacje o odwiedzonych stronach nie zostaną zachowane, a twoja tożsamość i dane będą starannie ukryte.

Dodatkowym zabezpieczeniem jest klawiatura ekranowa, którą można aktywować za pomocą ikony z symbolem klawiatury. Funkcja chroni przed wykradaniem haseł za pomocą sprzętowych keyloggerów. Obok znajdziesz ikonę interfejsu GPG, za pomocą którego utworzysz klucze kryptograficzne do szyfrowania poczty i plików. Klucze są przechowywane w zaszyfrowanym woluminie na dysku USB.

Wśród aplikacji internetowych znajdziesz klienta pocztowego Icedove, modyfikację Thunderbirda opracowaną w celu zapewnienia prywatności. Łączy się on przez TOR i obsługuje szyfrowanie PGP. Dostępny jest też komunikator Pidgin z preinstalowanym rozszerzeniem OTR, który pozwala na szyfrowaną wymianę wiadomości tekstowych. Ciekawostkę stanowi programik Mat, który kasuje wszystkie metadane z plików, uniemożliwiając identyfikację ich pochodzenia.

Ponadto w systemie Tails znajdują się standardowe linuksowe aplikacje takie jak pakiet LibreOffice, przeglądarka plików Document Viewer, edytory graficzne GIMP oraz Inkscape, aplikacje multimedialne Audacity, Pitivi czy Sound Jucer. Wygodny dostęp do wszystkich programów zapewnia narzędzie Activities Overview dostępne w menu Applications. Utworzone w aplikacjach dokumenty można zapisywać na szyfrowanym woluminie w pamięci USB.