Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb

– Administrator –
6. 1 2016   AE News

Návod na zachování soukromí na internetu a na ochranu před zachytáváním komunikace ze strany operátorů, cenzorského úřadu a tajných služeb. Od 1. ledna 2017 začal v České republice působit nový Úřad pro tisk a informace, cenzorské oddělení ministerstva vnitra. Skupina analytiků, která čítá přibližně 20 lidí, monitoruje každý den český internet a sleduje ideologicky závadné informace. 

Po jejich vyhodnocení jsou údaje předány policii a ta poté začne konat. Na AE News je o tom článek zde. Nejčastěji se bude jednat o předvolání k podání vysvětlení, ale může nastat i situace průběžného sledování internetu, telefonů apod. Přestože tento úřad má krycí název „Centrum proti terorismu a hybridním hrozbám“, ve skutečnosti nemá úřad žádnou jinou náplň, než cenzorskou činnost ve spolupráci s policií ČR.

Tisková zpráva Úřadu pro tisk a informace, který pracuje od 1. ledna pod krycím názvem Centrum proti terorismu a hybridním hrozbám.

Vzhledem k tomu, že mnoho lidí nemá vůbec představu o tom, jak se na internetu chránit před případnými problémy, připravil jsem malý návod zabezpečení. Nejde o žádný ultimátní návod, který by zajistil neprůstřelnost proti kapacitám amerického úřadu pro národní bezpečnost (NSA), ale proti běžným kapacitám sledovacích agentur by měl postačit. Návod se týká ochrany soukromí, ne ochrany pro páchání trestné činnosti nebo čehokoliv v rozporu se zákony.

 

Připojení do internetu přes ISP vs. připojení přes VPN

Do internetu jste připojeni v dnešní době celkem 3 způsoby. Z pohledu uživatele jde o 3 modely, z hlediska technické realizace jde o podobné technické krytí, ale zásadní rozdělení je třeba si uvést. V dnešní době je přístup na internet pomalu samozřejmostí, ale ochrana a bezpečnost není ve středu zájmu laické veřejnosti, alespoň ne do chvíle, než nastane první problém. Celkem se můžete setkat s těmito typy připojení do internetu

  • Pevná linka (pevný telefon, kabelová televize, optika)
  • Mobilní operátor (smartfon, tablet)
  • Bezdrátové pojítko (Wifi, v USA nově i WiMax)

Pokud jste připojeni kterýmkoliv z výše uvedených způsobů, potom Vaše veškerá komunikace z Vašeho zařízení putuje v nekryptované podobě na bránu (gateway) Vašeho internetového poskytovatele. Tomuto poskytovateli se zkráceně říká ISP (Internet Service Provider). Pokud prohlížíte web a stránky a nemají na začátku URL adresy hlavičku „https“, ale je tam jenom „http“, tak Váš ISP operátor vidí, co píšete, jaký komentář jste odeslali, co jste napsali. Ve spolupráci s policií tak může ISP operátor logovat všechno, co napíšete do prohlížeče webu na svém počítači a co odešlete. Hlavička https s písmenem „s“ na konci znamená, že se jedná o zabezpečený http protokol (http secured) pomocí SSL šifrování.

MITM útok, grafické znázornění zranitelnosti https komunikace.

Problém s tímto šifrováním je, že se spoléhá na třetí osobu, tzv. CA (certifikační autoritu), ale to není nic pro tajné služby, které mohou příkazem získat od certifikační autority duplicitní (remisní) certifikáty k Vaší soukromé doméně a mohou tak použít MITM (man in the middle) útok a dešifrovat v reálném čase Vaší komunikaci, třeba s bankou a sledovat manipulaci s prostředky na účtu. Při tomto útoku pro zamaskování stop útočník zachycená data jenom přečte, ale ihned je znovu zakryptuje o pošle na cílový server, takže odesilatel a ani příjemce nezjistí, že mezi nimi je útočník.

 

 Zabezpečené HTTP je iluze o bezpečnosti soukromí

Technologie SSL (Secure Socket Layer) je sice bezpečná sama o sobě, ale systém certifikátů domén vnáší do celého systému https velkou hrozbu. Spojení přes https je bezpečné před zločinci a hackery, ale ne před vládními agenturami a policií. Bezpečnost drží certifikační autorita, která podepisuje vydané certifikáty pro weby a jejich domény se zabezpečením https, takže důvěra v https komunikaci je jen tak velká, jak velkou důvěru máte ve vládu. Pokud mluvíme o vládě, mluvíme především o té americké, která má podle informací Edwarda Snowdena všechny americké certifikační agentury v USA zavázané národní doložkou bezpečnosti (zákon NDAA). Země NATO a spojenci v rámci NDAA jsou partneři v boji proti terorismu. Přístup národních tajných služeb k americkým certifikátorům se dá předpokládat, aby mohly pomocí MITM útoku odposlouchávat české „https“ weby klíčových osob a firem.

Vláda a tajné služby mohou zkonfiskovat veškeré úspory klienta v  zahraniční bance díky MITM útoku. Do zahraničních bank se policie oficiálně na žádost z jiné země nedostane. MITM útok je náhradou, jak získat bankovní informace i bez souhlasu soudu cízí země. Stačí spolupráce s ISP operátorem sledované osoby.

Z tohoto důvodu je třeba bezpečnost komunikace zabezpečit jinak a k tomu slouží technologie VPN. Tahle zkratka znamená Virtual Private Network (Virtuální Privátní Síť) a je to technologie zasíťování skupiny X počítačů v rámci internetu, které mezi sebou mohou komunikovat přes VPN server a kromě toho mohou komunikovat i s celým zbývajícím internetem, ovšem ne pod vlastní fyzickou adresou, ale pod IP adresou VPN serveru. A právě tato vlastnost je používaná pro zajištění soukromí. Nyní si povíme více o technologických aspektech VPN.

 

VPN lze použít na soukromí a/nebo na změnu IP identity

Své zařízení do VPN sítě zapojíte nejčastěji pomocí dvou protokolů. Jedním je PPTP a druhým OpenVPN. PPTP používá velmi slabé a zranitelné šifrování, takže tímto protokolem se na ochranu soukromí do VPN připojovat nebudete. Ovšem zmiňuji ho zde kvůli něčemu jinému. PPTP je velice rychlý protokol, který tolik nezpomaluje odezvu na internetu na rozdíl od OpenVPN (viz. níže). Proto právě PPTP je vhodný protokol pro připojování do VPN kvůli hraní her, pokud např. některý provozovatel her blokuje určité regiony a státy. Stejně blokují premium obsah třeba americké streamovací televize, ke kterým se bez americké IP adresy nepřipojíte. Ke změně IP identity na jiný stát tak stačí VPN s IP adresou povoleného regionu. A protože VPN na PPTP protokolu je rychlé, nebude vám vrstva VPN zpomalovat ping (odezvu) a spojení na herní servery nebo během streamováni videa z USA.

Express VPN klient.

Síla ochrany OpenVPN komunikace

Pro ochranu soukromí použijeme raději protokol OpenVPN, který používá knihovnu OpenSSL a pro ochranu komunikace uživatele je vytvořen datový šifrovaný tunel o síle šifrování 256bit. Mezi Vaším zařízením a VPN serverem je datový tunel, jehož obsah nemá Váš ISP operátor šanci rozkódovat. Pokud tedy použijete VPN poskytovatele v cizí zemí (to je základní podmínkou pro bezpečnost, je nesmyl pořizovat VPN službu od operátora v zemi, kde žijete), tak k Vaší komunikaci se žádný cenzorský orgán doma nedostane. Celá tato věc má ale jednu podstatnou stránku, kterou nesmíte opomenout.

Zahraniční VPN poskytovatel nepůjde proti vlastní vládě a nepůjde proti soudům ve své zemi. Takže pokud pod krytím zahraničního VPN spácháte nějaký trestný čin, VPN operátor o vás poskytne všechny informace. Znovu opakuji, že tento návod je zde pro získání soukromí na internetu, ne pro páchání zločinu pod krytím cizí IP adresy v zahraničí. OpenVPN má však kvůli kryptování a jeho síle určité zpomalení, které se bohužel projevuje v ping odezvách. V případě online her je to vážný problém, ale vadí to někdy i při provozu Skype, což se projevuje „plechovým“ zvukem. Vyřešíte to tím, že zvolíte jiný OpenVPN server, který je k vám blíže geograficky a je méně zatížený. Vzdálenost a zátěž mají největší vliv na zpoždění pingu.

NordVPN klient.

Velkým argumentem pro výběr konkrétního VPN poskytovatele je ta vlastnost, že neloguje datovou aktivitu svých klientů. Tohle tvrzení je třeba brát s rezervou, protože nikdy nebudete mít důkaz, že opravdu nic neloguje. Ale pokud neprovádíte nic nelegálního a jde vám jenom o ochranu soukromí před cenzorským orgánem doma, potom vám může být jedno, jestli zahraniční VPN poskytovatel loguje nebo ne. Takže teď přichází to hlavní, výběr VPN poskytovatele.

7 nejlepších VPN služeb

Na internetu jsou tisíce poskytovatelů VPN připojení, tohle je výběr těch sedmi nejlepších, kteří mají nejlepší reference na netu a mají neomezené přenosy dat, nabízí anonymitu plátce (BitCoin platby) a anonymitu registrace uživatele, většina z nich má „zero logging policy“, takže nelogují činnosti a data svých zákazníků (podle svých slov) a hlavně tito VPN poskytovatelé mají největší serverové kapacity v nejvíce zemích světa, takže můžete střídat různé servery a měnit tím svojí IP adresu, abyste se na internetu tvářili jako uživatel z jiné země. Za všechny služby je třeba platit. Nedávám tady seznam VPN zdarma, protože nestojí za nic a jsou prolezlé reklamou a zoufale přetížené. Cena za VPN není vysoká, ne moc, a navíc teď po Novém roce mají tyto služby velké slevy, nečekejte a využijte příležitosti. Někteří nabízejí VPN na zkoušku, všichni mají garanci spokojenosti anebo vrácení peněz.

PureVPN klient.

VPN provider vám poskytne aplikaci, tzv. klienta

Po zakoupení některé ze služeb si musíte nainstalovat do počítače klienta, který vám zautomatizuje proces připojení do VPN. Přihlásíte se do něj pomoci vytvořeného uživatelského účtu. K nákupu VPN služby potřebujete platební kartu, případně PayPal nebo BitCoin. Základním předpokladem je elementární znalost angličtiny. Pokud jí neovládáte, požádejte někoho, aby Vás procesem nákupu VPN služby provedl. VPN účet obvykle lze použít na 5 zařízeních simultánně, takže pomocí VPN můžete chránit počítač, svůj mobilní telefon, tablet a třeba notebook. A ještě vám zbude jedno zařízení, které můžete ochránit.

HideMyAss VPN klient.

Některé klientské aplikace vám dají na výběr, jestli se chcete připojovat přes OpenVPN nebo PPTP. Rozhodněte se podle toho, k jakému účelu připojení VPN zrovna potřebujete (hry nebo soukromí). Další dotaz se může týkat transportního protokolu, jestli chcete připojení TCP nebo UDP. Protokol TCP je zajištěný obousměrný protokol, pakety vždy dorazí na cílový server a pokud ne, dozvíte se o tom z chybové zprávy o nedostupnosti serveru. Toto je výchozí protokol, který byste vždy měli používat. UDP je protokol, který nevrací informace o doručení paketů a nemusí být úplně spolehlivý, i když vrstva IP se stará o vysokou spolehlivost doručení. Při nákupech, komunikaci s bankami, odesílání důležitých emailů a dalších důležitých činnostech byste neměli UDP protokol používat. Je však velmi vhodný pro VoIP komunikaci. Vzhledem k tomu, že UDP komunikace je rychlejší a VoIP protokoly mají korekční ztrátové mechanismy, tak případná ztráta paketů na vrstvě UDP nebude VoIP protokolu vadit.

 

Emaily u českých operátorů jsou jako otevřená kniha na ministerstvu vnitra

Pokud to myslíte vážně s ochranou soukromí, nesmíte používat české emailové servery. Bezpečnostní složky mají přístup ke všem emailovým poskytovatelům v ČR a čtou si z nich jako z otevřené knihy. Jakýkoliv emailový účet v zahraničí je proto bezpečnější, než email v ČR, pokud píšete komentáře na české alternativní servery. Vrcholem zabezpečení je Proton Mail, z jehož serverů nelze nic číst, pouze samotný majitel emailu je schopný dešifrovat svojí emailovou schránku a v ní uložené emaily. Pokud chcete bezpečnost, změňte email z obligátního seznamu.cz na jiný server v cizině, nejlépe na Proton Mail ve Švýcarsku zde.

 

Nevýhoda VPN

Hlavní nevýhodou VPN je nižší datová propustnost, než kterou Vám nabízí Váš ISP poskytovatel. Máte od něho linku např. na 200 Mbps, ale po připojení na VPN počítač nebude na internetu komunikovat a stahovat rychleji, než 30 až 50 Mbps, záleží na vytížení konkrétního VPN serveru, přes který budete do internetu připojení. V některých hodinách v podvečer mohou některé evropské VPN servey padnout s rychlostí až někam na 3 Mbps. Na diskutování to postačuje, ale na stahování nebo streamování HD videí z YouTube to není. Obecně se dá VPN zapnout i tak, že přes VPN pojede jenom prohlížeč, ale ostatní aplikace jedou mimo VPN tunel. Ne všechny klientské VPN aplikace toto nabízí. Ale to není ani cílem tohoto článku, abych to tady vysvětloval. Základem je zabezpečení soukromí před sběrem dat na bráně operátora ISP a pro tyto účely slouží VPN nejlépe. Případné dotazy zodpovím dole v diskusi.

-Administrator-