Мы живем в мире, где анонимность и конфиденциальность в Интернете невозможны.
Ваши телефонные звонки могут быть прослушаны, данные смартфона могут быть украдены, и даже камера и микрофон могут быть включены дистанционно.
За вами можно наблюдать со спутника в режиме реального времени.
Мы все живем в матрице и ее спецслужбах, которые охотятся на тех, кто угрожает системе, и все происходит почти автоматически.
Они умны и быстро совершенствуются (почитайте о временных атаках и дактилоскопии сайтов) – они могут выследить вас, не расшифровывая никаких данных.
Но несмотря на то, что большинство технологий, которые мы используем ежедневно, небезопасны, есть некоторые возможности для обеспечения онлайн-безопасности.
Ниже я собираюсь предоставить несколько вариантов, которые могут помочь обеспечить вашу безопасность в Интернете (и немного в реальной жизни).
Безопасность вашего настольного компьютера / ноутбука
1. Пользователям MS Windows и macOS уже нечего терять.
Эти операционные системы заполнены троянами NSA и имеют полный доступ к вашему компьютеру как минимум с 1998 года (согласно Сноудену).
Вы помните новости, когда все машины с Windows XP в мире обновили 9 системных файлов, даже когда служба обновления Windows была отключена?
А теперь с Windows 10 ваш процессор постоянно горит, даже в режиме ожидания.
Может быть, они что-то брутфорсят ?
Итак, используйте Linux, а лучше – coreboot или Libreboot (BIOS с открытым исходным кодом).
Вы можете купить аппаратное обеспечение на основе рекомендаций известного и уважаемого (все еще немного параноидального) шифропанка Ричарда Столлмана.
2. При обычном включении ноутбука должен появиться совершенно другой рабочий стол (у вас может быть Windows, но это только для отвлечения).
Но если вы сделаете пару секретных кликов (и введете пароль (или два разных пароля)), требуемый рабочий стол должен загрузиться.
Все описанное ниже применимо для установки на флешку.
3. Полное шифрование диска защитит от колд бут атак при загрузке:
✗Что такое атака «холодная загрузка»: пояснение и как обезопасить себя✗
и, возможно, от криптоанализа с резиновым шлангом, если вы стойкий оловянный солдатик.
4. Настройка безопасного и быстрого интернет-соединения.
4.1 Купите Wi-Fi-адаптер Qualcomm Atheros.
Хорошо бы написать собственный патч для ядра, который будет генерировать случайный MAC-адрес каждый раз, когда адаптер включен.
Если у вас есть Android (и он должен быть чем-то вроде Replicant), вы также можете установить ядро и запустить точку доступа для своего ноутбука.
4.2 Если у вас есть CDMA Internet в вашей стране, то изменение микропрограммы модема только для EVDO – не позволит определить географические координаты модема, так как EVDO не поддерживает координаты X-Y-Z.
4.3. Многие популярные китайские смартфоны имеют свои собственные специальные прошивки Android, которые позволяют перепрошивать IMEI, а также изменять MAC-адрес, нажав всего одну кнопку.
4.4. Сконфигурируйте весь интернет-трафик так, чтобы он шел Tor1> OpenVPN (возможно Double)> Tor2. Почему Tor появляется в качестве начальной точки? Просто потому, что все используют Tor. В наши дни каждый школьник использует Tor и напрямую подключается к известному провайдеру OpenVPN (например, к бесплатному VPN Avast) – и вы выделитесь. Кроме того, провайдеры OpenVPN не будут знать ваш IP, и частая смена IP-адресов вообще не вызовет подозрений, благодаря наличию таких параметров конфигурации.
OpenVPN дефолтные доступы к серверу по умолчанию
Порт socks Tor1 можно настроить для использования с определенным \ отдельным профилем браузера (для анонимного просмотра YouTube и т. д. Хотя мой YouTube отлично работает в конце цепочки).
Через Tor2 весь трафик должен идти по умолчанию (с изоляцией всех конечных узлов и портов (и отдельной цепью Tor для каждого из них).
Весь DNS проходит через Tor2, но вы также можете использовать OpenNIC с сигнатурами DNSSEC / DNSCrypt (несмотря на тот факт, что Tor не хватает UDP).
Tor1 и Tor2 могут быть настроены на использование быстрых узлов. С обоими лучше исключить более или менее известные серверы АНБ. Для Tor1 я исключил контролируемые узлы (чтобы VPN работал быстрее).
Получите OpenVPN от надежного провайдера, который не ведет журналы и имеет много оффшорных (безопасная юрисдикция) серверов.
Покупайте VPN с использованием биткойнов (используйте тумблеры перед отправкой биткойнов).
Для полных параноиков вы можете обернуть OpenVPN (double) в OpenSSL 443.
Таким образом, идентификация трафика OpenVPN будет невозможна даже в Tor.
У Tor есть простое правило: чем больше пользователей, тем безопаснее и быстрее.
4.5 Советую настроить все интернет-соединения без виртуальных машин.
Будьте внимательны при настройке iptables / iproute2.
Подготовьте свой собственный скрипт, который перехватывает ответ DHCP, берет правильный шлюз по умолчанию и заменяет его случайным.
Только Tor1 должен знать шлюз по умолчанию, и вообще не должно быть никакого соединения, если что-то в нашей цепочке не включается.
Часть конфигурации Tor можно позаимствовать у Whonix.
4.6 Для поддержки UDP или для подключения к хостам, которые блокируют Tor, или для IP-телефонии, должен быть локальный порт socks / HTTP-прокси, который отправляет трафик Tor1> OpenVPN.
4.7. Настройте профили Chromium и / или Firefox (исключая любое отслеживание полностью).
- Все куки должны быть заблокированы по умолчанию. Тем не менее, вы можете иметь кликабельный белый список.
- Создайте свой собственный список времени истечения для файлов cookie для каждого домена.
- Используйте все доступные списки, чтобы заблокировать рекламу, рекламное ПО, шпионское ПО, вирусы.
- Используйте Privoxy, который блокирует множество плохих вещей, включая эксплойты.
- Используйте сценарии и исправления, чтобы ограничить доступ Chromium к Google даже для обновлений расширений.
- Для параноиков – отключить JavaScript.
- User-Agent должен меняться каждые N минут, для этого готовится список.
- Сложная идентификация в браузере с использованием параметров из Panopticlick (проверьте себя).
- Также возможно запустить браузер, используя отдельного пользователя компьютера, который вообще не имеет доступа к файлам.
4.8 Используйте Tor1> OpenVPN> I2P в качестве дополнительного (аварийного) интернет-соединения.
4.9 Ваш браузер должен работать с сайтами .onion и .i2p.
5. Настройте клиент Jabber (с шифрованием). Доступ к нему через другой порт Tor2.
6. Для электронной почты используйте Thunderbird (с шифрованием). Каждый хост должен использовать отдельный путь \ цепь Tor. Для электронной почты используйте свой собственный сервер с полным шифрованием диска.
