Rozmowy niekontrolowane: jak bezpiecznie i prywatnie korzystać ze smartfonu?

Słynny pisarz Philip K. Dick napisał w latach siedemdziesiątychzaskakująco prorocze słowa: przyjdzie taki czas, gdy kiedy niebędzie się już mówiło „oni mnie podsłuchują przez telefon”.Będzie się mówiło „mój telefon mnie podsłuchuje”.Dzisiaj w erze smartfonów można powiedzieć, że ku ucieszewielkiego biznesu, cyberprzestępców jak i organów ścigania wizjata się spełnia na naszych oczach. Naszym zdaniem sytuacja nie jestjednak beznadziejna. Choć powszechnie używane smartfony nie sąurządzeniami, które gwarantowałyby bezpieczeństwo i prywatność,to można je w dużym stopniu uodpornić na elektronicznąinwigilację. W poprzedniej części przedstawiliśmy metody, dziękiktórym utrudnimy śledzenie telefonów i nieupoważniony dostęp doprzechowywanych na nich danych, teraz przyjrzymy się sposobom namożliwie bezpieczną komunikację głosową i tekstową oraz anonimowe korzystanie z Sieci.

Na początku trzeba podkreślić jedną rzecz. Bezpieczeństwa iprywatności w Sieci nie uzyskamy w automagiczny sposób, poprzezzainstalowanie i uruchomienie jakiejś aplikacji z wielkim zielonymprzyciskiem „bądź bezpieczny”. Wiele takich porad,publikowanych ostatnio przez rozmaite serwisy, jest dla zwykłegoKowalskiego bardzo szkodliwa – po pierwsze daje mu fałszywepoczucie bezpieczeństwa, po drugie nakłania do użycia narzędzi,których należy używać z głową, rozumiejąc ich ograniczenia izagrożenia, jakie się z nimi wiążą. Niekompetentne ich użyciemoże sprawić, że ów zwykły Kowalski może zostać objętybardziej dokładną „kontrolą operacyjną”, której rezultatymogą być bardzo różne. Niestety taki stan rzeczy bierze się zpogoni za łatwo przyswajalną sensacją i niewystarczającąkompetencją techniczną – za pisanie tekstów o ochronieprywatności biorą się ludzie, którzy nigdy w życiu nieuruchomili sieciowego sniffera, nie potrafią napisać regułekzapory sieciowej iptables – ale właśnie potrafią polecićuruchomienie Tora na telefonie jako sposób na zapewnienie sobieprywatności w Sieci.

O bezpieczeństwie IT należy myśleć tymczasem jako o ciągłejwalce, w której w miarę rozwoju naszych zabezpieczeń napastnikrozwija swoje metody ataku. Pokazaliśmy to w pewnym stopniu w naszymcyklu poświęconym ofensywnemu bezpieczeństwu sieci Wi-Fi –ulepszaniu miecza i tarczy nie ma końca, ale zwykle to tarcza maprzewagę, chyba że dojdzie do odkrycia jakiejś spektakularnej lukiw zabezpieczeniach, która uczyni cały system zabezpieczeńbezwartościowym (tak jak było to z szyfrowaniem WEP). Jeśli takichluk akurat nie ma, napastnik będzie stosował rozmaite metodyniefrontalnego ataku, sztuczki mające nas zmylić czy osłabićstosowane zabezpieczenia do poziomu możliwego do złamania. My zeswojej strony, stosując rozsądnie rozmaite techniki zabezpieczeń,możemy zwiększać koszt przeprowadzenia takiego ataku, tak by stałsię on w praktyce niemożliwy. Stuprocentowej gwarancjibezpieczeństwa jednak nie ma i nie będzie – pamiętajcie o tymzawsze, gdy robicie cokolwiek, co powinno pozostać tylko Waszątajemnicą.

Jak pisaliśmy wcześniej, szyfrowanie używane w łącznościkomórkowej GSM jest dziś nic nie warte, można je łamać w czasierzeczywistym. Dopiero rozwój sieci 3G i 4G/LTE przyniósłwykorzystanie bardziej zaawansowanych kryptosystemów, dzięki którymmożna założyć, że transmisja danych między smartfonem a stacjąbazową jest nie do ruszenia. Tak samo jest w wypadku wykorzystaniadobrze zabezpieczonego Wi-Fi – na odcinku między międzysmartfonem a punktem dostępowym do naszych danych nikt się niedostanie. Co dzieje się jednak później? Smartfon, którystaje się terminalem internetowym, zyskuje możliwość korzystaniaze wszystkich usług sieciowych, jakie dostępne są dla zwykłychpecetów, zarazem jednak staje się podatny na te wszystkie metodyelektronicznej inwigilacji, które wykorzystuje się przeciwkopecetom. Zaczyna się od tego, że po połączeniu z infrastrukturąoperatora telekomunikacyjnego, w logach zostaje zapisane (wuproszczeniu), że o danej godzinie, poprzez daną stację bazową,uzyskało dostęp do sieci urządzenie z kartą SIM, które zgłosiłosię z określonym adresem MAC i otrzymało z puli określony adresIP.

Wszelka ujawniająca adres IP aktywność w Sieci (a więcprzeglądanie stron internetowych, używanie komunikatorów,wysyłanie e-maili, korzystanie z aplikacji dostępowych do usługczy nawet pobieranie plików przez sieci P2P) pozostawia w logachślad. Zgodnie zaś z obecnym prawem telekomunikacyjnych, operatorzyzobowiązani są do przechowywania danych o połączeniach w ramachsieci komórkowej i Internetu przez 12 miesięcy – i w praktycedane te są udostępniane na każde żądanie służb, bezjakiejkolwiek kontroli sądowej. Z nich można wyczytać adresywszystkich urządzeń, z jakimi się komunikujemy i czas, w którymdo tego doszło. Dysponując tymi danymi, łatwo ustalić tożsamośćużytkownika. Od tego tylko krok do uważniejszego śledzeniaaktywności w Sieci, gromadzenia wszystkich pakietów IP kierowanegodo niego ruchu sieciowego. Co prawda według prawa sama treśćkomunikacji objęta jest tajemnicą i poddana ochronie prawnej, comiałoby oznaczać, że służby nie mogą bez żadnych regulacji sięjej przyglądać, jednak już same metadane, czyli informacje o tym,kto, z kim i kiedy się komunikował, wystarczą do stworzeniaprofilu aktywności każdego internauty.

Najgorzej w tej sytuacji mają klienci korzystający z abonamentu– poproszony o ujawnienie danych operator wyda od razu logi całych12 miesięcy aktywności w Sieci, połączone z ich imieniem,nazwiskiem i adresem zameldowania. W razie czego mogą się oni conajwyżej tłumaczyć się, że to kolega podkradł telefon iopublikował na publicznym forum np. wpis szkalujący władzepaństwowe. Stosunkowo najlepiej mają ci, którzy donierejestrowanego w kraju smartfonu włożyli zakupioną za gotówkęw innym mieście kartę SIM dla numeru prepaid, ale jak wieśćgminna niesie, i takich potrafiono namierzyć. Nawet bowiemkorzystanie z pozornie anonimowych kart nie chroni przed atakamikorelacyjnymi, czy atakami zbierającymi „odcisk palca”namierzanego urządzenia – dysponujący odpowiednimi zasobaminapastnik jest w stanie powiązać go z podobną aktywnością,przeprowadzaną za pomocą mniej już anonimowych form połączenia,z podobnych lokalizacji. Pewną ochroną może być podobniewykorzystanie otwartych publicznych hotspotów Wi-Fi zamiastpołączenia komórkowego, ale i tu trzeba się liczyć z możliwościąnamierzenia.

Politycy, urzędnicy i organizacje pozarządowe mogą bez końcadyskutować nad zasadnością przechowywania tych danych i ichudostępniania służbom, ogłaszana może być konieczność zmiantakiego stanu rzeczy (notabene konieczność zmiany tej dowolności wsięganiu po dane telekomunikacyjne przez służby potwierdziłaNajwyższa Izba Kontroli, która m.in. skrytykowała fakt, że wPolsce jedynym podmiotem oceniającym zasadność sięgnięcia podane jest służba, która danych tych sobie zażądała). Niczego tojednak nie zmieni – policja i inne służby dysponują środkamitechnicznymi pozwalającymi na szeroko zakrojoną elektronicznąinwigilację, i żadne prawne i administracyjne akty tego niezmienią. Ceniący swoją prywatność muszą zadbać o nią sami.

Obecnie dysponujemy w praktyce trzema dojrzałymi narzędziami,które pozwoliłyby ukryć naszą aktywność w Internecie. Towirtualne sieci prywatne (VPN), router cebulowy Tor, oraz anonimowasieć I2P. Każda z nich ma swoje zalety, każda ma i wady, żadnajednak nie stanowi internetowej czapki-niewidki. Przyjrzyjmy się imbliżej.

Uwaga: Jeśli zależy nam na najwyższym poziomie bezpieczeństwa przy anonimowym przeglądaniu Internetu, warto zadbać o to, by wyłączyć obsługę JavaScriptu. Skrypty znajdujące się na odwiedzanych stronach mogą być złośliwe, i zdradzić ich administratorom nasz adres IP. Niestety nawet bezpieczna przeglądarka Orfox ma obsługę JavaScriptu domyślnie włączoną. By ją wyłączyć, należy przejść do adresu about:config i wyszukać ustawienie javascript.enabled, a następnie przyciskiem Toggle zmienić wartość na false. Coś za coś: niestety w konsekwencji wiele stron internetowych nie będzie działało.

Wirtualne sieci prywatne (Virtual Private Networks) stanowiąfundament bezpiecznej komunikacji w Internecie i co najważniejsze,wykorzystywane są powszechnie także przez ludzi, którzy twierdzą,że w zasadzie nie mają nic do ukrycia. Wystarczy, że pracują wwiększej korporacji – ze względów bezpieczeństwa skorzystanie zfirmowej infrastruktury informatycznej (choćby firmowej poczty)wymaga nawiązania połączenia z serwerem VPN, tworząc w ten sposóbszyfrowany tunel. To bardzo istotna informacja – wirtualne sieciprywatne są po prostu częścią biznesowej komunikacji, samopojawienie się takich szyfrowanych tuneli nie wywołuje alarmu umonitorującego ruch sieciowy napastnika.

Dane, które trafiają do tunelu VPN zostają ukryte poprzezprotokoły szyfrowania (np. SSLv3/TLSv1), co oznacza, że nikt, nawetoperator telekomunikacyjny, nie może ich zobaczyć. Jedyne coodnotuje, to fakt, że taki tunel został utworzony przez urządzeniepodłączone do jego sieci, jak również ile danych przez ten tunelprzechodzi. Z kolei zewnętrzny obserwator, przyglądając sięruchowi sieciowemu przechodzącemu przez drugi koniec tunelu, niebędzie w stanie powiedzieć nic na temat urządzenia, któreinicjowało połączenia po drugiej stronie.

W ten sposób łączące się przez VPN urządzenie może przebićsię przez restrykcyjne zapory sieciowe, ukryć komunikację przednapastnikami nasłuchującymi ruch w otwartych publicznych sieciachWi-Fi, strumieniować muzykę czy filmy z usług, które sągeograficznie zablokowane (usługa widzi wówczas adres IP serweraVPN, np. w Stanach Zjednoczonych, a nie adres IP smartfonu czykomputera w Polsce), korzystać ze stron WWW bez ujawniania ichserwerom swojego adresu IP, czy bez większych obaw wymieniać sięplikami w sieciach P2P.

Czemu zatem VPN nie jest uniwersalną receptą na zachowanieprywatności? Pierwszy problem polega na tym, że sam serwer VPNwidzi cały przechodzący przez niego ruch, tworzy i przechowuje logicałej aktywności. Deklaracje niektórych dostawców VPN, że oniniczego nie logują, nie muszą być wiarygodne – tym bardziej, żebez jakiegokolwiek logowania trudno byłoby walczyć z technicznyminadużyciami czy utrzymać jakość usług. Jeśli zresztą weźmieciesię za czytanie regulaminów wielu firm świadczących takie usługi,zobaczycie, że zastrzegają one konieczność współpracy zorganami ścigania, mimo że w materiałach marketingowych gorączkowozapewniają, że ich klienci mogą cieszyć się anonimowością wSieci. Drugi to koszt – jedynie nieliczni dostawcy VPN oferujądarmowy dostęp, który jest wówczas zwykle bardzo okrojony ispowolniony. W praktyce za dostęp do wirtualnej sieci prywatnejtrzeba płacić, zwykle równowartość od 5 do 15 dolarówmiesięcznie. I to nas prowadzi do trzeciego problemu, anonimowości.Dostawcy VPN, którym zapłacimy kartą kredytową, będą znalinaszą tożsamość. A jeśli mają przy tym też pełne logi naszejaktywności w Sieci… nasza anonimowość zależy wyłącznie oddobrej woli dostawcy i jego odporności na naciski. Pamiętajmyjednak, że praktycznie żaden operator nie jest jednak odporny nauzbrojonego w sądowy nakaz policjanta.

Na szczęście jest w czym wybierać. Możemy znaleźć dostawcówusług VPN, którzy nie tylko minimalizują okres przechowywanialogów i działają we względnie bezpiecznych państwach, ale teżnawet nie chcą znać naszej tożsamości – płatności za swojeusługi przyjmują za pomocą kryptowalut, takich jak bitcoiny czylitecoiny. Godnymi polecenia dostawcami są (w kolejnościalfabetycznej):

• AirVPN(https://airvpn.org/), przyjmujący bitcoinyi kosztujący miesięcznie 7 euro. Dostawca ten pozwala natunelowanie wszystkich protokołów, usług i aplikacji, oferujewłasny, odporny na cenzurę serwer DNS, nie ogranicza maksymalnejszybkości transferu ani ilości danych i wykorzystuje OpenVPN,najbezpieczniejsze spośród dostępnych rozwiązań do tworzeniasieci prywatnych, z najwyższym poziomem szyfrowania (klucze RSA 4096bit, kanał danych szyfrowany AES-256) i mechanizmami regularnejwymiany kluczy kryptograficznych. Co szczególnie ważne, nie używajakiegoś własnościowego klienta VPN, który nie wiadomo co taknaprawdę robi, ale standardowego klienta Open Source.
• BolehVPN(https://bolehvpn.net/), który kosztujemiesięcznie 10 dolarów i przyjmuje płatności nie tylko wbitcoinach, ale też w wysoce anonimowej walucie Dash (niegdyśDarkCoin), oraz kryptomonetami XEM, wykorzystywanymi przez cyfrowąplatformę wolnej gospodarki NEM. I tu wykorzystywany jest OpenVPN znajwyższym poziomem szyfrowania (oraz L2TP dla tych urządzeń, naktórych OpenVPN nie działa), jak również autorska usługa xCloak,która podobno jest w stanie zamaskować szyfrowany tunel VPN, tak,że dla dostawcy Internetu nie wygląda już na VPN.
• TrilightZone(https://www.trilightzone.org/privacysolution.html),które zostało uznane kilka lat temu przez amerykański NSA za„katastrofę” dla prowadzących inwigilację. Kosztuje 30 euro zatrzy miesiące (50 euro za sześć miesięcy i 80 euro za rok),płatności przyjmuje w bitcoinach i litecoinach. Podobnie jak wwypadku AirVPN oferuje nieograniczony, nielimitowany transfer danych,wykorzystuje OpenVPN z najwyższym poziomem szyfrowania iopensource'owym klientem, a także pełne wsparcie techniczne dlaklientów. Zaawansowani użytkownicy, którzy z różnych powodównie chcą lub nie mogą korzystać z VPN, mogą skorzystać zoferowanych przez tego dostawcę tuneli SSH.

Niezależnie od tego, na którego dostawcę wirtualnych sieciprywatnych się zdecydujecie, konfiguracja połączenia przebiegaćbędzie podobnie. Sam Android nie obsługuje OpenVPN (wstyd Google,wielki wstyd) – po opłaceniu, dostawca przekaże wam plikkonfiguracyjny .ovpn, który wykorzystać można w kliencie OpenVPNfor Android. Po uruchomieniu klienta importujemy plik konfiguracyjny (i ewentualniedodatkowe pliki .pem/.pkcs12) dotykając ikonkę pobierania w prawymgórnym rogu ekranu – jeśli jest on poprawny, wystarczy terazzapisać go, dodając do listy VPN-ów i połączyć się, dotykającnazwę swojej sieci prywatnej.

O Torze (The Onion Router) głośno (może za głośno?) jest odwielu już lat – cebulowy router jest najbardziej dziś kojarzony ztzw. „darknetem”, anarchistyczną stroną Sieci, czyli witrynamiz adresem kończącym się rozszerzeniem .onion. Są one niedostępneprzez „zwykłe” przeglądarki i uważane przez wielu za przystańdla wszystkiego, co złe i nielegalne. Przede wszystkim Tor jestjednak siecią anonimizującą, przeznaczoną do ukrywania tożsamościużytkownika, poprzez przekierowywanie jego ruchu sieciowego przezrozproszoną sieć autonomicznych węzłów, z których każdy znatylko adresy IP węzłów, z którymi jest połączony, nie znanatomiast jednocześnie adresu łączącego się klienta ani adresuserwera, z którym klient chce się połączyć. Przesyłane międzywęzłami dane są oczywiście wielokrotnie szyfrowane, a całaścieżka losowo dobierana, tak by nawet napastnik, który przejąłkontrolę nad którymś z węzłów, nie mógł za wiele z tymzrobić.

Każdy z tych węzłów Tora prowadzony jest przez ochotników,zarówno osoby prywatne, jak i organizacje hakerskie (np. ChaosComputer Club) czy organizacje walczące o wolność Sieci(Electronic Frontier Foundation). Ci, którzy prowadzą węzły wśrodku, mogą mieć spokojne głowy, pomagają sieci, ale w zasadzienic im nie grozi. Zagrożeni są jedynie prowadzący węzływyjściowe, przez które ruch przechodzący przez Tora trafia dodocelowych serwerów internetowych – to ich odwiedzić mogą wkażdej chwili służby i pociągnąć do odpowiedzialności za np.zakazane treści, w których przekazywaniu węzły te pośredniczyły.By Tor dobrze działał, potrzeba więc dla tych ochotników wsparciafinansowego, pozwalającego im opłacić zarówno generowany ruchsieciowy, jak i pomóc w razie problemów prawnych. Oczywiściezwykły użytkownik nie musi (a nawet nie powinien) robić ze swojegourządzenia węzła wyjściowego, ale zainteresowani rozwojem Toramogą pomóc, wpłacając środki na konto niemieckiej fundacjiZwiebelfreunde e.V.Oprócz „zwykłych” pieniędzy przez przelew bankowy czy PayPala,przyjmuje też ona bitcoiny, litecoiny i dashe.

Samo korzystanie z Tora na jest oczywiście bezpłatne – i wtych czasach mogłoby się wydawać, bardzo łatwe, także nasmartfonach. Wystarczy pobrać Orbota, oficjalnego klienta Tora dlaAndroida, orazzintegrowaną z nim lekką przeglądarkę Orweb, lub cięższą, alewygodniejszą przeglądarkę Orfox, zbudowaną na bazie mobilnegoFirefoksa. Czemu zatem nie korzystać po prostu z Tora do całejprywatnej komunikacji?

Niestety Tor oprócz swoich licznych zalet ma liczne wady. Przedewszystkim jego uruchomienie jest zauważalne dla obserwującego ruchsieciowy napastnika, a w przeciwieństwie do wirtualnych sieciprywatnych, trudno tu ukryć się wśród „biznesowychużytkowników”, łączących ze swoimi korporacyjnymi sieciami.Włączający Tora zwykły Kowalski od razu daje sygnał, że jestbardziej interesujący, niż grono korzystających z VPN-ówIksińskich. Po drugie, Tor działa znacznie wolniej, niż połączenieVPN, jest też często blokowany przez same serwisy internetowe –robi to np. Wikipedia, która by uniemożliwić akty anonimowegowandalizmu, blokuje wszelkie próby redakcji artykułów z węzłówwyjściowych Tora. Praktycznie nie nadaje się też do wymiany plikówprzez P2P i strumieniowania mediów, łatwy jest również doprzeciążenia i „zatkania” atakami DDoS.

Po trzecie wreszcie, ze względu na popularność cebulowegoroutera nieustannie rozwijane są też metody ataku, zarównopośrednie (np. nakłanianie użytkowników do wejścia na stronyinternetowe zawierające złośliwy kod, demaskujący realny adresIP), jak i bezpośrednie, związane np. z analizą charakterystykruchu, czy wykorzystaniem ujawniający adresy IP błędów wprotokołach sieciowych uruchomionych po Torze. Problemem są teżsami użytkownicy, którzy korzystają z Tora w sposóbnieodpowiedzialny, używając go np. wraz z niebezpiecznymi systemamioperacyjnymi czy innym oprogramowaniem, które komunikuje się zserwerami w sieci bezpośrednio. Nawet jeśli jednak po swojejstronie wszystko zabezpieczyliśmy, wciąż istnieje zagrożenie, żewęzeł wyjściowy został przejęty przez napastnika – i widzi onwszystko, co robimy. Niektórzy eksperci otwarcie mówią o tym, żeznaczna część węzłów wyjściowych Tora jest prowadzona przezagencje wywiadu, które mają przecież więcej pieniędzy, niżwalczące o wolność Sieci organizacje. Przejęte na węźlewyjściowym dane, nawet jeśli nie ujawnią adresu IP, pozwolić mogąnapastnikowi na skuteczne zgadywanie tożsamości użytkownika.

Androidowy Orbot działa dziś nawet na urządzeniach bez roota,mając roota możemy jednak wykorzystać mechanizm przezroczystegoproxy, który pozwoli przekierować cały ruch generowany przezurządzenie przez Tora. W przeciwnym wypadku będziemy mogliwykorzystać z nim jedynie aplikacje zaprojektowane z myślą oOrbocie (Orweb czy Orfox) oraz te, w których możemy zmieniaćustawienia proxy. Konfiguracja jest bardzo prosta, w większościwypadków nie będziemy potrzebowali nic zmieniać. Przycisk Sprawdźprzeglądarkę uruchomi nam Orfoksa lub Orbota ze stroną testową,pozwalającą ustalić, czy jesteśmy (względnie) anonimowi.Przycisk Aplikacje pozwoli uruchomić tryb VPN, w którymprzekierujemy cały ruch ze wszystkich aplikacji przez Tora – alenie jest to bezpieczne, służy raczej przebiciu się przez blokującenas zapory sieciowe. Przycisk Mostki pomoże, gdy dostawca Internetuzablokował u siebie Tora, program spróbuje wówczas ustanowićtunel do któregoś z prowadzonych przez ochotnikówserwerów-przekaźników. Uruchomienie bezpiecznego połączeniaodbywa się przez dotknięcie dużej ikony cebuli – przeciągajączaś palcem od lewej krawędzi zobaczymy panel z logami aktywności.

Niektórzy uważają I2P (InvisibleInternet Project) za alternatywę dla Tora. W przeciwieństwie doTora niewiele się jednak o I2P mówi, blogoidy nie piszą o tejsieci sensacyjnych artykułów, a jednak działa – i jest bardzointeresującym rozwiązaniem dla tych, którzy w anonimowy sposóbchcą czytać i udostępniać w ukrytej sieci informacje.

Pod względem architektury jak i założeń projektowych jest tocoś zupełnie innego. I2P to sieć P2P, która służyć ma nie tyleanonimowemu dostępowi do publicznego Internetu (choć jest tomożliwe przez system bramek) co uruchomieniu w Internecieprawdziwego, ukrytego darknetu, dla ruchu pozostającego w jegogranicach. Zamiast kierować pakiety po losowo ustanawianychobwodach, I2P rozsyła swoje pakiety wszystkimi możliwymi drogamipomiędzy węzłami, oczywiście z szyfrowaniem transmisji. Ma teżcałkowicie rozproszoną formę, bez katalogu pozwalającego nauzyskanie kompleksowego oglądu sieci, dynamicznie tworzy iaktualizuje strukturę tras między węzłami, w której każdy zwęzłów-routerów nieustannie ocenia przepustowość innych i wymienia się z nimi tymi informacjami. To sprawia, że dobrze sięspisuje przy w pełni anonimowej wymianie plików P2P, jak i zapewniaszybszy dostęp do ukrytych witryn (tzw. eepsites, stron z adresamikończącymi się na i2p).

Największą różnicą między I2P i Torem jest obsługaaplikacji. O ile klient Tora jest czymś w rodzaju lokalnego proxydla zewnętrznego oprogramowania (przeglądarek czy komunikatorów,to I2P jest raczej platformą, na której działa oprogramowanienapisane do działania na I2P – np. klient BitTorrenta I2PSnark,anonimowy system poczty I2P-Bote czy komunikator I2P-Talk. Z I2Pdziałają też takie (dość niszowe) kryptowaluty jak Anoncoin czyMonero.

Dostęp do Niewidzialnego Internetu na Androidzie można uzyskaćpoprzez oficjalnego, opensource'owego klienta o nazwie I2P. Po zainstalowaniuwystarczy dotknąć dużego przycisku na głównym ekranie interfejsu– i poczekać, niekiedy nawet kilka minut. Klient rozpoczynaposzukiwanie tuneli, z którymi się połączy. Teraz kliknięcie wjakikolwiek adres z końcówką I2P otworzy stronę we wbudowanejprostej przeglądarce.

By skorzystać z dostępu do WWW przez bardziej rozbudowanebrowsery, należy ustawić im proxy HTTP, tak by korzystały zlokalnego adresu 127.0.0.1 port 4444. Wygodnie jest w tym celuznaleźć jedną przeglądarkę, którą tak skonfigurujemy –polecamy skorzystać ze zwykłego Firefoksa, oferującego rozbudowanemechanizmy ochrony prywatności. Niestety nie oferuje on interfejsugraficznego do zmiany tych ustawień, ale łatwo zrobimy to podoinstalowaniu dodatku Network Preferences z oficjalnego sklepuMozilli. Wystarczy wówczas wywołać z menu Narzędzia pozycjęDodatki, tam wybrać Network Preferences Add-On i ustawić HTTP Proxyna wspomniany adres i port.

Skoro I2P jest takie fajne, to czemu nie jest uniwersalnymsposobem na ochronę przed inwigilacją? Cóż, przede wszystkim jestmniej odporne na blokowanie, wolniej się rozwija (mniejsze fundusze,mniej deweloperów), słabo sobie radzi z dostępem do zewnętrznejsieci (mało bramek wyjściowych), w teorii podatny jest też nakilka typów ataków ze strony napastników dysponującychodpowiednio dużymi zasobami, których realne konsekwencje niezostały dobrze zbadane. Należy więc I2P uważać za interesującydodatek do Tora i VPN, mający swoje zastosowania, lecz nieuniwersalny. W niedalekiej przyszłości poświęcimy mu oddzielnyartykuł.

Możliwe jest wykorzystanie VPN i Tora ze sobą, w celu uzyskaniawiększego bezpieczeństwa i prywatności. Tak przynajmniej powiedzączołowi dostawcy VPN, oferujący obsługę Tora jako dodatkowąatrakcję, mającą przyciągnąć im klientów. Dyskusje ekspertówna listach związanych z Torem pokazują jednak, że wcale tak jednakbyć nie musi – w zależności od tego, co robimy, możemy nawetzmniejszyć swoje bezpieczeństwo i prywatność. Możliwości jesttu wiele, omówimy najbardziej sensowne z nich.

Przekierowanie Tora przez aktywny VPN jest dobrym sposobem naukrycie przed dostawcą Internetu (i co za tym idzie napastnikamiprowadzącymi „kontrolę operacyjną”), że korzystamy z Tora. Popołączeniu tunel VPN będzie domyślnym połączeniem internetowym,a „storowana” przeglądarka będzie się łączyła przez niego.Zaletą takiego rozwiązania jest to, że nawet przejęty przeznapastnika węzeł wyjściowy Tora nie będzie wiedział, kto stoi zaadresem przedstawionym przez VPN, o ile dostawca VPN nie wyda logów.Wówczas atak korelacyjny może łatwo zdemaskować użytkownika

Ważne jest jednak, by zawsze pamiętać o uruchamianiu klientaVPN przed uruchomieniem Tora. Problem może również wystąpić wrazie zerwania połączenia VPN. Przyda się w tej sytuacji root iuruchomienie w Orbocie mechanizmu przezroczystego proxy dlawszystkich aplikacji.

Rozwiązanie to jest najbardziej polecane tym, którzy nie są nacelowniku napastnika o globalnych wpływach (np. NSA), a a po prostuchcą ukryć swoje działania przed np. lokalnymi służbami (np.dziennikarze dysponujący nagraniami prywatnych wypowiedzi ministra).

Można przekierować też usługi VPN przez Tora, co ukryjeaktywność w sieci przed węzłami wyjściowymi. Jest to jednakrozwiązanie bardzo jednak trudne, wymagające wykorzystania maszynwirtualnych (najlepiej skorzystać ze specjalizowanej dystrybucjiLinuksa – Whonix), raczej nie należy próbować robić tego nasmartfonie. Konfiguracja ta ma jednak swoje zalety –dostawca VPN nie widzi naszego adresu IP, chroni to także przedzłośliwymi węzłami wyjściowymi, gdyż dane są zaszyfrowane pozaTorem. Pozwala też obejść wszelkie blokady postawione przed Torem.

To rozwiązanie dla osób, które chcą uruchomić swój własnyserwer VPN. Nietrudno to dziś zrobić na nowoczesnych routerach czydyskach sieciowych, np. w urządzeniach Synology własnego VPN-a wkilka minut, i oczywiście nic za to nie płacimy. Po co to robić?Nie ukryje to przed naszym dostawcą Internetu ruchu Tora, nieochroni to przed analizą aktywności przez przejęte węzływyjściowe Tora, pozwoli jednak zagwarantować, że cały ruchsieciowy wychodzący z urządzenia będzie przekierowywany przezTora, bez żadnych wycieków. Jest to więc rozwiązanie lepsze, niżbezpośrednie łączenie się z Torem.

Dysponując bezpiecznym połączeniem z Siecią po VPN, możnapomyśleć o bezpiecznym rozmawianiu przez telefon. Nawet jeśliwierzymy w niezawodność szyfrowania połączeń 3G/4G, to i taktrzeba pamiętać, że każda rozmowa czy wysłanie SMS-a przez siećkomórkową pozostawia ślady – metadane, z których napastnikdowie się, z kiedy i z kim rozmawialiśmy oraz gdzie wtedy byliśmy.

Jeśli jednak przeprowadzimy rozmowę przez bezpieczną platformętelefonii internetowej SIP, napastnik może jedynie bezsilniezgrzytać zębami – nie dość, że nie wie prawie nic o naszymruchu sieciowym, to i nie zbierze żadnych metadanych o rozmowie. Wwypadku Androida polecić możemy trzy sposoby na takie bezpiecznerozmowy.

Pierwszy to klient telefonii internetowej CSipSimple, oferujący nie tylko wysoki poziomjakości dźwięku (kodeki HD) ale też solidne szyfrowanie (TLS),możliwość nagrywania rozmów oraz integrację z systemowymdialerem. Radzimy wykorzystywać go w połączeniu z dostawcątelefonii Ostel – w klienciewystarczy podać tylko login i hasło, nie trzeba niczego jużustawiać. Niestety pamiętajmy, że przez OStel nie zadzwonimy donumerów w sieciach komórkowych czy stacjonarnych, nasz rozmówcateż musi mieć konto w Ostelu. Możemy oczywiście sięgnąć pokomercyjnego dostawcę telefonii VoIP, zapewniającego bramki dozewnętrznych sieci telefonicznych, ale trzeba pamiętać, że obniżato nasze bezpieczeństwo, polscy operatorzy takich usług raczej nieoferują anonimowych kont i płatności kryptowalutami.

Drugi warty uwagi klient telefonii i wideotelefonii to Linphone. Oferuje pełną zgodność z dostawcamiSIP, możliwość prowadzenia wideokonferencji i silne szyfrowanie poprotokole ZRTP. Można wykorzystywać go z kontem u dostawcy Ostel,jak również z innymi dostawcami, także polskimi (pamiętając oproblemach z anonimowością, jakie to przynosi).

Uwaga: łącząc Linphone z Ostelem, trzeba pamiętać, by w ustawieniach konta Settings > SIP Accounts/[nazwa konta] zmienić ustawienie opcji Advanced > Transport z UDP na TLS. Warto też w opcji Settings > Network włączyć szyfrowanie połączeń, zmieniając ustawienie Media encryption z None na ZRTP.

Nie można zapomnieć o niezwykle zachwalanym komunikatorze Signalfirmy Whisper Systems, który powstał w wyniku połączenia dwóchwcześniejszych jej aplikacji – komunikatora tekstowego TextSecurei klienta telefonii Redphone. Ma on niewątpliwie wiele zalet, klientjest opensource'owy, wykorzystuje silne mechanizmy szyfrujące,zapewnia wysoką jakość rozmów głosowych, pozwala na grupoweczaty i może zastąpić androidowego klienta SMS, do wysyłaniatakże niezaszyfrowanych wiadomości.

Signal ma jednak pewną wadę, która nas niepokoi. Otóż zjakiegoś tajemniczego powodu (podobno dla wygody użytkowników),używa nie loginu i hasła, lecz numeru telefonu, na który zostajewysłany kod weryfikujący. Czy ktoś właśnie pomyślał – atakkorelacyjny? Dodatkowo architektura serwerowa jest w wysokim stopniuscentralizowana. Tak więc, choć od strony kryptograficznej Signalwydaje się rozwiązaniem bardzo bezpiecznym, to jednak wiele teżzależy od tego, jak bardzo ufamy firmie Whisper Systems. Dodatkowoaplikacja nie uruchomi się na androidowych urządzeniach bezwłasnościowych Google Play Services. Signal znalazł sięoczywiście w naszej bazie oprogramowania.

Jeśli Signal z tych czy innych powodów Wam nie odpowiada, możnazainteresować się dostępnym w naszej bazie oprogramowaniaopensource'owym komunikatorem ChatSecure. Wykorzystuje on szyfrowanieOTR po protokole XMPP (Jabber), pozwala też na połączenie zkontami na Facebooku i Google (co nie jest dobrym pomysłem zperspektywy bezpieczeństwa. Jako że nie ma on własnejinfrastruktury, bezpieczeństwo komunikacji w dużym stopniu jednakbędzie zależało od tego, którego z dostawców XMPP wybierzemy –zaawansowani mogą uruchomić nawet własny serwer XMPP i hostowaćgo w Torze. Pozostałym możemy jednak polecić dwóch solidnychdostawców Jabbera, którzy stosują dobre praktyki, nie gromadząlogów i oferują anonimowy dostęp przez Tora. Są to CalyxInstitute oraz OTR.im.

W kolejnym odcinku naszego przewodnika po prywatności przyjrzymysię zagadnieniom związanym z bezpiecznym wykorzystaniem popularnychusług webowych. Dziś w końcu bowiem nawet Facebook, którego niekojarzymy raczej z prywatnością, oferuje dostęp do serwisu poprzezTora. Poszukamy bezpiecznej poczty elektronicznej i dysków online – o ile jest to w ogóle możliwe.