סדנאת אבטחה דיגיטלית – סיכום שיעור 1

הפוסטים בסדרה הזו קשורים לסדנא לאבטחה ופרטיות דיגיטלית שיש בה נוכחות פיזית של אנשות, ולכן אם לא הייתןם בסדנא ואתןם לא מתכווניםות להגיע לאחד השיעורים, יכול להיות שיהיו דברים שיהיה קשה לכןם להבין. אני מקווה שבכל זאת הסיכום יביא תועלת גם לחוזרות על החומר שהיו בסדנא, גם להשלמת שיעורים למי שפיספס וגם למי שלא תהיה בסדנא בכלל.

בשלב הראשון הכנו טבלה של סיכונים, כדי לבדוק מפני מה אנחנו בכלל רוצים להתגונן. הטבלה כללה את הטורים: מי עוקב אחרי? איזה מידע רוצים להשיג? איך מתכוונים להשיג את המידע הזה? ואיך להתגונן מפני זה. עיבדתי את הטבלה ההיא שמילאנו ביחד, למשהו קצר יותר וקצת כוללני אולי, והורדתי את הטור "מי עוקב אחרי?" רק לצורך הקריאות והנוחיות. הנה הסיכום שהתקבל:

מידע שרוצים להשיג עלי
כתובת מגורים, מקום עבודה, מי החברות/ים שלי, המשפחה שלי, קשרים אישיים ופוליטיים שלי, המיקום הנוכחי שלי והיסטוריית המיקומים, אתרי אינטרנט בהם ביקרתי וחיפושים שעשיתי, למי התקשרתי / שלחתי הודעה / מייל ומתי, תוכן ההודעות, האימיילים והשיחות שלי, איך אני נראה/ית, הדיעות הפוליטיות שלי, התוכניות לפעולות פוליטיות שלי, תוכן המחשב או הטלפון הסלולרי שלי

איך הם משיגים את המידע
פייסבוק, ציתות להודעות אס.אם.אס, מיקומים סלולריים ע"פ האנטנות, הוויפיי והג'י.פי.אס, ציתות לטלפון, מעקב פיזי, גניבת רשימת אנשות הקשר בסלולרי, היסטוריה בגוגל מפות, דלת אחורית במערכת ההפעלה או בתוכנות לא חפשיות אחרות, עוגיות בדפדפן, כפתורי לייק, חשבון גוגל, ציתות לאימייל, תפיסה פיזית של המחשב או הטלפון

אמצעים להפחתת הסיכון
זהירות במידע וולנטרי שמעלים לפייסבוק, הצפנת SMS, הצפנת אימייל, הצפנת שיחות טלפון סלולריות, מחיקת המעקב בגוגל מפות, הרגלים סלולריים זהירים, תוכנה חפשית בטלפון ובמחשב, גיבוי מוצפן של אנשות קשר (ולא סינכרון פתוח לגוגל), סיסמאות חזקות לחשבונות מייל ורשתות חברתיות, גלישה אנונימית, תוספי פרטיות לדפדפן, חיפוש אנונימי, הצפנת תמונות וסרטוני וידאו, הצפנת דיסק, סיסמא חזקה לכניסה למערכת ההפעלה, גיבוי מוצפן, מחיקה אמיתית של קבצים במחשב ובסלולרי

מתוך האמצעים להפחתת סיכונים למדנו בשיעור הקודם כמה כלים מעשיים:

1 – keepass תוכנה ליצירת סיסמאות חזקות ולשמירתן בקובץ מוצפן. התוכנה עצמה דורשת שנזכור סיסמא אחת בלבד (חזקה מאד!) שהיא למעשה המפתח לשאר הסיסמאות שלנו. תירגלנו את התוכנה והבטחתי קישורים להפעלתה גם מדיסק און קי ומטלפון סלולרי – ובשיעור הקרוב אקיים. הנה מדריך קצר לשימוש בתוכנה. התוכנה היא חפשית ובקוד פתוח ולכן בטוחה לשימוש. סיסמאות חזקות, ושונות לכל שירות ואתר, שומרות אותנו מפני פריצה פשוטה לחשבונותינו השונים (מייל פייסבוק וכו') ומחייבת את מי שרוצה את המידע להתאמץ יותר (מעלה את המחיר של המעקב אחרינו). במקרים רבים זו חסימה יעילה של פירצה שהיתה יכולה להיות מנוצלת בקלות. גם לגופי ריגול מאד עשירים יש מגבלה של משאבים, למה שנעשה להם חיים קלים?

2 – למדנו מהי סיסמא טובה (ארוכה, ועם זאת קלה לזכירה). כמה שיטות ליצירת סיסמאות חזקות אפשר למצוא כאן בעברית, וכאן באנגלית.

3 – תירגלנו אפליקציות סלולריות שיכולות להחליף את ווצאפ (הנה המסקנות האישיות שלי) וגם אפליקציות לשליחת SMS מוצפן, שעובדת בלי וויפיי או חיבור נתונים, כי היא שולחת את ההודעה על גבי הרשת הסלולרית הרגילה כ SMS רגיל, אבל מוצפן! כדי לחקור עוד בנושא הנה קישורים ל smssecure ול chatsecure. שימו לב שצריך קצת ללמוד איך להשתמש בהן, במיוחד בצ'טסקיור, שדורשת הרשמה. בקישורים אפשר למצוא גם הדרכה לשימוש. האפליקציות האלה ימנעו מהמפעיל הסלולרי לדעת מה אנחנו כותבות ברשת הסלולרית וברשת הנתונים, וכך גם תימנע הזליגה של המידע הזה מהמפעיל הסלולרי לאחרים.

תודה לכל מי שהביאו פירות טעימים מתוקים ונפלאים ומנגו ממש בקצה העונה! היה תענוג גדול🙂 מקווה לראותכןם שם שוב ביום רביעי הקרוב.

אם קראת את זה ובא לך להגיב או להצטרף, אפשר ליצור איתי קשר.

7 תגובות ל-“סדנאת אבטחה דיגיטלית – סיכום שיעור 1

  1. וואי יוסית נשמע מעולה וחשוב ואיזה שאלות טובות העליתן!!
    לגבי סמס – מה את חושבת על אפליקציות דמויות ווצאפ כמו טלגרם או סיגנל (שהיא בקוד פתוח ומצפינה).
    יש לי כמה שאלות, אבל אחכה לראות הם בטח יעלו גם כך בקורס:) ממש מצפה לראות לאן זה ילך!

  2. תודה רבה!

    כל אפליקציה לחוד: טלגרם היא בקוד פתוח אבל הרשת שלה לא כתובה בסטנדרטים פתוחים ובמקרה הזה של תקשורת צ'אט הרשת חשובה ממש כמו קוד האפליקציה. לכן אני מעדיףה את צ'טסקיור במקומה.

    סיגנל (לשעבר טקסטסקיור) נשמעת לי מצוין ואני אנסה אותה, ואולי ננסה אותה יחד בסדנא, או אתה ואני🙂

    אגב, בגלל שסיגנל לא עובדת על xmpp, אני בינתיים מתלהבת יותר מצ'טסקיור שכן עובדת על xmpp, כי אני מחבב מאד את הפרוטוקול הזה והוא מאד בשימוש, כך שאפשר להתכתב גם עם מי שאין להןם צ'טסקיור (אבל אז לפעמים זה לא יהיה מוצפן, כמובן, צריך לשים לב).

    אתה מאד מוזמן כן לשאול שאלות כאן, זה יהיה מועיל! וגם לתת תשובות והצעות אם יש לך🙂
    לילה טוב, יקירי!

  3. הי יוסית המעולה הנה כמה שאלות שעלו אצלי לאחרונה:
    1. מערכת ההפעלה– יש בי חשש מכך שמדובר במערכת ההפעלה המקורית שיוצרה על ידי גוגל. האם ידוע לך על איסוף נתונים על ידי מערכת ההפעלה עצמה? האם לדעתך עדיף להתקין מערכת קסטום כגון סיאנוגןמוד מבחינת אבטחה?

    2. אפליקציות שדורשות הרשאות- לדוגמא אפליקציית ווייז דורשת ממך לאשר לה לצלם אותך או להקליט אותך בכל זמן שהוא. להרבה אפליקציות יש הרבה דרישות שכביכול לא קשורות בכלל למה שהאפליקציה עושה. האם יש אפשרות להשתמש באפליקציות כאלה ללא נתינת הרשאות הללו והאם כדאי? או שעדיף להשתמש באפליקציות קוד פתוח.
    אם באפליקציות קוד פתוח האם יהיה אפשר להציג כמה אלטרנטיבות לאפליקציות מרכזיות? (ווייז, קלנדר, טלפון, גוגל סטור)

    3. כתבת לגבי שימוש בגוגל מפות ללא שירותי איתור, האם זה באמת אפשרי להשתמש באיזהשהם משירותי גוגל ללא מעקב?

    4. האם אפשרי להשתמש בג'יפיאס כהתקן פנימי ללא שליחת מיקום?

    5. האם יש דרך נוחה להעביר את קובץ הססמאות מקיפאס בטלפון למחשב?

    6. האם העברת המכשיר למצב טיסה באמת יוצר מצב של אי תקשורת עם הרשת ושלא יאגרו נתונים עליי באותו זמן?

    רוצה לומר שאצלי החשש הוא לא ממעצר על ידי השב"כ או המשטרה, כי גם כך בנושאים רגישים אפגש ולא אדבר טלפונית, אלא יש לי תחושת אי נעימות מכך שהמכשיר כל הזמן משדר מידע בלתי מוגבל עליי לגופים מסחריים.

  4. מעולה אתה בעצמך!🙂
    כמה מחשבות בכיוונים ששאלת:

    1 – מערכות אנדרואיד לגירסאותיהן השונות אינן חפשיות לחלוטין ולא כל קוד המקור משוחרר. לכן יש בהן גם חלקים של גוגל וגם חלקים של היצרן (נניח סמסונג אם זה טלפון של סמסונג) שקשה לדעת מה הם עושים. אני לא יודע בפירוש על רוגלות מטעם גוגל או היצרנים השונים אבל יש לי סיבה טובה להניח שיהיו כאלה (יש לגוגל וליצרנים גם את היכולת וגם את המניע לעשות את זה). לכן כן, היתי ממליץה על סיאנוגןמוד וגם על מערכות חפשיות אחרות, תלוי כמובן איזה טלפון יש לך (על שלי, למשל, רק סיאנוגןמוד מתאימה, והאחרות לא). גם סיאנוגןמוד לא מושלמת ויש מערכות פתוחות וחפשיות יותר אפילו, אבל לפחות הם מנקים משם המון שטויות של גוגל והיצרניות, ומה שנשאר אתה יכול בעצמך לשנות אם אתה רוצה (אצלי למשל לא מותקנת חנות האפליקציות גוגל-פליי-סטור פשוט כי הסרתי אותה, מה שלא מתאפשר באנדרואיד רגיל, אם אני זוכר נכון).

    2 – כמובן שעדיף להשתמש באפליקציות קוד פתוח, כי גם אם תחסום חלק מההרשאות (בטלפון שהוא rooted נדמה לי שאפשר לעשות את זה ובסיאנוגןמוד כמובן שאפשר, באמצעות התקנת אפליקציה חפשית שמנהלת את זה, נדמה לי) אז האפליקציה הלא חפשית עדיין יכולה להשתמש בהרשאות המעטות שנותרו לה באופן זדוני (למשל וויז חייבת GPS כדי לעבוד, אם תחסום את זה היא לא תעבוד, והיא כנראה אוגרת מידע על לאן נסעת). הנה כמה אלטרנטיבות חפשיות ופתוחות לאפליקציות פופולריות:

    גוגל פליי סטור > F-droid (חנות לאפליקציות חפשיות ופתוחות) וגם https://guardianproject.info/ מפתחות אפליקציות אבטחה חפשיות לסיאנוגןמוד ואנדרואיד.

    קלנדר > יש אלטרנטיבות כאן: https://f-droid.org/repository/browse/?fdfilter=calendar&fdpage=1&page_id=0 אבל אני משתמשת באפליקציה שמגיעה עם סיאנוגןמוד, שנדמה לי שהיא אותה אפליקציה שמגיעה עם אנדרואיד. לא בדקתי שהיא פתוחה וחפשית, אבל שיערתי כך כיוון שבסיאנוגןמוד השאירו אותה.

    טלפון > אם הכוונה היא לסופטפון, כלומר משהו שעובד בפרוטוקול SIP וכו' אז ekiga היא מעולה לזה, ומעולה גם לצ'יטוט ב xmpp ועוד המון דרכי התקשרות. אם הכוונה להפעלת הטלפון באופן הרגיל, כלומר חיוג על פני הרשת הסלולרית אז אני משתמש באפליקציה הרגילה המסופקת עם סיאנוגןמוד או אנדרואיד, ועכשיו ששאלת אני אנסה לבדוק כמה חפשית ופתוחה האפליקציה הזו. לשיחות אודיו מוצפנות בדוק את Ostel.

    וויז > ווי ווי, אני ממש לא מביןה בזה חחח טרם התרגלתי לניווט ע"י אפליקציות. אבל מצאתי ב F-droid רשימה של אלטרנטיבות: https://f-droid.org/repository/browse/?fdfilter=navigation&fdpage=1&page_id=0

    3 – ובכן… קשה לדעת. אבל לפחות אפשר לבקש מהם לא לעקוב, ויכול להיות שמבחינה חוקית זה מחייב אותם. צריך לעשות לוג-אין לגוגל (ג'ימייל למשל) ואז להיכנס לקישור google.com/maps/timeline ולמצוא את הכפתורים שמבטלים את location history. לפני הביטול (הם קוראים לזה "השהייה"! החוצפנים!) אפשר לראות אם אספו עליך מידע לפני כן ולנסות לבדוק שם איפה היית ומתי, רק כדי להתרשם…

    4 – ה GPS ממילא אינו פנימי בגלל התקשורת שלו עם הלווין, אבל אני מניחה שאם התוכנה על הטלפון שלך חפשית (וזה צריך לכלול את הדרייברים של ה GPS שאני לא יודעת אם הם חופשיים בסיאנוגןמוד או באנדרואיד) אז אתה יכול לסמוך יותר על זה שהמידע לא יזלוג החוצה. הבעיה עם מיקום זה שקל לאתר אותך גם לפי האנטנות הסלולריות וחיבורי הוויפיי שהתחברת אליהם.

    5 – כן, יש כמה אפליקציות שעושות את הסינכרון הזה אוטומטי דרך שירותי ענן למיניהם (יש לזכור שקובץ הסיסמאות מוצפן ולכן שירותי ענן כמו דרופבוקס לא מהווים סיכון גדול להעברת הקובץ בין המחשב והטלפון). לא התקנתי עדיין אפליקציות כאלה אבל הנה קישורים אליהן ובאותה הזדמנות גם לדיסק-און-קי:
    התקנה של תוכנת מחסן הסיסמאות keepass על הטלפון הסלולרי:
    מדריך לאנדרואיד: https://securityinabox.org/en/guide/keepassdroid/android
    אפליקציה לאנדרואיד: https://play.google.com/store/apps/details?id=com.android.keepass&hl=en
    פתרון בעיות באנדרואיד: http://www.keepassdroid.com/
    אפליקציה לאייפון: https://itunes.apple.com/app/id451661808
    התקנה ניידת של תוכנת keepass על דיסק-און-קי (יו אס בי):
    קישור להורדה: http://keepass.info/download.html
    מידע והוראות: http://keepass.info/help/v1/setup.html

    6 – באנדרואיד רגיל ובאייפון אני לא יודע. יכול להיות שכן ויכול להיות שלא. אפשר לקנות שקית קטנה שחוסמת את התקשורת באופן פיזי וכך להיות בטוחות: https://duckduckgo.com/?q=bag+block+phone&t=trisquel&ia=products
    במערכות הפעלה פתוחות מן הסתם באמת מצב טיסה חוסם את האות של הטלפון

    רק בגלל שדיברנו עליהן, הנה רשימה של המערכות הפתוחות השונות: https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones

    בגדול הנושא הזה עגום, כי טלפונים סלולרים, בניגוד למחשבים, לא בנויים לפרטיות ולאבטחה ממש מרמת החומרה, דרך הדרייברים (ה"קושחה") ועד מערכות ההפעלה והאפליקציות. אפשר וכדאי להקטין את הסיכון ע"י שימוש בתוכנה חפשית (ולפעמים אפשר אפילו בחומרה חפשית) אבל כמעט תמיד יהיו איזה שהם חורים. זה לא אומר כמובן שהכל או כלום, אנחנו רוצות להעלות את המחיר הטכני והכספי של מעקב אחרינו ולכן כדאי כן להשקיע ולהיזהר.

    יאללה, חפרתי🙂

  5. תודה; מעניין, גם הפוסט וגם התגובות.

    רק לגבי 4 בתגובות: GPS הוא פסיבי. מידע נקלט על־ידי המכשיר מאותות שנשלחים על־ידי הלוויינים, אבל לא משודר.

    ולגבי 1 בפוסט: אפשר לחסוך את השלב הבעייתי של לשמור קובץ במחשב, גם אם מוצפן, ולהשתמש ב־hash, כמו בתוסף Password Hasher לפיירפוקס (https://addons.mozilla.org/en-US/firefox/addon/password-hasher/).

  6. לא חפרת בכלל יוסית. זה היה לי חשוב וטוב לשמוע את הדברים האלה, כי לפני זה הייתי בחוויה שאין מה לעשות לגבי פרטיות בטלפון הסלולרי ושכנעת אותי שיש. נראה לי אתקין קודם כל סיאנוגןמוד ואתחיל לעבוד עם F דרואיד במקום פליי סטור.
    אכן הGPS הוא מכשיר קליטה ולא שידור, למרות שיתכן ששומר מידע. לא יצא לי להתנסות עם שימוש בGPS ללא וייפיי, מן הסתם המיקום הוא הרבה פחות מדוייק, אבל אולי מספיק מדוייק.

    יש לך רעיון לגבי קלנדר שמסתנכרן ולא שייך לגוגל קצת כמו רייזאפ של הקלנדר? ניסיתי למצוא ולא הצלחתי.

    סיפור קטן לגבי מעקבים- היום הבוס הכניס לשימוש אפליקציית מעקב שעות במשרד שכמובן גם משתמשת בג'יפיאס (איזה חוצפה). כי זה מה שאני רוצה שהוא ידע בכל דקה איפה אני. אפשר להתחבר ממחשב רגיל אבל אז הוא קולט IP, אז התקנתי TOR בראוזר בטלפון ואני מתכוון להתחבר ולדווח דרכו כדי שיראה כאילו אני מדווח שעות ממקומות שונים בעולם.

    יהיו לי עוד שאלות ותגובות בימים הקרובים רוצה לחשוב על מה שכתבת.

  7. rwmpelstilzchen, זה יופי של תוסף🙂 אם כי בא לפתור בעיה קצת אחרת (שפריצה לאתר לא מאובטח מגלה סיסמאות שאנשים משתמשות בהן גם באתרים יותר מאובטחים), אבל עדיין מאד עוזר. המגבלה היא שה hash נעשה בין הסיסמא שמקלידה המשתמשת לבין domain של האתר, כך שסיסמאות שאינן קשורות לאתרים (נניח הסיסמא לקבצי הגיבוי שלי, סיסמאת כניסה למחשב, סיסמאת ה PGP שלי ועוד) לא יכולות להישמר שם. אבל זה פתרון טוב בהחלט לסיסמאות של אתרים ושירותים אונליין.

    lalala, מגניב שתתקין סיאנוג'ןמוד!! ואיזה יופי שיש לך תקווה מחודשת ל(קצת יותר) פרטיות. חיפשתי גם אני קלנדר שלא שייך לגוגל ועובד עם iCal או סטנדרד דומה שאפשר לסנכרן, וטרם מצאתי. אודיע כשאמצא🙂 איזה חרא המעקב בעבודה! סאחה עליך עם הפתרון היצירתי לדיווח ממקומות שונים ומשונים – בהצלחה!

    תודה לשניכן על המידע לגבי GPS. זה מרגיע🙂

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s