Category Archives: ιδιωτικότητα & ασφάλεια στο διαδίκτυο

Get hash from an SSL certificate

A convenient way to get the hash value from a website, is to open the site with firefox, login (if needed) through the firefox pop-up window, click on the lock icon in the URL address field and click on "More Information" > "View Certificate" > "Details". In window "Ceritifcate Fields" click on the first line, then "Export" and save this on your disk, e.g. under CERTIFICATE.

The command

openssl x509 -noout -in CERTIFICATE -hash

should then output the hast value of the certificate.

Securing the mails in the cloud

After experimenting a lot with several ways, I came to the following specification of securing the mails in the cloud that combines easiness and high speed:

mail-on-cloud

Preparation: have the complete mail folder in an encrypted file container and copy it in the cloud.

Action:

  1. synchronise the remote container to the local one (copy only the differences)
  2. mount the local container on a directory
  3. fetch the mail from the mail server
  4. edit the mailbox with a MUA
  5. unmount the container
  6. synchronise the local container to the remote one (copy only the differences)

A back up of the local container is recommended.

The process is very easy and can be automated with a shell script. In this way the mails are safe in the cloud as well as locally.

Two ways to store private files online

If you want to backup files online, then it is a good idea to keep them encrypted. Of course, the storage space provider is trying its best to keep them safe, but in case of human error, technical deficiency or fraud your files might be surfing the internet being a very unpleasant issue, even if the data is not confidential.

The first way is to encrypt the directory structure with all files in it one by one. That is a recursive directory encryption which might be combined with file name obfuscation (maybe something like gpgdir, read also Ben Martin's review of it) but then also the the directory structure could give some info about the file content. The solution to this would be to tar the whole directory tree and just encrypt this with a coded file name. The disadvantage is that next time you will have to backup the whole compressed directory.

I think that the most convenient way is to copy an encrypted file container on the backup drive and then 1) start a VPN tunnel to the drive for safe transfer of plain text files, 2) mount the drive locally, 3) mount the container locally, 4) copy the files to/from the container 5) detach drive and container. Of course this solution requires the relevant services from the provider (VPN, relevant communication protocol).

A nice anonymity test

Many people use the Internet and supply numerous webpages with much private information in 2 ways: consciously and unconsciously. Former and latter are huge topics. Here I would like to say something about the latter.

The unconscious supply of information happens because the average user does not know

  1. what the applied software and hardware of his/her computer actually does;
  2. what the visited server actually does.

Of course, in order to know exactly what happens, one has to be an IT-specialist. But some basic things should be clear. Not only because the surfer can put himself in danger, but also because too many naive surfers can put in the long term the non naive in danger, or —at least— make their life harder.

A nice anonymity test is offered by JonDos GmbH here. Green is good, red is bad.

Πώς μπορούμε να προστατευθούμε από την αδιακρισία μηχανών αναζήτησης;

Διαπιστώνω ότι πολλοί γνωστοί αλλά και φίλοι μου (!) χρησιμοποιούν την μηχανή διαδικτυακής αναζήτησης μιας διαφημιστικής εταιρείας, για την οποία το ξέρουν πια και οι πέτρες ότι μαζεύει και αποθηκεύει το τι ψάχνει ο κάθε χρήστης της, πού κάνει κλικ, από ποιο μέρος του πλανήτη ψάχνει, κτλ. Αποτέλεσμα είναι αυτή η διαφημιστική εταιρεία να δημιουργεί ένα αρκετά καλό προφίλ για την προσωπικότητα του χρήστη, αλλά και για το ιστορικό του, διότι η αναζήτηση μιας πληροφορίας είναι τις περισσότερες φορές σχετική με την στιγμή στην οποία αυτή λαμβάνει χώρα. Έτσι η μηχανή μπορεί να υποθέσει με υψηλή πιθανότητα επιτυχίας πότε ο χρήστης ήταν άρρωστος (και από τι), ποια είναι τα γούστα του, τι τον απασχολεί κτλ.

Υπάρχουν πολλοί τρόποι για να αντιμετωπίσει κανείς αυτό το πρόβλημα: χρήση addons, που απαγορεύουν την αποστολή cookies στην συγκεκριμένη μηχανή αναζήτησης, κόβουν τις διαφημίσεις της, στέλνουν θόρυβο με αυτόματα λήμματα αναζήτησης, χρήση proxy server για ανωνυμία κ.α.

Η δική μου άποψη είναι: το ψάρι βρωμάει από το κεφάλι. Προτείνω λοιπόν την χρήση μιας άλλης μηχανής: την ixquick, η οποία σέβεται την ιδιωτικότητα του χρήστη και επιπλέον είναι μηχανή μετααναζήτησης, δηλ. χρησιμοποιεί άλλες μηχανές, έτσι ώστε τα αποτελέσματα να μην εξαρτώνται από αυτά που ανακαλύπτει (ή πασάρει) μόνο μια απλή μηχανή και συνεπώς να είναι πιο ευρέα.

Χρησιμοποιώ εδώ και μερικούς μήνες το ixquick και είμαι πολύ ευχαριστημένος. Η αναζήτηση ξεκινάει εδώ. Για τον σεβασμό της ιδιωτικότητας καθώς και πολλές άλλες πληροφορίες (τρόπος χρήσης κτλ.), μπορείτε να βρείτε εδώ.

Πώς να προστατευτούμε από την google analytics;

Με αυξημένη ανησυχία διαπιστώνω καθημερινά ότι έχουν αυξηθεί τα κρούσματα ιστοσελίδων που χρησιμοποιούν google analytics (GA, στη συνέχεια) για την στατιστική ανάλυση των επισκεπτών τους. Σαν να μην έφταναν τα δεδομένα που μαζεύει η google από το ψαχτήρι της, βρέθηκαν ένα σωρό διαχειριστές ιστοσελίδων να παράσχουν κι άλλα δεδομένα σε έναν μεγάλο αδελφό.

Για όσους δεν ξέρουν, η GA είναι μια υπηρεσία που δωρεάν αναλύει την συμπεριφορά και τα χαρακτηριστικά των επισκεπτών σε μια ιστοσελίδα. Το ιδιαίτερο όμως στοιχείο εδώ είναι ότι τα δεδομένα δεν τα παράσχει μόνο στον διαχειριστή, αλλά και στην ίδια την google. Η οποία μπορεί άνετα να σχηματίσει προφίλ επισκέπτη (από ποια IP έρχεται, τι διαβάζει και πόσο, τι τον ενδιαφέρει) και αν θέλει να το συνδυάσει και με το σχετικό προφίλ από το ψαχτήρι της, έχοντας έτσι την δυνατότητα να εισχωρήσει στην ιδιωτική σφαίρα ενός επισκέπτη.

[Για να διαπιστώσετε αν μια ιστοσελίδα χρησιμοποιεί το GA, υπάρχουν πολλοί τρόποι, ο πιο απλός είναι να την επισκευτείτε με Firefox και το add-on Counterpixel (πιάνει το GA αλλά και άλλους επίδοξους trackers) ή το GA? (μόνο για το GA).]

Καταρχήν, γιατί το κάνουν αυτό οι συγκεκριμένοι διαχειριστές; Γιατί πουλάν την ιδιωτικότητα των επισκεπτών τους σε μια εταιρεία για λίγες στατιστικές; Για τις ιστοσελίδες που οι διαχειριστές τους είναι άσχετοι με την πληροφορική πιστεύω πως ο λόγος είναι η αφέλεια. Δεν σκέφτηκαν τι κάνουν. Δεν διάβασαν τους όρους χρήσης. Δεν διανοήθηκαν ποτέ πού μπορεί να οδηγήσει η τροφοδότηση του αδελφούλη με δεδομένα. Αν, πάλι, τα ξέρουν όλα αυτά, και παρ' όλ' αυτά συνεχίζουν, τότε... τι να πω, ας μην χαρακτηρίσω καλύτερα. Για μεγάλες ιστοσελίδες εφημερίδων ή μαγαζιών, εκεί πιστεύω ότι ο λόγος είναι η αδιαφορία. Μάλλον το μόνο που τους ενδιαφέρει είναι η μεγιστοποίηση του κέρδους στο βωμό της ιδιωτικότητας των επισκεπτών.

Υπάρχουν μερικοί που ενημερώνουν για την χρήση του GA στους όρους χρήσης. Όμως ακόμα κι έτσι, πρέπει πρώτα να περάσεις την πόρτα της σελίδας για να φτάσεις στους όρους, οπότε σε τσάκωσε πάλι η google.

Το πιο σημαντικό: πώς μπορούμε να προστατευθούμε από αυτήν την απαράδεκτη κατάσταση; Πρώτα πρώτα θα πρέπει να ενημερώνονται οι αφελείς διαχειριστές για το τι ακριβώς κάνουν, πιστεύω ότι δεν είναι βλάκες, αν διαβάσουν κάπου μια εξήγηση για το τι κάνουν, θα σταματήσουν να κατασκοπεύουν τους επισκέπτες τους πασάροντας τα data στην google. Τώρα, αν δεν παίρνουν από λόγια, υπάρχουν κι άλλοι τρόποι: σερφάρουμε χρησιμοποιώντας Firefox και κάνουμε τα εξής:

  • Δεν επιτρέπουμε να σταλεί cookie στην GA. Αυτό γίνεται με το add-on CS Lite γενικώς (επιτρέπει τα cookies μόνο εκεί που θέλουμε) ή μόνο για την google (και GA) με την κατάλληλη ρύθμιση του Customize Google (δες την ρύθμιση Privacy).
  • Δεν επιτρέπουμε να τρέξει το σκριπτ της GA. Αυτό το αναλαμβάνει το NoScript γενικώς (επιτρέπει τα σκριπτ μόνο εκεί που θέλουμε) για τα σκριπτ ή το Adblock Plus (που κόβει και τις διαφημίσεις στο δίκτυο με την προσθήκη των σχετικών λιστών) με τη λίστα EasyPrivacy (αυτή κόβει tracking kai web bugs, χρήσιμη, την βρίσκουμε εδώ).

Βέβαια, αν τα κάνετε όλ' αυτά το μόνο ίσως που θα φτάνει στην GA θα είναι το IP σας. Η google μπορεί να φτιάξει ένα προφίλ και από αυτό (βέβαια, φτωχότερο). Εδώ τα πράγματα, αν δεν είστε πληροφορικός, δυσκολεύουν λιγάκι. Θα πρέπει να εγκαταστήσετε λογισμικό για ανώνυμο σερφάρισμα στο ίντερνετ. Κάντε όμως πρώτα τα παραπάνω, και γι' αυτό θα γράψω εν καιρώ.