_.
                                                  _.-----'' `\
                                   .__ _..-----'''            `.
                                    \             `\.           '\
                                     :.              `.           `\
.___        ___                       `:.         __   `.           `-.
|   | _____/   |_  _____________  _____   _______/  |_   `.            `+.
|   |/     \   __\/ __ \__   __ \/     \_/  __ \    __\    `.  __.===::::;)
|   |   |   \  | \  ___/ |   | \/   |   \   ___/|   |  ___.__>'::::::a:f/'
|___|___|  /___|  \____  >___|  |___|   /\_____ >___|==:::=-'-=-"""''
         \/            \/            \_/       \/  :::''
                                                 '' za prosečnog korisnika
                                                         
-=-----------------------------------------------------------------------=-


Naziv dokumenta: Gerzićev vodič za prosečnog Internet korisnika
Autor: Luka Gerzić / Kreirano u Beogradu 2016/08/15 / Verzija: 2.1

Originalni dokument je objavljen na adresi: 
https://gerzic.com/howto/internet/

PDF dokument aktuelne verzije, permanentni link (za lokalnu arhivu):
https://gerzic.com/howto/internet/lg.vodic.pdf

Objavljeno prema Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/

Prevodi i unapređenja:
 - Vodič je preveden na Slovenački: https://itp.surge.sh 


+- BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! -+
|                                                                         |
| Primena saveta iz ovog teksta u celosti ili u delovima je apsolutno na  |
| vašu sopstvenu odgovornost. Autor ovog teksta ne može snositi bilo      |
| kakvu odgovornost u slučaju da vi ili vaši uređaji budu ugroženi.       |
| Ceo tekst je informativnog karaktera i kao takav se mora tretirati.     |
|                                                                         |
| Pre instalacije bilo kog programskog alata koji je pomenut u ovom       |
| tekstu, dobro pročitajte svu raspoloživu dokumentaciju i potrudite se   |
| da se informišete o tome kako taj alat funkcioniše! Ukoliko je potrebno |
| konsultujte se sa nekim ko se razume u tematiku. Isto važi i za servise |
| koje želite da koristite, potrudite se da se informišete pre upotrebe.  |
|                                                                         |
| Napomena: Ovo je deo procedura i preporuka za _prosečnog_ korisnika,    |
|           postoje druge metode i oblasti o kojima nisam pisao u         |
|           ovom tekstu. Vrlo je moguće da sam neke stvari slučajno ili   |
|           namerno izostavio iz dokumenta. Iako sam pokušao, nisam uspeo |
|           da pronađem sav dodatan materijal na Srpskom jeziku, deo      |
|           linkovanog propratnog materijala je na Engleskom jeziku.      |
|                                                                         |
| Autor je pokušao da vodič napiše što je moguće tačnije, i uz veći broj  |
| referenci. Ukoliko ste primetili grešku ili smatrate da neki deo može   |
| da se ispravi, dopuni ili izbaci, slobodno me kontaktirajte.            |
|                                                                         |
+- BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! - BITNO! -+


Log izmena:
-=-----------------------------------------------------------------------=-

  2.1 | 2017/02/01
      - Po popularnom zahtevu, od sad vodič možete skinuti i u PDF obliku,
        link će biti permanentan ka najnovijem vodiču. Link za preuzimanje
        se nalazi iznad u opisu.
      - Uneo izmene za aktuelna dešavanja po pitanju e-gov servisa u Srbiji
      - Nekoliko važnih update-a u više segmenata

  2.0 | 2016/12/16
      - Tekst je unapređen, preveden na Slovenački jezik i prilagođen 
        korisnicma u Sloveniji zahvaljujući trudu i radu @0x4d_
      - Dodat novi segment Dodaci pri kraju teksta
      - Segment enkripcija podataka podeljen na dva dela, drugi stručniji
        deo prebačen u dodatke na kraju teksta.
      - Sitne izmene greški prilikom kucanja 

  1.4 | 2016/09/03
      - Proširio segment za mobilne telefone
      - Ažurirao segment za društvene mreže (slučajevi zloupotrebe)
      - Dodao info za Android malver
      - Proširio segment za lozinke 

  1.3 | 2016/08/26
      - Dodao linkove za Adobe (traznicija sa Flash na HTML5 tehnologiju)
      - Dodao linkove za Javu 
      - Dodat precizan opis za Erste banku i njihovu polisu za šifre
      - Sitne izmene greški prilikom kucanja
      - Azurirao segment za WhatsApp

  1.2 | 2016/08/23
      - Sitne izmene greški prilikom kucanja
      - Dodata napomena za 2FA (tnx M.Stanković)
      - Resize par slika
      - bitly linkovi samo za ćirilične linkove zbog dužine i konverzije

  1.1 | 2016/08/22 
      - Sitne izmene greški prilikom kucanja 
      - Presredio neke segmente rečenica koje su izlazile van forme
      - Izmenio deo sa CA i ključevima, greškom pogrešno opisan proces
      - Dodao sliku za keepass2 u segmentu Lozinke
      - Izmenio segment za autentifikatore (tnx M.M.), dodao par fotki

  1.0 | 2016/08/22
      - Vodič objavljen

  0.2 | 2016/08/15
      - Prva radna verzija za prijatelje





-=-----------------------------------------------------------------------=-
Sadrzaj
-=-----------------------------------------------------------------[Vrh]-=- 01) Uvod .......................................................... [L] 02) Kako posmatrati Internet ...................................... [L] 03) Korisnički nalog .............................................. [L] 04) Lozinke ....................................................... [L] 05) 2FA ........................................................... [L] 06) Enkripcija .................................................... [L] 07) Root sertifikati .............................................. [L] 08) Enkripcija podataka ........................................... [L] 09) Operativni sistemi ............................................ [L] 10) VPN ........................................................... [L] 11) Mobilna platforma ............................................. [L] 12) Izbor alata za surfovanje ..................................... [L] 13) Pozadina surfovanja Internetom ................................ [L] 14) Internet pretraživači ......................................... [L] 15) Kako zaštititi računar ........................................ [L] 16) Elektronska pošta ............................................. [L] 17) Društvene mreže ............................................... [L] 18) Pre nego što se desi najgore .................................. [L] 19) Uništavanje, i brisanje uređaja za skladištenje podataka ...... [L] 20) Dodaci ........................................................ [L] 21) Hvala ......................................................... [L] 22) O autoru ...................................................... [L] -=-----------------------------------------------------------------------=-
Uvod
-=-----------------------------------------------------------------[Vrh]-=- Zdravo Internet korisniče, Ukoliko koristiš Internet svakog dana, ovaj tekst će ti pomoći da isti koristiš bezbednije. Internet je mesto gde možeš pronaći mnoge informacije i može ti olakšati svakodnevni život, ali isto tako ti može naneti štetu. Primera ima mnogo a ovaj dokument bi trebalo da ti pomogne da Internet bude dovoljno bezbedan za korišćenje iz bilo kog dela sveta. Tema bezbednosti i privatnosti na Internetu je izuzetno široka, i o njoj su napisane mnoge knjige, tekstovi, blogovi, itd. Ideja je da kroz ovaj dokument te informacije pokušam da sažmem do nivoa prosečnog korisnika. Moj cilj je da kroz savete i sugestije približim običnom korisniku alate i procedure kojim će njegovo internet prisustvo biti na boljem i zaštićenijem nivou. Kome je ovo namenjeno: + Ovaj dokument je nastao iz želje da se pomogne _prosečnom korisniku_ da postigne bolji nivo zaštite i privatnosti od uobičajenog. A kome nije: - Nije namenjen 0.01% ljudi koji se štite od raznoraznih domaćih ili svetskih bezbednosnih agencija. Oni moraju koristiti daleko više nivoe zaštite i predostrožnosti prilikom korišćenja Internet-a. - Svima što se "lože" da su im troslovne agencije za vratom i koji paranoišu. Imajte na umu, da Internet _nikad_ ne zaboravlja. Ono što objavite na mreži vrlo teško se može obrisati, a lako se može iskopirati. Dobar primer je sajt Internet arhive [L] gde možete pronaći mnogo toga iz prošlosti iako ti podaci više nisu javno dostupni, a možete i dobiti revizije sajtova kroz vreme. Ovaj tekst je kao što sam rekao informativnog karaktera, i bez vašeg daljeg učenja i informisanja o ovim temama nemojte očekivati dobre rezultate. Takođe ovaj tekst podrazumeva i dozu zdravog razuma prilikom odlučivanja i postupanja u online i offline režimu rada. Internet se svakodnevno menja, a samim tim i tehnike zaštite i prevencije. Preporuka je da se blagovremeno informišete o ovim temama i da pratite trendove. Moja pretpostavka je da će ovaj tekst, bez unapređenja, postati zastareo za oko godinu dana od dana kad je kreiran. S' vremena na vreme proverite sajt, možda izbacim update. -=-----------------------------------------------------------------------=-
Kako posmatrati Internet
-=-----------------------------------------------------------------[Vrh]-=- Kao grad u kojem ima kako dobrih, tako i zlih ljudi. Ulice grada su većinom otvorene za šetnju, ali postoje i one koje su zatvorene, a i one koje su u lošem kraju gde vrebaju raznorazni loši ljudi. Kao i u gradu, kretanje po Internetu može biti preusmereno kroz razne tunele, zgrade, hodnike itd. Po gradu se možete kretati pešice, a možete voziti i najbrži auto. Informacije koje ne želite da delite sa svima na ulici, ne želite da delite ni na Internetu. Kao što i na ulici možete sresti prevaranta, tako i na Internetu možete doći u situaciju da drugi ljudi pokušavaju da iskoriste vaše neznanje ili nepažnju. Internet je već odavno ušao u naše domove, a trend se nastavlja pa se komunikacija između uređaja proširila kako na vaš auto, tako i na vaše električne uređaje poput frižidera, veš mašine, pa i vašeg termostata, klime, kamere itd. Ukoliko se ponašamo neoprezno, možemo dospeti u nezgodnu situaciju, primera je mnogo. Jedan od gorih je primer pedofila koji je uspeo da preko računara uđe na mrežu jednog korisnika a onda preko te mreže do baby monitora koji nije imao podešenu pristupnu šifru. Zatim je "komunicirao" sa detetom tokom noći, od čega je dete imalo noćne more, dok roditelji nisu primetili da se nešto čudno dešava u sobi, i da dete "razgovara" sa nekim noću u sobi. Kao što se trudimo da svoju kuću zaštitimo od "zlih" ljudi, tako isto moramo zaštititi svoj računar, mobilne uređaje (telefon, tablet itd.). Kao što se trudimo da svoju privatnost zadržimo za sebe, ili da je podelimo samo sa osobama do kojih nam je stalo, tako moramo voditi računa i o tome šta, gde i kada delimo sa drugim ljudima na Internetu.
Bezbednost i privatnost na Internetu mnogi shvataju olako, dok se ne desi "problem" koji je neke doveo u izuzetno nezgodne situacije, a koje su mogle biti izbegnute uz malo truda i informisanja. Uz procvat Interneta došle su i velike kompanije koje nude različite servise, naizgled potpuno besplatno. Ništa na ovom svetu nije besplatno osim ljubavi roditelja i vazduha koji dišemo (za sada). Dakle, i prase koje šeta ograđenim prostorom (čitaj: web sajtom) i kome se nudi besplatna hrana i smeštaj (čitaj: "besplatni" servisi) nije ni svesno da je ustvari pripremano za klanicu (čitaj: dobrovoljno davanje svih ličnih podataka). Čitaocu ovog teksta bih preporučio da pročita dela Džordža Orvela [L], i u njima će verovatno primetiti neke sličnosti sa današnjim vremenom. O svemu tome će i sam čitalac biti informisan kako bude duže koristio Internet i njegove servise. Nažalost, zbog trenutnih terorističkih i drugih pretnji, Internet sloboda i privatnost se sve više guši. Države i njihove službe pokušavaju da na sve načine ograniče te fundamentalne osobine slobodnog Interneta. Nažalost, prognoze za bližu i dalju budućnost po pitanju privatnosti nisu baš svetle. Ali naravno ne bih bio fer kada bih govorio samo o lošim stvarima. U našem "gradu" koji zovemo Internet, imamo brojne servise koji nam olakšavaju svakodnevne aktivnosti poput e-maila, e-uprave, wikipedie i mnogih drugih fantastičnih servisa bez kojih bi današnji moderni život bio nezamisliv. Internet je svakako doneo mnogo više dobrih nego loših stvari, nadajmo se da će tako biti i u budućnosti. -=-----------------------------------------------------------------------=-
Korisnički nalog
-=-----------------------------------------------------------------[Vrh]-=- Verovatno prvi korak na Internetu je onaj gde kreirate svoj online profil, ili svoju e-mail adresu, nalog i slično. Kreiranje online naloga iziskivaće da se odlučite kako će izgledati vaš online korisnički nalog. Ukoliko imate potrebu da ne koristite pseudonim već vaše pravo ime i prezime, nemojte dodavati godinu vašeg rođenja ili slične informacije vašem nalogu. Nemojte koristiti specijalne karaktere, jer zbog istih možete imati problema sa nekim servisima. Možete koristiti tačku (.) kao i donju crtu (_) ali ovo drugo pokusajte da izbegnete ukoliko je moguće. Jednostavnost je ključ. Osnovna preporuka je da koristite umesto svog imena pseudonim. Za one koji moraju da zadovolje forme imena i prezimena, navodimo neka pravila prilikom izbora kombinacija. Ispravne kombinacije naloga: + pseudonim (izmišljeni lik/delo i slično ali ne vaš unikatni nadimak) + ppetar + ppetrovic + petar.petrovic + petrovic.petar + petar.p.petrovic Za pseudonim možete koristiti neki lik iz knjige, filma, stripa, igre, umetnosti i slično. Loše kombinacije naloga: - petrovic1970 (gde je broj validan podatak o vama npr. godina rođenja) - petarIMBG (gde je IMBG vaš IMBG ili člana vaše porodice) - petarbeograd (gde je Beograd mesto vašeg stanovanja ili lokacije) - petarposao (gde je posao firma u kojoj radite ili ste radili) Bitno je da unikatne odrednice koje se direktno vezuju za vas nikad _ne_ koristite u javno dostupnim podacima kao što je npr. vaš korisnički nalog ili e-mail adresa. -=-----------------------------------------------------------------------=-
Lozinke
-=-----------------------------------------------------------------[Vrh]-=- Na Internetu će vam biti potrebno mnogo lozinki jer ćete poželeti da se priključite različitim servisima ili mrežama. Postoje zlatna pravila kojih treba da se pridržavate: 1) Nigde ne ponavljajte vaše lozinke (1 servis, 1 unikatna šifra) 2) Šifre moraju sadržati specijalne karaktere (.,!@#$%^&*()=+-<>?/~`) 3) Šifre moraju imati minimum 16 karaktera, poželjno je >20 4) Šifre moraju sadržati kombinacije malih/velikih slova i brojeva 100% sam siguran da se bunite. Ko će da zapamti tolike šifre, pa još 16 karaktera. Ne brinite. Potrebno je da zapamtite jednu veliku kvalitetnu lozinku koju ćete koristiti za otključavanje vaše baze lozinki. Sve vaše lozinke potrebno je da držite u programskom alatu za čuvanje lozinki. Dobar alat koji možemo da preporučimo je KeePass [L]. Nekoliko primera dobrih lozinki, uz savet da umesto da pamtite komplikovane kombinacije karaktera, zapamtite rečenice, a onda umesto razmaka ( ) koristite neke specijalne karaktere.
Pored opensource rešenja možete koristiti i ispomoć u vidu Yubico ključeva koji nude dobru zaštitu za relativno pristojnu cifru [L] Razlog zbog kojeg sam naveo iznad da nikada ne koristite svoju šifru više od jednom, leži u tome da kada jednom vaša lozinka bude "provaljena" ona se obično potpuno automatski (skriptovano) proba na svim popularnim društvenim mrežama i drugim sajtovima. Ukoliko koristite istu šifru, onda ste automatski izložili sve svoje naloge odjednom. Imajte isto na umu da šifre koje ste koristili, a koje su "provaljene" zato što je neki sajt hakovan, obično publikuju i zatim koriste za "provaljivanje" drugih sajtova ili servisa. Primeri dobrih lozinki (nemojte koristiti ove primere): + $Meni.Je.B1tna-Pr1vatn0st-Na-Internetu. + Ta$tatura!Koju!K0r1st1m!Je!Odlična@ + A97Os,q?("kdNO?dkEOg Primeri loših loziniki: - password - 123456 (niz brojeva) - abcdef (niz slova) - 01011970 (datum rođenja / datum venčanja itd.) - beograd (mesto rođenja ili mesto gde letujete npr.) - partizan (vaš omiljeni sportski klub) - dzeki123 (vaš ljubimac) - qwerty (jednostavne kombinacije tastera na tastaturi) - Petar1970 (Ime + godina rođenja i slične kombinacije) Primeri gde koristite brojeve ili informacije koje su lako dostupne, u vašim lozinkama mogu dovesti do relativno lakog otkrivanja iste. Iz tog razloga smo u gornjem delu teksta naveli da ne koristite ništa od vaših ličnih informacija prilikom kreiranja naloga. Da napomenem, nisu bitne samo šifre na Internetu, bitne su i šifre koje koristite kod vaše kuće. Koliko vam je jednostavna šifra za vaš kućni Internet WiFi? Vodite računa da WiFi signal iz vaše kuće ili stana izlazi iz istog i da ga može "pokupiti" bilo ko. Pre tri godine sam radio jedno istraživanje i na područiju Beograda sam analizirao i mapirao preko 130.000 WiFi access point-a, ali o tome drugi put :) Vaša šifra za vaš lokalni računar, arhivu ili slično isto tako mora biti dovoljno kvalitetna. Pored toga, nemojte zaboraviti činjenicu da vašu šifru za WiFi, koju ste dali prijatelju a koji je otišao i prodao svoj mobilni telefon, sada može da poseduje neko trece lice. Isto važi i za vaš računar koji ste prodali. Sa njim je otišla vaša šifra za WiFi (i ko zna šta još). Imajte to na umu, i menjajte vaše šifre za WiFi pristup s vremena na vreme. Vodite računa šta će otići sa vašeg računara kad i računar ode od vas. Može vam se desiti da neki sistemi/servisi traže da menjate lozinku kroz određeni vremenski period. Vodite računa da to radite sigurnim putem i da vam je taj zahtev poslao zaista taj sistem a ne neko treći. O tome više u drugom segmentu ispod. Šta to tačno znaci "siguran put/način" govorićemo u delu enkripcija komunikacije. Evo jednog lošeg primera, kako smanjiti bezbednost limitiranjem korisnika da prilikom izbora svoje šifre mora da koristi ograničen broj dostupnih karaktera:
Ovakav primer loše prakse, gde se od korisnika zahteva da postavi šifru od (min.) šest karaktera (nadamo se bez ograničenja na mala/velika slova + brojevi), takve šifre je moguće dekriptovati izmedju 10 do 60 minuta na prosečnoj GPU opremi sa najčešćim algoritmima. Dakle, izuzetno slaba zaštita vašeg naloga. Ovde se ne misli na opremu koju poseduju troslovne agencije, već opremu koju mogu da poseduju i fizička lica ili da ih rentaju. Često vam se može desiti da vas neki servis pita da unesete odgovore na neka pitanja kao segment zaštite vašeg naloga. Kada podesite odgovore na ova pitanja, u slučaju da zaboravite lozinku, na ovom servisu možete onda poništiti staru lozinku i kreirati novu, ukoliko odgovorite tačno na ova pitanja. Ta pitanja mogu biti veoma lične prirode. Dobra praksa je da odgovori na ta lična pitanja budu vaše neke smišljene lozinke koje možete čuvati u vašem alatu za čuvanje lozinki, a ne realni odgovori. Pored toga na ovaj način nećete postaviti iste odgovore na ista pitanja na različitim sajtovima. Jedan od razloga je što korisnici često stavljaju lake odgovore kao i podatke koji se lako mogu pogoditi. Evo primera postavljanja šifri umesto realnog odgovora na pitanja (kreirao @chriswithpants): -=-----------------------------------------------------------------------=-
2FA
-=-----------------------------------------------------------------[Vrh]-=- Dvo-faktorska autentifikacija [L] je sistem koji vam omogućuje da se autentifikujete na nekom sistemu ili servisu sa vašom šifrom i dodatnim nivoom autentifikacije. Drugi nivo autentifikacije može biti preko SMS poruke ili neke aplikacije/uređaja za generisanje autentifikacionih kodova. SMS poruke više nisu dovoljno siguran nivo i preporučuje se korišćenje autentifikatora kao dodatnog nivoa zaštite vašeg naloga. Kao jednu od alternativa možete koristiti Google Authenticator [L].
Po instalaciji, potrebno je da povezete vašu aplikaciju ili servis sa Google Authenticator-om kako bi podesili 2FA. Od tog momenta, svaki put kada želite da se ulogujete sa vašim nalogom neće vam biti potrebna samo vaša šifra, već i ovaj kod koji se konstantno menja i generiše. Time čak i ako neko "provali" vašu šifru, vi imate dodatan nivo zaštite i "lopov" neće moći da se uloguje (tako lako, bez da se pomuči) ili zloupotrebi vaš nalog. Recimo, kao info da većina zapadnoevropskih banaka uz otvoren nalog u banci vam dodeljuje i njihove autentifikatore kao dodatan način autentifikacije, za razliku od naših domaćih koje vas čak i ograničavaju kakve lozinke možete da pravite (primer iznad ovog poglavlja).

Napomena: Imajte na umu da 2FA opciju nažalost ne podržavaju svi sistemi i servisi. To uglavnom zavisi da li je taj sistem ili servis podigao svoj sistem zaštite da podržava i ovu mogućnost. Proverite da li sistemi i/ili servisi koje koristite podržavaju ovu prednost, ako da onda je aktivirajte i podesite prema svojim mogućnostima. Raspitajte se, ali nemojte gajiti prevelike nade za servise u Srbiji :) Jovan Šikanja je uradio analizu twitter naloga naših državnih zvaničnika [L] neinvazivnom metodom, i evo ko koristi (i ko ne) 2FA za pristup twitter nalogu:
-=-----------------------------------------------------------------------=-
Enkripcija
-=-----------------------------------------------------------------[Vrh]-=- Enkripcija [L] je proces šifrovanja podataka, poruka ili komunikacija. Ovaj vid zaštite nam omogućuje da samo mi koji posedujemo ključeve ovog procesa možemo da pogledamo podatke, pročitamo poruku ili ostvarimo bezbednu komunikaciju. U našem gradu, to bi bio blindirani kamion koji prevozi novac (u našem slučaju podatke) iz tačke A u tačku B. U zavisnosti od nivoa rizika zavisiće i kvalitet naše zaštite. Kao prosečan korisnik u 2016-toj godini, _podrazumeva_ se da poznajete određene nivoe kripto zaštite kako bi ste mogli da koristite sve prednosti Interneta bez bojazni. Prvi primer gde koristite enkripciju su web sajtovi vaših banaka. Da li je sve tako sjajno,procenite sami, pisao sam u Januaru 2016-te godine [L] (tekst je na engl.). Dakle, vaš prvi susret sa kripto zaštitom će najverovatnije biti sa nekim web sajtom, recimo sajtom banke, koje uobičajeno koriste standardni HTTPS [L] protokol zaštite. Pored sajtova banaka i svi poznatiji portali koriste ovaj vid zaštite kada je potrebno da pristupite sistemu sa svojim nalogom i lozinkom. Ukoliko sajtovi ne koriste ovaj vid zaštite a traže vam da unesete korisnički nalog i šifru, slobodno smatrajte da je vaša šifra ukradena. Svi podaci koji prolaze između dve i više tačaka a nisu zaštićeni enkripcijom su dostupni svima koji imaju pristup tom putu transporta. Kada sajt koristi HTTPS protokol, sajt (tačnije server na kojem se taj sajt nalazi) pre svega mora posedovati odgovarajući SSL/TLS [L] sertifikat koji nije istekao i koji je izdat od odgovarajućeg sertifikacionog tela.
Bitno je napomenuti da enkripcija podataka, komunikacija itd., direktno utiče na performanse vaše konekcije i/ili samog sistema. Dakle, možete očekivati nešto sporiji rad interneta ili vašeg računara, to je normalno. Pored toga, sav enkriptovani saobraćaj, poruke, komunikacija itd. povećava potrebne resurse, npr. vaš regularan e-mail može biti uvećan i do nekoliko puta kada se enkriptuje, u zavisnosti od vrste enkripcije koju koristite. Kada pristupate sajtovima i/ili servisima na kojima je potrebno da se prethodno autorizujete, _obavezno_ proverite da li taj servis/sajt koristi HTTPS protokol, i da je isti validan. Ukoliko sajt nema HTTPS i/ili isti nije validiran, nemojte unositi vaše kredencijale već nađite alternativu. -=-----------------------------------------------------------------------=-
Root sertifikati
-=-----------------------------------------------------------------[Vrh]-=- Postoje tkz. root sertifikati [L] koji identifikuju root sertifikaciono telo [L] CA, koje izdaje digitalne sertifikate. Digitalni sertifikat [L] potvrđuje vlasništvo nad ključem [L] koji koristi registrovani korisnik tog sertifikata. Zvuči komplikovano, ali u suštini nije. Taj ključ (public key) može biti potpisan od strane sertifikacionog tela, i tada možemo "verovati" ovom ključu, a postoje i samo-potpisani (self signed) ključevi, koji nemaju potpis sertifikovanog tela, i njima ne bi trebalo verovati. Slede primeri gde se sve potpisani ključevi koriste: + U vašim mobilnim telefonima za update aplikacija, kao i samog operativnog sistema (AppStore, Google Play) + U browserima kada želimo da pristupimo nekom sajtu gde je potrebno da se autorizujemo (HTTPS) + Na serverima kada koristimo neke servise poput SMTPS, IMAP-a itd. + Na našem operativnom sistemu koji se ažurira Dakle, mi ultimativno verujemo (automatski) da su aplikacije i servisi koje koristimo zaista od naših izabranih proizvođača. Kako naš telefon ili browser zna koji su to ispravni validirani sertifikati? Jednostavno, kad kupimo novi telefon ili instaliramo operativni sistem na svom računaru, prilikom instalacije nama se instaliraju i svi oficijelni potpisivači sertifikata (CA). Tada kad želimo da uradimo update naš računar ili mobilni proverava da li su paketi potpisani sa validnim ključem oficijelnog CA preko naše lokalne baze CA. Ukoliko je sve uredu, proces ažuriranja počinje, ako nije vi dobijate obaveštenje da paketi nisu potpisani validiranim ključem i tu onda nastaju problemi. Drugi primer je kada surfujete Internetom i desi se da naiđete na sajt koji nema potpisan sertifikovan ključ onda se desi ovako nešto:
U slučaju da vam se ovakvo upozorenje desi prilikom pristupa recimo vašem WiFi administrativnom panelu od rutera/modema koji koristite kod vaše kuće, ovakvu grešku možete ignorisati. U svakom drugom slučaju, nemojte prihvatati ovakve sertifikate i smatrajte da takvi sajtovi/servisi nisu dovoljno sigurni. Ali ako se ovako nešto desi dok pristupate nekom bitnom portalu, recimo banke ili e-uprave, nipošto nemojte prihvatati takav sertifikat i pristupati sa svojim nalogom. Tu takođe postoji i jedan problem. Kao što sam gore naveo, mi ultimativno tj. automatski verujemo svim sertifikacionim telima koje nam autor našeg alata za surfovanje Internetom (npr.) dostavi. Ta lista nije mala, a ovde je možete pogledati [L]. Sasvim sam siguran da barem 3/4 (verovatno i više) nikad niste nigde koristili. Većina ovih CA vam nikad neće trebati i veći deo njih možete, ukoliko to želite, da izbrišete iz svog browsera. Više puta do sada se desilo da neki od ovih CA iznevere vas kao korisnika a i ceo svet time što zloupotrebe svoj položaj i potpišu svojim CA ključem sertifikate za neke Internet domene čiji nisu vlasnici. To se recimo desilo sa kineskim CA CNNIC koji je potpisao ključeve za neke Google domene uključujući tu i Gmail [L]. To nije izolovan slučaj, bilo je i drugih situacija, kao na primer Lenovo koji je kreirao bukvalno malvere sa njihovim CA sertifikatima koje je distribuirao uz nove Lenovo računare, i to za potrebe marketinga svoje kompanije. Više detalja o tom slučaju ovde [L]. Najveća root sertifikaciona tela su naravno Apple, Microsoft, Google, Mozilla, Android itd. Sve te sertifikate možete pogledati i u svom browseru na sledećem mestu:
Znam neke super paranoične ljude koji osim ovih par navedenih sertifikata sve ostale izbace, ali to za prosečnog korisnika ne bih preporučio. U nizu raznoraznih pehova sa elektronskim servisima državne uprave "dobar" primer je i tkz CROSO (Centralni registar obaveznog socijalnog osiguranja) koji pored toga što odmah nakon početka rada je prestao da radi i to na više od 10 dana, nego je doneo i drastične izmene na strani korisnika i njihovih računara. Naime da bi korisnik mogao da koristi ovaj portal, bilo je potrebno da instalira CROSO generisani CA sertifikat bez ikakvih ograničenja, koji u kombinaciji sa javno dostupnim privatnim ključem može da se iskoristi za izdavanje lažnih sertifikata za bilo koji drugi sajt. Na ovaj način moguće je kreirati lažne sertifikate i zatim sa istim ugrozti zaštićenu komunikaciju između korisnika i drugih sajtova na internetu, uključujući servise e-uprave, e-bankarstva kao i druge bezbednosno osetljive usluge. [L][L][L] (slika preuzeta sa navedenog lika)
-=-----------------------------------------------------------------------=-
Enkripcija podataka
-=-----------------------------------------------------------------[Vrh]-=- Kao što možemo da enkriptujemo komunikaciju na Internetu, tako možemo i da šifrujemo naše podatke. Sve više koristimo naše mobilne uređaje, sve češće kupujemo notebook/laptop računare, tablete i sličnu opremu. Ali tek kada nam ta oprema nestane (bude ukradena, ili je izgubimo) setimo se koliko je na tom uređaju bilo bitnih ili privatnih podataka. Ceo nas tzv. online život je tu sačuvan. Osoba koja ima fizički pristup vašem uređaju ima mogućnost da pristupi _svim_ vašim podacima, i tu ne mislim samo na vaše fotografije, video snimke već i na sve vaše lozinke, za sve sajtove koje ste posećivali od kako imate taj uređaj. Dakle razlog da šifrujete vaš hard disk, ili USB drajv ili memorijsku karticu je itekako opravdan. Kada odnesete vaš uređaj u servis, ili kada ga prodate nekom trećem licu, podaci sa tih uređaja se mogu oporaviti iako su obrisani ili im se može lako pristupiti [L]. Zbog toga, korišćenje enkriptovane baze vaših šifri kao što sam napomenuo u tekstu iznad, je najviši mogući prioritet. Istim prioritetom bih savetovao da vaše podatke zaštitite i na ostalim uređajima za prenos vaših podataka. U sledećem delu kada budem govorio o Operativnim Sistemima, biće reči o enkripciji vašeg hard diska prilikom instalacije. Tada čak i da vam se dogodi da neko ima fizički pristup vašem hard disku, neće moći bez odgovarajuće kvalitetne lozinke da istom pristupi. Naravno da i vaše arhive podataka (čitaj: bekapi) treba da budu zaštićene na isti način. Treba li uopste da pitam da li posedujete bekape (rezervne kopije) vaših podataka u slučaju da iste izgubite? :) Kada enkriptujemo samo fajlove, možemo koristiti PGP [L] alate koji dolaze i uz Linux operativni sistem. Potrebno je da pre PGP enkripcije kreiramo odgovarajuće jake ključeve koji će biti zaštićeni lozinkom odgovarajućeg kvaliteta, o čemu sam govorio u tekstu iznad. Kada koristite PGP enkripciju za vaše podatke ili e-mail poruke, vodite posebno računa o vašem privatnom ključu. On se _nikada_ ne prosleđuje nikome, čuva se na posebnom USB flash disku, i _nikada_ se ne prenosi preko bilo koje vrste mreže. Javni ključ možete dati bilo kome, bilo kad, a možete ga i objaviti na vašem blogu, portalu i slično. Tim javnim ključem druga osoba, iako vas nikad nije srela, može enkriptovati i poslati vam sigurnu poruku ili fajl. Svaki PGP ključ poseduje svoj "otisak" (fingerprint), _nemojte_ verovati javnim ključevima bez prethodne provere ovog otiska, kako ne biste dospeli u nezgodnu situaciju da pošaljete poverljive podatke pogrešnoj osobi. Ne oslanjajte se na Key ID, on može lako biti falsifikovan. Aktuelna preporuka za veličinu ključa je 4096bits RSA [L] + sha512 [L] hash. Ključ treba da bude kreiran tako da ističe za manje od dve godine. Preporučeno je da za različite potrebe koristite različite ključeve, iz istih razloga iz kojih koristite različite lozinke za različite servise/sajtove. Da li je potrebno da ponovo istaknem da _ne koristite_ iste šifre za vaše PGP ključeve? Ako se pitate zbog čega da koristim različite ključeve, i zašto da mi ključevi ističu za manje od dve godine, odgovor je veoma jednostavan. Ukoliko vam neko ukrade privatni ključ, i domogne se vaše šifre, on će biti u mogućnosti da retroaktivno dekriptuje _svu_ vašu enkriptovanu komunikaciju i/ili fajlove iz prošlosti koje ste zaštitili sa tim ključevima. To bi trebalo da se promeni sa nekim novim algoritmima i kvantnim računarima, ali o tome neki drugi put. Za prosečnog korisnika ovo je više nego dovoljan vid zaštite. Više o PGP ključevima i o ovoj zaštiti preporučujem vam Riseup Network uputstvo koje možete naći ovde [L] Ukoliko vas interesuje kako da enkriptuje podatke iz Linuks konzole, u segmentu Dodaci [L] opisana je procedura za malo naprednije korisnike. Pored ovih opensource rešenja, ponekad je zgodno imati i alternative. Kao preporuku za hardversko rešenje komercialnog tipa, preporučio bih Ironkey USB disk [L] -=-----------------------------------------------------------------------=-
Operativni sistemi
-=-----------------------------------------------------------------[Vrh]-=- Mnogi korisnici se prvo susreću sa Microsoft Windows operativnim sistemom na računarima. Ja ne preporučujem korišćenje Microsoft proizvoda i u duhu Internet zajednice preporučio bih korišćenje Linux [L] operativnog sistema. Prilikom izbora operativnog sistema, možete se opredeliti za najnoviji Ubuntu Linux [L] operativni sistem. Uputstvo za instalaciju Ubuntu operativnog sistema možete pronaći ovde [L]. Ukoliko želite da se opredelite za neku drugu distribuciju Linux operativnog sistema, ovde možete pronaći listing svih distribucija [L]. Moram da istaknem da _ne_ koristite Windows 10 operativni sistem, jer je on u bukvalnom smislu te reči noćna mora za privatnost i bezbednost _prosečnog_ korisnika. Ako sumnjate u moćni Microsoft i njihove proizvode, pogledajte recimo ovaj link [L] ili ovaj [L]. Prilikom instalacije Ubuntu operativnog sistema, potrebno je podesiti [L] enkripciju vašeg hard diska (uređaja na kojem se nalaze vaši podaci). Proces je izuzetno jednostavan i prilikom instalacije imaćete izbor da li da enkriptujete samo vaš home direktorijum ili ceo disk. Preporučeno je da to bude ceo hard disk. Po podešavanju lozinke za enkripciju diska istu je potrebno da unosite svaki put kada upalite vaš računar. Bez nje nećete moći da pristupite vašim podacima, ni vi a ni serviser, lopov, stoga vodite računa da šifra bude odgovarajućeg kvaliteta i dužine. Opcije za enkripciju _celokupnog_ diska mogu izgledati ovako ili vrlo slično:

U sledećem meniju potrebno je da unesete lozinku kojom ćete otključavati vaš disk prilikom svakog paljenja računara:
Preporuke: + Podesite ažuriranje sistema preko oficijelnog (glavnog) servera + Redovno ažurirajte sve programe i operativni sistem + Podesite ažuriranje vremena na računaru, i podesite vreme + Isključite rotaciju logova na sistemu, to radite ručno posle provere + Ažuriranje operativnog sistema i programa vrsite isključivo preko pouzdanog Internet pristupa + Sve servise operativnog sistema koje ne koristite aktivno isključite + Podignite obostrani zaštitni zid (firewall) + Onemogućite automatsko startovanje aplikacija po ubacivanju bilo koje vrste medija na vaš računar + Podesite automatsko zaključavanje računara po isteku vremena (10min) + Isključite mogućnost bilo kakvog podešavanja na ekranu za pristup -=-----------------------------------------------------------------------=-
VPN
-=-----------------------------------------------------------------[Vrh]-=- VPN je skraćenica od Virtual Private Network [L] ili Virtuelna Privatna Mreža. Zašto je VPN bitan i kako nam on pomaže da ostanemo anonimni i zaštićeni? Kad god "izlazite" na Internet preko nekog ISP-a (Internet provajdera [L]) vi koristite infrastrukturu tog provajdera, zatim njihovog nad provajdera, pa sledećeg, pa sledećeg i tako dok ne stignete do vašeg traženog odredišta. Između ostalog koristite i DNS [L] servere vašeg lokalnog provajdera. Ako ste izmenili vaš DNS tako da vaš računar ne koristi ISP DNS već koristi javni Google DNS (8.8.8.8) niste ništa postigli jer vaš ISP kao i svi oni provajderi između vas i Google-a mogu da vide vaše DNS upite. DNS upiti sadrže sve podatke o vašem surfovanju, i svim servisima koje koristite na Internet-u. DNS "prevodi" vaše zahteve poput www.rnids.rs u IP [L] adresu koju vaš kompjuter razume u ovom slučaju to je adresa 87.237.205.199. Maliciozni provajder, ili haker može vam proslediti svoj DNS server umesto željenog a da vi toga niste ni svesni. Onog momenta kada on kontroliše DNS server koji vi koristite, on kontroliše i vaš. To može biti od krucijalnog značaja za bezbednost vašeg računara i vas samih. Sad vi razmišljate u fazonu ma ne, moj provajder to meni neće nikad uraditi, ali se ovde ne radi o vašem provajderu kojeg koristite kod kuće, već o Internet kafiću, ili o Shopping centru, ili Aerodromu, ili o Hotelu, sve su to za vas "provajderi" Interneta. Dakle kada koristite takve servise vi nemate pojma da li je DNS server koji vam oni "poture" ispravan ili ne. Tu naravno nije kraj, jer vi jednostavno ne znate šta se dešava između vašeg računara/tableta/mobilnog telefona i destinacije kada vam takav "provajder" pruža uslugu. Od presretanja podataka, preusmeravanja, injectovanja do svakakvih drugih opcija, je ono što možete da očekujete. Kako biste izbegli takvog malicioznog "provajdera" možete koristiti vaš VPN na svim vašim uređajima i tada se ne morate brinuti da lokalni "provajder" nešto mulja sa vašom komunikacijom. Još jedna prednost VPN usluge je u tome što vi "izlazite" na Internet preko vaše VPN konekcije iz neke druge zemlje a ne one u kojoj se trenutno nalazite. Primera radi, nalazite se u Beogradu, u Delta City shopping mall-u, upalite vaš VPN koji se nalazi u recimo Italiji, i vi se na internetu pojavljujete kao da ste u Italiji po IP adresi kojom pristupate Internetu. To vam može pomoći da pristupite sadržaju koji recimo nije dostupan u Srbiji. VPN servis po pravilu nije besplatan, i može vas koštati između 30 EUR i 150 EUR godišnje, u zavisnosti od različitih vrsta i parametara istog. Nas preporučeni software za VPN je OpenVPN [L] koji je dostupan na svim platformama, i lako se podešava, a omogućuje vam dovoljan nivo zaštite od lokalnih malicioznih provajdera. Listing preferiranih VPN provajdera uvek možete pogledati na TorrentFreak sajtu [L]. Vredno je pomena da VPN provajderi imaju istaknutu polisu čuvanja logova (dakle onoga šta vi radite) preko njihovog servisa. Pored gore navedene liste VPN provajdera, obratite i pažnju da neki od njih ne poštuju neka osnovna pravila dobre zaštite. Za potrebe prosečnog korisnika su više nego dovoljni, ali nije loše da imate i ovo u vidu prilikom selekcije istih. [L] VPN servis vam pruža delimičnu anonimnost na Internetu i delimičnu zaštitu. Pre svega sam _lokalni_ provajder Interneta kao i svi provajderi između vas i VPN provajdera vide samo enkriptovan saobraćaj i ništa više. To se takođe odnosi i na maliciozne provajdere u zemlji u kojoj boravite. Iako koristite VPN i pojavljujete se na Internet-u sa drugačijom IP adresom od vaše originalne, kao _prosečan_ korisnik niste u stanju da se baš potpuno zaštite, pa stoga ne posmatrajte ovo kao apsolutnu zaštitu i apsolutnu privatnost jer pod određenim okolnostima moguće je otkriti vašu pravu IP adresu sa koje ste pokrenuli VPN. Kao _prosečan_ korisnik koji se štiti od _lokalnih_ malicioznih "provajdera" VPN je sasvim dovoljan vid zaštite i privatnosti.
Najvažnije je da prilikom podešavanja VPN konekcije sigurno prenesete enkripcione ključeve/lozinku kako ista(e) ne bi dospela(e) u pogrešne "ruke", jer ako se to dogodi, kao da nemate enkriptovanu VPN konekciju. Ta osoba(e) mogu da vide sve što vi radite iako je saobraćaj enkriptovan. Pored toga, obratite pažnju da _ne_ koristite VPN provajdera iz iste zemlje iz koje mu pristupate, jer u tom slučaju umanjujete njegove prednosti. Pored toga imajte na umu da udaljenost kao i propusna moć vaše konekcije može imati uticaja na kvalitet "veze" ka Internetu. Kao što smo u gornjem tekstu pomenuli, korišćenjem enkripcije možete očekivati delimično sporiji pristup i/ili performanse vašeg računara i/ili vaše Internet konekcije usled enkriptovanja podataka. Vodite računa da prilikom podešavanja VPN servisa prosleđujete celokupan saobraćaj kroz VPN, a ne delimičan. Ovo je krucijalni deo podešavanja. Ukoliko ne posedujete svoj DNS server, možete koristiti javne DNS servere Google-a (8.8.8.8 i 8.8.4.4) mada bi bilo poželjno da koristite barem DNS servere VPN provajdera ili svoje lične DNS servere. Tu je i opcija da možete da koristite DNSCrypt [L], ali to je za malo naprednije korisnike. Pre izbora VPN aplikacije, kao i instaliranja i/ili korišćenja iste, obavezno se informišite o samoj aplikaciji na Internetu. UC Berkeley je nedavno izbacio detaljnu analizu većeg broja ovih aplikacija, i nažalost rezultati nisu ohrabrujući. Ne samo da veći deo ovih aplikacija ne radi kako bi trebalo, već neke opšte ni ne enkriptuju saobraćaj [L]. Autori ovog odličnog dokumenta su izvršili analizu 283 aplikacije za Android platformu. Rezultati do kojih su došli su blago poražavajući, i slobodno mogu da kažem da je ovo još jedan od razloga zašto u tekstu nisam preporučio Android platformu. -=-----------------------------------------------------------------------=-
Mobilna platforma
-=-----------------------------------------------------------------[Vrh]-=- Da biste sigurno komunicirali sa prijateljima preporuka je da kao vaš mobilni uređaj koristite Apple iPhone a ne Android platformu. Telefon mora biti podešen na određeni način, a aplikacije redovno ažurirane preko vašeg Internet linka, a nikako preko javnog (kafići, hoteli, shopping molovi itd). Limitirajte broj aplikacija koje koristite, a koje instalirate isključivo preko Apple iTunes App centra. Minimum iPhone 5S, jer stariji uređaji nemaju TPM [L]. Poznat je slučaj jeftinih Android telefona koji su se novi neotpakovani, prodavali u jednoj zvaničnoj prodavnici u jednom od naših tržnih centara, a koji su dolazili sa fabrički pre-instaliranim malverom. To je samo jedna od anegdota, koje su vezane za Srbiju. Ne bi me čudilo da je ovako nešto slučaj i u drugim okolnim zemljama. Takvi telefoni, koji dolaze sa malverom pre-instaliranim vam automatski poništavaju sve zaštite koje vi uradite. Danas (2016/09/03) Jovan Šikanja je objavio detaljan blog o ovom slučaju. Više detalja možete pročitati ovde [L] Podešavanja vašeg iPhone-a: + Za početak na svom telefonu aktivirajte Touch ID, isti je zaštićen preko TPM modula, i "otporan" je na to da vam neko gleda preko ramena kako kucate šifru. + Kreirajte alfanumericku šifru, po pravilima iz gornjeg pasusa. Ovu lozinku nećete koristiti često (sem prilikom paljenja telefona), a od nje vam zavisi enkripcija uređaja. + Koristite šifre za sigurnosna pitanja i zabeležite ih u vašem alatu za arhiviranje lozinki, nećete ih koristiti često ali će vam možda zatrebati. + Podesite PIN kod za vašu SIM karticu, ne koristite datume, ili pinove koje koristite recimo za kreditne kartice, nemojte stavljati kod kao npr: 0000 ili 1234 i slično. + Ukoliko vam zaista nije potrebno, isključite sledeće: Siri, Bluetooth Kontrolni centar na zaključanom ekranu, Spotlight sugestije, Handoff i sugerisane aplikacije, Pozivanje glasom, isključite sve opcije pod iCloud-u a narocito opciju iCloud bekap, možete ostaviti opciju za nalaženje telefona. Isključite notifikacije za poruke i e-mail koje prikazuju pregled na zaključanom ekranu. Poruke podesite da se šalju preko SMS protokola, Isključite Javascript unutar Safari podešavanja, isključite iTunes i Appstore automatski download i automatski update. + Podesite da posle 10 pogrešno unetih lozinki vaš telefon briše sve podatke sa istog (vodite računa ako imate malu decu da im u tom slučaju ne dozvolite da uzimaju telefon za igru). + Ažurirajte iOS na poslednju verziju sa vaše lične internet veze kod kuće, a to važi i za sve ostale uređaje koje posedujete. + Unutar podešavanja za iCloud podesite 2FA (dvo-faktorsku autentifikaciju), o čemu smo pisali u segmentu iznad. + Podesite VPN aplikaciju (preporučujem OpenVPN) i istu koristite kad god ste na javnoj WiFi konekciji nad kojom nemate kontrolu. + U Podešavanjima, Privatnost pa u Lokacijskim servisima kliknite na kameru i isključite (podesite na Never) opciju vezanu za Kameru. Time isključujete ugrađivanje podataka lokacije (geo koordinate) unutar vaših fotografija [L]. Neke preporuke za korišćenje telefona: + Nikad ne punite vaš mobilni telefon preko USB kabla na javnim mestima bez odgovarajuće zaštite. Postoji nekoliko hardverskih alata koje možete koristiti za ovu svrhu, a preporučio bih vam uređaj USBcondom ili SyncStop kao fensi alternativu [L]. USBCondom/SyncStop su mali korisni uređaji koji "odseku" data linkove na USB-u i omoguće samo strujni segment za punjenje telefona, ovo je vid fizičke zaštite.
+ Koristite 2 telefona, jedan za posao drugi za ličnu upotrebu. Nemojte mešati lične sa poslovnim aplikacijama. + Što manje aplikacija na telefonu to bolje. Nemojte preterivati sa dodavanjem svih mogućih aplikacija, a pogotovu nemojte instalirati aplikacije na vašem telefonu van zvaničnog iTunes store-a. + Ne jailbreak-ujte vaš telefon. + Ukoliko mislite da može doći do situacije da vam neko uzme telefon, isti isključite. + Ne prihvatajte nikakve apdejte vaših aplikacija ili iOS-a van vaše pouzdane Internet mreže. + WiFi na telefonu držite samo kada ga koristite, ako vam isti nije potreban ili putujete, držite ga isključenim. + Nikad ne ostavljajte telefon van nadzora, ili trećim licima. + Mobilni telefon držite u futroli koja pokriva kameru(e) dok telefon nije u upotrebi. Aplikacije koje podržavaju dobar nivo zaštite komunikacija su: + Signal [L] + WhatsApp [L] Aplikacija koju ne preporučujemo: - Telegram [L] Imajte na umu da korišćenje ovih aplikacija takođe podrazumeva pridržavanje sledećih procedura kako bi se zadržao odgovarajući nivo zaštite. Signal aplikacija: + Privacy -> Enable Screen Security + Notifications -> Show -> Sender Name only + Advanced -> Disable Debug Log WhatsApp aplikacija: + Settings -> Accounts -> Security -> Show Security Notifications + Settings -> Notifications -> Disable Show Preview + Settings -> Chats -> Disable Save Incoming Media + Onemogućite bekap chat logova + Nemojte koristiti puno Ime i Prezime već po mogućstvu nadimak + Za profilnu sliku nemojte koristiti slike iz vaših dokumenata, već idealno neku apstraktnu sliku ili sliku sa načarima, kapom itd. WhatsApp je updateovao svoju polisu o privatnosti, i sada deli vaš broj telefona direktno sa Facebook-om kako bi vam bolje sugerisao listu potencijalnih novih prijatelja. To do sada nije bio slučaj, pa stoga imajte to u vidu. [L][L] Većina fotografija danas slikanih modernim foto aparatima ili mobilnim telefonima ima dosta informacija u sebi, evo koje informacije su skrivene unutar fajla (neke fotografije):
U crveno zaokruženom segmentu slike možemo videti tačne GPS koordinate gde je ova slika kreirana. Pored toga vidimo koji uređaj je napravio sliku, kog datuma, i u koje vreme, sa kojim podešavanjima itd. Na ovaj način i publikacijom vaših fotografija vi ostavljate praktično trag vašeg kretanja. Sve što je potrebno uraditi je konvertovati koordinate u decimalni zapis i uneti ih u Google, tada možemo videti preciznu lokaciju gde je ta slika ili video zapis napravljen. To može da zvuči bezazleno, do momenta dok lopov koji prati vaš profil ne vidi slike koje su okačene sa mora, dok ima tačnu adresu vaše kuće/stana, i zna da tamo nema nikoga. I to je jedan od primera koji mogu da navedem, za ostale, samo pustite mašti na volju. -=-----------------------------------------------------------------------=-
Izbor alata za surfovanje
-=-----------------------------------------------------------------[Vrh]-=-
Izbor omiljenog alata za surfovanje (Browser-a) nekad leži u ličnim preferencama korisnika. Da li koristite Firefox, Chrome ili Operu nije toliko važno, sve dok se pridržavate sledećih pravila: + Ne koristite Adobe Flash (kad kažem ne koristite mislim nemate ga ni instaliranog) [L][L][L] + Ne koristite Javu (kad kažem ne koristite mislim nemate instaliranu) [L][L][L] + Nikad nemojte dodavati root sertifikate [L] u vaš browser, oni koji su vam potrebni (i više od toga) dolaze uz njega. Dodavanjem nekog sopstvenog root sertifikata dosta rizikujete. Ovo je čest slučaj kod banaka da vam traže da dodate njihov root sertifikat u browser kako bi njihova "super-bezbedna" aplikacija mogla da funkcioniše - čista laž od strane banke. Banke nisu jedine, Superfish je jedan odličan primer [L]. + Uvek ste update-ovani na poslednju verziju browser-a preko vaše lične Internet konekcije + Koristite dva potpuno odvojena browsera, jedan koji vam služi za svakodnevni rad (surfovanje), i koji je potrebno da sadrži većinu zaštita, dok drugi koristite isključivo za rad sa pre-izabranom grupom servisa/aplikacija/sajtova (primer portali banaka, plaćanja, e-uprava, itd.). Na ovom drugom _nikad_ ne "izlazite" da surfujete nigde, osim na ovim izabranim sajtovima. + Nemojte koristiti Microsoft browsere, ni sad, ni ubuduće. + Svi vaši dodatni plug-inovi i addonovi su pažljivo izabrani, i instalirani preko oficijelnog Mozilla/Chrome/Opera portala. + Svi dodatni plug-inovi i addonovi su redovno ažurirani, i vaša je obaveza da s vremena na vreme pratite šta se sa tim addonovima dešava jer bilo je slučajeva da su neke addonove kupili spameri i pretvorili ih u totalnu noćnu moru za korisnike koji toga nisu bili ni svesni. + Sve što aktivno ne koristite, nemojte ni aktivirati unutar vašeg browser-a, jer svaki dodatak je način da vas neko na neki način zloupotrebi. Koristite samo tzv. proverene addonove. + Ukoliko možete, isključite Javascript. Nemojte ga koristiti sem za poznate i sajtove sa dobrom reputacijom. Preporuka bi bila da koristite Firefox za svakodnevni rad, a Operu ili Chrome kao alternativni drugi browser za potrebe rada sa izabranim sajtovima. Ukoliko koristite VPN servis prilikom surfovanja, ne bi bilo loše da isključite WebRTC [L] koji može u određenim okolnostima da otkrije vašu pravu IP adresu. Podešavanje se vrši na sledeći način: 1) Otkucajte "about:config" u vašem adresnom baru 2) Kliknite na dugme "I'll be careful, I promise!" 3) U polju za pretragu otkucajte "media.peerconnection.enabled" 4) 2x klik na nađeno polje i u delu "Value" treba da stoji "false" Na sledećem linku možete proveriti da li vaš browser "odaje" vašu pravu IP adresu kada surfujete preko VPN servisa [L]
Trebalo bi da skrenem pažnju na popularni Private/Incognito browsing mod koji se često pogrešno interpretira kod korisnika. Naime korisnici često misle da kada "uključe privatni mod" tada surfuju Internetom privatno i da su potpuno sigurni. To je apsolutna zabluda. Privatni mod kod popularnih alata za surfovanje Internetom vam omogućuje da surfujete Internetom bez da vaš browser sačuva podatke u svojoj istoriji (na vašem lokalnom disku) gde ste surfovali [L]. Pored toga, imajte na umu da neke od ekstenzija koje koristite u vašem browseru mogu snimati podatke na lokalni disk i pored toga što ste u Private modu. Forenzički je moguće rekonstruisati istoriju vaših poseta na osnovu tih i sličnih tragova iako ste koristili ovaj mod. Za one koji su "osuđeni" da koriste neke arhaične verzije Jave ili da instaliraju neke domaće sertifikate kako bi mogli da obavljaju svoje dnevne aktivnosti, postoji alternativa. Instalirajte VirtualBox [L] ili VMWare [L] alate za virtuelizaciju, i podignite Windows okruženje unutar virtualne mašine na vašem kompjuteru. Tu virtuelnu mašinu koristite samo za potrebe pristupa tim arhaičnim sistemima, nemojte "prljati" vašu mašinu sa djubretom zbog gluposti drugih ljudi. -=-----------------------------------------------------------------------=-
Pozadina surfovanja Internetom
-=-----------------------------------------------------------------[Vrh]-=- Imajte na umu da kada surfujete po Internetu, samim pristupom nekom web sajtu vi startujete određeni kod na vašem računaru kod vas. Taj kod koji vaš browser startuje da bi vam prikazao traženu stranicu uopšte ne mora da bude na sajtu koji vi posećujete. On može biti bilo gde. Kako bih vam to "plastično" objasnio, kada vi u svom omiljenom browser-u otkucate recimo popularni www.blic.rs sajt, vaš browser će srećno poslati blizu 300 HTTP zahteva ka raznoraznim sajtovima, kako im je i bilo "naređeno" od strane administratora blic sajta. A evo i koga je sve vaš browser kontaktirao samo prilikom otvaranje prve strane ovog popularnog sajta: ======================================== HTTP/Requests: Topic / Item Count ---------------------------------------- HTTP Requests by HTTP Host 297 zena.blic.rs 10 www.superodmor.rs 15 www.pulsonline.rs 6 www.nonstopshop.rs 9 www.nekretnine.rs 33 www.mojauto.rs 24 www.googletagservices.com 1 www.clip.rs 17 www.blic.rs 9 www.alo.rs 6 vesti.mojauto.rs 4 ty0lm9uz.onet.pl 1 tpc.googlesyndication.com 1 test-script.dotmetrics.net 1 stats.g.doubleclick.net 2 sr.symcd.com 1 script.dotmetrics.net 3 ringierrs.adocean.pl 20 ringieradrs.hit.gemius.pl 30 pulsonline.rs 3 partner.googleadservices.com 1 ocdn.eu 67 ls.hit.gemius.pl 1 kropka.onet.pl 2 js-agent.newrelic.com 1 ghmrs.hit.gemius.pl 9 gars.hit.gemius.pl 3 events.onet.pl 1 events.ocdn.eu 6 csr.onet.pl 1 connect.facebook.net 1 bam.nr-data.net 1 aia.entrust.net 4 ---------------------------------------- Mogu da se kladim da vi nikad niste želeli da pristupite recimo sajtu sa nazivom ty0lm9uz.onet.pl ili ghmrs.hit.gemius.pl ali opet vi svaki put kad pristupite blic sajtu, pristupate i tim serverima. Sve to se odvija bez vašeg znanja u pozadini dok vi čitate (tačnije pre nego što ste i počeli da čitate vesti sa prve strane). U ovom listingu možemo da vidimo da ste pristupili i Facebook društvenoj mreži, kao i Google portalima za marketing servise. Tako i Facebook i Google znaju da ste, i kad ste posetili Blic sajt, kao i šta ste sve "čitali/gledali" na tom sajtu, i koliko dugo. Svaki put kada na nekom sajtu vlasnik sajta ili administrator istog dodaju unutar koda stranice druge sajtove (i/ili kod koji se izvršava na drugim serverima, vi pristupom sajtu pristupate i tim drugim sajtovima (često bez vašeg znanja). Tu mogućnost "zloupotrebljavaju" mnoge kompanije koje se bave oglašavanjem. Primera radi, na svakom sajtu na kojem vidite Facebook Like dugme, znajte da ste pristupili direktno Facebook serverima, i da ste im "predali" svoje podatke iako gledate neki potpuno nevezani sajt koji vas interesuje. Sa druge strane, Google recimo nudi "besplatnu" analitiku sajta, gde možete da vidite posećenost sajta, i druge "zanimljive" informacije. Sve što treba da uradite na vašem sajtu jeste da ubacite mali kod koji će kad god neko pristupi vašem blogu recimo ujedno "aktivirati i/ili startovati" i taj Google kod koji će poslati informacije o vama Google-u. Kada to sve skalirate na nekoliko stotina miliona sajtova, i skupite sve te podatke u svojoj bazi podataka, slika postaje jasnija kako između ostalog ove velike kompanije (a i druge manje) zarađuju novac. Tu ovoj priči naravno nije kraj. Google, Facebook i ostali, se utrkuju ko će i na koji nacin ce da bolje nacilja reklame za vas, da da, baš vas. Vi kao korisnik Interneta imate cenu, ako ste solo - imate jednu cenu, ako ste u braku - drugu ako ste u braku i treba da dobijete prinovu - treću, itd. Razlog zbog kojeg WhatsApp (u vlasništvu Facebook-a od 2014-te) traži pristup vašem adresaru leži upravo u boljem identifikovanju vas i vaših prijatelja. Kada na to dodamo još i vaše dobrovoljno publikovanje svih sfera vašeg privatnog života na društvene mreže, slika postaje kompletna. Sve ovo zaokružuje jednu prilično preciznu sliku ne samo o vama kao individui već i o vašem drustvu u kojem živite. Ako neka privatna kompanija može da nadgleda šta rade milioni korisnika na Internet-u (pritom naravno može da segmentira podatke po recimo državi ili kontinentu), dolazimo do neverovatnih mogućnosti predviđanja dešavanja kako političke tako i ekonomske sfere. Sve te podatke sada mogu da analizira(ju) AI [L] (veštačka inteligencija) programi koji sa masivnim datacentrima mogu da izbace sve te informacije u rekordnom roku. Korelacijom ovih podataka dobija se vrlo jasna slika korisnika, društva, države, nacije, regiona, kontinenta, pa i same planete. Sa tolikom količinom podataka, granice praktično postoje samo u načinu i brzini obrade svih tih podataka, otuda termin Big Data [L] koji ste možda čuli. Primer jedne od proxy kompanija koje se bave ovim možete videti ovde [L] a vise informacija vam može dati EFF [L]
Svetske sile počinju da uviđaju značaj ovakvih sistema, a demokratska društva uviđaju načine masivne kontrole dostupnih informacija, jer ne zaboravite da neka velika kompanija može da jednostavno ne prikaze informacije na svojim portalima o nekom slučaju, kad god to poželi. Time direktno može da utiče na milione ljudi i na njihovo ponašanje [L][L][L]. Svojevremeno još davne 1999 godine kada su se u Srbiji dosta često koristili tzv. transparentni proxy sistemi za keširanje sadržaja (jer tada je Internet još uvek bio skup i spor), iz znatiželje i šale napravio sam par skripti koje su "u letu" menjale sadržaj stranice pre nego što ona stigne do korisnika ovih proxy servera. Tada je to bilo na infantilnom nivou, za "šalu", da recimo okrenemo sve fotografije kao u ogledalu na nekom sajtu koji korisnik gleda, itd. Danas možemo samo da zamislimo kojim sve alatima neko sa resursima može da se "poigra", ali na globalnom nivou. Gore navedene kompanije (kao i druge manje poznate) su razvile izuzetno sofisticirane metode detekcije korisnika, sa identifikacijom vašeg browsera i vaših navika na Internetu. Korisnici često potpuno nesvesni svega navedenog, ne razmišljaju i ne vide značaj privatnosti. Da li je vaš omiljeni browser lako identifikovati, možete pogledati recimo ovde [L]. Kako se "odbraniti" od svega toga, ili barem otežati povezivanje ovih informacija, je relativno kompleksan problem. Ali barem možemo učiniti nekoliko koraka kako bismo umanjili uticaj. Neki od ovih ekstenzija će vam i ubrzati surfovanje jer će potpuno ukinuti reklame dok gledate vaše omiljene sajtove, ali drugi mogu kreirati i možda manje "lepe" web sajtove jer neki addoni će blokirati određeni sadržaj pa sajt može da izgleda "čudno". Ali za sajt bez reklama, i bez gomile informacija prosleđenih reklamnim i ostalim kompanijama, vredi se malo žrtvovati. U današnje vreme (a i u bliskoj budućnosti) i iskusnim ljudima koji poznaju sve ove tehnologije, postalo je (postaće) izuzetno teško da se odupru i "sakriju" od svih navedenih "problema". Zbog toga, mi kao korisnici Interneta treba da se potrudimo da naše podatke ne delimo lako i bez ikakve dozvole. Ukoliko bi svest o svim ovim informacijama bila podignuta kod većeg broja ljudi, možda bi se neke stvari promenile, ili bi barem ljudi počeli da gledaju na ovo drugačije nego do sad. Sve ovo nije nikakva paranoja, već potpuno realno stanje današnjeg Interneta. Koji su to dodatni alati (extensions / addons) za vaš web browser, koje bih preporučio da koristite, sledi lista: + uBlock Origin [L] + Privacy Badger [L] + Random Agent Spoofer [L] + HTTPS Everywhere [L] + NoScript Security Suite [L] + Disconnect [L] Napomena: Sa korišćenjem NoScript mnogi sajtovi neće raditi ispravno, i u početku bi morali da napravite dozvoljenu listu (whitelist) sajtova kojima dozvoljavate pokretanje javascript-a kako bi sebi olakšali surfovanje. Ovaj plugin je dobar ali iziskuje malo "mučenja".

Onemogućite (disable) sve pluginove koje ne koristite:

Njih možete lako dodati u svoj izabrani browser, ako je u pitanju Firefox, to možete uraditi na sledeći način:
Ovo su neka od podešavanja u Firefox browseru koja možete da podesite kako bi ste poboljšali privatnost dok surfujete internetom: 1) Otkucajte "about:config" u vašem adresnom baru 2) Kliknite na dugme "I'll be careful, I promise!" 3) U polju za pretragu otkucajte "privacy.trackingprotection.enabled" 4) 2x klik na nađeno polje i u delu "Value" treba da stoji "true" Zatim na isti način dok ste u delu about:config podesite i sledeće opcije: geo.enabled = false network.cookie.cookieBehavior = 1 network.cookie.lifetimePolicy = 2 browser.cache.offline.enable = false browser.send_pings = false browser.safebrowsing.enabled = false browser.safebrowsing.malware.enabled = false dom.event.clipboardevents.enabled = false webgl.disabled = true dom.battery.enabled = false browser.sessionstore.max_tabs_undo = 0 Za opciju network.cookie.cookieBehavior možete podesiti sledeće vrednosti: Onemogući cookie 0 - Prihvati cookie normalno 1 - Prihvati cookie samo sa sajta koji posećuješ 2 - Blokiraj sve cookie Za opciju network.cookie.lifetimePolicy možete podesiti sledeće vrednosti: Cookiji su obrisani po završetku sesije 0 - Prihvati cookie normalno 1 - Potvrdi svaki cookie 2 - Prihvati automatski samo za trenutnu sesiju 3 - Prihvati za N dana Šta je to cookie i čemu on služi pogledajte ovde [L] Napomena u vezi sa Tor i Tails alatima: Da, sad će verovatno neki trolovi [L] da krenu da "troluju" kako nisam spomenuo Tor Browser [L], Tails OS [L] itd. Za običnog korisnika, koji je ciljna grupa ovog dokumenta Tor i Tails su suviše napredni ako se koriste ispravno. Ukratko, informativno, Tor vam omogućuje da budete anonimni na Internetu, tako što prosleđuje vaše surfovanje kroz mrežu nodova koji međusobno enkriptuju sadržaj i time vam pružaju delimičnu anonimnost. Sa druge strane Tails operativni sistem dolazi kao imidž datoteka koju onda možete "instalirati" na USB flash disk i podići po potrebi na bilo kom računaru kako bi bili anonimni. I jedan i drugi alat, ima potrebu da koristi veoma mali procenat ljudi, a još manji zna da ga i zaista pravilno upotrebi. I jedan i drugi alat bi možda bilo bolje opisati u nekom drugom dokumentu za neke druge ciljne grupe. Imajte na umu da, ako smatrate da samo prostim korišćenjem ovih alata bez znanja kako oni funkcionišu, dobijate apsolutnu anonimnost i da možete da radite šta hoćete bez da to iko primeti, grdno se varate. Ali ovde već ulazimo u domen paranoje i troslovnih agencija, te stoga završavam priču o tome (za sad).
-=-----------------------------------------------------------------------=-
Internet pretraživači
-=-----------------------------------------------------------------[Vrh]-=- O Internet pretraživačima ne bih gubio previše vremena. Sve što treba da znate jeste da postoje i alternative velikim igračima, nemojte biti lenji, potražite informacije i na drugim poznatim pretraživačima. Kako doći do traženih informacija alternativnim putem: + duckduckgo.com [L] + startpage.com [L] + wikipedia.org [L] + wolframalpha.com [L] + search.disconnect.me [L] #ComeToTheDuckSide - we have #privacy. https://duckduckgo.com/spread
-=-----------------------------------------------------------------------=-
Kako zaštiti računar
-=-----------------------------------------------------------------[Vrh]-=- Preporuke za zaštitu računara: + Fizički pristup vašem računaru mora biti kontrolisan + Nemojte "gurati" u vaš računar USB flash diskove koje ste našli negde + Izbegavajte da "gurate" USB uređaje (bilo koje vrste) od svojih poznanika i/ili prijatelja, već ih zamolite da ako je potrebno da prenesete neki podatak, to uploaduju na neki od javnih besplatnih cloud servisa za arhiviranje i razmenu podataka. + Ukoliko neko želi da dopuni svoj mobilni uređaj na vašem računaru, koristite gore pomenuti USBcondom. + Enkriptujte vaše hard diskove i podatke + Podesite obostrani Firewall (zaštitni zid) [L] bitno je da znate uvek šta tačno _izlazi_ sa vašeg računara i šta _dolazi_ ka vašem računaru + Proveravajte logove sistema (uz notifikacije za Firewall - obostrano) + Kreirajte skriptu koja će vas obavestiti kad se računar gasi ili pali + Podesite pristupnu šifru za BIOS [L] + Onemogućite podizanje računara preko mreže u BIOS podešavanjima + Redovno ažurirajte operativni sistem i aplikacije sa pouzdane mreže + Redovno arhivirajte vaše podatke na dodatan medij (bekapi) + Prelepite kameru svog računara neprozirnom trakom ili nalepnicom, obavezno proverite da li je kamera dobro pokrivena testom kamere, naravno ukoliko uopšte posedujete istu na vašem računaru ;) + Ukoliko sumnjate da neko želi da "čačka" vaš računar dok vi niste prisutni, fotografišite računar i njegovu okolinu, postavite neki marker pod specifičnim uglom tako da prilikom pomeranja računara isti bude automatski pomeren. + Kada putujete, vaš prenosni računar nosite sa sobom ili ga ostavite unutar hotelskog sefa (fotografišite raspored). + Nemojte koristiti aplikacije sa nepouzdanih izvora, pogotovu ne piratizovane verzije koje kruže na torentima. Koristite maksimalno opensource rešenja. + Kada prenesete fajl(ove) proveravajte checksum-e [L] istih. + AntiVirus je poželjan, ali ne i neophodan. Danasnji AntiVirus programi nisu na dovoljno sofisticiranom nivou da mogu da spreče najnovije malvere [L] i viruse [L]. Mogu da pomognu, ali ne uvek. Na njih se ne treba previše oslanjati. + Razdvojite poslovni od ličnog računara, nemojte koristiti isti računar za posao i lične upotrebu. Kao što je to jednom rekao moj prijatelj, samo računar isključen iz struje je siguran računar, a i tad mogu da ga ukradu (cc @Joshibeast). -=-----------------------------------------------------------------------=-
Elektronska pošta
-=-----------------------------------------------------------------[Vrh]-=- Elektronsku poštu, ili popularno nazvani e-mail u osnovnom obliku možete posmatrati na identičan način kao i običnu poštansku razglednicu. E-mail koji kreirate i pošaljete ili onaj koji primite "putuje" kroz Internet u običnoj tekst formi, bez ikakve enkripcije. Čak i kada vaš Internet provajder možda koristi napredni servis SMTPS [L] i STARTSSL [L] to vam apsolutno ne garantuje da će e-mail biti zaštićen "dalje" na Internetu. Inače, o sertifikatima sam govorio pre izvesnog vremena, a tema je bila bezbednost nacionalnog domena Srbije (.rs) pod pokroviteljstvom RNIDS-a [L] i više detalja možete videti ovde [L] (cc @RNIDS). Dakle, kao i običnu poštansku razglednicu, i vaš e-mail može da pročita ili snimi, bilo ko, bilo kad. Tretirajte podatke unutar e-mail-a na takav način. Ukoliko imate potrebu da šaljete poverljive stvari, koristite PGP [L] alat za enkripciju e-mail poruka. Ako me pitate zašto Banke ne vode računa o tome, reći ću vam da itekako vode, ali ne prema vama, jer za vas ih baš briga. Kao što su koristili najgora moguća podešavanja za SSL sertifikate na svojim sajtovima za elektronsko bankarstvo [L], tako se ophode i prema e-mailu. Jer ako pogledamo skorašnji primer kako se su se ophodili prema vašim poverljivim podacima u papirnoj formi, onda možemo samo da pretpostavimo kako se ophode prema istim podacima u digitalnoj formi. "Lični podaci klijenata banke završili pored kontejnera" [L]
Ili još možda drastičniji primer kako se državne institucije ophode prema zaštiti podataka njenih građana. 2014-te godine su neovlašćeno objavljeni, vrlo verovatno grubom greškom i nemarom, podaci 5 miliona građana Srbije na Internetu, da bi sasvim slučajno bili primećeni kad ih je Google pretraživač indeksirao [L].
Kako to inače biva u Srbiji, ovaj slučaj je zastareo, i samim tim niko neće odgovarati za ovaj grubi propust [L][L] Novi slučaj drastične nebrige od strane državnih institucija desio se na novom sistemu integrisanog zdravstvenog osiguranja građana Srbije. Citirao bih zvanično saopštenje poverenika povodom ovog slučaja: "Pored problema u vezi sa pravnim osnovom, ništa manji problem je, kako je u postupku nadzora utvrđeno, da postoje izuzetno veliki propusti u zaštiti podataka o ličnosti u okviru IZIS, koji podrazumevaju neprihvatljiv rizik i mogućnost neovlašćenog pristupa i drugih eventualnih zloupotreba. Praktično bez problema i bilo kakvih posebnih informatičkih znanja moguć je pristup ličnim podacima pacijenata i zaposlenih u zdravstvenim institucijama, a posledično razume se, i dalja kompromitacija i zloupotreba tih podataka. Poverenik je ministarstvu u oktobru 2016. godine uputio Upozorenje sa preciznim navođenjem nepravilnosti koje su utvrđene detaljno opisujući činjenično i pravno stanje, a posebno ukazujući da navedeni propusti u zaštiti podataka o ličnosti mogu dovesti do nesagledivih štetnih posledica po pacijente zdravstvenih ustanova u Republici Srbiji." 5 meseci nakon prijave ovog slučaja nadležnim organima, ovaj problem idalje nije razrešen. [L] [L] Nažalost na ovakve stvari individualno ne možemo da utičemo, međutim mislim da bi ovakve stvari mogle biti sprečene kada bi ljudi bili svesni šta tačno rade, i koliko to može biti problematično. Oba ova primera koja sam naveo su samo podsetnik da ako mi sami ne vodimo računa o svojim privatnim i poverljivim podacima, drugi to sigurno neće raditi i ovakvi slučajevi će biti sve češći i sa sve ozbiljnijim posledicama. Iz tog razloga se nadam da kada pročitate ceo dokument, počnete malo drugačije da razmišljate o svojim podacima i o načinu kako ih drugi tretiraju. Da se vratimo na e-mail servis, evo par saveta kako da se bolje zaštitite na Internetu koristeći ovaj servis: + _Ne otvarajte_ e-mail priloge (attačmente) od nepoznatih osoba, a i kada dobijete e-mail sa prilogom od osobe od koje ne očekujete takav prilog, proverite da li je to zaista ona poslala. Ni u kom slučaju ne otvarajte poruke sa sumnjivim fajlovima, ekstenzijama koje prvi put vidite. PDF fajlove "provucite" kroz AntiVirus pre otvaranja. + Da li sam rekao da _ne_ otvarate e-mail priloge od nepoznatih osoba? + Na vašem računaru vašu aplikaciju za čitanje e-mail-a podesite tako da ne otvara automatski priloge e-mail-a, već da vas pita šta želite da uradite sa prilogom iz poruke. + Ukoliko koristite aplikaciju na računaru za čitanje, preporučujem da ne koristite HTML pregled poruka, već plain-text. + Razdvojite lični od poslovnog e-maila, po potrebi koristite više različitih e-mail adresa. Jednu možete koristiti kao spambox za registracije na svim "glupim" sajtovima koje ćete možda koristiti jednom u životu ili ne tako često. Odličan servis koji preporučujem za te potrebe je Mailinator [L] + Koristite 2FA (više detalja u tekstu iznad) i tom prilikom se opredelite za opciju sa autentifikatorom umesto SMS-a, jer SMS se već neko vreme ne smatra dovoljno sigurnim. O tome kako podići malu baznu GSM stanicu sam govorio 2014/2015 na jednom malom lokalnom događaju u Novom Sadu. + Podesite dobru šifru (više detalja takođe iznad u tekstu) + Koristite VPN svaki put kada ne koristite pouzdan Internet pristup, a pogotovu kada ste na nekom javnom mestu, hotelu, aerodromu itd. Desiće se da nekad dobijete neku e-mail poruku sa word, excel ili power point fajlom, u kome se od vas traži da kliknete ovde ili onde, kako biste otvorili dokument iz ovog ili onog razloga. Takav fajl će verovatno stići na engleskom jeziku, ali nemojte se začuditi da isti stigne i na Srpskom. Primer je recimo ovakav jedan dokument koji od primaoca (vas) traži da kliknete na dugme kako biste zamagljeni segment sa informacijama (navodno zbog bezbednosti informacija) mogli da vidite.
Onog momenta kad vi kliknete naivno da pogledate zamagljeni deo, vi ste omogućili virusu ili malveru da se instalira na vaš računar. Dakle nemojte kliktati tamo gde vam neki dokument traži da kliknete. Postoje i varijante tzv. iznuđivačkih (ransomware) virusa, koji će pošto se instaliraju na vaš računar zaključati sve vaše datoteke, a pokušaće i da nađu recimo bekap ako ga ima negde na mreži, kako bi i njega zaključali. Potom ćete dobiti poruku sličnu ovoj:
Dakle, ovaj iznuđivač traži od vas da platite određenu sumu novca, i daje vam kompletno upustvo kako da izvršite uplatu, nakon koje dobijate ključ sa kojim možete otključati vaše podatke. Neki od ovih iznuđivačkih virusa su razbijeni pa je moguće vratiti podatke i bez plaćanja, ali postoje nove verzije koje su daleko moćnije, i za koje još uvek ne postoji "lek". Zato vodite računa odakle i od koga preuzimate fajlove preko interneta. Da ovakvi slučajevi nisu samo u inostranstvu, govori primer Maxi-a čiji su kupci bili izloženi iznuđivačkom virusu Marlboro u vidu inficiranog word fajla koji je poslat sa zvaničnog domena Maxia i to sa email adrese nagradna-igra@shop.maxi.rs. Maxi je izdao zvanično saopštenje u vezi sa ovim slučajem [L] [L]:
Koji software za računar: + Claws Email [L] + Mozilla Thunderbird [L] + Za one hard-core Mutt [L] Ukoliko se odlučite da koristite PGP preuzmite Enigmail [L]
Kako da podesite PGP na Linux operativnom sistemu možete pogledati na ovom linku [L]. Alternativni servisi za email koje možete koristiti preko Internet browsera: + Protonmail [L] + OpenMailBox [L] + MailFence [L] + Posteo [L] + RiseUP [L] -=-----------------------------------------------------------------------=-
Društvene mreze
-=-----------------------------------------------------------------[Vrh]-=- U segmentu iznad, govorio sam o pozadini surfovanja, gde sam opisao kako veliki giganti zarađuju novac i kako se vaši podaci i sadržaj koji vi dobrovoljno objavljujete koriste. Međutim pored tog segmenta postoji i još jedan, mnogo gori, a vezan je za kriminal. Kao prvi primer navešću slučaj Maše P. koju su oteli iz ruku majke i pokušali da na silu prevezu preko granice. Pukom srećom, i akcijom policije ovaj slučaj je sprečen. Pozadina ovog slučaja otkrila je da se radilo o detetu koje su otmičari pronašli preko Facebook društevene mreže a koje je ličilo na drugo dete iz druge zemlje. [L][L]
Drugi slučaj je vezan za momka koji je "hakovao" Facebook naloge i potom se lažno predstavljao kao prijatelj čiji je nalog koristio, kako bi tražio novac od prijatelja sa liste naloga na koje je upao. Na taj način oštetio je veći broj ljudi, i stekao korist od preko 886.000 dinara. [L] Zatim imamo i primer šapčanina F.J. koji se lažno predstavljao na facebook društvenoj mreži kao Sergej Trifunović i pod izgovorom da skuplja novac za bolesnu decu i na taj način preuzeo 345.000 dinara. [L] Iz ovakvih i sličnih razloga, moramo voditi računa prilikom korišćenja ovih i sličnih društvenih servisa (ako baš moramo da ih koristimo). Nekoliko saveta: + Profil držite potpuno zatvoren, dozvolite pristup samo selektivnoj grupi ljudi. + Deci nemojte dozvoljavati korišćenje bez nadzora, i objasnite im koji su sve mogući rizici na ovakvim mrežama. Edukacija je ključ. + Nemojte objavljivati slike onog trenutka kada se događaj desio, već sa određenim kašnjenjem. + Nemojte govoriti da putujete ili gde ćete biti u bližoj budućnosti. + Ne prihvatajte svakoga za prijatelja, pogotovu ne osobe koje se trude da zadobiju vaše poverenje a da ih ne poznajete preko nekog, a i tada proverite pre nego što ih prihvatite (lažno predstavljanje). + Za vašu profilnu sliku, nikad nemojte stavljati slike iz vaših dokumenata, neka to budu slike sa šarenom pozadinom ili gde nosite naočare, šešir ili slično. + Ne ostavljajte sve podatke na mreži, što više informacija publikujete to je lakše napraviti profil o vama (pogađanje šifri recimo). + Registrujte profil sa e-mail adresom koju ne koristite ni za jedan drugi servis (otežaćete pokušaje provaljivanja šifre) i istu nemojte objaviti nigde. + Nemojte linkovati aplikacije ili druge socijalne mreže sa vašim nalogom na recimo Facebook-u ili Twitteru, jer ako vas kojim slučajem kompromituju (nalog/lozinku) na jednoj mreži imaće automatski priliku da vam preko ovog linka kompromituju i ostale. + Nemojte davati svoj nalog drugim osobama, čak i ako im verujete. + "Vesti" sa društvenih mreža nemojte uzimati zdravo-za-gotovo već ih proverite, često su lažne. -=-----------------------------------------------------------------------=-
Pre nego što se desi najgore
-=-----------------------------------------------------------------[Vrh]-=- Svima nam se dogodilo, izgubili smo neki uređaj ili su ga ukrali, ili je jednostavno crk'o. To je večita borba sa Marfijem [L]. Siguran sam da svako od nas može da ispriča po neku dogodovštinu kad je čika Marfi bio prisutan. Da nas glava ne bi mnogo bolela, par saveta: + Kad kupujete nov (ili polovan) uređaj, ako vas ne mrzi vi zapišite relevantne serijske brojeve (ili još lakše/bolje fotografišite ih). U slučaju krađe, moćićete da prijavite policiji šta je tačno ukradeno jer razlika između "ukrali mi notebook" i "ukrali mi notebook sa serijskim brojem tim i tim" povećava vaše šanse da vam se isti i možda vrati. Ovo pravilo važi pogotovu za mobilne uređaje. + Kod mobilnih telefona, zapišite IMSI i/ili IMEI broj kao i serijski broj vašeg uređaja. Najlakše je da uradite screenshot u segmentu Settings -> General -> About. + Upišite sve serijske brojeve vaših aplikacija u poseban fajl i isti smestite u enkriptovani bekap + Ukoliko koristite Google Authenticator za 2FA, prilikom inicijalnog podešavanja snimite (zapišite) bekap kodove, iste ubacite naravno u enkriptovani bekap fajl, jer bez njih u slučaju krađe telefona nastaju problemi sa svim sajtovima koje ste omogućili za rad sa 2FA. + Mobilne telefone bekapujte jednom mesečno, iPhone telefone bekapujte lokalno preko iTunes-a (nemojte zaboraviti da prenesete i kupljene aplikacije). Izbegavajte iCloud bekap i iCloud servise. Pogotovu ne koristite iCloud za keychain sync ili bekap. + Svoj računar (koji sadrži i bekap mobilnog telefona) bekapujte na nedeljnom nivou. Najjeftinija varijanta je da koristite eksterni hdd koji USB-om kačite na vaš kompjuter (poželjno USB 3.0), a bilo bi poželjno da posedujete mrežni bekap uređaj sa RAID1 ili RAID10 na koji bekapujete sve svoje uređaje. S vremena na vreme možete one najbitnije stvari prebaciti na neki DVD, za svaki slučaj. + Najbitnije stvari možete prebaciti na neki USB 3.0 fleš disk, naravno u enkriptovanoj formi, ili na MicroSD kartice. + Sva vaša lična dokumenta skenirajte (lične karte, pasoše, knižice,..) Fajlove držite unutar enrkiptovane arhive, nikad ne znate kad i za šta mogu da vam zatrebaju. Primer, gubitak pasoša u inostranstvu, bez fotokopije pasoša ili bez sken-a u fajlu može da vam prilično zakomplikuje ionako komplikovanu situaciju. Nemojte skenirati vaše kartice iz banke. + Kada kopirte arhive vaših fajlova, ili bekape, obavezno probajte da vratite fajlove iz njih nazad na kompjuter ili mobilni uređaj. Tako možete znati da li vaš bekap funkcioniše ili ne. Nemojte se potpuno oslanjati na "ma ja sam to iskopiro, imam ja to negde" dok se ne proverite, jer u protivnom pozivate čika Marfija da vam dokaže suprotno. + Ukoliko ste telefon izgubili pokušajte da ga nađete preko opcije Find my iPhone, ako pokušaj ne uspe, ili sumnjate da je telefon ukraden pošaljite komandu za brisanje. -=-----------------------------------------------------------------------=-
Uništavanje, i brisanje uređaja za skladištenje podataka
-=-----------------------------------------------------------------[Vrh]-=- Uništavanje uređaja za skladištenje podataka prevashodno podrazumeva da ste na istim koristili enkripciju, a sledeća procedura samo onemogućuje trećem licu da do tih podataka dođe bez ozbiljne labaratorije opremljene skupim uređajima. Ukoliko posedujete bilo kakvu bušilicu sa burgijom za metal, jednostavno pre bacanja ili recikliranja uređaja, probušite _nekoliko_ rupa kroz ceo disk na sledeći način [L]:
Ista procedura važi i za sve ostale uređaje za prenos podataka. Ovaj način nije apsolutna zaštita, ali je više nego dovoljna za većinu korisnika. Postoje i drugi načini, poput programskog brisanja diskova prilikom kojeg se isti podaci prepisuju jedni preko drugih sa naizmeničnim slučajnim podacima, ali takve procedure su za napredne korisnike, i mogu iziskivati mnogo vremena kada su u pitanju diskovi velikog kapaciteta. Za prosečnog korisnika, gore navedena metoda je sasvim dovoljna. -=-----------------------------------------------------------------------=-
Dodaci
-=-----------------------------------------------------------------[Vrh]-=- LUKS (Linux Unified Key Setup) [L] za enkripciju podataka. Komande su označene narandžastom bojom. ### ### Kreiramo prazan fajl velicine 128Mb (kreirajte veličinu po potrebi) ### root@sys1:~# dd if=/dev/zero of=/root/kripto.fajl bs=1M count=128 128+0 records in 128+0 records out 134217728 bytes (134 MB, 128 MiB) copied, 0,104316 s, 1,3 GB/s ### ### Podižemo loopback uređaj nad fajlom ### root@sys1:~# losetup /dev/loop0 /root/kripto.fajl ### ### Kreiramo enkriptovan sistem sa predefinisanom zaštitom, u ovom koraku ### potrebno je da unesete šifru kojom štitite ovaj fajl. Od ove šifre vam ### zavisi kvalitet zaštite vaših poverljivih fajlova. ### root@sys1:~# cryptsetup -c serpent-xts-plain64 -h sha512 -i 15000 \ --use-random -s 512 luksFormat /dev/loop0 \ WARNING! ======== This will overwrite data on /dev/loop0 irrevocably. Are you sure? (Type uppercase yes): YES Enter passphrase: ************************** Verify passphrase: ************************** ### ### Kada smo kreirali kripto uređaj, možemo pogledati njegove podešene ### vrednosti, između ostalog, vidimo koju vrstu enkripcije smo podesili, ### kao i da je podešen samo jedan od 8 mogućih ključeva: ### root@sys1:~# cryptsetup luksDump /dev/loop0 LUKS header information for /dev/loop0 Version: 1 Cipher name: serpent Cipher mode: xts-plain64 Hash spec: sha512 Payload offset: 4096 MK bits: 512 MK digest: 7c 52 03 44 f9 ec ed d5 43 04 2e c6 8a da 57 b5 MK salt: a3 8c fb 20 a1 45 2e f5 dc 1e 4b 7f 02 c0 da a7 e1 5c 39 70 24 58 32 8b c1 09 b9 33 26 97 58 98 MK iterations: 1537500 UUID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Key Slot 0: ENABLED Iterations: 6106860 Salt: 8x 8a X6 61 X1 43 7X d8 95 43 X7 82 2f X0 10 1a 90 9X 27 b5 X6 30 Xe 5a Xc ef 4X Xd Key material offset: 8 AF stripes: 4000 Key Slot 1: DISABLED Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED ### ### Otvaramo kripto uređaj preko loopback-a ### root@sys1:~# cryptsetup luksOpen /dev/loop0 kripto Enter passphrase for /root/kripto.fajl: ************************** ### ### Formatiramo kripto uređaj na željeni fajl sistem (primer): ### root@sys1:~# mkfs.ext4 /dev/mapper/kripto mke2fs 1.42.13 (17-May-2015) Creating filesystem with 129024 1k blocks and 32256 inodes Filesystem UUID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Superblock backups stored on blocks: 8193, 24577, 40961, 57345, 73729 Allocating group tables: done Writing inode tables: done Creating journal (4096 blocks): done Writing superblocks and filesystem accounting information: done ### ### Kreiramo direktorijum gde želimo da "zakačimo" disk i isti kačimo ### root@sys1:~# mkdir /root/kripto root@sys1:~# mount /dev/mapper/kripto /root/kripto root@sys1:~# df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/kripto 119M 1,6M 108M 2% /root/kripto Od ovog momenta, mi možemo prebacivati sve svoje bitne fajlove unutar enkriptovanog direktorijuma /root/kripto A kada završimo sa prebacivanjem fajlova, potrebno je da "otkačimo" ovaj fajl sa sistema, i on će tada ostati zaključan do momenta dok nam ne budu trebali fajlovi. ### ### Da bi smo zaključali fajl, i "otkačili" ga sa sistema, potrebno je da ### uradimo sledeće: ### sync && umount /root/kripto cryptsetup luksClose kripto && losetup -d /dev/loop0 ### ### Svaki sledeći put nije potrebno da vršimo inicijalizaciju diska, kao ni ### formatiranje istog, sve što treba da uradimo je da podignemo loopback ### otključamo kripto fajl, i isti zakačimo za naš sistem u na istu ### lokaciju (direktorijum), na sledeći način: ### root@sys1:~# losetup /dev/loop0 /root/kripto.fajl root@sys1:~# cryptsetup luksOpen /dev/loop0 kripto Enter passphrase for /root/kripto.fajl: ************************** root@sys1:~# mount /dev/mapper/kripto /root/kripto ### ### Da bi smo zaključali fajl, i "otkačili" ga sa sistema, potrebno je da ### uradimo sledeće: ### sync && umount /root/kripto cryptsetup luksClose kripto && losetup -d /dev/loop0 -=-----------------------------------------------------------------------=-
Hvala
-=-----------------------------------------------------------------[Vrh]-=- Jedan od razloga zbog kojeg je ovaj dokument napisan leži, između ostalog u doprinosu dvoje ljudi ka zaštiti običnog građanina. Tu mislim na gosp. Rodoljuba Šabića (poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti) [L] i gosp. Sašu Jankovića (zaštitnik građana) [L] koji se brinu za nas obične građane. Ovo uputstvo je nekako počelo sa jednim twittom [L]. (cc @rodoljubsabic, @Kihot_ex_of) i razvilo se zbog moje želje da dam svoj skromni doprinos našoj zajednici. Hteo bih da se zahvalim Seleni i Žarku Ptičeku (cc @Ptiki) što su našli slobodnog vremena da mi pomognu da se sajt preradi na naša slova, i što su mi pomogli da tekst što više približim prosečnom korisniku Interneta. Hvala Slobodanu Markoviću (cc @smarkovic) što je našao vremena da pročita tekst i da sugestije kako da ga učinim boljim. Hvala M.M i M. Stanković koji su mi ukazali na neke segmente koje je trebalo dopuniti i malo prilagoditi. Hvala svima koji su linkovali i/ili citirali ovaj tekst. Za prvih 24h tekst je pogledalo >3.000 unikatnih korisnika! Još jednom bih hteo da se zahvalim @0x4d_ na podršci i prevodu ovog teksta na Slovenački. Izuzetno sam zahvalan na trudu i unapređenju mog skromnog teksta. Tekst možete pogledati ovde https://itp.surge.sh -=-----------------------------------------------------------------------=-
O autoru
-=-----------------------------------------------------------------[Vrh]-=- Autor ima preko 18 god. iskustva u kreiranju raznovrsnih IT infrastrukturnih rešenja. Različite korporacije su ga angažovale da za njihove potrebe definiše i izgradi sveukupnu strategiju IT infrastrukture. Radio je na implementiranju poslovnih potreba kompanija u srednje i dugoročne tehnološke strategije. Orjentisan je ka pronalaženju rešenja, pružajući vođstvo u tehničkim timovima, mentoringu i konsaltingu za različite organizacije. Trenutno radi za Huawei Enterprise u zapadnoevropskoj biznis grupi. Kao nezavisni konsultant angažovan je od strane velikih kompanija baziranih u Evropskoj Uniji. Pored ostalih, držao je istaknuta predavanja na Elektrotehničkom fakultetu i Fakultetu organizacionih nauka Univerziteta u Beogradu, kao i Fakultetu za bezbednost. Luka je bio ključni predavač na više događaja širom Evrope. Specijalnosti: IT arhitektura, bezbednost i razvoj skalabilnih platformi visokih performansi. Twitter [L] LinkedIN: [L] -=---------------------------------EOF-----------------------------------=- __ \/_ (' \`\ _\, \ \\/ /`\/\ \\ \ \\ \ \\/\/_ /\ \\'\ __\ `\\\ /|` `\\ \\ jgs \\ \\ , `---'