Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
Выбор и покупка виртуального сервера (VPS)
В обучении данный сервер настраивается для использования перед ТОР на хост машине, а основная работа уже будет с виртуальной машины Хуникс воркстейшен на которой будет еще один впн, это очень важный момент. Впн здесь нужен даже не для нужд анонимности, а для того, чтобы надежно зашифровать траффик и скрыть от провайдера использование ТОР.
1. Регистрируем саморег яндекс денег при помощи cервиса sms-activate.ru (cтоит 1 рубль). Выпускаем при помощи этой же вирт смс виртуальную карту и аварийныые коды.
2.Регистрируем аккаунт пейпал. Нужен более менее свежий скан паспорта, инн можно узнать на сайте Госуслуг https://www.gosuslugi.ru/pgu/fns/findInn
3.Привязываем к пейпал карту яндекс.
4. Анонимно пополнить яндекс можно с тех же биткоинов используя обменники
5. Регистрируем аккаунт Didgital Ocean. Указываем имя и фамилию нашего скана.
6. Учетку желательно регистрировать на зарубежную почту вроде gmail.com и по возможности делать это с айпи адреса который не принаддежит датацентру (сокс5 прокси, дед). Если такой возможности нет, то можно использовать браузерный впн Zenmate
7.Зачастую аккаунт морозится после первой оплаты (если регили с впн), нам нужно написать админам, что мы собираемся использовать их сервер исключительно для благих целей вроде хостинга сайта с котиками и если необходимо готовы предоставить скан паспорта. Как правило проверка всегда проходит успешно. Именно Didgital Ocean не принципиально брать
можно воспользоваться сайтом poiskvps.ru
Нам подойдет даже самый дещевый сервер с 256 мб оперативной памяти, главное обрати внимание, чтобы не было ограничений по скорости из стран бери Европу - Нидерланды, Германию, Австрию, Францию и т. д.
1.Создаем дроплет дебиан в нашей учетке ДО, страну выбираем Германию или Нидерланды (самая лучшая скорость к России).
2.На почту придут данные для рут доступа на сервер.
3.Логинимся на наш сервер при помощи команды ssh root@айписервера
Соглашаемся добавить сервер в список известных хостов вбив yes
4. Вводим наш пароль от root,который пришел на почту. В терминале crtl +v не работаем вставляейте правой кнопкой мыши.
5. Нам автоматически предлагают сменить пароль.
6. Вводим опять пароль от root после чего нужно два раза ввести новый пароль.
Устанавливайте сложный пароль около 15-20 символов с разным регистром, цифрами и символами ][=-?><_, желательно при использовании генератора паролей. Это должно обезопасить нас от любого брута.
В терминале вводимые символы не отображаются знаком *, ничего страшного, все равно вводим и жмем enter
Обновляем систему деда apt-get update && apt-get dist-upgrade
Далее идет подъем впн. Тут два вариана, делать все долго вручную либо использовать автоматизированный скрипт с гитхаба. Ученик здесь решает самостоятельно, что ему нужно. Для примера здесь напишу вариант со скриптом.
Заходим на гитхаб, обращаем внимание, что данный скрипт на сайте уже достаточно давно, регулярно обновляется и у него большой рейтинг, при особом желании можно даже ознакомиться с иходным кодом.
https://github.com/Nyr/openvpn-install
Скачивается и запускается скрипт командой
wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Нам показывает айпи нашего сервера жмем интер
Предлагает выбрать порт, можно оставить 1194 либо указать какой-нибудь экзотический.
в имени клиента убираем client и вводим любое имя конфига
Ждем пока скрипт сгенирирует все необходимые сертификаты и закончит работу, новоиспеченный конфиг появится в папке /root/нашеимя.ovpn
Открываем новый терминал (терминал с консолью сервера не трогаем) и скачиваем конфиг
sudo scp root@айпинашегосервера:~/имянашеговпн.ovpn /home/user/Downloads
После этого файл можно найти в папке /home/user/Downloads
Запускаем наш конфиг командой
sudo openvpn /home/user/Downloads/имяконфига.ovpn
Если клиент Openvpn не стоит то устанавливаем его командой
sudo apt-get install openvpn
Заходим на чекер анонимности 2ip.ru видим, что впн работает, но сервис видит наличие двухсторонего туннеля и даже выдает vpn fingerprint.
Нам такой фигни естественно не надо, поэтому продолжим настройку сервера и конфигов.
Заходим снова в терминал с сервером.
1.Отключаем ведение любых системных логов удаляя системную утилиту rsyslog
apt-get remove rsyslog
2. открываем наш серверный конфиг
nano /etc/openvpn/server.conf
если консольный текстовый редактор не установлен, то устанавливаем
apt-get install nano
в конфиге нам необходимо добавить строчку mssfix 0
также убедимся что отключены логи впн и есть строка verb 0
жмем ctrl+ o для сохранения изменений и ctrl + x для выхода
3. Настраиваем файрвол который блокирует любые подключения к нашему серверу кроме портов ssh и порта опенвпн (по дефолту 1194)
ставим файрвол ufw
sudo apt-get install ufw
разрешаем подключения по ssh
Разрешаем подключения к порту openvpn
ufw allow 1194/udp (если создавали конфиг с tcp, то указываем tcp вместо udp)
Залаем правило перенаправления пакетов ufw
nano /etc/default/ufw
в строке DEFAULT_FORWARD_POLICY=»DROP». Дроп меняем на ACCEPT, чтобы вышло
DEFAULT_FORWARD_POLICY=»ACCEPT»
Сохраняемся и выходим
Решаем проблему с определением двухстороннего пинга
g
nano /etc/ufw/before.rules
нужно закомментить строку поставив перед ней знак #
-A ufw-before-input -p icmp -icmp-type echo-request -j ACCEPT
Должно получиться так
# ok icmp codes
-A ufw-before-input -p icmp -icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp -icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp -icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp -icmp-type parameter-problem -j ACCEPT
#-A ufw-before-input -p icmp -icmp-type echo-request -j ACCEPT
Сохраняемся и выходим
Включаем наш файрвол ufw enable
Открываем наш клиентский конфиг на хост машине и дописываем строчку
mssfix 0
Сохраняемся и выходим
Установка и настройка Whonix Workstation и Whonix Gateway на виртуальной машине
4.Настройка браузера на Whonix Workstation
Настройка браузера
1. Открываем чекер whoer.net
2. Необходимо удостовериться что выключен flash и java (не путать с java script). Выключается в графе addons>plugins, все пункты должны быть отключены. Если нам нужны сайты, которые требуют данные технологии, то можно включить (на свой страх и риск)
3. Ставим нужные нам плагины
No Script (отключает java script на сайтах. ВАЖНО! Джава скрипт необходим для нормальной работы большинства сайтов, но также может использоваться злоумышленником для сбора информации и даже эксплойтирования уязвимостей в браузере. Разрешаем в плагине только те сайты, которым мы доверяем. Жизненный пример: злоумышленник размещает безобидную статью на форуме, где есть ссылка на его ресурс, переходя по ссылке мы переходим на сайт, где срабатывают вредоносные скрипты, при этом мы как правило не замечаем ничего подозрительного).
https everywhere (данный плагин принуждает сайты использовать зашифрованное соединение по протоколу https, если на сайте есть поддержка данной технологии, также в плагине можно указать опцию, которая блокирует любой http траффик в принципе. Жизненный пример: Злодей пишет траффик на выходной ноде тора и может свободно анализировать наш http траффик, т.к. он никак не зашифрован).
Self destructed cookies (кукисы - это вспомогательные файлы, которые хрянят настройки сайтов на нашем компьютере, могут быть как безобидными так и вредоносными см. evercookies, также наличие кукисов может быть доказательством, что нам принадлежит определенная учетка на форумесоцсети. Данный плагин удаляет все кукисы сразу после закрытия вкладкиокна браузера)
Privacy settings (в данном плагине можно сразу указать опцию privacy and security по желанию, но самое важное - это отключить webrtc в пункте media peer connections enable)
Random agent spoofer (данный плагин позволяет подделывать нашу операционную системуразрешение экранаuser agent и многое другое, при этом даже джаваскрипт не определяет нашу настоящую систему)
Настройка виртуалки для взлома Wi-Fi
1. Нужно сказать extension pack для VirtualBox http://download.virtualbox.org/virtualbox/5.1.14/Oracle_VM_VirtualBox_Extension_Pack-5.1.14-112924.vbox-extpack
Он нужен для того чтобы подключить USB Wi-Fi адаптер к виртуалке
2. Потом нужно скачать ISO дистрибутива wifislax
http://www.wifislax.com/category/download/nuevas-versiones/
Устанавливаем пак для виртуалбокс
Создаем виртуалку с ISO wifislax. Жесткий диск ненужно крепить к нему.
При установке на виртуалбокс ISO wifislax название ОС указываем debian 64 bit
Запускаем (от имени администратора) ISO в live режиме. Т.е после рестарта виртуалбокса все данные на нем сотрутся.
При запуске выбираем язык
Non-ES Language selection-russion
Предупреждение! Использование чужих точек - не панацея и само по себе является лишь небольшим ДОПОЛНЕНИЕМ к виртуальным машинам Whonix. Ни в коем случае нельзя использовать одно только подключение к чужой точке без других куда более важных мер, особенно, если эта точка находится неподалеку от вашего основного места жительства.
Недорогой и надежный вариант tp link TL-WN722N (около 1000 р.)
http://www.tp-link.com/en/products/details/TL-WN722N.html
Ни в коем случае не покупайте другие модели тплинк.
Данное обучение можно проходить и со встроенным адаптером ноутбука, принцип не меняется.
Есть три основных способа взлома чужих сетей вайфай, которые нужно применять последовательно, т.е. если не сработал первый, переходить ко второму, если не сработал второй то к третьему и т.д.
1. Pixie script - самый быстрый (буквально 2-3 минуты) и простой способ получить пароль к чужой точке доступа. Используется уязвимость wps определенных моделей роутеров.
2. Отлов хендшейков (пакеты в которых роутер и устройство обмениваются зашифрованными пакетами с паролем) и дальнейшая расфшифрока данных пакетов.
3. Брут пинкодов WPS (reaver). Занимает от 4 до 8 часов, у роутера должен быть включен WPS. Подробней про впс здесь https://ru.wikipedia.org/wiki/Wi-Fi_Protected_Setup
Помимо данных трех есть еще способ с блокировкой чужой точки доступа и созданием ее фейка. Для него нужно иметь два вайфайадаптера. В виду сложности в обучении его не рассматриваю.
Инстукция по применению wifislax.
Загружаемся с флешки. При запуске не нужно ничего выбирать, везде жмем enter.
ПЕРВЫЙ СПОСОБ
1.Включаем пикси
Cтартменю (К) » Wifislax» Wpa-wps» Pixie Script
2.Выбираем наш сетевой адаптер (wlan0 или wlan1) и переводим адаптер в режим мониторинга MODO MONITOR, далее сканировать точки доступа INICIAR ESCANEO.
3.Выбираем нужную нам точку и жмем INICIAR ATAQUE.
При успехе рядом с точкой появится желтая звезда, и пароль затем можно найти на рабочем столе в папке Wireless-keys.
ВТОРОЙ СПОСОБ
1.Убиваем процессы, которые используют нашу сетевую карту
sudo kill 1623
sudo kill 1718
2.Включаем нашу карточку в режим мониторинга.
sudo airmon-ng start wlan0
3.Запускаем команду besside-ng
sudo besside-ng wlan0
В разделе TO OWN [сети которые мы пытаемся нагнуть]
В разделе OWNED
4.Открываем на рабочем столе ярлык HOME и смотрим сожержимое папки /root/
файл besside.log это лог результата работы програмы
SSID -имя сети
BSSID -макадрес сети вида
43:о3:d3:vb:d5:56
Первая половина данного мака
43:о3:d3 - это общий идентификатор произоводителя устройства, например, тп-линк, д-линк и т.д.
Вторая половина
vb:d5:56 - уникальный идентификатор конкретного устройства.
Файл, который содержит сами хендшейки это wpa.cap
Т.к. все данные при загрузки с лайв-флешки не сохраняются имеет смысл сохранить файлы wpa.cap и besside.log на другой носитель.
5. Редактируем файл с хендшейками
Запускаем wireshark
открываем наш файл wpa.cap
Каждый отдельный хендшейк здесь - это три последовательных пронумерованных пакета.
Так как в файле все хендшейки идут подряд, нам нужно разделить этот файл, чтобы каждой точке доступа соответствовал один конкретный хендшейк (три пакета)
Для этого смотри раздел Source видим, что там уже отображается производель роутера (програма автоматически прочитала первую половину значения макадреса) и уникальный идентификатор. Далее см. в файле бессайд.лог какой-именно сети соответствует данный макдрес.
Linux,
Нажимаем File » Export Specified Packets » выбираем Specify a packet range » вводим в поле номера первых трех пакетов 1-3
Имя файла вводим такое же как у точки доступа (см. файл бессайд лог) и жмем Save.
Затем нам нужно повторить данную операцию со всеми остальными пакетами, для этого вбиваем в поле Specify a packet range
4-6
7-9
10-12
13-15
16-18
и т.д. пока не закончим
Как только мы закончим нужно переименовать расширения всех файлов с имяточкидоступа.pcap на имяточкидоступа.cap Это нужно для сервиса.
Заходим на сайт http://wpa-sec.stanev.org регистрируемся, получаем на почту ключ.
Начинаем заливать наши хендшейки в разделе Submit
Как правило пароль подбирается за 10-15 минут, если процедура затягивается то скорей всего фейл. Все слабые пароли до восьми символов ломаются, сложные нет. Средняя статистика успеха где-то 20%.
ТРЕТИЙ СПОСОБ
Брутим wps. От 5 до 10 часов на точку
Основная программа для этого reaver, но в wifislax существует огромное кол-во автоматизированных скриптов для него, я покажу на примере одного из них.
Cтартменю (К) » Wifislax» Wpa-wps» Goyscript wps
1.Выбираем номер нашего сетевого устройства и жмем enter
2.Ждем секунд 30-40 пока идет сканирование точек с ВПС,
после чего останавливаем процесс нажатием ctrl+c.
3.Выбираем порядковый номер нужной нам точки и жмем enter.
На современных моделях роутеров данный способ практически не действует.
По фай вай скажу ряд моментов
1. Если злоумышленник получает доступ к твоей основной системе, то он получает доступ и к твоей сетевой карточке вайфай и видит все имена и макадреса всех точек, которые она ловит, а также твой личный мак адрес, а это скорей всего уже деанон. Можешь открыть например данный сервис https://wigle.net/ и посмотреть есть по твоему адресу точки, которые у тебя ловят.
2 .У твоего сетевого адаптера есть макадрес по которому тебя можно великолепно вычислять не важно к какой именно точке ты подключен. Даже если мак меняешь, то это не панацея (по последним исследованиям). Также никакой особой роли не играет, что подключаешься к точке за несколько км, вычислят по маку на ура, причем чем мощней антена, тем проще вычислять.
3. Если ты настраиваешь нормальную цепочку с использованием ТОР + туннели или впн + виртуальная машина, то непонятна вообще роль соседского вайфай в данной истории. Сдеанонить ТОр это задача уровня американского агентства нац. безопасности, да и то не факт что они смогут. А если злоумышленник получает доступ к машине то см. п.1
Но несмотря на это ниже будет мини мануал поэтому поводу.
Сначала мы должны установить sshuttle на свой линукс минт
pip install sshuttle
sudo apt-get install pip
sudo pip install sshuttle
На ВПС ничего устанавливать ненужно
Команда для подключение к серверу
sshuttle -r user@remoteserver 0.0.0.0/0 –vv
где username - логин на удаленном виртуальном сервере, sshserver - его IP-адрес или доменное имя, параметр 0.0.0.0/0 означает, что мы собираемся добавить в нашу таблицу маршрутизации правило, благодаря которому весь исходящий трафик будет отправляться на удалённый сервер, за исключением DNS-запросов. Разработчик намеренно не включает по умолчанию этот функционал для DNS, потому что у некоторых пользователей для выхода в интернет должны использоваться провайдерские серверы разрешения имен. Если мы можем пользоваться любыми DNS-серверами, то и запросы к ним можем “завернуть” в наш шифрованный SSH-туннель
Whonix - это две виртуальные машины Линукс Debian запущенные в программе Virtual Box, настроенные для максимальной безыанонимности. Первый образ шлюз - Whonix Gateway, заворачивает весь наш траффик в сеть TOR, а второй рабочая станция - Whoinix Workstation, с которой мы уже заходим в интернетзапускаем софт. Причем, рабочая станция настроена таким образом, что вообще не может принимать никакого траффика кроме сети TOR. Это полностью исключает любую возможную утечку нашего айпи адреса или днс. Более того, даже если злоумышленнику удастся получить удаленный доступ к нашей машине хуникс, единственное что он сможет получить это локальный айпиадрес, который абсолютно бесполезен.
На рабочей станции хуиникса легко настраивается впн, что избавляет нас от постоянного ввода предельно тупорылой капчи и защищает нас от недобросовестных выходных нод тора, которые могут сниффать траффик. При желании можно подключить к нашему шлюзу Хуиникс любую другую виртуалкунесколько виртуалок. Можете даже Виндоус подключить, только учитывайте при этом его дырявость.
1.Cмена пароля.
В системе на обоих виртуальных машинах у нас два пользователя root и user, пароли для них по-умолчанию changeme. Для смены вводим:
sudo passwd user
sudo passwd root
2. Обновляется система командой sudo apt-get update && sudo apt-get dist-upgrade
3. Для установки чего либо вбиваем sudo apt-get install имяпрограммы
pidgin - джаббер
pidgin-otr - плагин otr шифрования для пиджина
keepassx- менеджер паролей
libreoffice - офисный пакет
Также можно устанавливать скаченные с сайтов проги вручную через sudo dpkg -i /путь/имя
или устанавливать через скрипты sudo sh /путь/имя
Обычно инструкции можно найти на этих же сайтах.
4. Для экономии оперативной памяти в настройках хуникс гетвей можно умеьшить ползунок до 150 мб. Тогда машина запустится в консольном виде. Если обратно увеличим - то снова будет графическая среда. Сэкономленую память можно выделить Хуникс Воркстейшен.
Обычно гетвей мы пользуемся только для обновления системы sudo apt-get update && sudo apt-get dist-upgrade
Также в случае проблем соединения с тор, можно перезапустить сервис sudo service tor restart
5. Графическая среда KDE не самая приятная, поэтому при желании ее можно сменить на более быструю xfce4 или mate
для этого вбиваем в консоли
sudo apt-get install mate
sudo apt-get install xfce4
После перезагрузки все должно работать.
Обфускация (маскировка) траффика
Этот способ нужно использовать только если ваш провайдер блокирует VPN или TOR подключение
sudo apt-get install python2.7 python-pip python-dev build-essential libgmp-dev
pip install obfsproxy
sudo pip install setuptools
после этого мы можем выполнить команду запуска obfs и запустить openvpn:
/etc/init.d/obfs start
Для того чтобы наш минт не запускался без флешки раздел boot нужно создать на этом флешке. Вспоминаем урок 1.Установка и настройка Linux Mint. Там начиная с 05:53 он объясняет как это сделать. Только там он создает раздел там куда будет установлен минт
Но мы должны выбрать и создать этот раздел на флешке.
Чаще всего в контексте их беспрецедентной безопасности. Некоторые даже утверждают, что Linux - самые безопасные операционные системы из всех представленных на рынке. Это, разумеется, ничем не доказуемая гипербола. Действительно, многие дистрибутивы Linux оказываются на порядок безопаснее и , но большинство из них не дотягивает до стандартов FreeBSD, не говоря уже об OpenBSD, которая зарекомендовала себя как одна из наиболее защищенных пользовательских систем. И это даже если оставить в стороне узкоспециальные ОС типа всевозможных RTOS, IBM i, OpenVMS и TrustedBSD.
Теоретически, конечно, такое заявление все-таки имеет право на существование. Если учесть, что при словах «операционная система с открытым кодом» большинство пользователей думает в первую очередь (если не исключительно) о Linux (а порой даже считает, что Linux - это и есть название ОС), то они правы. При прочих равных условиях, популярные системы с открытым кодом действительно имеют преимущество с точки зрения безопасности по сравнению с закрытыми ОС. Тем не менее, семейство Linux - далеко не единственный образец операционных систем с открытым кодом.
Если считать Linux символом открытого ПО, а MS Windows - символом закрытого, тогда, конечно, можно сказать, что «Linux - самые безопасные системы из всех», притом что в понятие «все» входит всего две категории продуктов. Но ведь мир устроен далеко не так просто.
На самом деле, ОС Linux далеко не являются самыми безопасными, если учесть весь доступный ассортимент операционных систем. А некоторые дистрибутивы Linux так и вообще создавались исключительно в исследовательских целях и поэтому намеренно обладают минимальным уровнем защиты в стандартной конфигурации. По уровню варьируются от абсолютно не защищенных до таких монстров, как Hardened Gentoo. Ну а среднестатистический дистрибутив Linux находится, естественно, где-то посередине.
К тому же, вычислить « » не так просто, как это кажется на первый взгляд. Главный критерий, на который ориентируются пользователи, не разбирающиеся в стандартах безопасности (и те, кто манипулирует этими пользователями в корыстных интересах), - это количество выявленных уязвимостей. Но ведь мы-то с вами знаем, что минимум обнаруженных в системе лазеек - еще не повод считать ее надежно защищенной. Говоря о безопасности, нужно учитывать целый ряд факторов, в том числе:
Осуществляется ли проверка качества кода;
какие заданы стандартные настройки безопасности;
насколько быстро и качественно пишутся исправления;
как устроена система распределения полномочий;
...и многое другое.
Даже если не брать в расчет ОС, в которых не запускаются, к примеру, популярные веб-браузеры (Firefox), почтовые клиенты (Thunderbird) и офисные программы (OpenOffice.org) с графическим интерфейсом WIMP на компьютере с архитектурой Intel x86, среднестатистический дистрибутив Linux ни при каких условиях нельзя назвать самой защищенной операционной системой. И уж во всяком случае, Ubuntu - едва ли не самый распространенная ОС Linux - на это звание претендовать точно не может.
Да и вообще, в любой категории систем непременно найдется такая, которая оказывается на порядок лучше Ubuntu по всем параметрам, причем зачастую это просто другие дистрибутивы Linux. А ведь некоторые утверждают, что среди - самая безопасная. В таком случае, и если предположить, что системы Linux вообще самые защищенные на рынке, это значит, что Ubuntu даже безопаснее OpenVMS. Извините, что-то не верится.
Если вы тоже убеждены, что «Linux - самые безопасные операционные системы», настоятельно советую вам пересмотреть свои взгляды. Многие другие ОС оказываются намного безопаснее среднестатистического дистрибутива Linux. К тому же, если учесть, насколько разнообразно семейство ОС Linux в принципе и какие разные критерии приняты для оценки степени защищенности операционных систем, такое заявление звучит по меньшей мере идеалистически.
Ответ на вопрос «являются ли операционные системы Linux самыми безопасными» зависит от того, какие системы сравнивать и с какой точки зрения оценивать безопасность ОС (если, конечно, речь не идет об абстрактном сравнении открытого и закрытого ПО). Если же голословно заявлять, что Linux безопаснее всех, всегда есть риск столкнуться с человеком, который разбирается в проблеме гораздо лучше и легко сможет разнести эту необоснованную точку зрения в пух и прах.
Нужно быть точнее в своих высказываниях, иначе есть опасность усвоить поверхностный взгляд на проблему безопасности вообще и создать массу неприятностей для тех, кто склонен прислушиваться к таким заявлениям. Если имеется в виду, что при прочих равных условиях популярные операционные системы с открытым кодом безопаснее популярных ОС с закрытым, - нужно так и говорить. Если имеется в виду, что стандартная конфигурация Ubuntu безопаснее стандартной конфигурации
Наверняка многие помнят Эдварда Сноудена, того самого программиста, который передал секретную информацию АНБ крупным американским изданиям. Как выяснилось позже, он использовал TAILS – дистрибутив Linux, основанный на Debian.
Tails является детищем проекта Incognito LiveCD. В 2010 году разработка этой ОС была прекращена и представлен более усовершенствованный вариант — The Amnesic Incognito Live System. Такая аббревиатура выбрана неслучайно – слово «амнезия» означает, что после каждой перезагрузки системы все действия пользователя стираются, то есть, отследить, чем занимался пользователь, невозможно.
ISO-образ дистрибутива можно записать на диск, флешку или SD-карту, затем загрузить на компьютер. ОС по умолчанию не монтирует жесткий диск ПК, вся информация хранится в оперативной памяти.
Как обеспечивается защита пользователя
Localhost
Данные о действии пользователя записываются только в оперативной памяти. Для шифрования флешек и внешних носителей используется LUKS – стандарт защиты, разработанный под Linux.
В случае, если необходимо удалить информацию, которая хранится на жестком диске или любом другом носителе, можно использовать специальную утилиту – Nautilus Wipe. Она стирает файлы без права их восстановления.
Интернет
Для защиты пользователя во всемирной паутине используется утилита Tor. В случае если какое-то приложение попытается обратиться в сеть напрямую, оно будет сразу же заблокировано. Частично функции Tor выполняет i2p – анонимное соединение, работающие поверх сети интернет. Все данные, передающиеся по сети, зашифрованы.
В системе используется Tor Browser. В нем по умолчанию установлены FoxyProxy, Adblock Plus, HTTPS-Everywhere, NoScript и т.д. HTTPS-Everywhere – утилита, которая автоматически переводит веб-сайты на протокол HTTPS вместо HTTP. В этом режиме шифруются данные, которые передаются от пользователей к сайтам. NoScript – расширение Firefox, которое блокирует опасные компоненты HTML-страниц, такие как Java, Flash.
Для работы с электронной почтой используется Сlaws Mail со стандартом шифрования OpenPGP, который кодирует электронные письма при помощи ключа, без которого их нельзя прочитать. Для хранения паролей в системе имеется утилита KeePassX. Модульный клиент Pidgin применяется для мгновенного обмена сообщениями, по типу ICQ, а электронная клавиатура – для защиты от кейлоггеров.
Вместо вывода
Tails – лучшее решение для тех, кто хочет обеспечить себе конфиденциальность на всех уровнях. Основным преимуществом этого дистрибутива является то, что пользователю не приходится выбирать между удобством и безопасностью. С Tails можно работать в любом формате: установить в качестве основной ОС, запускать с виртуальной машины либо флешки. При этом, система полностью имитирует дизайн интерфейса ОС Windows.
Безопасности в Linux-системах у нас посвящен целый курс « »!
Вам стало необходимо воспользоваться безопасной операционной системой, которая анонимно разместит вас в интернете? Ну, например как было сказано в для совершения банковских операций на чужом компьютере или в том случае, когда вам нужно анонимн
о
прибывать в
интернете
, но вы не может тратить много времени и возиться со сборкой специального программного обеспечения, тогда вы должны использовать специализированные дистрибутивы GNU/Linux систем.
Windows системы мало, чем помогут вам в этом ответственном деле, а общие системы Linux такие как Ubuntu, Fedora, Mint или SUSE в данном случае не подойдут. Поэтому лучше всего использовать специально разработанные операционные системы для анонимного существования в интернете. Такой дистрибутив для анонимности вы всегда сможете носить в кармане на .
Ну а если вам нужно анонимно быть в интернете не выходя из Windows, то вы можете запустить специальный дистрибутив Linux в VirtualBox, описание которого вы найдете ниже.
Так как мы делаем акцент на анонимность и безопасность в интернете это означает, что все эти системы должны включать минимально возможный код, но при этом оставались как можно больше стабильными, другими словами я хочу сказать, что почти наверняка вы не получите то ваше привычное и любимое Linux desktop окружение. Нет, нет, не подумайте, что будет, что-то не рабочее, просто рабочий стол будет иметь не самую последнюю версию со всеми сопутствующими наворотами. Ну а пользователи Windows получат вполне понятный и адекватный рабочий стол, я бы сказал адекватней, чем рабочий стол в Windows 8, для того чтобы анонимно выполнить что либо в интернете
Теперь нужно выяснить, какая система для анонимного пребывания в интернете, будет требовать меньше усилий по адаптации к рабочему столу
Давайте тогда, оценим, как выглядит каждый из этих специальных для анонимности ОС Linux.
Linux — открытая операционная система, благодаря чему, каждый желающий может посмотреть ее исходный код. Ну, конечно же, мы понимаем, что простой человек мало чего сможет там разобрать, и тем не менее, возможность у него есть. Казалось бы, в таком случае, имея доступ к коду, изучив его, можно легко эксплуатировать найденные уязвимости (а они в любом случае есть). Но вместо этого Linux дистрибутивы до сих пор считаются безопаснее других операционных систем. Давайте попробуем разобраться почему так происходит.
Разграничение прав
Пользователи Window, как правило, очень часто, создавая свою учетную запись, дают ей права администратора. В этом случае намного проще работать в системе: при установке программ не нужно каждый раз вводить пароль, по этой же причине быстрее и легче запускать от имени администратора некоторые программы и т.п.
Но обратной стороной медали является то, что попав на такую систему, вирус также легко, как и пользователь, получает доступ ко всем важным частям ОС. По сути, он может делать все, на что запрограммирован.
В Linux же пользователи большую часть времени работают под обычной учетной записью, под которой нельзя как-либо изменять системные файлы, устанавливать или удалять ПО. Поэтому, даже если на компьютер и попадет какой-либо вирус, доступ у него будет разве что только к файлам в каталоге пользователя, поэтому большого вреда системе в целом он не нанесет.
Технически подкованные пользователи
Не секрет, что Linux пользователи — чаще всего люди, осознанно выбравшие эту систему. То есть это те, кто в определенной степени интересуется IT. Такие люди, как правило, подкованы в компьютерной безопасности (хотя бы на минимальном уровне) и они не станут безраздумно открывать подозрительные вложения в электронных письмах, запускать неизвестные им программы и скрипты. Кроме того, если даже человек и сделает это, запрос пароля администратора его может остановить в последний момент.
Круг пользователей других ОС более широк: это и дети, молодые люди далекие от IT индустрии, для которых компьютер — мультимедийное устройство, пожилые люди — которые вообще боятся современных устройств и стараются другой раз обходить их стороной. В этом случае есть большой шанс, что зловред, попавший на компьютер, будет приведен в действие.
IPtables
Высокого уровня безопасности на компьютерах с Linux добиваются также при помощи IPtables. Это интерфейс, который позволяет управлять работой брандмауэра netfilter в Linux. Также, часто под IPtables подразумевают и сам брандмауэр.
При помощи данной утилиты можно полностью контролировать доступ вашей системы в интернет. Создавая определенные правила, вы разрешаете или запрещаете входящий и исходящий трафик на любые порты и протоколы с любых IP и Mac адресов и подсетей. Естественно для этого потребуется время на знакомство с утилитой, но если вам важна безопасность или контроль над сетью, это того стоит.
Раздробленность
Очень часто Linux упрекают в том, что в нем единства. Существует множество дистрибутивов и окруженной рабочего стола, которые могут сильно различаться как по своей работе, так и внутреннем строении. Из-за этого, мол, распыляются силы разработчиков, которые вместо того, чтобы совместно работать над чем либо одним, отдельно друг от друга создают свои «велосипеды».
Но в плане безопасности данный факт играет положительную роль. Разнообразие дистрибутивов, оболочек, систем управления пакетами, почтовых клиентов, препятствуют широкому распространению вирусов. Ведь написать зловред, который сможет работать во всем этом «зоопарке» — очень сложно.
Архитектура Windows не настолько разнообразна, поэтому если вирус сможет попасть хотя бы на несколько компьютеров, он с легкостью сможет заражать и другие машины, особенно если они включены в одну сеть.
Система отслеживания событий
В Linux все события можно отслеживать при помощи лог-файлов. Если кто-нибудь будет пытаться попасть в систему и как-либо ее скомпрометировать, системный администратор (если это сервер) по логам легко сможет отследить каким образом это осуществляется и что уже успел сделать вирус или взломщик.
Небольшой процент пользователей
В сравнении с MacOS, а тем более Windows, процент пользователей Linux очень маленький (имеются ввиду домашние системы). В связи с этим, а также, как было сказано выше, большой раздробленностью платформы, писать вирусы под нее просто не выгодно. На написание вируса, который сможет работать хотя бы на самых распространенных дистрибутивах, требуется потратить больше времени, чем на его написание под другие ОС. При этом, выгода от этого непонятна.
Подводя итог
На самом деле, не существует систем, защищенных от хакеров на 100%. При наличии времени и большого желания можно взломать любую ОС. Естественно, нельзя сказать, что все системы имеют одинаковый уровень безопасности, но Linux здесь действительно в лидерах.
Однако нужно так же учитывать, что защита компьютера зависит не только от разработчиков дистрибутивов, но также от компетентности пользователя и правильного использования возможностей дистрибутива. И, как видим, Linux здесь тоже стоит на первом месте, поскольку большая часть его пользователей люди связанные с IT или им интересующиеся.
А как вы считаете: действительно ли Linux безопаснее других ОС и почему?
Предыдущая записьСледующая запись
