Желаю Всем доброго времени суток! Мне задавали довольно часто вопрос о том, как настроить полностью свою систему так, чтобы она была анонимная и безопасна. Хочу предупредить заранее, что эта статья не представляет собой мануал-инструкцию, а фактически является набором тезисов, которые будут отражать суть проблемы и возможные варианты решения. Скажем проще - это будет просто перечень пунктов на которые нужно обратить внимание. Это не инструкция, поскольку у каждого свое финансовое обеспечение, свои задачи, которые они требуют от системы, у каждого свои знания и навыки в этой сфере. Некоторые из Вас однозначно подумают, что я нагнетаю ситуацию, однобоко рассматриваю ситуацию и даже являюсь параноиком. Я не заставляю Вас это выполнять, решать только Вам. Поехали!
1. Прежде всего, начнем с выбора аппаратной части, то есть ноутбук. Здесь все довольно сложно, потому что почти все производители этой продукции не уважают права пользователей на свободу и безопасность их личных данных. Приведу очень интересный пример, большинство Ваших ноутбуков имеют процессор Intel, также они имеют свой сабпроцесор под названием Intel Management Engine, который в системе выше root (то есть по идее наиболее привилегированного пользователя). Имея доступ к сабпроцесору, злоумышленник получает доступ ко всему и заблокировать его невозможно. Если отключить его, то и не запустится и сам процессор. Об этом уязвимость знают разработчики уже довольно давно, но ничего с этим не планируют делать. Неудивительно?
Intel Management Engine
Решение: если нельзя отключить, то можно перепрошить. Но предупреждаю, это только для профессионалов, которые имели с этим дело. Делается это с помощью платы Raspberry Pi или программатора. Для начинающих рекомендую обратить свое внимание на продукцию компании Purism, которая борется за свободное программное и аппаратное обеспечение, и на их серию продукцию Librem. Поскольку она пока достаточно дорогая и недоступная в многих странах пока, то обратите внимание на ноутбуки серии ThinkPad, но исключительно производства IBM, а не Lenovo.
ThinkPad X200
Для телефонов, то здесь ситуация разная. Если мы говорим о стоковой прошивке (от производителя), то это однозначно IOS с их закрытой системой. Но это все равно не анонимно и опасно для Ваших данных.
Решение: телефон на базе Android, который поддерживает прошивку LineageOS, Kali NetHunter или Paranoide.
Мой Asus Nexus 7 c Kali Nethunter
2. Далее будет идти набор микропрограммы для работы с аппаратурой ноутбуке или ПК, а также для работы с подключенными к ним устройствами. Вы все знаете это как BIOS или UEFI. Однако у обоих есть ряд уязвимостей и программных закладок от самих разработчиков, поэтому для использования они не рекомендуются.
Решение: использование открытого программного обеспечения CoreBoot или LibreBoot, которые имеют ядро Linux.
3. После этого Вам будет необходимо выбрать операционную систему. Тут долго останавливаться не буду, на форуме есть куча статей, которые это обозревают. Нельзя использовать ОС типа Windows или MacOS, а только ОС на базе Linux или BSD.
Решение: рекомендую Вам для начала освоить операционные системы семейства Debian, затем Arch, а в дальнейшем обратить также внимание на Hyperbola GNU / Linux и OpenBSD. Во-первых, в данных дистрибутивах отсутствует система BDI, вместо OpenSSL используется LibreSSL, блокируется все неоткрытое программное обеспечение на уровне ядра. Если не понимаете, что такое BDI, OpenSSL, LibleSSL и в чем разница, то рекомендую загуглиты. Это довольно тяжелая тема, но важная.
Сам же использую OPENBSD 6.7
4. При установке операционной системы или после ее окончания рекомендую зашифровать диск полнодисковим шифрованием. Для этого есть утилита LUKS2.
Как видите, то перед загрузкой ОС у меня запрашивает Passphrase, это и значит то, что системный диск зашифрован LUKS2
5. После установки шифрования и обновление всей системы, можете устанавливать программное обеспечение, которое Вам нужно. По браузеров, то рекомендую использовать браузер на основе FireFox. Это IceCat, Tor Browser, LibreFox. Нужно помнить, что браузеры собирают и отправляют довольно много метаданных о Вашей систему. Поэтому нужно устанавливать и настраивать расширение для браузера, которое будет блокировать разные трекеры и рекламу, отключить функции и скрытых настроек через about: config, которые Вам не нужны.
6. Если Вам нужны почтовые клиенты, то рекомендую использовать ThunderBird. Это почтовый клиент с открытым кодом, разработанный FireFox Fundation.
С месседжерами на форуме тоже есть много статьей. Здесь до сих пор рекомендую использовать Jabber (XMPP) и Matrix.
7. Используйте виртуальные машины. Так злоумышленники не смогут узнать конфигурацию и данные настоящей системы. Ваш Wi-Fi роутер также в опасности. Поскольку довольно много уязвимостей и программных закладок существует на нынешних роутерах. Используйте роутеры на базе свободного программного обеспечения OpenWrt. Также хочу отметить, что роутеры знают некоторую конфигурацию устройств, подключались к нему. Поэтому нужно ставить промежуточное звено между Вашими устройствами и роутером. Для этого легко можно организовать с помощью MikroTik или Raspberry Pi с OpenWrt. Таким образом роутер будет иметь информацию только о промежуточном звене. Даже при сканировании сети Ваши устройства будут оставаться в безопасности.
Oracle Virtual Box c моими виртуалками
8. Финальным аккордом станет обфускация (усложнения) и шифрования Вашего трафика. Даже при использовании VPN, а также Tor, I2P и FreeNet сетей Ваш провайдер все равно видит, что вы используете данные технологии и будет индексировать и метить Ваш трафик в сети. Это в дальнейшем может привести к блокированию доступа на эти ресурсы. Есть программное обеспечение Noisy, которое будет усложнять Ваш трафик и провайдер Вас не индексирует. Используйте только собственный VPN-сервер, поскольку Вы можете контролировать маршрут и хранения Вашего трафика. Это возможно организовать с помощью виртуального частного сервера VPS или Raspberry Pi с публичным ip-адресом.
У меня развернут WireGuard на VPS(Debian 10) на сервисе Digital Ocean
Но это только малая часть. Анонимность не заканчивается на ноутбуке. Если Вы хотите быть анонимными в реальной жизни, то нужно соблюдать некоторые правила. Например, не нужно пользоваться мобильными телефонами или ограничить себя в его использованы, не нужно жить по месту прописки, официально работать, не пользуйтесь банками, никаких социальных сетей и многие другие факторы, которые влияют на Вашу деанонимизация. Но это всу утопия.) Все что я сказал о настройке безопасности Вашей системы верно, но если Вами заинтересовалась служба на три буквы, то это Вас не спасет. О Вас или уже все знают, или пока не знают, потому Вы еще не интересны.
1. Прежде всего, начнем с выбора аппаратной части, то есть ноутбук. Здесь все довольно сложно, потому что почти все производители этой продукции не уважают права пользователей на свободу и безопасность их личных данных. Приведу очень интересный пример, большинство Ваших ноутбуков имеют процессор Intel, также они имеют свой сабпроцесор под названием Intel Management Engine, который в системе выше root (то есть по идее наиболее привилегированного пользователя). Имея доступ к сабпроцесору, злоумышленник получает доступ ко всему и заблокировать его невозможно. Если отключить его, то и не запустится и сам процессор. Об этом уязвимость знают разработчики уже довольно давно, но ничего с этим не планируют делать. Неудивительно?
Intel Management Engine
Решение: если нельзя отключить, то можно перепрошить. Но предупреждаю, это только для профессионалов, которые имели с этим дело. Делается это с помощью платы Raspberry Pi или программатора. Для начинающих рекомендую обратить свое внимание на продукцию компании Purism, которая борется за свободное программное и аппаратное обеспечение, и на их серию продукцию Librem. Поскольку она пока достаточно дорогая и недоступная в многих странах пока, то обратите внимание на ноутбуки серии ThinkPad, но исключительно производства IBM, а не Lenovo.
ThinkPad X200
Для телефонов, то здесь ситуация разная. Если мы говорим о стоковой прошивке (от производителя), то это однозначно IOS с их закрытой системой. Но это все равно не анонимно и опасно для Ваших данных.
Решение: телефон на базе Android, который поддерживает прошивку LineageOS, Kali NetHunter или Paranoide.
Мой Asus Nexus 7 c Kali Nethunter
2. Далее будет идти набор микропрограммы для работы с аппаратурой ноутбуке или ПК, а также для работы с подключенными к ним устройствами. Вы все знаете это как BIOS или UEFI. Однако у обоих есть ряд уязвимостей и программных закладок от самих разработчиков, поэтому для использования они не рекомендуются.
Решение: использование открытого программного обеспечения CoreBoot или LibreBoot, которые имеют ядро Linux.
3. После этого Вам будет необходимо выбрать операционную систему. Тут долго останавливаться не буду, на форуме есть куча статей, которые это обозревают. Нельзя использовать ОС типа Windows или MacOS, а только ОС на базе Linux или BSD.
Решение: рекомендую Вам для начала освоить операционные системы семейства Debian, затем Arch, а в дальнейшем обратить также внимание на Hyperbola GNU / Linux и OpenBSD. Во-первых, в данных дистрибутивах отсутствует система BDI, вместо OpenSSL используется LibreSSL, блокируется все неоткрытое программное обеспечение на уровне ядра. Если не понимаете, что такое BDI, OpenSSL, LibleSSL и в чем разница, то рекомендую загуглиты. Это довольно тяжелая тема, но важная.
Сам же использую OPENBSD 6.7
4. При установке операционной системы или после ее окончания рекомендую зашифровать диск полнодисковим шифрованием. Для этого есть утилита LUKS2.
Как видите, то перед загрузкой ОС у меня запрашивает Passphrase, это и значит то, что системный диск зашифрован LUKS2
6. Если Вам нужны почтовые клиенты, то рекомендую использовать ThunderBird. Это почтовый клиент с открытым кодом, разработанный FireFox Fundation.
С месседжерами на форуме тоже есть много статьей. Здесь до сих пор рекомендую использовать Jabber (XMPP) и Matrix.
7. Используйте виртуальные машины. Так злоумышленники не смогут узнать конфигурацию и данные настоящей системы. Ваш Wi-Fi роутер также в опасности. Поскольку довольно много уязвимостей и программных закладок существует на нынешних роутерах. Используйте роутеры на базе свободного программного обеспечения OpenWrt. Также хочу отметить, что роутеры знают некоторую конфигурацию устройств, подключались к нему. Поэтому нужно ставить промежуточное звено между Вашими устройствами и роутером. Для этого легко можно организовать с помощью MikroTik или Raspberry Pi с OpenWrt. Таким образом роутер будет иметь информацию только о промежуточном звене. Даже при сканировании сети Ваши устройства будут оставаться в безопасности.
Oracle Virtual Box c моими виртуалками
8. Финальным аккордом станет обфускация (усложнения) и шифрования Вашего трафика. Даже при использовании VPN, а также Tor, I2P и FreeNet сетей Ваш провайдер все равно видит, что вы используете данные технологии и будет индексировать и метить Ваш трафик в сети. Это в дальнейшем может привести к блокированию доступа на эти ресурсы. Есть программное обеспечение Noisy, которое будет усложнять Ваш трафик и провайдер Вас не индексирует. Используйте только собственный VPN-сервер, поскольку Вы можете контролировать маршрут и хранения Вашего трафика. Это возможно организовать с помощью виртуального частного сервера VPS или Raspberry Pi с публичным ip-адресом.
У меня развернут WireGuard на VPS(Debian 10) на сервисе Digital Ocean
Но это только малая часть. Анонимность не заканчивается на ноутбуке. Если Вы хотите быть анонимными в реальной жизни, то нужно соблюдать некоторые правила. Например, не нужно пользоваться мобильными телефонами или ограничить себя в его использованы, не нужно жить по месту прописки, официально работать, не пользуйтесь банками, никаких социальных сетей и многие другие факторы, которые влияют на Вашу деанонимизация. Но это всу утопия.) Все что я сказал о настройке безопасности Вашей системы верно, но если Вами заинтересовалась служба на три буквы, то это Вас не спасет. О Вас или уже все знают, или пока не знают, потому Вы еще не интересны.
