שלום
בשבוע האחרון פוצץ באופן רשמי האשליה שארה"ב עוקבת אחרי כל העולם ואישתו בעזרת האינטרנט.
עכשיו איזה אלטרנטיבות יש כדי שארה"ב (ואני משער שגם המוסד\שב"כ) לא יוכלו לעקוב אחרי החיים שלי ותוך כדי שאני נהנה מהשימוש בטכנולוגיות אינטרנט כמו דואר אלקטרוני ורשתות חברתיות? וכמובן אם אותה רמת נוחות לאנשים שלא מבינים במחשבים.
האם זה באמת חייב להיות קוד פתוח בשביל שלא יוכלו לעקוב אחרי? ואיך משכנעים אנשים לעבור לשמה הרי הם יגידו "אין לי במילא מה להסתיר אז שיהנו להם מהמעקב אחרי"?

אתה לא חייב להשתמש בשירותי החינם של גוגל ומיקרוסופט כדי להשתמש בדואר אלקטרוני. אני אישית מריץ שרת דואר משל עצמי (אבל משלם על זה סכום לא זניח כל חודש). יש לא מעט ספקי שירותים אחרים.

למה לוותר על הנוחות, הרי גם עם קליינט "מוגן" הרי תעבורת הרשת היא פתוחה, וההודעות שלך עוברות אין סוף תחנות.

אם אתה חושש לפרטיותך, לדעתי, אין מנוס משימוש בהצפנה

למה אתה בדיוק מתכוון ב"הצפנה"? אתה יכול לתת דוגמאות?

המיינסטרים:
http://he.wikipedia.org/wiki/PGP

אז מה ענינו של הרשת החברתית דיסאפרה?
והאם יש עוד חלופות לעוד נושאים שהם מבוססי רשת בצורה דומה?

צפריר :

למה אתה בדיוק מתכוון ב"הצפנה"? אתה יכול לתת דוגמאות?

כשאתה גולש באינטרנט להשתמש בhttps במידת האפשר, תתקין תוסף כמו httpseverywhere בפיירפוקס או בכרום.
בנוסף יש תוספים שמצמצמים מעקב של גורמים חיצוניים לאתר שאתה גולש בו - כמו ghostery וadblock.
כפי שציינו לפני יש לך את PGP למייל, ואת OTR להצפנת הודעות צ'אט.
אם אתה משתתמש בסינכרון של כרום - אל תסנכרן היסטוריה, זה נותן לגוגל מידע על כל מה שאתה עושה (הסינכרון של פיירפוקס מוצפן ככה שגם מוזילה לא יכולה לדעת מה אתה עושה, לכן הוא יותר בטוח מהגישה הזו)

צ'יקן פוקס :

והאם יש עוד חלופות לעוד נושאים שהם מבוססי רשת בצורה דומה?

ככלל אפשר לומר ששירותים אירופיים יותר רגישים לפרטיות הגולשים משירותים אמריקאיים (החוקים באירופה יותר נוקשים בנושא הזה), לכן עד כמה שאפשר לעבור לספקי שירות אירופאיים - עדיף.

שימוש ב־HTTPS כשאפשר הוא אכן דבר די נבון, אך לא עוזר במקרה שלנו: במקרה שלנו ההאזנה היתה בשרת שאליו התחברת, ולכן זה לא עוזר שהחיבור אליו מאובטח.

גם PGP יכול לעזור. אבל האם אתה מצפין כך את כל ההודעות שאתה שולח? בכל מקרה, אם אתה משתמש בלקוח ווב (לדוגמה: ממשק הווב של gmail), אין אפשרות לממש GPG בלי לספק לשרת גישה למפתח הפרטי שלך.

צפריר :

גם PGP יכול לעזור. אבל האם אתה מצפין כך את כל ההודעות שאתה שולח? בכל מקרה, אם אתה משתמש בלקוח ווב (לדוגמה: ממשק הווב של gmail), אין אפשרות לממש GPG בלי לספק לשרת גישה למפתח הפרטי שלך.

קשה לי להאמין ש"אין אפשרות " אולי אים מימוש, אבל אין לי ספק שניתן לעשות תוסף שיעשה את העבודה, מה גם שgmail מאפשר גם שירות pop.

לגבי רשתות חברתיות, אין פרטיות במוצר הזה, שכן כל יעודו הוא חשיפת פרטים אישים שלך (חברים, אירועים וכו')

ועוד דבר, סוכנויות ביון היום עוקבות ביתר שאת אחרי מי שמנסה להסתיר את צעדיו.

צפריר :

שימוש ב־HTTPS כשאפשר הוא אכן דבר די נבון, אך לא עוזר במקרה שלנו: במקרה שלנו ההאזנה היתה בשרת שאליו התחברת, ולכן זה לא עוזר שהחיבור אליו מאובטח. גם PGP יכול לעזור. אבל האם אתה מצפין כך את כל ההודעות שאתה שולח? בכל מקרה, אם אתה משתמש בלקוח ווב (לדוגמה: ממשק הווב של gmail), אין אפשרות לממש GPG בלי לספק לשרת גישה למפתח הפרטי שלך.

למה אין ? אתה יכול להצפין טקסט ואז להדביק אותו כתוכן ההודעה. הכתובות שאליהן אתה שולח נשארות חשופות...
לא מזיק (למרות אי-נוחות מסויימת) להשתמש בתור-ברואזר, פורק של פיירפוקס שעובד רק דרך תור ומבצע גם אי-אלו סינוני תוכן כדי להגביר פרטיות. החסרון הכי גדול של זה הוא שגוגל (וגם פייפל) מגיבים לעתים לבקשות שבאו דרך תור כ"פעילות חשודה", כנראה בשל אי התאמה בין ארץ המקור של כתובת האייפי לבין מה שכבר ידוע עליך...

כלומר עם שימוש בGPG הדרך לשרת מאובטח
ואז יש שתי נקודה בעיה
1)השולח שאם המחשב מאובטח כמו שצריך אין בעיה
2)ספק השירות.
לכן אני מנסה לברר איזה אופציות יש למיילים, רשתות חברתיות, צ'אטים, VOIP וכו' שאני שולט באמת במי שרואה התוכן כמה ולמה והממשל לא יוכל לדחוף את קצה האף לדעת מה קורה בפנים. ולא יצריך אותי לקנות ולהרכיב את הציוד מחדש לבד לגמרי אלא אני פשוט אשלח לינק לחבר וגם הוא יצטרף.
וכמובן מישהו כאן יכול להסביר לי מה ענינו של דיספארה ולמה הוא עדיף על פייסבוק?

דיאספורה עובד כמו דואר אלקטרוני: רשת מבוזרת. אין שרת מרכזי אחד. לכן אם אני רוצה להצטרף לרשת בלי לבטוח בגוגל (או בחברות אמריקאיות) אני יכול לשים שרת משלי (או לשלם למישהו מהמדינה שלי).

Anonymous :

החסרון הכי גדול של זה הוא שגוגל (וגם פייפל) מגיבים לעתים לבקשות שבאו דרך תור כ"פעילות חשודה", כנראה בשל אי התאמה בין ארץ המקור של כתובת האייפי לבין מה שכבר ידוע עליך...

כל אתר יכול לדעת אם מי שגולש אליו גולש דרך תור, יש איפשהוא רשימה של כל היציאות מרשת התור.

כלומר בכל מצב יעקבו אחרי ואין דרך ליצור רשת מאובטחת והמונית
די איכזב אותי הקוד הפתוח בנקודה הזאת

צ'יקן פוקס :

כלומר בכל מצב יעקבו אחרי ואין דרך ליצור רשת מאובטחת והמונית די איכזב אותי הקוד הפתוח בנקודה הזאת

הרעיון מאוד פשוט: כל מה שעובר דרך חברה אמריקאית גדולה (מייקרוסופט, גוגל, פייסבוק, אפל, יאהו וכו') מגיע גם לידי הממשל האמריקאי.
אם אתה לא רוצה שיעקבו אחריך, אל תשתמש בשירותים שלהם.

הי

ישנם כמה עובדות שלא הוזכרו פה.
1. תנאי של ספק אינטרנט לקבלת רשיון הוא לאפשר מה שנקרא "ציתות חוקי" או lawful interception. לכן להימנע לגמרי זה קשה. תקף לכל ספק אינטרנט בכל העולם.
2. לגבי https הרבה חברות שמייצרות ציוד תיקשורת יכולות "להפשיט" https ודוא"ל בלי שתרגיש וקח בחשבון שהם יושבים באמצע (ברמה של ספק האינטרנט). לא יכולים לעשות זאת לגבי פרוטוקולים אחרים. אולי הצפנה כמו pgp יכולה לעזור במקרה זה.
3. לגבי שיחות קוליות, הימנע מסקייפ. תשתמש ב zfone של פיל צימרמן http://zfoneproject.com/
קרא גם את השאלות-תשובות הנלוות שם
4. יש משהו שמעורר תקווה בכל המסכת הקשה הזאת. זה נקרא פנטום פרוטוקול.
http://code.google.com/p/phantom/
קרא את המצגת והוידאו שהוצג בכנס בלינקים הנוספים באותו.

ציתות חוקי עדיין לא מאפשר ל"הפשיט" https. כדי "להפשיט" https צריך לעשות התקפה יחסית מתוחכמת. כמובן שכל זה לא תקף כי החומר מגיע מהשרת.
שיחות קוליות יש את https://jitsi.org/.

2 :

ציתות חוקי עדיין לא מאפשר ל"הפשיט" https. כדי "להפשיט" https צריך לעשות התקפה יחסית מתוחכמת. כמובן שכל זה לא תקף כי החומר מגיע מהשרת. שיחות קוליות יש את https://jitsi.org/.

לא מדובר בהתקפה. ציוד התקשורת של cisco, checkpoint, fortinet עושה את זה. ספק אינטרנט קונה את הציוד הזה. לעניות דעתי זה חלק ממה שקרוי ציתות חוקי אבל זה לא ממש משנה. הדברים נעשים וקח את זה כעובדה, לא משנה איך קוראים לזה.

תודה על הלינק. אבדוק את זה.

אבל גם יש אפשרות להבחין בכך: אם מישהו נכנס לתוך חיבור SSL/TLS הוא צריך לחתום על התעבורה בחיבור. זה אומר, לדוגמה, שתתחבר לוויקיפדיה ופתאום תראה שהאישור על ההתחברות לא יהיה של DigiCert אלא של מישהו אחר.

ר' גם:
https://en.wikipedia.org/wiki/DigiNotar#Issuance_of_fraudulent_certificates

צפריר :

אבל גם יש אפשרות להבחין בכך: אם מישהו נכנס לתוך חיבור SSL/TLS הוא צריך לחתום על התעבורה בחיבור. זה אומר, לדוגמה, שתתחבר לוויקיפדיה ופתאום תראה שהאישור על ההתחברות לא יהיה של DigiCert אלא של מישהו אחר. ר' גם: https://en.wikipedia.org/wiki/DigiNotar#Issuance_of_fraudulent_certificates

א)ראיתי תוסף לפיירפוקס (לא זוכר את שמו) שמתריע לך אם ספק האישורים של השרת התחלף
ב)נראה לי שהכותבים למעלה התכוונו להתקפות sslstrip

אiהד :

צפריר : אבל גם יש אפשרות להבחין בכך: אם מישהו נכנס לתוך חיבור SSL/TLS הוא צריך לחתום על התעבורה בחיבור. זה אומר, לדוגמה, שתתחבר לוויקיפדיה ופתאום תראה שהאישור על ההתחברות לא יהיה של DigiCert אלא של מישהו אחר. ר' גם: https://en.wikipedia.org/wiki/DigiNotar#Issuance_of_fraudulent_certificates א)ראיתי תוסף לפיירפוקס (לא זוכר את שמו) שמתריע לך אם ספק האישורים של השרת התחלף ב)נראה לי שהכותבים למעלה התכוונו להתקפות sslstrip

צודק בהחלט לגבי סעיף ב'

1. הכותבים למעלה לא כתבו למה הם התכוונו.
2. כמו שנאמר פה כשעושים MITA ניתן להבחין בכך בקליינט. הקליינט בודק שהסרטיפיקט מתאים כלומר צריך לזיייף סרטיפקטים של החברה שאותה אתה רוצה לתקוף.
3. כשמדברים על ציוד תקשורת נראה לי שיותר הכוונה ל VPN כשהתקשורת היוצאת לא מוצפנת.
4. אני לא לוקח שום דבר כמובן מאליו. כמו שאמרתי כדי לצוטט לתעבורת https צריך להיות מתוחכם יותר מסתם ציוד תקשורת רגיל.

2 :

1. הכותבים למעלה לא כתבו למה הם התכוונו. 2. כמו שנאמר פה כשעושים MITA ניתן להבחין בכך בקליינט. הקליינט בודק שהסרטיפיקט מתאים כלומר צריך לזיייף סרטיפקטים של החברה שאותה אתה רוצה לתקוף. 3. כשמדברים על ציוד תקשורת נראה לי שיותר הכוונה ל VPN כשהתקשורת היוצאת לא מוצפנת. 4. אני לא לוקח שום דבר כמובן מאליו. כמו שאמרתי כדי לצוטט לתעבורת https צריך להיות מתוחכם יותר מסתם ציוד תקשורת רגיל.

מדובר ב sslstrip. הם אכן עומדים באמצע. זה נעשה ברמת isp/

Anonymous :

2 : 1. הכותבים למעלה לא כתבו למה הם התכוונו. 2. כמו שנאמר פה כשעושים MITA ניתן להבחין בכך בקליינט. הקליינט בודק שהסרטיפיקט מתאים כלומר צריך לזיייף סרטיפקטים של החברה שאותה אתה רוצה לתקוף. 3. כשמדברים על ציוד תקשורת נראה לי שיותר הכוונה ל VPN כשהתקשורת היוצאת לא מוצפנת. 4. אני לא לוקח שום דבר כמובן מאליו. כמו שאמרתי כדי לצוטט לתעבורת https צריך להיות מתוחכם יותר מסתם ציוד תקשורת רגיל. מדובר ב sslstrip. הם אכן עומדים באמצע. זה נעשה ברמת isp/

אני לא מבין. האם אתה טוען שבתוך הציוד תקשורת של סיסקו למשל יש מימוש של sslstrip?
אתה בטוח במה שאתה אומר כי לדעתי אפשר לתקוע להם תביעה של מיליונים אם זה נכון.

האם יש את השירותים הבאים בקוד פתוח בצורה מאובטחת ונסתרת?
מנוע חיפוש, מייל דפדפני, רשת חברתית דמוי פייסבוק, IM, VOIP, IRC, יצירת תוכן חדשותי, קורא RSS, איחסון וובקומיק, פורמים, שיתוף קבצים, הצגת וידאו ומוזיקה,
אם התשובה היא כן אז נראה לי אפשר לבנות רשת חסינת פריזמה ומעקב

2 :

Anonymous : 2 : 1. הכותבים למעלה לא כתבו למה הם התכוונו. 2. כמו שנאמר פה כשעושים MITA ניתן להבחין בכך בקליינט. הקליינט בודק שהסרטיפיקט מתאים כלומר צריך לזיייף סרטיפקטים של החברה שאותה אתה רוצה לתקוף. 3. כשמדברים על ציוד תקשורת נראה לי שיותר הכוונה ל VPN כשהתקשורת היוצאת לא מוצפנת. 4. אני לא לוקח שום דבר כמובן מאליו. כמו שאמרתי כדי לצוטט לתעבורת https צריך להיות מתוחכם יותר מסתם ציוד תקשורת רגיל. מדובר ב sslstrip. הם אכן עומדים באמצע. זה נעשה ברמת isp/ אני לא מבין. האם אתה טוען שבתוך הציוד תקשורת של סיסקו למשל יש מימוש של sslstrip? אתה בטוח במה שאתה אומר כי לדעתי אפשר לתקוע להם תביעה של מיליונים אם זה נכון.

http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-hardware-40-mr3.pdf

scanning and inspection for HTTPS, IMAPS, POP3S, and SMTPS traffic. ... If you are placing a 1U or 2U FortiGate unit into a rack, remove the

Anonymous :

2 : Anonymous : 2 : 1. הכותבים למעלה לא כתבו למה הם התכוונו. 2. כמו שנאמר פה כשעושים MITA ניתן להבחין בכך בקליינט. הקליינט בודק שהסרטיפיקט מתאים כלומר צריך לזיייף סרטיפקטים של החברה שאותה אתה רוצה לתקוף. 3. כשמדברים על ציוד תקשורת נראה לי שיותר הכוונה ל VPN כשהתקשורת היוצאת לא מוצפנת. 4. אני לא לוקח שום דבר כמובן מאליו. כמו שאמרתי כדי לצוטט לתעבורת https צריך להיות מתוחכם יותר מסתם ציוד תקשורת רגיל. מדובר ב sslstrip. הם אכן עומדים באמצע. זה נעשה ברמת isp/ אני לא מבין. האם אתה טוען שבתוך הציוד תקשורת של סיסקו למשל יש מימוש של sslstrip? אתה בטוח במה שאתה אומר כי לדעתי אפשר לתקוע להם תביעה של מיליונים אם זה נכון. http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-hardware-40-mr3.pdf scanning and inspection for HTTPS, IMAPS, POP3S, and SMTPS traffic. ... If you are placing a 1U or 2U FortiGate unit into a rack, remove the

If your FortiGate unit supports SSL acceleration, it also supports SSL content
scanning and inspection for HTTPS, IMAPS, POP3S, and SMTPS traffic

The FortiASIC Content Processor (CP) works at the system level. Its main functions are
SSL VPN key generation and SSL offloading. Capabilities vary by model.

כמו שאמרתי כדי להאזין לתקשורת ב- https אתה צריך התקפה מתוחכמת. ברור שהצד השני (במקרה זה גוגל שיש להם ראוטר של fortiasic ב- datacenter שלהם) יכולים להאזין לתקשורת.
אני מציע לך לקרוא קצת על public/private key cryptography זה יכול להסביר כמה דברים.