Prywatność w sieci

2012-02-07 , Papiewski Łukasz , Security / Bezpieczeństwo

Przedstawię moje obecne ustawienia i rozwiązania poprawiające prywatność w sieci, w trakcie codziennego korzystania z przeglądarki.

Bardzo łatwo jest analizować czyjeś kroki w Internecie. Wystarczy sprawdzać ciasteczka, sesje, wysyłać dane na witryny (XSS). Istnieje wiele programów, których zadaniem jest zbieranie informacji o użytkowniku. Temat jest bardzo rozległy pod tym względem.

Zdaje sobie sprawę, że takie konta na popularnych serwisach społecznościowych jeszcze bardziej to ułatwiają, ale także oferują dodatkowe funkcje. Targujemy się tu adresem email, bo to jest konieczny warunek posiadania konta - potrzebny tylko i wyłącznie do tego aby móc swoje konto w razie utraty hasła, odnowić.

Najlepsze jest to jak pod dalszym pozorem owego ułatwienia odzyskania hasła namawia się użytkownika do podania swojego numeru telefonu (ostatnia akcja gmail), albo daty urodzenia. Pomijam niepozorne ulubione kolory lub książki...

Serwisy społecznościowe to potężne źródła pozyskiwania informacji, wszystko w ramach utrzymywania kontaktu. Dane, zdjęcia, preferencje, ulubione strony, wszystko naiwnie tylko dostępne dla twoich kolegów, koleżanek. Czy jest tak na pewno?

Dywagacje na te tematy są ciekawe, ale nie są istotą tematu. Osobiście, mi to nawet nie przeszkadza. Przeszkadza mi jednak brak wyboru.

Zacznijmy więc od przeglądarki

Wraz z wersją bodajże 3.6 Firefoksa istnieją zaznaczone domyślnie dwie funkcje - blokuj podejrzane strony. Na początku myślałem, że istnieje jakaś baza zapisana w xml stron blokowanych, jednak było by to zbyt mało efektywne w dynamicznym internecie, dodatkowo wymagało by aktualizacji. Okazało się, że przeglądarka sprawdza czy dana strona jest na liście wysyłając informacje online.

Należy odznaczyć w pierwszej kolejności te dwie opcje, gdyż każde odpytywanie wysyła adres obecnej strony na której jesteśmy.

Kolejne dodatkowe, centralne rozwiązanie to serwer Proxy Tor. Instalacja jest prosta (na Linuksie). Najszybciej przedstawię to w poniższej formie:

wget https://www.torproject.org/dist
tar xvf 
./configure --prefix=/user
make instal

#file ~/.torrc
SocksPort 9050
SocksBindAddress 127.0.0.1
AllowUnverifiedNodes middle,rendezvous
Log notice syslog
#ExitNodes 123.11.232.54
#StrictExitNodes 1

#run it
tor

Dwie ostanie opcje pozwalają sprecyzować serwery końcowe (dość wolne w praktyce, zależy od serwerów). Ogólnie tor trochę spowalnia więc dobrze stosować go tylko do sprecyzowanych stron

Aby zastosować w przeglądarce wpisujemy w ustawieniach proxy serwer localhost i soket port (9050). Sprawdzamy działanie na stronie https://check.torproject.org/.

Tora można ustawić w FoxyProxy - pluginie w Firefox'ie służącego do zaawansowanego konfigurowania proxy. Można tam łatwo sprecyzować regexa (wyrażenie regularne) dla wybranych stron. Co ważniejsze FoxyProxy (lub Privoxy) implementują SOCKS4a pozwalające na wysyłanie zapytań DNS i zapobiegający wyciekowi DNS (więcej na temat konfiguracji i instalacji tor znaleźć można tutaj)

Tyle w tej części. To w praktyce moje zabezpieczenia techniczne. W efekcie mamy już trochę wybory i możemy podenerwować wyszukiwarkę G, która nagle zaczyna się odzywać w obcych językach i zadawać pytania typu

Our systems have detected unusual traffic from your computer network. This page checks to see if it's really you sending the requests, and not a robot. Why did this happen?

Dalej, też analityk google. Zblokować można wpisem w /etc/hosts dodając do 127.0.0.1 www.google-analytics.com ssl.google-analytics.com.

Oczywiście jest też masa pluginów do firefoxa. Blokowanie reklam jest także jakąś formą zabezpieczającą przed udostępnianiem naszej ścieżki ruchu i analizie adwords (plugin Adblock). Co więcej polecam także plugin NoScript blokujący javascript.

Inna kwestia to cookies. Dobrze od czasu do czasu wyczyścić cookies. Generalnie potrzebne są nam tylko do autoryzacji w sieci, jednak ich wykorzystanie jest daleko poza tą funkcją: wszelkie witryny śledzące i aplikacje (najbardziej typu social) wykorzystują je zbierania wszelakich danych. Jeśli ponowne wpisanie hasła loginu nie stanowi dla nas zbytniego obciążenia, to zyskujemy większą anonimowość. Jeśli cookie danej witryny (np sesyjne ) są nieodzowne przy normalnym operowaniu stroną, to długoterminowe raczej powinniśmy ustawić aby skasowały się po wyjściu z przeglądarki lub opuszczenia strony, natomiast cookie 3-go typu należy już kompletnie wyłączyć. Cookie tego typu są ustawiane przez różne widgety, CDN-y, reklamy w celu mi nieokreślonym - no niby teoretycznie z samego faktu bo mogą, i dzięki temu można dostosować jakąś super opcje w widgecie (przykładowe wyświetlani inner pary obrazków w fanboxie co jest fantastyczne, lub dostosowania reklamy usera). Dzięki tym cookie wchodząc na inne witryny przykładowy facebook, jeśli tylko umieszczony jest ich fanbox (a jest) ma takową informacje wysłaną ponieważ nasza przeglądarka posiada cookie dla domeny facebook które jest aktywne wszędzie tam gdzie facebook (to wtedy cookie 1 typu) lub gdzie widgety (bezużyteczne cookie 3-go typu).

Podsumowująć kwestię prywatności i cookie proponuje następujące ustawienie w przeglądarce Firefox (analogicznie w innych przeglądarkach - oprócz zamkniętych typu chrome czy opera - bo tam nie wiadomo co się może dziać ;) ): cookie konfiguracja

Sprawdzając i testując wydajnośc google-chrome kontra chromium, nie zauważyłem żadnej różnicy. Należy też wspomnieć, że jest tak samo szybka, gdyż używa tego samego (opensourcowego) silnika javascript V8 od Google'a. Tak więc polecam tę przeglądarkę zamist zamkniętej wersji z racji wielu inforamcji o tym, że niektóre informacje mogę być wysyłane z Google Chrome bez naszej wiedzy.

Cytaty

- Simplicity is the ultimate sophistication. - Leonardo da Vinci,
- Popularny człowiek wzbudza zawiść potężnych - Thufir Hawat o Leto Atrydzie (na Kaladanie),
- Szczęście następuje po smutku, a smutek po szczęściu; człowiek jest naprawdę wolny, gdy przestaje rozróżniać między smutkiem a szczęściem, między dobrem a złem - Aforyzmy buddyjskie.