26 odpowiedzi w tym temacie

[pishor]

zonk - bo ja jej nie mam.
Więc nie ma się co z czym łączyć.

I  (podkreślam), wśród proponowanych znajomych pojawili mi się ludzie, z którymi kontakt miałem jakieś 5 - 10 lat temu (choć po zastanowieniu powiedziałbym, że to raczej było 7-10 lat temu)

Moi klienci z tego czasu, z którymi wtedy (i tylko wtedy) miałem kontakt - zarówno telefoniczny jak i  mailowy, mniej więcej przez okres 1-2 miesięcy (na czas trwania projektu).

Wprawdzie jakieś 2-3 lata po skończeniu pracy,  dzwoniłem do nich w sprawie możliwości cyknięcia fotek z realizacji projektów - ale TYLKO dzwoniłem.

Z komórki wprawdzie ale bez udostępniania lokalizacji i takich tam.

Ja komórki używam zasadniczo do dzwonienia ale synchronizuję w niej pocztę (bo maile na niej też odbieram).

Więc jedynym wytłumaczeniem byłby maile z tamtego okresu, bo tych akurat kontaktów (w sensie numery telefonów) w komórce nie mam już jakieś kilka lat.

[szczyglis]

Facebook głównie jedzie po lokalizacji telefonu (nie tylko chodzi o WiFi, ale i o nadanie praw dostępu do GPS dla Messengera/lub przeglądarki). Następnie algorytmy korelują sobie takie dane ze zbliżonych lokalizacji (np. jeśli 2 różne telefony od poniedziałku do piątku od 8:00 do 17:00 znajdują się w zbliżonej lokalizacji lub korzystają z jednej bramki na WAN, to jest wysoce prawdopodobne, ze razem pracują - algorytm to ocenia, koreluje z jeszcze innymi powiązaniami i finalnie wypluwa wynik, że możecie się znać). Dochodzi również sprawa publikacji zdjęć - umieszczając zdjęcie możemy podać swoją pozycję (w EXIF-ie mogą pojawić się współrzędne z GPS), do tego FB ma bardzo zaawansowane algorytmy do rozpoznawania twarzy. Tak to mniej więcej działa. CIA nie bierze w tym udziału - choć korzysta zapewne z ochotą 

 

Tutaj jeśli ktoś chce sobie poczytać więcej: https://zaufanatrzec...ii-lokalizacji/

 

Są jeszcze brane pod uwagę inne korelacje - podobne zainteresowania/odwiedzane strony (to można odczytać z cookies), odwiedzenie profilu przez drugą osobę, uczestnictwo w podobnych grupach, udostępnienie FB dostępu do skrzynki mailowej (Ty nie musisz, ale np. kolega mógł podać - wtedy FB odnajdzie tam Twój adres). Dużo, dużo czynników, po których można powiązać jednego z drugim.

Użytkownik szczyglis edytował ten post 15.10.2016 - 00:46

[D.K.]

na zasadzie "przeszukiwania puli". Polega to na tym, że co jakiś czas przeszukiwana jest cała pula adresów IP odpowiednio po wszystkich portach. Prowadzi to do tego, że 

 

Czym jest skanowanie portów i jak się do niego zabrać  to akurat wiem Natomiast nie mogę powiedzieć, by nazwijmy to bez ogródek "bezczelne" skanowanie portów przez Google'a budziło mój entuzjazm. Uważam to po prostu za grubą przesadę. OK, mogę zrozumieć 8080, czy 443, ale wszystkie? 

[szczyglis]

@D.K., to teraz Cię zasmucę, bo Google to naprawdę jest malutka zabawka przy innych rozwiązaniach:
 
Tak to robi NSA, czyli projekt HACIENDA:
 

Hacienda, czyli nmap na sterydach

Ujawniono kulisy kolejnego tajnego projektu brytyjskiej agencji wywiadowczej GCHQ i amerykańskiego NSA. Projekt o kryptonimie HACIENDA służy do masowego skanowania internetu. Na podstawie dostarczanych przez niego wyników służby wybierają cele i przeprowadzają na nich odpowiednie ataki informatyczne. Jest duża szansa, że jeśli twój serwer jest na publicznym adresie IP, to został on odwiedzony przez robota HACIENDY…

HACIENDA skanuje całą przestrzeń adresową wybranego kraju. Informacje o zakresach adresów IP bierze z bazy GEOFUSION, a same adresy skanuje przy pomocy dobrze znanego nmapa (choć pewnie odrobinę zmienionego, bo w poprzednich wyciekach pojawiły się już informacje o wewnętrznych modyfikacjach tego narzędzia przez agencje wywiadowcze)
HACIENDA, wedle prezentacji która została ujawniona przez dziennikarzy Heise, miała służyć do skanowania głównie 27 krajów (w całości) i “częściowego” (cokolwiek to znaczy) skanu 5 dodatkowych krajów. Niestety w artykule nie padają ich nazwy.

Czego szuka HACIENDA?
HACIENDA oprócz standardowego skanu portów zapisuje bannery i nazwy usług nasłuchujących na portach, a dla niektórych usług jest w stanie wykonać dodatkowe, zgodne z protokołem usługi, czynności. Przykładowo, dla namierzonego serwera FTP HACIENDA spróbuje pobrać listę plików, a dla webserwera ściągnie kod HTML strony głównej.

(...)

https://niebezpieczn...cienda-w-akcji/
 
A tutaj inny projekt, zrobiony przez badacza:

(...) Botnet został użyty do dokładnego przeskanowania całego internetu. W ciągu trwania projektu wysłał 52 miliardy pingów (potrafił pingnąć każdy adres IP w ciągu doby oraz robił to w okresowych cyklach, by wykryć adresy, które pojawiały się od czasu do czasu). Odpytał też każdy adres IP o jego nazwę DNS. Oprócz tego przetestował – za pomocą nmapa – 71 miliardów portów na 660 milionach IP. W sumie zgromadził ok. 9TB danych. Według zebranych informacji, do sieci podłączonych jest ok. 1,3 mld urządzeń Jak wyglądają wyniki ich skanowania? Skrócony opis zająłby pewnie kilka stron, dlatego zapraszamy na stronę autora badania, gdzie przedstawia zarówno podsumowanie wyników, jak i sporo zebranych danych źródłowych. Lektura może być bardzo ciekawa (np. tu możecie obejrzeć animowanego gifa (9 MB) pokazującego dobową aktywność komputerów na całym świecie). Spakowane wyniki skanu zostały udostępnione w formie torrenta (jedyne 569 GB):

 
https://zaufanatrzec...nujac-internet/
 

[D.K.]

@D.K., to teraz Cię zasmucę, bo Google to naprawdę jest malutka zabawka przy innych rozwiązaniach:

Tak to robi NSA, czyli projekt HACIENDA:

Smucić to mnie to nie smuci, bo wychodzę z założenia, że tajne projekty są zgodnie z nazwą "tajne" i mają jakiś konkretny cel. Skanowanie portów widziałam u siebie już wielokrotnie, choć naturalnie nie twierdzę, że zaszczyciła mnie swoją wizytą ta HACIENDA lub drugi opisany przez Ciebie botnet. Bardziej stawiałabym na zabawę jakichś domorosłych adeptów hackingu. W pewnym sensie potwierdzają to okazjonalne próby wrzucania exploitów dla IIS-a, bo moja poczta przedstawia się jako Microsoft ESMTP MAIL Service, Version: 5.0.2195.6824, choć jedyny wspólny z Microsoftem element komputera to mocno złachana naklejka z licencją Windows 98 na obudowie.

Zresztą ogólnie w Internecie nie jest bezpiecznie, bo zdarzyło mi się kiedyś bawić w ogłupianie p0f-a na tyle skutecznie, że wykrywał bodajże XP -- nie nadążałam wtedy z przeglądaniem logów, tyle zaczęło mi wjeżdżać różnych botów, skryptów i innych takich zabawek.

 

Ale taka sama niecna aktywność stosowana przez jawnie działającą usługę nieco mnie irytuje.

 

Podsumowując, mam nieodparte wrażenie, że gdybym faktycznie miała jakieś dane, które koniecznie chciałabym ukryć przed światem zewnętrznym, a jednocześnie mieć do nich swobodny dostęp (czyli np. zaawansowane szyfrowanie odpada) to byłoby to "raczej" nietrywialnym zadaniem.

[szczyglis]

Podsumowując, mam nieodparte wrażenie, że gdybym faktycznie miała jakieś dane, które koniecznie chciałabym ukryć przed światem zewnętrznym, a jednocześnie mieć do nich swobodny dostęp (czyli np. zaawansowane szyfrowanie odpada) to byłoby to "raczej" nietrywialnym zadaniem.

A wiesz, że niekoniecznie? Istnieje jedno fajne rozwiązanie. Mianowicie:

 

https://mega.nz/

 

Dane są szyfrowane do chmury już podczas wysyłania, szyfrowane w dodatku bardzo silnym prywatnym kluczem. O ile na wszystkich pozostałych chmurach wszystkie dane można z automatu uznać jako "publiczne", tak jeśli chodzi o mega nie ma praktycznie żadnych szans na dostanie się do tych danych (lądują na serwery już w formie zaszyfrowanej, a połączenie przeglądarka-serwer idzie zupełnie innym kanałem, poprzez API samego browsera). Sam często z mega korzystam i jest on jak dla mnie dość dobrym połączeniem bezpieczeństwa z wygodą użytkowania.

 

A co do wykrywania adeptów hackingu, to też wiele razy bawiłem się w takie podpuchy, że ustawiałem zupełnie inne sygnatury, celowo na wersje, które akurat słynęły z obfitości dziur. Przeglądanie logów to była istotnie bardzo ciekawa zabawa. Ciekawa i trochę przerażająca, biorąc pod uwagę skalę działań, którą widzi się na własne oczy. Żadne artykuły i statystyki nie robią takiego wrażenia, jak to, gdy analizuje się to na własnych serwerach.

[Froke]

 

pliki cookies maja wiele zastosowań, trochę nam pomagają bysmy się nie zagubili w wirtualnym swiecie, ale również słuzą jako mali szpiedzy.

[D.K.]

 

Podsumowując, mam nieodparte wrażenie, że gdybym faktycznie miała jakieś dane, które koniecznie chciałabym ukryć przed światem zewnętrznym, a jednocześnie mieć do nich swobodny dostęp (czyli np. zaawansowane szyfrowanie odpada) to byłoby to "raczej" nietrywialnym zadaniem.

A wiesz, że niekoniecznie? Istnieje jedno fajne rozwiązanie. Mianowicie:

 

https://mega.nz/

 

Dane są szyfrowane do chmury już podczas wysyłania, szyfrowane w dodatku bardzo silnym prywatnym kluczem. O ile na wszystkich pozostałych chmurach wszystkie dane można z automatu uznać jako "publiczne", tak jeśli chodzi o mega nie ma praktycznie żadnych szans na dostanie się do tych danych (lądują na serwery już w formie zaszyfrowanej, a połączenie przeglądarka-serwer idzie zupełnie innym kanałem, poprzez API samego browsera). Sam często z mega korzystam i jest on jak dla mnie dość dobrym połączeniem bezpieczeństwa z wygodą użytkowania.

 

Słyszałam o tym. Faktycznie na pierwszy rzut oka wygląda ciekawie. Niemniej jednak całość opiera się na zaufaniu do bliżej nieokreślonej osoby/grona osób. Bo mega.nz twierdzi, że do szyfrowania wykorzystuje AES i rzeczywiście odbywa się to tak, jak piszesz, że przez ich serwery przechodzą wyłącznie dane zaszyfrowane. OK, niech im będzie. Tyle tylko, że o ile się orientuję, to AES jest szyfrem symetrycznym, a więc do odszyfrowania wykorzystuje się ten sam klucz. Przyznaję, że nie korzystałam nigdy z tego serwisu, więc nie wiem, jak to wygląda od strony praktycznej -- zakładam jednak, że całość jest transparentna dla użytkownika, a więc szyfrowanie realizuje się "samo" poprzez oprogramowanie mega.nz. I wszystko wygląda całkiem fajnie, o ile nie zaczniesz zastanawiać się, co się dzieje z kluczami?

Teoretycznie przechowywane są lokalnie. No właśnie: "teoretycznie". Masz jakąś gwarancję, że nie są przesyłane także na serwer mega.nz lub nie zaczną być tam przesyłane w przyszłości? 

 

Jeśli rozważać poziom bezpieczeństwa danych na poziomie zahaczającym o paranoję, to w takim przypadku należy pliki do przesłania najpierw zaszyfrować u siebie lokalnie (najlepiej na komputerze odciętym fizycznie od sieci...) kluczem prywatnym, a potem po przesłaniu odszyfrować kluczem publicznym -- czyli wykorzystać szyfr asymetryczny. I do tego najlepiej wykorzystać własną chmurę na własnym sprzęcie, a nie cudzym, gdzieś na drugim końcu świata.

W takim przypadku wygląda na to, że mega.nz przestaje mieć sens

 

* Nie roszczę sobie aspiracji do miana eksperta od szyfrowania, daleko mi do tego. Być może zatem coś oczywistego mi w tym momencie umyka.

[szczyglis]

D.K., owszem AES jest algorytmem symetrycznym, ale to działa tutaj nieco inaczej. Klucz do AES-a jest najpierw szyfrowany za pomocą hasła, jakie ustawia sobie użytkownik, następnie dopiero całość jest szyfrowana/deszyfrowana AES-em za pomocą odszyfrowanego klucza (nie odszyfrujesz danych mając jedynie funkcję skrótu klucza, w skrócie - sam klucz do AES-a jest zaszyfrowany jeszcze innym kluczem). Przy okazji wszystko na drodze "klient - serwer" leci zaszyfrowane 2048-bitowym kluczem RSA po SSL. Jest to naprawdę bardzo ciekawa kombinacja. Na tle wszystkich pozostałych, popularnych chmur Mega naprawdę się wyróżnia.

 

Zapewne też opierasz się trochę na dość starych zarzutach, co do Mega. Bo owszem - z początku, gdy chmura dopiero startowała (2012/2013 rok) były pewne problemy z implementacją kilku zabezpieczeń, ale wszystko to zostało wyeliminowane z czasem - zresztą ten serwis bez przerwy się rozwija, a nagrody głównej w bug bounty (jest tam taka, dla osoby, która złamie zabezpieczenia Mega) jeszcze póki co  - nikt nie zgarnął. 

 

Co do opcji paranoicznej, to też tak nie do końca z tymi własnymi serwerami. Profesjonalne serwerownie mają trochę więcej zabezpieczeń - samemu nigdy tak dobrze nie zabezpieczysz serwera jak sztab ludzi zatrudniony jedynie do tego i mający sprzęt z górnej półki. W dodatku trzeba w tym siedzieć na bieżąco i tylko tym się zajmować, bo każdego dnia są odkrywane jakieś małe bugi i podatności, na które trzeba wprowadzać poprawkę. Dziś postawiony "bezpieczny" serwer jutro już wcale taki bezpieczny może nie być. Natomiast co do samych plików - można pójść jeszcze głębiej, zaszyfrować zaszyfrowane dane w archiwum, wszystko władować dodatkowo na zaszyfrowany wolumen np. TrueCrypta i dopiero taki plik wrzucić na serwer. Można tak w nieskończoność, ale to już jest całkowicie bez sensu, bo będzie to totalnie niepraktyczne. Grunt to znaleźć ten złoty środek pomiędzy bezpieczeństwem, a jako taką wygodą korzystania.

[Kwarki_i_Kwanty]

,,Wielki Brat" patrzy? Czyżby słynne powiedzenie ,,nie masz Facebooka, nie żyjesz", czy też ,,napisz mi na fejsie, to później oddzownię", o ironio, miałoby jednak swoje uzasadnienie: jako wirtualne miejsce spotkań społeczności kontrolowane przez CIA i NSA w skali globalnej? A może tą najpopularniejszą platformę społecznościową, która jest swego rodzaju misą zbiorczą informacji o świecie i o nas samych (bez ,,fejsa" nie byłoby tych całych ,,snapchatów", ,,insta" etc.; a gdyby ich nie było zachowało by się na poważnie określenie: ,,informacja to rzecz święta"), stworzyło paradoksalnie amerykańskie NSA - National Security Agency  (,,No such Agency"), jako podstawowe dla tej organizacji narzędzie kontroli i dominacji nad fizycznymi danymi ludzi - tych osób, które korzystają z internetu? Może Agencja jest ,,kontrolowana" przez ,,Wielkich" tego świata - ,,pozakulisową, supertajną" instytucję pokroju Światowego Banku Danych?... Skoro nikt temu nie zaprzeczył, ani nie potwierdził, nic nie stoi na przeszkodzie, aby Facebook i NSA działały właśnie w tak misterny sposób. 

[Staniq]

Ależ "Oni" nie muszą nam skanować siłowo portów, ani grzebać w twardych dyskach bez naszej wiedzy. Patrząc na postępowanie moich znajomych, jestem pewien, że już dawno tym "Onym" pozwolili na takie zabiegi sami z siebie, bez wymuszania czegokolwiek. Dla takich ludzi szczytem zabezpieczenia jest zaklejenie taśmą kamerki w laptopie, ale spacerowanie po sklepie w galerii z włączonym fejsem już nie jest niczym poważnym.

A później płaczą, że ich telefon śledzi... a większość nawet nie wie, jak w swoim telefonie wyłączyć śledzenie przez inne aplikacje i to niekoniecznie społecznościowe.

[Kwarki_i_Kwanty]

Być może, choć na tego rodzaju ,,prorokowanie" jest za wcześnie, w przyszłości ,,subiektywny pieniądz" zostanie zastąpiony inną formą waluty: danymi - informacjami, które dzięki internetowi gromadzą się w sieci wymiany danych od dwudziestu kilku lat, które to w wyścigu korporacyjnym powoli stają się bardziej i bardziej wartościowsze niż pieniądz, mimo iż na razie za zdobycie takowych zbiorów informacji ,,o kimś" się po prostu płaci.

 

Dążymy do zalgorytmizowanej przyszłości, gdzie będzie rządził technohumanizm i datacentryzm. Swego rodzaju teoria spiskowa, głosi, iż w już niedalekiej przyszłości powstanie globalna Algorytmiczna Klasa Wyższa, którą stanowiłyby pozbawione świadomości super-inteligentne algorytmy. Ich sieci neuronowe zorientowałyby się, że człowiek jest na Ziemi po prostu zbędny; czy zatem wyparłyby ludzi do podziemi? A może wolność przepływu danych, o której mowa, czyli tzw. ,,Dataizm", spowoduje, że życie Cywilizacji zdominują same dane, że zlejemy się ze strumieniem informacji, które będą... wszędzie? Jedna klasa ,,super-ludzi" w zunifikowanej ,,dataistyczne ludzkości"?