[Статья] Компьютерная и мобильная безопасность

в /etc/hosts может и создаст видимость, но они умные, и используют всякие CDN, типа Akamai, и даже резолвятся на их хосты.
В jailbroken iOS можно поставить Firewall IP, и убрать все заранее разрешённые, написать в Global Deny:
*apple*
*.apple.com
*.akadns.net
И всяким левым прогам не разрешать ходить. Но всёравно где-то может проскочить что-то. Лучше иметь полностью опенсурс софт с установленным тором и фаером, пускающий всё через него. Можно даже установив такую конфигурацию инета на сервере, подключаться туннелированным в 443 SSL OpenVPN туннелем и работать через tor -> OpenVPN  -> tor2

Стоковый андроид тоже пропитан насквозь всякой фигнёй, вот например:
https_www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor
redmine.replicant.us/projects/replicant/wiki/SamsungGalaxyBackdoor

А Google Chrome нагло включает аналитику на сайты, в которых она не установлена (проверено фаером), а это включает отправку нажатий клавиш, etc...

Это то понятно, но вроде дроид тоже не до конца открыт, и цианоген также не будет панацеей. Вообще самое идеальное место для закладок - железо, хватит договоренности с одним qualcomом или intel чтобы мониторить большую часть мира.
Я вообще думаю, что самая лучшая реализация - это когда рабочая машина сама не знает где она находится. Если поднять впн и тор на роутере, то хоть ты все трояны собери, тебя как личность раскрыть будет крайне проблематично при отсутствии личной инфы на компе.

Вот поэтому я и говорю о baseband isolation. Можно вообще купить специальный кабель, который делает USB порт в андроиде, и воткнуть в wifi-only версию планшета, поднять pbx и звонить, принимать смс, подключаться в инет через модем. Сама ось контроллирует доступ к устройству, а устройство изолировано. Но это крайняя степень
Лучше всего конечно Replicant, там вообще нет проприетарного софта. Но циан с патчами freecygn и openpdroid тоже внушает доверия, у меня стоит прога network log, которая сразу показывает любые соединения в реальном времени через OSD, и я убеждаюсь, что всё идёт через tor.

Да, кстати, забыл упомянуть, что я также создаю персональные прошивки на базе OpenWRT, которые позволяет это всё реализовать (tor1 -> OpenVPN -> tor2, I2P, защита от тайминга, ....), и всё, что вам нужно это 220V/12V для роутера и кабель с интернетом. По воздуху и лану интернет будет идти через 3-7-8-12 хостов (в зависимости от порта). Прошили роутер, для душевного спокойствия выключили ssid broadcasting, wpa2 personal/enterprise, mac address whitelist, и всё нормально. Если роутер в режиме sta (клиент), то можно всё это пустить через чужой вайфай и по лану иметь защищённый интернет. В роутеры с USB портами можно воткнуть ещё вайфай модуль, и ловить чужой трафик, перенаправляя на свой вайфай и лан. Также можно предусмотреть возможность подключение 3G модема, и удобное управление всем из веб-интерфейса, хелп внутри.

brandonkester.com/tech/2014/03/16/full-disk-encryption-in-arch-linux-with-uefi.html
Может пригодится кому.

gerc, Не хочешь мануал по сборке подобного на openwrt запилить? Там же нужен набор команд для терминала по сути, и набор софта чтобы прошивку собрать под свой роутер. Думаю вполне конкурсный материал получится.

На сервере это не поможет.
https //ru.wikipedia.org/wiki/Cold_boot_attack
Лучше хранить пароль в *****U-регистрах, и даже когда комп уходит в standby, при выходе опять потребует пароль

На сервере ничего не поможет, если противник достаточно умен и экипирован. Можно поставить шпионскую плату, заразить загрузчик, подключиться к отладочным разъемам.

gerc, может напишешь на конкурс статью?)) Очень интересна тема по настройке роутера, по типу Онион Пи.
Чтоб траф шел через Тор, только чтоб роутер мог раздавать инет с 3г модема, либо получать и раздавать с соседского вифи.
Ну и про защиту от тайминга тоже интересно почитать.

Тема является рекламой и должна быть в соответствующем разделе с уплатой взноса. Да и вообще негоже брать деньги за то, что должен делать бесплатно. Помните Стрелкова ? Ему за интервью телеканалы предлагали 50 000 долларов. Он всех послал с этой формулировкой, а потом дал интервью каналу, которому хотел бесплатно.

Будь я чекистом, время деанона автора со схемой из первого поста заняло бы у меня от 1ой до 10ти минут. Хотя автор вроде шарит, и будь у него по меньше наглости, можно было вместе допилить ее до рабочего состояния.

Да, похоже парень пришел торговать, но 100$ на статус продавца у него нет. Поэтому пока он ненавязчиво вставляет свои контакты везде где может.

Контакты я убрал. Опять.

Про политику партии - тема интересная, свобода слова на нашем форуме в рамках правил работает, так что оставьте ТС'а в покое. Во всяком случее, пока тема несет полезную информационную нагрузку, а он не сильно наглеет.

Опять я все прослоупочил. Тут восходящая звезда ит-сек, не иначе. Хочет человек пообщаться, устал от одиночества, а вы его тралите

Да без проблем, я ждал начала рабочей недели для обмена битков, а то всё вывел.

Хорошо, когда стану продавцом перенесём тему.
Может объясните, каким образом можно сделать деанон? Тайминги и конфирмации трафа со всякими СОРМ им не помогут. А не расшифровывая, да и тем более в цепочке пакеты несколько раз делятся по-разному...
Почему наглость? И кому я должен что-то?
Люди тут наркотой торгуют, а я всего лишь свои знания, опыт и время.
Я описал свои методы, я лишь предлагаю услуги тем, кто далёк от этого, и не хочет заморачиваться.
Я начал заниматься безопасностью давно, и не потому, что мне было что-то скрывать, а потому что меня в корне неустраивала ситуация, когда кто-то, когда-то может посмотреть мои личные данные, файлы и т.п. Зачем кому-то что-то знать? Паранойа у меня  с детства...

За 15 лет у меня много своих наработок, вышеупомянутые патчи ядра и т.п. На это ушло много бессонных ночей.
Вы когда троя покупаете у прогеров, почему не просите у них бесплатно?
Я также и участвую кодом в опенсурс проектах, которые тоже относятся к безопасности.

Не все тут программисты и далеко не все сидят на линуксе, большинство тут палится на винде и макоси если не для наших служб, то для пендосских точно. Хотя сейчас мелкософт сотрудничает активно и с нашими. Или многие сидят на линуксе со скайпом, флешем, adobe reader и прочей ерундой, без шифрования диска, юзают просто TOR и думают , что они защищены.

А линукс это не так страшно, он работает, причём стабильно уже давно (в десктопе).

Я пришёл не только предлагать услуги, а участвовать в сообществе, участвовать в темах безопасности, писать инфу.

Это хорошо, просто ознакомились бы сразу с правилами и сделали бы все как надо.

Как то ты не заметил пары предложений о запиле статьи про openwrt... На мой взгляд стандартный пример конфига куда лучше сказал бы о твоих способностях, нежели описание продаваемых тобою систем.

Ты главное заклинаниями пиши. каждое предложение с новой строчки   

А ты мне денег дашь ?      И откуда ты знаешь, что есть у чекистов, ты чекист ? 

Уж всяко побольше тебя, если ты сам пользуюшся тем бредом, что описан в первом посте.

задрот 

лузер 

свою шизофрению 

Вот именно. Ты работать по своей схеме не пробовал, потому что с ней это просто невозможно. Соответственно никто тебя не искал, потому что ты нахуй никому не нужен. Следовательно ты не знаешь, анонимна твоя схема или нет. А она не анонимна, более того она палевна.

В первом посте нагромождение бреда и второстепенных вещей, а действительно актуальные вопросы, необходимые для эффективной и безпалевной работы, не решены. До тех пор пока задроты пытаются впарить свои уебещные схемы, люди вынуждены работать на винде и в скайпе.

З.Ы. Короче предлагаю растормозиться, перестать считать тут людей лохами и рассказывать им сказки про АНБ . Гораздо лучше, чтобы ты оформил свои наработки в виде мануалов, посмотрев и проверив которые, можно было выработать нормальную схему, необходимую для работы. Чтобы люди, которым ты потом будешь это настраивать (а клиентов у тебя в этом случае будет больше), знали что они покупают. Это и есть OpenSource. А то что ты сейчас предлагаешь, это закрытый софт и палево похуже любого майкрософта.

Редактировался Gapak (2014-10-21 11 ч.)

За что тебе денег дать? Легко кричать что всё фигня, а объяснить толком не можешь.
Если знать как всё устроено, можно думать как чекист. Есть данные, они передаются по кабелям. Их можно менять, перенаправлять, обфусцировать. Никакие экстрасенсы там сидеть не будут

Ну давай расскажи нам, каким бредом пользуешься ты?

Лузер - ты.

Я работал по разным схемам и занимался разной фигнёй, благо в этом обществе программистов не хватает.
И эта схема опробована и не только мной, но я юзаю doublevpn (от разных провов), и все скрипты, которые генерят нужный мусорный траф с определённой скоростью

Поменьше воды, где палевна? В каких местах? Расскажи нам, поведай, а то все такие умные только кричать и троллить умеют.

Ну и работай дальше, кто тебе запрещает.

Никто никого лохами не считает. Это не закрытый софт, я даю исходники, просто они остаются у каждого индивидуально.
А мануалов на том же хабре достаточно, всё, что я описал можно сделать просто погуглив (все ключевые слова есть).
А если кто-то задаст вопрос КАК, то я отвечу

Вообще сейчас я openwrt не юзаю.
Во-первых, нормальный рутер N стандарта, с USB портами и хотябы 8MB флеша и 64RAM я просто не нашёл. А на старом ASUS WL500G я уже задолбался сидеть. К тому же, 200MHz процессора могут выжать с одного чистого openvpn только 5Mbit.
Если у вас есть рутер помощнее и пох на USB, то можно запилить. Просто usb даёт мобильность, я один раз припаял ноутовскую аккуму и у меня был мобильный роутер с двумя модемами, который держал более суток (в wl500g много свободного места)

Если уже и делать рутер, то можно взять плату хотябы ALIX (500Mhz/256mb). сделать ей 2 ethernet дырки и вставить USB AP или подключить к лану рутера (отключив на нём всё).

Но схема для openwrt такая же:
0. Выпилывается всё лишнее, в том числе и вебморда LUCI. в 4-8МБ надо поместить всё
1. Создаётся отдельный юзер для tor1
2. Вырезается default gateway из DH***** ответа и вставляется в отдельную таблицу маршрутизации (ip route2)
3. Default gateway в главной таблице заменяется на 127.0.0.1. Но также запрещается маскарадинг на инет интерфейс
4. iptables mark && ip rule делают чудеса, и первый tor работает
5. openvpn (double) через socks port тора, или stunnel
6. tor2 стартует уже с нормальным vpn'овским gateway, который перезаписывает 127.0.0.1
7. TransProxy, iptables --redirect, masquerade, sockd.
8. Hidden SSID, WPA2 personal/enterprise, mac address white list

Asus RT-N66U с прошивкой dd-wrt рулит. Но еще лучше x86-based роутер на debian.

gerc, твой терминал понимает подобное словоблудие? я теперь кажется понял что такое опенсорс - это когда ты ругаешь винду и яблоко за закрытость, а сам программируешь для баша на языке демагогии.