•  

    pokaż komentarz

    Rzeczywiście, trudno się domyślić, że usługa o nazwie "VPN Sofast", "VPN Master" czy "Hi VPN Free" należą do firm-krzaków, które przed niczym nie chronią, a tylko sprzedadzą wasze dane. Kto się na coś takiego nabiera? Już poważniej brzmiałoby "SzwagroVPNPol" ( ͡º ͜ʖ͡º)

  •  

    pokaż komentarz

    Dzięki Bogu że nie amerykańskie.

  •  
    s07_

    0

    pokaż komentarz

    Niech mi ktoś wytłumaczy, jaka niby jest większa prywatność w "przekierowaniu" ruchu do innej sieci? w TOR-ze przynajmniej można było zmieniać trasę, ale w tym to ja nie rozumiem co właściwie jest ugrywane.

    •  

      pokaż komentarz

      @s07_ nie pokazujesz swojego IP, ominięcie blokad regionalnych, ukrycie ruchu przed dostawcą internetu, wycinanie reklam, nikt nie przechwyci danych jak korzystasz z darmowego hotspota itp.

    •  
      s07_

      +10

      pokaż komentarz

      @Lluc: Pytanie było odnośnie prywatności tak btw :P Te inne aspekty są jasne jak słońce.

      Ukrywasz ruch przed dostawcą, który z reguły i tak nie ma hardware-owej dostatecznej mocy, aby to mielić (chyba, że "poproszony" przez służby) poza tym co jest w jego interesie. Za to wysyłasz ruch do sieci, która pod tym kątem już mogła być budowana.
      Co jest takiego magicznego w tych VPN, że MitM jest nieosiągalny? Rozumiem, że poziom trudności przy VPN rośnie, ale ciężko jest mi uwierzyć w gwarancję, skoro (z tego co widziałem) te VPNy nie dostarczają Ci kluczy w jakiś bardziej zewnętrzny sposób (np. przez własną konfigurację).

    •  

      pokaż komentarz

      @s07_: akurat NordVPN dostarcza na sztywno klucze w plikach .ovpn do pobrania ze strony. Są one też umieszczone w kodzie oficjalnej aplikacji, więc raczej trudno podmienić komuś klucz. Nie wiem jednak jak to wygląda u innych dostawców.

    •  

      pokaż komentarz

      korzystasz z darmowego hotspota itp.

      @Lluc: generalnie wszystkie wrażliwe dane powinno się przesyłać po SSL i to czy hot spot jest otwarty czy nie, nie powinno mieć znaczenia. Ogólnie każde łącze powinno się traktować jako niezaufane.

    •  

      pokaż komentarz

      @s07_: różnice są takie:
      - jak używasz https'a to twój usługodawca, i wszyscy po drodze pomiędzy Toba z stroną docelową wiedzą, że łączysz się do konkretnego IP, więc mogą w praktyce zgadnąć jaką stronę oglądasz (po samym IP można próbować wywnioskować czy oglądasz np google, wp, onet itp. Nie widza konkretnej strony itp, ale widzą IP docelowe.

      Np jak używasz naszego VPN'a w Operze, i np łączysz się do jakiejś strony po https, to Twój cały ruch jest jakby 2krotnie szyfrowany, po pierwsze leci szyfrowany do Opery, to pierwsze szyfrowanie jest odszyfrowywane, i leci dalej zaszyfrowany do strony docelowej. Oznacza to tyle, ze tylko Opera może zobaczyć, że łączysz się do konkretnego IP (a nie wszyscy po drodze), ale dalej nie widzimy tego co wysyłasz i Twojego ruchu.
      Czyli ktoś kto chce podsłuchać konkretnego usera, widzi ze łączy się do serwerów Opery. Z drugiej strony widzi multum ruchu wychodzącego z Opery, ale nie mogą przyporządkować tego do konkretnego użytkownika.
      Z drugiej strony mamy politykę no-log, więc nie zapisujemy żadnych danych mogących zidentyfikować poszczególnego użytkownika, i powiązać go z jakimiś danymi.

    •  
      s07_

      0

      pokaż komentarz

      @komw: Czyli właściwie to działa na zasadzie dżentelmeńskiej umowy, że Ci od VPN-a nie robią tego o co podejrzewamy, że robi ISP? To tak zawężając pytanie do samego "czy Ci od VPN faktycznie nie patrzą?" (chociaż, takie było pytanie od samego początku :P)
      Bo jeśli chodzi o MitM i co napisał @zielonka18, to wnioskuję, że wszyscy korzystający z NordVPN mają ten sam zestaw kluczy, a z tego wychodzi, że jeśli transmisje są obserwowane od samego początku (np. połączenie z przejętym hotspotem i dopiero z VPN "na czysto") i obserwujący to pro, to nic nie stoi na przeszkodzie, aby mógł dalej widzieć co chce.
      Przynajmniej tak mi się wydaje, bazując na tym co czytałem o tym rozwiązaniu, sensowną gwarancję przed MitM dla VPN ma dawać niejawność kluczy.

      @zarowka12 SSL nie zadziała, jeśli masz kontrolę nad wyjściem, mój znajomy bez problemu ogarnia takie połączenia u siebie w pracy (acz zasady "jak to robi" nie znam). Ogółem to idzie nawet na logikę, jeśli SSL byłby tak dobry, to NSA nie miałaby czego analizować :P

    •  

      pokaż komentarz

      @s07_: czyli coś słyszałeś, ale nie wiesz co :) Najprawdopodobniej w firmie komputery są centralnie zarządzane i są na nie wrzucone certyfikaty bramki. Dzięki temu można rozszyfrowywać ruch a przeglądarki nie krzyczą. Więc musisz mieć kontrolę nad danym komputerem. Poza tym VPN tak samo używa SSL. Pod kątem NSA VPN może być tylko o tyle lepszy, jeśli zastosowany tam będzie mocniejszy algorytm kryptograficzny niż na danym serwerze, do którego łączysz się po SSL.

    •  

      pokaż komentarz

      @s07_: Nie do końca jest tak jak mówisz. Jak ktoś używa SSL'a i ma dobrze skonfigurowany system(nie modyfikowany przez nikogo, używa aktualnych implementacji SSL), to używając czy nie używając VPN'a nie jestes w stanie podejrzeć transmisji. Operator może jedynie zobaczyć że łączysz się do adresu IP, ale na tym adresie może być ile chcesz stron WWW, może być podpiętych ile chcesz domen itp. Używając takiego VPN'a, czy choćby VPN'a w Operze, tylko operator VPN'a może zobaczyć że łączysz się do tego konkretnego IP (ale dalej nie wie doklanie co ogladasz, co przesylasz itp).

      Założeniem SSLa jest wlasnie to, ze mozesz zweryfikować że strona X to stron X i transmisja z nią jest szyfrowana, i nikt nie podsłuchuje obok tego co leci.

      Jeżeli mówisz ze Twój znajomy ogarnia takie rzeczy w pracy, oznacza to, że prawdopodobnie musiał zmodyfikować ludziom systemy operacjne/przeglądarki i wgrać swoje CA, a następnie podmienia wszystkie certyfikaty na wystawione przez siebie.Więc prawdopodobnie używając zwykłej przeglądarki mógłby podejrzeć co tam ludzie przesyłają (ale wyświetląć w przegladarce certyfikat, będzie jak byk napisane ze to Twoj znajomy wystawił ten cert) Jednak jeżeli ktos z ludzi używałby Opery z właczonym w niej VPNem, to albo VPN by się nie połączył i dałby komunikat ze cos nie halo i lepiej nie używać neta bo ktoś próbuje coś majstrować, albo by się połączył, a Twój znajomy widziałby tylko śmieci :)

    •  
      s07_

      0

      pokaż komentarz

      @komw: @zarowka12: Zaznaczam od razu, że nie jest to wstęp do kłótni, po prostu nie rozumiem "dlaczego nie".
      Zostańmy przy SSL-ach, co właściwie stoi na przeszkodzie, aby ktoś wpięty w router/gateway/inne na zasadzie a'la "spy cable" (to "a'la" jest ważne :P), nie mógł zdeszyfrować transmisji? (szukałem w google, i chyba jestem za głupi aby zrozumieć "gdzie jest haczyk").
      Jak rozumiem przy pierwszym połączeniu musimy się dogadać z serwerem docelowym, jak w ogóle będziemy gadać, wcześniej ani serwer, ani klient, nie wiedzą jakiego szyfrowania/klucza użyć. Z tego właśnie nie rozumiem, gdzie leży problem dla takiego obserwatora, aby nie móc zaobserwować tego "dogadywania się" i później zastosować "ustaleń", aby sobie transmisję deszyfrować i patrzeć co tam jest.
      Zaznaczam, że cały czas chodzi jedynie o podglądanie, logicznym jest, że podszycie się pod serwer/klient to jest totalnie inna bajka.
      Dla uproszczenia tematu, pomińmy te wszelkie HSTS-y i inne nie-domyślne przeszkadzacze.

    •  

      pokaż komentarz

      @s07_: Ktoś wpięty w ruch pomiędzy Toba a serwerem nie jest w stanie zdeszyfrować informacji, ponieważ do zaszyfrowania danych które są wysyłane wykorzystywane są klucze prywatne które zna tylko jedna strona. Dlatego żeby móc zdeszyfrować, trzeba zrobić tak, że ta osoba pomiędzy komunikuje się z serwerem i z nim szyfruje informacje, pozniej odszyfrowuje niby ze ona jest clientem, szyfruje ponownie i przesyła do użytkownika. Ale to powoduje ze juz nie moze przedstawić się certyfikatem takim jak serwer, i uzytkownik będzie widzial ze ktos podmienił certyfikat w locie

    •  
      s07_

      0

      pokaż komentarz

      @komw: Erm... ale skoro wykorzystywane są klucze prywatne, to jak druga strona (np. serwer) to odczytuje? Tu jest właśnie to czego nie rozumiem, a co jest ciągle powtarzane, kiedy szuka się info o tym w necie. "Nie da się podsłuchać, bo podsłuchujący nie ma kluczy prywatnych", i ok, brzmi fajnie, ale skąd klient, czy skąd serwer ma klucz aby to odczytać? Zwłaszcza biorąc pod uwagę sytuację pierwszego połączenia?

    •  

      pokaż komentarz

      "Nie da się podsłuchać, bo podsłuchujący nie ma kluczy prywatnych", i ok, brzmi fajnie, ale skąd klient, czy skąd serwer ma klucz aby to odczytać? Zwłaszcza biorąc pod uwagę sytuację pierwszego połączenia?

      @s07_: Masz dwa podstawowe rodzaje szyfrowania: symetryczne i asymetryczne. W symetrycznym jak znasz klucz to jesteś wstanie zaszyfrować i odszyfrować wiadomość.

      W HTTPS używa się szyfrowania asymetrycznego gdzie masz dwa klucze: prywatny i publiczny. Za pomocą klucza publicznego jesteś wstanie wiadomość zaszyfrować ale nie jest możliwe jej odszyfrowanie i do odszyfrowania wiadomości potrzebujesz klucza prywatnego.

      Jak łączysz się ze stroną po HTTPS to wtedy Twój komputer z serwerem wymieniają się kluczami publicznymi więc jesteś wstanie zaszyfrować ruch tak aby tylko druga strona była wstanie go odczytać więc nawet jeśli ktoś podsłucha cały ruch to bez kluczy prywatnych nie będzie wstanie go rozszyfrować.

    •  

      pokaż komentarz

      @s07_ nie musi odczytywać, asymetryczne szyfrowanie zakłada że szyfrujesz swoim kluczem prywatnym, a druga strona odszyfrowuje za pomocą znanego klucza publicznego. Klucza prywatnego nikt poza jedną stroną nie zna. Wymiana certyfikatów(poświadczenie że strona X to naprawde strona X) trochę inaczej wygląda ale to też podobna zasada.

    •  
      s07_

      0

      pokaż komentarz

      @MDobak: @komw: Ooo dziękuje! Teraz jest już wszystko jasne.