z3r0trust 개인 정보 보호 뉴스 레터 # 12

이 기사는 여기 에서 스페인어로도 볼 수 있습니다 .

크레딧 : The Mind Unleashed

“비 자유 세계를 다루는 유일한 방법은 절대적으로 자유 로워 져서 당신의 존재 자체가 반역의 행위입니다.” — 알버트 카 머스

물론이 뉴스 레터의 저자로서 첫 번째 기사부터 처음부터 여정을 시작하는 것이 좋습니다. 그러나 원하는 곳에서 픽업 할 수 있습니다. 각 기사에는 공통 주제 인 Data Privacy for La Résistance ! 12 판에서 우리는 프라이버시의 토끼 구멍 아래로 끝이 없어 보이는 강하를 계속할 것입니다.

필수 개인 정보 보호 정책

나는 당신에 대해 모르지만, 나에게는 매일이 데이터 프라이버시의 날입니다! 데이터 프라이버시 주제로 지정하거나 데이터 프라이버시의 중요성을 상기시키는 데 연중 하루나 일주일이 필요하지 않습니다. 부디! 우리의 온라인 개인 정보는 사실상 존재하지 않으며 처음부터 점차 악화되고 있습니다. 내가 돌아볼 때마다 사용자 데이터를 수집하도록 설계된 새로운 인터넷 연결 기술이 있으며 제품 또는 앱에는 내 [개인] 데이터의 수익 화를 정당화하기 위해 개인 정보 보호 정책과 서비스 약관이 간략하게 나와 있습니다. 이것은 헛소리이며 우리는 사회로서 그것을 옹호해서는 안됩니다. 이제 전 세계 사람들이 선출 된 공무원에게 책임을 묻고 더 나은 개인 정보 보호를 요구할 때입니다. 얼마나 많은 사람들이 인터넷 프라이버시를 인식하지 못하거나 단순히 신경 쓰지 않는지 놀랍습니다. 많은 사람들에게 데이터 프라이버시가 그들이 포기한 달성 불가능한 목표가되었다는 것은 상상하기 어렵지 않습니다. 포기하지 마세요! 광고 차단기를 사용하고 EFF의 Privacy Badger를 사용하십시오.

Maciej Cegłowski는 읽을만한 가치가있는 아래 링크에서 데이터 개인 정보 보호에 대한 뛰어난 에세이를 썼습니다. 프로 프라이버시 권리라고 말하는 기술 회사에 속지 마십시오. 그들의 존재 자체는 "무료"서비스 사용자로부터 데이터를 수집하는 데 달려 있습니다.

데이터 프라이버시가 우리의 통제를 크게 벗어난 방법의 예에서 불가리아 정부의 세수 데이터베이스가 유출되었고 누구나 다운로드 할 수 있도록 500 만 시민의 개인 정보가 온라인에 게시되었습니다. 불가리아는 사이버 공격으로부터 중요 인프라를 보호하기 위해 고군분투했습니다.이 중 하나는 2018 년에 국가의 상업 등록 소를 오프라인으로 전환했습니다. 전 세계 정부는 자금 부족, 전문성 부족, 직업이 너무 거대하거나 종종 그 조합이됩니다.

이것은 모든 국가의 모든 시민 그룹에게 실제로 발생할 수 있습니다. 실제로 2015 년 4 월 인사 관리국 (OPM) 위반 사건 에서 미국 시민에게 발생했으며, 미국 정부 보안 허가를 신청 한 수백만 명의 사람들이 생체 인식 지문 데이터를 포함한 데이터가 손상되었습니다. 나는 희생자 중 하나 였고이 심각한 사생활 침해에 대해 여전히 지옥처럼 화가났습니다.

추적 불가능한 개인 정보 디버깅

Mr. Robot Season 3.0_power-saver-mode.h의 이미지 (Orwell의 "1984"는 벽에 스프레이로 칠해져 있음)

시청자들은 미국 네트워크 TV 시리즈“Mr. Rami Malek의 가상 캐릭터 인 Elliot Alderson을 연구하는 것만으로도 사실상 추적 불가능 해지는 것에 대해 배울 수 있습니다. 이 시리즈 전체에 걸쳐 포함 된 여러 유사점에 대해 이미지와 함께 참조했습니다. 해커들 사이에서 많은 사람들이 알고있는 것보다 더 흔한 엘리엇의 명백한 사회적 불안 장애와 약물 사용을 살펴보면, 우리는 자신의 주변 환경과 흔적을 항상 의식하고있는 한 사람의 예를 찾습니다.

  • 그는 누군가가 그를 얻기 위해 항상 밖으로 나가는 건강한 편집증을 가지고 있습니다. 이것은 말도 안되는 것처럼 보이지만, 사고 방식이 추적 불가능한 방법에 대해 생각하게하기 때문에 99 %의 시간 동안 사람을 안전하게 지킬 것입니다.
  • 그는 디지털 스테 가노 그래피를 사용하여 자신의 파일을 .mp3 음악 앨범 (참조 : DeepSound ) 에 몰래 임베드함으로써 자경단 해커 연구를 숨기려고 많은 노력을 기울이고 있습니다 . 그러면 파일이 발견 되더라도 숨겨진 파일이 포함되어 있다고 의심하지 않습니다.
DeepSound 오디오 파일 Steg 앱
그의 운영 보안 (OpSec)은 강력합니다. 즉, 예전으로 돌아가는 말처럼 "배를 가라 앉히는 느슨한 입술"이 없다는 뜻입니다. 당신이 알지 못하거나 신뢰하지 않는 사람들에게 정보를 자유롭게 제공하지 마십시오. Elliot은 온라인에서 익명을 유지하는 방법을 알고 있으며 정보 수집에 능숙합니다. 그는 Facebook을 포함한 소셜 미디어 프로필이 없습니다. 그는 다른 해커가 자신을 감시하는 것을 방지하기 위해 테이프를 사용하여 랩톱 웹캠을 가리고 있습니다. 그는 추적 불가능 성과는 거의 관계가 없지만 필요한 경우 서둘러 서둘러 갈 수있는 휴대용 디지털 유목민 유형의 생활 방식을 사는 것과 관련된 모든 물질적 소유물을 소유하는 데 묶여 있지 않습니다.

Microsoft는 2019 년 7 월에 Windows 7 보안 전용 패치에 원격 분석 기능을 추가했습니다. 먼저 Windows 7은 거의 EOL (End-of-Life)에 가깝습니다. 게임의이 시점에서 'Microsquish'가 보안 패치에 이것을 몰래 넣는 이유를 추측하기는 어렵습니다. 소프트웨어의 원격 측정은 다음과 같이 정의됩니다.

소프트웨어 개발 세계에서 원격 측정은 최종 사용자가 가장 많이 사용하는 기능에 대한 통찰력을 제공하고 버그 및 문제를 감지하며 사용자에게 직접 피드백을 요청할 필요없이 성능에 대한 더 나은 가시성을 제공 할 수 있습니다. — Stackify

위성이 끊임없이 당신을 감시하고 있습니다

편집증에 빠질만큼 충분하지 않은 것처럼 위성 기술은 지구 전역의 선진국의 기업과 정부 기관이 저 지구 궤도 (LEO) 우주 공간에 관측 [스파이] 위성을 배치 할만큼 저렴 해지기 시작했습니다. .

“미국 연방 규정은 상업용 위성으로 촬영 한 이미지를 25cm 또는 남성 신발 길이 정도의 해상도로 제한합니다. (군사 스파이 위성은 훨씬 더 많이 분류되지만 훨씬 더 세분화 된 이미지를 캡처 할 수 있습니다.)”

정부는 언제든 원할 때마다 이미 당신을 감시 할 수 있지만 이제는 상업용 관측 위성이 밤하늘을 포화시킬 것입니다. 위성을 소유 한 일부 회사는“최대 90 초 길이의 HD 비디오 클립을 판매합니다. 그리고 EarthNow라는 회사는 "약 1 초의 짧은 지연 시간에"지속적인 실시간 "모니터링을 제공 할 것이라고 말합니다. 이것은 실제 생활에서 개인의 개인 정보에 대한 엄청난 위협을 나타냅니다. 온라인 개인 정보는 잊어 버리십시오. 이 사람들은 절대적으로 남용 될 기술에 대한 액세스 권한을 판매하고 있으며 이제는 수십억 개의 CCTV 및 가정용 WiFi 연결 감시 카메라에 대해서만 걱정할 필요가 없으며 원할 경우 밤낮으로 당신을 감시 할 수있는 위성도 있습니다. 에. 그것의 최악의 부분은 당신이 그것에 대해 아무것도 할 수있는 완전히 무력하다는 것입니다.

하지만 소셜 미디어도 마찬가지입니다.

넷플릭스 다큐멘터리“ The Great Hack ”(1h54m, 2019) 을 보지 않았다면 꼭 시청 하시기 바랍니다. Cambridge Analytica가 수백만 명의 미국인을 위해 Facebook 사용자 데이터를 스크랩하고 데이터 (모든 친구와 함께)를 사용하여 2016 년 미국 대통령 선거를 좌우하는 광고 콘텐츠를 타겟팅하는 대규모 프로필 네트워크를 만든 방법에 대해 자세히 설명합니다. 이것은 2 시간 동안 잘 보냈다. 또한이 세상에는 무고한 희생자들에게 온갖 부도덕 한 일을하기 위해 돈에 대한 욕심을 먹고 양심이없는 사람들이 부족하지 않다는 것을 보여줍니다. 귀하는 지금 귀하의 개인 정보를 보호하기위한 조치를 취해야합니다. 그렇지 않으면 귀하의 개인 데이터가 어떻게 든 귀하에게 불리하게 사용되는 피해자가 될 위험이 있습니다. 데이터를 수집하는 회사의 데이터 유출을 방지 할 수는 없지만, 업무를 더 어렵게 만들기 위해 수집되는 데이터 유형을 제어 할 수 있습니다.

이 시점에서 여전히 페이스 북을 신뢰하는 사람은 왜 나를 넘어선 것일까 요? 잘못된 정보와 별칭 사용은 당신의 동맹입니다. 자녀가 있다면 자신뿐만 아니라 자녀에 대해서도 생각하십시오. Facebook, Google 및 기술 세계의 Cambridge Analytica와 같은 회사가 자녀에게 얼마나 많은 데이터 포인트를 축적하고 있는지 생각해보십시오. 아이들에게 배후에서 무슨 일이 일어나고 있는지, 그리고 그들의 게시물 콘텐츠 (좋아요, 사진, 비디오, 메시지, 선호도)가 시간이 지남에 따라 조용히 수집되고 그들에게 고유 한 광고 프로필을 만드는 데 사용되는 방법을 설명하십시오. 인터넷 규제는 여전히 와일드 웨스트이며, 현재 미국인들은 프라이버시 권리가 거의 없습니다. 2020 년 1 월 1 일에 발효되는 캘리포니아 소비자 개인 정보 보호법 (CCPA)을 통해 캘리포니아 주민들에게 다소 나아질 것이지만 실제로는 2020 년 7 월 1 일까지 주 검찰 총장에 의해 시행되지 않습니다. 정치인에 대한 유감스러운 변명은 언제 올까요? 함께 유럽 연합 (EU)의 GDPR ( 일반 데이터 보호 규정 )과 유사한 연방 수준에서 의미있는 인터넷 개인 정보 보호 규정을 통과해야 합니까?

주요 개인 정보 보호 전술, 기술 및 절차

프라이버시 예측이 흐립니다

크레딧 : Someecards

그것에 대해 실수하지 마십시오. 클라우드는 당신의 친구가 아닙니다. 이전에 클라우드를 사용하는 것이 데이터 중복성 및 접근성 측면에서 대부분의 이점이 무엇인지에 대해 작성했지만 무시해서는 안되는 개인 정보 보호 및 보안 문제도 분명히 있습니다.

사용자는 클라우드를 전혀 제어 할 수 없으며, 이는 특히 클라우드를 신뢰해서는 안된다는 것을 의미합니다. 대부분의 개인 파일을 보호 하는 회사를 신뢰하십니까 ? 왜 네가? 클라우드에서 데이터를 호스팅하기 위해 지불하는 월 $ 15- $ 20 이상으로 귀하와 동일한 방식으로 귀하의 데이터에 관심이 있다고 생각하십니까? 불안한. 그것은 취약 할 수 있고 당신은 그것을 알지도 못할 것입니다. 나중에 데이터 유출 뉴스가 헤드 라인을 장식하거나 신원이 도용되고 은행 계좌가 유출 된 후에야 알게됩니다. 관련된 복잡성에 대해 자세히 알고 싶다면 여기 에 클라우드 보안 엔지니어링의 어려움에 대해 썼습니다 .

다른 누가 귀하의 클라우드 데이터 또는 소셜 미디어 콘텐츠에 대한 액세스 권한을 가지고 있습니까? Google, Dropbox, Amazon 또는 Microsoft에서 일하는 관리자는 다른 사람이 확실히합니다. MySpace 관리자가 소셜 미디어 플랫폼 사용자를 감시하기 위해 "Overlord"도구를 남용한 것처럼 모든 C-SP 및 소셜 미디어의 관리자는 똑같은 작업을 수행하는 도구를 가지고 있습니다. 예상하되 미리 데이터를 보호하기위한 조치를 취하십시오.

귀하의 데이터를 호스팅하는 회사 또는 귀하가 은밀한 비밀을 공유하는 회사가 개인 클라우드 스토리지 파일 또는 소셜 미디어 콘텐츠의 콘텐츠를 공유하기 위해 법 집행 기관 또는 정부 기관과 협력 할 수있는시기를 알 수 없습니다. C-SP (클라우드 서비스 공급자) 스토리지 플랫폼에 파일을 업로드하기 전에 파일을 암호화하는 데 영리하게 사용했던 Microsoft의 BitLocker 암호화를 해독 할 수있는 수단이있는 기관.

“많은 기업이 원본 데이터가있는 동일한 위치에 중복 파일 백업 시스템을 저장합니다.”( Ammari, 2015 ) 이건 바보 같아,이 회사처럼 굴지 마. 장기 투자 전략 인 것처럼 더 스마트하게 데이터 백업 스토리지 포트폴리오를 다양 화하십시오. 이건 어때:

1) 로컬 백업. 하드 디스크 드라이브 (HDD) 자체에 로컬로 데이터를 백업 합니다 (이 작업을 수행하는 데 필요한 추가 작업은 거의 없음). 컴퓨터 시스템에 파티션 된 드라이브 또는 둘 이상의 HDD가 설치되어있는 경우 기본 HDD를 솔리드 스테이트 드라이브 (512GB)로 만드십시오. 여기서 데이터는 주로 Veracrypt, BitLocker와 같은 것을 사용하여 FDE (Full Disk Encryption)로 보호되는 HDD에 저장됩니다. (마지막 수단), 또는 Linux 컴퓨터 용 dm-crypt / cryptsetup 또는 Linux 통합 키 설정 (LUKS) (이 설정 방법에 대한 지침은 dm-crypt 링크 참조). 보조 드라이브 (예 : CPU D : \ 또는 기타)는 충분한 디스크 크기 (예 : 2–3TB)이고 백업 작업 스케줄러를 적절하게 구성하여 C : \ 자동 데이터 백업을 저장할 수 있습니다. 일정 기간 (예 : 6 ~ 12 개월 또는 공간이 필요한 경우) 후에 오래된 데이터 백업을 삭제합니다.

2) 오프 사이트 백업 . 외부에 위치하는 연결이 끊긴 외장 HDD에 매월 백업되지만 온라인 백업 유형이있는 한 물리적 거주지에도 함께 배치 할 수 있습니다. HDD 및 기타 장비의 수에 따라 HEMP ( High-Altitude Electro-Magnetic Pulse ) 로부터 보호하기 위해 외장 HDD를 패러데이 상자 또는 가방 안에 안전하게 보관하는 것도 현명합니다 . 이렇게하면 데이터가 EMP 또는 핵전쟁에 대한 무서운 생각으로부터 보호됩니다 (폭발에서 소각되지 않는다고 가정).

휴대폰, 태블릿, HDD, 기타 전자 장치 용 Tarriss GoDark 패러데이 백 (시간 게시시 49.97 달러)

3) 온라인 백업 . 데이터는 제 Veracrypt 또는 다른 암호화 응용 프로그램을 사용하여 암호화되어야하며, 단지 다음 안전하게 이용하는 전송 계층 보안 (TLS) V.1.3의 데이터 인 전송 프로토콜을 사용하여 평판 클라우드 플랫폼에 업로드 순방향 비밀 이 선택한에 저장 될 암호화 된 저장 데이터 (DaR)로서의 C-SP 플랫폼. 그러나 아무도 귀하의 데이터를 스누핑 할 수 없도록하기 위해 C-SP에서 사용하는 DaR 암호화에 추가하여 자신의 암호화 (예 : Veracrypt, BitLocker, LUKS)로 이중 암호화됩니다.

데이터 중복의 중요성

재난 발생시 중복성을 보장하기위한 데이터 백업의 황금률 (예 : 랜섬웨어, 와이퍼 또는 기타 멀웨어) 또는 위에서 설명한 자연 재해는 데이터를 세 가지 형식으로 백업하는 것입니다. 유형 또는 위치. 이러한 이유로, 저는 집과 땅의 모든 소유물이 불에 타거나 10 피트 수심에 잠기는 경우를 대비하여 데이터 중복성 측면에서 클라우드를 사용하는 것이 좋습니다. 그러나 개인 파일을 암호화하는 방법은 매우 중요합니다. 자신 만의 자체 암호화를 만드는 것은 권장하지 않습니다! 대신 Veracrypt 와 같은 무료 오픈 소스 소프트웨어 (FOSS) 애플리케이션 을 사용하여 파일을 암호화하십시오. 충성스러운 독자들은 Becoming Virtually Untraceable 시리즈의 파트 13 에서 Veracrypt를 간략하게 다루면서 TrueCrypt의 후속 제품이라고 설명했습니다.

낮은 기술 보안 : 회피 및 익명 성 팁

“당신을 공격하여 얻는 것이 거의 없다는 것을 적을 설득하십시오. 이것은 그의 열정을 감소시킬 것입니다.” — 손자

이전에 에피소드 9 에서 다룬 위협 모델링 은 이해하는 것이 중요합니다. 아마, 당신은 당신을 추적하고 조사하는 정부 유령의 표적이 될 가능성이 극히 적습니다.하지만 누가 압니까? 실제로 당신은 표적이되고 있습니까? 누가 알아? 아마도 정부 나 법 집행 기관이 아니라 스토커 나 지쳐 버린 전 애인이 할 것입니다. 이 경우 아래 예와 유사한 개인 위협 모델을 개발할 수 있습니다 (농담이 아닙니다). 낮은 프로필을 유지하려는 경우 인터넷에 개인 정보를 게시해도 점수를 얻지 못합니까? 대신 적대적 사고 방식을 채택하면 적으로 생각함으로써 가장 소중한 자산과 정보를 보호하는 데 도움이됩니다.

샘플 배트맨 위협 모델; 신용 : Ars Technica의 Sean Gallagher

전자 프론티어 재단 (Electronic Frontier Foundation)의 (EFF) 5 - 질문 개인 위협 모델 :

1. 집 안에 보호 할 가치가있는 것은 무엇입니까?

-장신구, 전자 제품, 금융 문서, 여권, 현금, 사진, 데이터, 커뮤니케이션 및 기타 오용 (또는 부당 취득)시 문제를 일으킬 수있는 기타 항목과 같은 감상적인 항목

2. 누구로부터 보호하고 싶습니까?

-적대자에는 강도, 룸메이트 또는 손님이 포함될 수 있습니다.

3. 보호해야 할 가능성은 얼마나됩니까?

-우리 동네에 도둑이 있었나요? 룸메이트 / 손님은 얼마나 신뢰할 수 있습니까? 내 적의 능력은 무엇입니까? 고려해야 할 위험은 무엇입니까?

4. 실패하면 결과가 얼마나 나빠요?

-집에 교체 할 수없는 것이 있습니까? 이러한 것들을 대체 할 시간이나 돈이 있습니까? 집에서 도난당한 물품에 대한 보험이 있습니까?

5. 이러한 문제를 방지하기 위해 얼마나 많은 문제를 겪으시겠습니까?

-민감한 문서를 보관할 수있는 금고를 구입할 의향이 있습니까? 고품질 자물쇠를 살 여유가 있습니까? 지역 은행에서 보안 상자를 열고 귀중품을 보관할 시간이 있습니까?

개인 정보 보호는 어려운 작업이며 인터넷의 기본 개인 정보 상태는 없음입니다! 프라이버시를 유지하고 유지하기 위해 노력해야합니다. 즉, 노력은 성과를 거두며 온라인 개인 정보 보호를 달성하는 것은 확실하지 않습니다. 시리즈 전반에 걸쳐 제시 한 모든 팁과 해킹은 충분한 자원과 숙련 된 적이라면 무찌를 수 있습니다. 보안과 프라이버시에는 불편 함이 생기는데, 이것은 하드 코어 프라이버시 옹호자들이 신경 쓰지 않는 절충안입니다. 때때로 필요한 모든 것은 해킹을 저지하기 위해 자신을 좀 더 어려운 목표로 만들고 더 쉬운 목표로 이동하기 위해 우리를 모니터링하는 것입니다. 다음에 친구와 기억할 때까지 :

*** 아무도 믿지 마십시오. 모든 것을 확인하십시오. 흔적을 남기지 마십시오. ***

추가 디지털 개인 정보 보호 리소스 :

z3r0trust 개인 정보 보호 뉴스 레터 : 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 , 10 , 11 , 12 , 13 , 14 , 15 , # 4–20 , # 5–20 , # 6–20 , # 32–20 , # 33–20 , # 8–20 , 16 , 17 , 45–20 , 46–20

웹 익명화 기법 101 | 이펙터 | 감시지도 책 | https://www.privacytools.io/

Suggested posts

감시 자본주의

“우리는 단순히 적을 파괴하는 것이 아닙니다. 우리는 그들을 바꿉니다.” — George Orwell, 1984 년 Shoshana Zuboff의 2019 년 저서“The Age of Surveillance Capitalism”은 디지털 시대에서 새로운 경제가 어떻게 생겨 났는지에 대한 환상적인 설명이지만 약간 묵시적입니다.

NSA, Microsoft Exchange Server의 심각한 결함 발견, 대중에게 패치를 촉구

NSA, Microsoft Exchange Server의 심각한 결함 발견, 대중에게 패치를 촉구

네 가지 취약점은 '낮은'공격 복잡성을 수반하며 원격 코드 실행으로 이어질 수있어 해커가 기업 네트워크에 침투 할 수 있습니다. By Michael Kan 미국 국가 보안 국은 Microsoft Exchange Server에 회사 네트워크를 장악하기 위해 악용 될 수있는 4 가지 심각한 취약점이 있다고 경고했습니다.