Comments 66
антифрод — это система, которая записывает серийный номер процессора, видеокарты, жесткого диска,Да ладно? Прямо серийный?
Шифрование диска традиционно осуществляется при помощи VeraCrypt. Найдёте альтернативуЕсть минус у веракрипта — диск сильно замедляет, на форуме веракрипта репортили еще с год назад, но до сих пор ничего. Для бытового использования не особо критично, но как рабочий комп под веракриптом уже не очень. Лучше шифровать с помощью SED.
Про SED не слышал, сейчас загуглил, первое впечатление: удобно но не надёжно, изучу, спасибо.
Хабр — ресурс для обывателей?
Хабр — ресурс, куда приходят обыватели в поисках профессиональной или просто полезной или интересной информации.
Лично мне кажется, что если у человека по каким-то причинам возникает необходимость скрыть свою личность в интернете, лучше, если он это сделает по инструкции с хабра, чем из очередного "анонимного" канала про даркнет в повозке, или с сайта с майнерами.
Прямо сейчас в багтрекере sedutil обсуждается проблема прошивки Samsung 970 — при выполнении PSID revert (операция, которая предназначена для возврата накопителя в незашифрованное состояние ценой потери данных) становятся доступны данные, которые были записаны до включения шифрования, что противоречит спецификации OPAL.
К тому же, sedutil не может работать в системах с процессорами Ryzen 3-го поколения из-за ошибки используемом в ядре Linux.
BitLocker в Windows и то надёжнее. Ну а в Linux сам бог велел использовать dm-crypt.
диск сильно замедляетНадо использовать шифр AES, в этом случае, на Intel процессорах используются набор инструкций для аппаратного шифрования. Скорость (рас)шифрования 3.9 ГБ/с, что с запасом хватает на любой SSD.
Впрочем, самый тяжёлый вариант Serpent+Twofish+AES показывает 215ГБ/с на Core-i7 (Haswell), что в принципе сопоставимо со скоростью работы современного HDD, т.е. никакого торможения не будет.
Впрочем, это всё о TrueCrypt. Как-то я VeraCrypt не доверяю.
Как-то я VeraCrypt не доверяю.Что не логично, так как аудитов её код прошёл больше. Ну и TrueCrypt не умеет шифровать системный диск при отключённом CSM, а там где CSM — там и отсутствие защиты от вредоносных OROM-ов, которую даёт SecureBoot. Да и поддержки TPM нет. Таким образом, вы добровольно лишаете себя защиты от изменения прошивки мат.платы, которую могли бы иметь (при изменении прошивки, изменятся и значения регистров TPM, что приведёт к невозможности расшифровать данные, а это уже чёткий сигнал хозяину, что кто-то тут копался).
Никто и не говорил, что безопасность — комфортна.
Между тем, они весьма серьёзны, чего стоит, скажем, способ, гарантированно позволяющий определить наличие скрытого тома внутри контейнера TrueCryptЭто единственная уязвимость? Если да, стоит остаться на TrueCrypt, если только не будет желания пользоваться скрытыми томами.
Между тем, они весьма серьёзны, чего стоит, скажем, способ, гарантированно позволяющий определить наличие скрытого тома внутри контейнера TrueCrypt, что сводит всю правдоподобную отрицаемость к нулю...А можно пруфлинк? Очень интересно почитать.
драматически снижают производительностьПользователи зажрались IOPS-ами SSD/NVME, на HDD незаметно, и с HDD много лет как-то работали и ничего.
Что не логично, так как аудитов её код прошёл большеМутная история. Почему TrueCrypt свернулся и был объявлен небезопасным, но сами уязвимости не были найдены/опубликованы. Моё объяснение — их продукт надёжен, и поэтому авторов заставили свернуться. Естественно, доверять надо не последней версии, а хотя бы собранной за год до событий (благо, на Win10 драйвер не превратился в тыкву).
Почему TrueCrypt свернулся и был объявлен небезопасным, но сами уязвимости не были найдены/опубликованыСтранный вопрос. Потому что их нашли позже, анализируя код VeraCrypt. А зная конкретный участок кода, можно легко проверить, был ли этот код в TrueCrypt.
с HDD много лет как-то работали и ничего.От создателей «и без компухтеров жили и ничего». Серьёзно, в 2019 году топить за HDD… любой SSD, даже самый откровенный китайский шлак а-ля «Goldenfir» или «Kodak», заметно быстрее HDD даже на глаз, бог с ними с циферками (хотя, смысла брать SATA SSD сейчас с каждым месяцем всё меньше, потому что самые дешевые NVME-накопители при сравнимой стоимости тупо быстрее — ушёл в прошлое период, когда NVME был синонимом «премиальный сегмент»).
Серьёзно, в 2019 году топить за HDDВсё зависит от сценариев. Постоянно грузиться с HDD и работать с него — неудобно. Но если нужно изредка зайти в виртуалку и поработать с секретными файлами, скорости HDD более чем достаточно.
отя, смысла брать SATA SSD сейчас с каждым месяцем всё меньше, потому что самые дешевые NVME-накопители при сравнимой стоимости тупо быстрее — ушёл в прошлое период, когда NVME был синонимом «премиальный сегмент»).Это смотря какие, т.к. ситуация уже напоминает ситуацию с мегапикселами в фотоаппаратах.
Мы предпочтем sata slc чем nvme qlc, хотя второй в тестах рвет первый как тузик грелку.
Вообще техология куда-то не туда пошла, slc->mlc->tlc->qlc, в послнекоторых моделях ssd троттлинг уже вовсю включается при нагрузке.
Хорошие ssd типа intel optane стоят не копейки, за 250гб извольте 300 евро отвалить.
Вообще техология куда-то не туда пошла, slc->mlc->tlc->qlc,
Там уже про PLC заикаются: 35(!) циклов перезаписи, зато на целых 20 процентов можно больше впихнуть, чем QLC.
И ведь сделают, и незадачливые юзеры будут покупать и нахваливать, и ругать в каментах HDD.
Рынок нормальных носителей информации совсем убили этим ненадежным хламом.
даже самый откровенный китайский шлак
И подохнет через год-два, причём, в отличии от типового сценария выхода из строя HDD: внезапно и надежно с концами.
Ни о каком долговременном хранении данных на SSD также и думать не стоит.
Бэкап — безусловно, но затраты времени и нервов, когда диск откажет в самый непредсказуемый момент (в отличии от старых хдд, которые лично у меня все сдыхали медленно и мучительно это демонстрируя) они не компенсируют. Раньше сидел по лет 5, и данные спокойно мигрировал на новый диск при плановом апгрейде или очевидном сдыхании предыдущего, притом бэкапы лежали покрытые пылью без необходимости.
Пользователи зажрались IOPS-ами SSD/NVME, на HDD незаметно, и с HDD много лет как-то работали и ничего.Дело в том, что тормозит не из-за AES и не из-за nvme. Тормозит из-за особенности работы веракрипта с диском.
При чем тормозит настолько сильно, что когда идет работа с кучей файлов (казалось бы сильная сторона ssd), то тормоза хуже чем на hdd бывают. На трукрипте такого, кстати, не было, но трукрипт не поддерживает GPT.
Для нормального использования — вполне норм, в быту особо эти тормоза незаметны. Но вот распаковать бакап или поработать с базами данных активно — уже жесть.
но трукрипт не поддерживает GPT.В смысле, загрузку с GPT? Обычные шифрованные разделы создаёт.
Спасибо!
Быть хорошим мальчиком и не мусорить — всегда самый рабочий вариант! Ну и пользуясь всеми достижениями технического прогресса нельзя забывать о главном факторе безопасности — человеческом. Хотите быть анонимным — будьте одиноки и в сети, и в реальной жизни. "Что знают двое — знает и осёл" (с) народная мудрость.
даже самым грязным лапам коррумпированных следователей не дотянутся до ваших «секретов»А если вы не супермен и пытку током не выдержите?
Я зашел на сайт Сферы и… не понял, что это такое ).
Тут официальный гайд.
Вы наверчиваете всё больше и больше «слоёв безопасности», но при этом об их реальной эффективности и непробиваемости «кем надо» можете лишь гадать, ведь проверить это на практике невозможно.
Пока вы играетесь в песочнице, никто вас просто не будет ловить, вы никому не интересны и потому можете думать, что ваши методы суперэффективны. А как только заденете интересы серьёзных дядь, тут научиться просто не успеете, потому что первая же ошибка станет последней.
Как читали нам военные на спецкурсе по защите информации в МГУ в 1998: цель системы защиты информации от кражи по какому-либо каналу несанкционированного доступа — сделать так, чтобы информацию было дешевле/быстрее украсть по другому каналу несанкционированного доступа.
Соответственно, если злая система очень-очень захочет вас посадить — посадят по ложному обвинению в изнасиловании, если уж не сумели вскрыть ваш шифрованный диск. Не обязательно в РФ, вспомните Ассанжа. Пока все те судебные процессы, связанные с вскрытием личной инфы, о которых я читал, представляют собой следствие пренебрежения жертвой элементарными правилами собственной информационной безопасности, либо незнания законов (dura lex, sed lex), а точнее, незнания, как можно безопасно нарушать наиболее одиозные из них :). Богатов как пример тут служить вряд ли может — его случай, скорее, подтверждает зависимость нашей судебной системы от приказов сверху, чем реальную деанонимизацию в Тор.
Поэтому, на мой взгляд, комбинация LiveCD+VPN будет работать вполне надежно, пока за разработку «нарушителя» не взялось ЦРУ-АНБ силами пары отделов. Основная уязвимость — она в голове, в привычке работать в незащищенной среде по незащищенным каналам связи и светить своими «метаданными» в соцсетях. Основные попытки современных государств по принятию «антитеррористических» законов в части IT направлены именно на это — контроль рабочей среды (запрет надежного шифрования) и контроль каналов связи (СОРМ-PRISM).
Изначально логика этих статей была про "корпорации и одноклассники отслеживают данные юзера и гадят ему в тапок спамом ради профита и лулзов", а затем она перескакивает на "как защитить печень от всемогущих рептилоидов".
В случае со спамом в большей части случаев может спасти банальная фильтрация входящей информации: антиспам-приложения на смартфоне, антиспам в почтовом ящике, ручное внесение подозрительных номеров и email'ов в блэклисты, вайтлисты для важных контактов.
Фильтровать исходящую информацию, разумеется, тоже надо (включая риски попадения личной техники в руки недоброжелателей), однако на каждый случай фатальной утечки информации (бдительная воспитательница нашла текстовое цэпе на электронной читалке вожатого и сдала его полиции, вожатый оговорил воспитательницу в участии в сатанинском культе, обоих сожгли на костре после пяти месяцев пыток) приходятся сотни случаев, которые вызывают только досаду от потраченных на спам пяти секунд.
Соответственно, если злая система очень-очень захочет вас посадитьАнонимность — это о том, как сделать так, чтобы система не знала, где найти того, кого она хочет посадить.
Анонимность концептуально невозможна при установлении соединения точка-точка: чем и откуда не шифруй, где-то эти данные откажутся открыты, а весь их путь может быть кем-то сохранен, пусть и все разными лицами. Все решения — лишь попытка обфускации. "Правильным" выходом являются исключительно широковещательные сети, в которых любой кусок передаваемых данных не имеет явно указанного отправителя и получателя, но хоть сколько эффективную реализацию нам еще лишь предстоит увидеть (если она вообще возможна)
Указанные в статье методы бесполезны при защите от систем поведенческого анализа, а таки системы и рассматривают как основной механизм деанонимности. Тем более это все бесполезно, если вас уже поставили под контроль.
Конечно это не отменяет "сетевой гигиены", но говорить о том, что методы из статьи защитят анонимность — несколько наивно.
бесполезно, если вас уже поставили под контрольРаскройте полнее. Поставили на контроль, видят туннель в TOR, что дальше?
При этом архипросто сделать так, чтобы делать виртуалку на шифрованном диске повторно незапускаемой (так же, как в TrueCryupt/VeraCrypt: для необратимого удаления возможности расшифровать диск достаточно переписать относительно небольшой участок диска).
1. Очень желательно, чтобы IP, по которому «аноним» коннектится к проксе/впну, отличался от IP, с которого прокси/впн будет коннектиться к сайту назначения. Т.е. нужна цепочка.
2. Чтобы затруднить отслеживание активности «анонима» — в идеале через впн от него/к нему должен идти непрерывный шифрованный поток «белого шума». Т.е. все пакеты одного размера и посылаются через равный интервал, если нет полезной информации для посылки — посылаются рандомные байты. Не очень быстро и очень сильно забивает канал, зато отследить, когда именно человек что-то пишет/качает — невозможно.
PS А что касается шифрования дисков — есть весьма удобная штука с аппаратным шифрованием и аппаратным пин-кодом (=не страшны кейлоггеры):
istorage-uk.com/product-category/encrypted-hdds-ssds
Но почему VeraCrypt? Ведь неоднократно всплывала информация, что тот самый «независимый аудит» VeraCrypt был проверен аффилированной структурой Quarkslab (своими же) и оказался вполне зависимым.
Возможно, лучше таки ориентироваться на TrueCrypt 7.1а? (предпоследняя версия)
Об анонимности в интернете, жизни и её относительности