Příspěvky

5101

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 03. 08. 2014, 14:34:43 »

No moment, to mluvíš o nějakých hypotetických metodách, já se ptal na to, jak mi můžou ublížit. Přijde teda pán v baloňáků a odveze mě na Sibiř?

a) NSA Šumperk (hypotetická konkurenční tajná služba) používá browser fingerprinting k vytipování cílů, na které se má zaměřit ručně. Má totiž omezenou kapacitu jak personální (relativní nedostatek zaměstnanců) tak technickou (při každém využití hardwarového backdooru v procesorech Intel existuje riziko, že to nějaký nerd sniffne a začne v tom rejpat). Údaje nasbírané z browser fingerprinting jsou jedny z mnoha dílčích částí přispívajících k bayesovskému skóre osoby.

To by ovšem museli ten fingeprint spojit s něčím, co je zajímá. Např. by věděli, že subjekt s tímhle FP koupil na aukru papiňák.

...no a to jsme u toho, co jsem říkal: pokud nejsem pitomec, tak nikdy stejným kanálem nehledám tlakový hrnec a nekupuju na svou kreditku.

Čili pokud se tak chovám, můžou nakrásně zjistit, že Miroslav Prýmek s FP 12345 si na aukru koupil ponožky a jetou grafickou kartu a někdo s FP 56712 hledal tlakový hrnec.

b) NSA Šumperk vidí, kdy jsem doma (monitor 1280x1024) a kdy venku (notebook 1366x768)

No a nedejmatkopřírodo, že by třeba NSA Šumperk napadlo dát na tvůj přívod elektřiny indukční měřák spotřeby s přípojkou na net.

P.S. pokud někdo má zájem, takový měřáky mám doma asi tři. Asi si založím NSA Rájec, když mám tak sofistikovaný vybavení

5102

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 03. 08. 2014, 14:10:02 »

PS: Miroslav Prýmek nuclear bomb hawran diskuse laser cannon Jezte kroupy! white house baráck na odstřel ...

A nezapomeňme na urban landmine: http://goo.gl/Ap16tz - POZOR! NEKLIKAT! EXTRÉMNĚ NEBEZPEČNÁ VĚC!!!!!!!

5103

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 03. 08. 2014, 13:30:12 »

a pro dokonalé ukojení paranoie ho může pouštět ve virtuálním počítači s nějakým běžným Linuxem, s nějakou běžnou velkou distribucí, s běžným rozlišením atd... prostě jen se samými běžnými parametry.

Tenhle způsob myšlení vůbec nedává smysl. Řeší se něco, co není podstatou.

Pokud nechci, aby nějaká moje činnost (ať už na webu nebo kdekoli jinde) mohla být spojena s mojí osobou, tak prostě nesmím tu činnost nikdy provádět stejným kanálem jako cokoli, co by mě mohlo identifikovat.

Prostě když mám strach, z toho, aby si FBI nemohla spojit slova "radioaktivní materiál" a "Miroslav Prýmek"*, tak je prostě nikdy nesmím zadat do stejného prohlížeče na stejném počítači. Dyť je to jasný jak facka - prostě radioaktivní materiál zkoumám v prostředí X a všechny ty fejsbůky, ebaye, aukra a všechno ostatní, kde figurují moje osobní údaje, si řeším úplně jinde. Spolíhat na to, že budu dělat oboje zároveň a ošéfuju přitom, aby si ty dvě činnosti nikdo neuměl spojit, je samo o sobě ukázka toho, že jsem prostě pitomec, nic víc.


* rád bych této příležitosti využil k demonstraci toho, co si o takové starosti myslím: Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál Miroslav Prýmek radioaktivní materiál - Hello, agent Smith! I'm looking forward to hearing from you! Sincerely Miroslav prýmek

P.S. radioaktivní materiál

5104

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 03. 08. 2014, 09:18:11 »

Mozna by uplne stacilo, kdybyste se misto Miroslav jmenoval treba Ahmed nebo Mohamed

Nebo by taky planetu mohli ovládnout mravenci...

5105

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 03. 08. 2014, 08:05:58 »

Podla zakonov mi tazko niekto ublizi - ak mi niekto bude chciet naozaj ublizit, tak asi bude zakony ignorovat. Naviac, firmy z inych krajin mozu porusovat nase zakony programovo.

Asi mám malou představivost, můžeš zkusit popsat, jak by ti mohl někdo ublížit na základě toho, že zjistí, že máš prohlížeč roztažený na 1280x1024? Přičemž doufám, že oba chápeme slovo "ublížit" stejně - např. bych tak nazval, když ti někdo klíčem objede auto.

Tady nejde o nejake reklamy, ale spis o tripismenkove agentury. Vy se podivate na nejaky web a oni si vas pak rovnou daji na seznam hledanych teroristu, protoze o pet minut drive jste se dival na whitehouse.gov.

Tak to je ovšem už opravdu paranoia, kterou by bylo dobré léčit. Na "seznam teroristů"? WTF?

Můžeš. Akorát se pak bude velmi nepříjemně zjišťovat, jestli původní certifikát byl nebo nebyl v pořádku.

Bude se to zjišťovat úplně stejným mechanismem, jako to normálně dělá prohlížeč.

není až tak daleko myšlenka, že tento otisk použije např. k omezení hotlinkingu

No to by bylo jedině dobře, protože by tak sama sebe práskla.

ale nechci přijít o podstatné informace (což obrázky bohužel často jsou).

Snad bys nechtěl číst web, o kterém pozitivně zjistíš, že šmíruje přes fingerprint? Co když jsou ty informace zmanipulované třípísmnnými agenturami?!

Pokud mi na HTML hlavní stránky přijde tisíc requestů denně, z toho 999 s "obyčejným fingerprintem" a 1 s nesmyslným fingerprintem, tak i pokud se tento jeden fingerprint bude každý den měnit, mohu poměrně spolehlivě předpokládat, že jde o pořád ten samý prohlížeč.

Nepoužiješ žádný "nesmyslný fingerprint". Použiješ ten, který používá největší množství prohlížečů a měnit budeš jenom velikost okna. Nejsi přece blbec, abys kvůli nesmyslnému agent-stringu skončil na seznamu teroristů!!!!

5106

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 23:51:39 »

No tak jestli se tenhle pristup k veci rozsiri, budeme za chvili nosit plechove spodni pradlo aby se nam nedivali do riti.

Ne. Normálnímu člověku je úplně putna, jaká se mu zobrazuje kontextová reklama - úplně stejně jako je mu putna, co je na billboardech, protože je prostě většinou vůbec nevnímá.

No a pokud má někdo extrémní obavy, tak musí holt přijmout extrémní opatření. Drtivé většiny lidí se to netýká, protože platné zákony zaručují docela slušné soukromí - spíš hodně lidí brblá, že až moc (viz nejrůznější kauzy kamery vs. krádeže, zvěřejnění fotek usvědčených zlodějů apod.).

Pokud mám pocit, že po mně jde FBI, tak prostě zalezu na salaš do Bílých Karpat a můžou mně všichni políbit šos.

5107

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 21:43:31 »

K tomu jsou totiž potřeba spolužáci, kteří se šmírovat nechají.

A těch je dost.

Já se nechtěl zbavit civilizace, já se chtěl zbavit šmírování.

Ne, takhle to nefunguje. Když chceš bydlet ve městě, máš větší pravděpodobnost, že tě srazí auto. Jestli se aut bojíš, bydli na venkově. Nebo taky můžeš celý život brečet, že jsou ve městě auta, ale na venkov se stěhovat nechceš. Každopádně je to tvoje volba - buď vezmeš realitu jaká je a rozmyslíš se, co je tvoje priorita, nebo můžeš toužit o městě bez aut.

5108

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 21:10:46 »

by počítač celou dobu neotevřela

Resp. úplně by stačilo neotevírat Facebook, Gmail a podobné služby, které z cílené reklamy prostě žijí a nikdy se tím netajily.

5109

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 21:08:48 »

Poslenich par prispevku mi pripomenulo tento clanek: Skrýt před reklamními giganty těhotenství znamená vypadat jako zločinec.

Hm. No tak zaprvé: ničemu, co Piráti vydávají za reálný příběh, už nevěřím od doby kauzy "byly jsme u soudu", ze které se vyklubalo "byl to modelový příklad, zkompilovaný z několika kauz, ale základ je fáááákt reáááááálný!"

A za druhé - tohle je úplně krásný modelový příklad: ženská chce něco zatajit, ale zároveň chce přes média, která nemá a nemůže mít pod kontrolou, dělat věci, které na tu věc mají jednoznačnou vazbu. Chce se pohybovat na sociální síti, jejíž jediný příjem je cílená reklama a nechce být zasažena cílenou reklamou? Hodnota toho "experimentu" je asi tak stejná jako hodnota bakalářky na FAVU "Strávil jsem celé léto na plovárně a nekápla na mě ani kapka vody". Kdyby "experiment" vyřešila tak, že by počítač celou dobu neotevřela, kočárek koupila v místním bazaru za hotové, stejně jako všechny ostatní propriety, zaručeně by ji žádná cílená reklama nezasáhla. Ovšem to by z toho nebyl zajímavý příběh "jak jsem se stala h4xorkou, protože jsem si z webu stáhla Tor a spustila ho"...

5110

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 20:37:23 »

Nechodit na ulici (kamery), nechodit do školy (bez internetu se už dneska studuje těžko), nechodit do práce…

Na ulici občas chodit můžeš - těch pár obrázků nikomu k ničemu nebude, když budeš většinu času trávit na své salaši a do města se vydáš jenom pro šafrán a trochu toho zázvoru, děvečko moje starostlivá.

Materiály do školy si stáhnou spolužáci a ty si je okopíruješ. Nebo si holt zajdeš do netové kavárny, jako před patnácti lety.

Jde prostě o to, jestli to "soukromí" opravdu chceš nebo ne. Pro inspiraci doporučuju nastudovat životní způsoby amishů a chasidů, ti mají celkem vychytaný, jak s civilizací vyběhnout

5111

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 19:26:42 »

Mozna jste si toho jeste nevsiml, ale jejich snahy lezt nam do soukromi jsou stale pervasivnejsi.

Nemůžou sledovat něco, co nepoužíváš. Je to tvoje volba, používat net (navíc z vlastní přípojky), telefon, kreditku,... Nic z toho používat nemusíš - tvoje volba. Jde to i bez toho, koukni, jak může být život krásně jednoduchý: http://www.ceskatelevize.cz/ivysilani/10123385871-islam-po-cesku/307295350310002/ (od 2:30)

5112

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 19:18:37 »

nějaká filtrovací proxy, ale ta narazí na HTTPS

Když si ji budeš spravovat sám, tak si tam můžeš klidně podvrhnout certifikát.

například je žádoucí, aby všechny requesty týkající se nějaké stránky X měly stejné nastavení identifikačních prvků

Proč by to mělo být žádoucí?

Tzn. chtělo by to prohlížeč, který by se zaměřoval na bezpečnost a soukromí, ale takový neexistuje a ani není nikdo, kdo by něco takového vyvíjel.

To mi silně připomíná http://youtu.be/iSZQzfAXDG8?t=10m14s

2) Skládat z množiny je problém, protože každý jednotlivý prvek sice třeba bude náhodný, ale jejich kombinace opět bude jedinečně identifikovatelná

Když někdo sleduje endpoint, tak žádnou "kombinaci" nemá. Má jenom jednotlivé requesty. Pokud jdou z nějaké proxy IP s dostatečným počtem uživatelů, nevím, jak by si měl spojit jednotlivé requesty s úplně náhodnými fingerprinty.

5113

Odkladiště / Re:Otisk prohlížeče - jak se bránit?

« kdy: 02. 08. 2014, 19:04:05 »

A jak se bránit?

No tak vzhledem k tomu, že jednou z položek je velikost okna a nachytá se na ní v tomhle testu logicky nejvíc bitů, tak vůbec nejlepší technika pro "soukromí" (ať už to znamená cokoli) je každou chvíli měnit velikost okna. Ideálně si pořídit wm, ve kterém se neustálá změna dá naskriptovat. Poskakující okno browseru se k progredující paranoie výborně hodí.

P.S. zkusil jsem i v TorBrowseru a dává to pořád 18.26, což je dost absurdní vzhledem k tomu, z jakých informací to cucá: http://imgur.com/54QEi8n  Fakt nechápu, kde lidi berou čas řešit takovýhle ptákoviny...

5114

Sítě / Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz

« kdy: 02. 08. 2014, 13:01:30 »

Transparentni firewall, resp. transparentni mod firewallu je featura, kterou umi nektere lepsi firewally.

Jo, už jsem si to vygooglil, tenhle termín se ke mně zatím nedostal nebo jsem si ho nezapamatoval, spíš "bridging firewall".

Jde o to, ze provadi filtrovani na 2. vrstve a neovlivni stavajicici IP topologii z pohledu 3. vrstvy ISO/OSI. Jsou tam ale nektera omezeni, pramenici z filtrovani ramcu, nikoliv paketu.

Filtrování čistě L2 rámců by bylo na nic, potřebuješ normální L3 filtrování, akorát ne v rámci routování, ale v rámci bridge. To není žádný problém:
http://www.sjdjweis.com/linux/bridging/
http://people.pharmacy.purdue.edu/~tarrh/Transparent%20Firewall%20-%20Filtering%20Bridge%20-%20William%20Tarrh.pdf
http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

spis mi slo o to, ze jsem potreboval vnitrni sit rozdelit na vice kusu

V tom případě se natu nevyhneš, to je jasný.

Být tebou bych na to šel od podlahy - vysniffovat, jaký pakety od tebe chodí s natem a bez natu a čím se liší. Pokud používáš nějakou pochybnou krabičku na to navtování, je klidně možný, že mění porty na nějakej rozsah, kterej ISP odmítá přijmout... Ověřil bych si, že provoz odchází z "dynamických portů" (49152 až 65535 - viz http://cs.wikipedia.org/wiki/Seznam_%C4%8D%C3%ADsel_port%C5%AF_TCP_a_UDP). Onehdy jsme řešili něco podobnýho - u jednoho ISP nešel odchozí provoz a nakonec se zjistilo, že odcházel z portu, kterej rád používal jakejsi vir, takže ho ISP blokoval... U tebe by to mohlo být něco odbobně stupidního...

5115

Sítě / Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz

« kdy: 02. 08. 2014, 10:27:58 »

Chápu. Kde nic není, ani smrt nebere

Pokud chceš řešit bezpečnost, tak řeš bezpečnost a neřeš NAT. Bezpečnost se řeší firewallem. Co je "transparentní firewall" ale netuším