ProteGo. Czy samo otwarcie kodu wystarczy, by walczyć z COVID-19 bezpiecznie?

Ministerstwo Cyfryzacji pracuje nad kolejną appką mającą wspomóc walkę z pandemią COVID-19 w Polsce. Dokładnie, by powrót do normalnego życia po zakończeniu okresu „narodowej kwarantanny” był bezpieczny. Zanim przeczytasz resztę tego tekstu zachęcam do przeczytania ogłoszenia na stronie MC.

Bardzo, bardzo, bardzo chwali się otwarcie kodu. Przed laty intensywnie lobbowaliśmy to jako Fundacja Wolnego i Otwartego Oprogramowania (FWiOO). Fajnie, że w końcu się dzieje. Niestety ten fakt, sam z siebie, nie gwarantuje ani bezpieczeństwa, ani zaufania.

Cel aplikacji, jest kontrowersyjny. Z drugiej strony czas pandemii zaczął już przyzwyczajać do bezkompromisowego naruszania naszej prywatności. O ile w Polsce ta inwigilacja nie jest jeszcze jakoś bardzo zaawansowana, to na świecie wprowadzają ją bezpardonowo.

W teorii rozwiązanie nie brzmi źle i ma predyspozycje bycia fair w stosunku do użytkownika. Warunkiem jest, aby rzeczywiście żadne dane identyfikujące nie były przesyłane na serwery. Słabym punktem wszelkich tego typu rozwiązań jest ich dystrybucja za pomocą sklepów takich jak App Store czy Google Play. Wprowadzają one do całego łańcucha pomiędzy kodem w repozytorium na githubie, a użytkownikiem elementy wymagające od nas zaufania do tych, którzy odpowiedzialni są za przygotowanie paczki i umieszczenie jej w sklepach. Musimy im, ich szefom oraz szefom tych szefów zawierzyć, że po zgarnięciu kodu z repo nie dodają nic, co mogłoby dodatkowo zbierać informacje o użytkownikach i przekazywać je do serwerów ministerstwa.

Oczywiście powyższe ma zastosowanie, gdy kod będzie sprawdzony przez niezależnych programistów i specjalistów, a Ci powiedzą, że rzeczywiście realizuje on przedstawione przez autorów założenia w sposób bezpieczny.

Jest kilka metod na zbudowanie takiego zaufania, ale każda z nich wymaga pewnej biegłości technicznej. W pierwszym przypadku po wystawieniu przez ministerstwo appki w sklepach, ktoś pobiera je i generuje ich sumy kontrolne (z uwzględnieniem dodawanych w procesie publikacji sygnatur). Jest to ciąg znaków unikalny dla zawartości danego pliku. Nawet najdrobniejsza jej zmiana skutkuje uzyskaniem zupełnie innej sumy kontrolnej. W drugim kroku osoba taka pobiera kod appki z repozytorium na githubie i samodzielnie buduje go, zgodnie z udostępnioną przez autorów instrukcją, by uzyskać taki sam plik, który umieszczony może być w sklepie i na urządzeniu mobilnym. Jeśli suma kontrolna samodzielnie skompilowanej aplikacji oraz tej pobranej ze sklepu są identyczne, wtedy mamy pewność, że nic po drodze do naszego urządzenia nie zostało do niej dodane.

W drugim przypadku możemy zdać się, na alternatywne sklepy z aplikacjami. Dla Androida jest to FDroid, sklep zawierający tylko aplikacje o otwartym kodzie, w dodatku kompilowane bez elementów śledzących użytkownika (jak tamten moduł facebooka w Kwarantannie Domowej). By za pośrednictwem FDroida udostępnić appkę należy zapewnić powtarzalność jej budowania, ponieważ udostępniane są jedynie aplikacje, które budowane są samodzielnie przez automat, by wykluczyć możliwość działań opisanych wcześniej.

Sam zdecydowałbym się na zostanie użytkownikiem ProteGo tylko pobierając ją właśnie z FDroida.

Drugą częścią kontrowersji tego pomysłu ministerstwa jest potrzeba odpalonego wciąż modułu bluetooth. Wyłączenie zarówno jego, jak i pozostałych czujników (NFC, WiFi, 3/4G), gdy tylko nie są nam potrzebne jest jednym z podstawowych zaleceń bezpiecznego korzystania ze smartfona. Technologia Bluetooth posiada wiele dziur, a nie wszystkie z nich załatać można poprzez aktualizację oprogramowania (firmware), część z nich wymaga wymiany modułu sprzętowego w telefonie na nowszy.

Zdecydowana większość użytkowników smartfonów posługuje się starszymi ich modelami, wrażliwymi na takie zagrożenia. Znikome ich grono jest w stanie samodzielnie dokonać wymiany modułu na nowszy, bez zakupu nowego urządzenia. Zastosowanie ProteGo zgodnie z zamysłem ministerstwa niestety spowoduje, że Polacy będą chodzić po ulicach i siedzieć w swoich domach czy biurach z otwartymi furtkami dla cyberprzestępców w kieszeniach.

Więcej

Mozilla Firefox: Problemy z dodatkami chroniącymi naszą prywatność i nie tylko

W związku z problemami z certyfikatem służącym do podpisywania wtyczek dla przeglądarki Firefox w dniu dzisiejszym, są one stopniowo wyłączane przez przeglądarkę (wyświetla się powiadomienie informujące o wyłączeniu jednego bądź większej ilości dodatków w związku z problemami z ich weryfikacją).

Jest to zmiana zależna od czasu synchronizacji przeglądarki z serwerami Mozilli, w związku z tym może ona następować z opóźnieniem, bądź nie nastapić wcale jeśli sprawdzenie nastąpi po rozwiązaniu problemu przez Mozillę. Z dotychczasowych obserwacji wynika, że dotyczy ona użytkowników Mozilla Firefox oraz Tor Browser.

Wtyczki wyłączane to między innymi:

  • uBlock (blokowanie reklam);
  • NoScript (blokowanie wykonywania skryptów javascript na stronach);
  • Decentraleyes (ochrona przed śledzeniem przez serwery udostępniające biblioteki CSS i javascript);
  • AdBlock (podobnie jak uBlock, jednak jego używanie jest obecnie odradzane);
  • PrivacyBadger (blokowanie połączeń odwiedzanych stron z serwerami śledzącymi naszą aktywność).

Jeśli nasze korzystanie z internetu za pomocą przeglądarki Firefox jest chronione, którymś z wyłączonych dodatków rekomenduję tymczasowo wstrzymać się z wykonywaniem wrażliwych działań w internecie (facebook, odwiedzanie bankowości elektronicznej bez ręcznego wpisywania jej adresu, zakupy w internecie, logowanie się do odwiedzanych serwisów) oraz nie klikać w nie odwiedzane do tej pory adresy. Wszystkie dotychczasowo blokowane szkodliwe skrypty są uruchamiane w naszych przeglądarkach).

Jeśli musimy, któreś z tych działań wykonać, to wspomniane dodatki wciąż działają w przeglądarkach Google Chrome oraz Chromium.

Tymczasowe rozwiązanie problemu polega na ręcznym wyłączeniu sprawdzania wadliwego certyfikatu. W tym celu wpisujemy w pasku adresu about:config, potwierdzamy, że wiemy co robimy. Następnie wyszukujemy klucz „xpinstall.signatures.required” i zmieniamy jego wartość na false za pomocą dwukrotnego kliknięcia lewym przyciskiem myszy. Zmiana zachodzi od razu i nie wymaga restartu przeglądarki.

Należy jednak pamiętać, by wykonać ją ponownie, gdy problemy z dodatkami ustąpią. Pozostawienie jej na stałe skutkować będzie obniżeniem bezpieczeństwa naszego użytkowania w przyszłości.

Opisywane problemy powinny zostać rozwiązane w najbliższym czasie (dzień, góra dwa ze względu na różny czas synchronizacji wspomnianego wcześniej certyfikatu)

Więcej

Samsung Galaxy S (GT-I9000) aktualizacja do KitKat

Poniżej przedstawione działania na pewno skasują wszelkie dane z Twojego telefonu. Mogą też spowodować, że nie będzie on działał i znajdzie się w stanie znanym jako brick.

Root i CWM Recovery

Dla powodzenia całego procesu nasz system powinien działać pod kontrolą systemu Android Gingerbread 2.3.5. Dodatkowo w trakcie należy dostosowywać wszelkie buildy w związku z tym polecam flashowanie takiego, do którego mamy komplet paczek. Propozycję można znaleźć pod adresem: https://archive.org/details/i9000_galaxysmtd.7z. Zawiera ona:

  • sterowniki dla telefonów Samsung;
  • właściwą wersję programu Odin, która działa z naszym tlefonem;
  • kompletny obraz systemu, root, oraz jądro systemu z CWM recovery;
  • ostatnie wydanie cyanogenmoda 11 dla telefonu galaxysmtd;
  • działające z nim google apps.

Dodatkowa uwaga: dobrze jest wykonywać działania na systemie Windows, który gotowi jesteśmy potem reinstalować, bo może w wyniku tych działań zostać zawirusowany. Maszyna wirtualna nas nie urządza.

Pierwszym krokiem jest instalacja sterowników Samsung dla naszego telefonu i ponowne uruchomienie systemu. Kolejny to uruchomienie Odina w wersji 1.83, która jako ostatnia właściwie obsługuje model I9000.

Teraz zajmujemy się telefonem i uruchamiamy go w trybie Download trzymając jednocześnie przyciski VOL DOWN + POWER + HOME. Trzymamy je do momentu, w którym na ekranie pojawi się żółta grafika i napisy. Po podłączeniu telefonu Odin powinien zareagować i wyświetlić komunikat zawierający Added.

Czy Twój sklep sprzedaje Ci malware?

W ostatnich dniach w sieci pojawiła się bardzo interesująca lista zawierająca adresy sklepów internetowych zainfekowanych malware. Co to oznacza dla ich klientów? Odwiedziny takiej strony mogą zakończyć się infekcją ich przeglądarki, a w konsekwencji kradzieżą tożsamości lub danych dostępowych do banku itp.

Piszę o tym, bo wśród 5484 [dostęp 2016-10-15] znalazło się aż 48 sklepów z końcówką .PL. Poniżej zamieszczam ich listę:

360-vr.pl
4online.pl
adbutter.pl
alarmprojekt.com.pl
alezabawki.pl
arcteryx.pl
art-pak.pl
bluetek.pl
camery.pl
crwstar.pl
dabrowazkrakowa.pl
desideri.pl
didax.pl
drgiorgini.pl
drzewamodelarstwo.pl
e-klosz.pl
ekademiainwestora.pl
hellyhansen.trekkersport.com.pl
holystuff.pl
icyfra.pl
ideotech.pl
izisfashion.pl
jedzenieturystyczne.pl
kamera-360.pl
kamerynakask.pl
latienne.pl
lazieneczka.pl
llorens.pl
luxbaby.pl
mrrobot.pl
multihurtonline.pl
mysfashion.pl
primamoda.com.pl
radicalwear.pl
reig.pl
sani-tryb.pl
sherpa.pl
sielskibox.pl
sklep.dussi.pl
sklepfc.pl
sportimus.pl
szynaka.pl
techsport.pl
thenorthface.pl
tpzz.pl
trekkersport.com.pl
vr-360.pl
zettaprint.pl

Co zrobić z taką listą?

Jeśli jesteś klientem, któregoś ze sklepów wstrzymaj się z zakupami i odwiedzaniem tej strony, powiadom o sprawie jego właścicieli i przeskanuj swój komputer na przykład za pomocą narzędzia ADWcleaner. Ja ze swojej strony w wolnych chwilach porozsyłam powiadomienia do wymienionych wyżej sklepów.

Jeśli jesteś właścicielem sklepu natychmiast skontaktuj się ze swoim administratorem i usuń malware ze swojej strony. Jeśli po potwierdzeniu usunięcia wyrazisz wolę usunięcia Twojego sklepu z listy proszę o kontakt, w najbliższej wolnej chwili to zrobię.

Czemu publikuję tę listę zanim poinformowałem właścicieli?

Jest to zadanie dość czasochłonne, a dobro i bezpieczeństwo użytkowników jest zdecydowanie najważniejsze. Do podobnego wniosku doszli prowadzący usługę GitLab. To tam znajduje się obecnie aktualizowana lista zainfekowanych sklepów. Początkowo została usunięta z serwisu GitHub oraz GitLab, jednak Ci drudzy po konsultacji telefonicznej z autorem wklejki postanowili ją przywrócić.

Obraz wykorzystany w tekście to Malware Infection autorstwa Blogtrepreneur (CC BY)

Więcej

Jak nie dać się okraść w sieci (3 kroki)

Ostatnio wyciekły dane klientów firmy Netia S.A., udostępniono ich adresy email, numery telefonów, często również adresy zamieszkania. Wcześniej, na gwiazdkę 2011 roku wyciekły dane klientów prywatnej agencji wywiadu Stratfor. Wówczas udostępniono dane kart kredytowych i wszystko co potrzebne by zrobić ostatnie przedświąteczne zakupy na czyjś koszt. Niezależnie od tego czy chcemy chronić nasze pieniądze czy prywatność zasady postępowania w sieci są prawie takie same.

('126420946', 'home', '2016-07-02 12:58:19', '2016-07-02 13:26:02', '1', '0', '1', '201', 'Internet 1 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '0', '0', '', '', '', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'ahewka@plon.pl', '797720764', '1', '0', '0', '0', '1', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', '', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7FF10N70AMS4', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('763456785', 'home', '2015-10-18 11:31:08', '2015-10-18 12:01:01', '1', '0', '1', '210', 'Szybki Internet Max + Telefon Wieczory i Weekendy VAS - Rezygnacja', 'Promocje', 'Nie zweryfikowano', '0', '0', '0', '', 'henryk', 'Okonor', '', '', '0', '', '', '', '0', 'Warszawa', '', 'Klasyczna', '0', '5/42a', '', '01-524', 'Warszawa', '22', '212421122', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', '7ywoda@klip.pl', '652331128', '0', '0', '0', '1', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:6:{i:375;s:3:\"389\";i:305;s:3:\"306\";i:46;s:2:\"46\";i:232;i:-1;i:249;s:3:\"249\";i:254;s:3:\"254\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7YUE19EDNA40', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('642071494', 'home', '2011-09-10 12:30:04', '2011-09-10 13:30:52', '1', '0', '0', '208', 'Internet do 100 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '133', '0', '', ' - bez szczegółów', 'Poczekam', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'olenia@o2.pl', '6772231126', '1', '0', '0', '0', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:5:{i:305;s:3:\"306\";i:46;s:2:\"46\";i:48;s:2:\"48\";i:232;s:3:\"232\";i:249;s:3:\"249\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki Twoje zapytanie', 'L993999C0999', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0',

To tylko przykład ogromnej ilości prywatnych informacji jakie udostępniono w ramach ataku na Netię (dane zostały oczywiście zmienione).

1. Nie podawaj swoich danych byle gdzie

Adres zamieszkania, numer telefonu podajemy tylko wtedy kiedy naprawdę musimy i ufamy danej firmie. Podobnie z adresem email, zgodnie z ustawą o ochronie danych osobowych powinniśmy chronić go tak samo jak nasz adres zamieszkania. NIGDY NIE PODAJEMY ŻADNYCH HASEŁ, pod żadnym pozorem.

2. Zachowaj zimną krew i czujność czytając pocztę

Niezależnie od tego jak nagląca i pilna może wydawać się wiadomość, którą właśnie otrzymaliśmy. Czy jest to informacja o zablokowaniu dostępu do naszego konta w BZ WBK, czy wezwanie do aktualizacji danych osobowych. Podobnie z super ofertami przygotowanymi specjalnie dla nas w formie plików PDF i DOC. Warto zadać sobie kilka pytań sprawdzających:

  • Czy jestem klientem tej firmy?
  • Czy podawałem im właśnie ten numer telefonu albo adres email do kontaktu?
  • Czy jestem zainteresowany jakąkolwiek ofertą od tej firmy?
  • Czy adres email, z którego przyszła wiadomość rzeczywiście należy do firmy za którą się podaje?

W razie jakichkolwiek wątpliwości zawsze kontaktujemy się z infolinią firmy.

3. Nie otwieramy plików pochodzących z nieznanego źródła

Jeden spreparowany dokument PDF lub DOC, albo dobrze przygotowany „skrócony odnośnik” (na przykład https://tinyurl.com/ydtcvhp) może doprowadzić do infekcji naszego komputera lub konta na facebooku (por. Nie buty, tylko wirusy. Roz­dają wirusy na fej­sie.). Według dotychczasowych informacji dokładnie w taki sposób padła Netia S.A., spreparowany załącznik DOC został otwarty na komputerze pracownika z odpowiednimi dostępami.

4. Do każdej usługi stosuj inne hasło

To jest krok, który jest znacznie cięższy do wprowadzenia w naszym codziennym korzystaniu z sieci. Nie jest jednak tak źle jak mogłoby się wydawać, jeśli skorzystamy z jednej z tych dwóch metod:

  • KeePassX to oprogramowanie, które pozwala nie tylko na generowanie bezpiecznych haseł, ale również na przechowywanie ich w doskonale zaszyfrowanej bazie, do której możemy uzyskać dostęp nie tylko z komputera ale również z naszego smartfona.
  • Niepełnym zastępstwem, ale świetnym uzupełnieniem dla usług, do których hasła po prostu musimy pamiętać jest stworzenie kilku stref bezpieczeństwa i przypisanie dla nich bezpiecznych, haseł, które zapamiętujemy i odpowiednio stosujemy. W razie wycieku podobnego, do tego który przydarzył się Google z usługą Gmail możemy być pewni, że najważniejsze usługi, z których korzystamy pozostaną zabezpieczone, bo dla zachowania bezpieczeństwa wystarczy nam zmiana hasła w garstce usług. Pierwszym krokiem jest przygotowanie kilku bezpiecznych haseł, następnie przydzielamy je do grup usług takich jak „bankowość elektroniczna”, „poczta”, „media społecznościowe” i tym podobne.

5. Używaj bezpiecznych haseł

Spokojnie. Bezpieczne hasła to nie tylko niemożliwe do zapamiętania ciągi znaków i cyfr pokroju:

 ^/mY;sCC+q&D-:9}B4G7AJV56kUt,@?[d+u

Znacznie bezpieczniejsze przykłady to:

  • SledzWBitejSmietanie
  • TruskawkaOkraszonaSluchawkami15
  • MojMonitorToLG543!@

Podane przykłady są znacznie łatwiejsze do zapamiętania. Jakie są główne zasady przygotowania takiego hasła? Staramy się by nie były to hasła słownikowe, to znaczy takie, które występują po sobie na przykład w przysłowiach. Zlepienie ze sobą kilku słów z naszego otoczenia pozwoli nam nie tylko na stworzenie bezpiecznego hasła, ale też ułatwi przypomnienie go sobie, gdy ponowie się w nim znajdziemy.

Wyszło aż 5, ale już pierwsze 3 kroki wprowadzone w życie bardzo poprawią nasze bezpieczeństwo. Niestety musimy być przygotowani na to, że to socjotechnika, a nie pojawiające się co raz to nowe zagrożenia stanowią największe niebezpieczeństwo. Jakkolwiek wymyślne nie byłyby wirusy, to najczęściej wpuszczamy je do naszych urządzeń sami. Tylko i wyłącznie wyszkolenie w sobie takiego filtra przychodzących do nas informacji możne nas obronić przed tragicznymi w skutkach wyciekami prywatnych informacji, a w najgorszym przypadku kradzieży gotówki.

Więcej

Nie buty, tylko wirusy. Rozdają wirusy na fejsie.

Jeśli widzicie jakiś link w serwisie facebook, ale nie znacie domeny najlepiej nie klikajcie na niego wcale. Jeśli jednak chcecie zobaczyć co się pod nim kryje, korzystamy z opcji „otwórz w trybie incognito”. Mają go Firefox i Chrome.
W przeciwnym wypadku narażacie się na kilka przekierowań i przejęcie konta na facebooku. W Waszym imieniu będą rozsyłane zaproszenia do grupy z fałszywym linkiem oraz zamieszczane komentarze.

Jeśli już to masz:
– w ustawieniach swojego profilu cofnij autoryzację wszelkich aplikacji,
– wyloguj wszelkie aktywne sesje,
– zmień hasło,
– zbadaj swój system oprogramowaniem adwcleaner.
Powinno pomóc.

PS Jak wspomniał Aleksander dobrym rozwiązaniem jest też stosowanie wtyczek takich jak NoScript, PrivacyBadger albo zwykły Adblock (lub przyjemniejszy uBlock).

Więcej

Komunikat o zmianie klucza GPG

Data: 8 października 2015

(Możesz również pobrać poniższy komunikat podpisany oboma kluczami)

Z wielu powodów stworzyłem ostatnio nowy klucz OpenPGP, którego od teraz będę używał, porzucając klucz stary.

Stary klucz będzie nadal ważny przez jakiś czas, ale wolałbym, by wszelka przyszła korespondencja korzystała już z nowego klucza. Chciałbym też, by nowy klucz został zintegrowany do sieci zaufania. Niniejsza wiadomość podpisana jest oboma kluczami, by ją uwiarygodnić.

Stary klucz to:

pub   2048R/DBAB60F2 2012-09-08
      Key fingerprint = 99A7 D000 D012 7BD7 F497  BC51 C277 D526 DBAB 60F2

Nowy klucz to:

pub   4096R/3F332AEF 2015-10-08 [wygasa: 2017-10-07]
      Key fingerprint = 39FB 5452 5236 AB4E 886E  BA75 CE97 A663 3F33 2AEF

By pobrać cały klucz z publicznego serwera kluczy, możesz zwyczajnie:

gpg – keyserver pgp.mit.edu – recv-key 3F332AEF

Jeśli zaś masz już mój stary klucz, możesz upewnić się, że nowy klucz jest podpisany kluczem starym:

gpg – check-sigs 3F332AEF

Jeśli nie masz mojego mojego starego klucza, lub chcesz się dodatkowo upewnić, że wszystko gra, możesz porównać odciski palca kluczy:

gpg – fingerprint 3F332AEF

Gdy jesteś usatysfakcjonowany i pewny, że masz właściwy klucz, i że UIDy kluczy zgadzają się z oczekiwanymi, byłbym zobowiązany za podpisanie mojego nowego klucza. Można to zrobić za pomocą komendy:

**
UWAGA: jeśli mój klucz jest już przez Ciebie podpisany, ale wyłącznie lokalnie (lsign), użyj komendy —lsign-key zamiast tego, co poniżej, i nie wysyłaj podpisów na serwer kluczy
**

gpg – sign-key 3F332AEF

Chciałbym w miarę możliwości otrzymać Twoje podpisy mojego klucza. Możesz mi je wysłać mailem, jeśli masz działające MTA na swoim systemie):

gpg – armor – export 3F332AEF | mail -s 'Podpisy OpenPGP' marcin@karpezo.pl

Przy okazji — mocno sugeruję wdrożenie mechanizmu automatycznego odświeżania kluczy w celu otrzymywania na bieżąco rewokacji i innych aktualizacji stanów kluczy. Można do tego użyć parcimonie — daemona, który powoli, w tle, odświeża klucze z serwerów kluczy przez Tora. Używa losowego czasu przerw pomiędzy kolejnymi akcjami, i oddzielnych tras w sieci Tor dla każdego z kluczy. Oznacza to, że ciężko byłoby komukolwiek skorelować aktualizacje kluczy z Twoim zestawem kluczy.

Gorąco też zachęcam do zapoznania się z najlepszymi praktykami dotyczącymi GPG, zebranymi przez RiseUp; stamtąd bezczelnie ukradłem większość angielskiego tekstu niniejszej wiadomości. 😉

https://help.riseup.net/en/security/message-security/openpgp/best-practices

Jeśli pojawią się jakieś pytania bądź problemy, proszę o sygnał i przepraszam za zamieszanie.

P.S. – ogromne dzięki dla ryśka, za wykonanie polskiej wersji tego tekstu i jego publikację na CC BY-SA.

Więcej

WordPress przestaje dbać o naszą prywatność

WordPress w ostatnim czasie (wprowadzanie usług takich jak gravatar, hardkodowane odwołania do Google Fonts) przestaje dbać o prywatność użytkowników. Ma to znaczenie w kilku zastosowaniach: np. wśród aktywistów, którzy chcą założyć stronę dotyczącą spraw o które walczą; dotyczy też użytkowników WP z Polski, którzy z tego właśnie względu mają problemy z wyświetlaniem polskich liter na swoich stronach. Zastosowań jest znacznie więcej, wniosek jest jeden: Instancja WordPressa po instalacji nie powinna łączyć się z żadnym serwerem poza swoim hostem.

Więcej