• XSS.stack #1 – первый литературный журнал от юзеров форума

Идеальная схема безопасности

Отслеживать
безопасности в этом нет, есть лишь иллюзия безопасности :)
Ну и к чему ваш комент? Для достижения какой цели он сделан? - ну ок вы сильно умнее умнее меня раз эдак в 100 или может даже 500, признаю и кланяюсь в ноги.
По существу - расследование и уголовное делопроизводство штука ресурсоемкая и соотвественно дорогая(занимает время, занимает кадры, стоит денег) и что бы этот процесс
инициировать должны быть веские снования и база которая позволит дойти делу до конца не развалившись за недостаточностью того, сего и этого...
капча тоже не панацея и лиш иллюзия что боты не пройдут...но ведь работает. а все потому что соблюден баланс между овчинкой и выделкой. и если пробить защиту стоит 10к
а плюшек за это 1к то защиту следует считать надежной. суть всегда и во всем в сохранении баланса. Но поскольку вы в сотни раз умнее меня то без всякой иронии прошу вас
расписать схему получше и я уверен что найдется не мало форумчан которые вам зашлют свой заветный лайк.
 
Мне нравится схема Основная система (VPN провайдер 1) -> Виртуалка (VPN провайдер 2) -> если вы работайте под Win то Proxifier (разные sock5 т.е мессенджеры один IP, браузер другой IP и так далее). Это если вы работайте под Windows

Под Linux можно использовать демон openvpn в связке с ufw чтобы блокировать все мимо VPN, в добавок для лучшего заметания следов я бы повесил с верху Shadowsocks на своем сервере. Тем самым получается схема YOU -> VPN -> SHADOWSOCKS (ваш сервер) -> INTERNET
 
Whisper сказал(а):
Ну и к чему ваш комент? Для достижения какой цели он сделан? - ну ок вы сильно умнее умнее меня раз эдак в 100 или может даже 500, признаю и кланяюсь в ноги.
Ну так то он прав. На каждую жопу лабиринтом найдется х#й винтом. Обвешайся левыми симками, десятками тоннелей, носков и прочим, но пакеты данных никуда не спрятать, это физический уровень передачи и зачастую даже всю цепочку раскручивать не нужно, можно пакеты отследить до первоисточника.
Все такие темы по определению вбросы в вентилятор, не более. Если ты достаточно крут то тебя достанут, привет от Бени Ладена. А если ты мутиш тихо то тактика Неуловимого Джо вполне работоспособна: ты неуловим потмоу что нахуй никому не нужен. Просто надо не бросаться в крайности, пользовать некий минимальный набор средств безопасности и работать с удаленных хостов запутывая следы немного. Быстро тебя не вычислят как того парня из телеги с кошельком на киви принимающем платежи, но если твоя поимка станет принципиальным вопросом то не поможет ничего. А все паранои не приносят ничего кроме паранои в голову и срачей на бордах.

п.с. Автозамена. Тоха, респект. Это так мило. Этого так не хватало много лет уже. х#й. Красотища)
 
какие пакеты данных нужно прятать? Днс трафик? - ну так его тоже шифруют. Отслеживать пакеты хттпс? - ну это как то вообще странно.
Такое чуство кто то ну _очень_ старается убедить всех что самое главное спрятать IP, что нужно больше проксов, соксов, впнов и тд... а про МАК адреса и БСС ИД тихо.
и стоит про это написать как сразу же стараются все это дискридитировать и похоронить под коментами типа
- херня.
- если надо то вычислят.
...и в таком духе что дескать не мучайся и не возись потому что на самом деле все без толку, впн и спи спокойно...
и при этом как правило вся аргумнтация исключительно на эмоциях, без технических разъяснений, ссылок на статьи и тому подобный конструктив.
а я всего то - расписал подробно схему как защитится от слива данных которые действительно вас _идентифицируют_ и даже потрудился расписать схему как
находят злодеев которые спрятались за 115 впнов, 12 проксирующих дедиков, 17 торов и 19 бэкконнект проксов на ботах собственного ботнета
(полюбому какойто из них логов не ведет), причем вот эти собственные бэкконект проксы на ботах(_собственного_ботнета_где_все_под_контролем_боты_в_разных_странах_) еще и перешифровывают траф чтоб по пакетам не отследили...
и злодея всеравно билять находят! ужас...как?...магия?...серетные технологии пришельцев?...молитвами рпц?
и я написал как.
а еще расписал по шагам схемку которую просил дополнить конструктивом и вот он конструктив пришел =).
 
Whisper сказал(а):
Попробуем все вышенаписанное(и не только в этом топике) резюмировать в простую понтяную и быструю в развертывании схему.
Берем _ССД_(ссд для того что бы не полагаться на wipe mode) диск и ставим на него винду(назовем эту винду Хостовая Винда).
Важно - Хостовая винда никогда не должна увидеть интернет она всегда оффлайн.
Ставим на хостовую винду DiskCryptor и криптуем наш ССД _не_делая_ его загрузочным, загрузочной нам диск криптор сделает флешку.
Это нужно для того чтобы весь наш рабочий ссд диск выглядел как куча мусора и не палился МБРОМ диск криптора как криптованный.
Ставим на хостовую винду VMWare.
Больше на хостовую винду мы ничего и никогда не ставим, она у нас только для запуска виртуальных машин.

Во всех далее создаваемых вирталках:
Settings->Hardware->Network Adapter = Host-only
Settings->Options->Guest isolation и здесь запрещаем drag and Drop и Enable copy and paste(ооочень удобная штука но сколько через нее утекло критически важной инфы....короче чем больше безопасности тем меньше удобств)

Создаем виртуальную машину с виндой, выбираем что то очень простое например вин7 сп1, эту винду мы назовем Онлайновая.
К онлайновой винде мы подключаем WiFi флешечку, и проксик с _открытым_исходным_кодом_ например 3proxy.
Все больше на онлановую мы ничего не ставим и никаких действий в ней не делаем(в инет с нее не ходим даже если очень хочется).
Эта онлайновая ос _не_безопасна_ она знает про железо и про окружающее сетевое пространство(имена и параметры точек доступа).

Создаем виртуальную машину и назовем ее ТОР.
далее конфигурируем 3proxy на онлавновой так

auth iponly
allow * 192.168.?.? - здесь у нас ип виртуальной машины ТОР чтоб только с этой машины можно было воспользоваться прокси (узнаем выполнив в командной строке ipconfig (на машине ТОР))
internal 192.168.?.? - здесь ип виртуальной машины Онлайновая на этот ип мы будем конектить наш ТОР как на сокс прокси (узнаем выполнив в командной строке ipconfig (на машине Онлайновая))
external 192.168.?.? - здесь ип нашей вай фай флешки (узнаем выполнив в командной строке ipconfig (на машине Онлайновая))
proxy
socks -p???? - здесь у нас порт на котором будем поднимать сокс

Ставим на виртулке ТОР - торбровзер и указываем ему сокс прокси путь к 3proxy на онлайновой.
таким образом тор ничего незнает про железки и ничего не может слить по существу.
ставим на машине ТОР 3proxy и создаем тунель

auth iponly
allow * 192.168.?.? - ип машины которой разрешено конектится к тору
allow * 192.168.?.? - ип машины которой разрешено конектится к тору
tcppm -i192.168.?.?(ип ТОР машины) 9150 127.0.0.1 9150 - тор не любит коннекты "снаружи" поэтому тунельчик

больше мы на машине ТОР ничего не ставим и работать с нее мы без надобности не будем.

Создаем вм машину и назовем ее Рабочая, траф из которой направляем в машину ТОР.

Таким образом ТОР не знает про железо, а рабочая не знает даже про тор(согласитесь ну зачем например вашему мессенджеру или бровзеру знать что он работает через тор).

Схема повторюсь простая и легко и быстро реализуемая, от всего не защищает и всех вопросов не решает.
Про рельное железо из под рабочей машины узнать _РЕАЛЬНО_(дыры в самой варе и опять же нашумевшивый meltdown), более защищеная схема была бы не через _ВМ_ а
через эмулятор(bochs).

Почти статья вышла =). Буду рад _конструктивной_ критике и советам по _существу_, вместе какнибудь да и осилим законченную и надежную рабочую схему,
множество постов с обрывками информации это конечно хорошо но поэтапно расписанная схема сильно лучше.
Конструктев:

1) не юзоть дискокриптор - у ней херово с фс, бываюд креши при особых конфегаг (ескадь премер на екзплойте иле туд, был зопрос про декрипт и восстоновленее хедера и фс);
2) пизже поставедь прозто ТОР, а не торбровзыр. Каг минемум из-за:
- при трафеке овер 10 гиг + конектах овер 20 - тырбровзер намертво вешаедся (хтя тор работаед!);
- в торбровзере ъер укажежь конфиги для тора (есле не праведь торрц нопрямую)
3) вифифлешечку?)))) ню-ню))))
Придлагаю юзоть онле кабель (экранированый), ибо:
- пре вклениванее виден разрыв (хоть на миг, но всеже);
- кабель не радио, хер пеленгадором порабодаежьь+ скороздь пизже.


ПЫСЫ: преслушайдесь, окоянныя, к Висперу! про ИД оборудке он истену глаголе, отвед каг паляд:
- траф хронят н лед;
при крименале - поднимать ИД- как обоссать 2 хуя;
- открутите кзуям JS,FLASH, HTML5 (дыа-дыа, и конвасю, ога)- ибо бровзер сдазд. иле юзойте консольнее иле старое
- перед делом - чекойте БИОС (конкретна - на то, чито имеед функу автообновы енд фирмваре хенд-мейда аля inetPAE*, iDRACNetwork* etc), таг каг узноть нопрямую при похеке из биоса инфо - какнезуйделоть
 
называется: сказали что ты лох не объяснили почему
(+ послали на три буквы(+-))
очень логично очень класно очень информативно и очень большое спасибо за конструктивно
всегдабы так
 
есть прошивки для 3g модемов, где можно менять кучу параметров этого железа одним кликом, начиная от IMEI, ICCID, IMSI заканчивая MAC, IP. Еще можно менять симки (но тут физически) :)))) У меня самописная прошивка, которая при каждом запуске меняет автоматически все возможные параметры модема.
Подскажите плз кто знает - на модем какого производителя и на какую модель обратить внимание чтобы такое реализовать?
 
Насчет хост ОС, советую смотреть в сторону qubes os или виртуализацию делать через kvm, например чистый debian + whonix через kvm, а не virtualbox. VB потеряли доверие FSF. Еще нужно выпиливать intel ME, но это возможно на старых компах. Смотрите в сторону lenovo. Также устанавливаете coreboot/libreboot на замену bios. Вообще безопасность нужно судить по урону, который вы собираетесь наносить. Где то и винда с впном будет достаточна. Также в жизни и соц сетях не болтать лишнего.

tl dr
Чем больше опен сорцев в компе, тем лучше.
 
Быть анонимным, значит имитировать жизнь другой личности. Именно не скрывать а имитировать, тогда это почти 99% успех.
Средства анонимизации дают уникальный след, по сравнению со среднестатистичекими людьми в интернете.
Модемы и симки это всё уже в прошлом. Разве что на один раз поюзать и выбросить.
 
fghz111 сказал(а):
Насчет хост ОС, советую смотреть в сторону qubes os или виртуализацию делать через kvm, например чистый debian + whonix через kvm, а не virtualbox. VB потеряли доверие FSF. Еще нужно выпиливать intel ME, но это возможно на старых компах. Смотрите в сторону lenovo. Также устанавливаете coreboot/libreboot на замену bios. Вообще безопасность нужно судить по урону, который вы собираетесь наносить. Где то и винда с впном будет достаточна. Также в жизни и соц сетях не болтать лишнего.
Вот зачем такое советовать? Вы используюте кьюбс? Ее на некоторые ноуты только можно установить. Выпилить интел МЕ, серьезно? Кто этим будет заниматься? Прошивать биосы. Нужно грамотно подходить к этому вопросу.
 
Benihowy сказал(а):
Вот зачем такое советовать? Вы используюте кьюбс? Ее на некоторые ноуты только можно установить. Выпилить интел МЕ, серьезно? Кто этим будет заниматься? Прошивать биосы. Нужно грамотно подходить к этому вопросу.
Я дал направление куда человек может копать, если ему нужна безопасность. Будет ли он это делать или нет, его личное дело. На кьюбс как раз таки многие современные компы подходят. Насчет ME другое дело.
 
fghz111 сказал(а):
Я дал направление куда человек может копать, если ему нужна безопасность. Будет ли он это делать или нет, его личное дело. На кьюбс как раз таки многие современные компы подходят. Насчет ME другое дело.
Ваши направления "пальцем в небо" получается. Попробуйте на свой комп устанавить кьюбс. Если вы его установите, вы им сможете пользоваться? Нужно предлогать то, что легко сможет сделать каждый. Выпилить МЕ, где вы такое вычитали!? Какие "уникальные" юзеры такое рассказывают? Я что один додумался заблокировать трафик???
 
Benihowy сказал(а):
Я что один додумался заблокировать трафик???
Ага заблокируй ME траффик)

ME это та самая "магия" деанона от США. У АНБ есть контракт с крупными компаниями по типу Intel, Amd на установку бекдоров в железо компьютеров. Если ME не этот бекдор, то что?)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх