[Статья] Компьютерная и мобильная безопасность

Привет всем!

Я линукс-администратор и C/C++/Python/Bash/PHP программист, специализируюсь на компьютерной безопасности и настройке серверов на базе linux под высокую нагрузку.

Мы живём в мире, где анонимность практически невозможна. Privacy никак не соблюдается, вас могут слушать, заходить на телефон по воздуху, читать все данные с него, включать камеру (об этом в конце поста), даже если он выключен.
За вами могут следить со спутника, в реальном времени (посмотрите фильм Враг Государства).

Мы в матрице. У неё есть антивирусы (службы), которые блокируют тех, кто угрожает системе, и всё почти автоматически. И они тоже умные и совершенствуются быстро, почитайте про тайминг-атаки и site-fingerprinting. Они могут выследить нересшифровывая.

Но несмотря на то, что чем больше мы пользуемся техникой, тем больше она за нами следит, есть возможность обеспечить безопасность хотя бы в интернете. Я предоставляю услуги по обеспечению вашей безопасности в интернете (и немножко в реале), даже сидя из дома или офиса.

Немножко расскажу о своих методах.

Безопасность вашего десктопа/ноута/нетбука:
1. Пользователям M$ Window$ и Mac OS X уже терять нечего (если сильно надо можно немного подшаманить). Там всё кишит анбшными троянами и они имеют полный доступ к вашим компам ещё с 98 года (и винды) (по данным Сноудена).
Также, помните новость, когда во всех виндах хр в мире обновились 9 системных файлов, даже при отключённом Windows Update... А сейчас в Windows 7+ у вас проц постоянно занят на 15% в режиме ожидания, может они брутфорсят что-то

Только linux, и желательно coreboot/libreboot (open source bios). Можно купить железо по рекомендациям главного всеуважаемого параноика-шифропанка Ричарда Столлмана.

2. При обычном включении ноута будет показываться совсем другой рабочий стол (можно винду, но это так, для отвлечения). Но если сделать пару нажатий (и ввести пароль (а можно и два разных)), то загрузится нужный рабочий стол. Всё описанное также применимо для установки на флешку.

3. Полное шифрование диска. Защита от ColdBoot attack. Защита от терморекального криптоанализа.

4. Настройка безопасного и быстрого интернета, которым можно пользоваться хоть из дома или офиса, с модема, с вайфая.

    4.1. Покупка нормального wifi-модуля Atheros. Собственный патч к ядру, который при каждом включении адаптера генерит рандомный mac. то есть ifdown wifi0 && ifup wifi0 сменят mac на уровне ядра. Если у вас есть Android (с нормальной прошивой Replicant/Cyanogenmod), то можно также пропатчить ядро и заодно раздавать ноуту. Также можно погуглить про Airslax.
   
    4.2. Если у вас в стране есть CDMA-интернет, то прошивка модема в EVDO only не позволит отследить модем по координатам, т.к. у EVDO нет определения X-Y-Z координат
   
    4.3. На специальный китайский андроид можно также поставить нормальную прошивку, и перепрошивать IMEI по нажатию кнопки, а также менять mac-адрес.
   
    4.4. Весь интернет через TOR1 -> OpenVPN (можно Double) -> TOR2. Почему входной TOR? Да потому что им все пользуются. Быть подключённым напрямую к известным OpenVPN-провам это больше выделяться. Сейчас каждый школьник tor юзает. Также OpenVPN-пров не будет знать вашего айпи, а частая смена айпи  его абсолютно не тревожет, благодаря наличии опции в конфигах.
   
    Tor1 socks порт доступен и может быть настроен на отдельный профиль браузера, для анонимного просмотра ютуба и прочей фигни, хотя у меня ютуб нормально работает и в конце цепочки.
   
    Через tor2 идёт весь трафик по-умолчанию с изоляцией всех конечных хостов и портов (отдельная tor-цепочка на каждый). Весь dns идёт через tor2, но можно перенастроить на opennic с dnssec/dnscrypt подписями (несмотря на отсутсвие UDP в TOR), и тогда не будет подмены днсов с левых торхостов.
   
    Tor1 и Tor2 настраивается на быстрые ноды, обе исключают более-менее известные анбшные серваки, и первый Tor1 исключает некоторое заокеанье (чтобы к VPN быстрее доступ был). Таким образом конечный tor2 будет достаточно быстрым, даже для ssh-сессий.
    OpenVPN от проверенного провайдера, который не пишет логи и имеет много оффшорных серваков, покупка за биткоины, предварительно помиксив.
    Таким образом, если все три сервака в tor2 будут скомпрометированы (NSA,FBI,ФСБ?), то (может быть) вычислят IP OpenVPN'а, который отличается от входного IP через tor1. А vpn вашего не знает. Для полной паранойи можно обернуть OpenVPN(double) в 443 openssl и тогда определение OpenVPN-трафа будет невозможным даже в торе. (У сети TOR простое правило: чем больше пользователей, тем она безопаснее и быстрее)
   
    4.5. Вся настройка интернета без виртуальных машин. Грамотная настройка iptables/iproute2. Свой скрипт, который перехватывает DH*****-ответ, забирает правильный default gateway и подставляет левый. Default gateway знает только первый tor, и интернета не будет вообще если что-то не включилось. Часть конфига тора заимствован от Whonix.
   
    4.6. Для поддержки UDP, или для подключения к хостам, которые блокируют TOR, или для IP-телефонии предусмотрен локальный socks/http proxy порт, который пускает траф по Tor1 -> OpenVPN
   
    4.7. Если сильно надо, можно настроить локальный socks/http прокси порт  (и браузеры под них) для клирнета, или включать по требованию.
   
    4.8. Защита от тайминг атак и корреляции траффика. Собственные скрипты/модули ядра, которые делают нужные функции...
   
    4.9. Настройка профилей chromium и/или firefox, полностью исключающие любой tracking.
        1. Куки блокируются по-умолчанию, имеется кликабельный белый список.
        2. Свой expire-time для куков по доменам.
        3. Загружены все списки для блокировки рекламы/adware/spyware/bloatware.
        4. Всё через privoxy, а там блокируются куча эксплоитов.
        5. Защита от уязвимостей, позволяющих узнать ваш IP. Никто в системе не имеет прямой доступ.
        6. Скрипты и патчи для урезания доступа chromium к гуглу, даже для обновлений extensions. Ну нравится мне chromium, он гораздо быстрее и стабильнее firefox)
        7. Для полной паранойи отключение JavaScript с белым списком для chromium/firefox
        8. User-Agent меняется каждые n минут, забивается список
        9. Усложнение browser-fingerprinting по параметрам из https_//panopticlick.eff.org (протестируйте себя)
        10. Можно также браузер запускать от отдельного юзера, у него не будет доступа к файлам вообще.   

    4.11. Tor1 -> OpenVPN -> I2P. Также это запасной выход в инет с другого айпи.
   
    4.12. В ваших браузерах поддерживается доступ как к .torify.net, так и к .i2p

5. Программы   

    5.1. Настройка jabber-клиента с шифрованием, доступ через другой tor2 port
   
    5.2. Почта с шифрованием в thunderbird, на каждый хост - отдельный маршрут тора.
   
    5.3. Безопасная почта, которую никто не сможет прочитать. Можно на своём серве, со всеми опциями, чтобы письма проходили. С полным шифрованием диска.
   
6. Скрипты, стирающие оперативку при выключении.

7. При оказании услуг снабжаю инструкциями, рекомендациями, советами по безопасности, исходя из 15-летнего опыта.

8. На ноуте/компе не будет ни одной проприетарной программы (кроме, возможно драйвера видеокарты), всё опенсурс. Ни флеша, ни скайпа, ничего лишнего.

9. Также можно наладить шифрованную видео/аудио связь между группой людей, с входом через любую точку в этой цепочке

10. Bitcoin-клиент отлично работает на этой связке.

11. Криптотелефония через браузеры Firefox/Chrome, без флеша.

11. Если очень необходим skype, то запихнуть его в виртуалку и полностью интегрировать в свой дескпоп, трей и т.п. и пустить через Tor -> OpenVPN (+ -> I2P)
Microsoft недавно отключил все старые версии скайпа, в которых ещё небыло троянов. И заставили всех обновиться на новую версию, в которой имеют полный доступ к вашему компу. Вообще этим nsa'шним дерьмом лучше не пользоваться.
Есть скрипты по подмене голоса.

===============================

Сервер:
1. *Полное* шифрование диска на сервере, разлочка через ssh (в initramfs)
2. Шифрование диска, используя регистры *****U (для защиты от ColdBoot attacks), когда вашу оперативку охлаждают и получают все пароли.
Почему? История с riseup  https_//mayfirst.org/fbi-returns-server
3. Настройка под очень высокую нагрузку, защита от DDoS атак.
4. Настройка Openvpn, можно в связке с TOR.
    4.1. Openvpn-frontend, чтобы спрятать реальный сервер за VPS с openvpn.
    4.2. Туннелирование траффика в 443 SSL
    4.3. I2P
5. TOR Hidden services, можно через OpenVPN
6. DoubleVPN, QuadVPN, любые связки с TOR
7. I2P, можно через VPN
8. Можно полностью настроить всю эту конфигурацию интернета на серваке, и подключаться к нему через туннелированный 443 SSL OpenVPN, и работать с нескольких мест.
9. Можно поднять виртуалку на своём шифрованном серваке, где всё это будет настроено, и вы сможете подключаться туда (с нескольких мест) и работать, тоже анонимно.

===============================

Смартфон (на базе Android):

+ Перепрошивка в Ubuntu Touch/Replicant/Cyanogenmod, настройка под безопасность. Tor, VPN, I2P, Jabber, Mail, PGP, etc.
+ Выбор смартфона с broadband isolation
+ Шифрованная связь между смартфонами
+ Для того, чтобы иметь представление об опасности телефонов, читайте статью:
osnews_com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone

Будут вопросы, пишите.

Это статейка очень напоминает рекламу своих услуг, которая здесь запрещена. Все расписано лишь кратко, а некоторые советы вызывают сомнения.

Ну если касаться мобильной безопасности, я тут вот присмотрел себе шарманку, верю в смену imei, поэтому на али хочу заказать aliexpress.com/item/1-1-i9600-5-1-inch-mtk6589-6582-6572-intelligent-mobile-phone-1-3ghz1300MP-android4-4/1907012606.html
(именно этого селлера можете помочь оценить, кто уже что-то подобное брал и пользует)

Выбор смартфона с broadband isolation - что это? И где надыбать?

Редактировался Александр (2014-10-19 10 ч.)

Да на процессорах Mtk это возможно. Ставится простая программа, которая позволяет менять в один клик.

Давайте перенесём в раздел, в котором разрешена

Это достигается путём интеграции truecrypt в линуксовый dm-crypt/cryptsetup, и когда спросят пароль, то их будет два, один обычный (где отдельная пустая система), и один hidden, в котором все данные, и доказать наличие которого невозможно. Идея здесь именно в интеграции со штатными средствами, в которых не предусмотрен такой раздел вообще.

Да, именно так. В ядре есть функция, которая обращается к оборудованию и отдаёт мак-адрес. Все скрипты на неё настраиваются. Даже просто команда macchanger может сменить мак. Работает хорошо с картами atheros.

Создаётся мусорный траф, а модули следят за каналом и пытаются держать равномерную скорость/объём. Все приоритезировано, т.е. ваш трафик сразу вытесняет мусорный. Плюс на tor2 полная изоляция всех хостов и портов, а добавление в цепочку Tor -> OpenVPN -> I2P (с шарингом канала), то тоже будет полезный траф.

Ну раз этого дело коснулось, то какие проги на android по смене MAC успешны?

Хм, вот она, вершина паранойи. Но некоторые советы сомнительны. А контакты я все же выпилю, ага?..

Почитайте тут:
osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone

Вкратце: у baseband есть свой процессор, и для его работы всегда юзается проприетарная прошивка. У неё есть полный доступ к RAM/*****U, Internal/SD card storage.
Один умный дядя реверсинженировал прошивку и нашёл кучу багов, которые позволяли всем этим пользоваться не только службам, но и обычным хакерам с базовыми станциями openbts.

Baseband isolation - это когда у модуля нет доступа к RAM/storage

Зачем интегрировать кривой truecrypt в прямой cryptsetup?

Кому доказать и почему невозможно? Логика такая: если конфигурация нестандартная и допускает два пароля, значит там два пароля и есть. Было бы так сделано из коробки, можно было бы убедительно прикинуться шлангом.
В общем, обычная уловка против тупых ментов, в надежде что не догадаются. Как ни странно, чаще всего помогает.

gerc, Ты как то лихо загреб винду и мак под одну гребенку, рассказав при этом ужасы только про винду. Я как бы ничего не утвержаю, но может поделишься инфой о встроенных в макось троянах?

Прочитал через транслэйт, как рядовой олух мало чего понял) Лучше укажи точно, что сам знаешь, что необходимо сделать и установить для корректной работы на китайдройде купленном на али. Подробный мануал на тему был бы оооочень кстати, как раз конкурс проходит;)
Мануал интересует на тему, живое общение с клиентами с последующим сливом, при условии что сим карты мы имеем в достатке. А также прослеживание эл.почты и форумов например, на которых объявы размещаем всякие на кидалово...- безопасная работа в интернете с мобильного андройда, как ты писал уже про смену прошивки в целом, ссылки на прошивку бы указал и т.д.

Редактировался Александр (2014-10-19 11 ч.)

Успешнее всего патчить ядро и мак меняется на рандомный при включении/выключении модуля.

Жопа наверное такую систему обновлять.

Тоесть рестар телефон, и мак сам подменяется?
Ну вокруг да около ходишь) Советуй путь успеха по "патчить ядро",заинтересовал, но всё же размыто ты как-то, каую прошивку ставитьжелательно? Иссылку на эту телегу...

Александр, я так понимаю, человек хочет заработать на консультациях по безопасности.  Почему бы и нет, взнос в казну форума - и вперед.

Почему кривой? Я работаю с ним с версии 4 и если всегда бекапить хидеры (касается не только tc), то всё в порядке. Я не говорю про GUI-шную версию.

В том то и дело, что опять же патчится ядро, и даже не нужно указывать в никаких дополнительных параметров cryptsetup'у. Всё как буд-то это реальный cryptsetup с одним паролем. Hidden-раздел надёжно скрыт.  Если подлючиться к обычному разделу и записывать больше, то можно его перезаписать. Конфиги не меняются.

Ну почему-же? Скачал версию, накатил патч (он критичного ничего не затрагивает, обновления врядли испортят), и make world

нет, нажал на выключить wifi, включить wifi, и поменялся.

Прошивки лучше всего Replicant (у него мало железа поддерживается), или на крайняк cyanogenmod с патчами freecygn (выпиливающий трекинг) и желательно патчи PDroid (forum.xda-developers.com/showthread.php?t=2590464)

replicant.us
cyanogenmod.org
xda-developers.com/android/remove-the-google-from-cyanogenmod-with-freecygn/

Можно по-подробнее?

gerc, а в правила гляньте, там все есть.

Скорее backdoor'ы.
В макоси каждая прога всегда лезет в инет.
helpd лезет на apple
SubmitDiagInfo лезет на radarsubmissions.apple.com, даже если отправка диагностики отключена
ITunes понятно что ломится, но недавно на wikileaks был документ о конторе FinFisher, которая устанавливала малварь через дыру в обновлении айтюнса.
А недавний пример про iCloud, который взломали и оттуда утекли сотни фоток сотен звёзд, тоже доверия не внушает.

в iOS точно также, Photos лезет в инет, Settings тоже, и на странные домены и отправляют шифрованный трафик.

В документах сноудена где-то есть инфа, как контролируется макось и винды, и что Apple с 2012 года интегрирован в АНБ (у них прямой доступ без ордеров), в том числе и iOS

Доступ к аккаунтам просто сбрутили, зная почтовые адреса звезд. На странице входа Find My Phone не было защиты от брутофорса, поэтому и взломали. Уже давно все пофиксили.

gerc, а если в /etc/hosts например зарубить эти адреса и снаружи/внутри вайршарком последить? Взлом icloud почти ничего не даст в случае с маком - это иос туда льет все подряд, в том числе и бекапы, да и взломали вроде вопросами-ответами по официальной версии. Ios с маком имхо сравнивать некорректно, хотя бы потому что ios никогда не имела открытой версии, а мак выпускался в виде darwin (может и сейчас выпускается). Вот иос и винда как раз примерно в равных условиях - и там и там есть подозрительная активность и нет и не было открытого кода. А вот документов сноудена я как раз и не видел, только в интервью каком то он упоминал яблоко...