לאמיר רעדן internet סעקיוריטי

אלעס אין די וועלט פון טעכנעלאגיע
רעאגיר
באניצער אוואטאר
טאמבל סאס
שריפטשטעלער
שריפטשטעלער
הודעות: 4222
זיך רעגיסטרירט: דאנערשטאג מערץ 08, 2012 7:59 am
געפינט זיך: נישט דאס פלאץ.
האט שוין געלייקט: 7149 מאל
האט שוין באקומען לייקס: 3602 מאל

לאמיר רעדן internet סעקיוריטי

שליחה דורך טאמבל סאס »

איך וועל עס מאכן שנעל. איז אזוי.

איך האב א וויילע צוריק געוואטשט די נעטפליקס טיווי שאו נארקאָס האב איך געזען דארטן ווי די מאפיא האט בימים ההם געקענט צוהערן די קאמיוניקעישנס צו וועמען זיי האבן געוואלט ווייל זיי האבן באזיצט די טעלעפאן נעטווארקינג פראוויידערס. ד.ה. די קאמפאניס וואס האבן צוגעשטעלט די סערוויס פאר די היים-טעלעפאנען. די בעלי בתים (מאפיא) האבן כמעט ווען אימער זיי האבן געוואלט, געקענט לייגן טעבּס אויף סיי וועמען אין די סיטי וואס האט גענוצט זייערע סערוויסעס און זיך צוהערן צו זיינע קאנווערסעישנס. דאס האט מיך געמאכט טראכטן וועגן היינטיגע ISPs, דאס זענען די אינטערנעט סערוויס פראוויידערס. זיי קענען זיך צוהערן צו אונזערע אנליין אקטיוויטעטן אויף דריי אופנים. אדער ווייל די גאווערנמענט למשל מאכט אפ צו לייגן טעבּס אויף עמיצן, אדער דורכן פארקויפן די אנאליטיקס אויף אונזערע אקטיוויטעטן צו אדווערטייזינג קאמפאניס אדער אפי' חלילה אין די קעיס פון א קארופטירטע בעל הבית ווי די מעשה פון די מאפיא אויבן.
סתם לשבר את האוזן: נעם למשל א היימישער איד ווי ר' אשר גראד פון לאנדאן, וואס האט ביז 2007 באלבאטעוועט, געווען א פארטנער, אדער געהאט א מאיאריטעט שערס (כ'ווייס נישט גענוי וויאזוי ער האט געהאט בעלות איבער/אין די קאמפאני) אין די בארימטע TSP און CSP קאמפאני טעלקאָ (אגב עס איז היינט די אייגענטום פון איזראעלי אייגענטומער). ער איז אוודאי א טייערע איד און האט מסתמא קיינמאל נישט געטוהן אזאנס אבער וואס אויב אים וואלט זיך פארשמעקט צו אויסגעפונען וועלכע היימישע אינגעלייט שרייבן אויף קאווע שטיבל? ווי לייכט וואלט אים אזאנס געוועזן? לעצם הענין, די פראבלעם איז מענטשן (מיך אינקלודעד) ווייסן נישט פון וועמען זיך אויסצוהיטן?, ווי אזוי זיך אויסצוהיטן? און וואס זענען די מאטיוון פון דיע וואס הערן זיך אונטער? און אפטמאל איז די פראבלעם פשוט אז מענטשן קערן נישט. יעצט, ס'קען זיין אז ווי מצב איז יעצט איז נישט קיין פראבלעם ווייל די אינפארמאציע וואס זיי ווייסן און קלייבן צוזאם איבער אונז ווערט נישט גענוצט דירעקט אונז שלעכטס צוטאָן אבער דאס קען זיך זייער לייכט טוישן. קוק אויף רוסלאנד, טשיינע, עגיפטן און טערקיי און כ'וואלט געזאגט אפי' ארץ ישראל. אלזא:

איין סעלושן איז דא (און דאס איז נאר א פיצי חלק פון וואס קען אלץ געטוהן ווערן צו רעמידיזירן די אוועראָל פראבלעם) פון נאר נוצן וועבסייטס וואס קאמיוניקירן איבער HTTPS פראטאקאל אזוי אז די URLS און די וועבסייטס' תוכן וואס פארט אהין און צוריק, צווישן דיר און די סייט, איז ענקריפטעד. (דארף מען אבער אויך מאכן זיכער אז די גאנצע סייט און אלע 3רד פארטנערס וואס די סייט נוצט זענען אויך איבער HTTPSׂׂׂ).
איז אבער נאכאלס דא א גרויסע פראבלעם וואס ווייניג מענטשן ווייסן און דאס איז אז די DNS SERVER וואס דיין לאקאלע דנ"ס סטובּ רעזאלווער (וואס רעדט צו די דנ"ס רעזאלווער) איז אנגעשטעלט צו נוצן איז געווענליך ביי דיפאָלט דער סערווער פון דיין ISP. אלזא קומט אויס אז די סייט אדרעסעס [סערווער אדרעסעס\דאמעין נעמען] וואס דו שיקסט ארויס פון דיין בראוזער (ווען? למשל, אינצווישן פון וואס דו קליקסט אויף דער לינק וואס גוגל האט דיך פרעזענטעד אין רעזולטאט צו דיין גוגל קווערי ביז דו זעסט די רעזאלטס פון דיין קליק; דהיינו די עקשועל וועבסייט. אזוי מיין איך. וכן מיט אנדערע סוירטש ענדזשינס ווי בינג און יאהאו) -- און וואס גייט אדורך א רייע DNS סערווערס ביז זי קומט צוריק צו דיך מיט די LOOKUP פון די IP אדרעס וואס קאָרעספאנדט צו די דאמעין נאמען וואס דו האסט ריקוועסטעד -- איז נאכאלס נישט ענקריפטעד און איז וויזיבעל צו די זעלבע ISP פון וועמען מיר פרובירן זיך צו באשיצן.. דאס מיינט אז זיי קענען זעהן פונקטליך וועלכע סייטס דו באזוכסט און ווען, און ווי ריסוירטש האט שוין געוויזן קענען זיי נאכ'ן אנאלאזירן עס (פאַקטאָרן ווי למשל סייז, טיימינג און דעסטינאציע אדער ROUTE אויף די נעטווארקס) איבער א לענגערע צייט, זעהן פיהל מער וועגן די נאטור אָף די דאטא וואס די טראפיק אנטהאלט (אפי' אויב די דאטא איז ענקריפטעד).

צו היילן דאס פעלט זיך אויס אויך צו ענקריפטן די דנ"ס קוועריס זעלבסט (DNS OVER HTTPSׁ). אלזא קודם פעלט זיך אויס צו טוישן די ISP's דיפאָלט סערווער צו עקסטערנל סערווערס ווי למשל גוגל פובליק דנ"ס סערווער, OPENDNS אדער CLOUDFALRE. עס זענען דא נאך אסאך פראוויידערס. איך פערסאָנעלי וואלט געגאנגען פאר די CLOUDFLARE; נישט ווייל זיי זענען זייער עטיקל נאר ווייל זיי זוכן נישט צו שפילן גאט אין די ארענע פון אינטערנעט פריוועסי, פרידאם אף עקספרעשאן און סענסארשיפ. (ובנוסף לזה איז כדי אויך זיכער צומאכן אז קיין שום 'רידיירעקט' איז נישט אימפלעמינטירט פאר פּאַקעטס פון פּאָרט 53 צוריקצוגיין צו דיין ISP's דנ"ס סערווער.)

אבער DoH איז נאר (כאטש ס'קען זיך מעגליך טוישן) אויף די אפליקאציע לעיער (פון אייער פארטיקולער בראוזער, גוגל אדער פייערפוקס וכדומה, אבער נישט אויף אנדערע אפליקאציעס וואס דו האסט מעגליך אינסטאלירט אויף דיין OS - ווי למשל טשעט עפס ווי סלאַק אדער טיעמס ) צו אימפלעמענטן ענקריפשען אויך אויף די טראנספאָרט לעיער (איין לעיער העכער פון די נעטווארק לעיער) ברויך מען אויך אקטיוויזירן (אדער קאנפיגרירן) דנ"ס ענקריפשן אין די בעיס אפערעיטינג סיסטעם (DNS OVER TLSׂ), לכתחילה סטריקט MODE (VS אָפּערטוניסטיק מאוד).

וויכטיג אבער אנצומערקן אז אפילו די ביידע פראטאקאלס (און אנדערע אזעלכע) זענען נישט אומשטאנד צו באשיצן געגן א טעכניק וואס הייסט DEEP PACKET INSPECTION וואס קען אויסגעפונען נאכמאל, וועלכע סייטס דו באזוכסט, פון וועלכע מאשין און אפילו דיין GEO לאקעישאן (און אויב נישט אויף HTTPS אויך די קאנטענט פון די פּאקעט; און אויב די ISP נוצט נאך SSL אינטערסעפשאן און האט אינסטאלירט באיזה אופן א סערטיפיקאט אויף דיין מאשין, קענען זיי לייענען די תוכן פון די דאטא אפילו מיט HTTPS), וואס ווייטער ISPs און גאווערנמענטס קענען טאהן און טוען אין פאקט ברייט פראקטאצירן. אויף דעם ברויך מען א VPN (און דאס איז באמת עפעס וואס יעדער זאל גיין פאַר; און בעסער אליינס קאנפיגרירן זיך צו סעיוון געלט, צו זיין זיכער אז ס'איז קאנפיגרירט ריכטיג און אז ס'איז נישט קיין ריפּ אָף) אבער דאס פאר אן אנדער מאל.

און דאס אלעס, די DoH אדער DoT, ברויך מען איבערחזרן אויך אויף מאובייל דיווייסעס אויכעט, ווי למשל טאבלעט אדער סעלפאון.

איך וויל אבער דרוקן אז דאס איז ווייט פון גענוג. עס זענען דא נאך פיהל געלעגנהייטן און לעכער אוואו סנופּערס קענען זיך אונטערהערן (ווי למשל אויף די האוסט מאשין, ראוטער, VMWAREׂׂ און די סוירטש ענדזשינס (ווי גוגל) זעלבסט - אזוי מיין איך). אין דער נושא (אויבן אויסגעשמועסט) אליינס איז נאך דא SNI ענקריפשען (ווס DNS ענקריפשען) וואס ברויך א רעמעדי אדער סעלושען. ד.ה. לעת עתה איז עס נישט ענקריפטעד (גיי געפין אויס פארוואס מען דארף בכלל SNI?). ווי אויך אפילו מיט דנ"ס איבער HTTPS און דנ"ס איבער TLS, אין די ענד אף די טשעין, ווען דער אויטאריטעטיוו סערווער ווערט אויסגעפרעגט, איז אויכעט נאכנישט פארהאנען א פראטאקאל פאר ענקריפטינג דער דאזיגער ריקוועסט.

דאס זאג איך אלעס אלס ראשי פרקים ותן לחכם ויחכם עוד. ס'איבעריגע (אויב אייער פריוואטקייט וואס אנבאלאנגט קאמיוניקאציע, איז אייך וויכטיג), אינקלודינג ווי אזוי דאס אלעס צו סעטן אָפּ, קענט איר טרעפן אנליין.
רעדאגירט געווארן צום לעצט דורך 4 אום טאמבל סאס, רעדאגירט געווארן 0 מאל בסך הכל.
דאס איז נישט מייניגע, דאס איז אויך נישט פון באשעפער. דאס איז פון די מאדערנע אחיה השילוניס פון היינט.
פארוואס זאג איך אייך דאס? ווייל כל מי שאינו אומר דבר בשמם מתעטר בעטרה שאינו שלו ומביא בערות, גסות רוח ואמונות טפלות בעולם.

דער אשכול פארמאגט 30 תגובות

איר דארפט זיין א רעגיסטרירטער מעמבער און איינגעשריבן צו זען די תגובות.


רעגיסטרירן איינשרייבן
 
רעאגיר