Comments 66
антифрод — это система, которая записывает серийный номер процессора, видеокарты, жесткого диска,Да ладно? Прямо серийный?
Шифрование диска традиционно осуществляется при помощи VeraCrypt. Найдёте альтернативуЕсть минус у веракрипта — диск сильно замедляет, на форуме веракрипта репортили еще с год назад, но до сих пор ничего. Для бытового использования не особо критично, но как рабочий комп под веракриптом уже не очень. Лучше шифровать с помощью SED.
Обывателю слово серийный будет понятнее imei, mac и прочих я думаю.
Про SED не слышал, сейчас загуглил, первое впечатление: удобно но не надёжно, изучу, спасибо.
Про SED не слышал, сейчас загуглил, первое впечатление: удобно но не надёжно, изучу, спасибо.
MAC-адрес антифрод системам тоже не передаётся. С такими системами вы взаимодействуете, в подавляющем большинстве случаев, с помощью браузера, который не станет передавать MAC, IMEI и серийные номера железа.
Хабр — ресурс для обывателей?
Хабр — ресурс, куда приходят обыватели в поисках профессиональной или просто полезной или интересной информации.
Лично мне кажется, что если у человека по каким-то причинам возникает необходимость скрыть свою личность в интернете, лучше, если он это сделает по инструкции с хабра, чем из очередного "анонимного" канала про даркнет в повозке, или с сайта с майнерами.
UFO just landed and posted this here
Прошивка вашего накопителя аудит безопасности не проходила. Никто не даст вам гарантий, что там нет факапа, который допустила Crucial — когда ключ шифрования данных не шифровался паролем пользователя, а просто лежал в открытом виде.
Прямо сейчас в багтрекере sedutil обсуждается проблема прошивки Samsung 970 — при выполнении PSID revert (операция, которая предназначена для возврата накопителя в незашифрованное состояние ценой потери данных) становятся доступны данные, которые были записаны до включения шифрования, что противоречит спецификации OPAL.
К тому же, sedutil не может работать в системах с процессорами Ryzen 3-го поколения из-за ошибки используемом в ядре Linux.
BitLocker в Windows и то надёжнее. Ну а в Linux сам бог велел использовать dm-crypt.
Прямо сейчас в багтрекере sedutil обсуждается проблема прошивки Samsung 970 — при выполнении PSID revert (операция, которая предназначена для возврата накопителя в незашифрованное состояние ценой потери данных) становятся доступны данные, которые были записаны до включения шифрования, что противоречит спецификации OPAL.
К тому же, sedutil не может работать в системах с процессорами Ryzen 3-го поколения из-за ошибки используемом в ядре Linux.
BitLocker в Windows и то надёжнее. Ну а в Linux сам бог велел использовать dm-crypt.
диск сильно замедляетНадо использовать шифр AES, в этом случае, на Intel процессорах используются набор инструкций для аппаратного шифрования. Скорость (рас)шифрования 3.9 ГБ/с, что с запасом хватает на любой SSD.
Впрочем, самый тяжёлый вариант Serpent+Twofish+AES показывает 215ГБ/с на Core-i7 (Haswell), что в принципе сопоставимо со скоростью работы современного HDD, т.е. никакого торможения не будет.
Впрочем, это всё о TrueCrypt. Как-то я VeraCrypt не доверяю.
Не поможет, TrueCrypt и VeraCrypt драматически снижают производительность NVME-дисков, незавивисимо от используемого алгоритма. Линейное чтение проседает в 4 раза, IOPSы от 4 до 25 раз. DiskCryptor и BitLocker работают существенно быстрее, так что это специфическая проблема именнно TC/VC, вытекающая из архитектуры программы, которая создавалась давным-давно из расчёта на использование контейнеров.
Как-то я VeraCrypt не доверяю.Что не логично, так как аудитов её код прошёл больше. Ну и TrueCrypt не умеет шифровать системный диск при отключённом CSM, а там где CSM — там и отсутствие защиты от вредоносных OROM-ов, которую даёт SecureBoot. Да и поддержки TPM нет. Таким образом, вы добровольно лишаете себя защиты от изменения прошивки мат.платы, которую могли бы иметь (при изменении прошивки, изменятся и значения регистров TPM, что приведёт к невозможности расшифровать данные, а это уже чёткий сигнал хозяину, что кто-то тут копался).
Никто и не говорил, что безопасность — комфортна.
Использование устаревшего софта, в данном случае, не только не усиливает безопасность, а снижает её (по сранвнению с безопаностью, обеспечиваемой новым софтом). Исправил ли кто-то в TrueCrypt уязвимости, найденные уже в ходе разработки VeraCrypt, которые ей достались по наследству? Нет. Между тем, они весьма серьёзны, чего стоит, скажем, способ, гарантированно позволяющий определить наличие скрытого тома внутри контейнера TrueCrypt, что сводит всю правдоподобную отрицаемость к нулю (атакующий точно знает, что там есть скрытый том, следовательно, имеет смысл давить на владельца, пока он не сознается, а пока владелец отрицает наличие «второго дна» — он 100% лжёт).
Между тем, они весьма серьёзны, чего стоит, скажем, способ, гарантированно позволяющий определить наличие скрытого тома внутри контейнера TrueCryptЭто единственная уязвимость? Если да, стоит остаться на TrueCrypt, если только не будет желания пользоваться скрытыми томами.
Между тем, они весьма серьёзны, чего стоит, скажем, способ, гарантированно позволяющий определить наличие скрытого тома внутри контейнера TrueCrypt, что сводит всю правдоподобную отрицаемость к нулю...А можно пруфлинк? Очень интересно почитать.
драматически снижают производительностьПользователи зажрались IOPS-ами SSD/NVME, на HDD незаметно, и с HDD много лет как-то работали и ничего.
Что не логично, так как аудитов её код прошёл большеМутная история. Почему TrueCrypt свернулся и был объявлен небезопасным, но сами уязвимости не были найдены/опубликованы. Моё объяснение — их продукт надёжен, и поэтому авторов заставили свернуться. Естественно, доверять надо не последней версии, а хотя бы собранной за год до событий (благо, на Win10 драйвер не превратился в тыкву).
Почему TrueCrypt свернулся и был объявлен небезопасным, но сами уязвимости не были найдены/опубликованыСтранный вопрос. Потому что их нашли позже, анализируя код VeraCrypt. А зная конкретный участок кода, можно легко проверить, был ли этот код в TrueCrypt.
с HDD много лет как-то работали и ничего.От создателей «и без компухтеров жили и ничего». Серьёзно, в 2019 году топить за HDD… любой SSD, даже самый откровенный китайский шлак а-ля «Goldenfir» или «Kodak», заметно быстрее HDD даже на глаз, бог с ними с циферками (хотя, смысла брать SATA SSD сейчас с каждым месяцем всё меньше, потому что самые дешевые NVME-накопители при сравнимой стоимости тупо быстрее — ушёл в прошлое период, когда NVME был синонимом «премиальный сегмент»).
Серьёзно, в 2019 году топить за HDDВсё зависит от сценариев. Постоянно грузиться с HDD и работать с него — неудобно. Но если нужно изредка зайти в виртуалку и поработать с секретными файлами, скорости HDD более чем достаточно.
отя, смысла брать SATA SSD сейчас с каждым месяцем всё меньше, потому что самые дешевые NVME-накопители при сравнимой стоимости тупо быстрее — ушёл в прошлое период, когда NVME был синонимом «премиальный сегмент»).Это смотря какие, т.к. ситуация уже напоминает ситуацию с мегапикселами в фотоаппаратах.
Мы предпочтем sata slc чем nvme qlc, хотя второй в тестах рвет первый как тузик грелку.
Вообще техология куда-то не туда пошла, slc->mlc->tlc->qlc, в послнекоторых моделях ssd троттлинг уже вовсю включается при нагрузке.
Хорошие ssd типа intel optane стоят не копейки, за 250гб извольте 300 евро отвалить.
Зато при желании оптейн можно затереть за секунды. А медленные TLC будут затираться дольше… Иногда быстрое затирание может быть полезным
Вообще техология куда-то не туда пошла, slc->mlc->tlc->qlc,
Там уже про PLC заикаются: 35(!) циклов перезаписи, зато на целых 20 процентов можно больше впихнуть, чем QLC.
И ведь сделают, и незадачливые юзеры будут покупать и нахваливать, и ругать в каментах HDD.
Рынок нормальных носителей информации совсем убили этим ненадежным хламом.
даже самый откровенный китайский шлак
И подохнет через год-два, причём, в отличии от типового сценария выхода из строя HDD: внезапно и надежно с концами.
Ни о каком долговременном хранении данных на SSD также и думать не стоит.
Именно поэтому я не советую использовать системный диск под долговременное хранилище. И, разумеется, резервная копия в географически другом месте (никто не отменял пожары и затопления от соседей).
Так даже если не системный, второй диск всё равно будет ссд. Да и хдд сейчас пошли крайне ненадежные, с черепичной записью и прочими «радостями».
Бэкап — безусловно, но затраты времени и нервов, когда диск откажет в самый непредсказуемый момент (в отличии от старых хдд, которые лично у меня все сдыхали медленно и мучительно это демонстрируя) они не компенсируют. Раньше сидел по лет 5, и данные спокойно мигрировал на новый диск при плановом апгрейде или очевидном сдыхании предыдущего, притом бэкапы лежали покрытые пылью без необходимости.
Бэкап — безусловно, но затраты времени и нервов, когда диск откажет в самый непредсказуемый момент (в отличии от старых хдд, которые лично у меня все сдыхали медленно и мучительно это демонстрируя) они не компенсируют. Раньше сидел по лет 5, и данные спокойно мигрировал на новый диск при плановом апгрейде или очевидном сдыхании предыдущего, притом бэкапы лежали покрытые пылью без необходимости.
Пользователи зажрались IOPS-ами SSD/NVME, на HDD незаметно, и с HDD много лет как-то работали и ничего.Дело в том, что тормозит не из-за AES и не из-за nvme. Тормозит из-за особенности работы веракрипта с диском.
При чем тормозит настолько сильно, что когда идет работа с кучей файлов (казалось бы сильная сторона ssd), то тормоза хуже чем на hdd бывают. На трукрипте такого, кстати, не было, но трукрипт не поддерживает GPT.
Для нормального использования — вполне норм, в быту особо эти тормоза незаметны. Но вот распаковать бакап или поработать с базами данных активно — уже жесть.
Говорят самая надежная версия TrueCrypt — это версия 7.1a.
Господи что? покажите мне хотя бы 1 такую антифрод систему.
Спасибо!
Спасибо!
Ниже писал про это например, за безопасность ручаться не могу — код закрытый и не мой.
Это не антифрод система ))) Читай внимательней вопрос )
Если вы про то, что ставить на виртуалку — ну например тэйлс, она конечно не антифрод, но безопасности прибавляет значительно.
Быть хорошим мальчиком и не мусорить — всегда самый рабочий вариант! Ну и пользуясь всеми достижениями технического прогресса нельзя забывать о главном факторе безопасности — человеческом. Хотите быть анонимным — будьте одиноки и в сети, и в реальной жизни. "Что знают двое — знает и осёл" (с) народная мудрость.
даже самым грязным лапам коррумпированных следователей не дотянутся до ваших «секретов»А если вы не супермен и пытку током не выдержите?
Можно чайниковский вопрос — вот хочет наш анон уютно сидя дома, за чашкой чая поругать в где-то в интернетах правительство Гаити. Как ему это сделать правильно, чтобы избежать нашествия тонтон-макутов?
В смысле . Вся статья про то какие есть вариации осуществления такой деятельности.
Если по простому — платный vpn + бесплатная версия сферы с включенным тором.
Если прямо жестить так, что весь отдел «к» искать будет — платный впн + виртуалка + из виртуалки тор
Если по простому — платный vpn + бесплатная версия сферы с включенным тором.
Если прямо жестить так, что весь отдел «к» искать будет — платный впн + виртуалка + из виртуалки тор
Спасибо! В статье даны общие рекомендации, а как известно «абстракции текут». Конкретные реализации могут быть по каким-то причинам в принципе нежелательными, а неспециалист об этом знать не будет. Таким образом конкретная рекомендация — брать вот этот софт такой версии и тыкать туда — предполагает, что это уже опробованный вариант признанный хорошим.
Я зашел на сайт Сферы и… не понял, что это такое ).
Я зашел на сайт Сферы и… не понял, что это такое ).
Сфера — браузер-антидетект на базе движка chromium. По заверениям разработчиков вырезаны все метрики, вся аналитика. При запуске сфера предлагает создать пароль, без которого, снова по заверениям разработчиков, невозможно дешифровать локальные файлы ваших аккаунтов внутри сферы. Далее после непродолжительной загрузки вам будет доступно создание личности, для которой можно указать всякие там временные зоны, включить прокси или тор, включить динамический отпечаток (браузер будет врать сайтам о том какой у вас компьютер (по заверениям разработчиков). Главное преимущество для тех кто им обычно пользуется (спамщиков и кардеров) — поддержка мультиаккаунта, то есть можно открыть неограниченное количество вкладок с разными личностями, у которых будут разные динамические отпечатки, разные адрес если речь идёт о торе, разные прокси, если речь о прокси и etc.
Тут официальный гайд.
Тут официальный гайд.
Это такой специальный браузер для кардеров с закрытыми исходниками, которому не рекомендуется доверять.
Не поможет и платный vpn, ибо можно вычислить местонахождение пользователя по временным рамкам на устройстве, так же по языковым пакетам установленным в ОС и иным параметрам. Да и многие vpn можно «прижать» бумажкой из отдела «К». К тому же, у многих браузеров остаются куки, которые можно на виртуалке оставить, если она не возвращается на начальное состояние.
Tails пользоваться. Виртуалка, не оставляющая следов, работающая через тор.
Основная проблема заключается в том, что надёжному достижению анонимности практически невозможно обучиться по причине отсутствия обратной связи.
Вы наверчиваете всё больше и больше «слоёв безопасности», но при этом об их реальной эффективности и непробиваемости «кем надо» можете лишь гадать, ведь проверить это на практике невозможно.
Пока вы играетесь в песочнице, никто вас просто не будет ловить, вы никому не интересны и потому можете думать, что ваши методы суперэффективны. А как только заденете интересы серьёзных дядь, тут научиться просто не успеете, потому что первая же ошибка станет последней.
Вы наверчиваете всё больше и больше «слоёв безопасности», но при этом об их реальной эффективности и непробиваемости «кем надо» можете лишь гадать, ведь проверить это на практике невозможно.
Пока вы играетесь в песочнице, никто вас просто не будет ловить, вы никому не интересны и потому можете думать, что ваши методы суперэффективны. А как только заденете интересы серьёзных дядь, тут научиться просто не успеете, потому что первая же ошибка станет последней.
Мне кажется, тут немного перегнули палку.
Как читали нам военные на спецкурсе по защите информации в МГУ в 1998: цель системы защиты информации от кражи по какому-либо каналу несанкционированного доступа — сделать так, чтобы информацию было дешевле/быстрее украсть по другому каналу несанкционированного доступа.
Соответственно, если злая система очень-очень захочет вас посадить — посадят по ложному обвинению в изнасиловании, если уж не сумели вскрыть ваш шифрованный диск. Не обязательно в РФ, вспомните Ассанжа. Пока все те судебные процессы, связанные с вскрытием личной инфы, о которых я читал, представляют собой следствие пренебрежения жертвой элементарными правилами собственной информационной безопасности, либо незнания законов (dura lex, sed lex), а точнее, незнания, как можно безопасно нарушать наиболее одиозные из них :). Богатов как пример тут служить вряд ли может — его случай, скорее, подтверждает зависимость нашей судебной системы от приказов сверху, чем реальную деанонимизацию в Тор.
Поэтому, на мой взгляд, комбинация LiveCD+VPN будет работать вполне надежно, пока за разработку «нарушителя» не взялось ЦРУ-АНБ силами пары отделов. Основная уязвимость — она в голове, в привычке работать в незащищенной среде по незащищенным каналам связи и светить своими «метаданными» в соцсетях. Основные попытки современных государств по принятию «антитеррористических» законов в части IT направлены именно на это — контроль рабочей среды (запрет надежного шифрования) и контроль каналов связи (СОРМ-PRISM).
Как читали нам военные на спецкурсе по защите информации в МГУ в 1998: цель системы защиты информации от кражи по какому-либо каналу несанкционированного доступа — сделать так, чтобы информацию было дешевле/быстрее украсть по другому каналу несанкционированного доступа.
Соответственно, если злая система очень-очень захочет вас посадить — посадят по ложному обвинению в изнасиловании, если уж не сумели вскрыть ваш шифрованный диск. Не обязательно в РФ, вспомните Ассанжа. Пока все те судебные процессы, связанные с вскрытием личной инфы, о которых я читал, представляют собой следствие пренебрежения жертвой элементарными правилами собственной информационной безопасности, либо незнания законов (dura lex, sed lex), а точнее, незнания, как можно безопасно нарушать наиболее одиозные из них :). Богатов как пример тут служить вряд ли может — его случай, скорее, подтверждает зависимость нашей судебной системы от приказов сверху, чем реальную деанонимизацию в Тор.
Поэтому, на мой взгляд, комбинация LiveCD+VPN будет работать вполне надежно, пока за разработку «нарушителя» не взялось ЦРУ-АНБ силами пары отделов. Основная уязвимость — она в голове, в привычке работать в незащищенной среде по незащищенным каналам связи и светить своими «метаданными» в соцсетях. Основные попытки современных государств по принятию «антитеррористических» законов в части IT направлены именно на это — контроль рабочей среды (запрет надежного шифрования) и контроль каналов связи (СОРМ-PRISM).
Ну я ставил своей задачей осветить важную сферу полностью, дабы каждый обыватель при необходимости имел некую схему действий хотя-бы. Мне кажется, мне это +- удалось)
Кстати, довольно странно.
Изначально логика этих статей была про "корпорации и одноклассники отслеживают данные юзера и гадят ему в тапок спамом ради профита и лулзов", а затем она перескакивает на "как защитить печень от всемогущих рептилоидов".
В случае со спамом в большей части случаев может спасти банальная фильтрация входящей информации: антиспам-приложения на смартфоне, антиспам в почтовом ящике, ручное внесение подозрительных номеров и email'ов в блэклисты, вайтлисты для важных контактов.
Фильтровать исходящую информацию, разумеется, тоже надо (включая риски попадения личной техники в руки недоброжелателей), однако на каждый случай фатальной утечки информации (бдительная воспитательница нашла текстовое цэпе на электронной читалке вожатого и сдала его полиции, вожатый оговорил воспитательницу в участии в сатанинском культе, обоих сожгли на костре после пяти месяцев пыток) приходятся сотни случаев, которые вызывают только досаду от потраченных на спам пяти секунд.
Изначально логика этих статей была про "корпорации и одноклассники отслеживают данные юзера и гадят ему в тапок спамом ради профита и лулзов", а затем она перескакивает на "как защитить печень от всемогущих рептилоидов".
В случае со спамом в большей части случаев может спасти банальная фильтрация входящей информации: антиспам-приложения на смартфоне, антиспам в почтовом ящике, ручное внесение подозрительных номеров и email'ов в блэклисты, вайтлисты для важных контактов.
Фильтровать исходящую информацию, разумеется, тоже надо (включая риски попадения личной техники в руки недоброжелателей), однако на каждый случай фатальной утечки информации (бдительная воспитательница нашла текстовое цэпе на электронной читалке вожатого и сдала его полиции, вожатый оговорил воспитательницу в участии в сатанинском культе, обоих сожгли на костре после пяти месяцев пыток) приходятся сотни случаев, которые вызывают только досаду от потраченных на спам пяти секунд.
Логика статей в том, что если вы хотите защитится от самых-самых примитивных мошенников, вы просто заводите пару номеров, пару мэйлов и не слишком много пишете о себе в сети. Если хотите чего-то большего — маетесь с впн, виртуалками, антидетектами и прочей магией etc. Цель этих статей была — чтобы каждый человек, который задумался о своей безопасности, любого желаемого им уровня, получал информацию на легитимном, известном, совершенно белом портале индексируемом всеми поисковиками, не на сайтах с вирусами и не в телеграме где тебя хочет нае... каждый второй.
Соответственно, если злая система очень-очень захочет вас посадитьАнонимность — это о том, как сделать так, чтобы система не знала, где найти того, кого она хочет посадить.
Анонимность концептуально невозможна при установлении соединения точка-точка: чем и откуда не шифруй, где-то эти данные откажутся открыты, а весь их путь может быть кем-то сохранен, пусть и все разными лицами. Все решения — лишь попытка обфускации. "Правильным" выходом являются исключительно широковещательные сети, в которых любой кусок передаваемых данных не имеет явно указанного отправителя и получателя, но хоть сколько эффективную реализацию нам еще лишь предстоит увидеть (если она вообще возможна)
Указанные в статье методы бесполезны при защите от систем поведенческого анализа, а таки системы и рассматривают как основной механизм деанонимности. Тем более это все бесполезно, если вас уже поставили под контроль.
Конечно это не отменяет "сетевой гигиены", но говорить о том, что методы из статьи защитят анонимность — несколько наивно.
Поведенческий анализ должен быть включен на сайте, чтобы сопоставить поведение с другими сайтами. Но если покупатель зашёл на сайт продажи наркотиков, зачем этому сайту проводить его поведенческий анализ.
бесполезно, если вас уже поставили под контрольРаскройте полнее. Поставили на контроль, видят туннель в TOR, что дальше?
В Linux схема шифрования по умолчанию таки LUKS.
При этом архипросто сделать так, чтобы делать виртуалку на шифрованном диске повторно незапускаемой (так же, как в TrueCryupt/VeraCrypt: для необратимого удаления возможности расшифровать диск достаточно переписать относительно небольшой участок диска).
При этом архипросто сделать так, чтобы делать виртуалку на шифрованном диске повторно незапускаемой (так же, как в TrueCryupt/VeraCrypt: для необратимого удаления возможности расшифровать диск достаточно переписать относительно небольшой участок диска).
С впн/проксями стоит добавить два момента, затрудняющих отслеживание.
1. Очень желательно, чтобы IP, по которому «аноним» коннектится к проксе/впну, отличался от IP, с которого прокси/впн будет коннектиться к сайту назначения. Т.е. нужна цепочка.
2. Чтобы затруднить отслеживание активности «анонима» — в идеале через впн от него/к нему должен идти непрерывный шифрованный поток «белого шума». Т.е. все пакеты одного размера и посылаются через равный интервал, если нет полезной информации для посылки — посылаются рандомные байты. Не очень быстро и очень сильно забивает канал, зато отследить, когда именно человек что-то пишет/качает — невозможно.
PS А что касается шифрования дисков — есть весьма удобная штука с аппаратным шифрованием и аппаратным пин-кодом (=не страшны кейлоггеры):
istorage-uk.com/product-category/encrypted-hdds-ssds
1. Очень желательно, чтобы IP, по которому «аноним» коннектится к проксе/впну, отличался от IP, с которого прокси/впн будет коннектиться к сайту назначения. Т.е. нужна цепочка.
2. Чтобы затруднить отслеживание активности «анонима» — в идеале через впн от него/к нему должен идти непрерывный шифрованный поток «белого шума». Т.е. все пакеты одного размера и посылаются через равный интервал, если нет полезной информации для посылки — посылаются рандомные байты. Не очень быстро и очень сильно забивает канал, зато отследить, когда именно человек что-то пишет/качает — невозможно.
PS А что касается шифрования дисков — есть весьма удобная штука с аппаратным шифрованием и аппаратным пин-кодом (=не страшны кейлоггеры):
istorage-uk.com/product-category/encrypted-hdds-ssds
Некоторые вещи параноидальны =) Но, в целом, все верно.
Но почему VeraCrypt? Ведь неоднократно всплывала информация, что тот самый «независимый аудит» VeraCrypt был проверен аффилированной структурой Quarkslab (своими же) и оказался вполне зависимым.
Возможно, лучше таки ориентироваться на TrueCrypt 7.1а? (предпоследняя версия)
Но почему VeraCrypt? Ведь неоднократно всплывала информация, что тот самый «независимый аудит» VeraCrypt был проверен аффилированной структурой Quarkslab (своими же) и оказался вполне зависимым.
Возможно, лучше таки ориентироваться на TrueCrypt 7.1а? (предпоследняя версия)
Sign up to leave a comment.
Об анонимности в интернете, жизни и её относительности