Тебе для каких целей? Игры/работа повседневная
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Software / Hardware / Operating systems (все темы)
- Автор темы r_as
- Дата начала
Windows tiny11 2311
Подключение в тор должно иметь между собой минимум 1 какой-нибудь vpn по типу Xray + DNS.
Насчёт расходников не понял, что именно нужно?
Я не спец, но могу сказать своё мнение.
Сеть
Провайдер (левые данные), либо крякнутый соседский - маршрутизатор/роутер провайдера - raspberry pi с прошивкой / openwrt - (тут можно вставить прокси и менять каждую рабочую сессию) - мост vps (vpn) меняешь хотя бы раз в месяц, регаешь левые данные, платишь криптой разными кошельками - tor - выход в сеть
будет медленно особенно если у тебя <100 мбс от провайдера идёт, но работать будет
OS выбирать уже зависит от тебя смотря какой функционал нужен и чем занимаешься, тут уже посоветовать не смогу, если активность только веб, обойдись виртуалкой и любым антиком
Сеть
Провайдер (левые данные), либо крякнутый соседский - маршрутизатор/роутер провайдера - raspberry pi с прошивкой / openwrt - (тут можно вставить прокси и менять каждую рабочую сессию) - мост vps (vpn) меняешь хотя бы раз в месяц, регаешь левые данные, платишь криптой разными кошельками - tor - выход в сеть
будет медленно особенно если у тебя <100 мбс от провайдера идёт, но работать будет
OS выбирать уже зависит от тебя смотря какой функционал нужен и чем занимаешься, тут уже посоветовать не смогу, если активность только веб, обойдись виртуалкой и любым антиком
Скрытый контент для пользователей: .
Скрытый контент для пользователей: Stolas.
Отпиши в лс лучше
Скрытый контент для пользователей: RUB1K.
Скрытый контент для пользователей: fr1endlyf1er.
Поясняю:
tiny11 2311 - кастомная 11 винда с вырезанным мусором от Майков.
В принципе советую использовать сборки ос от NTDEV, как минимум оптимизация, как максимум вырезает рельно мусор.
Скинь свой Jabber
Скрытый контент для пользователей: RUB1K.
Привет всем! Хотел ты поинтересоваться у продвинутых пользователей Linux, как можно максимально анонимно настроить Ubuntu?
В сети очень много статей, но большинство из них "льют воду". Возможно у кого-то из вас есть какие-то годные методички.
Да, я в курсе что есть такие ос типа Whonix, Tails, Qubes и тд, но они не удобны для повседневного использования.
Буду очень благодарен, за подсказку. Спасибо!
В сети очень много статей, но большинство из них "льют воду". Возможно у кого-то из вас есть какие-то годные методички.
Да, я в курсе что есть такие ос типа Whonix, Tails, Qubes и тд, но они не удобны для повседневного использования.
Буду очень благодарен, за подсказку. Спасибо!
Последнее редактирование:
Смотря для чего. Каждый раз новореги хотят анонимизироваться не пойми от кого. Чтобы твой провайдер не знал чего-то или чтобы с внешней стороны о тебе ничего не знали? Шифруй диски, настрой динамичный MAC, подключи VPN, пропиши правила в iptables, накинь proxychains, либо просто свяжи сеть с Whonix. Воды много в сети на твой взгляд, потому что сам не знаешь что, от чего и для чего.
И не надо использовать Whonix как систему для работы, она не предназначена для этого. Tails и Qubes тоже вряд ли тебе нужны. Начни с простейшего Linux Mint, он похож на Windows.
https://xss.pro/threads/135648/ <- Подделка фингерпринтов на linux.
https://xss.pro/threads/133422/ <- Руководство для новичков по скрытию активности и защите данных на сервере Debian.
https://xss.pro/threads/133353/ <- Изолируем виртуальную машину от обычной сети, и пускаем трафик через TOR.
В данном направлении на форуме достаточно годных обсуждений.
Нужно лишь более конкретно задать параметры для поиска / понимания / "что хочу?".
https://github.com/captainzero93/DISA-STIG-CIS-LINUX-HARDENING- <- по всяким таким скриптам - можно прогуляться с помощью ИИ, и проконсультироваться - что лучше под задачи.
Потому что элементарно,кому то нужно скрыть факт использования, а кому - то "замаскироваться" под определенное "железо".
https://xss.pro/threads/133422/ <- Руководство для новичков по скрытию активности и защите данных на сервере Debian.
https://xss.pro/threads/133353/ <- Изолируем виртуальную машину от обычной сети, и пускаем трафик через TOR.
В данном направлении на форуме достаточно годных обсуждений.
Нужно лишь более конкретно задать параметры для поиска / понимания / "что хочу?".
https://github.com/captainzero93/DISA-STIG-CIS-LINUX-HARDENING- <- по всяким таким скриптам - можно прогуляться с помощью ИИ, и проконсультироваться - что лучше под задачи.
Потому что элементарно,кому то нужно скрыть факт использования, а кому - то "замаскироваться" под определенное "железо".
Спасибо за подсказку, если у кого то будет материал по настройке минта, буду благодарен!
Вот как все это сделать на практике?
Почему не знаю? знаю. Я всю жизнь пользуюсь виндой, но понимаю со временем, что она не безопасна в плане утечек данных и тд.
Вот и задался целью переехать на линукс, освоить его для анонимного пользования.
Первое и второе)
Спасибо за материал, изучу.
вот у меня аналогичный вопрос, только про Kali (просто приглянулась, вайфай люблю бесплатный соседский), и анонимизироваться надо от последствий связанными со звонками за рубеж, звони через MicroSIP, понятно что мой айпишник палится для SIP-провайдера, но провайдер белый а звонки не очень, посоветуйте что нибудь для ежедневного пользования.
Часто ли Вам хотелось купить устройство подешевле для нужд своей безопасности?
Многие, кто давно в теме кибербезопасности и актуальных новостей, уже выбрали индивидуальные подборки устройств под личные предпочтения. Кто ещё не определился - данная статья Вам поможет это сделать, к тому же подешевле.
Кто-то обязательно воскликнет, что подешевле и безопасность - слова несовместимые. И будет прав, но лишь отчасти. Мы сегодня предложим альтернативную точку зрения по этому вопросу, стараясь закрыть большую часть универсальных требований. Стоит обозначить, что даже самое крутое и дорогое оборудование бесполезно, если Вы не умеете им пользоваться и грамотно настроить. Поэтому если Вы закупаетесь впервые - прислушайтесь к данным рекомендациям и набивайте первый опыт на бюджетном железе.
Не воспринимайте написанное ниже как абсолютную истину, мол, иначе и быть не может. Задача этой статьи - лишь дать проверенные опытом личного пользования и опытом коллег советы по выбору устройств. Спасибо за прочтение дисклеймера, приятного чтения.
Рассматривать мы будем самую базу и чуть больше: ПК, ноутбук и рабочий телефон. Роутеры и модемы оставим на будущие статьи.
Для начала стоит обозначить универсальные критерии для выбора ПК (и не только), которому предстоит стать Вашей персональной рабочей станцией - вот они, ниже:
I - Достойная производительность в рабочих задачах.
II - Адекватное соотношение цена/качество.
III - Поддержка необходимого рабочего ПО на аппаратном уровне.
IV - Не "красный" производитель!!!
Запомнили? Отлично, приступаем к выбору компонентов.
AMD или Intel?
Отдадим приоритет AMD, выберем, например, классический AMD Ryzen 5 5600 на архитектуре x86-64. Да-да, старичок всё ещё пригоден под наши цели - дёшево (до 100 евро), сердито и на видеокарту тратиться не придётся. Имеет поддержку виртуализации (без неё любой процессор даже не рассматривайте). 6 ядер вполне хватит на наши капризы, да? Особых проблем с драйверами на различных Linux дистрибутивах так же не возникнет: продукция AMD имеет гораздо более широкую поддержку и признание в сообществе Linux.
А что по поводу ARM архитектуры?
На момент написания статьи большей поддержкой софта пользуется именно классическая архитектура x86-64. Так что зачем париться? К тому же дешевле обойдётся, у нас же бич-закупка.
Intel ME и AMD PSP - великое зло в Вашей системе
Кто не в курсе, эта парочка – встроенные аппаратные бэкдоры в Ваши процессоры Intel и AMD соответственно. Имеют полностью закрытый исходный код, обширный функционал для доступа в систему – действуют на уровне ниже, чем ОСь. Как поговаривают, доступ к бэкдору имеют крутые дядьки из АНБ в случае необходимости. То есть, если будет производиться атака на систему через эти бэкдоры – Вы этого не заметите и никак не остановите. Не спасёт Вас и навороченный Firewall.
Ну что, напугали? Уже спешите разбить кристалл поганого процессора молотком?
Вырезать их на практике очень сложно и далеко не на 100%. Конечно, если у Вас есть несколько дней свободного времени, Вы можете перерезать провода динамиков, микрофонов, GPS датчиков, перепрошить BIOS на Coreboot/Libreboot и их аналоги, а также блокировать бэкдор с помощью заумных MEI/HECI или НАР-бита... Однако и это не станет полной гарантией того, что Ваша рабочая станция отныне – непреступная крепость Саурона.
Будем реалистами: Вы ведь не собрались атаковать критическую инфраструктуру той или иной страны в рамках нашей бич-закупки? Грамотно оценивайте свою модель угроз. Если всё же АНБ Вам не враг, тогда можете и не переживать – атаки через Intel ME/AMD PSP Вам не грозят в 99% случаев - это очень дорогостоящие и сложные атаки, проводить их в отношении мелких дельцов нецелесообразно. Так что выключайте свою паранойю в этом плане и вперёд – собирать ПК дальше.
Ну ладно, ладно. А вообще, что если всё же хочется вырезать эти злополучные бэкдоры из своей рабочей станции? Подумаем абстрактно-практически и для самых параноидальных параноиков отвечаем (если у Вас есть деньги, нервы, время и способность идти на компромиссы, конечно же):
1) Старое железо — хлеб наш!
Забудьте про навороченный софт и крутое графическое окружение. Да здравствует Неолит! Процессоры Intel до 2006 года и до 2013 года AMD, соответственно, не имеют никаких Intel ME или AMD PSP в современном виде. Конечно, не ждите, что они запустят что-то мощнее Windows XP, Alpine Linux и пары вкладок в Вашем непроприетарном Firefox, который будет запускаться полчаса реального времени. Зато можно спать спокойно, почти без таблеток.
2) А если хочется и рыбку скушать и посидеть на современном железе подешевле?
Если хочется компоненты и ОСь посвежее, посмотрите на архитектуры, где этих бэкдоров либо нет, либо они не такие подлые.
RISC-V — открытая архитектура, где, в теории, можно проверить каждый транзистор. Вот же он, плод Эдема, но в чём подвох? Пока что это ниша для гиков, и нормальных десктопов на RISC-V почти нет, а те, что есть, слабые, как калькулятор из 90-х, и софт для них — редкость. Даже ноут на Intel Celeron с 2 ГБ ОЗУ DDR2 даст им прикурить - а за ним см. пункт 1.
3) Power — ещё одна альтернатива. Вот Вам два стула на выбор:
Старые PowerPC, но это всё ещё ретро-вариант, вроде старых Mac G5 (см. пункт 1). Производительность слабая, софт ограничен. А чего Вы хотели за такие деньги?
Но другое дело, если денег побольше. Тут можно взять современные POWER9 или POWER10 от корпорации зла IBM. Это серверные звери, которые жрут кучу электричества, и стоят, как полёт на Луну в шаттле 5 звёзд. Но зато они мощные, без ME/PSP и с полностью открытой архитектурой. Если есть деньги на сея чудо, задумайтесь о покупке и отбросьте идею собирать ПК дальше — этот монстр Вас даже зимой согреет. И включайте его, пожалуйста, в стране, где электричество подешевле, а то уж никаких доходов не хватит купить себе новый BMW, верно?
Но вернёмся к сборке ПК изначальной задумки.
Сколько ОЗУ поставить?
По вопросам оперативной памяти – ничего сложного, принцип тот же – чем больше, тем лучше. Но поверьте, Вам для работы будет достаточно 16-32 ГБ DDR4 или DDR5. Одноканал или двухканал? С точки зрения производительности – конечно, двухканальный режим. Но в случае чего разбить молотком одну плашку ОЗУ будет быстрее, правда?
Что насчёт видеокарты?
Как мы сказали выше – всё же берите чисто AMD процессоры, у которых ещё есть и очень достойная встройка, конкурирующая с некоторыми десктопными видеокартами от Nvidia. Но вообще: видеокарта нам особо и не понадобится, если Вы не собираетесь заниматься брутом, AI-анализом или иными сложными вычислениями.
Если так нужна: берите снова от AMD на Ваше усмотрение. У них с открытыми драйверами на Linux дела обстоят гораздо лучше, и производительность круче, чем у зелёных. Ну и стоят дешевле - всё как мы любим.
Какие накопители данных ставить?
Для нашей рабочей станции базово будет вполне достаточно свежих моделей SSD и HDD. Больше объём – лучше, но придерживайтесь принципа Цена/качество. Вы ведь не собираетесь хранить на них эротические видео, зачем Вам десятки терабайт дискового пространства? И обязательно зашифруйте – LUKS, Zulucrypt, Truecrypt, Veracrypt и пр. в помощь, в зависимости от ОС. Ну и далеко в корпус их не убирайте – пусть будут в быстром доступе, молоток храните рядом – всё как мы любим. Очень удобна в этом контексте связка: внешний кейс с переходником SATA - USB и накопителем внутри, присмотритесь.
Что по блоку питания?
Вкратце: шибко не жадничайте. Возьмите приличный блок питания ватт этак на 500-700 от Deepcool, чтобы в один пасмурный день молния или перепады напряжения сети не спалили всю Вашу рабочую станцию. Ну и сетевой фильтр купите на сдачу – тоже защита от перепадов напряжения.
В какой корпус всё засунуть?
Базово – берите наиболее продуваемый, чтобы компоненты не перегревались (хотя сборка и так холодная довольно получается). Желательно о быстром доступе к компонентам подумать – накопители и ОЗУ. Если некритична скорость работы, всё же используйте вышеупомянутые внешние кейсы – удобно на случай ЧП, стоит сказать.
Ну и материнская плата с переферией.
Если не собираетесь морочиться с Libreboot и его аналогами 8 летней давности, возьмите модели от ASUS, MSI, Gigabyte – не прогадаете. Для приемлемого уровня безопасности вполне достаточно, там бэкдоров особо и нет. Ну и TPM-2.0 будет полезен, если захотите привязать шифрование к нему на свеженьких картах. Уж про перефирию вроде мышки и клавиатуры говорить не станем - возьмите адекватный девайс от нишевого производителя по 30 евро примерно каждый - Вам хватит. Bluetooh-адаптеры лучше не берите, ныне в них шибко много уязвимостей находят. Сетевая карта по усмотрению, но можно вполне обойтись проводом в рамках рабочей станции.
В общем, всего этого будет вполне достаточно, чтобы запустить большинство Linux дистрибутивов и установить необходимые для работы компоненты. Как видите, вышло довольно бюджетно. Дерзайте, как говорится - ломайте на здоровье.
Отлично, рабочая станция собрана. Но не помешало бы и что-то мобильное, дополнительное. Представьте: приглушённый свет, чашечка ванильного латте и красивый белый (или чёрный) конь с клавиатурой на столе, где запущена Kali Linux, которую Вам порекомендовал любимый блогер. Романтика, не так ли? Конечно, речь далее пойдёт о ноутах.
Ещё помните четвёртый критерий? Надеюсь, Вы уже догадались не брать всякие Huawei, Xiaomi и т. п. Настольные девайсы данных компаний просто напичканы до отказа бэкдорами и телеметрией от китайских спецслужб, информация от которых потом обязательно будет в лучшем случае куда-нибудь продана. Вам оно надо?
Может, взять MacBook?
Подумайте трижды. Ныне они выпускаютя исключительно на ARM процессорах, которые выше мы обозначили как спорные. Проблем с совместимостью некоторого важного ПО не избежать, да и к общему уровню безопасности техники Apple есть ряд общеизвестных вопросов. Поэтому мы порекомендуем взять что-то попроще и подешевле.
Ну и что же взять? Нам нужно устройство с адекватной ценой, полной поддержкой Linux-систем (без проблем с драйверами в будущем) и приемлемым уровнем производительности - всё ровно так, как мы обозначили выше.
Присмотритесь к моделям от Lenovo, ASUS и HP (Lenovo IdeaPad Gaming 3, ASUS TUF Gaming F15, HP Victus 15, например) Все они имеют невысокую цену и хорошую производительность при работе, например, с ВМ – то, что нужно, верно? К тому же потом сможете свой девайс чуть проапгрейдить: увеличить ОЗУ и объём накопителей данных. Для наших нужд вполне достаточно.
Но если есть и деньги, и время, купите себе новенький Lenovo ThinkPad – не пожалеете, если охота шибко не переплатить и вырезать хотя бы частично злополучные AMD PSP/Intel ME. Большинство таких моделей поддерживает установку прошивок Coreboot/Libreboot, за что очень ценятся в сообществе
Кстати, ноутбуки можно брать и с рук, если нужно дешёвое и абсолютно одноразовое устройство на считанные пару месяцев, которое вообще не жалко выбросить – зачастую для этого они и нужны, особенно с чужими отпечатками самого скучного гражданского человека, почему бы и нет, если есть такая потребность? Только проверьте хорошенько перед покупкой, а потом перепрошейте обязательно BIOS/UEFI, установите чистенькую систему. Ну и аппаратные бэкдоры, не предусмотренные производителем, тоже гляньте – мало ли. Основной рабочий ноутбук возьмите с магазина, очевидно - там состояние получше будет, да и душе как-то приятнее новенькую клавиатуру щупать. Символические 500 евро за Ваш комфорт.
Сложно представить жизнь сегодня без мобильного устройства, верно?. Тем не менее, настоятельно не рекомендуется строить рабочее окружение чисто вокруг них по причинам, указанным выше, а кроме того – производить атаки на телефон гораздо проще, чем на ПК при физическом доступе, да и удалённом тоже. Всё же, рабочий телефон не помешает. Из него можно сделать всё, что угодно – анализатор сетей, портативный девайс для пентеста, оффлайн-картотеку и просто устройство для безопасной связи через защищённые мессенджеры.
Итак, Ваш личный рабочий телефон:
I Не должен подключаться к домашней и мобильной сетям и никак пересекаться с Вашими иными устройствами и Вашим местоположением.
II Не должен никогда иметь вставленной когда-либо в него SIM-карты.
III Не должен использоваться для совершения обычных звонков и отправки SMS соответственно.
IV Не должен иметь Google сервисы и иную телеметрию от производителя.
V Всегда должен иметь безопасную незаводскую прошивку, получать актуальные патчи безопасности от разработчика прошивки.
VI Не должен использовать биометрию. Только сложные пароли.
Касательно модели
Советуем брать исключительно Google Pixel не ниже 6 серии. Среди народа – это телефоны с крутой производительностью в играх и хорошей камерой. Но для нас – ещё и устройства с наилучшей поддержкой различных кастомных прошивок на рынке. Не спешите цепляться к названию – Google инфраструктура из него вырезается полностью вместе с установкой новой прошивки. Аналоги можно даже и не рассматривать, ибо именно на Pixel и ставится актуальная Graphene OS. Седьмая версия стоит примерно 400 евро, не особо дорого для смартфона. В нём безопасность и гибкость настройки возведены во главу угла – то, что нам и нужно. То есть, даже программатором такой взять очень сложно, не говоря уж об UFED и прочих мобильных комплексах криминалистики. Загрузчик можно заблокировать с установленной кастомной прошивкой и Recovery-меню – ну не круто же?
Отдельно про iPhone
Как Вы уже понимаете, Apple – нам не друзья. Почти. Поэтому хранить важные данные и переписки на их устройствах мы тоже не советуем ввиду тесной интеграции серверной инфраструктуры корпорации в само устройство. Однако отсюда выходит важный плюс телефонов Apple новейших моделей: всё же данные из заблокированного устройства не вытащишь почти никак. Проверено спецслужбами Казахстана, России, Турции и пр. Ни UFED, ни программатор такое дело не возьмут физически. Странам с плохой репутацией в глазах ЕС/США компания просто не выдаёт данные. Но это защита о двух концах: ФБР негласно доступ к Вашему устройству всё равно будет иметь в случае чего, просто имейте ввиду. Грамотно взвешивайте свою модель угроз. Впрочем, мы возьмём аналог покруче и подешевле – вышеуказанный Google Pixel. Как мы обозначили выше - зачем здесь париться и идти на компромиссы?
Но все эти преимущества крайне легко аннулировать неосознанным подходом
Как мы уже обозначили выше: телефон не должен подключаться к WiFi и мобильным сетям, оформленных на Ваши документы или вблизи Вашего места работы и отдыха. Не давайте домашнему провайдеру/оператору знать о его существовании.
Критически важно учитывать, что данные о SIM-картах в телефоне хранятся перманентно, а оператор получает о телефоне кучу важной информации, включая уникальный номер идентификации – он же IMEI. Так что просто не вставляйте в него симку ни при каких условиях. Запомните: вставили симку – выбрасывайте телефон – посмотрите, как быстро утечёт Ваш бюджет, и как дорого обходится незнание.
Соответственно, не используйте его для звонков и СМС. Только защищённые мессенджеры, через VPN, прокси-серверы и песочницы.
И обязательно ставьте пароль на вход 20+ символов с разным регистром. Графические ключи брут-форсом подбираются за 8 часов, как и пин-коды. Биометрия – Ваш враг, если недоброжелатель захватил не только Ваш телефон, но и Вас самих в придачу.
Ну проверяйте ПО, которое Вы устанавливаете - на телефоне с Graphene OS и шифрованием Вам WhatsApp не нужен 100%
Не берите Б/У телефоны для работы, возьмите новенький с магазина техники у проверенного продавца. Обязательно перед использованием разберите его, проверьте на наличие неуказанных производителем компонентов внутри, перепрошейте сразу же на кастомные прошивку и Recovery.
Кстати, НЕ ВЕДИТЕСЬ на предложения покупки всяких анонимно-безопасных телефонов, способных менять IMEI, удалённо удалять любые данные, читать Вам на ночь сказки про Пабло Эскобара, шить и играть на дуде. Не берите технику и на сервисах луковой сети (TOR), сомнительных форумах, условном Авито. В большинстве случаев подобные устройства – HoneyPot’ы, напичканные бэкдорами на любой вкус и цвет. Широко известны случаи масштабных атак на такие вот чудо-устройства со стороны ФБР и Европола. То же правило действует и в отношении любой техники: ПК и ноутбуки. Запомните:
Очевидно, ведь в рабочих условиях любое устройство - инструмент сугубо одноразовый. И как же хочется порой и рыбки побольше скушать на свои чистенькие денежки, и выбрать надёжное устройство "без переплат и рассрочек", не так ли? Как говорят в народе - жаба душит. Особенно зная, что через полгода оно будет креативно уничтожено молотком.
Многие, кто давно в теме кибербезопасности и актуальных новостей, уже выбрали индивидуальные подборки устройств под личные предпочтения. Кто ещё не определился - данная статья Вам поможет это сделать, к тому же подешевле.
Кто-то обязательно воскликнет, что подешевле и безопасность - слова несовместимые. И будет прав, но лишь отчасти. Мы сегодня предложим альтернативную точку зрения по этому вопросу, стараясь закрыть большую часть универсальных требований. Стоит обозначить, что даже самое крутое и дорогое оборудование бесполезно, если Вы не умеете им пользоваться и грамотно настроить. Поэтому если Вы закупаетесь впервые - прислушайтесь к данным рекомендациям и набивайте первый опыт на бюджетном железе.
Не воспринимайте написанное ниже как абсолютную истину, мол, иначе и быть не может. Задача этой статьи - лишь дать проверенные опытом личного пользования и опытом коллег советы по выбору устройств. Спасибо за прочтение дисклеймера, приятного чтения.
Рассматривать мы будем самую базу и чуть больше: ПК, ноутбук и рабочий телефон. Роутеры и модемы оставим на будущие статьи.
Собираем рабочий ПК
Как показывает практика, компьютер – это основное рабочее устройство. Не телефон, а именно компьютер. Во многом за счёт большего ассортимента доступного ПО, большей гибкости в настройке, соотвественно, это означает и больший контроль над своим рабочим местом. Будем ли мы рассматривать уже готовые сборки? Вряд ли, надёжнее собирать самостоятельно, да и выйдет дешевле. В конце концов, если Вы читаете данную статью, то наверняка Ютубом пользоваться умеете, там и найдёте все инструкции. А вот Б/У компоненты, кстати, брать вполне можно в рамках нашей бич-закупки, но внимательно их осмотрите – нам ведь не нужны жучки и внештатные аппаратные бэкдоры? Это же правило применяйте и при покупке с маркетплейсов и в магазинах техники.Для начала стоит обозначить универсальные критерии для выбора ПК (и не только), которому предстоит стать Вашей персональной рабочей станцией - вот они, ниже:
I - Достойная производительность в рабочих задачах.
II - Адекватное соотношение цена/качество.
III - Поддержка необходимого рабочего ПО на аппаратном уровне.
IV - Не "красный" производитель!!!
Запомнили? Отлично, приступаем к выбору компонентов.
AMD или Intel?
Отдадим приоритет AMD, выберем, например, классический AMD Ryzen 5 5600 на архитектуре x86-64. Да-да, старичок всё ещё пригоден под наши цели - дёшево (до 100 евро), сердито и на видеокарту тратиться не придётся. Имеет поддержку виртуализации (без неё любой процессор даже не рассматривайте). 6 ядер вполне хватит на наши капризы, да? Особых проблем с драйверами на различных Linux дистрибутивах так же не возникнет: продукция AMD имеет гораздо более широкую поддержку и признание в сообществе Linux.
А что по поводу ARM архитектуры?
На момент написания статьи большей поддержкой софта пользуется именно классическая архитектура x86-64. Так что зачем париться? К тому же дешевле обойдётся, у нас же бич-закупка.
Intel ME и AMD PSP - великое зло в Вашей системе
Кто не в курсе, эта парочка – встроенные аппаратные бэкдоры в Ваши процессоры Intel и AMD соответственно. Имеют полностью закрытый исходный код, обширный функционал для доступа в систему – действуют на уровне ниже, чем ОСь. Как поговаривают, доступ к бэкдору имеют крутые дядьки из АНБ в случае необходимости. То есть, если будет производиться атака на систему через эти бэкдоры – Вы этого не заметите и никак не остановите. Не спасёт Вас и навороченный Firewall.
Ну что, напугали? Уже спешите разбить кристалл поганого процессора молотком?
Вырезать их на практике очень сложно и далеко не на 100%. Конечно, если у Вас есть несколько дней свободного времени, Вы можете перерезать провода динамиков, микрофонов, GPS датчиков, перепрошить BIOS на Coreboot/Libreboot и их аналоги, а также блокировать бэкдор с помощью заумных MEI/HECI или НАР-бита... Однако и это не станет полной гарантией того, что Ваша рабочая станция отныне – непреступная крепость Саурона.
Будем реалистами: Вы ведь не собрались атаковать критическую инфраструктуру той или иной страны в рамках нашей бич-закупки? Грамотно оценивайте свою модель угроз. Если всё же АНБ Вам не враг, тогда можете и не переживать – атаки через Intel ME/AMD PSP Вам не грозят в 99% случаев - это очень дорогостоящие и сложные атаки, проводить их в отношении мелких дельцов нецелесообразно. Так что выключайте свою паранойю в этом плане и вперёд – собирать ПК дальше.
Ну ладно, ладно. А вообще, что если всё же хочется вырезать эти злополучные бэкдоры из своей рабочей станции? Подумаем абстрактно-практически и для самых параноидальных параноиков отвечаем (если у Вас есть деньги, нервы, время и способность идти на компромиссы, конечно же):
1) Старое железо — хлеб наш!
Забудьте про навороченный софт и крутое графическое окружение. Да здравствует Неолит! Процессоры Intel до 2006 года и до 2013 года AMD, соответственно, не имеют никаких Intel ME или AMD PSP в современном виде. Конечно, не ждите, что они запустят что-то мощнее Windows XP, Alpine Linux и пары вкладок в Вашем непроприетарном Firefox, который будет запускаться полчаса реального времени. Зато можно спать спокойно, почти без таблеток.
2) А если хочется и рыбку скушать и посидеть на современном железе подешевле?
Если хочется компоненты и ОСь посвежее, посмотрите на архитектуры, где этих бэкдоров либо нет, либо они не такие подлые.
RISC-V — открытая архитектура, где, в теории, можно проверить каждый транзистор. Вот же он, плод Эдема, но в чём подвох? Пока что это ниша для гиков, и нормальных десктопов на RISC-V почти нет, а те, что есть, слабые, как калькулятор из 90-х, и софт для них — редкость. Даже ноут на Intel Celeron с 2 ГБ ОЗУ DDR2 даст им прикурить - а за ним см. пункт 1.
3) Power — ещё одна альтернатива. Вот Вам два стула на выбор:
Старые PowerPC, но это всё ещё ретро-вариант, вроде старых Mac G5 (см. пункт 1). Производительность слабая, софт ограничен. А чего Вы хотели за такие деньги?
Но другое дело, если денег побольше. Тут можно взять современные POWER9 или POWER10 от корпорации зла IBM. Это серверные звери, которые жрут кучу электричества, и стоят, как полёт на Луну в шаттле 5 звёзд. Но зато они мощные, без ME/PSP и с полностью открытой архитектурой. Если есть деньги на сея чудо, задумайтесь о покупке и отбросьте идею собирать ПК дальше — этот монстр Вас даже зимой согреет. И включайте его, пожалуйста, в стране, где электричество подешевле, а то уж никаких доходов не хватит купить себе новый BMW, верно?
Но вернёмся к сборке ПК изначальной задумки.
Сколько ОЗУ поставить?
По вопросам оперативной памяти – ничего сложного, принцип тот же – чем больше, тем лучше. Но поверьте, Вам для работы будет достаточно 16-32 ГБ DDR4 или DDR5. Одноканал или двухканал? С точки зрения производительности – конечно, двухканальный режим. Но в случае чего разбить молотком одну плашку ОЗУ будет быстрее, правда?
Что насчёт видеокарты?
Как мы сказали выше – всё же берите чисто AMD процессоры, у которых ещё есть и очень достойная встройка, конкурирующая с некоторыми десктопными видеокартами от Nvidia. Но вообще: видеокарта нам особо и не понадобится, если Вы не собираетесь заниматься брутом, AI-анализом или иными сложными вычислениями.
Если так нужна: берите снова от AMD на Ваше усмотрение. У них с открытыми драйверами на Linux дела обстоят гораздо лучше, и производительность круче, чем у зелёных. Ну и стоят дешевле - всё как мы любим.
Какие накопители данных ставить?
Для нашей рабочей станции базово будет вполне достаточно свежих моделей SSD и HDD. Больше объём – лучше, но придерживайтесь принципа Цена/качество. Вы ведь не собираетесь хранить на них эротические видео, зачем Вам десятки терабайт дискового пространства? И обязательно зашифруйте – LUKS, Zulucrypt, Truecrypt, Veracrypt и пр. в помощь, в зависимости от ОС. Ну и далеко в корпус их не убирайте – пусть будут в быстром доступе, молоток храните рядом – всё как мы любим. Очень удобна в этом контексте связка: внешний кейс с переходником SATA - USB и накопителем внутри, присмотритесь.
Что по блоку питания?
Вкратце: шибко не жадничайте. Возьмите приличный блок питания ватт этак на 500-700 от Deepcool, чтобы в один пасмурный день молния или перепады напряжения сети не спалили всю Вашу рабочую станцию. Ну и сетевой фильтр купите на сдачу – тоже защита от перепадов напряжения.
В какой корпус всё засунуть?
Базово – берите наиболее продуваемый, чтобы компоненты не перегревались (хотя сборка и так холодная довольно получается). Желательно о быстром доступе к компонентам подумать – накопители и ОЗУ. Если некритична скорость работы, всё же используйте вышеупомянутые внешние кейсы – удобно на случай ЧП, стоит сказать.
Ну и материнская плата с переферией.
Если не собираетесь морочиться с Libreboot и его аналогами 8 летней давности, возьмите модели от ASUS, MSI, Gigabyte – не прогадаете. Для приемлемого уровня безопасности вполне достаточно, там бэкдоров особо и нет. Ну и TPM-2.0 будет полезен, если захотите привязать шифрование к нему на свеженьких картах. Уж про перефирию вроде мышки и клавиатуры говорить не станем - возьмите адекватный девайс от нишевого производителя по 30 евро примерно каждый - Вам хватит. Bluetooh-адаптеры лучше не берите, ныне в них шибко много уязвимостей находят. Сетевая карта по усмотрению, но можно вполне обойтись проводом в рамках рабочей станции.
В общем, всего этого будет вполне достаточно, чтобы запустить большинство Linux дистрибутивов и установить необходимые для работы компоненты. Как видите, вышло довольно бюджетно. Дерзайте, как говорится - ломайте на здоровье.
Какой ноутбук выбрать?
Отлично, рабочая станция собрана. Но не помешало бы и что-то мобильное, дополнительное. Представьте: приглушённый свет, чашечка ванильного латте и красивый белый (или чёрный) конь с клавиатурой на столе, где запущена Kali Linux, которую Вам порекомендовал любимый блогер. Романтика, не так ли? Конечно, речь далее пойдёт о ноутах.
Ещё помните четвёртый критерий? Надеюсь, Вы уже догадались не брать всякие Huawei, Xiaomi и т. п. Настольные девайсы данных компаний просто напичканы до отказа бэкдорами и телеметрией от китайских спецслужб, информация от которых потом обязательно будет в лучшем случае куда-нибудь продана. Вам оно надо?
Может, взять MacBook?
Подумайте трижды. Ныне они выпускаютя исключительно на ARM процессорах, которые выше мы обозначили как спорные. Проблем с совместимостью некоторого важного ПО не избежать, да и к общему уровню безопасности техники Apple есть ряд общеизвестных вопросов. Поэтому мы порекомендуем взять что-то попроще и подешевле.
Ну и что же взять? Нам нужно устройство с адекватной ценой, полной поддержкой Linux-систем (без проблем с драйверами в будущем) и приемлемым уровнем производительности - всё ровно так, как мы обозначили выше.
Присмотритесь к моделям от Lenovo, ASUS и HP (Lenovo IdeaPad Gaming 3, ASUS TUF Gaming F15, HP Victus 15, например) Все они имеют невысокую цену и хорошую производительность при работе, например, с ВМ – то, что нужно, верно? К тому же потом сможете свой девайс чуть проапгрейдить: увеличить ОЗУ и объём накопителей данных. Для наших нужд вполне достаточно.
Но если есть и деньги, и время, купите себе новенький Lenovo ThinkPad – не пожалеете, если охота шибко не переплатить и вырезать хотя бы частично злополучные AMD PSP/Intel ME. Большинство таких моделей поддерживает установку прошивок Coreboot/Libreboot, за что очень ценятся в сообществе
Кстати, ноутбуки можно брать и с рук, если нужно дешёвое и абсолютно одноразовое устройство на считанные пару месяцев, которое вообще не жалко выбросить – зачастую для этого они и нужны, особенно с чужими отпечатками самого скучного гражданского человека, почему бы и нет, если есть такая потребность? Только проверьте хорошенько перед покупкой, а потом перепрошейте обязательно BIOS/UEFI, установите чистенькую систему. Ну и аппаратные бэкдоры, не предусмотренные производителем, тоже гляньте – мало ли. Основной рабочий ноутбук возьмите с магазина, очевидно - там состояние получше будет, да и душе как-то приятнее новенькую клавиатуру щупать. Символические 500 евро за Ваш комфорт.
Какой телефон купить?
Сложно представить жизнь сегодня без мобильного устройства, верно?. Тем не менее, настоятельно не рекомендуется строить рабочее окружение чисто вокруг них по причинам, указанным выше, а кроме того – производить атаки на телефон гораздо проще, чем на ПК при физическом доступе, да и удалённом тоже. Всё же, рабочий телефон не помешает. Из него можно сделать всё, что угодно – анализатор сетей, портативный девайс для пентеста, оффлайн-картотеку и просто устройство для безопасной связи через защищённые мессенджеры.
Итак, Ваш личный рабочий телефон:
I Не должен подключаться к домашней и мобильной сетям и никак пересекаться с Вашими иными устройствами и Вашим местоположением.
II Не должен никогда иметь вставленной когда-либо в него SIM-карты.
III Не должен использоваться для совершения обычных звонков и отправки SMS соответственно.
IV Не должен иметь Google сервисы и иную телеметрию от производителя.
V Всегда должен иметь безопасную незаводскую прошивку, получать актуальные патчи безопасности от разработчика прошивки.
VI Не должен использовать биометрию. Только сложные пароли.
Касательно модели
Советуем брать исключительно Google Pixel не ниже 6 серии. Среди народа – это телефоны с крутой производительностью в играх и хорошей камерой. Но для нас – ещё и устройства с наилучшей поддержкой различных кастомных прошивок на рынке. Не спешите цепляться к названию – Google инфраструктура из него вырезается полностью вместе с установкой новой прошивки. Аналоги можно даже и не рассматривать, ибо именно на Pixel и ставится актуальная Graphene OS. Седьмая версия стоит примерно 400 евро, не особо дорого для смартфона. В нём безопасность и гибкость настройки возведены во главу угла – то, что нам и нужно. То есть, даже программатором такой взять очень сложно, не говоря уж об UFED и прочих мобильных комплексах криминалистики. Загрузчик можно заблокировать с установленной кастомной прошивкой и Recovery-меню – ну не круто же?
Отдельно про iPhone
Как Вы уже понимаете, Apple – нам не друзья. Почти. Поэтому хранить важные данные и переписки на их устройствах мы тоже не советуем ввиду тесной интеграции серверной инфраструктуры корпорации в само устройство. Однако отсюда выходит важный плюс телефонов Apple новейших моделей: всё же данные из заблокированного устройства не вытащишь почти никак. Проверено спецслужбами Казахстана, России, Турции и пр. Ни UFED, ни программатор такое дело не возьмут физически. Странам с плохой репутацией в глазах ЕС/США компания просто не выдаёт данные. Но это защита о двух концах: ФБР негласно доступ к Вашему устройству всё равно будет иметь в случае чего, просто имейте ввиду. Грамотно взвешивайте свою модель угроз. Впрочем, мы возьмём аналог покруче и подешевле – вышеуказанный Google Pixel. Как мы обозначили выше - зачем здесь париться и идти на компромиссы?
Но все эти преимущества крайне легко аннулировать неосознанным подходом
Как мы уже обозначили выше: телефон не должен подключаться к WiFi и мобильным сетям, оформленных на Ваши документы или вблизи Вашего места работы и отдыха. Не давайте домашнему провайдеру/оператору знать о его существовании.
Критически важно учитывать, что данные о SIM-картах в телефоне хранятся перманентно, а оператор получает о телефоне кучу важной информации, включая уникальный номер идентификации – он же IMEI. Так что просто не вставляйте в него симку ни при каких условиях. Запомните: вставили симку – выбрасывайте телефон – посмотрите, как быстро утечёт Ваш бюджет, и как дорого обходится незнание.
Соответственно, не используйте его для звонков и СМС. Только защищённые мессенджеры, через VPN, прокси-серверы и песочницы.
И обязательно ставьте пароль на вход 20+ символов с разным регистром. Графические ключи брут-форсом подбираются за 8 часов, как и пин-коды. Биометрия – Ваш враг, если недоброжелатель захватил не только Ваш телефон, но и Вас самих в придачу.
Ну проверяйте ПО, которое Вы устанавливаете - на телефоне с Graphene OS и шифрованием Вам WhatsApp не нужен 100%
Не берите Б/У телефоны для работы, возьмите новенький с магазина техники у проверенного продавца. Обязательно перед использованием разберите его, проверьте на наличие неуказанных производителем компонентов внутри, перепрошейте сразу же на кастомные прошивку и Recovery.
Кстати, НЕ ВЕДИТЕСЬ на предложения покупки всяких анонимно-безопасных телефонов, способных менять IMEI, удалённо удалять любые данные, читать Вам на ночь сказки про Пабло Эскобара, шить и играть на дуде. Не берите технику и на сервисах луковой сети (TOR), сомнительных форумах, условном Авито. В большинстве случаев подобные устройства – HoneyPot’ы, напичканные бэкдорами на любой вкус и цвет. Широко известны случаи масштабных атак на такие вот чудо-устройства со стороны ФБР и Европола. То же правило действует и в отношении любой техники: ПК и ноутбуки. Запомните:
Настоящая безопасность формируется в индивидуальном порядке, никто, кроме Вас самих, не заинтересован в Вашей защите.
То есть, будьте добры ради своей же безопасности позаботиться ещё и о технических вопросах самостоятельно.
Большую чушь я давно не читал... Нейросеть не в курсе, что у десктопных AMD Ryzen процессоров без G нету встроенной графики? Тыкни пальчиком, какое графическое ядро в том же R5 5600...
Да здравствует хакерский комп на P3-800, осталось допаять туда 32 гига ddr4 и вообще огонь будет
Да здравствует хакерский комп на P3-800, осталось допаять туда 32 гига ddr4 и вообще огонь будет
Последнее редактирование: