Пожалуйста, обратите внимание, что пользователь заблокирован
Хочу сказать только одно: если вы вступаете в конфликт со своим регионом, страной, людьми и законами, никакие меры безопасности вас не спасут!OK пост, но есть несколько неточностей и неполных моментов.
Mullvad — находится в Швеции, которая входит в альянс 14 глаз. Хотя они и не ведут журналы (логи), пользователям стоит понимать, что это не мешает полиции или разведке перехватывать входящий и исходящий трафик на уровне дата-центров, где размещены интересующие их серверы.
iVPN — если я правильно помню, компания зарегистрирована на Британских Виргинских островах, которые являются заморской территорией Великобритании (члена альянса 5 глаз). Соответственно, они обязаны исполнять юридические запросы, поступающие из этой юрисдикции.
Ни одна операционная система и ни одна конфигурация не могут скрыть сам факт использования Tor даже если вы используете мосты (bridges). См. мой пост: понимание разницы между обходом блокировок и сокрытием самого протокола http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/138900/
Но ты вообще пробовал делать это в последнее время? Серьёзно, такое ощущение, будто ты просто скопировал эту схему откуда-то, даже не проверив. Уже с прошлого года выходные узлы Tor не имеют доступа к сети I2P это изменение было внесено, и с тех пор ничего не работает как раньше. Почему они так сделали до конца непонятно, и лично у меня это вызывает подозрения.
Многие записи в таблице содержат ошибки.
Например, Tails не стоит приписывать высокий уровень анонимности. В полицейских операциях вроде RapTor прямо упоминалось международное сотрудничество между странами. Если все узлы (или большинство) расположены в странах-участницах такого сотрудничества вся модель Tor рушится. Tor сам признаёт, что такие атаки выходят за пределы их модели угроз http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/138895/
Также стоит понимать разницу между безопасностью, анонимностью и приватностью. Ты сравниваешь системы, ориентированные на безопасность (например, Qubes OS), с системами, нацеленными на анонимность (например, Tails), по шкале анонимности. Грамотно настроенная система может обеспечить более высокий уровень анонимности, чем как Tails, так и Whonix, или даже их комбинация. Если ты хочешь изменить таблицу и отразить не фактический уровень анонимности, а потенциал — это уже другой разговор. В таком случае Tails и Whonix следует отнести к системам, ограниченным исключительно Tor-сетью (никогда не строй свою модель безопасности, полагаясь только на Tor), в то время как Qubes и Kodachi потенциально обеспечивают более гибкую и высокую анонимность при правильной настройке. Отдельно стоит упомянуть Kicksecure, как достойный вариант в плане безопасной базы.
Смартфоны и мобильные ОС вообще не должны присутствовать в таких таблицах. Ни один смартфон, ни одна мобильная ОС не являются безопасными. Начиная с базового чипа (baseband) и заканчивая другими аппаратными компонентами — всё это отличные точки для сайд-чаннел атак со стороны полиции и разведки. То же самое справедливо для Windows.
Про Tails недавно в Tails был выявлен серьёзный баг, из-за которого происходила запись данных на диск, что нарушало основную концепцию системы (работа исключительно в RAM без следов на накопителе). Да, проблема была устранена патчем, но сам факт подчёркивает нельзя полагаться на одно ПО и думать, что ты в безопасности только потому, что оно работает из памяти.
Session не обеспечивает высокий уровень анонимности. Это уже многократно обсуждалось здесь, на других форумах и в Reddit. Разработчики отказались от PFS (Perfect Forward Secrecy) в пользу собственного, "внутреннего" решения. На практике в этом нет никакой технической необходимости — можно было просто использовать стандартную PFS без самодельных надстроек. Подобные кастомные схемы только понижают доверие. Кроме того, Session разрабатывается в Австралии, стране с крайне агрессивными законами по внедрению бэкдоров в шифрование и обязательному доступу для спецслужб (см. Assistance and Access Bill). Это уже само по себе проблема. Session недавно сменил свою сеть, что привело к ещё большему централизму. Это противоречит их же заявленной цели быть "децентрализованным" мессенджером. Один из известных в даркнете поставщиков — Pygmalion — был задержан, а до этого создал несколько Session-групп, через которые привлекал клиентов. После его ареста многие пользователи этих групп также попали под раздачу. В ответ на это модераторы форума Dread выпустили предупреждение, чтобы люди перестали использовать Session.
Briar да, у него есть свои проблемы, но в условиях отключения интернета это один из лучших инструментов. Тем не менее, как постоянный мессенджер он далеко не идеален.
SimpleX — вызывает немало вопросов.
У них нет воспроизводимых (reproducible) сборок. Да, ты можешь скомпилировать исходники, но хэш-сумма (SHA256) твоей сборки не совпадёт с той, что они распространяют. Это уже подозрительно. На сайте SimpleX утверждается, что у Signal возможны атаки "человек посередине" (MITM) — при этом не объясняется, в каких условиях и насколько это реалистично. Это выглядит как намеренное введение в заблуждение. Компания, по всей видимости, находится в Великобритании, а значит — попадает под юрисдикцию с "чрезвычайными" полномочиями доступа к зашифрованным коммуникациям. Сетевые провайдеры, через которых работает SimpleX, в своих политиках конфиденциальности прямо указывают, что сотрудничают с полицией. Да, в случае SimpleX объем передаваемых данных будет меньше, но сама возможность остаётся. Хочешь больше фактов? Ищи обсуждения на Reddit, особенно те, где модераторы ещё не успели всё подчистить.
Tox — см. мой комментарий http://xssforum7mmh3n56inuf2h73hvhn...xdnyd.onion/threads/124817/page-2#post-985215
Использовался в операции по аресту Hansa market. Также в деле против администратора педофильского форума. И в деле против Versus darknet market. Есть масса доказательств, что полиция активно использует P2P-протоколы для выявления IP-адресов и отслеживания пользователей. Любой, кто провёл в этой "игре" хотя бы немного времени, знает: чем больше ты общаешься тем выше шанс попасться. Не продвигай P2P как "безопасную" альтернативу это ложная уверенность.
Wickr — у тебя он стоит в списке как "высокоанонимный мессенджер"? Это шутка? Даже комментировать не буду. Любой желающий может за пару минут найти информацию, почему Wickr это не про безопасность. Ты пометил его как использующий инфраструктуру AWS, но почему-то поставил выше Jabber/XMPP удали его вообще.
Jabber (XMPP) + OMEMO/OTR. Ты написал, что "не всегда open source" это некорректно. Протокол полностью открытый. OTR это устаревшее решение, и его реализация в клиентах типа Pidgin/libpurple небезопасна и давно признана уязвимой. Современная альтернатива OMEMO (тот же протокол, что и в Signal). Плюс, ты верно отметил: лучше использовать свои XMPP-серверы через Tor, чтобы минимизировать утечки метаданных. Jabber не идеален, но при грамотной настройке остаётся одним из лучших вариантов. Главное помнить удобство — враг безопасности.
MorphToken, FixedFloat, SideShift — все они могут заморозить твои средства. Если контекст был про обмен XMR → другая крипта, то важно понимать. У XMR нет "грязных монет" в традиционном смысле но эти платформы подчиняются AML и "travel rule" требованиям. Любые подозрительные признаки сумма >$10,000, IP-адрес из Tor, подозрительный User-Agent и т.д. могут вызвать флаг и блокировку транзакции. LocalMonero больше не существует и это тоже надо бы актуализировать в статье. В качестве альтернативы можно упомянуть Haveno, как перспективную децентрализованную платформу.
Официальный кошелёк Monero (CLI или GUI) должен быть рекомендован в первую очередь, а уже потом Cake Wallet, Feather и другие. Atomic Wallet был ранее взломан, и пострадали пользователи на миллионы долларов об этом тоже стоит предупредить.
Если ты действительно хочешь продвигать Monero как анонимную валюту, нужно честно указывать и его слабые стороны. Существует серия публикаций Breaking Monero, где разъясняются ограничения и потенциальные векторы deanonymization. Недавние исследования показали, что эффективная анонимность кольца снижается с 16 до примерно 4 реальных входов.
В статье не было объяснено (XMR):
1) Что такое "churning" и почему он важен.
2) Почему между "чёрнами" нужно делать задержку.
3) Почему использование удалённых нод (remote nodes) один из главных способов deanonymization.
Всё это критически важно, особенно если текст претендует на образовательную или практическую ценность.
Не стоит рекламировать малоизученные монеты, такие как Zano, как якобы сравнимые с Monero. Есть и другие монеты для сравнения, но Zano явно не тот случай.
Так как статья позиционируется как материал, посвящённый безопасности и анонимности, естественно, к ней будет предъявляться повышенное внимание со стороны тех, кто давно в теме. Если ты внесёшь указанные изменения это будет реально ценный и качественный ресурс. Пока же слишком много устаревших или упрощённых утверждений, которые могут ввести читателей в заблуждение.
в tails своей прикол оптимизации, он любит их повторять чаще, чем вы думаете при смене (ПАТАМУША ВЫШЕ СКОРОСТЬ), так вот прикол в том, что дед Реганс получит все совпадения нод контор, для вашего деанона потому, что 3 сервака, что бы совпали это не дело - а фигня конченная ну в этом варианте все понятно 3.) "зона порядка дохлого орла ( не относится к топику)" -вы в числе тех кто поматал орла (принцип тот же тор нода, мудаквад, продукты поддержки демократии), вы собрались в отпуск, взяли мобилку с инстаграмом, полетели в ИТАЛИЮ, как же красиво звучит ОМАО, и либо сразу по прилету, либо в отеле "гранд х#йрандзон" пакуют, и вас готовят к экстрадиции
