על פרטיות והצפנה

לפני כשבועיים מחקתי בטעות חלק מקוד המקור שמייצר את הבלוג, זה נכנס גם לגיבוי, וכשגיליתי את זה החלטתי לנצל את ההזדמנות ולכתוב סקריפט Shell קטן שייצר את הבלוג הסטטי. עד היום השתמשתי ב - Jekyll אבל תמיד רציתי להעביר את הבלוג לפורמט אחר. אז זה מה שקרה בשבוע האחרון הייתי צריך להמיר את הפוסטים בבלוג לפורמט החדש, לכתוב את הסקריפט ובסופו של דבר התוצאה לפניכם: כל הבלוג נוצר מסקריפט - Shell עם 200~ שורות!

ולנושא:

עוד 20 שנה כבר לא תהיה פרטיות. אף אחד לא ידבר על Facebook או Google, לאף אחד לה יהיה אכפת מה - NSA, המאגר הביומטרי או קיימבריג' אנליטיקה. האנשים שמטיפים כיום לפרטיות יחשבו בעתיד לאנשים קיצונים שהקדמה והטכנולוגיה לא מעניינת אותם.

וזה עצוב, כי מה שמבדיל אותנו בני האדם מייצורים אחרים על כדור הארץ זה היכולת לחשוב בצורה מעמיקה, לרכוש ידע בנושאים שונים, השקפות עולם, צורת חשיבה. אף אחד לא יכול לדעת ב - 100% מה מתרחש בתוך המוח שלכם על מה אתם חושבים ברגע זה, או מה אתם רוצים לעשות עוד חמש דקות - אנחנו לא צפויים. זאת הסיבה ש - PRNG לוקחים מידע מהמקלדת והעכבר.

אני בטוח שכל אחד בשלב כלשהו בחיים, אמר לעצמו “הלוואי והייתי יכול לקרוא מחשבות”. בתכל'ס כיום המשאלה הזאת לא כלכך רחוקה מהמציאות, כיום אנשים מספקים ברצון הצצה לתוך המוח שלהם, ואני לא מדבר על מידע ציבורי שאנשים משתפים. כל חיפוש שאתם מבצעים ברשת, לייק או שיתוף תגובה בבלוג (: נשמר במאגר. אולי המידע שנאסף הוא לא ספציפית בגלל שעוקבים אחריכם אבל הוא קיים. ואם מישהו היה נובר באותו מידע הוא כנראה היה מכיר אתכם יותר טוב מההורים שלכם. הוא היה יודע איזה מסעדות אתם אוהבים, איפה טיילתם, מה קניתם לאמא שלכם ליום הולדת ואפילו למי תצביעו בבחירות.

אז מה עושים?

קודם כל נבין את המציאות כיום, אם ארגון עם תקציב כמו של ה - NSA יסמן אותכם, אין שום דבר שתוכלו לעשות נגד זה - המחשב שלכם, הקבצים הדוא"ל והסמארטפון. הכל יהיה חשוף. סביר להניח שכרגע יש לכם דלת אחורית במחשב. ולא, זה לא משנה באיזה מערכת הפעלה אתם משתמשים.

אתם יכולים להקטין את החשיפה, ולנקוט אמצעי זהירות אבל עדיין לרוב זה לא יעזור.

  1. גם אם תקימו שרת מייל משלכם, עדיין כל מייל שיכנס וייצא יהיה חשוף, לרוב המייל גם לא יהיה מוצפן.
  2. גם אם לא תשתמשו ברשתות חברתיות כנראה שחברים שלכם כן. ועם אלגוריתם זיהוי הפנים של פייסבוק לא יהיה לכם לאן לברוח. (אלא אם מעולם לא היה לכם חשבון ברשת עם הפנים האמיתיות שלכם).

קשה לברוח מזה, תארו לכם מה יהיה עוד עשרים שנה, בסופו של דבר הבסיס להגנה על המידע שלכם הוא: הצפנה וניטור.

הצפנת הדיסק הקשיח.

אני מקווה שאתם מצפינים את הדיסק הקשיח שלכם, הסמארטפון וכל מכשיר שמכיל מידע. זה חשוב. נכון, הצפנת הדיסק תעזור רק כשהמכשיר מכובה או מוגן באמצעות סיסמה אבל זה הדבר הכי בסיסי שאתם יכולים לעשות. כיום אתם גם לא יכולים להתלונן שיש לכם ירידה בביצועים של המחשב בעקבות זה, כי עם חומרה מודרנית אתם לא תבדילו.

העקרון הבסיסי הוא לא להשים את כל הביצים בסל אחד, ובעברית פשוטה: אם אתם מצפינים את הדיסק הקשיח שלכם, תשמרו את מפתח ההצפנה במקום נפרד כמו התקן USB.

כך תעשו זאת בלינוקס (בעת התקנת מערכת חדשה, אל תריצו על מערכת מותקנת):

$ dd if=/dev/urandom bs=512 count=4 of=/usb-dev/mykey.key
$ cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512
  --iter-time 5000 --use-urandom --key-file /usb-dev/mykey.key

אם אתם משתמשים ב - OpenBSD יש מדריך מעולה כאן.

אם אתם משתמשים בדיסק קשיח חדש, תריצו את הפקודה הבאה לפני ההצפנה:

$ dd if=/dev/urandom of=/dev/sdX status=progress bs=4M

הפקודה תכתוב מידע רנדומלי לדיסק שימנע את זיהוי כמות המידע על הדיסק, אם לא תעשו את זה בעת ניתוח הדיסק שלכם, יהיה קל לגלות כמה מהכונן בשימוש מפני שהמידע שלא בשימוש יהיה מאותחל ל - 0.

חומת אש - Firewall.

לקח לי זמן להגדיר את חומת האש שלי כמו שרציתי, אין חבילה שלא נבחנת כמו שצריך לפני שהיא נכנסת או יוצאת מהמכונה שלי, במידה ויש משהו חשוד חומת האש כותבת ל - syslog.

בנוסף כתבתי סקריפט שמנטר את הלוגים ומתריע לי על כל דבר חשוד: לדוגמא אם מישהו עשה לי PING ברשת. מדי פעם אני גם בודק באופן ידני את הלוגים.

ניטור

תכתבו קוד שיבדוק את המכונה שלכם, יקבל מידע מהקרנל (לא מכלים מה - userland). יתריע לכם בהתאם, תבדקו קבצים בינארים, תיצרו מאגר עם ערכי SHA256 של כל קובץ ותריצו קוד שיבדוק אם הם השתנו, כמובן שתדאגו לעדכן את אותם ערכים בעת עדכון חבילה.

אל תכתבו מיליון סקריפטים, מספיק אחד שירוץ עם cron כל N דקות ואתם מסודרים.

סמארטפון

אם יש לכם מכשיר Android תתקינו מערכת הפעלה כמו Lineage. תעיפו את Google Store ותתקינו F-droid.

תאמינו לי אתם לא צריכים יותר מזה.

סיכום

לסיכום, תשמרו על הפרטיות שלכם. תעריכו ותכבדו פרטיות ,תעלו את המודעות (תכתבו פוסט על זה בבלוג שלכם (:) ואין צורך להתעטף בנייר כסף (;

נהנתם מהפוסט? שתפו אותו עם חברים, באתר שלכם או בכל מקום אחר. בחודשים הקרובים אני ישתדל לעלות פוסט לפחות פעם בשבוע בנושאים שונים, אם יש לכם נושא מסויים שתרצו שאני אכתוב עליו - שלחו לי מייל.