Система для безопасной работы, линукс

Я не претендую на абсолютную истину, написал по фану, для вас и для форума.
___________________________________________________________

Начать нужно конечно же с главного вопроса, что мы можем сделать, чтобы проблем у нас было меньше?

Мы можем выучить линукс и шелл, реакт и вебдев, дизаин, сео, траффик, рассылки, мету с кобальтстрайком и прочие отрасли, и зарабатывать на них легально, но не здесь и сейчас, а позже, когда-то, когда прочтете пару тройку книг и вложите 1500-3000 часов своего времени, или чуть больше, или меньше, и вам не нужно будет переживать о том, что когда вы будете на прогулке, к вам подойдут, закуют и уведут.

Но если вы все же не находите себе место в белом деле по любым причинам, то эта статья для вас.

Линукс был упомянут не спроста. Потому что основная идея достижения максимальной безопасности, приватности и анонимности состоит в удалении из вашей жизни корпораций,
а также в понимании того, как вас будут искать. И будут ли вообще тратить на вас время и др. ресурсы. И кто это будет делать. Эти вопросы нужно держать в голове.

Начнем с самого частого вопроса, который тревожит умы многих новичков, и ответ на который некоторые очень категоричные и пессимистичные старожилы уже давно для себя дали.

Вопрос этот состоит в следующем "А правда ли что если захотят, то найдут".

Просто да/нет ответить было бы глупо в статье про безопасность.

Тут следует отметить, что те кто ищут преступников, это не сверхсила, это не эфемерное понятие,
которое может сделать буквально все и получить доступ к любой двери и серверу.

Это обычные люди, такие как вы, и на этом форуме их десятки, если не сотни.

Но мы говорим не о них, а в целом о тех, кто есть по ту сторону. А по ту сторону могут быть как полные чайники, так и профессионалы этичного и не очень хака, которые в купе с полномочиями товарища майора могут почти все.

Нужно отдавать себе отчет, что иногда вам будет противостоять элита технического мира, поэтому вы в принципе всегда позади. И начинать нужно именно с этого, что не вы впереди на два шага, а они. Но стоит отметить, что это не касется всех групп, которые будут вести поиски кого-либо. Это касается части этих групп. А времени и ресурсов на всех у этих групп может и скорее всего просто не будет.

Поэтому в этой несправедливой и нечестной игре вы должны быть как Давид который противостоял гораздо более сильному и выносливыму противнику - Голиафу. Лучшее что вы можете сделать, это изучить своего противника, изучить его методы, и понять как усложнить его работу настолько, что Голиаф просто опустит руки, и пойдет кошмарить другого персонажа, который зазевался и тратит очередной награбленный миллион. Самые рьяные из вас скажут, и правильно подметят, что если вы сделали что-то сверхтяжелое, то от вас не отстанут. Но если все сделать правильно, то шансы все же есть. Особенно если вовремя залечь на дно. Изменить виртуальную личность полностью, накорню, и слиться с другими, реальными личностями. Второй способ избежать подобных проблем, как писалось выше - просто не заниматься этой херней, а научиться, к примеру выращивать картошку, завести теплицу, купить еще какую рассаду или научиться чему-то другому, что поможет вам не умереть от голода.

Если вы все же решили шифроваться, первое что нужно сделать, это составить модель угроз и исходя из нее решать, что вам удобнее - пытаться полностью исчезнуть, или пытаться слиться с другими легитимными жителями сети. Предлагается делать и то и другое. Правда полностью исчезнуть с радаров большого брата будет крайне сложно. Но это возможно. Этот параноидальный вариант мы может быть рассмотрим когда-нибудь потом.

[Далее будем использовать понятия реальной и виртуальной личности]

Поэтому мы будем миксовать оба подхода. Для начала рекомендуется навсегда отказаться от проприетарных девайсов[как минимум у виртуальной личности], которые могут (а многие так и есть) нафаршированы всяким следящим за вас кодом, называемым трэкерами. Задача их не следить за каждым вашим словом, а только записывать определенные шаблоны и давать отчет на сервер, что была произнесена такая-то фраза или что был выполнен определенный поведенческий шаблон, значит этому юзеру покажем такую-то рекламу(но представьте, если группа получит контроль к серверу корпорации, или она этой группе добровольно даст доступ). Кто-то с этим будет спорить, но автору пофиг. Грамотный читатель наверняка понимает, что для безопасности таковых девайсов не должно быть хотя бы на работе, а работа не должна быть в месте постоянного проживания. При перемещении из одного места(с работы) во второе, у читателя должен быть выключены тот телефон, который при выезде ему не нужен. А лучше - оставлен там, где он используется. На работе. Или дома, если читатель выезжает на работу.(А как в таком случае контактировать с близкими - вопрос оставим в пустоте, отмечу лишь, что если вы на работе, то с рабочего телефона на виртуальной личности у вас не должно быть никаких пересечений с реальной личностью, в первую очередь шаблонов перемещения по гсм сигналу)

Если у вас в команде есть люди, которые привозят на работу айфоны, самсунги, шиоми и прочие проприетарные девайсы, меньшее что вы можете сделать, положить их в ванную в коробку после полного выключения, включить воду и закрыть дверь на швабру. А лучше им тоже оставлять все девайсы дома. И домашние девайсы тоже неплохо бы зашифровать, но об этом потом.

Перейдем к более техническим вопросам.
Конфигураций максимального уровня безопасности достаточно много, но у всех подобных есть система. Расскажем кратенько как видим ее мы:

Допустим у вас есть возможность покупать препейд или обычные симкарты, оформленные на каких-то людей. Тут стоит упомянуть, что менять симкарту в девайсе, с которого вы выходите в сеть нужно каждые 2-4 недели. Покупать симкарты имеет смысл у разных операторов из разных партий. Что касается оптоволокна - от него лучше отказаться. Даже если у вас есть бомж, который оформит договор на себя. Почему? потому что остаются грубые следы, а именно кабель, ведущий к вашему месту работы. Помимо этого у вас на крыше и на этаже стоят коммутаторы, к которым можно подключиться и снифать ваш зашифрованный или не очень трафф. Что не есть хорошо уже на этом этапе. Задача состоит как раз в том, чтобы не доводить до этого.

Дальше у нас два варианта - использовать девайс с возможностью смены имея, коим могут выступать кучи моделей, которые гуглятся по запросу "LTE router with programmable IMEI" либо мы берем и получаем рут к какому-нибудь Xiaomi, чистим вручную его от проприетарного мусора и ставим софт для смены имея. Этот телефон и будет выступать в качестве роутера. Есть еще один вариант, это постоянная покупка и дальнейшая продажа(а лучше утилизация) одноразовых 3г ЛТЕ модемов-свистков, этот вариант рассматривать не будем.

Следующий шаг в нашем алгоритме это дополнительный маршрутизатор. Рекомендуем использовать прошивку OpenWRT потому что это стабильный легко конфигурируемый линукс с кучей пакетов на сравнительно дешевой машине(можно использовать Малинку, но это дороже и вайфай модули в малинках очень плохие, если и юзать распберри, то через usb-ethernet адаптер, предполагается, что в основной ethernet будет воткнут наш основной источник связи - ЛТЕ роутер с возможностью смены имея. Либо покупаем внешний wifi adapter)

Система о которой будет рассказано в этой статье будет иметь вид:

ЛТЕ модем с возможностью смены ИМЕИ ->

Роутер прошитый ОС OpenWRT на котором будет автоматом подниматься WireGuard/O*** соединение ->

Основная хост система(коей может выступать любая ОС, но чем свободнее система, тем лучше)
На этом этапе, если скорость вашего входного канала и ***а на роутере достаточна, можно поднять второй *** канал. Можно, но опционально и для параноиков(что в нашем деле - плюс) ->

Whonix Gateway - шлюз, через который мы будем пускать траффик гостевой(виртуальной машины) Рекомендуется устанавливать версию без гуи, чтобы расходовать меньше ресурса хост-машины. Скачать шлюз можно здесь https://www.whonix.org/wiki/VirtualBox/CLI ->

Виртуальная машина, которая и будет выступать в качестве нашей основной рабочей оси, на которой должен быть установлен еще один *** канал(тут уже не опционально, это необходимо, и позже будет описано почему) Для примера и по просьбам некоторых пользователей форума, выберем замечательную ОС на базе Debian - Kali Linux.
Но можно использовать абсолютно все, что угодно. И иногда это необходимо, например для Винды при работе с антиками, которые не портировали на Линукс.

Сразу несколько рекомендаций. Оставьте в покое хост машину, не устанавливайте на нее ничего кроме следующих программ:

VirtualBox или любого другого гипервизора. Старайтесь избегать софта типа VMware, Parallels и прочих подобных комплексов так как они просят слишком много прав и разрешений для работы. Кроме того, у них закрыт код, а значит мы не можем их использовать.

Комплекс для шифрования данных(поверх шифрования хост-системы), легче всего будет освоить Veracrypt.

Программа для поднятия О*** соединения(она вшита во многих осях) или вы должны будете быть готовыми для поднятия WireGuard туннеля через командную строку(1 строка кода). Крайний вариант - клиенты типа Open***.

Фаервол с грамотно прописаными правилами(если вы не осилили конфигурацию iptables на openwrt)

Все остальное должно использоваться только на гостевой машине, которую мы будем хранить на криптопартиции (которая будет лежать на съемном ссд накопителе).

В случае Veracrypt - рекомендуется создать достаточно большую партицию(до 100 гб) и использовать механизм скрытых партиций. Далее мы должны создать достаточно длинный пароль - до 32 символов, который мы сгенерируем любым генератором паролей, после чего поменяем рандомно половину символов на любые другие, для бОльшей псевдослучайности. Этот пароль мы даже не будем пробовать запомнить, потому что это противоречит принципам системы. Мы будем хранить этот файл на флешке, которая будет использоваться как токен. Помимо этого пароля на флешке мы будем хранить keyfile. То есть знания пароля будет недостаточно для открытия партиции. Это может быть несколько файлов, но сделайте так, чтобы они были уникальными(то есть чтобы этих файлов не могло быть ни у кого).

Далее хотелось бы привести несколько рекомендаций по выбору ***. Варианта два - собственный *** и публичный *** от проверенного сервиса которому вы доверяете(но который не знает вашей виртуальной личности). У обоих вариантов есть свои плюсы и минусы, поэтому рекомендуется использовать оба.
В нашем случае мы имеем канал *** - ТОР - *** который при текущей конфигурации защищает вас от тайминговых атак на сеть ТОР(о ней мы еще поговорим в других статьях). То есть мы должны определиться с тем, на каком участке мы будем использовать публичный ***, а на каком - личный. Рекомендуем поднимать клиент для собственного ***а на роутере(openwrt) а для публичного - на выходе канала. Таким образом, если вы правильно выбрали провайдера *** услуг, ваш траффик будет миксоваться с сотнями других ползователей на сервере, который вы выбрали, что серьезно повышает вашу анономность.

Вернемся к настройкам ОСей.

Мы устанавливаем все что было перечислено выше и открываем VirtualBox.

Качаем образ Кали с официального сайта и устанавливаем его в качестве виртуальной машины. Выделяем машине побольше ресурсов - 4гб памяти и 2-4 ядра основной хост машины. Далее заходим в настройки свежеустановленной Кали.

Во вкладке General все оставляем как есть, по желанию добавляем шифрование виртуального хдд.

Вкладка System
Поднимаем объем оперативной памяти и убеждаемся в наличие галочки:
Enable I/O APIC.
Подвкладка Processor - повышаем количесвто ядер и если чувствуете лаги в системе, опиционально включаем шалочку Enable PAE/NX. На некоторых процессорах эта галочка лечит подтормаживания.

Далее вкладка Display. Тут мы выставляем память по максимуму и включаем 3D Acceleration. Что касается Контроллера, тут нужно пробовать. На разных видеокартах разные контроллеры дают более производительные результаты. Рекомендую начать с VMSVGA.

Вкладка Storage. Критически важная галочка должна быть прожата - Use host I/O cache.

Вкладка Network. После успешной установки Whonix Gateway CLI(и смены пароля с дефолтного) прикрепляем Сетевой интерфейс ко внутренней сети - Internal Network.
Пунктом ниже name - Whonix. Таким образом после включения шлюза и гостевой Кали - наш трафф пойдет через шлюз, на котором поднят Tor service. Осталось только подправить настройки сети в самой Кали:

В правом нижнем углу прожимаем на значок сети - Network Settings - Wired - IPv6 - отключаем, заходим в IPv4 и прописываем мануальные настройки:

Address 10.152.152.3
Netmask 255.255.192.0
Gateway 10.152.152.10

DNS 10.152.152.10

Сохранаяем, перезагружаемся, проверяем сеть.

Далее обновляем систему из терминала командами
sudo apt-get update
sudo apt-get upgrade
и устанавливаем о*** клиент(или консольный ваергард клиент)
Вставляем сертификаты или генерируем ключи для ваергарда, прописываем настройки сервера, и идем проверять скорость. Если вы получили что-то в районе 3-5 мб/с, то вы выбрали нормальные серверы и работать с такой скоростью более чем реально.

Конечно для лучшей производительности нам нужно установить VirtualBox Guest Additions(если он не установился автоматом. Последние сборки Кали делают это сразу же):

hxxps://unix.stackexchange.com/ques...-additions-in-a-debian-virtual-machine/286935

тут описаны основные проблемы, которые возникают на этом этапе.

Включаем bidirectional drag and drop и clipboard, чтобы у вас работал буфер обмена.

Итак, система готова, поставим на нее необходимый и опциональный софт:


1. Gnupg
2. pidgin + otr-plugin(cyperpunks)
3. Tor service
4. Gajim
5. Signal
6. tweaks - точечная настройка системы.
7. stacer - для очистки мусора

Чаще всего весь софт устанавливается с помощью обновления репозиториев:

sudo apt update

и дальнейшей команды

sudo apt install APPNAME.

Плагины и другие программы которых нет в репозиториях нужно собирать самостоятельно.
Для этого качаем софт с сайта производителя, заходим в папку с программой через терминал, пишем команду

./configure

И если не произошло никаких ошибок(а часто этот скрипт просит доустановить зависимости - необходимые пакеты для этого софта)
Далее, когда скрипт отрабатывает без ошибок, пишем в терминале:

make

а после

make install

По просьбе моего старого партнера, опишем как сделать рабочий пиджин на любом линуксе. Для этого нам в нужном порядке нужно доустановить следующие пакеты(если их еще нет в системе):

1. libgpgerror
2. libcrypt
3. libotr
4. libperl-dev
5. libgtk2.0-dev
6. libpurple-dev
7. intltool

после этого переустанавливаем пиджин:

apt-get install pidgin-dev

В качестве бонуса опишем установку OMEMO плагина и очень эффективного антиспам плагина bot-sentry.

Мчимся на гитхаб

https://github.com/gkdr/lurch

И на сорсфордж

https://sourceforge.net/projects/pidgin-bs/

Качаем и устанавливаем по рекомендациям выше. Настройка и того и другого простейшая, просто зайдите в свойства плагина(и не забудьте включить галочку). Никаких зависимостей, еще не установленных быть не должно.

Перезагружаем систему и делаем снапшот После чего можно добавить свои рабочие джабберы.

Спасибо за внимание!