Powitać, powitać.

Pewnie zastanawiacie się, którego admina mam na myśli ;)



No oczywiście, że mojego - tego, który czyta mi maile i śledzi każdy ruch w sieci ;)

A tak poważnie: wynajmuję lokal w kompleksie usługowym. Właściciel wykupił dostęp do bardzo szybkiego łącza, które dzieli między tych, którzy zadeklarowali chęć posiadania internetu.
Łączem zarządza administrator mieszkający po sąsiedzku.
Żartowałem oczywiście z tą wścibskością ale z zasady mnie mierzi jak sobie pomyślę, że ktoś może czytać moje maile albo znać hasła do kont bankowych, więc grzecznie "zapytowuję":

- co taki admin - ponoć bardzo kumaty - widzi?
- czy jest jakiś sposób, żeby ukryć przed nim gdzie się chodzi, jakie dane się wpisuje i z kim rozmawia?
- czy admin może wejść na mój komputer, przeglądać jego zawartość i ją sobie na przykład kopiować/zmieniać?

Bardzo proszę o konkretne odpowiedzi, bo sprawa jest dla mnie bardzo ważna ;)

Jakiś tam ruch może przechwycić - wszystko zależy od tego jak bardzo mu się chce. Jak się zabezpieczyć: na kabelku dochodzącym do Twojego lokalu postawić router z klientem VPN, potem np w domu postawić router z serwerem vpn i zestawić tunel między tymi urządzeniami. Wtedy wszystko co wyjdzie w świat z Twojego kompa w pracy będzie najpierw przechodzić przez Twoje łącze w domu i będzie nie do podsłuchania (a przynajmniej nikt z tego nic nie uzyska).

- co taki admin - ponoć bardzo kumaty - widzi?
Ruch sieci: gg, strony internetowe, torrenty itp. Czy widzi hasła? Nie, chyba, że się postara.

- czy jest jakiś sposób, żeby ukryć przed nim gdzie się chodzi, jakie dane się wpisuje i z kim rozmawia?
Kolega odpowiedział wyżej ;)


- czy admin może wejść na mój komputer, przeglądać jego zawartość i ją sobie na przykład kopiować/zmieniać
Jak ma wystarczającą wiedzę to w sumie każdy może to zrobić. To, że jest adminem tylko ciupkę łatwiej jest.

Wydaje mi się, że admin ma ciekawsze rzeczy do roboty, niż patrzenie czy wchodzisz na świerszczyki.. ;)

Dzięki za odpowiedzi.

Świerszczyki to tylko wierzchołek góry lodowej ;)
Pod powierzchnią znajduje się: ściąganie nielegalnych wersji kursów z na przykład Lynda.com, dzięki którym chciałbym podszkolić swój warsztat fotograficzny, "prenumerata" prasy fotograficznej z światowej sławy portalu dla fotografów - amatorów o nazwie rapidshare.com oraz sprawdzanie stanu konta, na które wpływają środki z obrotu ziołem ;)

W każdym razie sprawdzę temat "routera z klientem VPN", choć już na wstępie obawiam się dość pokaźnych kosztów.

A co z zabezpieczeniem kompa? Jest jakiś sprawdzony sposób na zablokowanie dostępu do niego lub przynajmniej na odnotowanie takiego wejścia?

jak Ci kursor myszki bedzie lekko migotal tzn ze siedzi :P :) taki urok VPN :))

Jakiś tam ruch może przechwycić - wszystko zależy od tego jak bardzo mu się chce. Jak się zabezpieczyć: na kabelku dochodzącym do Twojego lokalu postawić router z klientem VPN, potem np w domu postawić router z serwerem vpn i zestawić tunel między tymi urządzeniami. Wtedy wszystko co wyjdzie w świat z Twojego kompa w pracy będzie najpierw przechodzić przez Twoje łącze w domu i będzie nie do podsłuchania (a przynajmniej nikt z tego nic nie uzyska).

Prosciej - stawiasz w domu serwer SSH i przekierowujesz na routerze przychodzacy port 80 na owy serwer.

W pracy laczysz sie z tym serwerem przez putty, ustawiasz w putty przekierowanie portu 80 i w przegladarce (i kazdym innym programie jaki chcesz) proxy SOCKS5 localhost port 80.

W tym momencie masz caly ruch po porcie 80 masz tunelowany przez SSH, a co za tym idzie szyfrowany. Oczywiscie mozna przekierowac w ten sam sposob inne porty, ja akurat w ten sposob w pracy omijam firewalla. ;)

wszystko to o czym mówicie ma jedną zasadniczą wadę - nie będzie chodzić szybciej jak upload na łączu w domu - czyli po co mu szybkie łącze w biurze skoro i tak się ogranicza do 1mbps?
jeśli masz obiekcje kup łącze HSDPA i nie korzystaj z tego, które dostarcza ci admin.

wszystko to o czym mówicie ma jedną zasadniczą wadę - nie będzie chodzić szybciej jak upload na łączu w domu - czyli po co mu szybkie łącze w biurze skoro i tak się ogranicza do 1mbps?
ale z tego co zrozumiałem, to to szybkie łącze w pracy jest dzielone na kilku/nastu chętnych. Więc prędkość spadnie i tak.

Costi... dzięki za kolejną poradę ;)

Mironie: spadnie - nie spadnie, bo łącze nie jest dzielone sztywno tylko ograniczane kiedy łączy się kilka osób. Dynamicznie czy jak to tam się zwie.
W każdym razie jeżeli prawdą jest twierdzenie siony to jest jeszcze gorzej, bo w domu mam UPLOAD up to 512bps ;)

syćko co lata po SSLu tego nie zobaczy. A więc twoja poczta, nasze-klasy, banki i hasła do banków są bezpieczne.
Za to na pewno ma wgląd do historii przeglądanych stron, wykorzystywanych protokołów itp. Jak jest sprytny i wścipski to i owszem może podglądnąć treść nieszyfrowaną czy rozmowy na GG.

W tym momencie masz caly ruch po porcie 80 masz tunelowany przez SSH, a co za tym idzie szyfrowany. Oczywiscie mozna przekierowac w ten sam sposob inne porty, ja akurat w ten sposob w pracy omijam firewalla. .

to co to za firewall że się go tak ocyganić? Administrator dupa :-)

http://niebezpiecznik.pl/post/firesheep-firefox-ataki-na-sesje/ każdy użytkownik sieci może Ci nabrudzić :)
Generalnie w internecie po prostu trzeba być bardzo ostrożnym ;)

to co to za firewall że się go tak ocyganić? Administrator dupa :-)

Firewall nie wiem jaki, ale zgadzam sie z opinia o adminach ;)

No sorki ale skoro tak sprawa wygląda to nie wiem jakim trzeba być specem, żeby nie dać się podejść choćby w przypadku myszkowania po necie dzięki publicznemu hot spotowi w jakiejś galerii :(
Nie będę się rozwodził jakie dane chciałbym zachować dla siebie ale w takim wypadku nie pozostaje mi nic innego jak tylko przemyśleć sprawę łącza HSDPA.
Cyfrowy Polsat robi zapisy na jakiś super nowy dostęp do neta (http://www.cyfrowypolsat.pl/oferta/internet/technologia-lte.cp) ale nie wiem ile takie coś będzie kosztowało i czy jest szansa na podłączenie się do tego w moim mieście/mojej lokalizacji.

https://www.torproject.org/

taaa zyjcie dalej w nieswiadomosci ze VPN, czy SSH /SSH tunel sa nie do podsluchania
kazdy ale naprawde KAZDY ruch szyfrowany moze byc przez dostawce netu podejrzany z palcem w 4 literach
jest cos takiego jak atak man-in-the-middle - i ten sposob wykorzystuja dostawcy (tyle ze nie musza robic ataku)
prosze sobie doczytac chocby na wikipedii
co prawda gotowe apliance (czyli skrzyneczki do montazu w serwerowni kosztuja mala kupke kasiory) ale nie ma problemu zeby to zrobic na zwyklym pececie z linuchem robiacym za router

przerazajace jest to ze praktycznie nie ma przed tym obrony - bo zawsze mamy jakiegos providera i nie wiemy czy to robi czy nie
ustawowo robia to np w emiratach arabskich - tam jest permanentna inwigilacja
chinczyki pewnie tez wola wiedziec co robia obywatele a szczegolnie obcokrajowcy
u nas sa zakusy na cos takiego

praktycznie w kazdej wiekszej korporacji instaluje sie tego typu urzadzenia
nie ma to na celu szpiegowania i wykradania hasel np do banku
glownie chodzi o monitorowanie czym sie zajmuja ludzie w kanalach szyfrowanych - czyli np jakie strony ogladaja i co wysylaja z firmy

oczywiscie mozna probowac zabezpieczyc sie dodatkowo np TORem czyli zrobic tunel w tunelu jednak i tu nie ma pewnosci - tym bardzoej ze sa juz metody namierzania wezlow tora i sledzenia tych oblesnych pedofilow :)

jedynym sposobem wykrycia podmiany certyfikatow jest sprawdzanie czasow odpowiedzi - ale jedyne co to mozemy w razie wykrycia ze robi to provider zrezygnowac z komunikacji

wszystko w imie prawa i porzadku , wolnosci slowa i obrony demokracji


co nie znaczy ze nalezy zrezygnowac z szyffrowania i zabezpieczania sie

taaa zyjcie dalej w nieswiadomosci ze VPN, czy SSH /SSH tunel sa nie do podsluchania
kazdy ale naprawde KAZDY ruch szyfrowany moze byc przez dostawce netu podejrzany z palcem w 4 literach
jest cos takiego jak atak man-in-the-middle - i ten sposob wykorzystuja dostawcy (tyle ze nie musza robic ataku)
prosze sobie doczytac chocby na wikipedii


z tejże:

Komunikacja jest odporna na atak man in the middle, jeśli jedna strona zna klucz publiczny drugiej lub potrafi go zweryfikować – np. jest on podpisany przez organizację certyfikującą (certification authority).

są routery, które potrafią to wykorzystać

(...)
co nie znaczy ze nalezy zrezygnowac z szyffrowania i zabezpieczania sie

Wszystko zależy od tego jak bardzo będzie się komuś chciało. Jeśli bardzo, to, jak piszesz, nic nie pomoże. Jeśli trochę mniej, to odbije się nawet od zwykłego SSH, co najwyżej będzie się zastanawiał czemu mu ruch po porcie 22 nagle wzrósł.

Cała zabawa w tym, żeby odcedzić jak najwięcej tych, co im się nie bardzo chce (i tez zależy jak bardzo nam się chce) ;)

z tejże:

Komunikacja jest odporna na atak man in the middle, jeśli jedna strona zna klucz publiczny drugiej lub potrafi go zweryfikować – np. jest on podpisany przez organizację certyfikującą (certification authority).

są routery, które potrafią to wykorzystać

i tak i nie
niestety musze walczyc z takimi zabawkami - podkaldany certyfikat posiada podpis CA - wiec przewaznie nie da sie zorientowac dopoki nie zacznei sie sprawdzac ( a jest OK - przegladarka wyswietla zielony pasek i gra gitara)

niektore aplikacje sprawdzaja kto jest wystawca CA - wtedy Qpa - nie przejdzie - dlatego musze na takie strony robic bypass co nie znaczy ze nie odklada sie w logach kto i kiedy na cos takiego wchodzi - i musi byc to strona na ktora sie zezwala - wiec marne szanse ze na domowego kompa polityki zezwola :P


swoja droga to smiesznie wyglada - wchodzac na strony konkurencji widac ze poswiadczone sa certyfikatem mojej firmy :P - tyle ze to sa zabawki na ktore stac korporacje albo kraje - wsiowe i osiedlowe adminy nie bawia sie w to - predzej brute-forcem zlamia WPA na domowym wi-fi