Zabezpieczenie komputera/Internet
100% anonimowość w internecie NIE JEST, niestety możliwa. Wynika to z ograniczeń, jakie stawia nam Model TCP/IP. Jeśli naprawdę chcemy być 100% bezpieczni to:
Potrzebujemy dwóch komputerów:
|
w skrócie:
Komputer z dostępem do internetu
- instalujemy Linksa
- Konfigurujemy komputer do aonimowego przeglądania internetu (o tym poniżej)
- Używamy pendrive'a lub innego nośnika do przechowywania danych
Komputer do gromadzenia danych
- Szyfrujemy dysk
- Najbardziej wrażliwe dane wrzucić do konternera (jak CP)
- Uruchamiamy na nim nasz nośnik danych i przekopiowujemy
Komputer z dostępem do internetu
[edytuj]jest to dość kłopotliwe, jednak konieczne dla bezpieczeństwa. Pozostała jeszcze jedna kwestia - samego internetu. Jak mamy się z nią łączyć by nie było przypalu?
No więc po pierwsze Twój ISP nie może wiedzieć, że korzystasz z TOR. Po drugie Twój ISP może, ale nie powinien wiedzieć, że korzystasz z VPN. Jak to osiągnąć? Dość łatwo. Włamanie do WEP (dziesiątki tutoriali na Youtube) sąsiada. Ale nie sąsiada z tej samej klatki schodowej. Najlepiej kup antenę kierunkową i łącz się do sąsiada z innej strony ulicy.
Po drugie. ISP sąsiada nie może wiedzieć, że sąsiad łączy się z TOR. To już osiąga się za pomocą VPN. Lista godnych polecenia VPN tutaj, najlepiej gdy przyjmują płatność w BTC. Łączysz się z takim VPN z systemu-hosta. I nic innego system-host nie robi. Powtarzam, NIC. Firewall i wycięcie całego ruchu z innych źródeł.
Na hoście z kolei wstawiasz Whonixa. Whonix to tak naprawdę dwie maszyny wirtualne,
To taki TOR w pudełku, dlatego macierzysty system Cię nie interesuje - będziesz pracować na tej maszynie wyłącznie używając whonix-gateway i podpiętych do niej innych maszyn wirtualnych. To rozwiązanie o bardzo wysokiej anonimowości, whonix wycina cały ruch poza TOR-em, dzięki czemu za gatewayem można postawić drugą maszynę - choćby nawet na windowsie XP. Czego developerzy whonixa nie napisali, a co trzeba zrobić, to po odpaleniu gatewaya trzeba się zalogować na roota - domyślnym hasłem changeme - i wykonać trzy polecenia. apt-get update. apt-get upgrade. apt-get dist-upgrade. W dokładnie tej kolejności. Jako, że whonix łączy się wyłącznie przez TOR ściąganie może duuuzo zająć czasu, zależnie jaki mamy exit node. Upgrade wykonujemy żeby być na czasie z najnowsza wersja TOR i samej dystrybucji debian. Robić je należy (przy takiej kolejności komend) możliwie jak najczęściej. Do sprawdzenia czy działa TOR (a przed odpaleniem maszyny na której będziesz pracować) używasz polecenia whonixcheck. Kolejne użyteczne polecenie to service tor restart - do czego służy to jasne.
Natomiast maszyna, dla której whonix-gateway ma być pośrednikiem, musi mieć taką konfigurację sieciową: IP 192.168.0.50 (spokojnie zakres od 30-60, możesz odpalić więcej maszyn); brama 192.168.0.10 (whonix-gateway domyślnie); DNS też whonix-gateway - 192.168.0.10. W virtualboxie w trakcie tworzenia maszyny wybieramy kartę sieciową, nie dajemy "NAT" tylko internal network i z sieci wewnętrznych dajemy whonix.
Tak oto otrzymujesz w 100% storyfikowany system operacyjny - dowolny. Dlatego system główny na komputerze jest obojętny, bo i tak go nie używasz inaczej jak jako routera. Na storyfikowanym systemie nic więcej nie musisz ustawiać, żeby być anonimowym - a odpalenie przeglądarki bez dodatkowych ustawień pozwoli Ci na korzystanie że stron .onion. Dodatkowo ew. złośliwe oprogramowanie, włącznie z rządowymi trojanami, nie wylezie poza maszynę wirtualną i nie zdradzi Twoich namiarów - chociaż zdradzi fakt, że siedzi w maszynie wirtualnej, po IP bramy będzie się można domyślić, że to whonix.
Sneakernet
[edytuj]Druga zaletą takiego rozwiązania, to backupy. Używasz konkretnie virtualboxa, ponieważ umożliwia on wykonywanie kopii całych maszyn wirtualnych. Zwyczajnie możesz sobie skopiować swoje maszyny robocze na dysk zewnętrzny, zaszyfrować i schować do szafy - w ten sposób nie stracisz swoich danych jednocześnie nie ryzykując ich bezpieczeństwa. Przy USB 2.0 i szybszych interfejsach można korzystać z maszyn wirtualnych bezpośrednio z przenośnego dysku bez strat na szybkości działania.
Zmiana adresu MAC karty sieciowej
[edytuj]Najpierw żeby wiedzieć, który adres karty sieciową chcesz zmienić. wydaj polecenie: ifconfig (jeśli nie działa, wymaga uprawnień root:) sudo ifconfig Karty sieciowe oznaczane są jako ethX, gdzie X odpowiadają jakiejś cyfrze. I tak na przykładzie, jeśli mamy kilka kart sieciowych, będą one oznaczane jako eth10, eth1 itd. Gdy już zdecydowaliśmy się na jedną z kart, wyłączamy ja: sudo ifconfig ethX down Kolejno zmieniamy adres MAC: sudo ifconfig ethX hw ether adres_MAC Gdzie "adres_MAC" to numer adresu MAC karty sieciowej. Przykład: sudo ifconfig eth0 hw ether 00:0A:E6:3E:FD:E1 Możemy z powrotem włączyć kartę, poleceniem: sudo ifconfig ethX up
Komputer do gromadzenia danych
[edytuj]Usunięcie pliku przez użycie zwykłego kosza, lub innych standardowej funkcji kasującej w systemie operacyjnym nie usuwa całkowicie pliku. Zwykle standardową funkcją kasująca usuwa plik przez oznaczenie zajmowanego przez niego miejsca jako wolny i uaktualnienie metadanych systemu plików, pozostawiając nietkniętą faktyczną zawartość pliku na fizycznym nośniku danych. Gdy system plików jest nadal wykorzystywany może dojść w końcu do sytuacji w której to miejsce zostanie przypisane innym plikom i nadpisane. Jednakże jeżeli system plików nie był intensywnie używany od czasu usunięcia pliku, istnieje duża szansa na odzyskanie go w całości, bądź częściowo przez narzędzia do odzyskiwania danych.
Dyski starszej generacji (HDD)
[edytuj]Programy do zamazywania plików usuwają pliki przez ich nadpisanie bezużytecznymi danymi. Jeśli spanikowaliśmy i chcemy skasować wszystkie dane na dysku bezpowrotnie, mamy 2 możliwosci: usuwanie pojedyńczych plików i folderów oraz kasowanie partycji i całych dysków:
Do usuwania pojedynczych plików posłuży nam narzędzie shred. Niiektóre opcję programu:
- -f, –force – wymuszenie nadpisania pliku.
- -u, –remove – skasowanie pliku po zamazaniu.
- -z, –zero – dodatkowe zamazanie zerami, aby ukryć zamazywanie.
- -n, –interations=N – zamazanie N razy zamiast domyślnych 3 razy.
ostatnia opcja jest dla paranoików, dyski HDD nie są tak odporne jak SSD (o których powiemy później) i tutaj zazwyczaj wysarczy raz nadpisać jeden plik by był nie do odzyskania przez specjalizstyczne oprogramowanie ani małe firmy. przykładowe polecenie:
shred -fuz /home/nazwa_użytkownika/Pulpit/placek.jpg
domyślnie program ukrywa informację o postępach prac, można jednak je wywołać na ekran poleceniem -v
shred -fuz /home/nazwa_użytkownika/Pulpit/placek.jpg
Do zamazywania folderów posłuży nam za to jeszcze inne narzędzie, o nazwie srm, działa niemal tak samo jak ww. narzędzie, wpisujemy:
srm -r -f -D -v /tmp/ważne-pliki-do-usunięcia
Dyski nowsej generacji (SSD)
[edytuj]Dyski nowej generacji korzystają nie tak jak dotychczas z nośników magnetycznych, ale flash. By można było zapisać komórkę pamięci flash, należy ją wcześniej skasować. Nie jest możliwe ponowne zapisanie danych do już zapisanej komórki. Jakkolwiek można odczytać i zapisać dowolną komórkę pamięci, to operacja kasowania umożliwia skasowanie tylko całych bloków komórek. Nie można skasować pojedynczej komórki. Z tego powodu zapis danych nie jest w pełni swobodny. Pamięci te umożliwiają odczyt i zapis dowolnej komórki, ale już nie swobodne kasowanie i nadpisanie zawartości, dlatego też nie jest możliwe bezpieczne kasowanie danych takimi sposobami jak powyżej. Jedynym realnym sposobem na skasowanie pozostaje więc szyfrowanie.
Jeśli więc chcemy np. sprzedać dysk to po prostu instalujemy dowolne oprogramowanie szyfrujące (cryptsetup, forki TrueCrypt, szyfrowanie nie musi być idealne, bo ono nie jest tak naprawdę istotne) ustawiamy opcję na cały dysk i to wszystko, ta operacja nadpisuje całe sektory dowolnymi bezwartościowymi danymi.
Uniwersalny sposób - Darik's Boot And Nuke (DBAN)
[edytuj]DBAN to specjalistyczna aplikacja, która usuwa zawartość dysku aż na 6 sposobów - Gutmann DoD Short, DoD 5220.22-M i RCMP TSSIT OPS-II, nadpisywania liczbami pseudolosowymi jak i nadpisywania danych zerami. Jeśli nam zależy tylko na wyczyszczeniu śmieci z dysku i chcemy np. przeprowadzić nową czystą instalacje systemy możemy użyć opcji quic erase (jednakże - NIE usuwa bezpowrotnie danych!).
Jednokrotne nadpisane danych jednym z ww. sposobów daje niemal 100% skuteczność. Dla prawdziwych hipeparanoików można dodać opcję nadpisywania danych trzykrotną, wtedy mamy pewność że nawet specjalne służby które mają większe nakłady finansowe nie odzyskają danych. Oczywiście istnieje możliwość że dane można odzyskać poprzez pomiar sygnału analogowego odczytywanego z dysku poprzez głowicę, zanim sygnał ten zostanie zdekodowany. Innymi słowy, Przenikalność elektryczna medium zmienia się wraz z częstotliwością pola magnetycznego. Oznacza to, że pole o mniejszej częstotliwości wniknie głębiej w materiał magnetyczny na dysku niż pole o wyższej częstotliwości. Sygnał ten więc w teorii będzie wciąż wykrywalny nawet po kilkusetkrotnym nadpisaniu za pomocą sygnału o wysokiej częstotliwości. Jest to jednak bardzo niebezpieczna operacja i tylko teorię, bo bawienie się magnetyzmem dysku twardego może nieodwracalnie uszkodzić dysk twardy tak że będzie się nadawał tylko do kosza. Trzykrotny zapis jest tak naprawdę idealny, bo "dokopanie" się do pierwowzoru jest w takim stanie niemożliwe
1. Aplikację ściągamy z strony producenta, i bootujemy
- Tryb interaktywny – pozwala wybrać, który dysk będziemy wymazywać oraz umożliwia szczegółowe określenie parametrów pracy. Aby go wybrać wciskamy Enter.
- Tryb automatyczny na domyślnych ustawieniach – tryb automatycznie wykrywa i wymazuje wszystkie urządzenia domyślną metodą DoD Short. Aby skorzystać z tego trybu wpisujemy słowo „autonuke”.
- Tryb automatyczny z wyborem metody – wciskamy klawisz F3. Wyświetli się lista komend, które aktywują wymazywanie wszystkich dysków wybraną metodą:
- - dod: wymazywanie metodą DoD 5220.22-M
- - dodshort: wymazywanie metodą DoD Short
- - ops2 – wymazywanie metodą RCMP TSSIT OPS-II
- - gutmann: wymazywanie metodą Gutmann Wipe
- - prng: wymazywanie metodą PRNG Stream
- - quick: wymazywanie metodą Quick Erase
Aby wybrać jedną z nich po prostu wpisujemy ją w okno programu po słowie boot:
- P – wybór algorytmu generatora liczb pseudolosowych, PRNG >>> Pseudo Random Number Generator. Możemy wybrać Mersenne Twister lub ISAAC
- M – wybór metody zamazywania danych
- V – weryfikacja, czy urządzenie jest na pewno puste po zakończeniu wymazywania; możemy z tego zrezygnować, zweryfikować po ostatnim przebiegu (domyślnie) lub zweryfikować po każdym przebiegu.
- R – ilość powtórzeń jednego cyklu wymazywania daną metodą. Jeżeli wybierzemy kilka, po zakończeniu jednego cyklu wykonywany jest kolejny
- klawiszami J i K lub strzałkami kursora góra / dół poruszamy się pionowo, aby wybrać dysk
- Spacja – zaznaczamy dysk
- F10 – rozpoczynamy pracę
Backup danych
[edytuj]Łączymy komputer w sieć LAN
[edytuj]możemy też, zamiast ciągle mając przy sobie nośnik danych jak pendrive przenosić dane pomiędzy komputerami założyć swoją sieć LAN. LAN to sieć złożona z kilku podłączonych do siebie komputerów, nie pozwala na dostęp do clearnetu. Nadaje się więc do np. operowanie podłączonymi do innych komputerów maszyn jak drukarka, skaner itp. na odległość, przenoszenia danych, lub jeśli mamy z kim grać z otoczenia także i na to.
Oczywiście najprościej połączyć kilka komputerów za pomocą sieci wifi - mając sygnał i hasło podłączy się do niego tyle komputerów ile się chce bez żadnego kombinowania. I w tym tkwi właśnie problem, wyciek hasła jest banalny (używając adroida podajemy hasło itd.) co przez szpiegowanie nie tylko tracimy prywatność ale także zwiekszają się rachunki za internet - łatwo to zauważyć, wchodząc na jakąkolwiek stronę, często po załadowaniu jej okazuje się że czasem znów się kręci klepsydra i to są najczęściej skrypty JS. Co prawda są bardzo małe bo zazwyczaj to kilka KB ale jeśli ktoś ma internet prę-paid lub co jest bardziej straszne, komórkową to przy kilku takich połączeniach szybciej skończy nam się pakiet.