Инструкция по безопасности #2

В прошлом выпуске мы защищали носители данных, а сегодня поговорим про сетевую безопасность.

Сетевая безопасность — это комплекс мер, а не решение «из коробки».

Для начала стоит определить, какую задачу мы решаем. Как в криптографии, одни методы защитят вашу информацию от престарелой бабушки, а другие от надзорных органов.

Полное пренебрежение мерами безопасности всегда заканчивается повышением показателей раскрываемости Вашего региона. Почитайте отечественные или западные приговоры. Легко заметить серию дел, в которых изменена только фамилия и дата: «палки» сами себя не сделают.

Как же нам избежать подобных недоразумений?

Транспортный уровень

В одном из последних интервью Николай Лихачёв заявил, что Американский аналог СОРМа автоматически составляет списки абонентов «анонимно» выходящих в сеть. Есть много примеров, когда чрезмерная «безопасность» только вредит. Допустим, мы решили обмануть администратора сети, оставляя сообщения через TOR, однако в конкретный промежуток времени это будет единственный «анонимный» выход в сеть и логи явно укажут на источник.

Понятно, что хранить полный лог трафика невозможно. Сохраняются мета-данные: время, адрес назначения и количество переданных байт. Вполне достаточно чтобы связать входной «белый» и выходной «анонимный». Это уровень Socks4 — прозрачное туннелирование, подменяющее выходной IP адрес, но не шифрующее трафик.

Отношения между государствами штука сложная, взаимодействие «сетевой полиции» ограничено. Вы можете представить, что отдел «К» пишет запрос к заграничному хостеру по самоучителю китайского? Будем откровенны, Интерпол ваши шалости не интересуют!

Предположим, что наш трафик ещё и анализируется. Принудительный TLS усилит наши позиции, но всё ещё оставляет в логах лишние мета-данные. Если необходимо скрывать адреса назначения, можно инкапсулировать все наши подключения в одно и пустить его под TLS. Это уровень OpenVPN. Я пользовался только им, хотя Вы можете использовать SSH-туннели или любые аналоги.

Ведут ли VPN провайдеры логи? Разумеется. Даже если это не «красный» сервис, ему необходимо банить тех кто «загрязняет» предоставленный IP рассылая спам, etc.

Выдают ли VPN провайдеры логи? Скорее всего. Если об этом никто не узнает, их деловая репутация не пострадает, а особой мотивации подставляться за ваши тридцать сребреников у них нет.

Финансовые транзакции — ещё одна дыра в безопасности, благо с появлением bitcoin жить стало намного проще. В эпоху раннего палеолита, предки современного нам человека, были вынуждены проводить «анонимные» операции через WebMoney.

Виват Satoshi!

Уровень приложения

Даже дети знают, что при регистрации не стоит вбивать настоящее имя, телефон или город.

Сетевые псевдонимы призваны защищать ваши данные, но на практике становятся уникальным ключевым словом, которое позволяет в поисковой машине сделать выборку по всем вашим делам с начала времён.

Мне это кажется очевидным, но всё же проговорю. Имена должны быть как можно более общими. В идеале любой популярный ник. Чтобы не ломать голову существует множество готовых инструментов наподобие этого.

Самым безобидным способом монетизации браузеров является предустановленная поисковая система или закладки. Не исключено, что Chrome (или, упаси Zeus, Yandex.Browser) отправляют много лишней телеметрии, помогающей в индексации сайтов. Во время работы, браузер стремительно набирает «идентификаторы», позволяющие рекламодателям платить только за релевантные просмотры.

Существуют партнёрские программы между баннерными сетями, «бесплатными» счётчиками просмотров, хостингами картинок, короче — любыми внешними ресурсами.

Лично видел админку одного агрегатора, выкупающего их логи, который мог по одной Cookie с любого из партнёрских сайтов достать ваш внутренний идентификатор и почти полную историю браузера. Что поразительно, его не смущало использование разных машин и даже смена IP адреса. Близкого по времени посещения уникальной страницы на обоих устройствах достаточно чтобы получить общий идентификатор. Это была отечественная система, страшно представить какими объёмами личных данных владеет Google.

После подобной информации, многие люди начинают лихорадочно устанавливать десятки плагинов, превращая следы браузера в адскую мешанину из чужих UserAgent’ов. Юмор ситуации, в том что такие браузеры куда более уникальны и взять их «сигнатуру» легче.

Если ваша паранойя ещё не достигла точки невозврата, советую почитать старую книжку «Гигабайты Власти». Сайт автора.

На заре существования блога, в коде странички был спрятан «жучок» локального анализатора трафика. К моему удивлению, защитные плагины имели невероятно слабую поддержку сигнатур и для их обхода хватило смены имени скрипта. Браузеры меняющие UserAgent, но перезагружающие тот же набор страниц, «светились» как новогодняя ёлка.

Для приемлемой безопасности достаточно руководствоваться здравым смыслом.

Социальный уровень

Давно не новость, что в конкурентной борьбе, при прочих равных, зачастую побеждает человек с более низкими моральными качествами. А при неравных, другого шанса на победу просто нет. Где мало ресурсов, но много желающих — всегда много грязи.

Если Вы читали прошлый выпуск, то вероятно уже знаете, как при острой нехватке технических решений справляются со свои задачей «правоохранители».

Пьяный трёп в незнакомой компании, гнилые разводки, «красные» сайты, пойманные в юности и до сих пор «стучащие» друзья — основные угрозы «социального» уровня.

Хорошо иллюстрирует данную ситуацию цитата из книги Полицейской Собаки:

Вы отчего-то думаете, что вы самые умные. Но знаешь, как обыграть Гарри Каспарова? Надо играть с ним в любые игры, кроме шахмат. Многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» А между тем мы шаг за шагом начинаем разбираться в правилах игры. Для тебя ж не секрет, что во многие преступные группировки по всему миру внедрены «засланцы», на секретных предприятиях работают шпионы, а за высокопоставленными лицами следят доносчики?

В памяти всплывает странная история с инвалидом, который несколько дней рассказывал про свою тяжкую жизнь, а когда кончилось терпение, напрямую попросил «свести с людьми в теме».

Завершим этот раздел народной мудростью: «Не верь, не бойся, не проси».

Техническое решение

Схема подключения

Схема подключения

Если для одноразовых решений достаточно публичного WiFi и TorBrowser’а, то для постоянной работы следует подойти к настройке рабочего окружения основательно.

Проблема VPN в уязвимости перед локальными угрозами, если атакующий попал в систему, узнать входной «белый» адрес не составит большого труда. Одним их лучших решений является работа через виртуальные машины, одна из которых выполняет роль роутера, раздавая проксированный интернет в локальную сеть.

Это позволяет разделить ваше рабочее окружение на изолированные виртуальные машины, дабы минимизировать потери при проникновении на одну из них.

Я пробовал кучу разных решений, но больше всего мне приглянулся Whonix-Gateway: сравнительно лёгкая установка, бесплатность, масштабируемость и надёжность. Кроме того, легко кастомизировать подключение, поставив до и после него VPN, скрывая как факт использования Tor, так и получая на выходе «белый» IP.

Обратите внимание, одна из причин отказа работы подобной криптографии — неправильно установленное системное время.

Настройки сети

Настройки сети

Whonix-Gateway сделан на базе Debian, что требует минимальных навыков работы с Linux. Проект задуман как решение работающее «из коробки», однако мне пришлось вручную доставлять часть deb-пакетов, дабы обновить софт до актуальных версий.

Алгоритм установки примерно такой:

  1. Качаем VirtualBox образ Whonix-Gateway
  2. Если Вы используете VMware, импортируем образ в неё
  3. Первый виртуальный адаптер оставляем без изменений
  4. Добавляем второй, который будет смотреть в новый Lan Segment
  5. Запускаем Whonix-Gateway
  6. Получаем в консоли root через sudo -i (пароль changeme)
  7. Получаем адрес локального адаптера через ifconfig (например 10.152.152.10)
  8. На рабочей VM ставим тип подключения — наш Lan Segment
  9. В свойствах подключения прописываем IP для машины (см. пример справа)
  10. Наслаждаемся дарами дешёвой «анонимности» на любой виртуальной машине

Заключение

Всегда больно смотреть, когда молодым и талантливым ребятам ломают жизнь по совершено ничтожному поводу. Надеюсь, наши материалы кому-то из Вас сильно помогут.

P.S. Будем рады развёрнутым комментариям

9 thoughts on “Инструкция по безопасности #2

  1. А если вместо Whonix взять VPS, поднять на нём OpenVPN сервер, поставить на локальный адрес VPN торовский socks5. Выходит, при подключенном VPN, я пишу в браузере этот локальный адрес и выхожу в тор, при этом нет необходимости возиться с виртуальными машинами.

    1. >пишу в браузере этот локальный адрес и выхожу в тор
      Вероятно имелась в виду установка прокси по умолчанию?

      Виртуальные машины позволяют изолировать сомнительные приложения (антивирусы, крякнутый софт, etc) от хоста. Выше представлен рабочий вариант как раздавать им левый инет.

      По-идее, можно завернуть любые приложения в тор и через badvpn, но мне кажется это не так удобно\безопасно.

      1. Да, указание прокси по умолчанию. Далеко не у всех мощные компы, чтобы поднимать две виртуалки. Скорей всего мой способ только для быстрого доступа в TOR, можно даже таким образом с Android выходить, тогда и Orbot не нужен

        1. Как вариант можно построить маршрутизатор на raspberry pi и заворачивать весь трафик в тор. Очень много вариантов можно придумать. Но опять же — это не имеет смысла если прикрывать только одну часть и небрежно относится к другой. ( я про финансовую анонимность ).

        2. Для использования whonix не нужен мощный комп. Для запуска системы можно оставить 1 ядро процессора и отвести (ВСЕГО ЛИШЬ!!!) 128 мб оперативной памяти, тогда система будет грузиться в консольном режиме(без GUI) и прекрасно выполнять свои функции, а для управления тор сетью можно использовать консольную утилиту arm, которая показывает статистику и по нажатию одной клавиши можно сменить идент. Кроме того, можно создать несколько разделенных ,изолированных друг от друга, сетей со своей копией whonix и успешно их использовать, в силу малого потребления ресурсов whonix`ом.

  2. Все эти схемы изоляции и сокрытия IP конечно хорошо. Но всем давно известно что самое слабое звено — это финансовый след. Можете посоветовать какие то схемы безопасного ввода\вывода денежных средств?

    1. ФинБез тянет на отдельную статью, но у меня маловато опыта в этом вопросе чтобы давать хорошие советы. Биток можно мыть в миксерах, из анонимных валют рекомендуют Monero.

Добавить комментарий