[Статья] Компьютерная и мобильная безопасность ¶
By: gerc on 2014-10-19 10 ч.
[Статья] Компьютерная и мобильная безопасность
Привет всем!
Я линукс-администратор и C/C++/Python/Bash/PHP программист, специализируюсь на компьютерной безопасности и настройке серверов на базе linux под высокую нагрузку.
Мы живём в мире, где анонимность практически невозможна. Privacy никак не соблюдается, вас могут слушать, заходить на телефон по воздуху, читать все данные с него, включать камеру (об этом в конце поста), даже если он выключен.
За вами могут следить со спутника, в реальном времени (посмотрите фильм Враг Государства).
Мы в матрице. У неё есть антивирусы (службы), которые блокируют тех, кто угрожает системе, и всё почти автоматически. И они тоже умные и совершенствуются быстро, почитайте про тайминг-атаки и site-fingerprinting. Они могут выследить нересшифровывая.
Но несмотря на то, что чем больше мы пользуемся техникой, тем больше она за нами следит, есть возможность обеспечить безопасность хотя бы в интернете. Я предоставляю услуги по обеспечению вашей безопасности в интернете (и немножко в реале), даже сидя из дома или офиса.
Немножко расскажу о своих методах.
Безопасность вашего десктопа/ноута/нетбука:
1. Пользователям M$ Window$ и Mac OS X уже терять нечего (если сильно надо можно немного подшаманить). Там всё кишит анбшными троянами и они имеют полный доступ к вашим компам ещё с 98 года (и винды) (по данным Сноудена).
Также, помните новость, когда во всех виндах хр в мире обновились 9 системных файлов, даже при отключённом Windows Update... А сейчас в Windows 7+ у вас проц постоянно занят на 15% в режиме ожидания, может они брутфорсят что-то
Только linux, и желательно coreboot/libreboot (open source bios). Можно купить железо по рекомендациям главного всеуважаемого параноика-шифропанка Ричарда Столлмана.
2. При обычном включении ноута будет показываться совсем другой рабочий стол (можно винду, но это так, для отвлечения). Но если сделать пару нажатий (и ввести пароль (а можно и два разных)), то загрузится нужный рабочий стол. Всё описанное также применимо для установки на флешку.
3. Полное шифрование диска. Защита от ColdBoot attack. Защита от терморекального криптоанализа.
4. Настройка безопасного и быстрого интернета, которым можно пользоваться хоть из дома или офиса, с модема, с вайфая.
4.1. Покупка нормального wifi-модуля Atheros. Собственный патч к ядру, который при каждом включении адаптера генерит рандомный mac. то есть ifdown wifi0 && ifup wifi0 сменят mac на уровне ядра. Если у вас есть Android (с нормальной прошивой Replicant/Cyanogenmod), то можно также пропатчить ядро и заодно раздавать ноуту. Также можно погуглить про Airslax.
4.2. Если у вас в стране есть CDMA-интернет, то прошивка модема в EVDO only не позволит отследить модем по координатам, т.к. у EVDO нет определения X-Y-Z координат
4.3. На специальный китайский андроид можно также поставить нормальную прошивку, и перепрошивать IMEI по нажатию кнопки, а также менять mac-адрес.
4.4. Весь интернет через TOR1 -> OpenVPN (можно Double) -> TOR2. Почему входной TOR? Да потому что им все пользуются. Быть подключённым напрямую к известным OpenVPN-провам это больше выделяться. Сейчас каждый школьник tor юзает. Также OpenVPN-пров не будет знать вашего айпи, а частая смена айпи его абсолютно не тревожет, благодаря наличии опции в конфигах.
Tor1 socks порт доступен и может быть настроен на отдельный профиль браузера, для анонимного просмотра ютуба и прочей фигни, хотя у меня ютуб нормально работает и в конце цепочки.
Через tor2 идёт весь трафик по-умолчанию с изоляцией всех конечных хостов и портов (отдельная tor-цепочка на каждый). Весь dns идёт через tor2, но можно перенастроить на opennic с dnssec/dnscrypt подписями (несмотря на отсутсвие UDP в TOR), и тогда не будет подмены днсов с левых торхостов.
Tor1 и Tor2 настраивается на быстрые ноды, обе исключают более-менее известные анбшные серваки, и первый Tor1 исключает некоторое заокеанье (чтобы к VPN быстрее доступ был). Таким образом конечный tor2 будет достаточно быстрым, даже для ssh-сессий.
OpenVPN от проверенного провайдера, который не пишет логи и имеет много оффшорных серваков, покупка за биткоины, предварительно помиксив.
Таким образом, если все три сервака в tor2 будут скомпрометированы (NSA,FBI,ФСБ?), то (может быть) вычислят IP OpenVPN'а, который отличается от входного IP через tor1. А vpn вашего не знает. Для полной паранойи можно обернуть OpenVPN(double) в 443 openssl и тогда определение OpenVPN-трафа будет невозможным даже в торе. (У сети TOR простое правило: чем больше пользователей, тем она безопаснее и быстрее)
4.5. Вся настройка интернета без виртуальных машин. Грамотная настройка iptables/iproute2. Свой скрипт, который перехватывает DH*****-ответ, забирает правильный default gateway и подставляет левый. Default gateway знает только первый tor, и интернета не будет вообще если что-то не включилось. Часть конфига тора заимствован от Whonix.
4.6. Для поддержки UDP, или для подключения к хостам, которые блокируют TOR, или для IP-телефонии предусмотрен локальный socks/http proxy порт, который пускает траф по Tor1 -> OpenVPN
4.7. Если сильно надо, можно настроить локальный socks/http прокси порт (и браузеры под них) для клирнета, или включать по требованию.
4.8. Защита от тайминг атак и корреляции траффика. Собственные скрипты/модули ядра, которые делают нужные функции...
4.9. Настройка профилей chromium и/или firefox, полностью исключающие любой tracking.
1. Куки блокируются по-умолчанию, имеется кликабельный белый список.
2. Свой expire-time для куков по доменам.
3. Загружены все списки для блокировки рекламы/adware/spyware/bloatware.
4. Всё через privoxy, а там блокируются куча эксплоитов.
5. Защита от уязвимостей, позволяющих узнать ваш IP. Никто в системе не имеет прямой доступ.
6. Скрипты и патчи для урезания доступа chromium к гуглу, даже для обновлений extensions. Ну нравится мне chromium, он гораздо быстрее и стабильнее firefox)
7. Для полной паранойи отключение JavaScript с белым списком для chromium/firefox
8. User-Agent меняется каждые n минут, забивается список
9. Усложнение browser-fingerprinting по параметрам из https_//panopticlick.eff.org (протестируйте себя)
10. Можно также браузер запускать от отдельного юзера, у него не будет доступа к файлам вообще.
4.11. Tor1 -> OpenVPN -> I2P. Также это запасной выход в инет с другого айпи.
4.12. В ваших браузерах поддерживается доступ как к .torify.net, так и к .i2p
5. Программы
5.1. Настройка jabber-клиента с шифрованием, доступ через другой tor2 port
5.2. Почта с шифрованием в thunderbird, на каждый хост - отдельный маршрут тора.
5.3. Безопасная почта, которую никто не сможет прочитать. Можно на своём серве, со всеми опциями, чтобы письма проходили. С полным шифрованием диска.
6. Скрипты, стирающие оперативку при выключении.
7. При оказании услуг снабжаю инструкциями, рекомендациями, советами по безопасности, исходя из 15-летнего опыта.
8. На ноуте/компе не будет ни одной проприетарной программы (кроме, возможно драйвера видеокарты), всё опенсурс. Ни флеша, ни скайпа, ничего лишнего.
9. Также можно наладить шифрованную видео/аудио связь между группой людей, с входом через любую точку в этой цепочке
10. Bitcoin-клиент отлично работает на этой связке.
11. Криптотелефония через браузеры Firefox/Chrome, без флеша.
11. Если очень необходим skype, то запихнуть его в виртуалку и полностью интегрировать в свой дескпоп, трей и т.п. и пустить через Tor -> OpenVPN (+ -> I2P)
Microsoft недавно отключил все старые версии скайпа, в которых ещё небыло троянов. И заставили всех обновиться на новую версию, в которой имеют полный доступ к вашему компу. Вообще этим nsa'шним дерьмом лучше не пользоваться.
Есть скрипты по подмене голоса.
===============================
Сервер:
1. *Полное* шифрование диска на сервере, разлочка через ssh (в initramfs)
2. Шифрование диска, используя регистры *****U (для защиты от ColdBoot attacks), когда вашу оперативку охлаждают и получают все пароли.
Почему? История с riseup https_//mayfirst.org/fbi-returns-server
3. Настройка под очень высокую нагрузку, защита от DDoS атак.
4. Настройка Openvpn, можно в связке с TOR.
4.1. Openvpn-frontend, чтобы спрятать реальный сервер за VPS с openvpn.
4.2. Туннелирование траффика в 443 SSL
4.3. I2P
5. TOR Hidden services, можно через OpenVPN
6. DoubleVPN, QuadVPN, любые связки с TOR
7. I2P, можно через VPN
8. Можно полностью настроить всю эту конфигурацию интернета на серваке, и подключаться к нему через туннелированный 443 SSL OpenVPN, и работать с нескольких мест.
9. Можно поднять виртуалку на своём шифрованном серваке, где всё это будет настроено, и вы сможете подключаться туда (с нескольких мест) и работать, тоже анонимно.
===============================
Смартфон (на базе Android):
+ Перепрошивка в Ubuntu Touch/Replicant/Cyanogenmod, настройка под безопасность. Tor, VPN, I2P, Jabber, Mail, PGP, etc.
+ Выбор смартфона с broadband isolation
+ Шифрованная связь между смартфонами
+ Для того, чтобы иметь представление об опасности телефонов, читайте статью:
osnews_com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone
Будут вопросы, пишите.