- Регистрация
- 31.12.2019
- Сообщения
- 6,460
- Реакции
- 9
*Под какие тематики попадает моя серия статей? Ну на самом деле даже под несколько, будет и криптография и криминалистика) А вообще это будет как я думаю самый полный русскоязычный гайд по анонимности, чтобы понять как человека найти нужно знать и как спрятаться.
Дисклеймер:
Неужели это очередной гайд от школьника который опять будет втирать мне какую то дич? Нет! Тут будет только концентрированный опыт. Так кому же полезна будет данная статья, ответ достаточно простой. Если ты уже используешь связку qubes + whonix-gw, то в принципе можешь закрыть эту статью. Но тебе все равно стоит прочитать мою заключительную статью где я расскажу про то что будет с нашей анонимностью лет через 10 и как на нее повлияет ИИ(искуственный интеллект), ну и разумеется как от него защититься.
Так в чем отличие моей этой статьи от остальных сотен, а может и тысяч остальных гайдов? Это не очередное «обуыение» по установке ПО, где разве что нужно, так жать «далее». Не будет пересказа документации, читайте ее сами, источники я вам скину. Подход будет систематизированный, да еще и прикрепленный личным опытом. А главное я вам расскажу как самому рабраться в данной теме, а не платить людям и/или ждать подобных статей. То есть я вам дам не рыбу, а удочку) Но не бойтесь будут и полезные советы, которые стоит начать использовать прямо сейчас, и не требуют никаких усилий. Советую дочитать эту статью до конца, там будут полезные ссылочки.
Все в порядке важности
1. Шифрование диска. Поведение для сохранения анонимности
2. Почему вы просто обязанны перейти на qubes + whonix-gw, анонимная разработка программ
3. Ну о том что через 10-15 лет ожидается изобретения квантового компютера, ИИ для деанонимизации пользователей bitcoin, что еще вполне может делать ИИ для деанонимизации пользователей, как его обманывать, ограничения ИИ
Когда не специалист задумывается об анонимности, то скорее всего начнет действовать по принципу чем больше тем лучше, длинные цепочки прокси, дабл, трипл, квадро впн. Так еще между ними вставит tor. Но вся проблема в том, что это очень часто совсем не помогает, да и когда появятся первые проблемы, с которыми он не сможет справиться за 5 минут, то вероятно такой «хакер» откатиться обратно на винду и хорошо если будет работать через какой нибудь относительно надежный впн.
Но если посмотреть как чаще всего вычисляют людей, то можно заметить, что это не какая то супер секретная разработка от АНБ, не хитрые приемы социальной инженерии, не долгие разработки специальных агентов. А банальная глупость, небрежность, пофигизм и чувство безнаказанность. Так вот, в первой части будет рассказано как с этим бороться. И это будет куда полезнее чем цепочка из 10 vpn->tor->vpn->.
Наверное самое первое, что просто ОБЯЗАН сделать человек, беспокоящейся за свою свободу, это зашифровать систему. И тут уже можно вспомнить пару абсолютно абсурдных, но до сих пор достаточно популярных идеи среди непрофессионалов:
Раз я зашифрую диск, то всем сразу станет ясно что я преступник и меня за это посадят. Ну эта мысль не выдерживает вообще никакой критики, потому что в УК РФ нету статьи за шифрование, так и нету статьи за отказ от предоставления ключа.
Часто еще встречается идея, что шифрование не имеет смысла, потому что потом все равно под пытками ты все выдашь. Ну эта идея хотя бы имеет права на жизнь, но то же не такая уж и умная.
Можно просо рассмотреть ситуацию Как ты можешь увидеть из таблицы, зашифрованный диск в любой ситуации лучше незашифрованного. А во вторых можно настроить систему так, что уничтожив хотя бы пару кбит(например уничтожив microsd), уже никто даже ты не сможет данные получить. И к стати Сноуден так и поступил, и как видите ФСБ его не «запытала», хотя он обладает куда более ценной информацией чем все хакеры вместе взятые. Можете почитать его воспоминания, во время первой вербовки он сразу сказал, что повредил данные так, что их уже никто никогда не сможет расшифровать, и все, от него сразу отстали.
Хорошо, скажешь ты, зашифрую я данные, но зачем мне шифровать весь диск, почему бы не спрятать только секретные файлы? Но это тоже не очень хорошая идея, хотя лучше чем полное отсутствие шифрования. Кроме того что атакующий может сказать какая ОС (а это тоже иногда хорошо бы скрыть)/программы у тебя стоят. Вся проблема в том, что ни одна ОС не разрабатывалась самого начала для анонимности и все они текут. В смысле что все логи отключить не так уж и просто, да и некоторые сторонние приложения (например оконные менеджеры в линуксе), могут записывать имена отрытых программ, сайтов, и хранить многие другие метаданные. Такая система может послужить отличным косвенным доказательством. Да и такая система уязвима перед куда большим количеством атак, например атака «злой горничной».
Это будет тормозить систему, если вы сидите не на нетбуке 10 летней давности то скорее всего не будет, у веракрита есть бенчмарки.
Итог: если ты хотя бы что то хочешь скрыть, шифруй диск полностью. Заметь, что большинство сидит как раз из за того что ничего не шифровали.
Надеюсь я убедил вас использовать полно дисковое шифрование, а теперь я расскажу как это лучше всего сделать. В принципе хитрить с настройками как советовали в статье Хакер, не стоит, добавление 1 нового символа в пароль куда надежнее. Итак для винды используйте veracrypt, AES шифрование, хэш sha-512, pim не трогайте.
Конечно на данный момент это надежно, и никто ничего взломать не сможет. Но если вы разберетесь как это шифрование работает, то поймете, что с каждым годом надежность будет слабеть. Так например если вы в 90-х шифровали диски с рекомендуемой битностью, то сейчас его уже возможно взломать банальным брутфорсом, хотя уязвимостей в алгоритмах шифрования так и не нашили. А диски то будут храниться на складах и ждать своего часа О том как настраивать LUKS можно прочитать тут. Ничего сложного нет, в принципе можно поставить те же настройки что и стоят по умолчанию в veracrypt.
Ладно, наконец то мы с этим справились, и сидим уже на шифрованной системе, ну все теперь уж точно мы в безопасности) Конечно это не так, мы не рассказали о самом важном, о пароле. Вот англоязычная статья, тут подробно рассказано, что такое надежный пароль. То есть нам нужен пароль с «случайностью» 200+ бит, чтобы он был защищен от атак квантовым компьютером. Но как запомнить вот такой «RI:#¤I*¤&âÊÿ®7Ðþç£@õªß.·#·BTäø3Y¹’¦w» пароль спросишь ты, кончено такой пароль запомнить практически невозможно. Однако очень хорошо что есть такая вещь как парольная фраза она будет выглядеть вот так «setting mumble decibel victory pureblood onyx pregnancy swooned elevate relative corroding video amulet bucked underpay curse vitally epidermal emission earthly» И ее уже запомнить гараздо проще, если вы не знаете английский, то можно сгенерировать такую фразу самому, возьми пару книг у себя дома(хорошо бы не электронных), потом с помощью рандомайзера(кубика) выбираешь одну из них. Потом аналогично выбираешь страницу, потом строку, слово (бери то что по длине больше 4 букв, а не местоимения). Повтори эту процедуру 20 раз и у тебя будет супер надежный пароль, главное не используй его больше нигде кроме как ключа от всей системы и смотри чтобы не видел как ты его вводишь.
Так как запомнить такой длинный пароль, на самом деле стоит просто записать его на бумажку(о ужас) и вводить его по ней, через пару недель он сам запомниться. Главное чтобы кроме тебя никто его не увидел, и после этого ты его ее уничтожил(а не просто в выкину в мусорку) 1-1 Предупреждение не снимай его на телефон.
К стати если ты его не запишешь, то 100% сразу забудешь и потеряешь доступ ко всем данным, и придётся заново переустанавливать систему)
В принципе 15+ слов нужно только ради защиты от квантовых компьютеров в принципе пароль в 7-10 слов тоже подойдёт, если ты не беспокоишься что данные всплывут через 10-15 лет. И это конечно в разы лучше чем использовать уже известный тебе пароль или вообще без него. К стати со временем ты запомнишь расположение клавиш и начнешь пароль вводить куда быстрее, на рефлексах.
Что же еще можно сделать чтобы еще лучше защититься? Добавь ключ файл и вынеси загрузочный раздел на sd карту и носи ее всегда собой, это к стати и есть защита от атаки «злой горничной» которая в твое отсутсвтие может с флешки загрузиться в твоем ноутбуке(это не так актуально для стационарных пк) и встроить туда вирус, программным способом украсть твой пароль от шифрования) А защиту от физических кейлогеров практически невозможно защититься с помощью программ. Тут уже нужно думать о физической безопасности, но моя статья не об этом.
В общем я надеюсь ты уже не будешь как вот эти люди, и не сядешь по такой глупой ошибки.
Ну ладно мы рассмотрели то что универсально необходимо вообще всем, но теперь узнаем как все таки не спалиться по глупости как например вот эти люди:
Психология анонимуса
Как я уже заметил, не стоит настраивать систему чем больше защиты тем лучше, везде должна быть баланс. Сложная, неудобная, медленная, но анонимная система, вам когда нибудь надоест. И вы например кода вы вводите опять этот супер длинный, супер надежный пароль, скажете себе, да ладно просто оставлю его включенным. Это ошибка! Тут вам стоит очень серьезно подумать, о том, чтобы сделать пароль покороче, ведь хотя бы какой то пароль, куда лучше никогда не выключаемого компьютера, но с очень надежным. Надо понимать, что брать вас будут не тогда когда вы за пк и ясно мыслите.
Теперь я расскажу про ошибку, которую совершали очень многие причем из совсем не глупых людей. А все просто они использовали одни и те же или схожие(подробнее будет в главе про ИИ) логины и пароли. Так выходили на их аккаунты, на которых они еще не скрывались и вычисляли их. Ведь когда они начинали работать и подумать во что это все выльется. Тут уместно будет напомнить, почему генератор данных(логины, пароли, дата рождения и тд) куда лучше придуманных. Все на самом деле достаточно просто. Сомневаюсь, что вы например укажите свой реальный год рождения, и по сути уже можно сказать что вам точно не X лет. А сгенерировав данные о вас ничего сказать нельзя. Как же запомнить столько разных данных, тут вам на помощь придет keepassxc, очень хороший менеджер паролей. И он нам еще поможет для разделения наших интернет ролей. К стати, вы надеюсь догадываетесь, что использовав один и тот же пароль, пароль вида kakoito_password:maska виден сайту на котором вы реггеструйтесь, и с помощью него можно будет понять, что эти два абсолютно разных аккаунта на самом деле один и тот же человек.
В общем при регистрации используем сгенерированные данные, временные почты, ничего не запоминаем, записываем в keepassxc, по ненадобности УДАЛЯЕМ записи.
Почему так важно разделять интернет роли и рвать социальные графы, мы подробнее поговорим в разделе про ИИ(да опять он).
Совет! Меняйте аккаунты, чем меньше о вас инфы есть о акаунте, тем сложнее его будет связать его с вашим вторым.
Совет! Оставляйте как можно меньше информации, не добовляйте например аватарки
А пока скажем про то что стоит очень жестко делить белый трафик(тот что привязан к вам, вашим немпромитирующих интересов, и то что вы пытаетесь скрыть, вот прям чуть ли не вчера(для меня), появилась новость, просто перепутал почты, и прервалась эта 5 летняя эпопея. Для того это бы такого с вами не случилось, лучше всего физически разделить оборудование для работы и для развлечения(в частности мышки, клавиатуры, мониторы). Если у вас такой возможности нету, то можете поставить qubes os, о которой пойдет реч в следующей главе. Либо работать и развлекаться из под разных OS, или учетных записей, но вам просто категорически противопоказанно использовать одни и те же программы. Так же максимально кастомизируйте эти учетки так, чтобы они вообще друг на друга не походили, меняйте обои, темы и тд.
К стати и тут нам поможет keepassxc, просто разделите эти учетки с помощью разных файлов с паролями, и настройте систему так чтобы нельзя было случайно открыть «не тот». В итоге вы даже помнить не будите свои логины/пароли и поэтому не сможете случайно спалиться.
Готовьтесь к худшему, подготовьтесь к задержанию, узнайте как оно происходит, как себя при нем вести, номер хорошего адвоката, деньги на него. К стати можете, кого-нибудь из них, работающих на какие нибудь фирмы, на которых происходили атаки спросить как происходит захват и анализ техники. Такой информацией будут скорее всего обладать, например антирейдеры.
Очень важно, то что вы иногда читаете, как настроить это приложение для анонимной работы, узнаете что течет dns записи, версия ос, имя учетки из сообщений на форуме. А на самом деле все это написано либо в документации к нему, либо на гитхабе/редите/сайте whinix/ qubes/ riseup и тд.
Не хочу повторяться в общем достаточно грамотно все расписанное уже расписанно тут https://bdf-club.io/threads/pochemu-vpn-govno-a-ne-anonimnost.16980/page-2?bdf=1
Почему же анонимность не по архитектуре так плоха. Просто почитайте новости, единственный что я смогу вспомнить, когда на серверах не оказалось никакой инфы, это почтовый сервер lababit. А сколько новостей, что накрыли очередной сервис и оказалось что он хранит все логи за 10 лет? Да миллион таких случаем, зачем им за тебя сидить, если они логи сольют и их под удо выпустят?
Итог: все услуги в дарк тематике со статистической погрешностью нужно считать за ханипот.(То есть все vpn, vps, акки, джаббер сервера, дебетовые карты, сервисы по обналу, закладки с деньгами(что им мешает запомнить номера купюр, к стати в сша так и делают)) Единственное что может вам пригодиться это абузоустойчивость. Но ни о каком доверии к владельцем серверов испытывать категорически не стоит.
P.S. К стати ни vpn, ни прокси, ни vps, ни что либо еще кроме tor(грубо говоря) не может вам дать анонимности, лишь псеводоанонимность, почему? Просо прочитай определения этих слов.
Раз уж рассказал про коммерческие vpn, хочу вас огорчить, но ваш личный сервер ничем принципиально не лучше(логи у провайдера остаются). + ваш социальных граф построить еще проще.
К стати, а ты читал документацию к tor browser, а спецификацию сети, слышал про фингерпринты трафика сайтов, которые текут даже через тор не говоря уж про vpn/ssh? Нет, а стоило бы. Всегда стоит понимать, хотя бы на самом элементарном уровне как работают те или иные технологии. Это реально начинает помогать, понимаешь чего стоит ожидать, а чего нет.
В общем ЧИТАЙ всю документацию, баг репорты на форумах и тд, что сможешь найти к софту котором ты пользуешься, могут выплать много неприятных сюрпризов, ну и поймешь чего на сам деле происходит с этой программой.
Нубский совет для всех, даже не переживающих за свою анонимность, всегда убирайте галочки с согласием на сбор анонимной статистики (на самом деле это не так, даже если они честно не пишут ваш id). Хотя бы просмотрите основные настройки. Если вы пользуйтесь виндой, нужно вырезать телемитрию Используйте его! Прямо сейчас) Посмотри не делиться ли ваши приложения «анонимной статистикой».
ИСПОЛЬЗУЙТЕ TOR
Один из самых важных советов, все мифы о торе развинчиваются, на их официальном сайте, все статьи сравнивающие vpn с tor заказные не доверяйте им, в них полно бреда. Итог: читай документацию к tor browser и наслаждайся анонимностью.
Ну и теперь чтобы не было обидно что тем кто и так все это знал, парочку коротких советов, после чего я вам скину ссылки откуда стоит брать инфу, откуда узнавать то что там не написано.
*расчитываю что вы работаете на whonix-ws
Анонимные деньги:
Многие уже слышали что bitcoin не анонимен, но так же стоит учесть что его везде принимают, и он гораздо мение подозрителен чем анонимные криптовалюты, с помощью этой схемы например можно оплачивать сервера.
В денежной цепочке обязательно должны быть анонимные криптовалюты, причем после этого деньги не становяться белыми.
zcash лучше чем monero, но у для работы с ним нужно качать около 100 ГБ данных, в общем синхронизация через tor займет не один день, а у монеро есть удаленные ноды, синхронизация достаточно быстрая.
!онлайн кошильки не анонимны, только десктопные приложения ЧИТАЙТЕ ДОКУМЕНТАЦИЮ
Что делать если продавец не принимает monero/zcash, просто закинь ему деньги через обменник комиссия всего около 0.5%
(в качестве вывода просто выбери его кошелек на обменники, и меняй monero/zcash -> all, разумеется без регистрации и через tor с выключенными js).
Таким образов вы будите анонимными, но продавец нет, его можно найти. Он становться слабым звеном, следите о том что он о вас знает.
Настройки tor:
Очень не рекомендуется работать с полностью включёнными js, хотя бы с безопасностью safer, к стати вы знали, что в tor browser время js работает криво, что мешает провести множество атак для определения ваших следов. Так например Кача гугла имеет кучу САМЫХ ПЕРЕДОВЫХ жучков, хотя и слишком беспокоиться не стоит, тор все равно анонимен.
Работа без гаранта:
Если не хотите афишировать гаранта о прохождении сделки, воспользуйтесь залогом денег с двух стторон. https://habr.com/ru/post/245791/
Если вы уже включили полное шифрование диска
Прячте файлы за которые вам может прилететь/особо прилететь в скрытых контейнерах, aes - по умолчанию, так что выбираем шифрование без него в цепочке, чем больше разных алгоритмов, тем больше шанс, что взломать контейнер получиться только с помощью брутфорса. В принципе и так все надежно, но если файлы небольшие(сурсы, файл с паролями), то скорость и не нужна. Как только нужные файлы открыли, отмаршируем диск, и даже если вас поймают в момент с расшифрованными основными дисками, самой ценной инфой они так и не завладеют.
К стати часто возникает вопрос как скрыть криптоконтейнер, смотря от кого, от профи не получиться, а так можно замаскировать под побитый архив. Но, у них будет разная энтропия, если открыть их в редакторе, то многие файлы имеют особый формат. А не просто набор случайных битов, как у криптоконтейнеров.
Анонимный месседжер, разоблачение jabber
На самом деле с меседжерами дело обстаит плохо, в частности даже если вы все зашифровали сервера знают социальный граф и другие метаданные, то есть вы опять получите псевдо анонимность место анонимности.(BitMessage в этом плане лучше, но это не чат) Даже если ты анонимен, то можно сделать то же но уже с твоими собеседниками. Что делать? Используй одноразовые аккаунты jabber, лучше с двух сторон, лучше на одном и том же сервере, ведь иначе одной и той же инфой будут владеть уже 2 сервера, твой и твоего собеседника, вероятность утечки выше) Опять же одноразовые акции + tor + шифрование сообщений = можно использовать любой сервер
(однако все равно используй сервисы разрешающие tor, и хорошо бы чтобы они были бесплатными и они хотя бы заявляли что ничего не выдают, есть вероятность что тогда метаданные не попадут пратвнику, их нужно выбирать в зависимости от того от кого защищаешься)
Как же нам самим разобраться в этом вопросе?
Читаем https://2019.www.torproject.org/docs/documentation
Tor Bug Tracker & Wiki
trac.torproject.org
TracGuide – Tor Bug Tracker & Wiki
trac.torproject.org
Все теперь умнеем, и ищем в инете инфу через tor
Нужно определиться от кого защищаемся, что защищаем и тд
Смотрим перевод либо курс в оригинале «Полный курс по кибербезопасности: Секреты хакеров!»
Смоделируй свои угрозы, оцени риски, например интернет угрозы АНБ, физические угрозы ФСБ, хотят вычислить эти и эти аккаунты на форумах и тд Последствие очень серьезные)
https://www.whonix.org/wiki/Documentation - читаем все от начала до конца, переходим по всем интересным ссылкам, разбираемся, запоминаем, все написано простым языком.
https://forums.whonix.org/ - тоже читаем, много чего интересного тут есть, тут можно задать вопросы
Перед тем как задавать вопрос читай http://www.catb.org/esr/faqs/smart-questions.html и https://www.whonix.org/wiki/Forum_Best_Practices
Тут тоже можно задать вопрос https://www.reddit.com/r/Whonix/
В следующей статье рассмотрю эту OC, что, зачем, почему только она подходит для людей серьезно обеспокоенных своей безопасностью и анонимностью.
Если совсем кратко, пользоваться немного труднее чем обычным линуксом, но придется читать документацию. Нужен не слабый пк.
Можете меня не ждать и после того как прочитаете инфу выше начать разбираться в этом
Qubes OS: A reasonably secure operating system
Qubes is a security-oriented, free and open-source operating system for personal computers that allows you to securely compartmentalize your digital life.
www.qubes-os.org
https://www.reddit.com/r/Qubes/ - можно задавать вопросы
https://github.com/QubesOS - тоже стоит прочитать
К стати стоит хотя бы разобраться как работают различные виды шифрования, ну на примитивном уровне, математику понимать не обязательно.
Ну и обещанное, что делать если не нашел нужной информации на этих ресурсах, ищи в научных статьях.
Автор: Chook
Source: https://telegra.ph/Samyj-polnyj-v-Rossii-gajd-po-anonimnosti-02-24
Дисклеймер:
Неужели это очередной гайд от школьника который опять будет втирать мне какую то дич? Нет! Тут будет только концентрированный опыт. Так кому же полезна будет данная статья, ответ достаточно простой. Если ты уже используешь связку qubes + whonix-gw, то в принципе можешь закрыть эту статью. Но тебе все равно стоит прочитать мою заключительную статью где я расскажу про то что будет с нашей анонимностью лет через 10 и как на нее повлияет ИИ(искуственный интеллект), ну и разумеется как от него защититься.
Так в чем отличие моей этой статьи от остальных сотен, а может и тысяч остальных гайдов? Это не очередное «обуыение» по установке ПО, где разве что нужно, так жать «далее». Не будет пересказа документации, читайте ее сами, источники я вам скину. Подход будет систематизированный, да еще и прикрепленный личным опытом. А главное я вам расскажу как самому рабраться в данной теме, а не платить людям и/или ждать подобных статей. То есть я вам дам не рыбу, а удочку) Но не бойтесь будут и полезные советы, которые стоит начать использовать прямо сейчас, и не требуют никаких усилий. Советую дочитать эту статью до конца, там будут полезные ссылочки.
Все в порядке важности
1. Шифрование диска. Поведение для сохранения анонимности
2. Почему вы просто обязанны перейти на qubes + whonix-gw, анонимная разработка программ
3. Ну о том что через 10-15 лет ожидается изобретения квантового компютера, ИИ для деанонимизации пользователей bitcoin, что еще вполне может делать ИИ для деанонимизации пользователей, как его обманывать, ограничения ИИ
Когда не специалист задумывается об анонимности, то скорее всего начнет действовать по принципу чем больше тем лучше, длинные цепочки прокси, дабл, трипл, квадро впн. Так еще между ними вставит tor. Но вся проблема в том, что это очень часто совсем не помогает, да и когда появятся первые проблемы, с которыми он не сможет справиться за 5 минут, то вероятно такой «хакер» откатиться обратно на винду и хорошо если будет работать через какой нибудь относительно надежный впн.
Но если посмотреть как чаще всего вычисляют людей, то можно заметить, что это не какая то супер секретная разработка от АНБ, не хитрые приемы социальной инженерии, не долгие разработки специальных агентов. А банальная глупость, небрежность, пофигизм и чувство безнаказанность. Так вот, в первой части будет рассказано как с этим бороться. И это будет куда полезнее чем цепочка из 10 vpn->tor->vpn->.
Наверное самое первое, что просто ОБЯЗАН сделать человек, беспокоящейся за свою свободу, это зашифровать систему. И тут уже можно вспомнить пару абсолютно абсурдных, но до сих пор достаточно популярных идеи среди непрофессионалов:
Раз я зашифрую диск, то всем сразу станет ясно что я преступник и меня за это посадят. Ну эта мысль не выдерживает вообще никакой критики, потому что в УК РФ нету статьи за шифрование, так и нету статьи за отказ от предоставления ключа.
Часто еще встречается идея, что шифрование не имеет смысла, потому что потом все равно под пытками ты все выдашь. Ну эта идея хотя бы имеет права на жизнь, но то же не такая уж и умная.
Можно просо рассмотреть ситуацию Как ты можешь увидеть из таблицы, зашифрованный диск в любой ситуации лучше незашифрованного. А во вторых можно настроить систему так, что уничтожив хотя бы пару кбит(например уничтожив microsd), уже никто даже ты не сможет данные получить. И к стати Сноуден так и поступил, и как видите ФСБ его не «запытала», хотя он обладает куда более ценной информацией чем все хакеры вместе взятые. Можете почитать его воспоминания, во время первой вербовки он сразу сказал, что повредил данные так, что их уже никто никогда не сможет расшифровать, и все, от него сразу отстали.
Хорошо, скажешь ты, зашифрую я данные, но зачем мне шифровать весь диск, почему бы не спрятать только секретные файлы? Но это тоже не очень хорошая идея, хотя лучше чем полное отсутствие шифрования. Кроме того что атакующий может сказать какая ОС (а это тоже иногда хорошо бы скрыть)/программы у тебя стоят. Вся проблема в том, что ни одна ОС не разрабатывалась самого начала для анонимности и все они текут. В смысле что все логи отключить не так уж и просто, да и некоторые сторонние приложения (например оконные менеджеры в линуксе), могут записывать имена отрытых программ, сайтов, и хранить многие другие метаданные. Такая система может послужить отличным косвенным доказательством. Да и такая система уязвима перед куда большим количеством атак, например атака «злой горничной».
Это будет тормозить систему, если вы сидите не на нетбуке 10 летней давности то скорее всего не будет, у веракрита есть бенчмарки.
Итог: если ты хотя бы что то хочешь скрыть, шифруй диск полностью. Заметь, что большинство сидит как раз из за того что ничего не шифровали.
Надеюсь я убедил вас использовать полно дисковое шифрование, а теперь я расскажу как это лучше всего сделать. В принципе хитрить с настройками как советовали в статье Хакер, не стоит, добавление 1 нового символа в пароль куда надежнее. Итак для винды используйте veracrypt, AES шифрование, хэш sha-512, pim не трогайте.
Конечно на данный момент это надежно, и никто ничего взломать не сможет. Но если вы разберетесь как это шифрование работает, то поймете, что с каждым годом надежность будет слабеть. Так например если вы в 90-х шифровали диски с рекомендуемой битностью, то сейчас его уже возможно взломать банальным брутфорсом, хотя уязвимостей в алгоритмах шифрования так и не нашили. А диски то будут храниться на складах и ждать своего часа О том как настраивать LUKS можно прочитать тут. Ничего сложного нет, в принципе можно поставить те же настройки что и стоят по умолчанию в veracrypt.
Ладно, наконец то мы с этим справились, и сидим уже на шифрованной системе, ну все теперь уж точно мы в безопасности) Конечно это не так, мы не рассказали о самом важном, о пароле. Вот англоязычная статья, тут подробно рассказано, что такое надежный пароль. То есть нам нужен пароль с «случайностью» 200+ бит, чтобы он был защищен от атак квантовым компьютером. Но как запомнить вот такой «RI:#¤I*¤&âÊÿ®7Ðþç£@õªß.·#·BTäø3Y¹’¦w» пароль спросишь ты, кончено такой пароль запомнить практически невозможно. Однако очень хорошо что есть такая вещь как парольная фраза она будет выглядеть вот так «setting mumble decibel victory pureblood onyx pregnancy swooned elevate relative corroding video amulet bucked underpay curse vitally epidermal emission earthly» И ее уже запомнить гараздо проще, если вы не знаете английский, то можно сгенерировать такую фразу самому, возьми пару книг у себя дома(хорошо бы не электронных), потом с помощью рандомайзера(кубика) выбираешь одну из них. Потом аналогично выбираешь страницу, потом строку, слово (бери то что по длине больше 4 букв, а не местоимения). Повтори эту процедуру 20 раз и у тебя будет супер надежный пароль, главное не используй его больше нигде кроме как ключа от всей системы и смотри чтобы не видел как ты его вводишь.
Так как запомнить такой длинный пароль, на самом деле стоит просто записать его на бумажку(о ужас) и вводить его по ней, через пару недель он сам запомниться. Главное чтобы кроме тебя никто его не увидел, и после этого ты его ее уничтожил(а не просто в выкину в мусорку) 1-1 Предупреждение не снимай его на телефон.
К стати если ты его не запишешь, то 100% сразу забудешь и потеряешь доступ ко всем данным, и придётся заново переустанавливать систему)
В принципе 15+ слов нужно только ради защиты от квантовых компьютеров в принципе пароль в 7-10 слов тоже подойдёт, если ты не беспокоишься что данные всплывут через 10-15 лет. И это конечно в разы лучше чем использовать уже известный тебе пароль или вообще без него. К стати со временем ты запомнишь расположение клавиш и начнешь пароль вводить куда быстрее, на рефлексах.
Что же еще можно сделать чтобы еще лучше защититься? Добавь ключ файл и вынеси загрузочный раздел на sd карту и носи ее всегда собой, это к стати и есть защита от атаки «злой горничной» которая в твое отсутсвтие может с флешки загрузиться в твоем ноутбуке(это не так актуально для стационарных пк) и встроить туда вирус, программным способом украсть твой пароль от шифрования) А защиту от физических кейлогеров практически невозможно защититься с помощью программ. Тут уже нужно думать о физической безопасности, но моя статья не об этом.
В общем я надеюсь ты уже не будешь как вот эти люди, и не сядешь по такой глупой ошибки.
Ну ладно мы рассмотрели то что универсально необходимо вообще всем, но теперь узнаем как все таки не спалиться по глупости как например вот эти люди:
Психология анонимуса
Как я уже заметил, не стоит настраивать систему чем больше защиты тем лучше, везде должна быть баланс. Сложная, неудобная, медленная, но анонимная система, вам когда нибудь надоест. И вы например кода вы вводите опять этот супер длинный, супер надежный пароль, скажете себе, да ладно просто оставлю его включенным. Это ошибка! Тут вам стоит очень серьезно подумать, о том, чтобы сделать пароль покороче, ведь хотя бы какой то пароль, куда лучше никогда не выключаемого компьютера, но с очень надежным. Надо понимать, что брать вас будут не тогда когда вы за пк и ясно мыслите.
Теперь я расскажу про ошибку, которую совершали очень многие причем из совсем не глупых людей. А все просто они использовали одни и те же или схожие(подробнее будет в главе про ИИ) логины и пароли. Так выходили на их аккаунты, на которых они еще не скрывались и вычисляли их. Ведь когда они начинали работать и подумать во что это все выльется. Тут уместно будет напомнить, почему генератор данных(логины, пароли, дата рождения и тд) куда лучше придуманных. Все на самом деле достаточно просто. Сомневаюсь, что вы например укажите свой реальный год рождения, и по сути уже можно сказать что вам точно не X лет. А сгенерировав данные о вас ничего сказать нельзя. Как же запомнить столько разных данных, тут вам на помощь придет keepassxc, очень хороший менеджер паролей. И он нам еще поможет для разделения наших интернет ролей. К стати, вы надеюсь догадываетесь, что использовав один и тот же пароль, пароль вида kakoito_password:maska виден сайту на котором вы реггеструйтесь, и с помощью него можно будет понять, что эти два абсолютно разных аккаунта на самом деле один и тот же человек.
В общем при регистрации используем сгенерированные данные, временные почты, ничего не запоминаем, записываем в keepassxc, по ненадобности УДАЛЯЕМ записи.
Почему так важно разделять интернет роли и рвать социальные графы, мы подробнее поговорим в разделе про ИИ(да опять он).
Совет! Меняйте аккаунты, чем меньше о вас инфы есть о акаунте, тем сложнее его будет связать его с вашим вторым.
Совет! Оставляйте как можно меньше информации, не добовляйте например аватарки
А пока скажем про то что стоит очень жестко делить белый трафик(тот что привязан к вам, вашим немпромитирующих интересов, и то что вы пытаетесь скрыть, вот прям чуть ли не вчера(для меня), появилась новость, просто перепутал почты, и прервалась эта 5 летняя эпопея. Для того это бы такого с вами не случилось, лучше всего физически разделить оборудование для работы и для развлечения(в частности мышки, клавиатуры, мониторы). Если у вас такой возможности нету, то можете поставить qubes os, о которой пойдет реч в следующей главе. Либо работать и развлекаться из под разных OS, или учетных записей, но вам просто категорически противопоказанно использовать одни и те же программы. Так же максимально кастомизируйте эти учетки так, чтобы они вообще друг на друга не походили, меняйте обои, темы и тд.
К стати и тут нам поможет keepassxc, просто разделите эти учетки с помощью разных файлов с паролями, и настройте систему так чтобы нельзя было случайно открыть «не тот». В итоге вы даже помнить не будите свои логины/пароли и поэтому не сможете случайно спалиться.
Готовьтесь к худшему, подготовьтесь к задержанию, узнайте как оно происходит, как себя при нем вести, номер хорошего адвоката, деньги на него. К стати можете, кого-нибудь из них, работающих на какие нибудь фирмы, на которых происходили атаки спросить как происходит захват и анализ техники. Такой информацией будут скорее всего обладать, например антирейдеры.
Очень важно, то что вы иногда читаете, как настроить это приложение для анонимной работы, узнаете что течет dns записи, версия ос, имя учетки из сообщений на форуме. А на самом деле все это написано либо в документации к нему, либо на гитхабе/редите/сайте whinix/ qubes/ riseup и тд.
Не хочу повторяться в общем достаточно грамотно все расписанное уже расписанно тут https://bdf-club.io/threads/pochemu-vpn-govno-a-ne-anonimnost.16980/page-2?bdf=1
Почему же анонимность не по архитектуре так плоха. Просто почитайте новости, единственный что я смогу вспомнить, когда на серверах не оказалось никакой инфы, это почтовый сервер lababit. А сколько новостей, что накрыли очередной сервис и оказалось что он хранит все логи за 10 лет? Да миллион таких случаем, зачем им за тебя сидить, если они логи сольют и их под удо выпустят?
Итог: все услуги в дарк тематике со статистической погрешностью нужно считать за ханипот.(То есть все vpn, vps, акки, джаббер сервера, дебетовые карты, сервисы по обналу, закладки с деньгами(что им мешает запомнить номера купюр, к стати в сша так и делают)) Единственное что может вам пригодиться это абузоустойчивость. Но ни о каком доверии к владельцем серверов испытывать категорически не стоит.
P.S. К стати ни vpn, ни прокси, ни vps, ни что либо еще кроме tor(грубо говоря) не может вам дать анонимности, лишь псеводоанонимность, почему? Просо прочитай определения этих слов.
Раз уж рассказал про коммерческие vpn, хочу вас огорчить, но ваш личный сервер ничем принципиально не лучше(логи у провайдера остаются). + ваш социальных граф построить еще проще.
К стати, а ты читал документацию к tor browser, а спецификацию сети, слышал про фингерпринты трафика сайтов, которые текут даже через тор не говоря уж про vpn/ssh? Нет, а стоило бы. Всегда стоит понимать, хотя бы на самом элементарном уровне как работают те или иные технологии. Это реально начинает помогать, понимаешь чего стоит ожидать, а чего нет.
В общем ЧИТАЙ всю документацию, баг репорты на форумах и тд, что сможешь найти к софту котором ты пользуешься, могут выплать много неприятных сюрпризов, ну и поймешь чего на сам деле происходит с этой программой.
Нубский совет для всех, даже не переживающих за свою анонимность, всегда убирайте галочки с согласием на сбор анонимной статистики (на самом деле это не так, даже если они честно не пишут ваш id). Хотя бы просмотрите основные настройки. Если вы пользуйтесь виндой, нужно вырезать телемитрию Используйте его! Прямо сейчас) Посмотри не делиться ли ваши приложения «анонимной статистикой».
ИСПОЛЬЗУЙТЕ TOR
Один из самых важных советов, все мифы о торе развинчиваются, на их официальном сайте, все статьи сравнивающие vpn с tor заказные не доверяйте им, в них полно бреда. Итог: читай документацию к tor browser и наслаждайся анонимностью.
Ну и теперь чтобы не было обидно что тем кто и так все это знал, парочку коротких советов, после чего я вам скину ссылки откуда стоит брать инфу, откуда узнавать то что там не написано.
*расчитываю что вы работаете на whonix-ws
Анонимные деньги:
Многие уже слышали что bitcoin не анонимен, но так же стоит учесть что его везде принимают, и он гораздо мение подозрителен чем анонимные криптовалюты, с помощью этой схемы например можно оплачивать сервера.
В денежной цепочке обязательно должны быть анонимные криптовалюты, причем после этого деньги не становяться белыми.
zcash лучше чем monero, но у для работы с ним нужно качать около 100 ГБ данных, в общем синхронизация через tor займет не один день, а у монеро есть удаленные ноды, синхронизация достаточно быстрая.
!онлайн кошильки не анонимны, только десктопные приложения ЧИТАЙТЕ ДОКУМЕНТАЦИЮ
Что делать если продавец не принимает monero/zcash, просто закинь ему деньги через обменник комиссия всего около 0.5%
(в качестве вывода просто выбери его кошелек на обменники, и меняй monero/zcash -> all, разумеется без регистрации и через tor с выключенными js).
Таким образов вы будите анонимными, но продавец нет, его можно найти. Он становться слабым звеном, следите о том что он о вас знает.
Настройки tor:
Очень не рекомендуется работать с полностью включёнными js, хотя бы с безопасностью safer, к стати вы знали, что в tor browser время js работает криво, что мешает провести множество атак для определения ваших следов. Так например Кача гугла имеет кучу САМЫХ ПЕРЕДОВЫХ жучков, хотя и слишком беспокоиться не стоит, тор все равно анонимен.
Работа без гаранта:
Если не хотите афишировать гаранта о прохождении сделки, воспользуйтесь залогом денег с двух стторон. https://habr.com/ru/post/245791/
Если вы уже включили полное шифрование диска
Прячте файлы за которые вам может прилететь/особо прилететь в скрытых контейнерах, aes - по умолчанию, так что выбираем шифрование без него в цепочке, чем больше разных алгоритмов, тем больше шанс, что взломать контейнер получиться только с помощью брутфорса. В принципе и так все надежно, но если файлы небольшие(сурсы, файл с паролями), то скорость и не нужна. Как только нужные файлы открыли, отмаршируем диск, и даже если вас поймают в момент с расшифрованными основными дисками, самой ценной инфой они так и не завладеют.
К стати часто возникает вопрос как скрыть криптоконтейнер, смотря от кого, от профи не получиться, а так можно замаскировать под побитый архив. Но, у них будет разная энтропия, если открыть их в редакторе, то многие файлы имеют особый формат. А не просто набор случайных битов, как у криптоконтейнеров.
Анонимный месседжер, разоблачение jabber
На самом деле с меседжерами дело обстаит плохо, в частности даже если вы все зашифровали сервера знают социальный граф и другие метаданные, то есть вы опять получите псевдо анонимность место анонимности.(BitMessage в этом плане лучше, но это не чат) Даже если ты анонимен, то можно сделать то же но уже с твоими собеседниками. Что делать? Используй одноразовые аккаунты jabber, лучше с двух сторон, лучше на одном и том же сервере, ведь иначе одной и той же инфой будут владеть уже 2 сервера, твой и твоего собеседника, вероятность утечки выше) Опять же одноразовые акции + tor + шифрование сообщений = можно использовать любой сервер
(однако все равно используй сервисы разрешающие tor, и хорошо бы чтобы они были бесплатными и они хотя бы заявляли что ничего не выдают, есть вероятность что тогда метаданные не попадут пратвнику, их нужно выбирать в зависимости от того от кого защищаешься)
Как же нам самим разобраться в этом вопросе?
Читаем https://2019.www.torproject.org/docs/documentation
Tor Bug Tracker & Wiki
trac.torproject.org
TracGuide – Tor Bug Tracker & Wiki
trac.torproject.org
Все теперь умнеем, и ищем в инете инфу через tor
Нужно определиться от кого защищаемся, что защищаем и тд
Смотрим перевод либо курс в оригинале «Полный курс по кибербезопасности: Секреты хакеров!»
Смоделируй свои угрозы, оцени риски, например интернет угрозы АНБ, физические угрозы ФСБ, хотят вычислить эти и эти аккаунты на форумах и тд Последствие очень серьезные)
https://www.whonix.org/wiki/Documentation - читаем все от начала до конца, переходим по всем интересным ссылкам, разбираемся, запоминаем, все написано простым языком.
https://forums.whonix.org/ - тоже читаем, много чего интересного тут есть, тут можно задать вопросы
Перед тем как задавать вопрос читай http://www.catb.org/esr/faqs/smart-questions.html и https://www.whonix.org/wiki/Forum_Best_Practices
Тут тоже можно задать вопрос https://www.reddit.com/r/Whonix/
В следующей статье рассмотрю эту OC, что, зачем, почему только она подходит для людей серьезно обеспокоенных своей безопасностью и анонимностью.
Если совсем кратко, пользоваться немного труднее чем обычным линуксом, но придется читать документацию. Нужен не слабый пк.
Можете меня не ждать и после того как прочитаете инфу выше начать разбираться в этом
Qubes OS: A reasonably secure operating system
Qubes is a security-oriented, free and open-source operating system for personal computers that allows you to securely compartmentalize your digital life.
www.qubes-os.org
https://www.reddit.com/r/Qubes/ - можно задавать вопросы
https://github.com/QubesOS - тоже стоит прочитать
К стати стоит хотя бы разобраться как работают различные виды шифрования, ну на примитивном уровне, математику понимать не обязательно.
Ну и обещанное, что делать если не нашел нужной информации на этих ресурсах, ищи в научных статьях.
Автор: Chook
Source: https://telegra.ph/Samyj-polnyj-v-Rossii-gajd-po-anonimnosti-02-24