Как стать автором
Обновить

Комментарии 57

Для применения конфига в баше достаточно выполнить файл конфигурации
. ~/.bashrc 
(точка пробел в начале).

Смысла городить винды а потом юзать внутри виртуалбокс не вижу. Ставьте юнити с самого начала. Конкретно аптитьюду я бы разрешил ходить наружу без прокси, ибо всё равно всё что нужно подписано на прикладном уровне.
Насчёт bashrc спасибо, буду знать.

Насчёт городить винду и юзать бокс: я, например, не готов выделить отдельный ПК для системы. Винда мне нужна как геймеру. Дуалбут тоже не особо люблю, поскольку для защищённого сеанса придётся ребутить ПК.

Аптитьюд, конечно, сам по себе безопасен, но кто может гарантировать нескомпрометированность репозиториев Убунты? Логгить IP они могут. Я вполне согласен пожертвовать скоростью скачки пакетов ради защиты.
Кстати, я хочу понять, вы действительно считаете, что iptables достаточно для того, чтобы защититься от софта в системе? Даже если он от рута работает?

Если бы у меня была задача сделать отсылку чего-либо из системы, то первое, что я сделал бы, это netlink модуль, который на iptables клал бы с большим присвистом.
Да уж, «век живи — век учись»… Это обход вроде этой схемы в этом посте?
Согласен, это уязвимость. Выходит, нужно просто внимательно следить, какие модули ядра ставить? Ведь без рута (т.е. без согласия юзера) модуль не вставить.
Не обязательно так сложно. Если бы я имел своим намерением что-то подобное сделать, то я бы просто прописывал соответствующее правило в iptables (рут может вполне). Альтернативно — можно просто посылать из ядерного модуля, без сложного интерфейса до-после (так работает большая часть серверного сетевого софта — nfs-kernel-server, iet, scst, drbd и т.д.)
Добавил в статью.
НЛО прилетело и опубликовало эту надпись здесь
Так у автора ведь в зашифрованном файле как раз и будет весь диск защищенной ОС.
НЛО прилетело и опубликовало эту надпись здесь
При физическом доступе к компу можно воткнуть и аппаратный кейлоггер (делается своими руками из 2 микросхем, схем в сети полно), который может записать абсолютно всё, включая пасс на биос. Естественно, я проверю систему, если она побывает в чужих руках.
НЛО прилетело и опубликовало эту надпись здесь
Дядя Женя будет ругаться и визжать по-поросячьи. Он даже на Пунто ругается — при включении функции кейлоггера срабатывает эвристика. Притом что Пунто — в целом нормальная прога и отсутствует в базах. А если будет скрытый кейлоггер — стопудово попадёт в базу и будет уже 2 срабатывания. А на добавление в доверенные пароль нужен.
НЛО прилетело и опубликовало эту надпись здесь
Как-то у меня не вяжется безопасные прием-передача конфиденциальной информации и tor. При пользовании тором, я исхожу из предположения, что весь трафик на всех exit нодах снифается и анализируется. А также любая полученная страница может быть пооддельной.
Т.е. передавать можно только ту информацию, которая попав в чужие руки будет совершенно бесполезной.
Да, и по такой схеме многие приложения будут спотыкаться на днс-е. Сам когда-то настраивал, далеко не многие умеют днс- запросы через тор пускать.
А даже если умеют, то из-за тупняков с днс-ом, все будет жутко тормозить. В данной схеме хорошо бы поднять ttdnsd + pdnsd, т.е. принудительное проксирование днс запросов и проброс их в тор. Со стороны приложений это будет выглядеть как обычный днс сервер, а при множественных днс запросах, непосредственно сам запрос будет только раз для домена, потом моментом будет вылетать из кэша.
Схема такая: UDP dns -> proxy -> TCP dns запрос -> tor
Насчёт сниффинга: разумеется, что это возможно; однако, это возможно не только на торе, но и на обычном прокси, и просто на любом маршрутизаторе по ходу пакета. Так что в данном случае спасёт только HTTPS, и сам по себе тор — не угроза.

Спасибо за добавления насчёт днс, попробую сделать. Однако сейчас особых тормозов не наблюдаю, за исключением торовских .onion доменов — но они всегда медленные. А днс в приложениях, в которых прописан тор, всегда уходит в тор — поскольку сайты открываются, а прямого днс-доступа нет (iptables), nslookup не проходит.
Нет тормозов, потому что у вас днс запросы наверняка идут напрямую. Это в принципе не проблема, но как бы несекурно считается, можно спалиться.

Понятно что прокси тоже дырявая хрень, но они реже снифают трафик, ибо это чаще протрояненные машины, там это не нужно никому. А вот тор могут очень даже слушать. Для безопасности только свой дедик и шифрованный тоннель к нему, благо сейчас это совершенно недорого, остальное компромиссы.

Да, и http_proxy вообще много кто понимает. Большинство стандартных приложений не видят в упор, ну и чаще не могут работать по http.

Как-то сам возился с подобными схемами, пришел к варианту с тоннелированием всего трафика через тор используя redsocks + tor + ttdnsd + pdnsd.
Как днс запрос может пройти напрямую?
Доступ наружу есть только у пользователей, под которыми пущены демоны тора и i2p. Таким образом, браузер, работающий от меня, никак ничего не запросит напрямую. Писал же: команда вроде
nslookup ya.ru
не выполняется, ругаясь на отсутствие сети. Пинги тоже никуда не ходят.
Пользуюсь Liberté Linux с зашифрованной флешки. Все идет через TOR. Рекомендую
То есть, флешка без пароля бесполезна?
Полезна конечно же, но с паролем еще полезнее
Посмеялись.
Я имел в виду, флешку можно потерять без боязни за данные на ней?
Совершенно верно, можно потерять, без пароля данные не увидят
Весь весь трафик идет через тор? Без проксей? Днс запросы тоже?
Не совсем понял необходимость установки TOR & I2P.
Разве последнего недостаточно, зачем еще и TOR нужен? Если зачем-то нужен, хорошо бы эти пару объяснительных предложений добавить в статью.
Смысл в том, что для работы в инете лучше подойдёт TOR, поскольку это его основное назначение. У него много выходов по всему миру — большое разнообразие IP и хорошая скорость. И плюс .onion-ресурсы доступны только через него.

У I2P же шлюзов в инет — всего ничего, поэтому ни разнообразия адресов, ни скорости нормальной. Хотя как запасная система сойдёт. Он рулит для работы внутри своей собственной сетки — на .i2p-ресурсах.
Можно еще воспользоваться каким-нибудь платным или бесплатным тунелем, например от VPN от Comodo
НЛО прилетело и опубликовало эту надпись здесь
И лишиться доступа к защищённым .onion и .i2p ресурсам? Эти ресурсы довольно ценны.

Например, будь я на месте Ассанжа — я бы разместил на сайте в обычном интернете эту статью + дистрибутив I2P + несколько ссылок на гейты «инет -> I2P» (для нежелающих ставить себе маршрутизатор), а сам Викиликс хостил бы внутри I2P. И никакие «фуражки» к серверу бы не притронулись.
О, а паранойя не только у меня
>при помощи ядерных ракет можно не только устроить конец света, но и отогнать или расколоть угрожающий нашей планете астероид.

только если брюс виллис поможет
Если бы вы создали готовый ISO диск типа Knoppix, то спрос, думаю, был бы хороший.
С такого ISO диска можно загрузиться или запустить внутри VmWare или VirtualBox опять же.

Но проблема с ISO диском — нет гарантии чистоты.
Решение — создайте скрипт, который создаёт такой ISO диск, и всё будет прозрачно.
Tails же.
Мне кажется, или в нём на самом деле нет I2P? :)
Мне таки кажется:

Tails' I2P integration is unfortunately not a very well documented (soon to be fixed) but it's there. It doesn't start by default, but can be started via:

Applications -> Internet -> I2P

In iceweasel, I2P will handle .i2p addresses while Tor will handle everything else-
Tor и I2P из песочницы надо выносить. Либо на хост (но тут надо думать об оставляемых следах и уязвимости хост-ОС, хотя о ней всегда надо думать), либо на соседнюю безголовую виртуалку с ограниченным роутингом и логами запросов на прокси-порты. Оба приложения обладают информацией о реальном IP (в общем случае, не знаю насчёт строго клиентских режимов работы), да и вирус, распространяемый среди пользователей этих программ, скорее всего будет внедряться в них же, чтобы работать с сетью.

А потом надо молиться, чтобы в ядре VirtualBox и компонентах, типа Guest Additions (даже в самом программном интерфейсе, без установки), файрвола и сетевого драйвера на хосте, не было дырок.

Как минимум, в такой схеме утекает информация о времени работы виртуалки (Prefetch, дата создания временных файлов и всё такое прочее), которое можно будет с чем-то сопоставить (это более общая проблема, которая, в частности, декларирует необходимость круглосуточной работы узла сети). Только полностью шифрованная система с загрузчиком либо на неперезаписываемом устройстве, либо криптографически подписанным.
В I2P можно отключить определение внешнего IP. При этом будет отключён транзит трафика, что снижает защищённость. TOR в клиентском режиме IP по идее не хранит, ему незачем — ведь логика работы такова: взял у трёх нод открытые ключи, закриптовал ими в три слоя пакет и послал.

Насчёт дырок: как ни прискорбно, но дырки есть в любом софте. Поэтому единственный выход, ИМХО, регулярно обновляться. Но больше меня кошмарят не дырки, а закладки — поэтому для построения самого ядра безопасности я взял только открытые проги.

Насчёт утечки данных о времени работы виртуалки: ну узнает кто-то, что есть у меня такая система, толку-то? Как я уже писал в статье, я не обязан сообщать пароль, нет такого закона в нашей стране, в отличие от Англии.
при помощи ядерных ракет можно не только устроить конец света, но и отогнать или расколоть угрожающий нашей планете астероид
Вроде как по дискавери крутили, что, фактически, при приближении астероида ничего нам не поможет — на данный момент нет технических средств, способных сдвинуть с орбиты астероид достаточных размеров (размеров, когда он представляет действительную угрозу). Единственная причина существования ядерного оружия — человеческая натура. Люди ещё слишком тупы, чтобы обойтись без государств, воин, контроля над массами и проч. ненавистных некоторыми* суровых реалий жизни.

По поводу tor. Явно выбор не для параноика. Его можно использовать как средство доступа к заблокированным ресурсам, но явно не как средство передачи секретных данных или нормальной анонимизации. I2P — да, тут лурк очень ярко и красочно рассказывает, как правильно фапать на эту сеть.
Спасибо за протестированный и доходчивый хау-ту. НО.

Вводную часть и постановку задач нужно убрать. Просто «как настроить данную конфигурацию». Статья, претендующая на отношение к настоящей ИБ, должна содержать хоть какое-то подобие модели угроз. Что защищаем, от кого, в каких конкретно сценариях. А это вот «защитить целостность и конфиденциальность при приёме и передаче данных» — детский сад.
Извините, ничего личного.
Да, возможно и правда глупо задачи выглядят. Убрал.
Признаюсь: новичок я ещё в ИБ, студент. Но, думаю, всё ещё впереди.
Введение всё же оставлю, а то получится обезглавленная статья. Да и нет там вроде ничего особенного, ИМХО.
НЛО прилетело и опубликовало эту надпись здесь
DNS запросы идут в тор, я уже об этом писал. Если бы они не шли в тор — они бы вообще никуда не ушли.
А /home — для хранения защищаемых данных, разве не очевидно? Ведь система предназначена не только для сёрфинга, но и, как вариант, для скачивания/раздавания данных…
А не безопасней ли поставить свой DNS?
Интересное обсуждение
<шутка>
Ну вот еще осталось спрятать шифрованный раздел например как я раннее писал:
habrahabr.ru/post/59247/ и можно спокойно бояться чего нибудь другого. Хотя я б еще впн-чик прикрутил на хостовый компьютер и входящий по спутнику а исходящий канал по жопорезу пустил бы, ну и конечно же самому в бункер спрятаться не помешало бы в густонаселенной части города.
</шутка>
Так и не понял причём тут NTFS.
На криптодиске лежат образы винтов VirtualBox, которые скорее всего больше 4 ГБ.
Можно, конечно, и меньше сделать, но будет неудобно.
Ну автор вроде как писал без привязки к конкретной ОСи. было бы странным делать NTFS раздел под никсами.
с официального сайта трукрипта:
You can create FAT (whether it will be FAT12, FAT16, or FAT32, is automatically determined from the number of clusters) or NTFS volumes (however, NTFS volumes can only be created by users with administrator privileges). Mounted TrueCrypt volumes can be reformatted as FAT12, FAT16, FAT32, or NTFS anytime.

То есть, похоже, ни Ext, ни HFS не поддерживаются. Возможно, трукрипт при монтировании как-то работает с внутренним устройством ФС.

В то же время современные линуксы поддерживают NTFS, маки вроде тоже, если поставить драйвер (у меня мака нет, не могу проверить).

Что уж тут поделать, трукрипт явно ориентирован на винду. Например, умеет делать скрытой ОС только её, локализация тоже только в виндовой версии. Однако другого подобного кроссплатформенного и открытого проекта, AFAIK, не существует.
а почему бы не криптовать фс уже самой виртуальной Ubuntu её же средствами?
Спасибо, дай я тебя заплюсую!
Сделал все по инструкции – i2p не работает.
В каком смысле не работает? Не находит пиры, не устанавливает туннели или что?
504 Connect to www.i2p2.i2p:80 failed: SOCKS error: host unreachable
я так понял надо ставить privoxy и в нем зарзуливать что и куда пускать:
все через tor socks5 127.0.0.1:9050
i2p через 127.0.0.1:4444

Но как быть с ssl i2p который нужно пустить через 127.0.0.1:4445
Я не ставил привокси. Разделение .i2p доменов и всего остального делаю при помощи аддона SwitchySharp в Хромиуме. Но это уже дело вкуса, кто-то использует Фокси и, например, аддон FoxyProxy. Можно и через привокси сделать, конечно.
P.S. Советую именно хромиум, а не хром — поскольку хром не полностью опенсорсен.
Тогда понятно, просто в статье это не отражено
И все таки поддерживаю идею дописать использование своего dns + резолв таких зон как free, geek и тд.
Ну и возможно использованием других анонимных сетей – была бы самая полная статья :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.