Cyfrowa Twierdza – Poradnik Rebelianta (Digital Fortress – A Rebel's Guide)

Dobra, zaczniemy. W takim razie temat jaki przygotowałem dla was dzisiaj to jest cyfrowa twierdza, poradnik rebelianta. Brzmi to dość skomplikowanie w sensie nie wiadomo o co tak naprawdę chodzi. To nie będzie taka typowa prezentacja w pełni technologiczna, ale o technologię zahaczająca. Okej, wyżej mikrofon, widzę y porady. Powiem wam o co dokładnie chodzi. Na początek kim jestem? Nazywam się Mrugarski Jakub. Niektórzy z was mogą mnie kojarzyć z internetu, czy to z Facebooka, YouTubea, Twittera, z jakichś innych sieci społecznościowych. Jeszcze bliżej. Dobra, to już w tym momencie trzymam metodą na rapera. Okej, możemy w ten sposób mówić. Dobra, nazywam się Mrugarski Jakub. publikuje sporo rzeczy w internecie, przede wszystkim y filmy, filmy dotyczące administracji serwerami, ataki na serwery internetowe, tego rodzaju

rzeczy staram się jakoś udzielać społecznie. Po niektórzy z was mogą mnie znać bardziej pod pseudonimem Anną. Tak podpisuję swoje prace i powiem wam tak pokrótce o czym dzisiaj będę mówił. Coś takiego jak zagrożenie. Jeżeli słyszymy słowo zagrożenie, to sobie wyobrażamy żyjąc teraz XX wiek, oglądając to, co mamy w mediach, czytając gazety, o zagrożeniu dla naszego kraju. Skąd zagrożenie dla naszego kraju może przyjść? Pierwsze co wpada nam do głowy, to są takie oklepane trochę teorie typu, nie wiem, tam ruscy, Niemcy, imigranci, tego rodzaju rzeczy. To coś nam zagraża w teorii oczywiście. I to myślimy mówiąc o zagrożeniu. O, teraz mogę trzymać dalej. To się zmienia w czasie. Okej. To myślimy, gdy mówimy o zagrożeniu. Nie bierzemy jednak pod

uwagę jednego punktu zagrożenia, jednego kraju, który może nam zagrozić, który jest stosunkowo rozwijającym się krajem, dość silnym i który powinniśmy brać pod uwagę. Tym krajem jest to coś, Polska. Chodzi mi o zagrożenie wewnętrzne. Nie mówię tutaj o czymś takim jak nie wiem jakaś wojna domowa czy to, że powstaną nam jakieś oddziały partyzanckie, bojówki, tego typu rzeczy. Mówię tu o tym, że coś wewnętrznego i to nie są ludzie ale bardziej ludzie, którzy są u władzy, mogą nam zagrozić w pewnych aspektach naszego życia. Te pewne aspekty naszego życia to wolność słowa i nasza prywatność.

momencik. I teraz o co tutaj chodzi? Wszyscy z was, którzy tam mają styczność z jakimiś mediami, słyszeli o takich rzeczach typu jakaś akta, lista stron zakazanych. Teraz nie wiem co jest aktualnie modne, ale generalnie chodzi o to tak na przykład ceta chodzi o to, że za każdym razem przepychana jest jakaś idea blokowania dostępu do informacji, jakaś idea cenzurowania tego co jest w internecie oczywiście dla naszego dobra. Czyli w tym momencie mamy takie podejście, że rząd sobie wymyśla, że powinien mieć jakiś aparat do zablokowania przepływu informacji. Czyli jest sobie jakiś człowiek, który coś chciałby opublikować i teraz jakiś inny człowiek podejmuje decyzję, czy to jest bezpieczne, czy niebezpieczne dla ogółu naszego społeczeństwa. To jest zagrożenie dla wolności słowa i jest to

przepychane bardzo często w taki sposób no właśnie pod przykrywką czegoś dobrego czyli właśnie walka z prawem złamaniem prawa autorskiego, walka na przykład teraz jest ustawa antyterrorystyczna, więc walka z jakimiś innymi rzeczami. Chodzi po prostu o to, że kiedyś może się zdarzyć, że te technologiczne rozwiązania, które powstały w dobrej wierze, w teorii, mogą być użyte do zwalczania czegoś pozytywnego. To znaczy, jeżeli aktualnie pozwolimy na to żeby ktoś w ramach na przykład ustawy antyterrorystycznej wprowadził nam sposób blokowania przepływu informacji. Co co mam na myśli? Tak mówiąc prosto z mostu, załóżmy, że ktoś z was, nie wiem, ty, ty, ty, ktokolwiek znalazł informację ważną do przekazania ludziom. Na przykład jakieś dziwne materiały na pana prezydenta. Dziwne materiały, nie

mam na sieśmieszające, a na przykład takie, które podważają jego wiarygodność. Trzeba więc tymi materiałami dotrzeć do ludzi. Jeżeli w tym momencie mamy jakiekolwiek sposoby blokowania przepływu informacji, no to przez media standardowe, telewizja, radio, prasa nie dotrzemy z tymi informacjami. Zostaje nam internet, taki ostatni bastion wolnych mediów. Jeżeli teraz my godzimy się na to, że te media będą jakoś cenzurowane, to w takim razie no jest załatwiona sprawa. Nie jesteśmy w stanie z tym walczyć. I możecie pomyśleć w ten sposób, że ja nie jestem publicystą, nie jestem aktywistą, tak naprawdę co ja mam tutaj do gadania, jestem jakimś gościem, który każdy z was może o sobie tak pomyśleć. Jestem zwyczajnym gościem, który po prostu robi technologiczną robotę. Jestem adminem, programistą.

Niech się jacyś tam inni ludzie tym martwią. Jeżeli ktoś będzie chciał udostępniać takie informacje, on sobie poradzi. Właśnie w tym jest problem, że internet to jest coś technologicznego i wy jako ludzie to ogarniacie. Ja jako człowiek też to ogarniam, a człowiek, który ma coś do powiedzenia już niekoniecznie. I teraz tu właśnie my wkraczamy na taką hm stajemy się potrzebni, czyli my jako ludzie z IT może nic nie będziemy publikować, może nie będziemy walczyć na przykład o wolność słowa, ale bez naszej pomocy jakaś informacja może nie ujrzeć światła dziennego. I chodzi po prostu o to, chodzi o to, abyśmy się nauczyli jak publikować coś, co tak się tajemniczo nazywa prawdę w sieci, czyli w jaki sposób mimo wszelkiego

rodzaju działań rządu, które miałyby ograniczyć naszą wolność słowa, pomóc ludziom, którzy faktycznie chcą mówić, opublikować to, co oni chcą. Czyli w praktyce kolega przychodzi do ciebie, mówi, że ma jakieś tajne dokumenty, należy te dokumenty umieścić w sieci. Ale mamy cenzurę w sieci. I teraz naszym zadaniem jest zrobić tak, aby dało się to osiągnąć, czyli aby dało się te rzeczy opublikować. Więc no nauczyć się publikować w sieci skutecznie. Jakie mamy problemy? Po pierwsze potrzebujemy jakiejś strony internetowej. No wiadomo, że wszelkie tajne, ośmieszające, inne tam pogrążające rzeczy publikuje się po prostu na stronach internetowych. Tutaj oczywiście musimy zastanowić się nad czymś takim jak hosting. Hostujemy gdzieś tam strony. Na razie to się wydaje takie proste. Mamy tylko dylemat

między hostingiem darmowym albo płatnym. Darmowy ma swoje plusy, bo na przykład założymy tam konto anonimowo. Nikt nas nie posądzi o to, że publikujemy jakieś tam informacje, bo nikt do nas nie dojdzie. I teraz tak zastanawiając się, gdzie rzucić takie tajne materiały, wszyscy znamy mniej więcej historię załóżmy publikacji akt przez stonogę. wiemy w jaki sposób on to publikował i my chcemy zrobić dokładnie to samo, co on zrobił, ale lepiej i nie dać się złapać. Więc yyy wybieramy sobie hosting. Darmowy hosting ma jakieś tam plusy, jakieś tam minusy. Po pierwsze, ogromne limity transferu. Jeżeli rzucimy jakieś tajne informacje na darmowy hosting i są to naprawdę mocne, twarde jakieś rzeczy do zarzucenia władzą, przyleci wielki trafik użytkowników. ten termowy hos tego nie

wytrzyma. Jest to naturalne. Więc limity transferu to jest taka pierwsza sprawa. Możemy stracić konto w sekundę. Jeżeli jeżeli mamy hostowane takie y nasze dokumenty na darmowym hostingu, gdy coś nie spodoba się władzom, czyli w tym momencie ktoś z władz kontaktuje się z hostingiem, słuchajcie tam macie jakiś plik PDFa, który wam się bardzo nie podoba, to blokada takiego konta to jest po prostu takie coś i nie ma tyle. Nikt nie chce mieć z darmowego hostingu jakichkolwiek problemów z prawem, więc wylatujemy natychmiast. zwykle nie jest w stanie utrzymać dużego ruchu. To jest, bo limit transferu to nie jest wszystko. Równie dobrze informacja, którą chcemy przekazać to nie jest wielki 10owy na przykład plik PDF, tylko to jest krótka informacja

tekstowa, więc limitu transferu nie zużyjemy, ale darmowe hostingi nie są przygotowane do tego, aby przyjąć tak gigantyczny ruch, jaki może wygenerować jakaś hot informacja. Więc przenosimy się na coś takiego jak płatny hosting. Hosting współdzielony. Oczywiście więcej transferu, inne takie rzeczy to jest oczywistość, ale nadal istnieje prosty sposób zamknięcia konta przez władzę. Większość firm współpracuje i z policją, i z prokuraturą. Tak naprawdę na terenie naszego kraju wystarczy tylko, że jeden telefon do takiej firmy i konto będzie zablokowane do wyjaśnienia. nie zablokowany, że y usunęli wam dostęp albo coś takiego, tylko do wyjaśnienia na czas postępowania na tej zasadzie, więc nie za bardzo możemy na tym płatnym hostingu nadal polegać. Poza tym musimy pomyśleć o hostingu w inny sposób. Jest taka

piramidka bardzo prosta struktura hostingu. Mamy dostawcę internetu. Dostawca internetu, jeden, czasami wielu, daje internet do serwerowni. Ta serwerownia tam ma swoje serwery. Te serwery najczęściej są sprzedawane firmom, które te serwery dalej reselują, czyli do jakiegoś resellera. Ten reseller następnie sprzedaje lub wynajmuje ten serwer firmie hostingowej i na końcu naszego łańcuszka jesteśmy my, nasz biedny klient, który kupił płatne konto. I teraz jeżeli chcemy zablokować stronę internetową, to możemy użyć ataku na dowolną z tych warstw. blokada poprzez firmę hostingową. Dzwonimy do firmy hostingowej i mówimy, że coś jest nie tak, prosimy zablokować. Nieważne, czy to jest konto darmowe czy płatne, będzie odcięte od zaraz. Druga sytuacja, dzwonimy do firmy, która wynajmuje dedyka. Mówimy, że na przykład dowolny scenariusz. Mówimy, że na

przykład na serwerze znajduje się pornografia dziecięca i tyle. Na czas wyjaśnienia serwer schodzi automatycznie z internetu, więc może to być zablokowane na każdej z tych warstw. Dlatego te warstwy musimy jakoś wyeliminować, czyli zmniejszyć ilość warstw. Nie możemy więc w teorii korzystać z niektórych podpunktów z tej listy. I teraz jak to wygląda? Nikomu nie ufamy. Oczywiście musisz pozbyć się firmy hostingowej i pośrednika od serwerów, czyli w praktyce musimy kupić jakiegoś dedyka. Teraz dlaczego nie możemy kupić serwera wirtualnego na przykład do publikacji czegoś takiego? No po pierwsze ze względu na to, że znowu będziemy mieli pośrednika, czyli ktoś nam ten serwer sprzedał, znowu ktoś, kto będzie chciał zablokować dostęp do tych informacji, może skontaktować się z firmą sprzedającą VPSy i powiedzieć:

"Słuchajcie, tam jest bardzo niewygodny kontent. Blokujemy go." Tak to wygląda. Wiecie co, poczekajcie chwileczkę, bo mały problem techniczny. Mój ekran miga, a to trochę

rozprasza. Okej.

Dobra, czyli kupujemy serwer dedykowany, publikujemy na nim jakieś tajne informacje, ale władze nadal mogą zamknąć serwer. W jaki sposób? No dzwoniąc do serwerowni. To teraz pytanie do was takie proste. Co zrobić, aby utrudnić to działanie? aby za granicą. No dobra, można w takim razie, tak, to jest świetny pomysł. Można gdzieś na wschodzie, nie wiem, Rosja, jakaś zakątki w Azji rzucić sobie swój serwer i tam go postawić. to zdecydowanie utrudni sprawę, bo teraz polskie tam jakieś władze będą musiały się na przykład skontaktować z jakimś chińskim urzędem i poprosić tam, żeby dotarł do odpowiedniej firmy i zablokował nam serwer, ale nadal jest to tylko opóźnienie. A żeby to zrobić tak właśnie jeszcze trudniej, to co byśmy zrobili?

Założyć wiele serwerów. To jest niezły pomysł. Wiele serwerów. No ale teraz się pojawia problem, jak kierować ruch pomiędzy tymi serwerami. Jakiś load balancing, gdzieś ten load balancer musi stać w jakiejś firmie, znowu można zablokować. No ludzie, którzy na przykład zakładali Darkneta, czyli wszystkie te mniej legalne zakątki sieci, wpadli na to, że mogliby ten serwer po prostu ukryć. To znaczy serwować z niego ruch, ale w taki sposób, żeby ludzie nie wiedzieli, gdzie ten serwer fizycznie się znajduje. Czyli musimy ukryć po prostu serwer. No i teraz jak mówię słowo darknet, no to jedna technologia wam wpada do głowy prawdopodobnie, taka najpopularniejsza. Jak ukryć serwer? Jeszcze raz. Tor. Hidden Tor. Ukryte serwisy Thora. I teraz kolejny slajd. Dlaczego Tor to nie

rozwiązanie? Już wam powiem, bo Tor generalnie jest świetnym rozwiązaniem, ale ma jedną bardzo poważną wadę. Ktoś wpadnie jaką na początku jaki mamy cel? Chcemy dotrzeć do jak największej ilości ludzi z naszym przekazem. Mamy tora. Nie mówić większość ludzi nie wejdzie. Większość. Dokładnie. wszyscy mają zainstalowane. Właśnie jeszcze nie wszyscy są takie osobniki, którzy jeszcze nie mają Tora. No wyobraź sobie. Więc tak, y chodzi o to, że TOR jest stosunkowo mało popularną y usługą u normalnych ludzi. Yyy, jeżeli chcemy dotrzeć do normalnych ludzi i przekazać jakąś wiedzę, nie możemy używać niszowej technologii. Równie dobrze moglibyśmy oczywiście zbudować sobie listę adresową i nie wiem przez jakiegoś yyy szyfrowanego, przez szyfrowany komunikator na przykład wysyłać te informacje, ale ludzie nie

używają tego. Musimy więc użyć takiego medium, które jest używane przez ludzi. Przez ludzi używana jest sieć www. taka publicznie dostępna, ale nadal musimy ukryć nasz serwer. Jak to zrobić?

To nie jest pytanie retoryczne. Tutaj zapominam oż jednej rzeczy, że w przypadku gdy materiały są skierowane jakby na rynek danego państwa do ludzi tam tam się znajdujących jest to jeden serwer występuje pod jakąś jakimś adresem IP dzwonią do dostawców z internetu jest w sekundę. Dokładnie tak o tym mówię i chcemy temu zapobiec. Nie chcę, aby do mnie zadzwonił ktoś i powiedział, że mam wyłączyć swój serwer pod biurkiem. Chciałbym po prostu zabezpieczyć się w jakiś sposób. Tak powiem nie tego, kto tylko level wyżej ucinanie użytkownikom dostępu do tego, a nie blokowanie samego serwisu. Masz na myśli na przykład blokada na poziomie dostawców internetu w kraju. rząd stwierdzi, że że dostęp do stron ma być zablokowany, no to to wszystkie

strony porno nie działają. Zgadza się. Tylko to, co mówisz, to jest taka bardzo skrajna skrajny przypadek. W momencie, gdy już w momencie, gdy już mamy całą infrastrukturę gotową, a w zasadzie do tego oszykuje się rząd i może blokować na zasadzie właśnie wszystkie strony tam erotyczne zablokujemy, wszystkie hazardowe zablokujemy w ten sposób, to może wejść faktycznie tak może być zastosowane, ale w momencie, gdy mamy tylko jeden wyciek i do tej pory rząd jeszcze nie ma infrastruktury przygotowanej do blokowania takiego adhoc, no to póki co, tak ja sobie to wyobrażam i tak widzę jak to działa na świecie, zwykle działają tak, że muszą zlokalizować jakiś serwer. Jeżeli to jest serwer pod twoim biurkiem, no to muszą go zlokalizować, muszą go jakoś

wyłączyć, odciąć od internetu. Jeżeli wiedzą, że to jest serwer pod twoim biurkiem, to oni nie muszą go znaleźć. Wystarczy, że odetną ci w domu internet. To wszystko. I teraz m ukrywamy serwer. Pomysł na który ja wpadłem i który jest stosowany dość często to takie usługi jak na przykład Cloud Flar albo Project Shield od Googlea. Teraz co to dokładnie jest? Kto z was zna Cloudflara? ręka do góry, a drugiego shielda jeszcze mniej. Okej, dobra. W takim razie powiem, to jest usługa, która daje serwer proxy. Zastosowanie tej usługi jest takie, że ma przyspieszać działanie strony internetowej poprzez cashzowanie. Działa to tak, że użytkownicy łączą się z daną firmą, a ta firma pod spodem łączy się z docelowym serwerem. Czyli w

praktyce nikt nie korzysta z danych bezpośrednio pobranych ze serwera, tylko za pomocą pośredników. I teraz co nam to daje? Na poziomie DNSa nie jesteśmy w stanie zlokalizować serwera. Nie jesteśmy w stanie powiedzieć w której serwerowni stoi. Nie jesteśmy w stanie powiedzieć nawet w jakim kraju stoi. Tak naprawdę są oczywiście pewne sztuczki, dałoby się to wykorzystać, ale generalnie widzimy my jako użytkownicy z zewnątrz bądź my jako tam śledczy widzimy tylko IPI tych dwóch firm. Project Shield jest akurat takim y projektem, no z którego my jako my nie za bardzo jesteśmy w stanie skorzystać. Jest przeznaczony bardziej do odpierania ataków Deos, jest bardziej przeznaczony dla reporterów, ale Cloudflar ma darmową opcję. Każdy z nas może sobie postawić serwer i przed nim

podstawić Cloudflara. W tym w tym momencie na przykład dobry przykład to jest niebezpiecznik. zadanie domowe, wrócić do domu i zlokalizować IP niebezpiecznika, gdzie stoi, w jakiej firmie, gdzie się hostują. Wbrew pozorom da się to zrobić, bo mają baga w DNSie, ale to tak, no chodzi po prostu o to, ile trudu musicie włożyć, jaką wiedzę musicie mieć, żeby namierzyć, gdzie taki niebezpiecznik sobie stoi. I w ten sposób możemy ukryć nasz serwer. Może nie trzeba się z niebezpiecznika szukać. Może wystarczy do klausera się tak i to jest dobre to jest dobre podejście. Może po prostu pójdziemy do klaustera i zapytamy to nie jest polska firma. A my tu działamy na terenie Polski. I teraz jest coś takiego. Wiele firm udostępnia takie

raporty przejrzystości, czyli ile razy rząd danego kraju pytał ich o wydanie danych i ile razy oni pokazali im środkowy palec i się tym szczycą. Kto więcej razy, ten jest lepszy. Wiadomo o co chodzi. Więc Google się szczyci, że dużo razy odmawiało. Cloudler się szczyci, że bardzo dużo razy odmawiał. To samo mamy na przykład usługi Amazona. Tam też są na przykład, jak się on nazywał? Kojarzycie nazwę usługi podobnej do Shielda od Amazona? Cloudfont. Cloudfront. Właśnie tak. Cloudfront działa dokładnie na tej samej zasadzie. Amazon, żeby go prawnie zmusić do podania takich informacji, to jest prawie niemożliwe dla polskich władz. Oni tam po prostu nie mają swojej jurysdykcji i nic nie zrobią. Dla pewności jeszcze możemy trzymać nasz

serwer poza Polską. Coś takiego plus minus zrobił Stonoga. Serwer gdzieś tam w Azji. Jeżeli znak specjalny wodzianka, to znaczy 50% czasu, trochę więcej. Okej. Dla pewności możemy wyrzucić nasz serwer za granicę naszego kraju. Trudniej jest to zablokować, bo tak jak tu kolega powiedział, można zablokować całą usługę adhoc. To znaczy powiedzieć wszystkim operatorom naszej yyy naszych DNS-ów w kraju, powiedzieć wszystkim dostawcom zablokujcie ten numer IP, ale to nie jest coś, co da się wprowadzić z dnia na dzień, umówmy się. To jest coś, co wymaga troszeczkę więcej pracy. Jeżeli wyrzucimy nasz serwer za granicę, to nawet jeżeli znajdą gdzie on jest, czyli dowiemy się, że na przykład niebezpiecznik stoi tam w serwerowni w Warszawie numer ile sam, to generalnie

chodzi o to, że my musimy teraz się z nimi skontaktować i zamknąć ten serwer. Jeżeli my po tym naszym całym dochodzeniu dojdziemy do tego, że nasz serwer stoi w Uzbekistanie, w małej miejscowości, koło czegoś tam, to będzie problematyczne, więc warto po prostu kupować serwery, które są za granicą, ale powiedzmy, że władze są uparte. Chcą zamknąć serwis, a konkretnie co znaczy zamknąć serwis? Chcą sprawić, aby informacje z tego serwisu nijak nie wyszły na zewnątrz. Nie mogą zlokalizować, kto jest właścicielem. nie mogą zlokalizować gdzie stoi serwer. Cloud Flar po prostu broni tam shield broni po prostu tragedia. Mają na to kilka metodyk zamykania serwisów. Pierwsze blokada domeny. Kolega wspomniał, blokada domeny prosta sprawa, zwłaszcza jeżeli mówimy o domenach

polskich.pl.com.pl to jest po prostu sekunda. Przykład z życia mój. Hostowałem sobie kiedyś stronkę na domenie.pl, która to stronka miała na siebie zarabiać, czyli była spamstrongką. I teraz na czym to polegało? Brałem z dużej księgarni tytuły książek, następnie budowałem sobie serwis z tytułami książek, a one linkowały do programów partnerskich z tej samej księgarni. Więc jak ktoś szukał książki, klikał, że chce pobrać, to przechodził do sklepu i mógł ją kupić. Czasami ludzie kupowali i można było na tym zarobić bardzo ładnie. I tak dodawałem kolejną księgarnię, kolejną, kolejną, aż w końcu wpadłem na dół, że dodam cały Amazon. No co, kto bogatemu zabroni? Nie ma się czas, ma się nawędzia, to dałem Amazon i jakiś gość niekoniecznie mówił

po polsku i znalazł tam swoją książkę i on zrozumiał, że jest to serwis, który hostuje nielegalny kontent. Co więc zrobił? Byłem wtedy w firmie az.pl. tu podam jako zniechęcacz. Yyy, skontaktował się z firmą i powiedział on tam jakiś facet z Polski, nie wiem kim on jest, nie wiem gdzie ma serwer, nie wiem nic, on hostuje moją książkę, ukradł mi ją, nie sprawdził, że to jest tak naprawdę polecanie jego produktu i on dzięki temu zarobi. Yyy i co się stało? Zamknęli moją stronę, zablokowali moją domenę. Domena.pl pl została zablokowana w ciągu kilku godzin po prostu. Ja oczywiście, no wiadomo, gęba taka, dzwonię do nich, co się dzieje, z jakim prawem zablokowaliście moją stronę? No mamy takie prawo w Polsce.

Nask nam dał coś tam. Jeżeli jest podejrzenie łamaniu prawa, to my możemy. Tak to działa w Polsce. W dowolnym momencie za samo podejrzenie wasza strona po prostu znika. I to samo może zrobić rząd. Tu jakiś gość gdzieś tam yyy z UK zadzwonił do firmy, która mnie yyy do firmy, która mi sprzedawała domenę i zablokował. A wyobraźcie sobie, że teraz ktoś z prokuratury to robi. To jest speed razy 2. Czas propagacji w DNS-ach. Tak, jest coś takiego jak czas propagacji w DNS-ach. To działa czasami na naszą korzyść, czasami na naszą niekorzyść. Skeszhujemy sobie domenę na przykład na 10 lat, a potem zmienimy pika i mamy problem. Więc no taki trochę obosieczna broń. Dobra, blokada domeny za nami.

Ataki. Rząd wynajmuje sobie jakiś super hakerów i atakuje tam SQL Injection, XSRF, XSY, wszystko. No po prostu brzmi jak science fiction. Ja w to nie wierzę, ale załóżmy, że to jest możliwe. Więc wszystkie te usługi i Shield i Cloud Flar i Cloud Front mają mają pewnego rodzaju zabezpieczenie właśnie przed standardowymi atakami tego typu. Jeżeli wykryją, że w dowolnych danych pobieranych od użytkownika taki atak się znajduje, zablokują go. Więc to nam stosunkowo łatwo da się odciąć. Kolejna rzecz, mogą nie atakować, tylko sprawić, że będzie wyjątkowo duże zainteresowanie naszą stroną. Więc nazywa się to atakami DOS i DOS. Każda z tych usług, które wymieniłem, broni nas zarówno przed DOSem i DD dosem. Yyy, po prostu filtrują pakiety. Więc tak naprawdę

jeżeli schowamy się za jakimś Google Shieldem Cloudflarem prawdopodobnie DOS i DOS nas tu tak bardzo nie dotyczy, ale z gwiazdką da się to cały czas przeprowadzić. Ja tak mówię trochę bez spacji ze względu na to, że mamy mało czasu, a trochę dużo slajdów. Dobra, jeżeli chodzi o blokadę domeny, tak jak powiedziałem, musimy zrezygnować z domeny.pl, bo da się ją zablokować od ręki. Domeny narodowe da się zablokować, tak, no dwa razy dłużej już nie w 10 sekund, a tam w 10 godzin załóżmy, ale generalnie bardzo prosto da się je zablokować. Kontaktujemy się z pośrednikiem, mówimy, powołujemy się na przykład na jakieś prawo typu co tam było, DMCA, czyli ten Millenium Akt o prawach autorskich i natychmiast strona

zlatuje, jest zablokowana, więc te domeny odpadają. Warto brać przykłady z najlepszych też znowu w cudzysłowiu, czyli ktoś kto długo utrzymywał swoją domenę i stosunkowo trudno było mu ją odebrać. Kojarzycie kto miał taką znaną domenę? Krse? Tak, tak, dokładnie. Czyli tam nasza zatoczka piratów 5 lat walczyli, żeby zabrać im domenę. Zabrali, a oni kupili drugą bez D na początku. Yyy, więc no chodzi o to po prostu chodzi po prostu o to, aby trzymać się takich domen, w których które należą do krajów, czyli są to narodowe domeny, nie jakaś tam prywatna korporacja, ale w których to krajach jest dobre liberalne prawo, które uniemożliwia zabranie domeny obywatelowi, jeżeli nie zrobił nic złego. Czy piraci tam robili coś złego,

to jest takie trzeba się zastanowić, ale generalnie 5 lat walki i ta domena była jakoś utrzymana, więc myślę, że warto się nad tym zastanowić. Kolejna rzecz, ktoś może nam rozwalić DNS-y. To co kolega powiedział świetnie. Po prostu po co zablokować domenę, jak możemy zepsuć DNS-y? Możemy sprawić, aby ta domena się nie resolwowała, czyli po prostu, żeby nie odpowiadała. Najprościej dosem, dedosem. Większość osób no po prostu u siebie hostuje swoje DNS-y, więc znowu korzystamy może z Amazona, może z Cloudflara. Na Cloudflarze znowu DNS-y też są bronione przed DOSem i DDOSE. Na Amazonie usługa hostowania DNS-ów to jest 1 dolar miesięcznie. Road 53 chyba się nazywa, jakoś tak nie pamiętam. Jest płatna, więc nie korzystam, rozumiecie? No

korzystam zi darmowej. Y, chodzi po prostu o to, że możemy nasze DNS-y także trzymać w podsieci, która jest odporna na ataki tego typu. Teraz DOS i DOS, to co powiedziałem z gwiazdką, te serwisy nas chronią przed atakami typu zalew pakietów, bo tak najczęściej wyglądają dosyle są inne rodzaje ataków tego typu. Na przykład mamy w swoim serwisie wyszukiwarkę. Ktoś będzie ją przeciążał tak długo, aż serwer padnie. Mamy w swoim serwisie bazę danych. Ktoś wywoła tyle połączeń do bazy danych, że serwis padnie i żadna usługa przed nami postawiona nie zabezpieczy nas przed tym. Dlatego pozbywamy się tych rzeczy. Baza danych czy nasza strona internetowa, która ma przekazywać tajne informacje faktycznie musi stać na bazie danych my sequel, nie wiem, Postgess Oracle, czy

nie może to być statyczna strona? Kolejna rzecz, po co komu wyszukiwarka, po co komu interaktywne elementy na stronie, jeżeli to ma przekazywać tylko jakieś tajne informacje, możemy to ograniczyć do minimum. W tym momencie kolejny wektor ataku nam po prostu znika. Gotowe skrypty WordPress. Średnio tam co parę miesięcy jest jakieś zero day na WordPressa. Cały czas trzeba to aktualizować. Wtyczka jest podatna. Częstoają się nawet podatne skórki na WordPressa, które mają zaszyty kod PHP na przykład, który się może wykonać. Więc trzeba pomyśleć o innym sposobie publikowania tego typu rzeczy. Interpretowanie w locie, czyli wszystkie języki, które interpretują się w momencie wywołania requestu, czyli właśnie pehub, Pearl, jakieś inne takie rzeczy, to wymaga mocy procesora. Można ją wysycić, można sprawić, że serwer nie

zdąży generować nam strony, więc nie będzie to zalew pakietów, będzie to wyglądało tak jak naturalny ruch, ale ruch będzie na tyle ciężki, że nie damy rady go utrzymać. Trzeba się tego pozbyć. I teraz jak to zrobić? Generatory statecznych stron internetowych. Jakie znacie? Jackil. Jak jackil to te hide, tak? Konkurencja albo właśnie tak pisane w VIU. Idealnie. E, chodzi generalnie o to, że są hardkorowcy, którzy usiądą sobie, włączą via czy Vima, no ja jestem troszeczkę młodsze pokolenie, więc Wa używam i napiszą sobie stronę od początku, ale chcemy mieć stronę, która wygląda, ma layout, wygląda ciekawie, jest łatwo administrowalna, więc korzystamy z tego rodzaju generatorów stron. W praktyce jak to działa? W praktyce działa to tak, że my sobie administrujemy tam stroną,

dodajemy posty u siebie lokalnie. Wynik działania skryptu takiego jak na przykład Jackil, Hede, czy tam Hugo czy cokolwiek innego to są statyczne pliki HTML, CSS, JavaScript i te statyczne pchamy do sieci i tam nie ma bazy danych, wyszukiwarki, nie ma interpretatora niczego, tam jest czysty HTML. Po prostu cofamy się do lat 90, mimo że mamy piękną stronę, więc można to wykorzystać. Kolejna rzecz, a może się pohostujemy na Amazonie? Jak mamy czyste pliki tekstowe, to czemu nie skorzystać z czegoś takiego jak Amazon, na przykład S3. S3 kojarzycie? S3, czyli SSS, Simple Storage Solution, tak? Coś takiego, albo Simples, no coś takiego, tak to brzmi. Można się przenieść do Amazona i znowu zyskujemy nowe super moce. Po pierwsze,

Amazon jest jedną z tych firm, która się chwali, że nigdy nie wyda swojego klienta, jeżeli nie popełnił takich zbrodni jak właśnie pornografia dziecięca, handel ludźmi, inne takie rzeczy. Zakładamy, że tego nie robimy, tylko pogrążamy prezydenta, więc jesteśmy bezpieczni. Więc Amazon jest po naszej stronie. Przed Amazonem możemy postawić naszego Cloudflara. Cloudf jest po naszej stronie. W tym momencie jesteśmy stosunkowo bezpieczni. E, też trudno namierzyć palcem, gdzie znajduje się serwer Amazona S3. Odpowiedź jest prosta, znajduje się wszędzie. To jest sieć CDNów. On jest zarówno twój twój kontent znajduje się jednocześnie i w Chinach, i w Polsce, i gdzieś tam w Afryce. Po prostu jest rozsiany w chmurze, w zależności gdzie go tam skasheszhowało. No tak to w uproszczeniu

wygląda. Nie lubisz chmur? No to wracamy na dedyka. Jakby ktoś nie chciał tego no przenosić się do Amazona i takie tam rzeczy, woli siedzieć na własnym serwerze dedykowanym, to taki serwer dedykowany wypada zabezpieczyć. Podstawy zabezpieczenia serwera. Ciężko powiedzieć podstawy, bo tutaj większość adminów powiedziała, są mądrzejsze teksty, ale powiem wam, co mam na myśli. Mówi się coś takiego oklepane, często zmienia hasła. Często zmienia hasła. No to tam jest takie porównanie słynne, że tam traktuj hasła jak majtki, prawda? Zmieniaj je często, nie zostawiaj na widoku, yyy, nie daj znajomym. No generalnie y ja powiem tak, nie korzystamy z haseł. Hasła to jest taka jak dla mnie trochę zaszłość historyczna. Hasło, nieważne jak długie by było, jak fajnie by działało, no jest

podatne na tak zwany atak gumowego węża. Kojarzycie co to jest? Bierzemy gościa, który ma hasło, bijemy go gumowym wężem, aż nam nie poda. Więc chodzi o to, że da się takie hasło bardzo prosto zdobyć. Cała kryptografia, cały sposób przetrzymywania tych haseł jest oparty na czynniku ludzkim. Ktoś to hasło poda, bo mu zagrozimy. Ktoś tego hasła nie poda na tej zasadzie. Przepraszam, na przykład ja korzystam z kas, tak, które mam generowane automatycznie długości 30 znaków. Ja nawet jestem w stanie powiedzieć. No i to jest dobre rozwiązanie, czyli korzystaw z takich typu one password rozwiązań albo coś w tym stylu. Tak. No tak. No ale tego typu rozwiązania też to jest dobre rozwiązanie. Generalnie chodzi o to, aby dostęp do serwera nie

znajdował się w twojej głowie. Możesz jasno powiedzieć, że nie ty nie utrudniasz śledztwa, tylko ty naprawdę nie znasz hasła do swojego serwera. To jest całkiem wygodne. Ale znasz hasło doła, które generuje hasło? W teorii. Dlatego można to zrobić inaczej. Ja stosuję klucze do logowania się na serwery, na przykład klucze SSH. Klucz oczywiście może być też opatrzony hasłem, bo jeżeli ktoś zdobędzie klucz, to się po prostu zaloguje. Więc w tym momencie mamy już dwie rzeczy do złamania. Naszą głowę, czyli wyciągnąć hasło do klucza i zdobyć klucz. Ja stosuję bardzo prostą metodę. Kto tutaj obserwuje mój komputer widzi, mam kartę SD wsadzoną i jeśli są chodzi o to po prostu, że klucz zaszyfrowany, przetrzymywany jest na zaszyfrowanej partycji, która

jest na karcie, po wyjęciu karty ona jest bezużyteczna. Mogę powiedzieć, że nie wiem, mogę komuś z was dać tą kartę, tam jest klucz na przykład do mojego serwera, ale nikt z was tego nie użyje. Jeżeli jakimś cudem użylibyście na przykład metody gumowego węża i wyciągnęli ze mnie to hasło, to jest kolejny problem, czyli musicie znać, wyciągnąć, jeszcze raz mnie bić, kolejne hasło do tego klucza. Jeżeli już macie klucz, hasło i wszystko podmontowane, w tym momencie musicie namierzyć mój serwer, czyli musicie mnie bić trzy razy. No generalnie chodzi o to, po co przestawać, po co przestawać. Chodzi po prostu o to, aby nie dało się z jednego człowieka w bardzo prosty sposób wyciągnąć dostępu do naszego

serwera. Poza tym hasłem możemy się dzielić ze znajomymi przez komunikator, przez SMSy, przez cokolwiek. To hasło może wyciec w tym momencie. To jest pytanie na końcu.

Jeszcze raz. Nie, jest kilka sposobów na dostanie się do serwera. Coś takiego jak na przykład KVM albo inne rzeczy. Ale generalnie ja uznaję prostą rzecz. Serwery są zbudowane w ten sposób, moje przynajmniej, że mogą być nawet zdetonowane w dowolnym momencie i nic się nie stanie. Jak to się dzieje? Serwery mają pewne zadania. Jest to serwer podający stronę www. Jest to serwer, który na przykład, nie wiem, cashzuje dane. One nie zawierają większości danych u siebie. To są po prostu usługi. Jestem w stanie, jeżeli wysadzę w powietrze pierwszy serwer, kupuję nowy, włączam sobie na przykład skrypt unbla, który mi przygotuje ten serwer w ciągu 10 minut i mam nowy note, który wykonuje moje zadania. Więc w ten

sposób zwróć uwagę, że ty nie musisz udostępniając tajne informacje, ty nie musisz mieć wszystko na takim serwerze typu kanapka, czyli że tam masz dostęp po SSH, tam leżą tajne dane, tam leży wszystko. To może być serwer proxy. Na przykład policja zlokalizuje twój serwer proxy, który skashzował na przykład twoje dane. No generalnie sposobów jest wiele. Poza tym czy to, że stracisz dostęp do swojej do logowania się po SSH coś ci szkodzi? Twoim celem było danie dostępu do informacji ludziom. Jeżeli ludzie nadal mają do tego dostęp, a ty nie możesz wejść na serwer, bo aktualnie jesteś bity w piwnicy na przykład i wyciągają z ciebie dane, to nie jest Dobra, to nie jest twój problem. No w

sumie tak, to jest twój problem, ale myślę, że wtedy problem serwera jest mniej znaczący. Dobra. IPv6 plus cloudf odpowiednik to już mówiłem w sumie niestandardowe porty usług jeżeli ktoś by chciał zlokalizować na przykład serwer uruchomiony w jakiejś podsieci może puścić scanning na przykład prosty scanning które porty są otwarte szukamy serwera, który ma otwarte porty na przykład 80 i 443 proste. W ten sposób możemy namierzyć no gdzie gdzie jest na przykład serwer WW stoi. Ale niestandardowe porty usług ja tutaj stosuję bardziej do metod logowania się do serwerów. To znaczy standardowo SSH działa na porcie tam 22. Łatwo rozpoznać na które serwery można się zalogować. Można tam nie wiem brotem to łamać. Czasami Chińczycy łamią to jakoś tak

bardziej z automatu próbują się tam włamać. No generalnie możemy stosować połączenie tak aby możemy tak m zmienić numer portu, aby na przykład trudniej było go znaleźć. Czyli na przykład zamiast 22 zamienimy na tam 62 000 na przykład port jakiś z efemerycznych. Logowanie nasz serwer tylko z zaufanych adresów IP. Czyli nawet jeśli ktoś zdobędzie nasz klucz, nawet jeśli ktoś zdobędzie nasze hasło, bo nas dostatecznie długo bił, ma te wszystkie rzeczy, to jest jeszcze jeden brakujący element układanki. Musi siedzieć w naszym pokoju, aby się zalogować do serwera, a on siedzi w kwaterze głównej czego tam i nie wejdzie. Więc no jest to po prostu takie dodatkowe zabezpieczenie często stosowane przez

Tak tutaj kolega mówi odnośnie zmienności adresów IP, czyli na przykład masz załóżmy Neostradę przykładowo, ale zwróćmy uwagę, że Neostrada ma jakąś pulę adresów IP. Wiemy z jakiej puli adres zostanie wylosowany. Możesz to za pomocą jakiejś maski sieciowej określić. Jest to przedział między takim a takim. na pewno nie wejdziesz z chińskim adresem IP. No i to jest rozwiązanie. Jeżeli odetniesz sobie 99,999% adresów z całego świata, no to jesteś dość bezpieczny, prawda? Ktoś musi być użytkownikiem Neostrady, aby wejść na twój serwer. W tym momencie, jeżeli ktoś jest użytkownikiem, nie wiem, jakiejś sieci osiedlowej albo rządowej sieci tam czegoś, nie będzie. Tam jest pytanie z końca.

Dobra, tam kolega mówi, że postawiłby logowanie po SSH jako ukryty serwis. Tak jest. Tak jest to, myślę całkiem dobre rozwiązanie, bo w tym momencie użyłby on Tora, ale nie dla ludzi, tylko na swój prywatny użytek. coś takiego jakby nie wiem VPN tak można to porównać w sensie zestawiłby jakieś tam połączenie także tylko on za pomocą tora byłby w stanie się tam zalogować na port 22 na przykład ma to sens dodatkowo fail to ban i teny host to są dwa skrypty kojarzycie fail to ban dobra w skrócie fail to ban to jest taki soft który analizuje logi jak znajduje odpowiednią ilość odpowiednich wpisów na przykład analizujemy sobie logi logowania na serw Jeżeli znajdziemy na przykład pięć razy

pod rząd z jednego IPA złe hasło, złe hasło, złe hasło, to wycinamy go na firewallu najprościej jak się da. I w ten sposób możemy sobie na przykład dodatkowe regułki robić. Nie tylko nieudane logowania, ale też na przykład zbyt duże zainteresowanie stroną. Jeżeli z jakiejś puli ipików ktoś trochę za często pobiera nasz tajny raport, możemy go po prostu wyciąć na firewallu. To będzie taki pseudoobrona przed DOS dosem. Denny host robi w zasadzie to samo, tylko że można mu zdefiniować z góry. Na przykład nie wpuszczamy Chińczyków, Niemców, Rosjan innych takich. No w zależności kto tam ma jakieś od razu wszystkich można. No dobra, ale chodzi po prostu o to, że możemy po prostu zdefiniować, że na nasz

serwer może wejść na przykład tylko Polak i tyle. Więc to są takie dodatkowe rzeczy, które tam z Firewallem mogą nam fajnie współpracować. Tu jest taka sztuczka. Czasami to stosowałem jak za czasów moich paranoidalnych. Teraz bym powiedział, że to jest przegięcie, ale odpalenie SSH na porcie https, tak żeby https jeszcze istniał i działał. Jak to zrobić? Ktoś ma pomysł? Czyli przeglądarka internetowa. Łączymy się na port HTPSA i widzimy stronę internetową. A jak łączymy się tam przez SSH, widzimy logowanie. Jest aplikacja, która jeszcze dodatkowo XPP zdaje się potrafi nam to samym zrobić. O jak się nazywa? Zaraz znajdę. Dobra, to sobie pogoogoglam. Ja to osiągałem za pomocą HPXY, jak jest napisane. Zresztą chodzi o to, że hapxy może

rozpoznać czy mamy handshakea, czyli czy ktoś próbuje uścisnąć dłoń poprzez szyfrowanie. Może też analizować pakiety, które do nas przychodzą. logowanie SSH w nagłówku tam nagłówek tego stringa wysyłanego na powitanie ma pewne ustalone bajty. No i w tym momencie HP proxy może działać jak load balancer, czyli odpaliłem sobie SSH na porcie 22, ale na lokalnej maszynie 127001 w sensie tak jest zaadresowany i mój haproxy działał tak. Jeżeli masz handshakea to przekieruj na Apacha. Jeżeli nie to przekieruj na SSH. I w tym momencie wszystkie skanery, które sprawdzały. Skaner w większości przypadków działa tak, że skanuje sobie cały serwer port po porcie. Jak trafia na jakiś port, to sprawdza, czy ma rację, że trafił na to, co myślał.

Skanuje sobie 22 port, wbija się tam i sprawdza, tam jest SSH. Jest SSH. Zgadłem. Wbija się na 443. Czy tam jest http? Zgadłem. Ale on nie zgaduje, że tam są dwie albo trzy warstwy. Zgadł httpsa, idzie dalej. I w tym momencie widzimy, że ten port jest niedostępny. Są bardziej zaawansowane metody tego typu. Tak. Ssh SSLH, tak? Nie wiem co to znaczy, ale brzmi to mądrze. Akceptuj https i XMP na jednym porcie. O, czyli całkiem ładnie można ukryć sobie swoją usługę jeszcze z pocztą, jeszcze z czymś innym. To już będzie taki totalny mindfuck dla człowieka skanującego. To dobra, ale zakładamy, że nie chcemy się znęcać nad agentami albo innymi ludźmi, którzy będą nas skanowali, tylko chcemy przekazać informacje. M

oczywiście rezygnujemy z takich rzeczy jak FTP, Telnet i zwykłe czyste HTTP. Z prostego względu każdy z tych protokołów, no właśnie, co je łączy? Żaden z nich nie jest szyfrowany. Jeżeli wrzucamy jakąś treść na nasz serwer przez protokół FTP, da się podglądnąć co my wrzucamy. Na końcu pytanie jest tak tylko niekoniecznie chcesz, żeby twój dostawca internetu wiedział, że to ty ją rzuciłeś na tej zasadzie. Tak. Mhm. Tak, tak, tak. Tylko tutaj jeżeli rezygnuję z HTTP, bo tam kolega powiedział o rezygnacji z HTTP jako takie kiepski pomysł trochę, zamieniam go na htpsa, czyli podaję na przykład w formie szyfrowanej użytkownikowi moje dane. Jeżeli co mi to daje? Jeżeli mam na przykład WordPressa postawionego na swoim serwerze i loguję się do niego, to

fajnie, jakbym się logował za pomocą szyfrowanego połączenia. Czas. Nie, jeszcze spokojnie, jeszcze spokojnie. No dobra, ale mi się slajdy kończą. 17 minut. Mogę mówić ze spacją w takim razie? Okej. Chodzi generalnie o to, aby pozbyć się, aby pozbyć się wszelkich protokołów, które mogą zdradzić nam właśnie kredyzale do naszego konta. Czyli logujemy się po Ftepie. Ktoś może podsłuchać nasze hasła. Jak podsłucha ktoś nieodpowiedni, możesz zablokować naszą stronę, zmienić ją, skasować na przykład. Nigdy nie wiesz, kto cię słucha. No generalnie tak to działa. Telnet. No szkoda gadać, jak mamy SSH, mamy współczesne czasy. Dlaczego używać telneta? Jeżeli możemy się logować za pomocą klucza, dlaczego logować się za pomocą hasła? HTTP. No to wam powiedziałem. Można zabezpieczyć sobie

za pomocą tego na przykład panel logowania. Server status. Kojarzycie o co chodziło ze server status i torem?

Dobra, powiem wam jak działa ukryty serwis tora. Generalnie działa tak na naszym lokalnym komputerze uruchamiany jest na przykład ACH, bo to jest serwer www. Obok uruchamiany jest tor i teraz ten ruch z tora wlatuje do naszego serwera lokalnego na lopbacku, czyli na lokalnym połączeniu. Problem jaki się tu pojawia jest taki, że wszystkie połączenia Stora przedstawiają się jako 127001, czyli lokalnie admin wywołał każdego requesta. nie jesteśmy w stanie powiedzieć z jakiego IPA te zapytania poszły i domyślnie na wielu dystrybucjach, nie na wszystkich linuxowych jest taki moduł jak serwer status. To jest taki moduł do obserwowania pracy Apacha. On jest oczywiście zabezpieczony i tylko lokalny admin na lokalnym komputerze może go odpalić. Problem jest taki, że w

przypadku Tora wszyscy jesteśmy lokalnymi adminami na lokalnym komputerze, więc mamy ukryty serwis, jakieś tam, nie [Muzyka] wiem, dziecięce porno coś tam, coś tam, krzaczki, krzaczki onion łamane przez tam serwer status. I w tym momencie my możemy sprawdzić status serwera. Co nam to daje? Często możemy poznać jaki jest prawdziwy adres publiczny IP tego serwera. Będzie wypisany w statystykach. W ten sposób był jakiś taka była jakaś taka akcja, że namierzali po prostu ukryte serwisy za pomocą tego buaga. Hmm, no da się zlokalizować świetnie zabezpieczony serwer, który jest nie wiem mógł sobie Zielona kartka. Coś złego powiedziałem. Dobra, spoko. No nie czerwona w końcu. Generalnie chodzi o to, że my mimo, że z Stora nie korzystamy, tego typu featery,

które wiemy, że mogą nam dawać jakąś ekstra podatność, możemy wyłączyć. W przypadku Tora chyba w ogóle nie jest dobrym pomysłem, żeby oprogramowanie Tora trzymać na tym samym hoście co serwer. że jeżeli serwer widzi tylko lokalną sieć na prywatnej adresacji, nic więcej i na tej samej sieci może się skomunikować z serwerem [Muzyka] Tora, to to jest to takie bardziej klarowne i czytelne, że że że ten serwer że ten serwer WW po prostu nie ma żadnego dostępu do do internetu innego niż przez Tora, że on widzi tylko kawałek prywatnego segmentu i i serwer tora, przez który no pewnie miałoby to większą sens większy sens. Jasne. Tylko, że jeżeli ten serwer ma przypisany właśnie adres publiczny IP Apach czy tam cokolwiek, no to była

podatność Apcha, więc samacch ma świadomość o posiadaniu tego IPA i wie jaki to jest IP, no to był wyciek danych po prostu. Ale w tym momencie nie przychodzisz zrób taka, jeśli zastosujesz to rozwiązanie. Tak, o tym mówisz? Tak. No to z jednej strony, z drugiej strony, że serwer www. ma prywatne IP, tylko to widzi. W ogóle nie wie gdzie jest. On nie wie gdzie jest, bo bez tego nie może zleć informacj. Tak, to by było w zasadzie idealne rozwiązanie z, czyli serwer z prywatnym IPiem, za torem, ale jak mówiliśmy na początku, nie używamy tora, więc spoko. Dobra, ja mam nadzieję, że ta wiedza nigdy wam nie będzie potrzebna. To znaczy, gdy nadejdą czasy, że trzeba

będzie coś opublikować albo komuś pomóc opublikować dane, to ta wiedza może się przydać. Mam nadzieję, że takie czasy nie nadejdą i ta prezentacja była tylko fajną zabawą, a nie poradnikiem jak się zabezpieczyć przed rządem. Więc uznaję po prostu, że to jest podstawa, podstawowy zakres wiedzy, który trzeba wiedzieć jak publikować tego rzecz, tego typu materiały w internecie. Ale jak zawsze mówię, najlepiej wzorować się na tych ludziach, którzy już to robili, gdzie publikowali, jak się porozumiewali, bo pojawiają się tu nam nowe problemy. Mamy na przykład stronę wwwy tam dać jakiś statyczny kontent, ale potrzebujemy na przykład komunikować się w sposób na żywo z ludźmi. Więc pytanie, co wybrać? Facebooka, Twittera czy na przykład Signala? Roset jest całkiem niezłym

komunikatorem pod tym względem. Nie znam. To jest coś w stylu signala szyfrowany. To jest desktopowy i to śmiesznie działa, bo każdy klient to jest hidden serwisora. O, ciekawe. Gadz, gadasz bezpośrednio, masz tam po prostu numeryczny identyfikator. Mhm. I on od mocno się stara, żeby nie było. No to to brzmi ciekawie. Musiałbym oczywiście doczytać, żeby to polecić, ale brzmi ciekawie. Jeżeli tak to działa, to w sumie spoko. Były robione audyty bezpieczeństwa i wyszło nawet nie najgorzej. Mhm. Jeszcze jeśli chcielibyśmy jakoś publicznie podawać jakieś rzeczy do informacji, to teraz modne jest podawanie przez Facebooka. Jak to działa przez Facebooka, no to mniej więcej wiadomo. Zakładamy fanpagea, grupę, cokolwiek i publikujemy tam informacje, a Facebook bardzo szybko to blokuje. No też znowu

przykład stonogi, który miał tam, nie wiem, 10 fanpage i każdy zablokowany, aż w końcu zadzwonił do Facebooka polskiego. Chodzi generalnie o to, że to nie jest może najlepsza sieć do publikowania. Znowu bierzemy przykład z najlepszych, gdzie publikuje Al-Kaida. Na Twitterze. No dokładnie, jeżeli oni mogą i ich jeszcze nie zablokowali. W diasporze. I diaspora. Dobra, diaspora. Kto wie, co to jest diaspora? Pierwsza rzecz i to jest problem. Nie wiedzą. Chodzi o to, że Twittera każdy z was jest w stanie bez problemu odczytać, nawet nie mając konta. Twittera używa stosunkowo dużo zgiczałych ludzi. To jest dobre. Diaspora, no to już jest hipster level max. Też możesz odczytać bez tak, ale zapytałem ludzi ile osób wie co to w ogóle jest diaspora. Teraz

ty na diasporze dajesz tajne informacje. Ile osób z tej sali? Pięć. Rozumiesz? Nie dotrzesz do odpowiedniej grupy ludzi. Facebook pewnie by wygrał, ale Facebook cię zablokuje. Dlatego postawiłbym to na Twittera. Dobra, jeżeli ktoś by miał jakieś jeszcze pytania, to mamy trochę czasu. Ja na razie dziękuję za uwagę. Tu macie linki takie. Możecie mnie znć na Facebooku, tam follow, nie dodaj do znajomych tylko follow. Okej. Uw Teamwork, strona nieaktualizowana od wielu, wielu lat, ale tam generalnie jest to agregator, gdzie można jakieś filmiki fajne znaleźć. No i przede wszystkim YouTube. A jak widzicie takiego duszka, no to wiecie co z nim zrobić. Jakkolwiek to brzmi. Tak. Ktoś ma jakieś pytania? Z tego co wiem mamy z 10 minut. W przypadku

infrastruktora do blokowania czy inspek już będzie postawiona, to hipotetycznie czy jakieś inne rozwiązania na start poza 1 mamy. Czyli jeżeli rząd wprowadzi blokadę, tak i w tym momencie może adwok blokować wszystko co chce, czy mamy? H, to jest dobre pytanie, bo w tym momencie na jakiej warstwie może nas zablokować? Może nas zablokować na warstwie IP, na warstwie DNS i na keywordsach. Tak? Coś jeszcze przychodzi ci do głowy? Trzy rzeczy. Czyli mamy trzy problemy do rozwiązania. Blokowanie na warstwie DNS-u. Poradzili sobie z tym bardzo prosto w Egipcie. W Egipcie. W jaki sposób poradzili sobie z blokadą na poziomie DNS-u? Ktoś wie? Turcji. W Turcji podmieniali DNS. Tak, pewnie w necie widzieliście graffiti, podchodzi gość i pisze

8.8.8.8. No trudno zapamiętać, nie? Chodzi o to, że dali do zrozumienia tak, władze blokują nam dostęp do internetu na poziomie DNS-a. Używajcie DNS-a Googlea. Jesteście wolni. Więc blokowanie na poziomie DNS, żaden problem. Blokowanie na poziomie IP. W tym momencie co muszą uciąć ci IP, ale tam jeden z kolegów powiedział: "A co jak się hostujemy na wielu apikach? Możemy też zmieniać IP. Tu kolega mówił odnośnie TTL domeny. TTL, czyli jak długo domena zostaje w cashu. Możemy ustawić sobie casha domeny na 3 minuty, czyli zablokują nam jednego IPA, my w tym momencie aktualizujemy swojego DNS-a i jesteśmy w innej części świata 3 minuty później. Pytanie, kto, no oczywiście to jest walka skazana na przegraną, bo kto działa wydajniej? Ten

kto blokuje czy ten kto zdobywa nowe piiki? No ten kto blokuje, ale generalnie możemy przedłużać tą naszą obecność w sieci dość długo. Tak na to na to przewinął mi się niedawno staje się właśnie na Twitterze komentarz, gdzie sporo rzeczy zostało zablokowanych w Turcji. Mhm. Yyy gdzie ludzie dosyć szybko nauczyli się korzystać z VPN-u, jak to był tam gdzieś komentarz, co właśnie pisze z mojego Androida, który uważa, że jest w Amsterdamie. Mhm. No dokładnie. możemy korzystać z VPNa, możemy jakkolwiek możemy nawet już uruchomić sobie tego Tora i mieć dostęp do czegoś. Tylko tak jak mówię, należy korzystać z usług takich, które są dostępne publicznie. Pytanie tam tak wiem, żeby to trochę wypaczyło z serc całej prezentacji, ale jeśli chodzi o

dotarcie do jak największej ilości ludzi z jakimiś tajnymi informacjami które do mikrofonu, proszę. Tak, to by trochę wypatrzyło sens całej prezentacji, ale nie wydaje mi się, że najprostszym sposobem dotarcia z jakąś informacją tego typu, jakąś tajną, jakieś tajne dokumenty, jakieś wycieki i tak dalej do jak największej ilości ludzi jest po prostu wykorzystanie Wikileak, dziennikarzy śledczych, mediów i tak dalej, bo tego nie wytną nagle wszystkich serwisów informacyjnych. To jest prawda. Problem jest taki, że może dojść do tego, mogą nastąpić takie czasy, gdy ci ludzie też będą mieli problemy z publikacją. I w niektórych krajach coś takiego się działo na zasadzie, że w tym momencie dziennikarz ma problem, żeby udostępnić informacje, bo coś mu za to grozi i on też musi znać

te technologie, jak to zrobić. To, że ty pójdziesz do jakiegoś znanego dziennikarza i dasz mu materiały, to w tym momencie tą wiedzę, którą ty zdobyłeś, teraz przerwasz na niego. Człowieku, ty sobie zdobądź, ja już nie mam problemu, nie? Ale on dalej musi się zastanowić gdzie rzucić, jak rzucić, jak żeby go nie złapali. Do Guardiana przecież przyszli smutni panowie i komputer w piwnicy zanieśli już po tym, jak publikował część. No tak. No w Polsce też mieliśmy chyba redakcja wprost też też jacyś panowie, którzy nie umieli obsługiwać maców przyszli. No i nie dlatego korzystam z Maca, nie wiecie, wywać nie umiem. A to tak mieli problem z wyrwaniem Maca. Siekier i młotkami zdaje się. No tak, tam jeszcze było jakieś pytanie na

końcu. Ktoś machał ręką z tego co wiem tam było. ziszikowanie materiałów na torentach i rysowanie magnetów. Wiesz co, no można to zrobić, ale znowu ile normalnych osób wie co zrobić z magnet linkiem? Na pewno więcej osób tak pobiera stamtąd kopię swoich filmów. Tak. Czy tam masz problem taki, że możesz wysłać fejkowych magnet linków 550 i potem okazuje się, że ludzie ściągnęli wiesz rzuty. Jest tylko jeden problem. Magnet link. No i jak się wykrywa ludzi na torrentach. Jesteś w stanie zobaczyć IP ściągających od ciebie osób. Wiesz do kogo dotarła informacja. Możesz zapukać do każdego z nich i powiedzieć co o nim myślisz. Więc to jest pewien problem. Jeszcze było jakieś pytanie?

Pytanie o Chińczyków odnośnie skuteczności, ale nie wiem o co dokładnie chodziło. Głośniej. Mhm.

Aha, tam kolega mówi odnośnie blokady. Mówisz odnośnie blokady internetu w Chinach? Tak. No tak. Tylko ja tu cały czas mówię, bo Chińczycy bronią się przed światem zewnętrznym, tak można powiedzieć. My tu mówimy o zagrożeniu wewnętrznym. Jestem w Polsce, publikuję dla Polaków, czyli jestem po odpowiedniej stronie muru, że tak powiem. I w tym momencie muszę dotrzeć do tych Polaków. I w tym momencie jest to troszeczkę inne spojrzenie na problem niż to, co mają Chińczycy. Tu dostałem czerwoną kartkę, to znaczy, że mogę ostatnią reklamę powiedzieć, że no tutaj klikacie, lubicie łapki w górę i takie tam. Dobra, dzięki za uwagę. Jakby ktoś miał jakieś pytania, to jestem dostępny jeszcze potem.