• XSS.stack #1 – первый литературный журнал от юзеров форума

эффективное достижение максимального уровня анонимности

Отслеживать

OldFont

HDD-drive
Пользователь
Регистрация
26.04.2024
Сообщения
35
Реакции
3
приветствую всех, не уверен были ли подобные темы на форуме (искал, не нашёл) потому напишу свою

В этом посте я распишу только то, что уже очень долго давит мне на голову, что думаю на этот счёт, а также спрошу пару советов

интересует вопрос эффективного достижения максимального уровня анонимности. Я имею в виду такие методы, которые позволяют максимально обезопасить свою систему (ПК) начиная от хардварного уровня и заканчивая сетевыми манипуляциями, но обезопасить так, чтобы процесс OPSEC не был слишком дорогостоящим, трудным и затрудняющим дальнейшее использование (т.е. целесообразно проводить работу до тех пор, пока это эффективно).

Приведу пару простых примеров неэффективных и неудобных (по моему мнению) но очень безопасных решений:
- на linux использовать дистрибутивы не использующие systemd
- использование Linux-libre ядра, взамен обычному
- использование исключительно тех дистро, которые признаны FSF

Советы выше буквально являются деструктивными т.к. они являются причинами холиваров, в то же время внося "призрачный" вклад в OPSEC пользователя и причиняя уйму неудобств связанных с недостатком умений / знаний

Теперь перейду к тому, что на данный момент я имею в голове на счёт "правильной" анонимности.

1. Использование coreboot взамен UEFI/BIOS. Спорная тема, так как coreboot поддерживается не на всех платах, а его портирование на свою является сильной проблемой
проблема uefi/bios не в заводских бекдорах (хотя это тоже) но и в уязвимостях по типу обхода secure boot. Это создает вероятность заражения буткитом, что очень неприятно, потому хотелось бы услышать ваше мнение насчет coreboot, стоит того?

2. Использование dualboot
к сожалению, не все люди столь богатые чтобы реализовать себе несколько устройств тем самым обезопасив рабочее место.
лично я имею надобность как в достаточно безопасной и свободной ОС так и в достаточно удобной userfriendly ОС, единой и сбалансированной к сожалению я не обнаружил, потому я хочу сделать связку dualboot:
Некий Linux (arch, devuan) + Win10, win10 будет иметь 1 накопитель чисто под крякнутое ПО, игры, linux будет иметь 2 накопителя под другие задачи, вопрос такой: Возможно ли реализовать отключение питания дискам #1 #2 при использование win10? и наоборот, отключение питания диску #3 при использовании linux, это сильно повысит безопасность, и можно будет избежать компроментации данных второй системы при заражении первой + хотелось бы услышать про загрузчики для dualboot по типо GRUB, может у них есть какие то изъяны? какое ваше общее мнение?
p.s. из плюсов dualboot - никакой эмулятор qemu kvm не сможет так глубоко эмулировать виндовс как его нативная версия для различных тестов

3. Использование amd вместо intel
на платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
p.s. вопрос по железу! - может кто подскажет какую мат плату можно приобрести, из условий: am4 сокет, адекватная цена, возможность прошиться под coreboot (не обязательно) или прошиться актуальными uefi/bios образами от производителя без эксплойтов и крит уязвимостей? (уязвимости которые могут быть эксплуатированы только при определенных редких условиях или только при физическом доступе не стоит расматривать как критические или даже высокие)

4. использование безопасных образов \ дистро
главной осью можно выбрать arch или devuan, накатывать файрволл и обновления + проводить аудит не считаю трудной задачей (для всего подозрительного существуют VM которые также будут использоваться на нашей главной системе)
win10 ось ставится оригинальная и чиститься от телеметрии и другого говна используя разные тулзы из сети
ваши рекомендации?

5. whonix под qemu/kvm на нашей главной системе (тут всё понятно)
есть пару вопросов по поводу использования торифицированной ВМ, хотелось бы узнать: как использовать монеро кошельки? (буду использовать чужие доверенные ноды) через тор пиздец как долго синхронизируется, или вообще прерывается
ситуация с btc кошельками такая же? подскажите как это можно ускорить и какие кошели лучше использовать? возможно ли установить мобильный эмулятор на ВМ? на вм на виндовс была проблема, в virtualbox в настройках недоступна галочка amd-v / intel-vt, хотя проц поддерживает виртуализацию и в bios включена, как так? и может дадите общие рекомендации как ускорить и оптимизировать работу ВМ, ГПУ прокидывать не буду

6. полнодисковое шифрование veracrypt (тут тоже всё понятно)
не уверен, но вроде как возможно реализовать схему, когда вводя пароль #1 мы попадаем на некую систему #1, а вводя пароль #2 мы попадаем на систему #2, это решит сразу 2 проблемы: создание правдоподобного отрицания в случае когда из тебя насильно выбивают пароль и возможность упрощения dualboot (может я несу х#йню, ибо никогда не слышал как реализуется такое "двойное" шифрование и как это работает да и возможно ли такое вообще я не уверен, если и возможно получиться ли реализовать метод с отключением питания неиспользуемым дискам?). Ваше мнение на этот счёт?

7. (не связано opsec) долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?

8. (чуть отдалимся физически от ПК) прошивка своих устройств - здравая мысль, так стоит ли прошивать свой ведроид на относительно свободные ОС? подскажите ОС какие сами использовали и их изъяны, возможно ли будет в них создать виртуальный контейнер для гос. приложений которые потенциально бекдоры? у них будет доступ лишь к выделенной ПЗУ памяти. Также это оптимизирует расход батареи / трафика на всякие фоновые мусорные гугловские процессы
Стоит задеть и роутер, нужно ли прошивать роутер под openwrt? могу ли я настроить там приколы для ускорения udp/tcp трафика? очевидные плюсы это zapret, возможность наката впн, возможность наката dnscrypt, возможность наката bittorrent + инструментов для создания информационного шума

В основном тут лишь то, что меня беспокоит, для грамотного opsec есть вагон тем для изучения, которым этой темы будет маловато
Возможно я что то забыл или упустил, тогда позже отредачу или комментарий добавлю. если где то проебался - укажите, буду рад любому совету или замечанию
 
Последнее редактирование:
OldFont сказал(а):
7. (не связано opsec) долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?
слышал, что харды вакуумируют, дабы избежать попадания мелких частиц и увеличить срок хранения, но по факту я не уверен в данной инфе, так как сам не проверял
 
OldFont сказал(а):
приветствую всех, не уверен были ли подобные темы на форуме (искал, не нашёл) потому напишу свою

В этом посте я распишу только то, что уже очень долго давит мне на голову, что думаю на этот счёт, а также спрошу пару советов

интересует вопрос эффективного достижения максимального уровня анонимности. Я имею в виду такие методы, которые позволяют максимально обезопасить свою систему (ПК) начиная от хардварного уровня и заканчивая сетевыми манипуляциями, но обезопасить так, чтобы процесс OPSEC не был слишком дорогостоящим, трудным и затрудняющим дальнейшее использование (т.е. целесообразно проводить работу до тех пор, пока это эффективно).

Приведу пару простых примеров неэффективных и неудобных (по моему мнению) но очень безопасных решений:
- на linux использовать дистрибутивы не использующие systemd
- использование Linux-libre ядра, взамен обычному
- использование исключительно тех дистро, которые признаны FSF

Советы выше буквально являются деструктивными т.к. они являются причинами холиваров, в то же время внося "призрачный" вклад в OPSEC пользователя и причиняя уйму неудобств связанных с недостатком умений / знаний

Теперь перейду к тому, что на данный момент я имею в голове на счёт "правильной" анонимности.

1. Использование coreboot взамен UEFI/BIOS. Спорная тема, так как coreboot поддерживается не на всех платах, а его портирование на свою является сильной проблемой
проблема uefi/bios не в заводских бекдорах (хотя это тоже) но и в уязвимостях по типу обхода secure boot. Это создает вероятность заражения буткитом, что очень неприятно, потому хотелось бы услышать ваше мнение насчет coreboot, стоит того?

2. Использование dualboot
к сожалению, не все люди столь богатые чтобы реализовать себе несколько устройств тем самым обезопасив рабочее место.
лично я имею надобность как в достаточно безопасной и свободной ОС так и в достаточно удобной userfriendly ОС, единой и сбалансированной к сожалению я не обнаружил, потому я хочу сделать связку dualboot:
Некий Linux (arch, devuan) + Win10, win10 будет иметь 1 накопитель чисто под крякнутое ПО, игры, linux будет иметь 2 накопителя под другие задачи, вопрос такой: Возможно ли реализовать отключение питания дискам #1 #2 при использование win10? и наоборот, отключение питания диску #3 при использовании linux, это сильно повысит безопасность, и можно будет избежать компроментации данных второй системы при заражении первой + хотелось бы услышать про загрузчики для dualboot по типо GRUB, может у них есть какие то изъяны? какое ваше общее мнение?
p.s. из плюсов dualboot - никакой эмулятор qemu kvm не сможет так глубоко эмулировать виндовс как его нативная версия для различных тестов

3. Использование amd вместо intel
на платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
p.s. вопрос по железу! - может кто подскажет какую мат плату можно приобрести, из условий: am4 сокет, адекватная цена, возможность прошиться под coreboot (не обязательно) или прошиться актуальными uefi/bios образами от производителя без эксплойтов и крит уязвимостей? (уязвимости которые могут быть эксплуатированы только при определенных редких условиях или только при физическом доступе не стоит расматривать как критические или даже высокие)

4. использование безопасных образов \ дистро
главной осью можно выбрать arch или devuan, накатывать файрволл и обновления + проводить аудит не считаю трудной задачей (для всего подозрительного существуют VM которые также будут использоваться на нашей главной системе)
win10 ось ставится оригинальная и чиститься от телеметрии и другого говна используя разные тулзы из сети
ваши рекомендации?

5. whonix под qemu/kvm на нашей главной системе (тут всё понятно)
есть пару вопросов по поводу использования торифицированной ВМ, хотелось бы узнать: как использовать монеро кошельки? (буду использовать чужие доверенные ноды) через тор пиздец как долго синхронизируется, или вообще прерывается
ситуация с btc кошельками такая же? подскажите как это можно ускорить и какие кошели лучше использовать? возможно ли установить мобильный эмулятор на ВМ? на вм на виндовс была проблема, в virtualbox в настройках недоступна галочка amd-v / intel-vt, хотя проц поддерживает виртуализацию и в bios включена, как так? и может дадите общие рекомендации как ускорить и оптимизировать работу ВМ, ГПУ прокидывать не буду

6. полнодисковое шифрование veracrypt (тут тоже всё понятно)
не уверен, но вроде как возможно реализовать схему, когда вводя пароль #1 мы попадаем на некую систему #1, а вводя пароль #2 мы попадаем на систему #2, это решит сразу 2 проблемы: создание правдоподобного отрицания в случае когда из тебя насильно выбивают пароль и возможность упрощения dualboot (может я несу х#йню, ибо никогда не слышал как реализуется такое "двойное" шифрование и как это работает да и возможно ли такое вообще я не уверен, если и возможно получиться ли реализовать метод с отключением питания неиспользуемым дискам?). Ваше мнение на этот счёт?

7. (не связано opsec) долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?

8. (чуть отдалимся физически от ПК) прошивка своих устройств - здравая мысль, так стоит ли прошивать свой ведроид на относительно свободные ОС? подскажите ОС какие сами использовали и их изъяны, возможно ли будет в них создать виртуальный контейнер для гос. приложений которые потенциально бекдоры? у них будет доступ лишь к выделенной ПЗУ памяти. Также это оптимизирует расход батареи / трафика на всякие фоновые мусорные гугловские процессы
Стоит задеть и роутер, нужно ли прошивать роутер под openwrt? могу ли я настроить там приколы для ускорения udp/tcp трафика? очевидные плюсы это zapret, возможность наката впн, возможность наката dnscrypt, возможность наката bittorrent + инструментов для создания информационного шума

В основном тут лишь то, что меня беспокоит, для грамотного opsec есть вагон тем для изучения, которым этой темы будет маловато
Возможно я что то забыл или упустил, тогда позже отредачу или комментарий добавлю. если где то проебался - укажите, буду рад любому совету или замечанию
неплохая статья, но подмечу ошибки.
1) нет доказательств, что при компиляции linux-libre не допустили бинарники, да, там не нашли еще уязвимости и я сам его использую но 100% анонимным его не назовешь.
2) у coreboot есть проприетарные драйвера. лучше использовать libreboot 2015 года.
3) amd PSP - не свободный чипсет, и ты советуешь вместо проприетарщины проприетарщину. лучше использовать risc-v
4) если у тебя вм будет arch. то там соответственно systemd, который тебя отследит.
5) и твой вопрос про openwrt, да, он свободный, прошивай, только провайдер также будет использовать dpi, а для udp тебе нужен будет белый ip.

жду ответа, что думаете.
 
stepgxx сказал(а):
неплохая статья, но подмечу ошибки.
1) нет доказательств, что при компиляции linux-libre не допустили бинарники, да, там не нашли еще уязвимости и я сам его использую но 100% анонимным его не назовешь.
2) у coreboot есть проприетарные драйвера. лучше использовать libreboot 2015 года.
3) amd PSP - не свободный чипсет, и ты советуешь вместо проприетарщины проприетарщину. лучше использовать risc-v
4) если у тебя вм будет arch. то там соответственно systemd, который тебя отследит.
5) и твой вопрос про openwrt, да, он свободный, прошивай, только провайдер также будет использовать dpi, а для udp тебе нужен будет белый ip.

жду ответа, что думаете.
А что не так с systemd в плане анонимности? Что значит "systemd, который тебя отследит"? Я, видимо, в танке, т.к. по этому поводу претензий к systemd не слышал. Ругали, конечно, но не за слежку...
 
А смысл пастить ответы LLM? Человек же специально сюда пришел послушать экспертов (себя таковым не называю), у GPT все спросить могут...
 
OldFont сказал(а):
whonix
Порекомендую Qubes, удобнее Whonix и безопаснее, единственный минус - требования
 
stepgxx сказал(а):
неплохая статья, но подмечу ошибки.
1) нет доказательств, что при компиляции linux-libre не допустили бинарники, да, там не нашли еще уязвимости и я сам его использую но 100% анонимным его не назовешь.
2) у coreboot есть проприетарные драйвера. лучше использовать libreboot 2015 года.
3) amd PSP - не свободный чипсет, и ты советуешь вместо проприетарщины проприетарщину. лучше использовать risc-v
4) если у тебя вм будет arch. то там соответственно systemd, который тебя отследит.
5) и твой вопрос про openwrt, да, он свободный, прошивай, только провайдер также будет использовать dpi, а для udp тебе нужен будет белый ip.

жду ответа, что думаете.
1) не буду спорить, но переход и полная перекомпиляция и сборка с нуля требует слишком обширных знаний времени и усилий
2) не буду спорить, но портирование подобных прошивок тоже достаточно требовательная штука требует то же что и в 1 пункте
3) не представляю как полностью исключить amd psp / intel me с платы без них не стартует uefi как я понимаю. почему считаю что amd psp лучше? у него нету своих сетевых интерфейсов, что лучше чем intel me и лучшее что я смог предложить
4) вм может быть подвержена подобным угрозам как systemd на то и вм
5) в каком смысле белый ip для udp? зачем? не понял вот это. роутер за nat и он нужен для выхода в интернет ко мне никто стучаться не может и не должен
 
nologs73 сказал(а):
Порекомендую Qubes, удобнее Whonix и безопаснее, единственный минус - требования
слышал, но предпочту whonix из за простейшей схемы работы (меньше уязвимостей в потенциале) и удобства для повседневых задач
 
Пожалуйста, обратите внимание, что пользователь заблокирован
OldFont сказал(а):
3. Использование amd вместо intel
на платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
НЕТУ СМЫСЛА использовать AMD в место INTEL. Потому, что у AMD эта штука называется PSP. Новое название это ASP. любые попытки отключения ASP приведут к остановки процессора и превращению его в кирпич.


Ring 3
Ring 2
Ring 1
Ring 0
Ring -1
Ring -2
Ring -3 <--- тут и работает эта штука.
 
TwistedJustice сказал(а):
А что не так с systemd в плане анонимности? Что значит "systemd, который тебя отследит"? Я, видимо, в танке, т.к. по этому поводу претензий к systemd не слышал. Ругали, конечно, но не за слежку...
из проблем:
1) nat, но претензией к деанонимизации она не используется.
2) исходный код 1,8 млн строк, и большинство аудиторов склоняется, что код запутан искусственно, т.е. проведена обфускация без веской причины, почему же я так считаю? red hat сотрудничает с анб, (если не верите , скажите , объясню) , и постоянно находят уязвимости, их более 3000 и 4 из них - критические, фактически конкретный бэкдор не был найден, но я бы не стал верить им.
 
В чем смысл такой мозговыносилки?
Если у тебя не проект который украл лярд баксов у США или ты не пошел против всех государств ИМЕЯ вес в своих словах, то в чем смысл уходить так глубоко?
Я не говорю, что у тебя совсем нет причин.
Но на 99 процентов уверен, что связки arch -> mullvad vpn -> vm(parrot/kali/другой дистр(смотря че ты хочешь делать) + vm(whonix) + спуф данных о системе через vboxmager -> еще 1 впн или прокся
тебе хватит с головой, кто будет все это обходить? и смогут ли вообще, без безвыходного желания
ты лишь добавляешь себе усложнения в работе и отбрасываешь в дальний ящик более важные вещи
 
phantomcoder сказал(а):
В чем смысл такой мозговыносилки?
Если у тебя не проект который украл лярд баксов у США или ты не пошел против всех государств ИМЕЯ вес в своих словах, то в чем смысл уходить так глубоко?
Я не говорю, что у тебя совсем нет причин.
Но на 99 процентов уверен, что связки arch -> mullvad vpn -> vm(parrot/kali/другой дистр(смотря че ты хочешь делать) + vm(whonix) + спуф данных о системе через vboxmager -> еще 1 впн или прокся
тебе хватит с головой, кто будет все это обходить? и смогут ли вообще, без безвыходного желания
ты лишь добавляешь себе усложнения в работе и отбрасываешь в дальний ящик более важные вещи
чем бы ты не занимался, нельзя считать, что ты никаким корпорациям/спецслужбам не нужен
 
phantomcoder сказал(а):
mullvad vpn -> vm(parrot/kali/другой дистр(смотря че ты хочешь делать) + vm(whonixу
Классика, заменить входную ноду тора на ноду муллвад впна, которым пользуются в большинстве своём только киберпреступники. Они же явно их ноды мониторя на входящий и выходящий трафик. 10 end to end traffic correlation attack из 10
 
phantomcoder сказал(а):
не вижу тут конструктивной связи)
сейчас ты им скорее всего так сильно не нужен. Но потом, с своим развитием в киберпреступности и увеличении урона по инфраструктуре вполне можешь очень сильно понадобится. Анонимность нужно строить с самого начала своего пути, и она должна быть самой максимальной из возможных
 
Saga5300 сказал(а):
слышал, что харды вакуумируют, дабы избежать попадания мелких частиц и увеличить срок хранения, но по факту я не уверен в данной инфе, так как сам не проверял
Уже все давно SSD юзают, в чем смысл использовать тормозной HDD (а тормоз он как раз из-за вращения магнитных пластин) где максимальная скорость от 30 до 150 Мбит/с, и SSD в 500 Мбит/с дешевый + более дорогие шустрее в разы? Вакуумировали как раз харды, причем уже внутри корпуса они вакуумированы..Прошлый век, атавизм, как первая DDR блин.
 
Desoxyn сказал(а):
Уже все давно SSD юзают, в чем смысл использовать тормозной HDD (а тормоз он как раз из-за вращения магнитных пластин) где максимальная скорость от 30 до 150 Мбит/с, и SSD в 500 Мбит/с дешевый + более дорогие шустрее в разы? Вакуумировали как раз харды, причем уже внутри корпуса они вакуумированы..Прошлый век, атавизм, как первая DDR блин.
любителям Олдскула тут не запретишь))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
привет, ознакомился с твоей статьёй, материалал полезный, НО.

для хорошей анонимности я бы рекомендовал преобрести пакет интернета со скоростью от 500 мб/с, чем больше, тем лучше.

имея такой интернет нам понадобится 2 роутера, первый который будет входным (основным), а второй будет прошит под open wrt.

пока что связка будет звучать так:
router - open wrt -?

дальше я бы рекомендовал поднять свой тор сервер, для этого нужно купить неттоп (аналог в какой-то степени расберипая). На неттопе разворачивается whonix и исходный траффик, уже завернутый в тор, идёт в основную систему.

в качестве основной системы я бы рекомендовал поставить арч линукс для повседневного пользования и сверху накатить виртуалку с qubes, разумеется использовать впн на арче.

в кубах есть такая штука как "тор внутри тора", то есть qubes - whonix (в ютубе есть видео, на сайте хуникса есть инструкция по этому поводу).


каждое окно в кубах с хуниксом будет работать через 2 тора, именно через тор, в сети тора, как бы это не звучало.

мой ответ не совсем понятный и для кого-то звучит даже бредово, но связка будет звучать следующим образом :

router - open wrt router - tor server - desktop + vpn - vm + qubes and whonix.

именно из-за такого количества траффика, который заворачивается в тор, нам нужен хороший интернет.

не спорю, что поверх кубов можно не ставить хуникс
 
Зачем? И главное для чего? Схемы VPN-TOR-VPN/Proxy через виртуалку вполне хватит в большенстве случаев, со входом через соседский Wi-fi или свисток. Можно добавить дедик в схему для надежности и зашиты от отпечатков. Все эти TOR через TOR и погонять все пятью VPNами... Через эти схемы работать не возможно, проверено.
Если захотят найти, то найдут, по другим признакам, методов полно. Самое слабое место во всех цепочках, это человек.
Как сказал один умный человек, когда ищут виновных в краже крупных сумм денег, то в первую очередь не распутывают следы из множества ip адресов, а идут в ближайший салон Lamborghini и узнают, кто вчера покупал там тачку 😂
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх