20 KiB
| title | icon | description | schema | |||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Συνήθεις παρανοήσεις | material/robot-confused | Η ιδιωτικότητα δεν αποτελεί ένα ξεκάθαρο ζήτημα και είναι εύκολο να παρασυρθεί κανείς από διαφημιστικούς ισχυρισμούς και άλλες παραπλανητικές πληροφορίες. |
|
«Το λογισμικό ανοιχτού κώδικα είναι πάντοτε ασφαλές» ή « Το ιδιόκτητο λογισμικό είναι πιο ασφαλές»
Αυτοί οι μύθοι πηγάζουν από μια σειρά προκαταλήψεων, ωστόσο το αν ο πηγαίος κώδικας είναι διαθέσιμος και πως αδειοδοτείται το λογισμικό δεν επηρεάζουν εγγενώς την ασφάλειά του με οποιονδήποτε τρόπο. ==Το λογισμικό ανοικτού κώδικα έχει τη δυνατότητα ** να είναι πιο ασφαλές από το ιδιόκτητο λογισμικό, αλλά δεν υπάρχει καμία απολύτως εγγύηση ότι αυτό υφίσταται στην πράξη.== Όταν αξιολογείς λογισμικό, θα πρέπει να εξετάζεις τη φήμη και την ασφάλεια κάθε εργαλείου σε ατομική βάση.
Το λογισμικό ανοικτού κώδικα μπορεί να ελεγχθεί από τρίτα μέρη και είναι συχνά πιο διαφανές όσον αφορά ενδεχόμενες αδυναμίες από ότι τα αντίστοιχα ιδιόκτητα λογισμικά. Επιπροσθέτως σου επιτρέπει να ελέγξεις τον κώδικα και να απενεργοποιήσεις οποιαδήποτε ύποπτη λειτουργία ανακαλύψεις. Ωστόσο, εκτός και αν προβείς στον παραπάνω έλεγχο, δεν υπάρχει καμία εγγύηση, ότι ο κώδικας έχει ποτέ αξιολογηθεί, ιδίως στην περίπτωση μικρότερων έργων λογισμικού. Επίσης, η διαδικασία ανάπτυξης λογισμικού ανοιχτού κώδικα έχει σε ορισμένες περιπτώσεις αποτελέσει αντικείμενο εκμετάλλευσης, προκειμένου να εισαχθούν νέα τρωτά σημεία, ακόμα και σε μεγάλα έργα.1
Από την άλλη πλευρά, το ιδιόκτητο λογισμικό είναι λιγότερο διαφανές, αλλά αυτό δε σημαίνει ότι δεν είναι ασφαλές. Σημαντικά έργα ιδιόκτητου λογισμικού μπορούν να ελεγχθούν εσωτερικά, καθώς και από οργανισμούς τρίτων μερών και ανεξάρτητοι ερευνητές ασφάλειας είναι ακόμη σε θέση να βρουν ευπάθειες με τεχνικές όπως η αντίστροφη μηχανική.
Για να αποφευχθούν μεροληπτικές αποφάσεις, είναι ζήτημα ζωτικής σημασίας να αξιολογείτε τα πρότυπα απορρήτου και ασφάλειας του λογισμικού που χρησιμοποιείτε.
«Η μετατόπιση της εμπιστοσύνης μπορεί να αυξήσει την ιδιωτικότητα»
Μιλάμε συχνά για «μετατόπιση της εμπιστοσύνης», όταν συζητάμε για λύσεις όπως τα Εικονικά Ιδιωτικά Δίκτυα(VPN) (τα οποία μετατοπίζουν την εμπιστοσύνη, που εναποθέτεις στον Πάροχο Υπηρεσιών Διαδικτύου(ISP) σου, προς τον πάροχο του VPN). Ενώ αυτό προστατεύει συγκεκριμένα τα δεδομένα περιήγησης σας από τον ISP σας **, ο πάροχος VPN, που επιλέγετε, εξακολουθεί να έχει πρόσβαση στα δεδομένα περιήγησης σας: Τα δεδομένα σας δεν είναι πλήρως προστατευμένα από όλα τα μέρη. Αυτό σημαίνει οτι:
- Πρέπει να είστε προσεκτικοί, όταν επιλέγετε έναν πάροχο στον οποίο θα μεταφέρετε την εμπιστοσύνη σας.
- Θα πρέπει να συνεχίσετε να χρησιμοποιείτε άλλες τεχνικές, όπως το E2EE, για να προστατεύσετε πλήρως τα δεδομένα σας. Απλώς το να μην εμπιστεύεστε έναν πάροχο και λόγω αυτής της δυσπιστίας να εμπιστεύεστε έναν άλλο δεν εξασφαλίζει την ασφάλεια των δεδομένων σας.
«Οι λύσεις που εστιάζουν στην προστασία της ιδιωτικότητας είναι εγγενώς αξιόπιστες»
Εστιάζοντας αποκλειστικά στις πολιτικές απορρήτου και το μάρκετινγκ ενός εργαλείου ή ενός παρόχου μπορεί να σας τυφλώσει στις αδυναμίες του. Όταν αναζητάτε μια πιο ιδιωτική λύση, θα πρέπει να προσδιορίσετε, ποιο είναι το κυριότερο πρόβλημα και να βρείτε τεχνικές λύσεις για το πρόβλημα αυτό. Για παράδειγμα, κρίνεται εύλογο να αποφύγετε το Google Drive, το οποίο παρέχει στην Google πρόσβαση σε όλα τα δεδομένα σας. Το βασικό πρόβλημα σε αυτή την περίπτωση είναι η έλλειψη E2EE, οπότε θα πρέπει να βεβαιωθείτε, ότι ο πάροχος, που έχετε επιλέξει ως εναλλακτική, υλοποιεί πράγματι E2EE ή να χρησιμοποιήσετε ένα εργαλείο (όπως το Cryptomator) που παρέχει E2EE σε οποιονδήποτε πάροχο cloud. Η μετάβαση σε έναν πάροχο, που «εστιάζει στην προστασία της ιδιωτικότητας» (ο οποίος δεν εφαρμόζει το E2EE) δε λύνει το πρόβλημά: απλώς μετατοπίζει την εμπιστοσύνη από την Google σε αυτόν τον πάροχο.
Οι πολιτικές απορρήτου και οι επιχειρηματικές πρακτικές των παρόχων που επιλέγετε είναι πολύ σημαντικές, αλλά θα πρέπει να θεωρούνται δευτερεύουσες σε σχέση με τις τεχνικές εγγυήσεις του απορρήτου σας: Δεν θα πρέπει να μετατοπίζετε την εμπιστοσύνη σας σε άλλον πάροχο, όταν η εμπιστοσύνη σε έναν πάροχο δεν αποτελεί σε καμία περίπτωση απαίτηση.
« Το περίπλοκο είναι και καλύτερο»
Συχνά βλέπουμε ανθρώπους να περιγράφουν μοντέλα απειλής της ιδιωτικότητας, που είναι υπερβολικά πολύπλοκα. Συχνά, αυτές οι λύσεις περιλαμβάνουν προβλήματα όπως πολλοί διαφορετικοί λογαριασμοί ηλεκτρονικού ταχυδρομείου ή περίπλοκες ρυθμίσεις με πολλά κινούμενα μέρη και συνθήκες. Οι απαντήσεις αποκρίνονται συνήθως στο ερώτημα "Ποιος είναι ο καλύτερος τρόπος για να κάνουμε X?"
Η εύρεση της «καλύτερης» λύσης για τον εαυτό σας δε σημαίνει απαραίτητα, ότι αναζητάτε μια αλάνθαστη λύση με δεκάδες συνθήκες - αυτές οι λύσεις είναι συχνά δύσκολο να εφαρμοστούν ρεαλιστικά. Όπως αναφέραμε προηγουμένως, η ασφάλεια συχνά έχει ως κόστος την ευκολία. Παρακάτω, παρέχουμε ορισμένες συμβουλές:
- ==Οι ενέργειες πρέπει να εξυπηρετούν έναν συγκεκριμένο σκοπό:== Σκεφτείτε, πώς θα κάνετε αυτό που θέλετε, με τις λιγότερες δυνατές ενέργειες.
- ==Αφαιρέστε τα σημεία ανθρώπινης αποτυχίας: == Αποτυγχάνουμε, κουραζόμαστε, και ξεχνάμε. Για να διατηρήσετε την ασφάλεια, αποφύγετε να βασίζεστε σε χειροκίνητες συνθήκες και διαδικασίες, που πρέπει να θυμάστε.
- ==Χρησιμοποιήστε το σωστό επίπεδο προστασίας για τους σκοπούς σας.== Συχνά βλέπουμε να προτείνονται οι λεγόμενες λύσεις των δυνάμεων ασφαλείας ή οι λύσεις, που καθιστούν αδύνατη την κλήτευση. Αυτές συχνά απαιτούν εξειδικευμένη γνώση και γενικά δεν είναι αυτό που επιθυμούν οι άνθρωποι. Δεν υπάρχει νόημα να δημιουργήσετε ένα περίπλοκο μοντέλο απειλών για την ανωνυμία, αν μπορείτε εύκολα να χάσετε την εν λόγω ανωνυμία, λόγω μιας απλής παράβλεψης.
Έτσι, πώς μπορεί αυτό να φαίνεται;
Ένα από τα πιο ξεκάθαρα μοντέλα απειλών είναι εκείνο, όπου οι άνθρωποι γνωρίζουν ποιος είστε και εκείνο όπου δε γνωρίζουν. Πάντα θα υπάρχουν περιπτώσεις, στις οποίες θα πρέπει να δηλώσετε το νόμιμο όνομά σας και άλλες στις οποίες δε χρειάζεται να το κάνετε αυτό.
-
Πραγματική ταυτότητα - Η πραγματική ταυτότητα χρησιμοποιείται για πράγματα στα οποία πρέπει να δηλώσετε το όνομά σας. Υπάρχουν πολλά νομικά έγγραφα και συμβόλαια, όπου απαιτείται μία νομική ταυτότητα. Μεταξύ άλλων απαιτείται για το άνοιγμα ενός τραπεζικού λογαριασμού, την υπογραφή ενός μισθωτηρίου ακινήτου, την απόκτηση διαβατηρίου, τις τελωνειακές δηλώσεις, όταν εισαγάγετε αντικείμενα ή για οποιαδήποτε άλλη συναλλαγή με την κυβέρνηση. Αυτά τα πράγματα συνήθως οδηγούν σε διαπιστευτήρια όπως πιστωτικές κάρτες, ελέγχους πιστοληπτικής ικανότητας, αριθμούς λογαριασμών και ενδεχομένως φυσικές διευθύνσεις.
Δεν προτείνουμε τη χρήση VPN ή Tor για κανένα από αυτά τα πράγματα, καθώς η ταυτότητά σας είναι ήδη γνωστή μέσα από άλλα μέσα.
!!! συμβουλή
Όταν κάνετε ηλεκτρονικές αγορές, η χρήση μίας[θυρίδας δεμάτων] (https://en.wikipedia.org/wiki/Parcel_locker) μπορεί να σας βοηθήσει να διατηρήσετε τη φυσική σας διεύθυνση ιδιωτική. -
Άγνωστη ταυτότητα - Μια άγνωστη ταυτότητα θα μπορούσε να είναι ένα σταθερό ψευδώνυμο, που χρησιμοποιείτε τακτικά. Δεν είναι ανώνυμο, διότι δεν αλλάζει. Αν είστε μέλος μιας διαδικτυακής κοινότητας, ίσως είναι σκόπιμο να διατηρείτε μια persona, την οποία γνωρίζουν οι άλλοι. Αυτό το ψευδώνυμο δεν είναι ανώνυμο, διότι, αν παρακολουθείται για αρκετό χρονικό διάστημα, λεπτομέρειες σχετικά με τον ιδιοκτήτη μπορούν να αποκαλύψουν περαιτέρω πληροφορίες, όπως ο τρόπος που γράφει, οι γενικές γνώσεις του για θέματα, που τον ενδιαφέρουν κ. λ. π.
Ίσως, είναι εύλογο να χρησιμοποιήσετε ένα VPN γι' αυτό, προκειμένου να αποκρύψετε τη διεύθυνση IP σας. Οι οικονομικές συναλλαγές είναι πιο δύσκολο να συγκαλυφθούν: Θα μπορούσατε να εξετάσετε τη χρήση ανώνυμων κρυπτονομισμάτων, όπως το Monero. Η χρήση altcoin shifting μπορεί επίσης να σας βοηθήσει, να αποκρύψετε την προέλευση των νομισμάτων σας. Συνήθως, τα ανταλλακτήρια απαιτούν την ολοκλήρωση του KYC (know your customer), προτού σας επιτρέψουν να ανταλλάξετε παραστατικό χρήμα( fiat currency) σε οποιοδήποτε είδος κρυπτονομίσματος. Οι επιλογές συνάντησης σε τοπικό επίπεδο μπορούν επίσης να αποτελέσουν μια λύση. Ωστόσο, αυτές είναι συχνά πιο ακριβές και ενδέχεται σε ορισμένες περιπτώσεις να απαιτούν KYC.
-
Ανώνυμη ταυτότητα - Ακόμα και όταν υπάρχει εμπειρία, οι ανώνυμες ταυτότητες είναι δύσκολο να διατηρηθούν για μεγάλα χρονικά διαστήματα. Θα πρέπει να είναι βραχυπρόθεσμες και βραχύβιες ταυτότητες, οι οποίες εναλλάσσονται τακτικά.
Η χρήση του Tor μπορεί να βοηθήσει με αυτό. Αξίζει επίσης να σημειωθεί ότι η επίτευξη μεγαλύτερης ανωνυμίας είναι δυνατή μέσω της ασύγχρονης επικοινωνίας: Η επικοινωνία σε πραγματικό χρόνο είναι ευάλωτη έναντι μιας ενδεχόμενης ανάλυσης των μοτίβων πληκτρολόγησης (π.χ. περισσότερο κείμενο από μια παράγραφο, το οποίο διανέμεται σε ένα φόρουμ, μέσω ηλεκτρονικού ταχυδρομείου κ.λπ.)
-
Ένα αξιοσημείωτο παράδειγμα αυτού, είναι το περιστατικό 2021, όπου ερευνητές του Πανεπιστημίου της Μινεσότα εισήγαγαν τρία τρωτά σημεία στο έργο ανάπτυξης του πυρήνα Linux. ↩︎