BEZPIECZEŃSTWO INFORMACYJNE

wersja 1.0 [21/07/2010]

1. WSTĘP
Niniejszy poradnik napisałem specjalnie dla Ciebie, aby zapoznać Cię z bardzo istotnym, z punktu widzenia dzisiejszego społeczeństwa informacyjnego, problemem jakim jest bezpieczeństwo informacyjne. Mam na myśli przede wszystkim Twoją prywatność i anonimowość, do których masz pełne prawo, a których System (w postaci państwa, korporacji lub innych nieprzychylnych Tobie instytucji i grup) chciałby Cię zupełnie pozbawić, w zamian oferując co najwyŜej złudne poczucie bezpieczeństwa lub dobra konsumpcyjne...

2. ANTYWIRUS, ANTYSPYWARE I FIREWALL
Antywirus i antyspyware mają za zadanie chronić Twój komputer przed wirusami, trojanami i innymi szkodnikami. Dostępnych jest wiele programów tego typu, ale jeśli z jakiegoś powodu nie masz jeszcze zainstalowanych Ŝadnych, to polecam: Avast http://www.avast.com/pl-pl/free-antivirus-download Darmowy do uŜytku domowego program antywirusowy. SpyBot – Search & Destroy http://www.safer-networking.org/pl/spybotsd/index.html Darmowy do uŜytku domowego program do usuwania spyware. Zapora sieciowa chroni przed atakami z zewnątrz oraz m. in. wyciekiem danych (np. haseł) i stanowi uzupełnienie antywirusa i antyspyware'a. Domyślny firewall dostępny w Windowsie jest dość ubogi, dlatego polecam Comodo Firewall (http://personalfirewall.comodo.com/free-download.html) – darmowy firewall (z polską wersją językową) naleŜący do ścisłej czołówki. Opis instalacji oraz konfiguracji – krok po kroku – wraz z przeglądem rozbudowanych moŜliwości znajdziesz na stronie http://comodo.andgird.webd.pl. Sprawdź jaki jest Twój obecny poziom zabezpieczeń sieciowych. Test dostępny pod adresem https://www.grc.com/x/ne.dll?bh0bkyd2 określa moŜliwości ataku z zewnątrz. Kliknij Proceed a następnie All Service Ports – zostaną sprawdzone pierwsze 1024 tzw. porty (kanały komunikacyjne) specjalnego przeznaczenia. Idealna sytuacja będzie wtedy, kiedy wszystkie pola będą koloru zielonego, co oznacza Ŝe Twój komputer jest niewidoczny z zewnątrz, tzn. tak jakby nie był w ogóle połączony z internetem. Kolor niebieski oznacza równieŜ zamknięty port, ale który jednocześnie pozwala stwierdzić, Ŝe Twój komputer jest połączony z internetem (obrazowo mówiąc: do środka nie wpuści, ale się przywita). Kolor czerwony oznacza port w pełni otwarty, przez który moŜna nawiązać połączenie z komputerem z zewnątrz (tzw. tryb nasłuchiwania albo serwera – bo tak jak w przypadku serwera czeka się aŜ jakiś inny komputer się połączy). Praktycznie kaŜdy firewall dobrze radzi sobie z atakami z zewnątrz – test ten jednak pozwoli sprawdzić, czy jest on dobrze skonfigurowany. Wbrew pozorom, duŜo większe zagroŜenie stanowi niekontrolowany wyciek danych, stąd teŜ firewalle dobrej jakości (a takim jest wymieniony wyŜej Comodo Firewall) oferują w tym zakresie znacznie większe moŜliwości.

1

3. PROXY
Proxy to specjalna usługa, która pośredniczy w wymianie danych między Twoim komputerem a komputerem (serwerem), z którym chcesz się połączyć. Szczególną odmianą jest tzw. web proxy – strona internetowa, na której wpisujesz adres innej strony, którą chcesz odwiedzić. Nie wymaga Ŝadnej konfiguracji, ale działa tylko w przeglądarce internetowej. To dobre rozwiązanie w prostych przypadkach, np. kiedy jakaś strona normalnie nie jest dostępna, bo nałoŜona jest na nią blokada. Lepiej jednak nie stosować web proxy kiedy wymagane jest logowanie – nigdy nie ma pewności jakie dane są zbierane. Jedno z web proxy dostępne jest pod adresem http://www.zend2.com (zrzut poniŜej). Dostępne są opcje: Encode URL: adres strony, z którą chcesz się połączyć zostanie zamieniony na ciąg liter i cyfr. Encode Page: proste szyfrowanie zawartości strony dla utrudnienia filtrowania. Zawartość strony zostanie odszyfrowana dopiero w przeglądarce (przez JavaScript). Czasem moŜe to spowodować niepoprawne działanie strony. Allow Cookies: ciasteczka będą dozwolone. Remove Scripts: skrypty JavaScript zostaną usunięte. Niektóre strony mogą działać wtedy nieprawidłowo, ale będzie bezpieczniej. Remove Objects: obiekty Flash, Java i inne podobne zostaną usunięte. Niektóre strony mogą działać wtedy nieprawidłowo, ale będzie bezpieczniej.

Zwykłe proxy jest znacznie bardziej elastyczne. MoŜe współpracować z wieloma róŜnymi programami i usługami, zazwyczaj jednak trzeba skonfigurować je oddzielnie. Taki pośrednik moŜe oferować znacznie więcej funkcji, dla nas jednak kluczowe będą dwie: anonimowość i prywatność. Anonimowość, podobnie jak w przypadku web proxy, polega na ukryciu Twojego prawdziwego adresu IP (który identyfikuje sprzęt podłączony do sieci) i zastąpieniu go innym adresem IP tak, Ŝe komputer (serwer) z którym się ostatecznie komunikujesz (w praktyce dane – tzw. pakiety – między Twoim komputerem a komputerem docelowym przechodzą przez wiele komputerów pośrednich) zarejestruje podmieniony adres IP. O ile anonimowość uniemoŜliwia identyfikację Twojego komputera przez komputer, z którym chcesz się połączyć, to prywatność oznacza bezpieczny szyfrowany kanał przesyłu danych. Jeśli dane nie są szyfrowane, to zanim dotrą do celu, mogą być przechwycone (sprawdzone pod kątem zawartości, w całości skopiowane lub zablokowane, tzn. nie zostaną przesłane dalej) przez administratorów sieci lokalnej (jeśli do niej naleŜysz) lub dostawcę internetu oraz przez kaŜdy inny komputer, który pośredniczy w wymianie danych. Co więcej, w kaŜdym miejscu mogą pojawić się „Smutni Panowie” ™ (przy okazji: pozdrawiamy serdecznie – nie dość Ŝe praca niewdzięczna, to jeszcze kiedy nadejdzie Czas Rozliczeń mogą wystąpić liczne problemy z oświetleniem ulicznym). JeŜeli korzystasz z proxy szyfrującego, to dane zostaną odszyfrowane dopiero po opuszczeniu serwera proxy (ostatniego w przypadku tzw. kaskady, czyli łańcucha wielu serwerów proxy komunikujących się ze sobą) – który zazwyczaj znajduje się w innym kraju a nawet na innym kontynencie – lub na Twoim komputerze (pamiętaj, Ŝe nie tylko wysyłasz, ale takŜe odbierasz pakiety). Szyfrowanie jest równieŜ stosowane w przypadku tzw. bezpiecznych połączeń (adres rozpoczynający się od https://). Połączenia takie objęte są standardem, w związku z czym dane mogą zostać odszyfrowane dopiero przez serwer, z którym się ostatecznie łączysz. Połączenia takie mają jednak kilka wad. Po pierwsze: niewiele serwerów je obsługuje (koszty uzyskania i odnawiania oficjalnych certyfikatów są znaczne) – zazwyczaj dotyczy to stron banków, dostawców poczty elektronicznej itp. Po drugie: szyfrowana jest tylko zawartość stron – adresy stron, z którymi się łączysz nadal są przesyłane w jawnej postaci (w przypadku proxy dostawca internetu moŜe stwierdzić jedynie, Ŝe korzystasz z proxy, ale nie w jakich celach, czyli np. jakie strony odwiedzasz). I po trzecie wreszcie: bezpieczne połączenie samo w sobie nie

2

zapewnia anonimowości. Nic nie stoi jednak na przeszkodzie, aby korzystać jednocześnie z bezpiecznych połączeń oraz proxy. Istnieją dwie popularne sieci proxy: Tor oraz JonDonym. Oprogramowanie, które pozwala się łączyć z tymi sieciami dostępne jest dla wielu systemów operacyjnych, jest równieŜ darmowe i – co waŜne – otwarte. Otwartość ma kluczowe znaczenie w przypadku bezpieczeństwa. KaŜdy moŜe sprawdzić kod źródłowy, co w praktyce oznacza, Ŝe zaszycie szkodliwego fragmentu kodu jest niemoŜliwe a dodatkowo ewentualne błędy są szybciej wykrywane. Inna wymierna korzyść to niemoŜność zamknięcia kodu źródłowego oraz niskie prawdopodobieństwo zaprzestania rozwoju – zawsze znajdą się osoby, które zechcą kontynuować prace. Na początek polecam sieć JonDonym. W sieci Tor kaŜdy komputer moŜe pośredniczyć w wymianie danych i nigdy nie masz pewności do kogo naleŜy – być moŜe nawet do „Smutnych Panów” ™. ChociaŜ złamanie zabezpieczeń Tora jest trudne, moŜe to stanowić problem, tym bardziej Ŝe istnieją sposoby, aby dany komputer koncentrował znacznie większy ruch w sieci Tor niŜ powinien. Z drugiej strony operatorzy, którzy chcą udostępnić swoje serwery w sieci JonDonym muszą upublicznić swoją toŜsamość (siedziba i inne szczegółowe informacje). Co więcej, w umowach, które podpisują z administratorami sieci (niemiecką spółką JonDos GmbH, politechniką z Drezna oraz uniwersytetem z Regensburga), zobowiązują się do nieprzechowywania logów z adresami IP ani innych danych oraz do niewymieniania informacji z innymi operatorami. Po drugie, co wynika z pierwszego faktu, przez Twój komputer przechodzą dane innych uŜytkowników sieci Tor, stąd teŜ jesteś (teoretycznie) współodpowiedzialny za ich działania. Z drugiej strony, w sieci JonDonym dane przepływają tylko między serwerami operatorów, a więc kaŜdy uŜytkownik odpowiada za siebie. Po trzecie, co równieŜ wynika z pierwszego faktu, transfer w sieci Tor jest dość zmienny i zazwyczaj niewysoki – wszystko zaleŜy od tego jakimi łączami dysponują uŜytkownicy (wciąŜ popularne są łącza asynchroniczne, czyli takie gdzie wysyłanie danych jest kilkakrotnie wolniejsze niŜ pobieranie). Z drugiej strony, mimo Ŝe transfer w sieci JonDonym standardowo równieŜ jest dość wolny (ale stabilny), to jednak za dodatkową opłatą moŜesz go znacznie zwiększyć. JonDo (wym. DŜon Dou – od John Doe, ang. odpowiednika Jana Kowalskiego), program który umoŜliwi dostęp do sieci JonDonym, pobierz ze strony http://anonymous-proxy-servers.net/en/jondo/download. Po uruchomieniu go powinieneś zobaczyć okno jak na zrzucie poniŜej. Lista rozwijana Services pozwala wybrać kaskadę, którą tworzą 2 lub 3 serwery. Sekcja Current service wyświetla więcej informacji na temat wybranej kaskady: Number of users: darmowe kaskady obsługują ograniczoną liczbę uŜytkowników. Pole wskazuje ilu uŜytkowników aktualnie korzysta z kaskady, a ile moŜe maksymalnie. Speed: szacunkowy transfer. Dla darmowych kaskad wynosi trochę mniej niŜ 10 kB/s. Response time: czas reakcji, opóźnienie w przesyłaniu danych. Operators: o ile lista Services wyświetla państwa, na terenie których znajdują się serwery, tutaj widoczne są państwa, na terenie których znajdują się ich operatorzy (nie zawsze jest to ten sam kraj). Animowany rysunek pokazuje czy połączenie zostało ustanowione (Connected), a jeśli tak, to jakie są jego parametry pod względem bezpieczeństwa. Wskaźnik Distribution określa rozproszenie – wyznaczany jest na podstawie liczby serwerów w kaskadzie oraz lokalizacji państw, na terenie których znajdują się te serwery oraz ich operatorzy. Wskaźnik Users określa skupienie uŜytkowników – im więcej osób korzysta z kaskady, tym dodatkowo trudniejsze staje się ich rozróŜnienie – mają identyczny adres IP (ostatniego serwera kaskady). Przełącznik Anonimity powinien być na pozycji On (włączony). Sekcja Encrypted data transferred zawiera informacje o tym, ile zaszyfrowanych danych zostało przesłanych (w obie strony) od momentu połączenia. Sekcja Remaining credit zawiera informacje o pozostałym limicie (dotyczy płatnego konta). Sekcja Anti censorship service pozwala włączyć tryb podobny do Tora, tzn. inni uczestnicy mogą się połączyć z Twoim komputerem, dzięki czemu uzyskają dostęp do sieci JonDonym, nawet jeśli w ich kraju jest ona blokowana. Przycisk Help wyświetla pomoc, a Config opcje. Jeśli pojawi się asystent, zamknij go. Domyślne ustawienia są wystarczające.

3

Po uruchomieniu JonDo spróbuje połączyć się pierwszą dostępną kaskadą. JeŜeli to się nie uda, będzie próbował połączyć się z kolejnymi, aŜ do skutku. Czasem jednak wszystkie darmowe kaskady mogą być nieosiągalne (np. z powodu przekroczenia limitu uŜytkowników). Zazwyczaj dostępna jest równieŜ specjalna kaskada Dresden, która składa się wyłącznie z jednego serwera naleŜącego do politechniki z Drezna. Kaskada ta nie ma limitu uŜytkowników, ale została udostępniona głównie w celach testowych i badawczych – politechnika zastrzega sobie m. in. moŜliwość analizy danych. Stąd teŜ, chociaŜ zapewnia anonimowość i prywatność, lepiej uwaŜać z przesyłaniem poufnych lub prywatnych informacji, tym bardziej, Ŝe istnieje niebezpieczeństwo ujawnienia Twojej toŜsamości w przypadku uzyskania kontroli (poprzez nakaz sądowy, przekupienie, włamanie, zbytnią koncentrację ruchu na serwerze – to ostatnie dotyczy tylko sieci Tor, itp.) jednocześnie nad wszystkimi komputerami sieci proxy, które pośredniczą w przesyłaniu Twoich danych (jest to łatwiejsze jeśli jest tylko jeden serwer proxy). ChociaŜ jest to raczej mało prawdopodobne, na wszelki wypadek w sieci JonDonym operatorzy i serwery większości kaskad pochodzą z róŜnych krajów, a wiarygodność poszczególnych operatorów jest regularnie weryfikowana. Jak wspomniałem, korzystanie z sieci JonDonym jest darmowe. Jednak utrzymanie serwerów i reszty infrastruktury oraz obsługa prawna są bardzo kosztowne. Istnieje więc moŜliwość wykupienia płatnego konta (sekcja Payment w opcjach). Najtańsze kosztuje 2 € i pozwala wykorzystać 200 MB przez 3 miesiące. W zamian za opłatę otrzymujesz gwarancję: • dostępności przynajmniej jednej kaskady, • znacznie wyŜszego transferu (ok. 15x), • 3 serwerów w kaskadzie. Poza tym będziesz mógł wykorzystać wszystkie porty, dzięki czemu proxy będzie działać nie tylko z przeglądarką.

4

4. PRZEGLĄDANIE STRON INTERNETOWYCH
Przeglądarka internetowa to Twoje okno na świat, okno przez które patrzysz na internet. JeŜeli jednak nie zabezpieczysz się odpowiednio, to internet będzie mógł zajrzeć przez to samo okno do Twojego komputera. Samo korzystanie z proxy nie zabezpieczy Cię w pełni. W tym rozdziale dowiesz się, jak bezpiecznie korzystać z przeglądarki (nawet jeśli nie będziesz uŜywać proxy). Jest wiele przeglądarek, ale polecam przeglądarkę Mozilla Firefox (http://www.mozilla-europe.org/pl). Warto jej uŜywać m. in. z tego względu, Ŝe kod źródłowy jest otwarty (jak bardzo jest to waŜne, wyjaśniłem Ci juŜ wcześniej). Poza tym autorzy bardzo szybko łatają dziury i usuwają wykryte błędy a program moŜna dostosować w szerokim zakresie – dostępnych jest wiele przydatnych rozszerzeń. Na początek wejdź na stronę http://anonymous-proxy-servers.net/en/anontest. Powinieneś zobaczyć m. in.: • Publiczny oraz prywatny adres IP. • Informacje o dostawcy internetu oraz Twojej przybliŜonej lokalizacji. • Dokładne informacje o przeglądarce internetowej. • Dokładne informacje o systemie operacyjnym. • Informacje o środowisku Java. • Informacje o karcie sieciowej. • Język, jakim się posługujesz. • Rozdzielczość ekranu. • Czas lokalny. Te informacje (oraz duŜo innych) standardowo mogą być dostępne dla kaŜdej odwiedzanej przez Ciebie strony i mogą zostać wykorzystane do identyfikacji oraz śledzenia Twojej aktywności w internecie. Niektóre z tych informacji ukryje proxy, resztę odpowiednio skonfigurowana przeglądarka.
Dygresja: Być moŜe zaciekawiło Cię, czym róŜni się publiczny adres IP od prywatnego. W rzeczywistości publiczny adres IP, tzn. ten który rozpoznają serwery, z którymi się łączysz, nie jest adresem Twojego komputera, ale adresem Twojego dostawcy internetu, który jeden adres przydziela wielu swoim klientom. Jest tak dlatego, Ŝe pula adresów IP jest ograniczona. Adres IP ma postać A.B.C.D, gdzie A, B, C i D to liczby od 0 do 255, stąd teŜ teoretycznie adresów moŜe być nie więcej niŜ ok. 4 miliardów (256 ^ 4), w praktyce jednak do wykorzystania jest ich mniej. Prywatne adresy IP rozwiązują ten problem. Na ich podstawie jest izolowany i rozdzielany przepływ pakietów między abonentami z przydzielonym identycznym adresem (dlatego teŜ moŜliwe jest np. korzystanie z neostrady na kilku komputerach jednocześnie). Na zewnątrz, tzn. poza siecią operatora, adres prywatny nie ma konkretnego znaczenia. MoŜna go jednak wykorzystać np. do śledzenia, bo moŜesz zmienić publiczny adres IP poprzez zmianę proxy, ale adres prywatny będzie dalej ten sam.

Aby korzystać z JonDo będziesz musiał utworzyć nowy profil przeglądarki (zbiór izolowanych ustawień – w tym np. zakładki i rozszerzenia). MoŜesz teŜ utworzyć jeszcze jeden profil, który będzie Ci słuŜył tylko do logowania na strony banku, poczty lub podobne. Natomiast profil podstawowy będzie wykorzystywany do codziennego przeglądania internetu. MoŜesz mieć uruchomionych kilka profili jednocześnie, co jest bardzo przydatne, np. kiedy będą wczytywać się strony w profilu korzystającym z proxy (co trwa zdecydowanie dłuŜej), w innym profilu moŜesz normalnie przeglądać pozostałe strony. Po zainstalowaniu przeglądarki wybierz z Menu Start polecenie Uruchom.... Wpisz w oknie: "C:\Program Files\Mozilla Firefox\firefox.exe" -ProfileManager. Wyświetli się okno zarządzania profilami. Kliknij Utwórz nowy profil... i wpisz nazwę, np. JonDo. Od tej pory przy kaŜdym uruchamianiu przeglądarki będziesz mógł wybrać profil. ChociaŜ w dalszej części rozdziału skupimy się na profilu korzystającym z proxy, to większość porad dotyczy równieŜ pozostałych profili. Wywołaj opcje poleceniem Narzędzia → Opcje .... Na karcie Ogólne jako stronę startową wpisz adres
5

http://anonymous-proxy-servers.net/en/anontest. Dzięki temu po uruchomieniu profilu będziesz mógł szybko zweryfikować czy wszystko jest w porządku. Na karcie Prywatność lista rozwijania Program Firefox powinna wskazywać będzie uŜywał ustawień historii uŜytkownika. Odznacz pole Akceptuj ciasteczka a ciasteczka będą domyślnie zablokowane – będziesz nimi zarządzał osobnym rozszerzeniem (ciasteczka powinieneś wyłączyć w kaŜdym profilu). Na karcie Zaawansowane wybierz zakładkę Sieć i kliknij Ustawienia.... W oknie wprowadź wartości jak na poniŜszym zrzucie, dzięki czemu będziesz mógł korzystać z proxy (localhost oznacza usługę działającą na komputerze).

Poleceniem Narzędzia → Dodatki wywołaj okno zarządzania dodatkami. Na karcie Rozszerzenia zaznacz i wyłącz wszystkie rozszerzenia a na karcie Wtyczki zaznacz i wyłącz wszystkie wtyczki (czasami tylko na podstawie listy wtyczek – ich nazw i wersji – moŜliwe jest dość dokładne rozróŜnienie uŜytkowników). W innych profilach powinieneś wyłączyć przynajmniej wtyczki, które mają w nazwie Windows lub Microsoft, moŜesz teŜ wyłączyć wtyczki z nazwą zawierającą PDF (pliki PDF lepiej ściągać na dysk i dopiero wtedy je przeglądać) i ewentualnie Flash oraz Java – jeśli chcesz na stałe wyłączyć ich obsługę, w innym przypadku będziesz mógł to określić przez jedno z rozszerzeń. PoniŜej znajdziesz wykaz rozszerzeń, które powinieneś zainstalować. Rozszerzenia instaluje się w konkretnym profilu – jeśli więc chcesz mieć je w kilku profilach, musisz je dodać w kaŜdym z nich z osobna – na karcie Dodaj dodatki w oknie zarządzania dodatkami, wpisując ich nazwy (w razie problemów podałem adresy stron, z których moŜesz ściągnąć rozszerzenia i dowiedzieć się o nich więcej). Dostęp do opcji rozszerzenia moŜna uzyskać w tym oknie, wskazując na karcie Rozszerzenia konkretne rozszerzenie i klikając Opcje (nie kaŜde rozszerzenie posiada moŜliwość konfiguracji). JeŜeli istnieje inny (szybszy) sposób na zmianę opcji lub dostęp do specjalnych funkcji, to przedstawię go.

ProfileSwitcher
http://nic-nac-project.de/~kaosmos/profileswitcher-en.html Domyślnie Firefox moŜe uruchomić tylko jeden profil jednocześnie. To rozszerzenie pozwoli uruchomić więcej profili na raz. Nazwa profilu wyświetlana będzie na pasku stanu. Skrót: Plik → Uruchom profil (uruchomienie dodatkowego profilu).

6

Uwagi: W związku z tym, Ŝe to rozszerzenie nie jest dostępne w katalogu rozszerzeń (addons.mozilla.org), przy instalacji pojawi się ostrzeŜenie o tym, Ŝe strona próbuje zainstalować rozszerzenie. Oczywiście powinieneś zezwolić na instalację.

WOT (Web of Trust)
https://addons.mozilla.org/pl/firefox/addon/3456 Rozszerzenie WOT dla kaŜdego odnośnika (ikonka obok) oraz dla bieŜącej strony (ikonka obok paska adresu) wyświetla informacje o bezpieczeństwie strony według 4 kategorii (plus podsumowanie): Zaufanie, Wiarygodność operatora, Prywatność, Bezpieczeństwo dzieci. Skrót: Narzędzia → WOT → Ustawienia. Konfiguracja: Zmiana domyślnych ustawień nie jest konieczna. Uwagi: Powinieneś mieć na uwadze, Ŝe oceny przyznają uŜytkownicy tego rozszerzenia. KaŜdy moŜe oceniać nieco inaczej – i niekoniecznie zgodnie ze stanem faktycznym – tę samą stronę, ale pod uwagę brana jest średnia ocen.

NoScript
https://addons.mozilla.org/pl/firefox/addon/722 Rozszerzenie pozwala określać uprawnienia stron do wykonywania aktywnej zawartości (JavaScript, Flash, Java). Chroni takŜe przed innymi zagroŜeniami. Skrót: Pasek stanu: → Ustawienia. Konfiguracja: Zakładka Ogólne: Automatycznie odświeŜaj stronę po zmianie uprawień – powoduje przeładowanie strony po zmianie uprawnień. Pozwalaj na wykonywanie skryptów JavaScript – ta opcja powinna być wyłączona, będziesz przydzielać uprawnienia kaŜdej stronie z osobna. Zakładka Zaufane witryny: Tu moŜesz przejrzeć witryny, którym przyznałeś uprawienia, usunąć je lub dodać nowe. Zakładka Osadzenia: Tu moŜesz dokładnie określić co będzie blokowane na niezaufanych stronach (domyślnie wszystkie) – patrz zrzut poniŜej. Blokuj Java / Flash / Silverlight / inne wtyczki – określa, czy obiekty te będą blokowane. Blokuj aplety <AUDIO> / <VIDEO> – blokada dźwięków i filmów, które nie wymagają wtyczek do odtwarzania (standard HTML5). Blokuj aplety <IFRAME> / <FRAME> – moŜesz wyłączyć blokowanie. ChociaŜ moŜe to powodować dołączenie zawartości z niebezpiecznych stron, to przed zagroŜeniami z tych stron NoScript teŜ ochroni. Poza tym ramki z wybranych niebezpiecznych serwisów zablokuje Ghostery. Blokuj aplety @font-face – blokuje pobieranie czcionek, które – odpowiednio spreparowane – mogą stanowić zagroŜenie. Zastosuj te ustawienia takŜe do zaufanych witryn – w rzeczywistości nie ma czegoś takiego jak zaufana witryna – nawet duŜe, dobrze znane serwisy mogą zostać zaatakowane lub zawierać błędy. Chodzi tu po prostu o strony, które dobrze znasz. Wyświetlaj ikonę zamiennika – będziesz widział, Ŝe obiekt został zablokowany a kliknięcie takiego zamiennika umoŜliwi odblokowanie obiektu. Zabezpieczenia kliknięć – specjalny mechanizm ostrzegający przez kliknięciem na niewidoczne elementy strony, które moŜe wywołać potencjalnie niebezpieczną akcję.
7

Uwagi: Niektóre strony mogą nie działać prawidłowo, jeśli wykonywanie JavaScriptu jest zablokowane. MoŜesz jednak dla kaŜdej strony określić uprawnienia. Kliknij na ikonę NoScript i wybierz Tymczasowo nie blokuj z <domena> lub Nie blokuj z <domena>, aby przyznać stałe zezwolenie. W kaŜdej chwili moŜesz cofnąć przyznane uprawnienia poleceniem Blokuj z <domena>. Powinieneś ograniczyć się tylko do zezwolenia wykonywania skryptów w obrębie bieŜącej domeny – wyświetlane są wszystkie domeny, zawierające skrypty, do których odwołuje się strona. Dodatkowo w podmenu Zablokowane obiekty znajdziesz listę obiektów Flash i innych, które zostały zablokowane – moŜesz je stamtąd łatwo odblokować, jeśli będzie to konieczne.

Ghostery
https://addons.mozilla.org/pl/firefox/addon/9609 Rozszerzenie pozwala blokować róŜne duchy (pluskwy), które czają na stronach. Duchy to systemy reklam, zbieracze informacji o zachowaniach uŜytkowników oraz inne sieciowe systemy analityczne. Aktualnie rozszerzenie rozpoznaje ok. 250 róŜnych duchów. Na pasku stanu wyświetlana jest liczba

Narzędzia → Ghostery → Manage Ghostery Options ...

Konfiguracja: Zakładka Options:
Enable bug list auto-update – automatyczna aktualizacja listy duchów. Enable ghost count – wyświetlanie liczby zablokowanych oraz wykrytych Zakładka Look and Feel: Show Alert Bubble – wyświetlanie chmurki z listą wykrytych duchów.

duchów.

Polecam wyłączyć, wystarczą liczby wyświetlane na pasku stanu. Poza tym, jeśli klikniesz na ikonę Ghostery, to równieŜ zobaczysz listę duchów na stronie. Zakładka Performance: Ustawienia wpływające na wydajność:
Scan and block images served off matched bug domain

wykrywa i blokuje obrazki pochodzące z „robaczywych” witryn.
8

Scan and block iframes served off matched bug domain

wykrywa i blokuje ramki pochodzące z „robaczywych” witryn.
Scan for dynamically inserted page elements

sprawdza elementy dodawane dynamicznie (przez JavaScript).
Delete Flash and Silverlight cookies at exit

usuwa ciasteczka Flasha i Silverlighta przy zamknięciu przeglądarki. Zakładka Blocking: Tutaj moŜna zablokować na stałe wszystkie lub wybrane duchy. Zalecam zablokować wszystkie (Select: All) a później w razie problemów, wyłączać sprawdzanie na konkretnej stronie. Zakładka Whitelist: Tu moŜesz dodać lub usunąć bezpieczne strony, na których nie będą wykrywane duchy. Uwagi: Zablokowanie niektórych duchów moŜe spowodować, Ŝe np. komentarze na niektórych stronach nie będą się wyświetlać. MoŜesz wyłączyć rozpoznawanie konkretnych duchów, ale wtedy nie będą one wykrywane ani blokowane na Ŝadnej ze stron. Lepszym rozwiązaniem jest wyłączenie blokowania duchów na konkretnej stronie, która nie wczytuje się prawidłowo. Kliknij ikonkę ducha i wybierz Whitelist domain. Jeśli po przeładowaniu strona dalej wygląda na niepoprawną, moŜesz ponownie włączyć blokowanie duchów na tej stronie, usuwając ją z listy bezpiecznych stron w opcjach.

AdBlock Plus
https://addons.mozilla.org/pl/firefox/addon/1865 Popularne rozszerzenie słuŜące do blokowania reklam – przy czym blokowane jest nie tylko wyświetlanie ale równieŜ pobieranie, a więc strony wczytują się znacznie szybciej. Dostępne są gotowe listy filtrów, moŜna teŜ dodawać własne reguły. Niektóre reklamy mogą być juŜ blokowane przez NoScript lub Ghostery, ale AdBlock pozwala określić dokładniejsze zasady. Skrót: obok paska adresu.
Narzędzia → AdBlock Plus – Ustawienia ...

Konfiguracja: To juŜ zaleŜy od Ciebie. W oknie ustawień moŜesz dodać własne filtry, moŜesz teŜ uŜyć specjalnych list – po instalacji zostanie Ci to zaproponowane (później moŜesz to zrobić poleceniem Filtry → Dodaj zestaw filtrów ...). Dostępnych jest wiele list, nie naleŜy jednak wybierać ich zbyt duŜo, gdyŜ moŜe to spowolnić działanie przeglądarki. Najlepiej wybrać jedną listę ogólną (np. EasyList) i jedną listę dla polskich stron (Wybierz inny zestaw... a następnie np. AdblockList.org). Najprościej jednak kliknąć na jakiś obrazek i z menu kontekstowego wybrać polecenie Zablokuj obrazek... (czasem dostępne jest teŜ polecenie Zablokuj ramkę... o podobnym działaniu, ale dotyczącym ramki, której zawartość moŜe się zmieniać). Wyświetli się okno jak na zrzucie poniŜej. Filtr blokujący blokuje pobieranie obrazków, Reguła wyjątku określa wyjątek, który pozwoli pobrać obrazki, gdyby filtr blokował ich za duŜo. Musisz teŜ wskazać wygląd wzorca: pełny adres zasobu dla konkretnego obrazka albo cały katalog wraz z podkatalogami. W przypadku katalogów uwaŜaj, Ŝebyś nie zablokował teŜ zwykłych obrazków – jeśli adres nie zawiera tekstu ad, ads, adv lub podobnego. MoŜesz takŜe określić czy adres musi się kończyć, czy teŜ rozpoczynać wybranym wzorcem. Elementy moŜna blokować równieŜ z listy blokowalnych elementów – kliknij ikonkę AdBlock. Uwagi: MoŜesz śmiało wyciąć reklamy w duŜych komercyjnych serwisach. Pamiętaj jednak, Ŝe reklamy to jeden ze sposobów na pokrycie kosztów ponoszonych przez właściciela strony. Jeśli więc chciałbyś wesprzeć jakiś serwis, z którego często korzystasz i znajdujesz tam ciekawe informacje, to powinieneś zacząć od pozostawienia w nim reklam. MoŜesz to zrobić klikając prawym przyciskiem na ikonkę AdBlock i wybrać polecenie Wyłącz blokowanie na <strona>. Czasem będziesz musiał dodatkowo zezwolić na wykonywanie skryptów (NoScript) i obecność duchów (Ghostery). AdBlock moŜe posłuŜyć równieŜ do blokowania stałych elementów strony, niebędących reklamami, które spowalniają jej wczytywanie – zwłaszcza jeśli korzystasz z proxy. Logo na stronie głównej Wikipedii ma rozmiar ok. 50 kb – wczytanie go, przy korzystaniu z proxy, zajmie ponad 5 sekund. Po załadowaniu
9

całej strony wybierz polecenie Narzędzia → Informacje o stronie i przejdź na kartę Media. Znajdziesz na niej wszystkie zasoby jakie wykorzystuje strona. Najbardziej interesujące są 3 typy (kolumna Typ) zasobów: ikony – wyświetlane na kartach obok tytułu stron, tła – obrazki wykorzystywane jako tło stron i zwykłe obrazki. Warto zablokować wymienione wyŜej elementy, które mają więcej niŜ 10 (a nawet 5) kB. JeŜeli nie widzisz kolumny Rozmiar, kliknij ikonkę w nagłówku listy.

CookieSafe
https://addons.mozilla.org/pl/firefox/addon/2497 Rozszerzenie to zapewnia znacznie wygodniejszą kontrolę nad ciasteczkami. Ciasteczka przechowują niewielkie porcje danych a powstały z myślą o zapamiętywaniu ustawień dla konkretnego uŜytkownika (wygląd strony, wyniki wyszukiwania itp.) bez konieczności logowania. Wkrótce okazało się, Ŝe mogą być wykorzystywane takŜe do śledzenia aktywności uŜytkowników. Skrót: Pasek stanu: (lewy przycisk myszy) – określanie uprawnień Konfiguracja: Domyślne opcje rozszerzenia są wystarczające. Dla kaŜdej strony moŜesz dodatkowo określić uprawnienia do korzystania z ciasteczek: Zezwól <domena> – stałe zezwolenie. Zezwól <domena> dla sesji – przy zamykaniu przeglądarki ciasteczka zostaną usunięte, ale jeśli ponownie odwiedzisz stronę, ciasteczka znowu mogą być zachowane. Zezwól tymczasowo <domena> – przy zamykaniu przeglądarki ciasteczka zostaną usunięte, a jeśli ponownie odwiedzisz stronę, ciasteczka nie będą zachowane (zalecane ustawienie). Usuń <domena> – cofnięcie uprawnień. Uwagi: Większość stron działa poprawnie bez ciasteczek. Jeśli jednak stwierdzisz, Ŝe nie da się ściągnąć plików, odnośniki przenoszą po chwili do strony z której je wybrałeś, moŜe to być spowodowane właśnie wyłączonymi ciasteczkami. Aby przeglądnąć ciasteczka, kliknij prawym przyciskiem na ikonkę CookieSafe i wybierz polecenie Wyświetl ciasteczka.

Better Privacy
https://addons.mozilla.org/pl/firefox/addon/6623 Rozszerzenie umoŜliwia zarządzanie tzw. Local Shared Objects. Są to odpowiedniki ciasteczek dla Flasha. WiąŜą się z nimi zatem te same korzyści oraz zagroŜenia, co ze zwykłymi ciasteczkami. LSO są jednak o wiele bardziej podstępne, gdyŜ:
10

• • • • Skrót:

przeglądarki (domyślnie) nie umoŜliwiają ich usuwania. nie mają okresu waŜności (są przechowywane bez ograniczeń). mogą przechować znacznie więcej informacji niŜ zwykłe ciasteczka. miejsce ich przechowywania sprawia, Ŝe mogą posłuŜyć do śledzenia nawet jeśli uŜywasz róŜnych przeglądarek.

Narzędzia → BetterPrivacy

Konfiguracja: Zakładka LSO Manager: Po instalacji rozszerzenia sprawdź, jakie LSO do tej pory uzbierałeś. Tu moŜesz teŜ usunąć wszystkie lub wybrane LSO. Co równieŜ waŜne, moŜesz zabezpieczyć wybrane LSO przed usuwaniem (Prevent automatic LSO deletion), jeśli zajdzie taka konieczność. Zakładka Options & Help: Delete Flash cookies on Firefox exit – LSO będą usuwane podczas zamykania przeglądarki. Always ask – zaznacz jeśli chcesz potwierdzać usuwanie LSO. Delete Flash cookies on application start – czasem przeglądarka moŜe się zamknąć niepoprawnie, LSO będą więc dodatkowo usuwane takŜe podczas jej uruchamiania. Also delete Flashplayer default cookies – będzie usuwany plik zawierający ustawienia Flash playera a takŜe listę odwiedzonych stron zawierających elementy Flasha. Auto-delete DOMStorage file – będą usuwane specjalne pliki o duŜych rozmiarach, które mogą przechowywać dane z wielu stron. Disable Ping Tracking – wyłącza moŜliwość śledzenia Twoich działań. Uwagi: JeŜeli w profilu wyłączyłeś na stałe wtyczkę Flasha, to nie musisz instalować tego rozszerzenia. Wystarczy jeśli będziesz miał to rozszerzenie w podstawowym profilu, a LSO będą usuwane podczas uruchamiania i zamykania Firefoksa z takim profilem.

11

Link Status
https://addons.mozilla.org/pl/firefox/addon/12312 Jak pewnie zauwaŜyłeś odnośniki do odwiedzonych przez Ciebie stron wyglądają inaczej. MoŜe to być inny styl (kolor, podkreślenie, pogrubienie itp.) lub jakaś dodatkowa ikonka. Na tej podstawie moŜna sprawdzić czy odwiedziłeś konkretny adres. Wszystko to moŜe dziać się w tle i bez przeładowania strony – podobnie jak to ma miejsce w wyszukiwarkach, gdzie w miarę wpisywania kolejnych liter zapytania pojawia się lista z pasującymi podpowiedziami – a więc jest niezauwaŜalne. W ciągu sekundy moŜna w ten sposób zweryfikować nawet kilka tysięcy adresów. Jest jednak jedno ograniczenie: JavaScript musi być włączony. Ale niektóre strony mogą nie działać bez niego poprawnie i być moŜe zezwolisz na wykonywanie go. To rozszerzenie zabezpieczy Cię wtedy – odnośniki nie będą wyróŜniane, ale po najechaniu na nie myszą zobaczysz na pasku stanu datę ostatnich odwiedzin strony. Na stronie http://whattheinternetknowsaboutyou.com moŜesz przetestować ten mechanizm w praktyce – sprawdź przed i po instalacji rozszerzenia. Konfiguracja: Show last visited date – dodaje datę ostatnich odwiedzin. Disabled visited link styling – wyłącza wyróŜnianie linków.

User Agent Switcher
https://addons.mozilla.org/pl/firefox/addon/59 KaŜda przeglądarka (w ogóle program, który korzysta z internetu) domyślnie określa swoją toŜsamość. SłuŜy do tego tzw. user agent, który zawiera m. in. nazwę oraz wersję przeglądarki. Wykorzystywany jest w celach statystycznych – właściciel strony moŜe sprawdzić np. jaki procent uŜytkowników korzysta jeszcze ze starej wersji Internet Explorera. Niektóre strony (zazwyczaj te gorzej wykonane) działają poprawnie tylko jeśli przeglądarka zidentyfikuje się jako Internet Explorer. Inaczej przedstawia się równieŜ bot Google, kiedy indeksuje strony. Jak to jednak często bywa, równieŜ user agent moŜe zostać wykorzystany w niecnych celach, tzn. do śledzenia (odróŜniania) uŜytkowników, zwłaszcza w połączeniu z innymi informacjami. Na szczęście JonDo podmienia toŜsamość przeglądarki, tak Ŝe wygląda na to, Ŝe wszyscy uŜytkownicy sieci JonDonym korzystają dokładnie z tej samej przeglądarki (i w tej samej wersji). Podmiana dotyczy jednak tylko nagłówków HTTP – znacznie dokładniejsze informacje moŜna uzyskać teŜ przez JavaScript. To rozszerzenie pozwoli ujednolicić toŜsamość przeglądarki. MoŜesz sprawdzić na stronie http://browserspy.dk/useragent.php czy informacje o toŜsamości pobranej z nagłówków HTTP są zgodne z tymi pobranymi przez JavaScript (zrób to przed oraz po instalacji rozszerzenia i zmianie informacji o toŜsamości przeglądarki). Na stronie http://www.useragentstring.com moŜesz dowiedzieć się jakie konkretnie informacje moŜna odczytać z user agenta. Skrót: Narzędzia → Default User Agent (lub opis wybranego agenta) → toŜsamość z listy (zmiana toŜsamości). Narzędzia → Default User Agent (lub opis wybranego agenta) → Edit User Agents ... (opcje). Konfiguracja: Kliknij New pod listą toŜsamości, wybierz z menu polecenie New User Agent a w oknie dialogowym wpisz to, co widać na poniŜszym zrzucie. Dla ułatwienia moŜesz skopiować zawartość dwóch najbardziej rozbudowanych pól: Mozilla/5.0 (en-US; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 5.0 (Windows; en-US) Uwagi: Wprawdzie proxy JonDo modyfikuje pole User Agent, ale nie dotyczy to bezpiecznych połączeń HTTPS (patrz niŜej: JonDo a HTTPS), dlatego powinieneś zainstalować to rozszerzenie równieŜ jeśli korzystasz z proxy. W nowszych wersjach JonDo user agent moŜe zostać zaktualizowany. Jeśli, tak jak radziłem, ustawiłeś odpowiednią stronę startową, to zauwaŜysz zmianę. Powinieneś wtedy zmienić ustawienia rozszerzenia. Z pewnych względów podczas zamykania przeglądarki przywracany jest domyślny (prawdziwy) user agent. Nie zapomnij więc wybrać odpowiedniej toŜsamości po uruchomieniu profilu.
12

RefControl
https://addons.mozilla.org/pl/firefox/addon/953 Protokół HTTP przewiduje w nagłówkach równieŜ pole, które pozwala określić z jakiej strony nastąpiło przekierowanie na obecną stronę (albo odwołanie do jakiegoś zasobu, np. obrazka) – czyli np. jeśli na stronie A kliknąłeś link do strony B, to strona B będzie wiedzieć, Ŝe przeszedłeś na nią ze strony A (pełny adres, a nie tylko nazwa domeny). Jest kilka zastosowań takiego mechanizmu. Jednym z nich jest blokowanie tzw. głębokiego linkowania, najczęściej do konkretnych obrazków. Jeśli serwer wykryje, Ŝe przejście nie nastąpiło z jego podstrony, to albo zablokuje dostęp do takiego obrazka, albo zwróci obrazek z tekstem „Hot linking not allowed!” (głębokie linkowanie zabronione) lub podobnym. Innym sposobem na wykorzystanie takich informacji jest śledzenie aktywności uŜytkownika: ze strony A przeszedłeś na stronę B, z niej na stronę C (i kiedy to nastąpiło) itd. To moŜe pomóc w ustaleniu Twojego profilu (najczęściej w celach reklamowych) a nawet dość precyzyjnie zidentyfikować (w połączeniu z innymi informacjami). Skrót:
Narzędzia → Opcje RefControl

Konfiguracja: W dolnej części okna widoczne jest Zachowanie domyślne. Kliknij Edytuj a w kolejnym oknie dialogowym wybierz akcję Oszukany – wyślij stronę główną. Od tej pory przekierowanie będzie wskazywać zawsze na stronę główną. Uwagi: Wprawdzie proxy JonDo ustawia pole przekierowania na stronę główną, ale nie dotyczy to bezpiecznych połączeń HTTPS (patrz niŜej: JonDo a HTTPS), dlatego powinieneś zainstalować to rozszerzenie równieŜ jeśli korzystasz z proxy.

Flagfox
https://addons.mozilla.org/pl/firefox/addon/5791 Rozszerzenie dodaje (domyślnie po prawej stronie paska adresu) ikonkę flagi kraju, na terenie którego znajduje się serwer. Jeśli klikniesz na nią prawym przyciskiem myszy, będziesz mógł łatwo wykonać kilka przydatnych czynności, takich jak: sprawdzenie WhoIs (kto zarejestrował domenę), tłumaczenie przez Google, pobranie adresu IP, pingowanie (sprawdzenie czasu reakcji strony). Konfiguracja: Domyślna konfiguracja jest wystarczająca. MoŜesz jednak włączyć dodatkowe lub dodać własne akcje do menu kontekstowego. Uwagi: To rozszerzenie nie jest konieczne, ale bywa przydatne.

13

JonDo a HTTPS
JonDo nie moŜe modyfikować nagłówków dla bezpiecznych połączeń (HTTPS). Wynika to z prostego faktu, Ŝe szyfrowanie i deszyfrowanie takich połączeń odbywa się w przeglądarce a JonDo przechwytuje zaszyfrowane połączenie (szyfrowanie przez proxy przebiega osobno, na wyŜszym poziomie). MoŜesz to sprawdzić, korzystając z proxy, na stronie https://anonymous-proxy-servers.net/en/anontest (kilka pół powinno być oznaczonych kolorem czerwonym). MoŜe to w pewnych przypadkach ułatwić rozróŜnienie poszczególnych uŜytkowników proxy a więc stanowi zagroŜenie dla anonimowości (dlatego tak waŜne jest, aby wszyscy uŜytkownicy sieci JonDonym na zewnątrz widoczni byli jako jedna osoba – ten sam adres IP dla kaskady, te same nagłówki itp.). Pola referer i user agent będą zmieniane przez rozszerzenia RefControl i User Agent Switcher, wartości dla innych pól określimy w zaawansowanych ustawieniach przeglądarki. Wpisz jako adres strony about:config, zatwierdź ostrzeŜenie. W polu Filtr wpisz nazwę opcji, kliknij dwukrotnie na liście i wpisz odpowiednią wartość, według poniŜszej tabeli.
Nazwa network.http.accept.default intl.charset.default intl.accept_languages Wartość */* brak (pusta wartość) en

OdświeŜ stronę – teraz Ŝadne pole nie powinno być oznaczone na czerwono.

5. OBSŁUGA POCZTY ELEKTRONICZNEJ
Z podobnych, co w przypadku przeglądarki internetowej, powodów jako program pocztowy polecam Mozilla Thunderbird (http://www.mozillamessaging.com/pl/thunderbird). Oczywiście moŜesz teŜ korzystać z poczty przez przeglądarkę internetową, dzięki czemu masz dostęp do niej z kaŜdego miejsca, jednak pod innymi względami jest to znacznie mniej wygodne rozwiązanie. Informacje jak skonfigurować konto pocztowe w Thunderbirdzie znajdziesz na stronach internetowych wybranego dostawcy poczty elektronicznej. Jak juŜ wiesz, niezaszyfrowane dane przesyłane siecią mogą zostać przechwycone (podejrzane) w wielu miejscach. Jednak w przypadku poczty elektronicznej sytuacja jest nieco bardziej skomplikowana. Nawet korzystanie z proxy i bezpiecznego połączenia niewiele pomoŜe. Po opuszczeniu serwera pocztowego wiadomość jest bowiem przesyłana w niezaszyfrowanej, łatwej do odczytania, postaci do innych serwerów pocztowych. I dopiero z którymś z nich połączy się adresat wiadomości i ją odbierze. Wysyłając maila chcielibyśmy, Ŝeby przypominało to wysyłanie listu poleconego w zapieczętowanej kopercie, w rzeczywistości jednak przypomina wysyłanie pocztówki, z treścią której moŜe zapoznać się listonosz, pracownik sortowni albo wścibski sąsiad (o panach, co to poczucia humoru w ogóle nie mają, nie wspominając). Uznano to za powaŜny problem i juŜ prawie 20 lat temu pojawiło się pierwsze jego rozwiązanie – PGP (Pretty Good Privacy – całkiem niezła prywatność) – które pozwalało na szyfrowanie i podpisywanie maili, a nieco ponad 10 lat temu opracowano standard OpenPGP. Dzisiaj jednak wciąŜ mało osób, zwłaszcza z grupy tzw. przeciętnych uŜytkowników, szyfruje pocztę. MoŜesz zapytać: dlaczego tak jest? Wpływa na to kilka czynników. DuŜo osób myśli, Ŝe ich maile są bezpieczne (przecieŜ Ŝyjemy w XXI wieku, mamy demokrację, wolność słowa i takie tam ...), inni moŜe nawet wiedzą o niebezpieczeństwie, ale z poczty korzystają przez przeglądarkę – co trochę utrudnia obsługę wiadomości szyfrowanych – a moŜe im się po prostu nie chce lub wydaje się to skomplikowane albo w ogóle im to nie przeszkadza (w końcu pocztówki nadal są dość popularne). Poza tym, zarówno nadawca jak i odbiorca muszą być odpowiednio przygotowani.
14

Zanim przejdziemy do meritum, omówię Ci krótko zasadniczy podział metod szyfrowania. Metody symetryczne to takie metody, które zarówno do zaszyfrowania, jak i odszyfrowania informacji stosują ten sam klucz (zwany teŜ hasłem). Kiedy chcesz zaszyfrować archiwum, wtedy właśnie stosujesz jedną z metod symetrycznych. JeŜeli chciałbyś komuś przekazać takie archiwum, to musisz mu równieŜ przekazać właściwe hasło – i tu powstaje problem. śeby go rozwiązać powinieneś przesłać archiwum oraz hasło róŜnymi kanałami komunikacyjnymi (np. archiwum mailem a hasło SMS-em). A teraz wyobraź sobie, Ŝe szyfrujesz archiwum w taki sposób, Ŝe przesyłasz je mailem bez podawania Ŝadnego hasła, a jednocześnie nikt poza uprawnionym odbiorcą nie jest w stanie zapoznać się z jego zawartością. Zapytasz pewnie: jak to moŜliwe? To jest właśnie magia metod asymetrycznych, które zyskały popularność dzięki PGP. Zwane są one teŜ metodami klucza publicznego, gdyŜ wykorzystują parę kluczy: klucz prywatny i – właśnie – klucz publiczny. Klucz publiczny słuŜy do zaszyfrowania informacji a klucz prywatny do jej odszyfrowania. Prześledźmy to na przykładzie. Adam posiada parę kluczy: A_pub (klucz publiczny), A_prv (klucz prywatny). Ewa odpowiednio: E_pub oraz E_prv. Dodatkowo Adam i Ewa wymienili się swoimi kluczami publicznymi. Kiedy Adam chce wysłać zaszyfrowaną wiadomość Ewie, uŜywa klucza E_pub. Kiedy Ewa odbiera taką wiadomość, deszyfruje ją kluczem E_prv. Kiedy Ewa chce odpisać Adamowi, wysyła wiadomość zaszyfrowaną kluczem A_pub, a Adam po odebraniu deszyfruje ją kluczem A_prv. Metody asymetryczne nazywane są metodami klucza publicznego dlatego, Ŝe zazwyczaj będziesz mieć jeden (własny) klucz prywatny (i publiczny do pary) oraz wiele kluczy publicznych innych osób. Klucz prywatny musisz chronić przed innymi, klucz publiczny powinieneś ... rozdawać na lewo i prawo. Do szyfrowania wiadomości będziemy wykorzystywać GnuPG – darmową i otwartą wersję zgodną ze standardem (wspomniane PGP jest od dawna programem komercyjnym). GnuPG moŜesz ściągnąć ze strony: http://www.gnupg.org/download/index.en.html (odszukaj tekst compiled for Microsoft Windows). Odpowiednią integrację z Thunderbirdem zapewni rozszerzenie Enigmail dostępne pod adresem: http://enigmail.mozdev.org/download/index.php (wybierz system operacyjny oraz wersję Thunderbirda). Ściągnij teŜ polskie tłumaczenie (http://enigmail.mozdev.org/download/langpack.php) oraz podręcznik (http://enigmail.mozdev.org/documentation/handbook.php) w formacie PDF (tylko po angielsku). Rozszerzenie Enigmail i jego tłumaczenie zainstalujesz w oknie zarządzania dodatkami (polecenie Narzędzia → Dodatki), na karcie Rozszerzenia – przeciągając pliki bądź teŜ klikając Zainstaluj... i wskazując je. Teraz zajmiemy się kluczami. Wybierz polecenie OpenPGP → Zarządzanie kluczami. Jeśli pojawi się kreator, wybierz samodzielną konfigurację. W oknie Zarządzanie kluczami OpenPGP wybierz polecenie Generowanie → Nowa para kluczy. W oknie Generowanie klucza OpenPGP, widocznym na zrzucie poniŜej, musisz wykonać kilka czynności: ID konta / uŜytkownika: wybierz z listy konto, do którego chcesz przypisać parę kluczy. Zaznacz teŜ pole UŜyj wygenerowanego klucza dla tej toŜsamości. Hasło: klucz prywatny jest na tyle istotny, Ŝe przy jego uŜyciu musisz wprowadzać hasło. Lepiej dobrze je zapamiętaj, bo jeśli zapomnisz hasło, to klucz będzie bezuŜyteczny – m. in. nie będziesz mógł odczytać zaszyfrowanych maili. MoŜesz teŜ zrezygnować z hasła (pole Brak hasła), ale lepiej tego nie rób – hasło stanowi dodatkowe zabezpieczenie, na wypadek gdyby ktoś przechwycił klucz. Komentarz: nie jest obowiązkowy, a to co tu wpiszesz będzie widoczne takŜe dla innych (w kluczu publicznym). WaŜność klucza: na tej zakładce moŜesz określić jak długo klucz będzie waŜny. Po przekroczeniu okresu waŜności inne osoby nie będą mogły wysyłać do Ciebie wiadomości zaszyfrowanych takim kluczem publicznym, ale nadal będziesz mógł odszyfrowywać wiadomości kluczem prywatnym. Zalecana jest waŜność od 1 roku do 2 lat. MoŜesz teŜ określić, Ŝe klucz będzie waŜny bezterminowo (pole Klucz nigdy nie traci waŜności), ale odradzam. Zaawansowane: na tej zakładce moŜesz wybrać rozmiar klucza oraz jego typ (RSA). Im większy rozmiar klucza, tym jest on bezpieczniejszy (przy czym nawet najmniejszy – 1024 – oferuje wysoki stopień bezpieczeństwa) i jednocześnie (de)szyfrowanie dłuŜej trwa. Domyślny rozmiar

15

to 2048, moŜesz teŜ wybrać 4096. Polecam wybrać rozmiar nie mniejszy niŜ 2048.
Dygresja: Klucz o większym rozmiarze jest bezpieczniejszy w tym sensie, Ŝe potrzeba więcej czasu, aby go „złamać”, tzn. odtworzyć klucz prywatny. MoŜna to zrobić, podobnie jak w przypadku zwykłych haseł, tzw. metodą brute-force, czyli sprawdzając po kolei wszystkie moŜliwe kombinacje. Na szczęście tych kombinacji jest bardzo duŜo. W przypadku klucza o rozmiarze 768, pojedynczy komputer potrzebowałby ok. 1000 lat (sic!). Ale juŜ odpowiednio duŜa sieć szybkich komputerów moŜe zredukować ten czas do kilku dni. Dlatego teŜ z czasem po prostu zwiększa się rozmiar kluczy – dzisiaj nie stosuje się powszechnie kluczy o rozmiarze mniejszym niŜ 1024.

Kliknij Wygeneruj klucz. Potrwa to ok. 1 minuty, po czym zostanie Ci zaproponowane wygenerowanie tzw. certyfikatu uniewaŜniającego. Przyda się, kiedy z jakiegoś powodu zechcesz uniewaŜnić swój klucz publiczny (np. zgubiłeś klucz prywatny albo ktoś inny wszedł w jego posiadanie) – wtedy wysyłasz certyfikat i nowy klucz. Dlatego teŜ lepiej trzymać go w innym miejscu niŜ klucz prywatny i publiczny.

Po wygenerowaniu kluczy powrócisz do okna zarządzania kluczami. W tym oknie będziesz przeglądać, importować i eksportować klucze. Zaznacz pole PokaŜ wszystkie klucze domyślnie. Powinieneś zobaczyć swoją parę kluczy oraz m. in. identyfikator (ID) – 8 znaków (cyfry i liczby) – który dodatkowo odróŜnia klucze. Dobrym zwyczajem jest weryfikacja identyfikatorów zaimportowanych kluczy publicznych – oczywiście innym kanałem komunikacyjnym (przez telefon, SMS-em lub osobiście) niŜ zostały uzyskane. Zaznacz klucze i od razu wyeksportuj je poleceniem Plik → Eksportuj klucze do pliku. Pojawi się ostrzeŜenie, kliknij Eksportuj klucze prywatne, aby wyeksportować oba klucze. Następnie powtórz czynność, ale tym razem wybierz Eksportuj tylko klucze publiczne, wtedy w pliku zostanie zapisany tylko klucz publiczny (i tylko ten plik moŜesz rozpowszechniać). Przechowuj pliki w bezpiecznym miejscu. Otwórz jeden z wyeksportowanych przed chwilą plików w notatniku. Klucz publiczny wygląda mniej więcej tak (prywatny wygląda podobnie, tylko zamiast PUBLIC KEY jest PRIVATE KEY, poza tym jest dłuŜszy):
-----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v1.4.10 (MingW32) BgkQW9ZL4CEGFAk+N2cECBECAeIyGo9i4tRGlPCyIBTGy2bRL+E8A9GvwFCQlmAY // ... kilkadziesiąt podobnych linii ... -----END PGP PUBLIC KEY BLOCK-----

16

JeŜeli chcesz zaimportować klucz, wybierz polecenie Plik → Importuj klucze z pliku. Czasem ktoś zamieszcza klucz publiczny na stronie jako tekst a nie jako plik do pobrania. MoŜesz wtedy skopiować go (w całości, łącznie z liniami zaczynającymi się -----) i dodać poleceniem Edycja → Importuj klucze ze schowka. Jeśli ktoś przyśle Ci klucz jako załącznik (plik *.asc.pgp), z menu kontekstowego wybierz polecenie Importuj klucz OpenPGP. Wiesz juŜ wystarczająco duŜo, aby zacząć wysyłać wiadomości. Jeszcze tylko jedna uwaga. Początkowo standard OpenPGP przewidywał, Ŝe wiadomości będą nieformatowane. Dopiero później rozszerzono go m. in. o obsługę formatowania (HTML). Niektóre programy pocztowe (np. Opera, Outlook) wciąŜ mają problem lub w ogóle nie obsługują rozszerzonej wersji standardu. Dlatego teŜ na początku zajmiemy się tylko zwykłymi wiadomościami tekstowymi. Klikając Napisz przytrzymaj klawisz Shift. Jeśli zapomnisz o tym, wybierz polecenie Opcje → Wyślij wiadomość jako → Tylko tekst. śeby wysłać do kogoś zaszyfrowaną wiadomość, potrzebujesz klucza publicznego tej osoby. Ale moŜesz teŜ wysłać wiadomość do siebie. Poza tym, najpierw wyślemy podpisaną wiadomość a do tego nie jest potrzebny klucz publiczny. Co to jest podpisywanie wiadomości i dlaczego nie jest do tego wymagany klucz publiczny adresata? Dzięki podpisaniu wiadomości jej odbiorca moŜe zweryfikować, czy wiadomość została wysłana naprawdę przez Ciebie oraz czy nie została przez kogoś zmodyfikowana, zanim do niego dotarła. Podpis wiadomości – tzw. odcisk – jest generowany z wykorzystaniem Twojego klucza prywatnego. Podpisując wiadomość informujesz: to ja napisałem tę wiadomość i o takiej właśnie treści. JeŜeli odbiorcy nie uda się zweryfikować Twoim kluczem publicznym podpisanej przez Ciebie wiadomości, będzie wiedział, Ŝe albo to nie Ty wysłałeś mu wiadomość, albo po drodze została zmodyfikowana – tak czy inaczej wiadomość jest podejrzana. Kliknij Napisz, w polu Do wpisz swój adres, wpisz teŜ jakiś temat i treść. Teraz wybierz polecenie OpenPGP → Wyślij z podpisem (w prawym dolnym rogu okna podświetli się ikonka z długopisem). Kliknij Wyślij, w oknie wpisz hasło, które ustaliłeś podczas generowania klucza publicznego. Zaloguj się teraz na pocztę przez przeglądarkę i przejdź do maila, którego wysłałeś. Powinieneś zobaczyć mniej więcej coś takiego:
-----BEGIN PGP SIGNED MESSAGE----Hash: SHA1 // ... Jawna treść wiadomości ... -----BEGIN PGP SIGNATURE----Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ // ... Odcisk wiadomości, w wyglądzie // podobny do klucza publicznego (ale znacznie krótszy) ... -----END PGP SIGNATURE-----

Linia zawierająca słowo SIGNED informuje, Ŝe wiadomość jest podpisana. Linia zawierająca słowo Hash informuje jaki algorytm zastosować do weryfikacji podpisu. Linia zawierająca słowo SIGNATURE rozpoczyna i kończy podpis (sygnaturę) wiadomości. ZauwaŜ, Ŝe treść wiadomości jest jawna. Pobierz teraz wiadomość w Thunderbirdzie. Powinieneś zobaczyć tylko ten tekst, który napisałeś. Jednak teraz nad tematem pojawi się dodatkowy pasek z informacją o podpisie. Na zielonym tle – które oznacza, Ŝe weryfikacja podpisu powiodła się – zobaczysz napis: Prawidłowy podpis od <Twój mail>. Napisz jeszcze raz takiego samego maila, ale dodatkowo wybierz polecenie OpenPGP → Wyślij z szyfrowaniem (w prawym dolnym rogu okna powinna podświetlić się ikonka klucza). Podczas wysyłania wiadomość zostanie zaszyfrowana kluczem publicznym wybranym według adresu odbiorcy. Sprawdź ponownie wiadomość przez przeglądarkę. Teraz nie będzie juŜ ona zawierać jawnej treści, nie będzie teŜ widoczna informacja o podpisie.

17

-----BEGIN PGP MESSAGE----Charset: UTF-8 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ // ... Zaszyfrowana treść wiadomości, // w wyglądzie podobna do klucza publicznego ... -----END PGP MESSAGE-----

Dzięki szyfrowaniu tylko Ty i adresat będziecie mogli odczytać faktyczną treść wiadomości, dla osób postronnych będzie widoczny jakiś bełkot. Pobierz wiadomość w Thunderbirdzie. Znowu powinna wyglądać tak, jak ją napisałeś, ale tym razem w polu nad tematem, na zielonym tle, zobaczysz napis: Odszyfrowana wiadomość; Prawidłowy podpis od <Twój mail>. Dygresja: Od strony technicznej szyfrowanie wiadomości przebiega w następujący sposób. Losowane jest hasło a następnie treść wiadomości jest szyfrowana metodą symetryczną. Później dla kaŜdego adresata hasło jest szyfrowane z uŜyciem jego klucza publicznego i umieszczane w specjalnym bloku. Dzięki temu, mimo Ŝe wysyłasz zaszyfrowaną wiadomość do innej osoby, to moŜesz odszyfrować ją równieŜ swoim kluczem prywatnym. UmoŜliwia to równieŜ wysłanie zaszyfrowanej wiadomości do wielu odbiorców jednocześnie (jeśli masz ich klucze publiczne) bez niepotrzebnego zwiększania rozmiaru wiadomości. Ale uwaga, w takim przypadku nie działa mechanizm ukrytej kopii – w wiadomości zawarte są informacje o kluczach i adresach wszystkich odbiorców. Musisz pamiętać, Ŝe szyfrowana jest wyłącznie treść maila. Wszystkie tzw. nagłówki – lista odbiorców, temat itp. – będą zawsze przesyłane w jawnej postaci. Oznacza to, Ŝe jeśli wysyłasz zaszyfrowaną wiadomość, to w temacie nie powinieneś umieszczać Ŝadnych poufnych informacji. Czas na wysłanie zaszyfrowanej wiadomości zawierającej załączniki. Jeszcze raz napisz takiego samego maila. Dodaj jakiś załącznik – przeciągnij plik na obszar listy odbiorców lub wybierz polecenie Plik → Załącz → Plik.... Dodatkowo wybierz polecenie OpenPGP → Załącz mój klucz publiczny, co spowoduje dodanie Twojego klucza publicznego jako załącznika podczas wysyłania. JeŜeli klikniesz Wyślij, to powinno pojawić się okno, w którym będziesz musiał zdecydować, co się stanie z załącznikami. Są trzy moŜliwości: • załączniki nie będą szyfrowane, • załączniki będą szyfrowane, ale będą widoczne jako osobne pliki (wraz z nazwami), • załączniki zostaną zaszyfrowane i razem z treścią wiadomości umieszczone w jednym pliku. Ostatni wariant jest najlepszy, dlatego Ŝe obsługuje teŜ wiadomości formatowane (HTML) – jest zgodny z rozszerzoną wersją standardu OpenPGP (PGP/MIME), tym samym jednak niektóre programy mogą mieć problem z takimi wiadomościami. Skoro juŜ jesteśmy przy rozszerzonej wersji standardu – jeśli chcesz wysłać wiadomość formatowaną (HTML), niekoniecznie z załącznikami, to musisz przed wysłaniem wybrać polecenie OpenPGP → UŜyj PGP/MIME w tej wiadomości. Na koniec jeszcze mała porada. Jeśli chcesz, Ŝeby kaŜda wysyłana przez Ciebie wiadomość była domyślnie podpisywana, szyfrowana lub wykorzystywała PGP/MIME, moŜesz to określić w opcjach. Wybierz polecenie Narzędzia → Konfiguracja kont ..., następnie przejdź do grupy OpenPGP konta, któremu przypisałeś klucze (patrz zrzut poniŜej). W tym miejscu moŜesz równieŜ włączyć obsługę OpenPGP dla innego konta i przypisać mu posiadaną juŜ parę kluczy – więcej niŜ jedno konto moŜe mieć przydzieloną identyczną parę kluczy. Zanim przystąpisz do wymiany maili z innymi osobami, moŜesz jeszcze trochę poćwiczyć korespondując z Adelą – automatem który potrafi odpowiadać na podpisane lub zaszyfrowane maile. Najpierw wyślij jej zwykłego maila na adres adele-en@gnupp.de a otrzymasz klucz publiczny.

18

To juŜ w zasadzie wszystko, co powinieneś wiedzieć w kwestii szyfrowania poczty. Jest jeszcze kilka zagadnień, ale nie są one aŜ tak istotne jak te, które Ci przedstawiłem. Jeśli jednak jesteś ciekawy, zajrzyj do instrukcji Enigmaila. W kaŜdym razie posiadasz juŜ niezbędną wiedzę, aby stosować w praktyce szyfrowanie maili. Od tej pory nie będziesz juŜ mieć wymówki! Problem prywatności w kontekście poczty elektronicznej mamy juŜ rozwiązany. Pozostaje nam jeszcze problem anonimowości. Nie jest on tak waŜny, jak w przypadku przeglądania stron internetowych, bo maile zawsze wysyłasz z konkretnego adresu, który w jakiś sposób Cię identyfikuje. Z drugiej jednak strony, w internecie obowiązuje zasada ograniczonego zaufania a niektóre środowiska lub grupy są infiltrowane przez róŜnych konfidentów i innych szpicli, moŜesz więc zechcieć ukryć swój prawdziwy adres IP korzystając z proxy. Jednak w związku z tym, Ŝe korzystanie z proxy JonDonym w innym programie niŜ przeglądarka nie jest darmowe, proponuję Ci inne rozwiązanie. Szyfrowane maile wymieniaj nadal przez program pocztowy z osobami, z którymi juŜ korespondowałeś i ufasz im. Dodatkowo załóŜ sobie nowe konto pocztowe, najlepiej u jakiegoś zagranicznego dostawcy ( Dygresja:
nie polecam Gmaila, chyba Ŝe cała korespondencja wraz załącznikami będzie szyfrowana, ale to nie będzie fair! Bo Wujek Gugiel daje Ci od serca, za darmo, pojemną skrzynkę pocztową bez spamu i doklejania reklam, a Ty – niewdzięczniku jeden – nie chcesz w zamian pozwolić, Ŝeby sobie trochę poprzeglądał Twoje maile? PrzecieŜ „To Dla Twojego Dobra” ™ – Ŝebyś nie musiał oglądać reklam, które Cię nie zainteresują i Ŝebyś przypadkiem nie wysłał albo nie odebrał jakiegoś programu, bo moŜe zawierać wirusy. Wujek Gugiel w gruncie rzeczy jest porządny – dlatego często radzi: „Nie bądź zły!” ™ – gdzie mu tam w głowie budowanie Twojego profilu osobowościowego, czy łączenie go z Twoimi zapytaniami w wyszukiwarce, którą – swoją drogą – teŜ Ci za darmo udostępnia... ).

Z tego konta będziesz korzystał przez przeglądarkę – nie jest to tak wygodne, jak w przypadku programu pocztowego, ale prawdopodobnie nie będziesz zbyt często tego robił. Musisz jednak zachować dyscyplinę – będziesz się zawsze logować na takie konto korzystając z proxy, zaczynając juŜ od momentu tworzenia konta (chyba nie muszę przypominać, Ŝe prawdziwych danych osobowych się nie podaje?). Z tego samego powodu nie powinieneś uŜywać proxy dla korzystania z usług i serwisów, do których dotąd logowałeś się „zwyczajnie”. Po pierwsze: i tak pewnie zostawiłeś sporo śladów, które mogą Cię zidentyfikować. Po drugie: mogłoby to ułatwić identyfikację w przypadku nowych usług i serwisów, do których zawsze będziesz się logować uŜywając proxy. Zainstaluj w profilu Firefoksa, w którym masz skonfigurowane proxy, rozszerzenie FireGPG (https://addons.mozilla.org/pl/firefox/addon/4645). Jest to odpowiednik (prostszy) Enigmaila, który pozwala na łatwe (de)szyfrowanie tekstu w przeglądarce. Po restarcie przeglądarki pojawi się asystent ustawień FireGPG. W jednym z kroków będziesz mógł wskazać domyślny klucz prywatny (wszystkie klucze, jakie do tej pory zgromadziłeś, będą dostępne równieŜ dla FireGPG) lub wybrać opcję Podaj klucz prywatny – wtedy za kaŜdym razem będziesz musiał go wskazać (co jest przydatne, jeśli planujesz obsługiwać w ten sposób więcej niŜ jedno konto pocztowe). W kolejnym kroku wyłącz wtyczkę Gmaila (i tak nie będzie działać). W kroku Opcje odznacz wszystkie pola, poza Enable inline detection. Zaloguj się teraz na utworzone konto pocztowe przez przeglądarkę. Napisz nową wiadomość (upewnij się Ŝe jest ona nieformatowana – PGP/MIME nie jest obsługiwane). Wpisz jakąś treść, zaznacz ją, kliknij
19

prawy przycisk i wybierz polecenie FireGPG → Podpisz i zaszyfruj (lub Zaszyfruj). WskaŜ klucz publiczny adresata, a następnie własny klucz prywatny (jeśli wybrałeś szyfrowanie z podpisem i nie określiłeś domyślnego klucza prywatnego), wpisz hasło i zatwierdź. Tekst zostanie zaszyfrowany. MoŜesz teŜ dodać zaszyfrowane pliki. Wybierz polecenie Narzędzia → FireGPG → Pliki → Zaszyfruj. WskaŜ plik, który chcesz zaszyfrować, i jako nazwę nowego pliku wpisz StaraNazwaWrazZRozszerzeniem.asc, dzięki temu ktoś, kto odbierze wiadomość w programie pocztowym nie będzie miał problemów z odszyfrowaniem takiego załącznika. WskaŜ klucz publiczny odbiorcy, dołącz zaszyfrowany plik i wyślij wiadomość. JeŜeli wskazujesz klucze publiczne odbiorców, to nie zapomnij zaznaczyć równieŜ własnego klucza publicznego – w przeciwnym razie nie będziesz mógł odczytać zapisanej zaszyfrowanej wiadomości (Enigmail sam o to dba). O ile szyfrowanie było proste, to deszyfrowanie jest ... jeszcze łatwiejsze. FireGPG sprawdza zawartość strony pod kątem wystąpienia zaszyfrowanego tekstu. Jeśli znajdzie taki fragment, zwinie go w specjalny blok, który będzie zawierać skrót do wyświetlenia zaszyfrowanej treści (Display original) oraz do odszyfrowania. Kliknij zatem Odszyfruj, wskaŜ klucz prywatny i podaj hasło a zobaczysz tekst, który napisał nadawca. śeby odszyfrować załącznik, pobierz go na dysk i wybierz polecenie Narzędzia → FireGPG → Pliki → Odszyfruj. Z poziomu FireGPG takŜe moŜesz generować nowe klucze oraz importować je lub eksportować – nie musisz uruchamiać Thunderbirda. Wybierz polecenie Narzędzia → FireGPG → MenedŜer kluczy. W oknie znajduje się lista kluczy oraz kilka przycisków. NajwaŜniejsze z nich to: Import from file, Eksportuj do pliku oraz Nowy klucz. Okno dialogowe tworzenia nowego klucza widoczne jest na zrzucie poniŜej. Jak widzisz, przypomina trochę to z Enigmaila, musisz jednak dodatkowo podać adres email oraz nazwę (co da pełny adres w postaci „Nazwa <email>”) – FireGPG nie wie jaki masz adres, ani nawet do kogo wysyłasz wiadomości, dlatego ciągle musisz wskazywać klucze publiczne (jeśli się pomylisz, odbiorcy nie będą mogli odszyfrować wiadomości).

/Thomas Anderson

20

Sign up to vote on this title
UsefulNot useful