@command-dos
Blog (53)
Komentarze (3.2k)
Recenzje (0)

Jak nie dać się podsłuchać — prze(z)PiS — VPN dla opornych

@command-dosJak nie dać się podsłuchać — prze(z)PiS — VPN dla opornych06.01.2016 23:01

Kiedy tak siedziałem i patrzyłem się w łazienkowy sufit, pomyślałem sobie, a miałem ostatnio trochę czasu na różne przemyślenia, że czułbym się niekomfortowo, gdyby (w tak głębokim moim skupieniu) dopadł mnie czyjś wzrok, lub ktoś usłyszałby wtedy często wypowiadane do samego siebie (od czasu do czasu warto porozmawiać z kimś mądrym) pewne swoje przemyślenia. Czułbym się tak, jakbym był zmuszony do chodzenia z przezroczystym plecakiem, aby każdy mógł zobaczyć co mam do niego zapakowane, choć zwykle nie noszę w nim ani bomb, ani też kompromitujących kogoś czasopism. Nie mam zbyt wiele do ukrycia, ale nie mając swojego kąta, zacisza gdzie spokojnie można sobie pogrzebać w... nosie, na przykład, gdzie każdy i o każdej porze bez mojego zezwolenia mógłby sobie popatrzeć, co w danej chwili robię, czego nie robię, czułbym się niekomfortowo.

ja... nie mogę: kto mi to tam włożył?
ja... nie mogę: kto mi to tam włożył?

Nie muszę nikogo uświadamiać, że doczekaliśmy się bardzo ciekawych czasów. Dzisiaj sporo rzeczy można załatwić przez internet nie ruszając się z domu: możemy zrobić zakupy, możemy zapłacić rachunki, możemy pracować, dzięki komunikatorom i portalom społecznościowym mamy kontakt z rodziną, ze znajomymi, zamiast iść do kina możemy pobra... eheh, strumieniować zakupiony film wprost na ekran naszego telewizora. W internecie przechowujemy także nasze pliki, zdjęcia, mamy dostęp do naszych pieniędzy, którymi możemy zarządzać, do informacji, które możemy przetwarzać, możemy w nim nawet popełnić przestępstwo, jak i być w nim także podglądani, podsłuchiwani, śledzeni - na nasze nieszczęście, nie możemy w nim jeszcze odbębnić odsiadki (chyba, że o czymś nie wiem).

każdy jest potencjalnym terrorystą

Wszystko, o czym mówił Snowden, okazało się prawdą: każdy (nie)rząd chce o nas wiedzieć jak najwięcej. Snowden swoją arogancją przyśpieszył działania władz w kierunku legalizacji podglądania naszych poczynań w sieci. Dziś już nikt nie ukrywa się z informacją, że jesteśmy "na podsłuchu". Oczywiście, że jesteśmy - to wszystko dla naszego dobra i bezpieczeństwa. Dlatego powinniśmy mieć szklane domy i plecaki. Ciuchy najlepiej też, ale to w późniejszym etapie, bo dziś jeszcze nie potrafimy zdjąć burek z niektórych. Sam Obama nie kryje się z tym, że nasze konta przed przyjazdem do Stanów są przeglądane. Ten sam prezydent stwierdził, że ludzie posiadają zbyt dobre narzędzia kryptograficzne. W imię walki z terroryzmem rodzime firmy (google, apple) powinny zacząć współpracować - powiada.

Poparcie dla Edwarda Snowdena w Warszawie
Poparcie dla Edwarda Snowdena w Warszawie

Biorąc pod uwagę to, że nikły jest przyjazd służb NSA do mnie (nie ma powodów), jak i równie nikły jest mój wyjazd do Stanów (nad polskie morze jest już dla mnie trochę daleko), powiedzmy że daję Obamie możliwość lustrowania moich kont - nie obchodzi mnie to. Patrząc jednak na to, co dzieje się od kilku dobrych lat na naszym podwórku, mam wrażenie, jakby ktoś cały czas przygotowywał mnie do chodzenia po mieście bez majtek...

jak nie drzwiami, to oknem

Można założyć, że wszystko zaczęło się od ACTA, protestów, oburzenia, a potem od odrzucenia ACTA. Następnie próbowano przepisy ACTA wprowadzić pod innymi nazwami z różnych stron: CETA, SOPA, PIPA, FACTA (choć w tym ostatnim nie za bardzo dotyczyło internetu i prywatności internautów)... Można przyjąć, że na dzień dzisiejszy wszystkie te kontrowersyjne ustawy zostały oddalone, ale nie przeszkadza to władzom różnych państw na wprowadzanie własnych przepisów pozwalających śledzić internautów. Tak postąpiła Francja wprowadzając swoje Hadopi.

Dzisiaj, kiedy u nas w kraju rządy sprawuje praktycznie jedno ugrupowanie, można wprowadzać takie zmiany w ustawach, o których POprzednikom nawet się nie śniło i pójść ścieżką Francji, albo można ich nawet spróbować przebić. Zauważyłem, że posłowie ostatnio często i ciężko pracują nocami - widocznie tyle jest do naprawienia PO poprzednikach, że może nie starczyć czasu. W pośpiechu chyba (inaczej nie potrafię wytłumaczyć takiego "faux pas") przygotowali m.in. nowelizację ustawy o policji, według której możemy być śledzeni przy pomocy GPS bez wymaganych nakazów i zgody, a w trakcie inwigilacji można zbierać i nie niszczyć od razu materiałów nie związanych z przedmiotem inwigilacji (zbieranie haków). Ale (zakładam) to nas nie dotyczy - nie jesteśmy jakimiś tam rzezimieszkami, którym trzeba chatę przewrócić do góry nogami i GPSy przyczepiać do podwozi samochodów.

Niepokój przeciętnego internauty powinien wzbudzić fakt, że do tej pory służby mogły pozyskiwać dane jedynie w oparciu o ustawę Prawo Telekomunikacyjne, a teraz chcą mieć możliwość lustrowania nas także na podstawie przepisów O Świadczeniu Usług Drogą Elektroniczną (art.18 tej ustawy mówi m. in. o: oznaczeniach identyfikujących usługobiorcę, oznaczeniach identyfikujących system teleinformatyczny, z których korzystał usługobiorca, informacjach o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną). Cholera jasna! To samo próbowali zrobić POprzednicy, ale im się nie udało, bo Trybunał Konstytucyjny (układanka prawie rozwiązana?), bo Trybunał Sprawiedliwości Unii Europejskiej. Ci ostatni przyczepili się do możliwości inwigilacji bez zgody sądu, ale na co nam zgoda sądu w cywilizowanym i prawym kraju. Nie mamy nic do ukrycia, więc 7 lutego 2016 majtki zostaną definitywnie ściągnięte i na ulicach możemy zacząć świecić naszymi czterema literami - nie ma różnicy.

budujemy tunel

Mam wrażenie, że nasza władza za bardzo się o nas martwi i musi wprowadzić pewne regulacje, abyśmy byli jeszcze bardziej bezpieczni. Zauważyłem kiedyś, że dzieci nadopiekuńczych rodziców potrafią wymyślać takie obejścia regulacji ich opiekunów, na które inne dzieci (normalnych rodziców) nie wpadłyby nigdy. Pomyślałem sobie, skoro mamy chodzić bez majtek, to najlepiej byłoby podróżować przez miasto kanałami... Tak! To jest myśl: już podczas II wojny światowej powstało sporo tuneli schronowych. W jednym takim ponoć utknął "złoty pociąg" i do dziś dnia nie mogą go odnaleźć. Wniosek jest taki, że tunel wydaje się być najskuteczniejszą formą ochrony przed wścibskimi oczyma naszego nadopiekuńczego państwa... Zatem, przystępujemy do budowy.

tunel schronowy
tunel schronowy

wybieramy VPS

Aby przystąpić do budowy naszego wirtualnego tunelu, będziemy musieli zaopatrzyć się w jakiś serwer VPS. I nie bądź chytry, kup jakiś porządny serwer, a nie jakieś badziewie, które jest tańsze tylko 5zł/miesiąc, bo będziesz się denerwował zamiast normalnie korzystać. Zamysł jest taki, że do tunelu wchodzisz ze swojego urządzenia, a wychodzisz na świat za granicami naszego wścibskiego państwa, więc serwer nie może znajdować się w Polsce, gdyż to on będzie naszym wyjściem z tunelu. Ja skorzystałem z oferty OVH - wykupiłem serwer VPS we Francji za niecałe 15 zyli miesięcznie. Ty nie musisz tam kupować, ale pamiętaj że chcąc dalej korzystać z moich rad, to kup taki z Debianem, Ubuntu, lub CentOS'em. Jeśli nie chcesz, to rób jak uważasz i olej ten "poradnik".

w ramach usługi VPS-SSD na OVH
w ramach usługi VPS-SSD na OVH

Postanowiłem, że systemem na serwerze będzie Ubuntu Desktop, ale nie wybieraj dystrybucji desktopowej, jeśli chcesz przyoszczędzić pamięć i procesor na serwerze - i tak powłoka graficzna nie będzie potrzebna, więc wystarczy jakaś czysta dystrybucja, np. Ubuntu Server. Po zakończeniu wszystkich kroków wraz z wyborem systemu, otrzymałem powiadomienie pocztą elektroniczną o gotowości maszyny do pracy oraz potrzebnymi poświadczeniami do zalogowania się do niej (adres, nazwa użytkownika, hasło).

instalacja VPN

Żeby rozpocząć instalację musimy zalogować się do naszego systemu na serwerze VPS. W moim przypadku loguję się do systemu na użytkownika root, zatem odpalam terminal (użytkownicy windows używają tu putty) i wpisuję:

ssh root@adres_serwera_VPS

i jestem zalogowany do konsoli Ubuntu na serwerze VPS. Tylko uważaj - teraz jesteś root, więc nie spartacz czegoś, bo masz dostęp do wszystkich plików! Zresztą, system można łatwo przywrócić, przeinstalować, więc nie ma problemu. Najpierw zmień hasło do użytkownika root w systemie na VPSie:

passwd

Podaj nowe hasło, powtórz je i zapamiętaj. Do utworzenia tunelu VPN posłuż się programem openvpn. W tym celu musisz go najpierw zainstalować, a potem skonfigurować, zatem wpisz w terminalu komedę:

apt-get install ope....

...zaraz, zaraz - miał być przePiS dla opornych... To zamiast tego powyżej klepnij:

wget git.io/vpn --no-check-certificate -O openvpn-install.sh && bash openvpn-install.sh

Za pomocą tego zaklęcia będziesz miał od razu zainstalowany i skonfigurowany tunel VPN. Skrypt instalacyjny zada Ci po drodze kilka prostych pytań:

  1. IP address: tu_pojawi_się_adres_serwera - naciśnij Enter, bo prawdopodobnie jest to dobry adres - zapamiętaj go. Ułatwi Ci to korzystanie z Twojego serwera VPS w przyszłości.
  2. Port: 1194 - zostaw to, nie ruszaj tego, jeśli chcesz w prosty sposób korzystać z tunelu.
  3. Tu pojawi się lista 1-6 z serwerami DNS: DNS [1-6]: 1 - wybierz 1 albo 2, a jeśli chcesz możesz wybrać nawet 6.
  4. Client name: client - słowo "client" możesz zastąpić tu czym chcesz, ale nie używaj spacji ani znaków specjalnych - to będzie nazwa certyfikatu, którego będziesz używał. Najlepiej zostaw i nie ruszaj tej opcji, jeśli zamierzasz z tunelu korzystać tylko z jednego urządzenia. Jeśli ma być ich więcej, to nazywaj je tak, abyś wiedział gdzie masz je poinstalowane, np. laptop, iphone, cellphone, itd.
  5. Press any key to continue... - no, do cholery... wduś wreszcie jakiś klawisz!

No i nareszcie masz postawiony serwer VPN wraz z gotową jego konfiguracją: Your client config is available at ~/client.ovpn. Ten plik konfiguracyjny powinien wystarczyć do konfiguracji klienta, ale doświadczenie pokazuje że mogą się przydać też osobne pliki certyfikatów, które zostały wygenerowane. Najlepiej pobierz konfigurację klienta (.ovpn) oraz certyfikaty. Dla formalności sprawdź, czy VPN działa:

service openvpn status

Powinieneś zobaczyć komunikat w stylu VPN 'server' is running. Z serwera VPS możesz się już wylogować, maszyna chodzi, VPN działa. Teraz ponownie przejdź do konsoli swojego lokalnego komputera i pobierz plik konfiguracyjny ovpn ze swojego serwera (jest tam, gdzie zakomunikował skrypt na końcu instalacji) komendą:

scp root@adres_Twojego_serwera_VPS:/root/client.ovpn ~/Pobrane/

podaj hasło, a następnie pobierz klucz:

scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/private/client.key ~/Pobrane/

podaj hasło i analogicznie pobierz także certyfikaty:

scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/issued/client.crt ~/Pobrane/
scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/ca.crt ~/Pobrane/

No i teraz na swoim komputerze w katalogu domowym/Pobrane (musisz taki posiadać, jeśli nie, to dostosuj komendy powyżej), masz plik konfiguracyjny (ovpn) oraz klucz (key), jak i dwa certyfikaty (crt). Możemy konfigurować komputer, komórkę i cholera wie co jeszcze.

konfigurujemy klienta VPN

Teraz nareszcie możemy skonfigurować nasz sprzęt, aby połączenie z internetem przechodziło szyfrowanym kanałem VPN przez nasz serwer.

Jeśli posiadasz Ubuntu, czy tam innego linuksa, gdzie jest zainstalowany network-manager (zazwyczaj jest), to musisz doinstalować network-manager-openvpn:

sudo apt-get install network-manager-openvpn

następnie kliknij prawym klawiszem myszy na ikonce połączenia sieciowego, wybierz z menu Połączenia VPN -> Skonfiguruj VPN...

Rozpoczęcie konfiguracji klienta VPN na Ubuntu
Rozpoczęcie konfiguracji klienta VPN na Ubuntu

Następnie kliknij dodaj i z listy wybierz Zaimportuj zapisaną konfigurację VPN... Cholera wie dlaczego, ale nie importuje się to u mnie poprawnie z tego pliku ovpn - jedynie adres serwera się zgadza. W takim przypadku powinieneś uzupełnić konfigurację o klucz i certyfikaty, które pobrałeś wcześniej, tak aby konfiguracja się zgadzała.

Tak powinna wyglądać konfiguracja VPN w Network Manager
Tak powinna wyglądać konfiguracja VPN w Network Manager

No i teraz, nareszcie, możesz sprawdzić drożność swojego zarąbistego tunelu. Ponownie kliknij prawym na ikonce połączenia internetowego, wybierz połączenia VPN -> client. Przy ikonce powinna się pojawić kłódka. Jeśli możesz przeglądać strony w przeglądarce, to najprawdopodobniej oglądasz już je poprzez wykonany przez siebie tunel. Sprawdź teraz, jak strony identyfikują Twoje IP i lokalizację, ale nie wchodź na strony porno i nie sprawdzaj, czy reklamy wyświetlają się po francusku, tylko wejdź na jakąś stronkę, która zbada Twoją geolokalizację IP, np. choćby tu: https://www.iplocation.net/find-ip-address . U mnie Host Location wskazuje na: Roubaix, Nord-Pas-de-Calais France, więc zakładam że tunel działa - brawo.

Jeśli chciałeś skorzystać ze swojego połączenia VPN na smartfonie z androidem, to uspokój się i pobierz appkę OpenVPN Connect. Wgraj do tego smartfonu ten swój plik client.ovpn, uruchom aplikację w tym telefonie, kliknij ... -> Import -> Import Profile from SD card, następnie odszukaj plik, który wgrałeś, client.ovpn i gotowe. Teraz przyciśnij Connect i nie wystrasz się, bo android będzie mówił, że ktoś Cię podgląda, ale to Twój serwer tylko będzie na Ciebie patrzył - zatwierdź to i nie panikuj więcej. W menu pojawi się kluczyk i ikonka aplikacji OpenVPN, co oznacza, że korzystasz z tunelu VPN - brawo.

Połączenie VPN za pomocą aplikacji OpenVPN Connect
Połączenie VPN za pomocą aplikacji OpenVPN Connect

Jak skonfigurować klienta VPN na systemach iOS oraz Windows, to musisz sobie doszukać, bo nie dysponuję takimi drogimi urządzeniami, na których te systemy się odpalają, ale myślę że też nie będzie problemu - zerknij tutaj: https://openvpn.net/index.php/open-source/downloads.html

No i teraz masz taki tunel, że jak z niego skorzystasz, to żona gdy będzie Cię chciała znaleźć w domu, to nie zobaczy Cię przed kompem! ;)

Dobra, tak na poważnie już, to masz tu teledysk o podglądaniu: [youtube=https://www.youtube.com/watch?v=3tUh-x-fp8Q]

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.