Domanda:
Quali sono le implicazioni della sorveglianza NSA per l'utente medio di Internet?
nitrl
2013-06-07 07:31:01 UTC
view on stackexchange narkive permalink

Sembrerebbe che il cappello di carta stagnola sia stato rivendicato oggi, poiché si è diffusa la notizia della reale portata della sorveglianza del governo degli Stati Uniti sulle attività online dei suoi cittadini, condotta principalmente attraverso la NSA e apparentemente oltre l'ambito della legge.

Per credere alle segnalazioni, metadati su praticamente ogni aspetto della vita delle persone: tabulati telefonici e dati geografici, email, accesso ad applicazioni web tempi e luoghi, transazioni con carta di credito - vengono aggregati e sottoposti ad analisi di "big data".

Il potenziale di abuso, soprattutto alla luce del recente scandalo dell'IRS e delle indagini sulle perdite di AP, sembra illimitato.

Sapendo questo, quali misure possono adottare le persone comuni per salvaguardarsi contro la raccolta e l'esposizione di tali informazioni personali sensibili?

Inizierei con una maggiore adozione di PGP per le email, le alternative open source alle applicazioni web e l'uso di VPN. Ci sono altre (o migliori) misure che possono essere prese per ridurre al minimo l'esposizione alla rete di sorveglianza?

Se utilizzi Internet con saggezza, ad esempio non consentendo affatto il traffico non SSL a un sito, non c'è nulla che possano apprendere sulla tua attività su quel sito tranne quando hai visitato il sito.
@Kurian Leggi l'articolo! Il punto è che hanno raccolto dati di connessione (chi ha visitato quando cosa - o meglio, poiché si trattava di telefonate, chi ha chiamato chi e quando). SSL non aiuterebbe con questo. (Inoltre, SSL non rende le comunicazioni completamente riservate, in particolare per la voce in cui i tempi di invio dei pacchetti tendono a corrispondere agli schemi vocali e possono consentire il riconoscimento delle parole chiave se non la decrittazione completa.)
È colpa nostra se non abbiamo individuato [questa domanda] (http://imgur.com/hy8t3wy) prima
"soprattutto alla luce del recente scandalo IRS e delle indagini sulle perdite AP, sembra illimitato." Questo caso è molto diverso dallo scandalo IRS; si trattava molto probabilmente di un caso isolato che è stato condannato quasi universalmente, anche da Barack Obama. Questi sono piccoli segni rispetto a quanto fa la NSA.
I browser dovrebbero davvero verificare le impronte digitali dei certificati SSL come protezione aggiuntiva contro l'intercettazione man-in-the-middle del traffico SSL, poiché non c'è motivo di credere che il governo degli Stati Uniti non possa chiedere (o forzare) Verisign per qualsiasi certificato SSL che desidera e usalo per intercettare il traffico SSL. A meno che il tuo browser non rilevi il nuovo certificato, non lo sapresti mai.
@Johnny questo è il punto di [Perspectives / Convergence] (http://perspectives-project.org/) Ciò da cui non protegge (il che potrebbe dipendere dalla disponibilità delle varie società citate nel documento PRISM) è il La NSA si procura una copia della chiave privata originale, invece di emettere un falso certificato attendibile per la propria chiave.
Sono sorpreso che questa sia considerata una notizia. Abbiamo avuto questo dal dopoguerra. Immagina che i governi abbiano considerato il mondo un posto più sicuro e si siano fermati (?) (Non sono sicuro che le domande retoriche debbano avere un punto interrogativo .. non puoi preoccuparti di cercarlo .. chiunque?) Http: // en. wikipedia.org/wiki/ECHELON
FYI: sembra che i cappelli di carta stagnola in realtà rendano [* più facile * per il governo spiarti] (http://web.archive.org/web/20130314181014/http://berkeley.intel-research.net/ arahimi / casco /).
Questo è il motivo per cui i tuoi metadati sono importanti: https://www.eff.org/deeplinks/2013/06/why-metadata-matters
Ma se stanno facendo quello che dicono di fare con Facebook, che è quasi ovunque SSL, devono ottenere le chiavi in ​​qualche modo. Forse come parte delle garanzie FISA? PRISM rivendica l'accesso diretto ai dati effettivi. Non solo metadati come la debacle di Verizon.
Beh, c'è il prisma, e c'è tutta questa cosa "a monte" in cui hanno sfruttato le linee di cui hanno parlato per sempre. Indietro durante Bush IIRC: http: //gizmodo.com/new-prism-slide-shows-nsa-taking-data-directly-from-com-512098544
Ho votato positivamente questa domanda in modo che il tuo rappresentante non sia "666". Prego.
Otto risposte:
anon
2013-06-07 18:46:26 UTC
view on stackexchange narkive permalink

Prefazione: questo problema non riguarda necessariamente i governi. A livello più generale, si tratta di servizi online che forniscono i propri dati su di te (volontariamente o accidentalmente) a terze parti. Ai fini della leggibilità, userò il termine "governo" qui, ma capisco che potrebbe invece essere sostituito con qualsiasi istituzione con cui un fornitore di servizi ha un motivo valido per collaborare (o qualsiasi istituzione da cui il servizio potrebbe essere totalmente compromesso - le implicazioni sono ragionevolmente simili). Il consiglio che segue è generalizzabile a tutti i casi in cui desideri utilizzare un servizio esterno mantenendo la riservatezza nei confronti di chiunque possa avere accesso ai dati di quel servizio.

Ora, per affrontare la domanda stessa:

... quali misure possono intraprendere le persone comuni per proteggersi dalla raccolta e dall'esposizione di tali informazioni personali sensibili?

Se non vuoi che il governo di qualsiasi nazione per avere accesso ai tuoi dati, non metterlo su un servizio di archiviazione dati che potrebbe colludere con un'agenzia governativa di quella nazione.

Per il nostro modello, supponiamo che qualche governo abbia accedere ai tuoi dati memorizzati su particolari servizi principali a riposo (così come i loro log del server, eventualmente). Se hai a che fare con un servizio che fa archiviazione (Google Drive, e-mail), SSL non farà assolutamente nulla per aiutarti: forse uno sforzo di sorveglianza contro di te non può vedere cosa stai memorizzando mentre lo stai inviando il bonifico , ma possono vedere cosa hai memorizzato una volta che l'hai memorizzato .

Presumibilmente, un tale governo potrebbe avere accesso agli stessi dati su tu che Google o Microsoft o Apple hanno. Pertanto, il problema di mantenere segrete le informazioni dalla sorveglianza si riduce al problema di mantenerle segrete dal fornitore di servizi stesso (ad esempio, Google, MS, Apple, ecc.). In pratica, potrei offrire suggerimenti specifici per ridurre il rischio di esposizione dei dati:

  1. Se ci sono alcune informazioni persistenti (ad esempio, un documento) che non vuoi che qualche governo veda, non farle vedere neanche al tuo fornitore di servizi. Ciò significa che utilizza un servizio di cui ti fidi assolutamente (ad esempio, un'installazione di FengOffice o EtherPad in esecuzione sul tuo SheevaPlug a casa (a condizione che ti fidi della sicurezza fisica della tua casa, ovviamente)) o utilizza la crittografia a riposo, ovvero crittografa i tuoi documenti con una crittografia avanzata prima di inviarli a Google Drive (I potrebbe raccomandare personalmente AES, ma vedi la discussione di seguito nei commenti).

    • In effetti, questa seconda strategia è esattamente il modo in cui funzionano le applicazioni Web "a prova di host" ( chiamate anche applicazioni "a conoscenza zero", ma non correlate al concetto di prove a conoscenza zero). Il server contiene solo dati crittografati e il client esegue la crittografia e la decrittografia per leggere e scrivere sul server.

  2. Per informazioni personali che non sono necessarie persistenti accesso a, come la cronologia delle ricerche, è probabile che tu possa impedire che le informazioni vengano ricollegate a te personalmente confondendo il punto di origine di ogni ricerca utilizzando una VPN o un routing onion come Tor.

Mi viene in mente questo xkcd:

:

Una volta che un servizio ha i tuoi dati , è impossibile controllare cosa fa quel servizio con esso (o quanto bene quel servizio lo difende). Se desideri il controllo dei tuoi dati, non darli via . Se vuoi mantenere un segreto, non dirlo a nessuno . Fintanto che la possibilità di collusione nella sorveglianza o di compromissione dei dati contro un servizio è non banalmente alta, non aspettarti che i tuoi dati archiviati esternamente siano privati ​​dall'ispezione di qualsiasi governo, anche se ti aspettavi che i dati fossero generalmente privati. / p>

Una domanda a parte è se ci sarà un impatto effettivo significativo per l'utente medio di Internet da tali programmi di raccolta di informazioni. È impossibile dirlo, almeno in parte perché è impossibile controllare in modo trasparente il comportamento delle persone coinvolte in un programma di raccolta di informazioni segrete. In effetti, un tale programma potrebbe avere un impatto che sarebbe impossibile per il grande pubblico riconoscere come l'impatto di tale programma.

Nel caso della NSA in particolare, La NSA è istituita per occuparsi della sorveglianza straniera , quindi i cittadini statunitensi non sono generalmente obiettivi di analisi, a meno che forse non abbiano un cittadino straniero nelle vicinanze nel loro grafico sociale. La NSA fa pubblicamente uno sforzo non per raccogliere informazioni sui cittadini statunitensi (sebbene il grado in cui ciò viene seguito nella pratica sia impossibile da verificare, come discusso sopra).

Sarebbe molto divertente se si scoprisse che i dati PRISM sono stati utilizzati durante la campagna ...
Fai una dichiarazione sull'utilizzo di AES per la crittografia prima di inserire i file nel cloud. Questo algoritmo è approvato da NIST e NSA. Come hanno dimostrato, non ci si può fidare e non sarei sorpreso se avessero conoscenze / attacchi di dominio non pubblico contro di essi che rendessero più facile decrittografare i dati. Se guardiamo al progetto di DES, la NSA sapeva della crittoanalisi differenziale ** 15 anni ** prima che qualcun altro lo capisse. È lecito ritenere che siano ancora molto più avanzati del pubblico in generale e non dovremmo usare i loro algoritmi "approvati" perché dicono che non possono infrangerli.
È importante notare che tutte le principali società elencate qui hanno negato l'accesso alla NSA a quantità "irrilevanti" dei loro dati. Da anni queste società cedono i dati a varie agenzie governative. PRISM è apparentemente solo un programma per rendere il trasferimento e la richiesta di dati più fluido e sicuro.
Forse non ero chiaro, (o forse perché la storia dei metadati del telefono è stata pubblicata per prima era quindi nella mente di tutti), ma la tua risposta si è rivolta specificamente a PRISM e alle contromisure che possono essere prese per evitare (ridurre al minimo) la propria esposizione.
In realtà ci sono più di due storie. Per esempio. storia sull'IRS che considera ogni informazione pubblica della casella di posta che non richiede un mandato: http://www.aclu.org/blog/technology-and-liberty-national-security/new-documents-suggest-irs-reads-emails-without-warrant
Un altro xkcd rilevante: http://xkcd.com/908/
@zuallauz Un paio di ragioni per cui penso sia improbabile che la NSA abbia una sorta di backdoor / attacco contro AES. La NSA conosceva gli attacchi differenziali contro DES, ma ha deciso di progettare gli S-Box in modo da renderli ancora più sicuri. E quelli erano tempi molto diversi. Non molte persone hanno fatto ricerche in crittografia al di fuori della comunità dell'intelligence e hanno avuto un enorme vantaggio. Dagli anni '90 e dall'ascesa di Internet, la crittografia è diventata importante in molte imprese commerciali e ora ci sono molti finanziamenti al di fuori dei servizi segreti.
@Lucas, è interessante notare che [Bruce Schneier consiglia di raddoppiare il numero di round per AES] (http://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html) al fine di aumentare i "margini di sicurezza" cioè AES-256 a 28 round. Non hai visto quel tipo di consiglio che veniva dalla NSA quando c'erano attacchi contro di essa. In effetti, se volessi avere un certo livello di privacy dalla NSA, userei una combinazione di AES, Twofish e Serpent come TrueCrypt può fare, o forse inizierei a utilizzare alcuni degli algoritmi più recenti come Threefish che può fare un 512 -bit e cifrario a blocchi a 1024 bit.
@zuallauz Questo è un post interessante di Bruce Schneier, ma la citazione non si riferisce a nessuna backdoor nell'algoritmo AES ma è principalmente una conseguenza del cattivo scheduler delle chiavi. Infatti [Bruce Schneier ha una posizione ragionevole] (http://www.schneier.com/blog/archives/2012/03/can_the_nsa_bre.html): "può la NSA rompere l'AES? La mia ipotesi è che non possano. Cioè, non hanno un attacco crittoanalitico contro l'algoritmo AES che consente loro di recuperare una chiave da un testo cifrato noto o scelto con un tempo ragionevole e una complessità della memoria ". Il problema sono gli attacchi sidechannel e la password debole, non l'AES.
quindi per evitare il governo degli Stati Uniti, useresti uno strumento creato dalla marina americana? Che ironia ;-) Per quanto riguarda l'effetto sull'utente medio, se la TSA abusa del suo potere di derubare i bagagli di oggetti di valore, non è difficile immaginare che qualche rouge dipendente della NSA abuserebbe del sistema per rubare diciamo i numeri di carta di credito.
@vartec - sottovaluti seriamente i controlli in atto - la differenza tra TSA e NSA è molto più di una lettera. Ciò che è preoccupante non è la propensione all'abuso di un individuo dotato di intercettazioni telefoniche, ma piuttosto la capacità dei massimi funzionari governativi (sto parlando del livello dell'ufficio esecutivo o dei vice segretari) di sovvertire il sistema e sfruttare i dati raccolti per ** scopi politici * * (invece di dare la caccia alle minacce alla sicurezza nazionale).
@vartec - Suppongo anche che tu intendessi ladro, non rouge :) (anche se [si sa che i dipendenti della NSA hanno usato quest'ultimo in passato] (https://en.wikipedia.org/wiki/Martin_and_Mitchell_defection)).
@DeerHunter: Non sono preoccupato per il nuovo Watergate, perché come dici tu, ci sono garanzie, sono preoccupato che qualche dipendente di basso livello sottopagato abbia accesso, e nemmeno all'intero sistema, ma solo a una piccola parte di esso.
@DeerHunter, Vorrei andare oltre nella paranoia preoccupandomi di come i dati possano essere utilizzati in modo improprio. I manifestanti di Occupy Wall Street sono stati chiamati terroristi più di una volta. Cosa impedisce alla polizia di chiedere alla NSA i dati che li identificano? "Terrorist" è diventata la password principale per pwnare la Costituzione, anche se nella Costituzione non c'è nulla al riguardo. Questi dati sono assolutamente pericolosi per tutti noi. Se vogliono ritirarlo, possono chiedere alla FISA di emettere prima un mandato - a me va bene. Ma questo approccio con reti da posta derivanti? Seriamente pericoloso.
NULLZ
2013-06-07 07:39:37 UTC
view on stackexchange narkive permalink

Nonostante il clamore dei media, la cosa fondamentale qui non è che l'FBI / NSA / il governo degli Stati Uniti stava intercettando tutte le telefonate, ma che stava raccogliendo tutti i record di "metadati" telefonici che includono:

  • Numero di telefono di origine
  • Numero di telefono di terminazione
  • Numero IMSI
  • Numero IMEI
  • Identificatore di linea ( che si riferisce alla posizione)
  • Numeri di schede telefoniche
  • Ora della chiamata
  • Durata della chiamata
  • Informazioni sulla posizione (possibilmente )

Non possono , tuttavia, ascoltare le tue telefonate in questo ordine.

Fonte: The Guardian, The Guardian, Wired

Cosa puoi fare al riguardo come individuo? Niente, tecnicamente parlando. Questa informazione non è ciò di cui stai comunicando, ma con chi stai comunicando e da dove. Questa informazione non è qualcosa che controlli. Le informazioni richieste dalle agenzie di alfabeto erano "metadati", ovvero dati che i fornitori di telecomunicazioni generano / memorizzano da soli. Come parte di te che utilizzi il loro servizio (e ottieni un servizio utile), questi dati vengono creati.

Se sei un cittadino degli Stati Uniti, puoi richiedere un'azione al tuo governo, sostenere organizzazioni come l'EFF che lavorano per proteggere la tua privacy e esprimere i tuoi sentimenti in merito ai tuoi rappresentanti locali.

In un articolo correlato, ma più vecchio, di notizie dalla Germania un paio di anni fa, un politico tedesco, Malte Spitz, ha fatto causa al gigante tedesco delle telecomunicazioni Deutsche Telekom per consegnare sei mesi dei suoi dati telefonici che ha poi reso disponibili qui. È stato tracciato su una mappa e ti consente di mostrare dove si trovava per un periodo di 6 mesi, il che ti dà un'idea di cosa può fare questo tipo di metadati.

Riguardo a PRISM in particolare

Prism era una fuga di documenti che descrivono in dettaglio le intercettazioni di numerose grandi società online. Questa perdita è separata, ma correlata (per quanto ho capito) a quella sopra.

  • Da chi vengono raccolti i dati (apparentemente (dato che al momento non è ancora chiaro al 100%))?

    • Microsoft (supponiamo che Hotmail / Live / Bing e tutti gli altri servizi online MS associati), Google, Yahoo !, Facebook, PalTalk, YouTube, Skype, AOL, Apple.

  • Che cos'è vengono effettivamente raccolti da PRISM?

    • Email, chat (voce e video), video, foto, dati memorizzati, VoIP, trasferimenti di file, videoconferenze, metadati di accesso, informazioni sui social network e richieste speciali "(che presumo significhi qualsiasi cosa possano pensare)

  • Cosa posso fare per evitare che i miei dati vengano raccolti?

    • Se sei preoccupato che le tue comunicazioni vengano intercettate da questo programma, puoi eseguire diversi semplici passaggi.

    • Non utilizzare nessuno dei suddetti fornitori. È risaputo da un po 'di tempo che è possibile accedere alle e-mail di oltre 180 giorni senza un mandato, indipendentemente dal provider di posta. Naturalmente, se sei preoccupato per queste cose, la crittografia è la strada da percorrere. Se ricevi un servizio gratuitamente, stai comunque pagando con qualcosa. Di solito quel qualcosa sono i tuoi metadati. Esistono alternative "sicure", o almeno rispettose della privacy, a tutte le società sopra elencate e sono facilmente reperibili. Ad esempio, duckduckgo.com, PGP, TorMail, TOR, Linux e Pidgin + OTR aiutano tutti a proteggere le tue comunicazioni (in modo che anche se viene inghiottito è illeggibile).

Il nocciolo della questione è questo. Puoi provare a praticare sempre una sicurezza "perfetta" (qualcosa che cambia con l'emergere di nuove tecnologie) ma alla fine, tutti sono umani ed è probabile che ti sbagli (dimenticando di connetterti a una VPN per esempio). Ci sono così tante variabili nel rimanere nascosti online che coprire qualsiasi aspetto specifico (come la semplice navigazione sul Web o semplicemente l'invio / ricezione di e-mail) è un compito piuttosto complesso e richiede una domanda separata dedicata a se stessa.

* "Non possono tuttavia ascoltare le tue telefonate in questo ordine" * - Ehm, tranne che possono e lo sono. Questa non è una novità per chiunque segua le notizie sulla sicurezza, poiché è stata citata di volta in volta sui media. Vedere ad esempio [qui] (http://www.schneier.com/blog/archives/2008/09/nsa_snooping_on.html) o [qui] (http://www.schneier.com/blog/archives/2005/ 12 / nsa_and_bushs_i.html) o [qui] (http://www.schneier.com/blog/archives/2006/05/nsa_creating_ma.html) o [qui] (http://www.aclu.org/national- sicurezza / intercettazioni-101-cosa-si-può-fare-nsa) ...
Inoltre, la NSA [non è l'unico dipartimento a farlo] (http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act); IANAL, ma a quanto ho capito, richiedevano un mandato per ascoltare le conversazioni telefoniche, ma [non più] (http://en.wikipedia.org/wiki/Patriot_Act) * (correggimi se sono sbagliato)*.
@BlueRaja-DannyPflughoeft In realtà, questo è ** correlato ** ma non ciò a cui riguardano le notizie recenti. Le intercettazioni "illegali" sono vecchie notizie e lo ** specifico "leak" / ordine ** descritto nella domanda (e la mia risposta) qui è MOLTO specifico in quanto ** SOLO ** copre i metadati. Questa non è solo la NSA ma anche l'FBI.
Commento aggiornato: la tua risposta copre solo i metadati del telefono che, presumo sia irrilevante per la domanda (che menziona esplicitamente * Internet * sorveglianza e * Internet * misure di sicurezza): attraverso il progetto Prism, la NSA ottiene anche l'accesso di routine ai server e alle comunicazioni di la maggior parte delle grandi aziende IT. Ciò implica che possono, ad esempio, ascoltare tutte le chiamate Skype e leggere tutte le e-mail (quest'ultima non è una grande cosa in realtà, le agenzie lo fanno - semi-legalmente - da anni). La tua risposta è un'enorme falsa pista.
@BlueRaja-DannyPflughoeft Hai semplicemente torto. La risposta è corretta ed è stata inserita mesi fa nei rapporti del white paper della NSA. Non possono ancora ascoltare le tue telefonate senza un ordine del tribunale e comunque non prendono di mira la persona media. Stanno semplicemente raccogliendo questi dati per ottenere informazioni su persone come "informatori stranieri" e simili. Questo non ha nulla a che fare con il rompere le tue feste in vaso o il monitoraggio delle chiamate al negozio di armi locale. Il clamore dei media ha lo scopo di mantenere l'America paranoica perché "la paura governa". Pensi davvero che questo sarebbe nelle notizie se lo volessero nascosto?
ripulire alcune delle cose poco costruttive: per le chat, visita [chat]
-1: questa risposta è completamente estranea alla domanda. La domanda riguarda il PRISMA.
Sono stupito che questa risposta abbia ottenuto così tanti voti dal momento che il programma PRISM (sulla sicurezza di Internet) non è menzionato
Va sottolineato che chiunque non sia cittadino americano e che utilizzi anche servizi di queste società (es. Canadesi, inglesi, ecc.) Non è soggetto alle stesse tutele concesse ai cittadini americani. Penso che sia chiaro che la NSA, queste società, così come i governi di altri paesi, devono rispondere di tutte queste azioni. Solo perché non hai un passaporto americano non significa che non ti venga garantito il diritto alla privacy per l'utilizzo di un prodotto americano.
Rory McCune
2013-06-07 16:03:25 UTC
view on stackexchange narkive permalink

Per aggiungere alla risposta di @RoryAlsop, sarei d'accordo sul fatto che probabilmente non, come persona media, hai molto di cui preoccuparti in termini di PRISM / intercettazione telefonica da parte della NSA utilizzata per il suo scopo previsto (operazioni antiterrorismo del governo degli Stati Uniti) poiché il concetto di sicurezza / privacy delle persone il più delle volte non è troppo grande.

Ci sono altri buoni motivi per essere preoccupati per questo. In primo luogo, se lavori per un'azienda non statunitense e metti le informazioni relative al tuo lavoro su e-mail / social network personali, potrebbe esserci un rischio che la NSA sia in grado di intercettarlo e quindi possa passarlo alle società statunitensi per scopi commerciali vantaggio. Non ho prove specifiche che ciò stia accadendo con PRISM, ma in passato ci sono stati casi di agenzie di sicurezza che hanno fornito informazioni per aiutare le aziende, quindi non è un tratto irragionevole.

Inoltre penso che ci sia un rischio reale di portata strisciare. Una volta che il potere esiste e viene utilizzato per uno scopo, altre agenzie governative (forse meno esperte nell'analisi dei dati e meno esigenti nel loro utilizzo) inizieranno a utilizzare i dati. Ad esempio, una volta che esistono le capacità di raccolta dei dati, se l'FBI / CIA ha chiesto i dati sarebbero in grado di ottenerli, allora che dire delle forze dell'ordine locali ecc.

MODIFICA: Sembra anche che lo scope creep stia già accadendo con questa storia che parla di come altre agenzie di intelligence, tra cui GCHQ, hanno utilizzato PRISM

Uno dei grandi rischi di questo tipo di dati mining (per me) è che qualcuno estrae i dati e poi arriva a conclusioni errate. Ad esempio, estraendo un elenco di persone che hanno visitato un sito e utilizzandolo come "prova" di essere coinvolti in un crimine. Chiunque conosca Internet moderno può vedere il problema con questo approccio, ma non tutto il personale delle forze dell'ordine ha quel livello di formazione.

Dopo tutto ciò, cosa puoi fare al riguardo? Beh, la parte legale ovviamente consiste nel supportare l'EFF e parlarne con i rappresentanti legali.

Tecnicamente, come dice @Dermike, puoi guardare cose come ToR / VPN per nascondere il traffico. Un avvertimento, però, è che l'uso di questi servizi potrebbe essere visto dai tipi di governo come "avente qualcosa da nascondere", quindi prendine un po '22. A parte questo, non utilizzare i servizi con sede negli Stati Uniti se non sei negli Stati Uniti. Sebbene non ci siano ragioni specifiche per ritenere che altri governi non facciano la stessa cosa, l'UE tende comunque ad avere maggiori protezioni per le informazioni personali dei cittadini.

Modifica Ecco una pagina che elenca le alternative ai prodotti di aziende che erano elencate come partecipanti a prism.

+1 Totalmente d'accordo. Ad essere onesti, mi preoccupa, soprattutto la certezza che l'ambito si insinuerà. Ma non credo che nessuno di noi qui conti come utente medio di Internet :-)
AilioqalcxCMT - http://meta.security.stackexchange.com/a/881/13820
* "... l'uso di questi servizi potrebbe essere visto dai tipi di governo come 'avere qualcosa da nascondere', quindi un po 'di cattiveria lì" * ... ma, ** innocente fino a prova contraria ** giusto? * giusto? * Aw, merda.
** "... ma non tutto il personale delle forze dell'ordine ha quel livello di formazione" ** che è indicativo di un'adozione semplicemente più lenta o su scala ridotta rispetto agli altri mestieri. Alla fine, quell'aspetto sarà parte integrante della formazione delle forze dell'ordine, almeno per un sottogruppo di ufficiali / agenti.
@RoryMcCune Cosa intendi con "non utilizzare servizi basati negli Stati Uniti se non sei negli Stati Uniti"? Credo che significhi servizi come Facebook, Twitter e persino BlackBerry.
@R11G beh pensavo che da quello che ho visto la NSA ha delle restrizioni sul monitoraggio dei cittadini statunitensi ma nessuna sui cittadini non statunitensi, quindi se non sei un cittadino statunitense e utilizzi qualsiasi servizio gestito da una compagnia statunitense o con server ospitati negli Stati Uniti (ovvero soggetti alle leggi statunitensi) c'è il rischio che l'utilizzo di tale servizio venga monitorato. Ciò includerebbe Facebook, i servizi Google, i servizi Microsoft, i servizi Apple, Blackberry, non sono sicuro che siano un'azienda canadese, ma probabilmente avranno server negli Stati Uniti ..
AbsoluteƵERØ
2013-06-07 21:41:59 UTC
view on stackexchange narkive permalink

In qualità di persona che tiene traccia delle persone e delle loro abitudini per vivere, condividerò alcune osservazioni sull'utente medio.

Implicazioni dell'iniziativa di raccolta di informazioni telefoniche su Internet:

Ci sarà un po 'più di attività online preoccupante per la privacy. Il twitterverse "esploderà" momentaneamente, ma la gente si renderà conto di questo come qualcosa che sta succedendo nel governo americano per circa una settimana fino a quando non uscirà dai media mainstream (dove la maggior parte delle persone riceve le proprie "notizie" ). Allora smetteranno di parlarne. La maggior parte delle persone che sentono di non fare nulla di sbagliato sentiranno di non avere nulla di cui preoccuparsi ( la maggior parte delle persone si sente persone). Le persone paranoiche cercheranno di capire come nascondere le cose e [inconsapevolmente] si faranno sembrare più persone di interesse. Queste sono le persone che pensano che il governo le stia sempre osservando, quando in realtà il governo sta cercando modelli di utilizzo che non si attengono alla norma (quindi queste persone probabilmente suscitano interesse, ma non vengono mai realmente monitorate perché al di fuori di alcune somiglianze, continueranno ad agire normalmente per se stessi).

Le persone di successo, "cattive" sono molto più brave a integrarsi con la società di queste persone.

Guadagnerà qualcosa per il governo? Non altro che consentire loro di essere in grado di collegare alcuni punti per le comunicazioni in passato. (Le informazioni saranno schiaccianti.) Politicamente sarà più dannoso (che è ciò di cui io stesso penso che sia tutto in ogni caso). Se le persone stavano facendo cose cattive sui telefoni usa e getta, è probabile che (se quelle persone sono moderatamente intelligenti) il telefono con gli identificatori IMEI collegati in modo errato sia stato scartato, venduto o donato. Fa solo capire alle persone ignorantemente "cattive" che devono essere migliori riguardo alle loro abitudini.

Sapendo questo, quali misure possono intraprendere le persone comuni per salvaguardarsi dalla raccolta e dall'esposizione di così sensibile informazioni personali?

Purtroppo le statistiche non sono dalla loro parte. La maggior parte degli "individui ordinari" o persone comuni non hanno un intelletto in cui possono iniziare a capire cosa è possibile con tali numeri (identificatori). Quando provano a fare delle ricerche, possono diventare davvero bravi in ​​questa cosa (se hanno il lusso di concentrarsi), ma probabilmente falliscono altrove e la maggior parte di loro è troppo occupata anche per preoccuparsene perché ha problemi del mondo reale in corso sopra. Per l'americano medio sarà un'altra cosa che si concentra su qualcosa di diverso da ciò di cui sente di aver bisogno. Probabilmente lo vedranno come denaro speso per qualcosa di diverso dalle necessità, che per loro saranno cose come istruzione, cibo e aiuti pubblici ... cose che le persone sopra la media (non ordinarie) danno per scontate. Cose che le persone povere temono di perdere perché sfortunatamente sono fuori dal loro controllo.

La gente comune potrebbe notare che ci sono meno schede telefoniche sugli scaffali dei grandi rivenditori a causa della diffusione della paranoia e perché è lì che si trovano comprare cose.

Simile a ciò che diceva Rory Alsop, la maggior parte delle persone probabilmente non sarà in grado di dirti la differenza tra il proprio monitor e il proprio computer (se usa un desktop) e spesso pensa al cellulare elettronico dispositivi come un po 'di magia o misticismo che funziona in una forma o in un modo di cui si preoccupano di non sapere. Oppure li considerano lussi, gadget o giocattoli. Finché funziona, non si preoccupano della tecnologia.

La sicurezza generale aumenterà, le persone informate alzeranno il livello; come sempre .

Se ne sei al corrente, probabilmente sai che non puoi fare nulla per impedire che questo genere di cose accada e vivere una vita normale "buona". Se vuoi provare a offuscare tutte le tue comunicazioni, o vivere fuori dalla rete, potresti sentirti più a tuo agio, ma posso dirti che è molto più difficile. Le persone vengono monitorate ovunque vadano.

Semplice esempio:

Un utente tipico acquista una scheda telefonica presso un grande rivenditore di scatole. Utilizzano la loro carta di debito (o qualche altra carta tracciabile). Tornano a casa e accendono il computer. Si connettono a Internet con una connessione non crittografata. Vanno su Facebook, Twitter, Yahoo o innumerevoli altri siti in cui ricevono numerosi cookie di tracciamento. Quindi accedono al sito Web dove ricaricano il telefono digitando i numeri dalla scheda acquistata o inseriscono i numeri sul telefono stesso per aggiungere altri minuti. Possono utilizzare questo telefono per connettersi al loro profilo di social media direttamente da dove hanno scaricato un'app di monitoraggio. Tutti i telefoni hanno un monitoraggio integrato con il pretesto di "protezione dell'utente". Questo numero di telefono si trova nei loro profili pubblici sui social media e viene fornito in ogni sondaggio di marketing, domanda di lavoro e modulo che compilano. Sono tracciabili e abbastanza coerenti (fino a quando non perdono un lavoro o qualcosa del genere). Se perdono il telefono (con sopra la loro "vita"), manterranno lo stesso numero di telefono.

Come puoi non essere questa persona?

  1. Usa contanti per tutti gli acquisti relativi alla tecnologia.
  2. Non registrarti il tuo acquisto.
  3. Cancella tutto il sistema operativo presente sul dispositivo e utilizza un sistema operativo open source come piattaforma host. Oppure usa un sistema operativo come Knoppix se desideri non lasciare tracce.
  4. Se devi eseguire qualcosa come Windows, eseguilo sotto una VM. Attivalo ma non registrarlo.
  5. Impedisci tutte le comunicazioni con le aziende che ti seguono. Puoi farlo con le regole del firewall su un firewall hardware.
  6. Puoi provare a utilizzare qualcosa come TOR, ma ricorda che se stanno monitorando la tua posizione, stanno monitorando la posizione che stai cercando di raggiungere perché hanno già capito il tuo schema.
  7. Smetti di usare il credito carte.
  8. Smetti di fornire le tue informazioni liberamente sul Web. (Registrazioni di domini, social media, ecc.)
  9. Smetti di collegare le tue abitudini alla tua persona online.
  10. Sii imprevedibile.
  11. Cancella le cose che devono essere cancellate. Non tenere copie incrinate di qualsiasi cosa su qualcosa che non può essere distrutto con una fiamma ossidrica o un accendino.
  12. Pensa a thumbdrive vs hard disk e SSD.

Oppure meglio ancora ... scollega più spesso e smetti di preoccuparti. La vita è troppo breve per queste cose.

Rory Alsop
2013-06-07 15:39:46 UTC
view on stackexchange narkive permalink

La risposta di @ D3C4FF colpisce nel segno, tuttavia c'è un ulteriore punto di vista sull'utente medio di Internet:

L'utente medio di Internet non ha il concetto di privacy, a parte "il governo che guarda i miei dati sono pessimi, mmmkay "

L'utente medio condivide molte più informazioni su se stesso, deliberatamente, con il resto del mondo rispetto a quelle di tre lettere usate per essere in grado di utilizzare gli agenti. (Guarda questo video per una visione non troppo lontana della realtà)

Se l'utente medio di Internet fosse effettivamente preoccupato per queste cose, non lo farebbe utilizzare i siti di social networking o una vasta gamma di altri siti, ma non lo sono. Amano essere in grado di fare cose divertenti, chattare con le persone, condividere informazioni ecc.

Quindi le implicazioni sono praticamente nulle

Ora questo non lo fa ' non vale per i cappellai di carta stagnola, individui che possono essere di grande importanza, criminali e altri gruppi di nicchia, ma non sono nella media ...

È vero che le persone condividono online enormi quantità di informazioni su se stesse. Tuttavia, questa è una scelta che fanno. Se voglio pubblicare foto del mio gatto che indossa occhiali da sole e parlare delle mie relazioni e della mia colazione, allora è abbastanza giusto e sono dati pubblici. Tuttavia, la mia corrispondenza privata tramite Google, Yahoo ecc. Dovrebbe essere privata. In Europa, generalmente abbiamo una maggiore aspettativa e consapevolezza della privacy / protezione dei dati rispetto agli Stati Uniti. Tuttavia, poiché utilizziamo aziende statunitensi per ospitare i tuoi dati, dobbiamo abbassare queste aspettative. Che schifo!
Qualcuno che conosco abbastanza bene da essere amico su Facebook ha apparentemente condiviso tutto sulla sua vita, scrivendo post dettagliati con immagini su Facebook su se stesso, moglie e figli, ha viaggiato molto per affari e ha pubblicato molte foto e storie di viaggio interessanti. Tuttavia, circa 6 mesi fa, sua moglie ha scoperto di avere un'amante segreta e un figlio di 2 anni. Si scopre che anche le persone che sembrano condividere molto a volte hanno segreti che non vogliono che gli altri sappiano. Le persone vogliono scegliere quali informazioni rendere pubbliche.
haylem
2013-06-07 19:04:47 UTC
view on stackexchange narkive permalink

È sempre stato un problema, non te ne importava

Non sono sicuro che tu debba preoccuparti di più di quanto avresti dovuto prima. Tieni presente che ciò che stanno raccogliendo sono i Call Data Records del tuo operatore (o almeno un sottoinsieme di quello). Ti stavi già fidando di una terza parte per tutto questo, e quella era già una terza parte di cui personalmente non mi sarei fidata di niente. Sono operatori mobili. Non ti danno comunicazioni gratuitamente, proprio come il Wi-Fi negli aeroporti ha smesso molto rapidamente di essere un prodotto gratuito, tranne se fornito dal negozio in cui si aspettano che tu compri caffè e torta (attenzione a cosa ti fidi di quel negozio anche con, a proposito, ma questo è un argomento diverso).

( Nota: ho lavorato allo sviluppo di strumenti per elaborare i record di dati delle chiamate e altre cose per alcuni i principali operatori e produttori di telefoni. E le banche. È scioccante le cose che presumeresti vengano fatte "nel modo giusto" e che siano "sicure" perché dannazione dovrebbe essere , ma in realtà non lo sono " t ...)

Risultati

Forse spingerà le persone a utilizzare sistemi di comunicazione più sicuri. Certo, non puoi bypassare completamente i tuoi operatori di telecomunicazioni. Oppure puoi?

Il tuo piano dati è tuo amico

Gli utenti possono ricorrere al loro piano dati per VoIP invece di utilizzare i normali canali di comunicazione sul telefono . Significa preferire Skype, Google Hangouts, What's App o altri alle normali chiamate vocali e SMS / MMS.

A patto che tu abbia fiducia che questi siano crittografati in modi sicuri e non reversibili, ovviamente. Dovresti preferire uno strumento open source che fornisca maggiori informazioni su ciò che accade dietro le quinte e fornisca una crittografia avanzata ...

Comunicazioni decentralizzate utilizzando le tecnologie wireless integrate del telefono

Non sono a conoscenza di nulla che lo faccia in questo momento (ma potrebbero già esserci soluzioni), ma telefoni con antenne incorporate per Wi-Fi o altre tecnologie wireless con distanze decenti (o la possibilità di collegare un'antenna esterna con USB) potrebbe già portare ad alcuni modi di comunicazione piuttosto interessanti che NON avrebbero bisogno di connettersi alle torri cellulari del tuo operatore.

Pensala in questo modo: con questi, il tuo telefono può raggiungere qualsiasi telefono all'interno la gamma locale della tecnologia scelta. Che può raggiungere gli altri. Se questo non ti ricorda i sistemi swarm e DHT di alcune reti P2P ...

Questo ha implicazioni fantastiche in quanto potresti avere un sistema di comunicazione decentralizzato che non si basa su operatori, è essenzialmente anonimo E sicuro e potrebbe essere utilizzato sia in aree "civili" per evitare costi o in aree "oppresse" per evitare censura e tracciamento.

Ovviamente, ti sposti solo fino a quando la tua rete mobile ti porterebbe , e in zone remote non sarebbe così bello (diciamo, mantieni il contratto se fai trekking in montagna ...). Ma per il resto, con pochi 6,8 miliardi di abbonati mobili attivati ​​nel 2013 e altri in arrivo, potresti stare bene e raggiungere la prontezza lontano se ti trovi in ​​una grande città e abbiamo impostato alcuni hub VPN tra quelli ...

Ora, sarebbe davvero fantastico. Ma ciò richiederebbe un serio impegno e spirito comunitario per fare a meno delle grandi mani pelose degli avidi per cercare di rubare la torta (o approvare leggi per renderlo illegale). Immagino che potremmo persino usare le stesse bande delle normali comunicazioni con il cellulare, tuttavia sono abbastanza sicuro che sia abbastanza illegale, anche se fatto in modo non distruttivo.

Aggiornamento 2014-04- 02: E poi c'era FireChat di OpenGarden...

Poi di nuovo, avresti ancora bisogno di fidati del tuo telefono e del suo sistema operativo per non essere disturbato. Dannazione.

Non vedo davvero perché questo meriti un voto negativo. Per favore, spiega cosa vedi come un problema così posso migliorarlo.
Non ti ho sottovalutato, ma NFC non sarebbe una grande rete peer to peer a meno che i peer non siano * molto * vicini: ha un intervallo pubblicato di 10 cm ma 4 cm è più realistico. E arriva a circa 400 kbit / sec. A quel breve raggio potresti anche utilizzare una connessione USB collegata per una velocità molto migliore (e la comunicazione sarebbe molto più difficile da intercettare).
@Johnny: grazie, Johnny. In realtà è assolutamente vero, stavo pensando a qualcos'altro. * Quello * avrebbe potuto essere un voto negativo valido! Sarebbe anche meglio utilizzare connessioni Wi-Fi ad hoc utilizzando le antenne integrate (o, come detto, bluetooth, anche se la portata è anche molto limitata).
@Johnny: c'erano alcuni altri errori in quel frenetico braindump, in realtà (incluso un errore di battitura in cui ho detto che avresti BISOGNO di fare affidamento sul tuo operatore, quando ovviamente intendevo il contrario). Inoltre, non l'ho menzionato, ma immagino che sarebbe tecnicamente fattibile, con un controllo sufficiente sull'hardware del telefono, utilizzare la normale antenna e le bande del cellulare per comunicare in quel P2P. Ma come accennato nella mia risposta rivista, sono abbastanza sicuro che sia contro la legge, beh, nella maggior parte dei luoghi con copertura di operatori mobili.
c'è qualche possibile problema di sicurezza con l'utilizzo della crittografia end-to-end sulla rete dell'operatore? Sarebbe difficile credere che i nodi mesh WiFi ad hoc anonimi siano più affidabili degli operatori.
@LieRyan: Penso che il problema con l'esecuzione su una rete di operatore sia che è soggetto a blocco. Se il governo non voleva che le persone usassero la crittografia, se il vettore non può decodificare un pacchetto con DPI (o peggio, se ti viene richiesto di utilizzare il loro server proxy in modo che possano registrare facilmente i dettagli), allora potrebbero non farlo lascia che passi.
In realtà mi è sempre importato.
@this.josh: beh, buon per te :) Perché non hai avvertito gli altri?
L'ho fatto. Nessuno ascoltava.
DerMike
2013-06-07 13:42:31 UTC
view on stackexchange narkive permalink

Se vuoi nascondere la tua destinazione e il contenuto della tua comunicazione (e aiutare altre persone in tutto il mondo a nascondere anche la loro *), dai un'occhiata a "The Onion Router" aka TOR.

It utilizza (principalmente tre) server proxy di tua scelta. Ognuno non sa a quale server vuoi connetterti, ma è il prossimo vicino. Dato che non tutti i server proxy sono controllati da Tu-Sai-Chi, non è possibile sapere da dove proviene la richiesta originale sul bersaglio. Inoltre, non è possibile sapere dove è indirizzata la tua richiesta perché è noto solo il prossimo proxy nella tua riga.

Ma non credermi sulla parola, guarda la loro descrizione su https : //www.torproject.org/

*) Più persone lo usano per la navigazione "legittima", migliori sono le persone ad es. La Siria può negare di voler vedere cose proibite. Quando solo ... diciamo che la propaganda nazista viene trasmessa da TOR e nient'altro, è facile capire cosa hai guardato mentre lo usavi.

Lo svantaggio dell'utilizzo di TOR è che è molto lento. È meglio non usarlo per la navigazione occasionale, in modo da consentire ai dissidenti nelle dittature di ricercare e comunicare senza mettere in pericolo le loro famiglie o se stessi.
Inoltre, tieni presente che ci sono ** molte ** persone malvagie che montano nodi e bridge di uscita TOR in modo che possano sbirciare il tuo traffico. Quindi usare TOR è buono ... se usi connessioni crittografate!
La cosa bella di TOR è che diffonde il traffico in uscita su molti nodi di uscita, quindi ci vogliono molti nodi di uscita malevoli per catturare una grande porzione del tuo traffico. E anche se acquisiscono contenuti, non sono in grado di dire facilmente chi li ha richiesti. (a meno che non stiano guardando il tuo computer e correlino i timestamp). Quindi, se stai facendo qualcosa di segreto, falsifica il tuo indirizzo MAC e usa i nodi Wifi aperti lontano da casa per ridurre la possibilità che "loro" possano spiare la tua estremità della connessione.
Lo spoofing del tuo IP con TOR non aiuterà affatto contro le backdoor dei dati della NSA su Google, Facebook ecc.
La velocità di TOR dipende dal numero di nodi TOR esistenti. Se molte persone iniziano a utilizzare TOR per la normale navigazione ma nessuno crea nuovi nodi esistenti, l'intera rete rallenta. Non aiuti il ​​sistema usandolo per scopi che non necessitano di anonimato.
JackSparrow
2015-04-24 13:41:25 UTC
view on stackexchange narkive permalink

Esiste una rivista su questo tipo di sicurezza (specialmente contro NSA e altri). The Tech Active Series - The Hacker Manual 2015. Nel primo capitolo si parla di Privacy; come proteggere la tua privacy, come impedire ad agenzie o cappelli neri di tracciare i tuoi dati, alternative open source per i servizi di uso quotidiano, come proteggere il tuo smartphone e crittografare i tuoi dati. Ti consiglio di leggerlo attentamente perché ci sono alcuni dettagli che potrebbero sorprenderti.

Ad esempio:

  • ... monitorare le attività di rete è più efficiente dei sistemi di attacco, quindi la NSA dispone di programmi che intercettano l'hardware di consumo, come laptop e router, e li trasforma in dispositivi di sorveglianza che possono essere attivati ​​ da remoto”
  • .. Tor utilizza molti nodi di inoltro per privacy ma ci sono rapporti non documentati secondo cui molti nodi di uscita sono gestiti da agenzie governative
  • ..come utilizzare ZRTP per crittografare le tue telefonate
  • . la NSA dedica notevoli risorse per infiltrarsi nei computer, gestiti dal suo gruppo TAO. Si ritiene che TAO abbia una serie di exploit possa attaccare qualsiasi PC ..
  • come configurare il tuo cloud per impedire il tracciamento dei tuoi dati con OwnCloud
  • come utilizzare la crittografia PGP nelle tue e-mail (potrebbe essere Gmail o Yahoo o qualsiasi servizio)
  • come proxy il tuo traffico e le tue e-mail tramite JonDo
  • crittografia dei plug-in per la messaggistica istantanea (Pidgin, Kopete) di OTR”
  • come condividere file protetti con http://www.securesha.re
  • usare Rasperry Pi per il tuo servizio cloud e VPS

Penso che non ci sia insegnante migliore del sospetto nel campo della sicurezza. Non fidarti di nessuno, né di me né di quella rivista, ma allo stesso tempo non fidarti di google, facebook, dropbox o anche di tor. In quell'età, ogni individuo può utilizzare i propri strumenti, servizi, sistemi, anche se per alcuni può essere costoso;

la privacy non ha prezzo

Ad esempio; - ... il monitoraggio delle attività di rete è più efficiente dei sistemi di attacco, quindi la NSA dispone di programmi che intercettano l'hardware del consumatore, come laptop e router, e li trasforma in dispositivi di sorveglianza che possono essere attivati ​​da remoto--, o - Per utilizzare molti nodi di inoltro per la privacy, ma ci sono rapporti non documentati secondo cui molti nodi di uscita sono gestiti da agenzie governative, oppure - come utilizzare ZRTP per crittografare le telefonate -, oppure - la NSA dedica notevoli risorse infiltrarsi nei computer, gestiti dal suo gruppo TAO. Si ritiene che TAO abbia una serie di exploit in grado di attaccare qualsiasi PC ..
"rapporti non confermati" - diamine, un grande eufemismo se mai ce ne fosse uno.
@DeerHunter c'è da dire nel mio paese; Niente fumo senza fuoco, ma non intendo le teorie del complotto, ma dai importanza quando ti fidi di qualcuno, forse delle persone o dell'organizzazione o di un piccolo strumento sul tuo desktop
I rapporti non sono affatto "non confermati". È di dominio pubblico che il DoD esegue nodi Tor. Non si stanno comportando in modo subdolo - anche loro traggono vantaggio da Tor.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...