с официального сайта трукрипта: You can create FAT (whether it will be FAT12, FAT16, or FAT32, is automatically determined from the number of clusters) or NTFS volumes (however, NTFS volumes can only be created by users with administrator privileges). Mounted TrueCrypt volumes can be reformatted as FAT12, FAT16, FAT32, or NTFS anytime.
То есть, похоже, ни Ext, ни HFS не поддерживаются. Возможно, трукрипт при монтировании как-то работает с внутренним устройством ФС.
В то же время современные линуксы поддерживают NTFS, маки вроде тоже, если поставить драйвер (у меня мака нет, не могу проверить).
Что уж тут поделать, трукрипт явно ориентирован на винду. Например, умеет делать скрытой ОС только её, локализация тоже только в виндовой версии. Однако другого подобного кроссплатформенного и открытого проекта, AFAIK, не существует.
И лишиться доступа к защищённым .onion и .i2p ресурсам? Эти ресурсы довольно ценны.
Например, будь я на месте Ассанжа — я бы разместил на сайте в обычном интернете эту статью + дистрибутив I2P + несколько ссылок на гейты «инет -> I2P» (для нежелающих ставить себе маршрутизатор), а сам Викиликс хостил бы внутри I2P. И никакие «фуражки» к серверу бы не притронулись.
DNS запросы идут в тор, я уже об этом писал. Если бы они не шли в тор — они бы вообще никуда не ушли.
А /home — для хранения защищаемых данных, разве не очевидно? Ведь система предназначена не только для сёрфинга, но и, как вариант, для скачивания/раздавания данных…
Да, возможно и правда глупо задачи выглядят. Убрал.
Признаюсь: новичок я ещё в ИБ, студент. Но, думаю, всё ещё впереди.
Введение всё же оставлю, а то получится обезглавленная статья. Да и нет там вроде ничего особенного, ИМХО.
В I2P можно отключить определение внешнего IP. При этом будет отключён транзит трафика, что снижает защищённость. TOR в клиентском режиме IP по идее не хранит, ему незачем — ведь логика работы такова: взял у трёх нод открытые ключи, закриптовал ими в три слоя пакет и послал.
Насчёт дырок: как ни прискорбно, но дырки есть в любом софте. Поэтому единственный выход, ИМХО, регулярно обновляться. Но больше меня кошмарят не дырки, а закладки — поэтому для построения самого ядра безопасности я взял только открытые проги.
Насчёт утечки данных о времени работы виртуалки: ну узнает кто-то, что есть у меня такая система, толку-то? Как я уже писал в статье, я не обязан сообщать пароль, нет такого закона в нашей стране, в отличие от Англии.
При физическом доступе к компу можно воткнуть и аппаратный кейлоггер (делается своими руками из 2 микросхем, схем в сети полно), который может записать абсолютно всё, включая пасс на биос. Естественно, я проверю систему, если она побывает в чужих руках.
Да уж, «век живи — век учись»… Это обход вроде этой схемы в этом посте?
Согласен, это уязвимость. Выходит, нужно просто внимательно следить, какие модули ядра ставить? Ведь без рута (т.е. без согласия юзера) модуль не вставить.
Смысл в том, что для работы в инете лучше подойдёт TOR, поскольку это его основное назначение. У него много выходов по всему миру — большое разнообразие IP и хорошая скорость. И плюс .onion-ресурсы доступны только через него.
У I2P же шлюзов в инет — всего ничего, поэтому ни разнообразия адресов, ни скорости нормальной. Хотя как запасная система сойдёт. Он рулит для работы внутри своей собственной сетки — на .i2p-ресурсах.
Как днс запрос может пройти напрямую?
Доступ наружу есть только у пользователей, под которыми пущены демоны тора и i2p. Таким образом, браузер, работающий от меня, никак ничего не запросит напрямую. Писал же: команда вроде nslookup ya.ru
не выполняется, ругаясь на отсутствие сети. Пинги тоже никуда не ходят.
Насчёт сниффинга: разумеется, что это возможно; однако, это возможно не только на торе, но и на обычном прокси, и просто на любом маршрутизаторе по ходу пакета. Так что в данном случае спасёт только HTTPS, и сам по себе тор — не угроза.
Спасибо за добавления насчёт днс, попробую сделать. Однако сейчас особых тормозов не наблюдаю, за исключением торовских .onion доменов — но они всегда медленные. А днс в приложениях, в которых прописан тор, всегда уходит в тор — поскольку сайты открываются, а прямого днс-доступа нет (iptables), nslookup не проходит.
Насчёт городить винду и юзать бокс: я, например, не готов выделить отдельный ПК для системы. Винда мне нужна как геймеру. Дуалбут тоже не особо люблю, поскольку для защищённого сеанса придётся ребутить ПК.
Аптитьюд, конечно, сам по себе безопасен, но кто может гарантировать нескомпрометированность репозиториев Убунты? Логгить IP они могут. Я вполне согласен пожертвовать скоростью скачки пакетов ради защиты.
You can create FAT (whether it will be FAT12, FAT16, or FAT32, is automatically determined from the number of clusters) or NTFS volumes (however, NTFS volumes can only be created by users with administrator privileges). Mounted TrueCrypt volumes can be reformatted as FAT12, FAT16, FAT32, or NTFS anytime.
То есть, похоже, ни Ext, ни HFS не поддерживаются. Возможно, трукрипт при монтировании как-то работает с внутренним устройством ФС.
В то же время современные линуксы поддерживают NTFS, маки вроде тоже, если поставить драйвер (у меня мака нет, не могу проверить).
Что уж тут поделать, трукрипт явно ориентирован на винду. Например, умеет делать скрытой ОС только её, локализация тоже только в виндовой версии. Однако другого подобного кроссплатформенного и открытого проекта, AFAIK, не существует.
Можно, конечно, и меньше сделать, но будет неудобно.
Например, будь я на месте Ассанжа — я бы разместил на сайте в обычном интернете эту статью + дистрибутив I2P + несколько ссылок на гейты «инет -> I2P» (для нежелающих ставить себе маршрутизатор), а сам Викиликс хостил бы внутри I2P. И никакие «фуражки» к серверу бы не притронулись.
А /home — для хранения защищаемых данных, разве не очевидно? Ведь система предназначена не только для сёрфинга, но и, как вариант, для скачивания/раздавания данных…
Признаюсь: новичок я ещё в ИБ, студент. Но, думаю, всё ещё впереди.
Введение всё же оставлю, а то получится обезглавленная статья. Да и нет там вроде ничего особенного, ИМХО.
Насчёт дырок: как ни прискорбно, но дырки есть в любом софте. Поэтому единственный выход, ИМХО, регулярно обновляться. Но больше меня кошмарят не дырки, а закладки — поэтому для построения самого ядра безопасности я взял только открытые проги.
Насчёт утечки данных о времени работы виртуалки: ну узнает кто-то, что есть у меня такая система, толку-то? Как я уже писал в статье, я не обязан сообщать пароль, нет такого закона в нашей стране, в отличие от Англии.
Согласен, это уязвимость. Выходит, нужно просто внимательно следить, какие модули ядра ставить? Ведь без рута (т.е. без согласия юзера) модуль не вставить.
У I2P же шлюзов в инет — всего ничего, поэтому ни разнообразия адресов, ни скорости нормальной. Хотя как запасная система сойдёт. Он рулит для работы внутри своей собственной сетки — на .i2p-ресурсах.
Доступ наружу есть только у пользователей, под которыми пущены демоны тора и i2p. Таким образом, браузер, работающий от меня, никак ничего не запросит напрямую. Писал же: команда вроде
nslookup ya.ruне выполняется, ругаясь на отсутствие сети. Пинги тоже никуда не ходят.
Спасибо за добавления насчёт днс, попробую сделать. Однако сейчас особых тормозов не наблюдаю, за исключением торовских .onion доменов — но они всегда медленные. А днс в приложениях, в которых прописан тор, всегда уходит в тор — поскольку сайты открываются, а прямого днс-доступа нет (iptables), nslookup не проходит.
Насчёт городить винду и юзать бокс: я, например, не готов выделить отдельный ПК для системы. Винда мне нужна как геймеру. Дуалбут тоже не особо люблю, поскольку для защищённого сеанса придётся ребутить ПК.
Аптитьюд, конечно, сам по себе безопасен, но кто может гарантировать нескомпрометированность репозиториев Убунты? Логгить IP они могут. Я вполне согласен пожертвовать скоростью скачки пакетов ради защиты.