Итак, вне разговоров идет что ваш рабочий комп - это рабочий комп. Вы НИКОГДА не подключали его к домашней сети и он не выпустил НИ ЕДИНОГО пакета в интернет с вашего белого интернета где вы смотрите порнхаб и играете в танки. Об этом раньше подробно было расписано в документации тора, в частности есть ссылка на исследование начала-середины 200х годов по поводу tcp.timestamp(tsval). Ну думаю вы знаете.
Также разумеется этот комп куплен за кеш, и давно, желательно в магазине без камер или вообще бу p2p с левого телефона и не в своем городе даже. paranoid mode.
Никаких виндовсов и маков не обсуждаю, не работаю и не советую - вы запаритесь там все сервисы и подвохи дебажить и исследовать в поисках внезапных трекеров а они есть. Я линуксойд. cryptsetup only. Бутлоудер на флешке которую вы носите с собой когда не носите ноут, и вытаскиваете когда забутались.
Ваш выход в сеть должен располагаться на отдельном устройстве, на которое вы не сможете зайти с рабочего компа. Например зашифрованный raspberry pi.
В который воткнут модем 3-4г. Уберите там ссш и проверьте что никакой порт кроме отфорварденного сокса с впн или тора на впн не слушается. Доступ в сам пи возможет только с клавиатуры по usb и монитору, надо логиниться оттуда. Сделайте так чтобы рестарт был возможен либо с простого перетыкания либо что-то такое простое самопальное например nc слушает порт, как только коннектится к нему - он делает процедуру рестарта для вашего модема. Никаких шеллов.
То есть на рабочем компе ну никак не должно быть видно ваш ип от провайдера или даже от впна. На случай если ваш комп взломают, Всегда берите это в расчет что ваш комп потенциально взломан. Не сдеаноньте себя даже в таком случае.
Как? А вот теперь хардварные хаки. Убирайте камеру. Убирайте микрофон и динамики. Обязательно физически. В ноутах чаще всего в монитор идут до 4 кабелей - видео, до 2 антенн wifi и 1 провод тот что нам нужен - чаще всего это и будет камера+микро. К старым ноутам давно есть дизайн-схемы для починки, сверьтесь что вы дергаете именно это. Проверьте что ни камера ни микро больше не работают и их нет в системе(lsusb и тд).
То что вы вытащите с самопального ядра драйвера видеокамер и аудио это ничего не даст вам - желающий обязательно соберет модули для вашего ядра или ломанет ядро и загрузит код. Чего это вы тут думаете вы один шеллкодер такой? А помните как иранскую ядерную программу вздрючили? Быть может вы ничем не менее опасный бандит а значит для вас обязательно постараются.
Далее уберите динамики. Да не нужен вам звук на работе, зачем? Через звук можно дохрена инфы слить в рутанный телефон лежащий рядом или даже за окно утечь где слушают ребята. Причем еще это и ультразвуком можно делать так что люди с плохим слухом еще могут и не услышать, а кому надо услышит микрофоном.
Сама звуковая карта чаще всего не выпиливается, только иногда отключается в биосе, а вот динамики чаще всего можно или вытащить или обрезать. Эти убранные пара проводов спасут вашу жизнь.
Далее wifi вытаскивайте. Да, только lan. Это без разговоров. Почему? А вы читали новость что гугл уже давно отказался от гугл-каров для сбора wifi и пользует ваши телефоны для этого? Вот то то и оно. Телефоны при работе отнесите в другую комнату. Если вам звонят поставьте звук погромче чтобы не пропустить, не кладите их рядом, они еще и по вибрациям да и по сигналу wifi(хабр) смогут анализировать что вы там делаете и набираете на клаве. ТО что этого на первый взгляд нет в паблике не значит что нет у спецслужб.
Если у вас в качестве анонимного доступа wifi - боюсь вы спалились и по логам вас можно вычислить. Телефон собирает все споты рядом как я говорил. Потенциально и вашу клиентский mac ассоциированный с точкой соседа. Смарты - великое зло, избегайте их используя мобильный интернет или lan-only систему. А еще если даже у вас нет ничего типа смарта(ну вы и танкист батенька!) - он есть у вашего соседа через улицу. А то и через стенку. А еще возвращаемся к пункту про рут вашего компа. Вас рутнут и iwlist wlan0 scan. И все, 100% вас с точностью до сантиметра установят, спасибо телефонам соседей вежливо шлющим этот же результат от себя в гугл и эпл.
С железом по большей части все.
ВПН. Кук упоминалось ранее использовать только впн и сразу бежать к своим серверам - идея плохая, палящая ваш tcp timestamp. Лучше так - впн и тор там же на локале. Пробрасываите себе 9050 и гуляете оттуда уже до прокси а потом до своего сервера. прокся тоже своя лично сделанная(ну ссш рут какой-то). Это и число промежуточных повышает затрудняя поиск и анонимизирует первичный tcp коннект.
Чтобы спрятать наверняка - раскошельтесь на самый слабый дедик где-то не за биткойны(ну это еще и помогает купить проща - оплата битками сазу кидает ваш ордер в фроды в whmcs). Захешируйте весь дедик, при ребуте проверяйте все хеши всей фс, заливая статичный busybox в рам, который вы у себя собрали которому доверяете.
До дедика правда все равно надо иметь резервный впн на случай ребута ведь ключи надо хранить в криптофс а значит при рестарте само ничего не встанет. КОнечно когда ребутаеться дедик вы до ввода cryptsetup luksOpen проверяйте хеши всей фс.
И да, никаких днс на своем компе в resolv.conf, они вам не нужны. Используйте свои руты и впсы для всех резолвов а также сам тор(в виде socks5/socks4a). В общем делайте так чтобы ваш же собственный комп вообще ничего не знал про то что и кто его окружает.
Когда надо прямо очень анонимно посидеть например важная работа, берете старую тачку-раздолбайку(да да, прикупите себе, в новых машинах уж очень дохрена всякого трекинг барахла, то умная система безопасности то ремоут старт кондиционеров то регистратор с гпс то аварийная кнопка вызова, ну все не выпилит и не перечислить просто), и едете куда-то в лес. Никаких телефонов.
Тат же малинка, подключена по лану и новый свисток(не только сим). И конечно же другой первичный впн. Это уже наиболее близко к 100% анонимности но все равно вас какой нибудь шатающийся дедок или проезжающая машина владелец которой вечно выкладывает свой стрим в перископ может слить засветив ваш номер. Будьте бдительны, спрячьте машину так чтобы ее номер проезжающим видно не было. Найдите заранее такое поездите по окрестностям.
Вот такие наработки. Это не все и наверняка многое из этого вы уже где-то слышали.
Просто свои пара советов.
Не ленитесь поработать для анонимности и не жмотьтесь потратить денег на анонимность, когда вас за попу возьмут будет уже поздно сожалеть о своей мелочности и бездействии в прошлом.
Вообще помните что логи всегда найдутся было бы подозрение. Просто так вас шарить никто не станет да и логов полных во многих странах нет. И все же работать из дома идея плохая рано или поздно она может выстрелить.
От копируйте себе куда нибудь биткойны сдайте их знакомому которого знаете только лично и не связываетесь по обычному телефону, и смело стирайте ваш диск и все что есть когда увидите что подъехал пативен. Комп вообще то тоже желательно слить потому что его различные ид и серийники остаются, если вас рутали то они есть и тут не открутится.
Тему браузеров, всякого там meltdown и прочего не затрагиваю я думаю про это достаточно расписано и без меня. всегда будте начеку. И следите за своей речьб и том как вы пишете и что пишете не компируйте себя с реального компа, не переносите свою личность. Ваши ошибки вам никто не простит.
рутов и много крипты вам.
Также разумеется этот комп куплен за кеш, и давно, желательно в магазине без камер или вообще бу p2p с левого телефона и не в своем городе даже. paranoid mode.
Никаких виндовсов и маков не обсуждаю, не работаю и не советую - вы запаритесь там все сервисы и подвохи дебажить и исследовать в поисках внезапных трекеров а они есть. Я линуксойд. cryptsetup only. Бутлоудер на флешке которую вы носите с собой когда не носите ноут, и вытаскиваете когда забутались.
Ваш выход в сеть должен располагаться на отдельном устройстве, на которое вы не сможете зайти с рабочего компа. Например зашифрованный raspberry pi.
В который воткнут модем 3-4г. Уберите там ссш и проверьте что никакой порт кроме отфорварденного сокса с впн или тора на впн не слушается. Доступ в сам пи возможет только с клавиатуры по usb и монитору, надо логиниться оттуда. Сделайте так чтобы рестарт был возможен либо с простого перетыкания либо что-то такое простое самопальное например nc слушает порт, как только коннектится к нему - он делает процедуру рестарта для вашего модема. Никаких шеллов.
То есть на рабочем компе ну никак не должно быть видно ваш ип от провайдера или даже от впна. На случай если ваш комп взломают, Всегда берите это в расчет что ваш комп потенциально взломан. Не сдеаноньте себя даже в таком случае.
Как? А вот теперь хардварные хаки. Убирайте камеру. Убирайте микрофон и динамики. Обязательно физически. В ноутах чаще всего в монитор идут до 4 кабелей - видео, до 2 антенн wifi и 1 провод тот что нам нужен - чаще всего это и будет камера+микро. К старым ноутам давно есть дизайн-схемы для починки, сверьтесь что вы дергаете именно это. Проверьте что ни камера ни микро больше не работают и их нет в системе(lsusb и тд).
То что вы вытащите с самопального ядра драйвера видеокамер и аудио это ничего не даст вам - желающий обязательно соберет модули для вашего ядра или ломанет ядро и загрузит код. Чего это вы тут думаете вы один шеллкодер такой? А помните как иранскую ядерную программу вздрючили? Быть может вы ничем не менее опасный бандит а значит для вас обязательно постараются.
Далее уберите динамики. Да не нужен вам звук на работе, зачем? Через звук можно дохрена инфы слить в рутанный телефон лежащий рядом или даже за окно утечь где слушают ребята. Причем еще это и ультразвуком можно делать так что люди с плохим слухом еще могут и не услышать, а кому надо услышит микрофоном.
Сама звуковая карта чаще всего не выпиливается, только иногда отключается в биосе, а вот динамики чаще всего можно или вытащить или обрезать. Эти убранные пара проводов спасут вашу жизнь.
Далее wifi вытаскивайте. Да, только lan. Это без разговоров. Почему? А вы читали новость что гугл уже давно отказался от гугл-каров для сбора wifi и пользует ваши телефоны для этого? Вот то то и оно. Телефоны при работе отнесите в другую комнату. Если вам звонят поставьте звук погромче чтобы не пропустить, не кладите их рядом, они еще и по вибрациям да и по сигналу wifi(хабр) смогут анализировать что вы там делаете и набираете на клаве. ТО что этого на первый взгляд нет в паблике не значит что нет у спецслужб.
Если у вас в качестве анонимного доступа wifi - боюсь вы спалились и по логам вас можно вычислить. Телефон собирает все споты рядом как я говорил. Потенциально и вашу клиентский mac ассоциированный с точкой соседа. Смарты - великое зло, избегайте их используя мобильный интернет или lan-only систему. А еще если даже у вас нет ничего типа смарта(ну вы и танкист батенька!) - он есть у вашего соседа через улицу. А то и через стенку. А еще возвращаемся к пункту про рут вашего компа. Вас рутнут и iwlist wlan0 scan. И все, 100% вас с точностью до сантиметра установят, спасибо телефонам соседей вежливо шлющим этот же результат от себя в гугл и эпл.
С железом по большей части все.
ВПН. Кук упоминалось ранее использовать только впн и сразу бежать к своим серверам - идея плохая, палящая ваш tcp timestamp. Лучше так - впн и тор там же на локале. Пробрасываите себе 9050 и гуляете оттуда уже до прокси а потом до своего сервера. прокся тоже своя лично сделанная(ну ссш рут какой-то). Это и число промежуточных повышает затрудняя поиск и анонимизирует первичный tcp коннект.
Чтобы спрятать наверняка - раскошельтесь на самый слабый дедик где-то не за биткойны(ну это еще и помогает купить проща - оплата битками сазу кидает ваш ордер в фроды в whmcs). Захешируйте весь дедик, при ребуте проверяйте все хеши всей фс, заливая статичный busybox в рам, который вы у себя собрали которому доверяете.
До дедика правда все равно надо иметь резервный впн на случай ребута ведь ключи надо хранить в криптофс а значит при рестарте само ничего не встанет. КОнечно когда ребутаеться дедик вы до ввода cryptsetup luksOpen проверяйте хеши всей фс.
И да, никаких днс на своем компе в resolv.conf, они вам не нужны. Используйте свои руты и впсы для всех резолвов а также сам тор(в виде socks5/socks4a). В общем делайте так чтобы ваш же собственный комп вообще ничего не знал про то что и кто его окружает.
Когда надо прямо очень анонимно посидеть например важная работа, берете старую тачку-раздолбайку(да да, прикупите себе, в новых машинах уж очень дохрена всякого трекинг барахла, то умная система безопасности то ремоут старт кондиционеров то регистратор с гпс то аварийная кнопка вызова, ну все не выпилит и не перечислить просто), и едете куда-то в лес. Никаких телефонов.
Тат же малинка, подключена по лану и новый свисток(не только сим). И конечно же другой первичный впн. Это уже наиболее близко к 100% анонимности но все равно вас какой нибудь шатающийся дедок или проезжающая машина владелец которой вечно выкладывает свой стрим в перископ может слить засветив ваш номер. Будьте бдительны, спрячьте машину так чтобы ее номер проезжающим видно не было. Найдите заранее такое поездите по окрестностям.
Вот такие наработки. Это не все и наверняка многое из этого вы уже где-то слышали.
Просто свои пара советов.
Не ленитесь поработать для анонимности и не жмотьтесь потратить денег на анонимность, когда вас за попу возьмут будет уже поздно сожалеть о своей мелочности и бездействии в прошлом.
Вообще помните что логи всегда найдутся было бы подозрение. Просто так вас шарить никто не станет да и логов полных во многих странах нет. И все же работать из дома идея плохая рано или поздно она может выстрелить.
От копируйте себе куда нибудь биткойны сдайте их знакомому которого знаете только лично и не связываетесь по обычному телефону, и смело стирайте ваш диск и все что есть когда увидите что подъехал пативен. Комп вообще то тоже желательно слить потому что его различные ид и серийники остаются, если вас рутали то они есть и тут не открутится.
Тему браузеров, всякого там meltdown и прочего не затрагиваю я думаю про это достаточно расписано и без меня. всегда будте начеку. И следите за своей речьб и том как вы пишете и что пишете не компируйте себя с реального компа, не переносите свою личность. Ваши ошибки вам никто не простит.
рутов и много крипты вам.