fbpx

Οδηγός ασφαλούς επικοινωνίας στο διαδίκτυο για αρχάριους

Η ασφαλής και ιδιωτική επικοινωνία θα έπρεπε να είναι το πρώτο πράγμα που σκεφτόμαστε όταν χρησιμοποιούμε το διαδίκτυο, ζούμε στην εποχή οπού υπάρχουν υπερβολικά πολλοί κίνδυνοι στο να εμπιστεύεσαι οποιαδήποτε εταιρία με τα προσωπικά σου δεδομένα.

Από τα trackers που χρησιμοποιούν οι περισσότεροι Κινέζοι κατασκευαστές κινητών για να τριπλασιάσουν το κέρδος τους από την πώληση μίας συσκευή, μέχρι τα “ξεχασμένα” bugs της Apple και τα unsecured data centers του Facebook.

Το μόνο σίγουρο είναι το ότι δεν τους νοιάζει η ασφάλεια τον χρηστών από παρενοχλήσεις, απάτες, phishing και data-miners από διαφημιστικές εταιρίες, εάν στο τέλος της μέρας τα κέρδη τους συνεχίζουν να αυξάνονται.

Υπάρχει όντως τρόπος για να βρεις μια ασφαλή εφαρμογή ανταλλαγής μηνυμάτων; Πώς μπορείς να είσαι σίγουρος ότι μια τέτοια εφαρμογή δεν θα αλλάξει στρατόπεδο προκειμένου να έχει κέρδος;

Από τότε που με την βοήθεια του Edward Snowden μάθαμε για τα προγράμματα μαζικής παρακολούθησης της NSA, έχουμε πλέον μια αφθονία τέτοιων εφαρμογών χάρις την δουλεία μιας παγκόσμιας κοινότητας ερευνητών και developers ασφαλείας που δουλεύουν πυρετωδώς στην μάχη κατά της παρακολούθησης.

Αφού διαβάσετε τα παρακάτω ερωτήματα, θα γνωρίζετε πλέον και εσείς πώς μπορείτε να μείνετε ασφαλείς, καθώς με βάση αυτές θα μπορείτε να κρίνετε αν μία εφαρμογή περνάει το ‘τεστ’ ή όχι.

Η πρώτη ερώτηση απαντά σε κάτι πολύ βασικό, και κάτι το οποίο αν δεν υπάρχει, δεν θα έπρεπε να παίρνεις αυτήν την υπηρεσία στα σοβαρά εξ’ αρχής.

Είναι όλα τα μηνύματα μου κρυπτογραφημένα από άκρη σε άκρη; (end-to-end)

Στην εποχή που τα data leaks είναι σχεδόν κομμάτι της καθημερινότητας και εταιρίες όπως η Google και η Facebook διαβάζουν τις προσωπικές μας συζητήσεις, είναι άκρως απαραίτητο ότι στην εφαρμογή που έχεις επιλέξει κανένας, παρά μόνο εσύ και ο παραλήπτης μπορούν να διαβάσουν τα περιεχόμενα ενός μηνύματος.

Χωρίς πολλές λεπτομέρειες, η κρυπτογράφηση από άκρη σε άκρη είναι όταν το μήνυμα σου κρυπτογραφείται πριν ‘φύγει’ από την συσκευή σου, και μπορεί να αποκρυπτογραφηθεί μόνο όταν το λάβει ο παραλήπτης. Ακόμα και αν είναι αποθηκευμένο σε κάποια βάση δεδομένων προσωρινά, μόνο εσύ έχεις πρόσβαση στα κλειδιά της αποκρυπτογράφησης, επομένως δεν υπάρχει τρόπος να έχει πρόσβαση στα μηνύματά σου.

Επίσης πρέπει να ξέρεις εάν η εφαρμογή έχει την κρυπτογράφηση ως προεπιλογή, ή πρέπει να την ενεργοποιήσει ο χρήστης χειροκίνητα από τις ρυθμίσεις. Αν μια εφαρμογή προσφέρει κρυπτογράφηση μόνο προαιρετικά μπορεί να έμμεσα τους χρήστες της να μην την χρησιμοποιούν. Η πιο ασφαλής εφαρμογή είναι αυτή που χρησιμοποιεί πάντα κρυπτογράφηση, και ποτέ δεν θα έχει plaintext σαν δεύτερη λύση.

Αυτό θα ήταν το πιο ιδανικό, αλλά δυστυχώς στον πραγματικό κόσμο δεν είναι όλα τα ήδη end-to-end encryption ίδια. Πολλές εταιρίες προκειμένου να τραβήξουν την προσοχή χρηστών που απαιτούν αυτό το feature, υπόσχονται ότι είναι υπέρ της ιδιωτικότητας προσφέροντας μια ‘ψεύτικη’ κρυπτογράφηση, καθώς κρατάν αντίγραφα των κλειδιών ασφαλείας (βλέπε Viber, WhatsApp, Telegram κτλ.) και επομένως μπορούν να έχουν πρόσβαση σε όλα σου τα δεδομένα όποτε θελήσουν

(mention encryption with forward secrecy?)

Η εφαρμογή είναι δωρεάν λογισμικό ανοιχτού κώδικα; 

Εδώ δεν τίθεται θέμα για το αν θα πρέπει να αγοράσεις κάποιο license ή όχι, οι πιο ασφαλές εφαρμογές είναι αυτές που δεν χρειάζεται να εμπιστευτείς. Όταν οι δημιουργοί μιας εφαρμογής κρύβουν τον πηγαίο κώδικα, δεν μπορείς να επαληθεύσεις εάν έχουν βάλει κάποιο backdoor, ούτε μπορούν εκείνοι να αποδείξουν ότι το προϊόν τους είναι 100% ασφαλές.

Προσοχή, επειδή μια εφαρμογή χρησιμοποιεί έναν open-source τρόπο κρυπτογράφησης, δεν σημαίνει ότι είναι open-source η ίδια. Οι περισσότερες εφαρμογές εξακολουθούν να έχουν κρυφό τον υπόλοιπο πηγαίο κωδικά τους ειδικά υπηρεσίες σαν το iMessage και το WhatsApp, που προσφέρουν έναν τεράστιο αριθμό features που εν τέλει κάνουν τον κώδικά τους πολύ περίπλοκο με αποτέλεσμα οι developers να μην μπορούν από μόνοι τους να διορθώσουν όλα τα bugs. Όσοι περισσότεροι συνεισφέρουν στην βελτίωση του κώδικα τόσο το καλύτερο.

Πώς η εφαρμογή/υπηρεσία βγάζει χρήματα;

Οι προγραμματιστές και οι κρυπτογράφοι, καθώς και η συντήρηση των server που διαχειρίζονται περιεχόμενα και bandwidth κοστίζει, και μάλιστα πολύ. Ποιος καλύπτει όλα αυτά τα έξοδα; Μια γνωστή φράση είναι το “αν είναι δωρεάν, το προϊόν είσαι εσύ

Αλλά στον κόσμο του δωρεάν και open source λογισμικού, αυτό δεν ισχύει απαραίτητα. Πολλοί προγραμματιστές λογισμικού ανοιχτού κώδικα δουλεύουν σε μη κερδοσκοπικές οργανώσεις και ζουν από δωρεές και χορηγίες (π.χ. Canonical / Ubuntu), επιπλέον πολλές εταιρίες έχουν κέρδος από διαφορετικές πηγές, όπως ‘premium’ εκδοχές των υπηρεσιών τους ή από την πώληση hardware.

Συνήθως αν μια ομάδα έχει τα ονόματα των μελών της δημόσια, και μπορείς από μόνος σου να δεις ποιοι είναι και τι κάνουν κατά πάσα πιθανότητα παίρνουν την δουλεία τους στα σοβαρά ενώ από την άλλη εάν κρύβονται πίσω από φανταχτερές λέξεις και καλό μάρκετινγκ και δεν μπορείς να βρεις δημόσια ποιος τους χρηματοδοτεί ή η εταιρία βρίσκεται στον χώρο της διαφήμισης, είναι ξεκάθαρο red-flag.

Που βρίσκεται η έδρα της εταιρίας;

Αυτό συμπεριλαμβάνει το που είναι μια εταιρία νομικά καταχωρημένη, από που διεξάγουν την επιχείρηση τους και που γίνεται το hosting τον δεδομένων που έχουν από τους χρήστες τους.

Οποιαδήποτε υπηρεσία στο internet διαχειρίζεται έστω και κάποια στοιχεία χρηστών για ένα συγκεκριμένο χρονικό διάστημα, οποιαδήποτε κρατική/νομική υπηρεσία θα μπορούσε υπό συνθήκες να αναγκάσει την εταιρία να απαγορεύσει την πρόσβαση σε κάποιον χρήστη, ή να τους στέλνει αντίγραφα των logs τους ή να εγκαταστήσουν μέσα στον κώδικα κάποιο backdoor (Βλέπε Κίνα)

Σαν γενική συμβουλή, καλό είναι να μην προτιμούμε υπηρεσίες που έχουν κεντρικούς server τους σε χώρα που είναι μέλος του Five Eyes Alliance.

Ποια είναι η πολιτική της εφαρμογής για τα μεταδεδομένα;

Με λίγα λόγια, τα μεταδεδομένα (metadata) είναι δεδομένα για άλλα δεδομένα (ξέρω ακούγεται λίγο περίεργο) Ουσιαστικά είναι επιπλέον πληροφορίες που βρίσκονται στέλνονται μαζί με το περιεχόμενο που στέλνει ένας χρήστης (π.χ ανάλυση οθόνης, εκδοχή ΛΣ, επεξεργαστής ή SoC και άλλα.)

Εδώ η υπόθεση είναι απλή, εάν η εφαρμογή έχει μια απλή, ξεκάθαρη πολιτική για το πώς τα διαχειρίζονται, είναι greenlight, εάν από την άλλη η πολιτική τους αγγίζει τόσες σελίδες που σε παίρνει ο ύπνος και νιώθεις λες και διαβάζεις μια ξένη γλώσσα γιατί κρύβονται πίσω από περίεργους νομικούς όρους για το πώς διαχειρίζονται έστω και το πιο μικρό κομμάτι data που τους δίνεις, καλύτερα να μείνεις μακρυά.

Η καλύτερη πολιτική απορρήτου είναι εκείνη που γράφει κάτι σαν “Δεν συλλέγουμε καμία πληροφορία για το πώς χρησιμοποιείτε η υπηρεσία μας ή ποιος την χρησιμοποιεί”

Μπορείς να δημιουργήσεις έναν ανώνυμο λογαριασμό;

Αν δεν νιώθεις άνετα με το να δίνεις τα στοιχεία σου για να γραφτείς σε διάφορες υπηρεσίες ή ιστοσελίδες τότε πρέπει να ψάξεις αν αυτά υποστηρίζουν την δημιουργία ανώνυμων λογαριασμών. Σε τέτοιες περιπτώσεις χρειάζεσαι πλήρη ανωνυμία. Αν η εφαρμογή απαιτεί κάποιο τηλεφωνικό αριθμό ή email κατά την εγγραφή, ΔΕΝ είσαι ανώνυμος. Κάποια email μπορούν να είναι ανώνυμα, όπως το ProtonMail, αλλά μόνο αν δημιουργήθηκαν μέσω Tor ή κάποιου άλλου darknet.

Μια λύση θα ήταν να κατεβάσεις μέσω Tor την εφαρμογή από κάποια άλλη πηγή πέρα από Google Play/App Store, δημιουργείς τον λογαριασμό που θες ανώνυμα και χρησιμοποιείς την εφαρμογή πάντα μέσω Tor.

Εδώ θα πρέπει να υπενθυμίσω ότι εκτός εάν είναι άκρως απαραίτητο, δεν προτείνω αυτήν την λύση καθώς αν κάποιος αποκτήσει πρόσβαση στον λογαριασμό του ατόμου που επικοινωνείς και είτε να διαβάσει τα μηνύματά σου είτε να προσποιηθεί ότι είναι αυτό το άτομο

Επαλήθευση επαφών

Αν είσαι νέος στο θέμα της κρυπτογράφησης είναι μια απλή λύση στην προστασία κατά των hacker, καθώς οι συσκευές κάνουν verify τα fingerprinting codes τους, είτε μέσω κάποιας τηλεφωνικής κλήσης, είτε scan-αρωντας κάποιο QR code. Έτσι, αν προκύψει αλλαγή σε μια απ της δύο συσκευές θα ενημερωθούν και οι δύο χρήστες, καθώς επίσης η νέα συσκευή δεν θα μπορεί να διαβάσει τα προηγούμενα μηνύματα εφόσον δεν έχει τα απαραίτητα encryption keys.

Disappearing Messages

Κάτι σύντομο και απλό, στην περίπτωση που τα μηνύματα περάσουν ένα όριο (είτε σε αριθμό είτε χρονικό, είτε επειδή τα διάβασε ο χρήστης) τότε διαγράφονται αυτόματα

Έχει η εφαρμογή μια ‘κεντρική’ διαχείριση (centralized) ή είναι ‘αποκεντρωμένη (decentralized)

Αν μια υπηρεσία/εφαρμογής έχει κεντρικούς server, πρέπει να τους εμπιστεύεσαι τα δικά σου metadata, ενώ στην περίπτωση μιας decentralized εφαρμογής, μπορείς να κάνεις εσύ τον host, ή να επιλέξεις εσύ κάποιον server/διακομιστή που γνωρίζεις (φάση IRC) ή ακόμα καλύτερα να είναι peer-to-peer (σαν torrent)

Τέλος καταλήγουμε στο γεγονός πως η ασφάλεια στο διαδίκτυο είναι επιτεύξιμη με πολύ εύκολους τρόπους αρκεί κάποιος να ενδιαφερθεί για αυτή. Ελπίζουμε ο παραπάνω οδηγός μας να αποδείχθηκε αρκετά χρήσιμος για εσάς και να σας έλυσε τις απορίες που είχατε σχετικά με την ασφάλεια και την ιδιωτικότητα στο διαδίκτυο.

READ MORE

Το Unreal Engine 5 ανασχεδιάστηκε για να εκμεταλλευτεί τον SSD του PlayStation 5

Η Epic δημοσίευσε ένα εκπληκτικό demo της νέας μηχανής παιχνιδιών της Unreal Engine 5 το οποίο έτρεχε στο επερχόμενο PlayStation 5. Αυτό φυσικά εγείρει...

Διέρρευσε η λίστα με τα 38 παιχνίδια του PlayStation 5

Μετά τις πιθανής τιμής του Playstation 5, μέσω του Official PlayStation Magazine μάθαμε την λίστα με τα επερχόμενα παιχνίδια της κονσόλας. Όπως φαίνεται και...

Mission Impossible 7: Ξεκινάει ξανά γυρίσματα τον Σεπτέμβριο

Το Mission Impossible 7 ετοιμάζεται να επιστρέψει στην δράση τον Σεπτέμβριο, αφού η Paramount αναγκάστηκε να αλλάξει ριζικά τα σχέδια για τα γυρίσματα του...

FIND US ON

5,160FansLike
727FollowersFollow
308FollowersFollow
1,490SubscribersSubscribe