HHIDE_DUMP
Гость
H
HHIDE_DUMP
Гость
Текст предназначен скорее для новичков. При настройке системы речь идет о Linux (главным образом Debian/Ubuntu, немножко под Arch добавил).Хочу обеспечить людей мануалом о том, как сделать систему безопасней, без чтения сотен страниц различных пояснений. Безопасность – это процесс, так что этот - гайд лишь начальная точка.
Меняем ACCEPT на DROP в следующих строках:
(Конечно, в первую очередь надо знать про GPG/PGP)
Для безопасности данных мы шифруем диски. Но прежде убедитесь, что Вы поставили сложный пароль на БИОС и для загрузки, и для изменения настроек БИОСа. Также отключите загрузку с каких-либо внешних носителей (это, понятно, не всегда приемлимо).
Как это сделать можно посмотреть, например
Как это сделать можно посмотреть, например
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Во время установки Вы можете просто выбрать зашифрованный LVM. Для других данных, в том числе на внешних носителях, можно использовать Truecrypt (везде, где написано про Truecrypt, можно использовать и Veracrypt), который удобней, чем dmcrypt, т.к. портативный. Truecrypt можно использовать на любой ОС.
- Скачиваем truecrypt
- Разархивируем tar.gz
- Запускаем установочный файл
- Когда выйдет запрос выбираем «извлечь»
- Идем в /tmp
- Копируем tar.gz и перемещаем туда, где собираемся его использовать/хранить
- Извлекаем
- Как только он распакован, идем "usr"->"bin" выделяем "truecrypt"-binary
- Копируем на свое устройство
Поскольку есть атаки на AES, рекомендую использовать aes-twofish-serpent.
- Разархивируем tar.gz
- Запускаем установочный файл
- Когда выйдет запрос выбираем «извлечь»
- Идем в /tmp
- Копируем tar.gz и перемещаем туда, где собираемся его использовать/хранить
- Извлекаем
- Как только он распакован, идем "usr"->"bin" выделяем "truecrypt"-binary
- Копируем на свое устройство
Поскольку есть атаки на AES, рекомендую использовать aes-twofish-serpent.
Если Вы думаете, что, зашифровавшись, Вы в безопасности, это не так.
Ниже будут рассмотрены атаки, специфичные для Debian, использующего шифрование LVM. Но надо знать, что любые зашифрованные носители имеют свои уязвимости. Не вдаваясь в подробности, остановимся на сути.
Для дискового шифрования, основанного на программном обеспечении (software-based) известны такие атаки:
- DMA атаки (DMA/HDMI-порты используются для подключения к работающей зашифрованной системе, чтобы ее расшифровать)
- Cold-Boot атаки (Ключи извлекаются из оперативной памяти после «холодной перезагрузки)
- Заморозка оперативной памяти (оперативка замораживается и вставляется в систему атакующего, чтобы извлечь ключ)
- Evil-Maid атаки (Различные способы загрузить протрояненную ОС или какой-нибудь кейлоггер)
Для аппаратного (hardware-based) дискового шифрования существуют подобные же атаки:
- DMA атаки (то же самое)
- Replug атаки (жесткие диски подключаются к компьютеру атакующего, подробнее здесь //
- Reboot атаки. Жесткие диски подключаются после вынужденной перезагрузки. Пароль на БИОС обходится нажиманием F2 и потом отключается. Это работает только на некоторых компьютерах.
- Networked-Evil-Maid атаки. Атакующий крадет загрузчик и заменяет его протрояненным. При загрузке жертва вводит пароль, который отправляется атакующему по интернету. Другой вариант: заменить ноутбук другим, аналогичной модели (в аэропорту, отеле и т.п.) и телефонным номером атакующего внизу. Жертва вводит «неправильный» пароль, который отправляется по интернету атакующему. Жертва выясняет, что ноутбук заменен, звонит атакующему, который копирует содержимое и отдает ноутбук.
Ниже будут рассмотрены атаки, специфичные для Debian, использующего шифрование LVM. Но надо знать, что любые зашифрованные носители имеют свои уязвимости. Не вдаваясь в подробности, остановимся на сути.
Для дискового шифрования, основанного на программном обеспечении (software-based) известны такие атаки:
- DMA атаки (DMA/HDMI-порты используются для подключения к работающей зашифрованной системе, чтобы ее расшифровать)
- Cold-Boot атаки (Ключи извлекаются из оперативной памяти после «холодной перезагрузки)
- Заморозка оперативной памяти (оперативка замораживается и вставляется в систему атакующего, чтобы извлечь ключ)
- Evil-Maid атаки (Различные способы загрузить протрояненную ОС или какой-нибудь кейлоггер)
Для аппаратного (hardware-based) дискового шифрования существуют подобные же атаки:
- DMA атаки (то же самое)
- Replug атаки (жесткие диски подключаются к компьютеру атакующего, подробнее здесь //
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
)- Reboot атаки. Жесткие диски подключаются после вынужденной перезагрузки. Пароль на БИОС обходится нажиманием F2 и потом отключается. Это работает только на некоторых компьютерах.
- Networked-Evil-Maid атаки. Атакующий крадет загрузчик и заменяет его протрояненным. При загрузке жертва вводит пароль, который отправляется атакующему по интернету. Другой вариант: заменить ноутбук другим, аналогичной модели (в аэропорту, отеле и т.п.) и телефонным номером атакующего внизу. Жертва вводит «неправильный» пароль, который отправляется по интернету атакующему. Жертва выясняет, что ноутбук заменен, звонит атакующему, который копирует содержимое и отдает ноутбук.
Они работают как и cold-boot атаки. Атакующий может достать пароль для контейнера, если компьютер работает или в режиме гибернации. Даже если контейнер открывался раньше, используя временные файлы и файлы подкачки. Этот вид шифрования можно обойти с помощью атаки, которую можно назвать расширенной версией evil-maid атаки.
Проблема в том, что даже если ваши данные зашифрованы, загрузчик и grub – нет. Это и дает возможности атакующему с физическим доступом к Вашему компу.
Чтобы избежать этого, сделайте следующее:
Если не хотите переустанавливать операционную систему, форматните флешку, скопируйте туда /boot, установите туда grub. Чтобы установить туда груб, размонтируйте /boot, снова примонтируйте как флешку, измените /etc/fstab, закомментируйте (# поставить) линию, которая монтирует /boot, и тогда запустите grub-install /dev/sdb (или как ваша флешка распознается). После этого можно будет загружаться с флешки.
Важно помнить, что многие обновления Ubuntu перезаписывают образ (initrd.img), особенно обновления ядра. Убедитесь, что флешка подключена и примонтирована к компу как /boot. Также хорошая идея регулярно делать бэкапы файлов с флешки и записывать их на диски или хранить их в интернете (на диски идея явно не особо хорошая, так сторонним людям будет легче включить комп).
Один комп, с которым я такое проделывал, не мог загрузиться с флешки. Это было решено просто созданием загрузочного диска. Если Вы погуглите “Making a GRUB bootable CD-ROM”, найдете инструкции, как это делать.
Вот меню. Первый файл на этом диске выглядит так:
Теперь я могу загрузиться с этого диска с подключенной флешкой, и диск загрузится с флешки, которая после этого запустит загрузчик и загрузит систему. Возможно, немного раздражает, но это работает.
По установке Debian на зашифрованном диске с загрузочным сектором на флешке есть еще мануал:
Чтобы избежать этого, сделайте следующее:
Если не хотите переустанавливать операционную систему, форматните флешку, скопируйте туда /boot, установите туда grub. Чтобы установить туда груб, размонтируйте /boot, снова примонтируйте как флешку, измените /etc/fstab, закомментируйте (# поставить) линию, которая монтирует /boot, и тогда запустите grub-install /dev/sdb (или как ваша флешка распознается). После этого можно будет загружаться с флешки.
Важно помнить, что многие обновления Ubuntu перезаписывают образ (initrd.img), особенно обновления ядра. Убедитесь, что флешка подключена и примонтирована к компу как /boot. Также хорошая идея регулярно делать бэкапы файлов с флешки и записывать их на диски или хранить их в интернете (на диски идея явно не особо хорошая, так сторонним людям будет легче включить комп).
Один комп, с которым я такое проделывал, не мог загрузиться с флешки. Это было решено просто созданием загрузочного диска. Если Вы погуглите “Making a GRUB bootable CD-ROM”, найдете инструкции, как это делать.
Вот меню. Первый файл на этом диске выглядит так:
Код:
default 0
timeout 2
title Boot from USB (hd1)
root (hd1)
chainloader +1
По установке Debian на зашифрованном диске с загрузочным сектором на флешке есть еще мануал:
- Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
- Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
- Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
Вы можете подумать, что использование программного и аппаратного шифрования решает проблемы. Нет. Атакующий может просто перебирать разные методы, так что мы снова возвращаемся к первому пункту. Конечно так атакующему будет труднее, но это его не остановит. Так что единственный метод – использовать полнодискове шифрование лишь как первый эщелон защиты.
Пожалуйста не думайте, что сценарии, описанные выше, какие-то фантастические. В Америке например примерно 5000 ноутбуков теряют или оставляют одни в аэропортах каждую неделю. Европейская статистика говорит, что примерно 8% всех ноутбуков, используемых для дела, хотя бы раз были потеряны или украдены.
Похожая проблема, если Вы оставляете комнату или квартиру, где работает Ваш зашифрованный комп. Так что первая защита от этих методов – всегда выключать комп. Всегда.
Следующая вещь, которую нужно себе напомнить: нельзя полагаться на полнодисковое шифрование. Так что нужно предпринимать и дальнейшие шаги в деле шифрования. Это значит, нужно зашифровывать папки, содержащие важную информацию, используя другие методы, такие как контейнеры Truecrypt. В таком случае, если атакующий получит Ваш пароль, он завладеет лишь доступом к неважным файлам. Если у Вас есть важная информация, полнодискового шифрования недостаточно.
Когда используете зашифрованные контейнеры, которые содержат важную информацию, нужно выключать компьютер после того, как используете их, чтобы очистить всю временную информацию, хранящуюся в компе, которая может быть использована атакующим для получения паролей (и тут еще оперативку чистить полезно, поищите, например, программы на гитхабе).
Когда работаете с важной информацией, нужно иметь возможность лишить комп источника питания. Так что если недоброжелатели уже приближаются, Вам нужно лишь выключить кабель и надеяться, что им понадобится по крайней мере 30 сек., чтобы добраться до Вашей оперативки. Это может помочь предотвратить описанные выше атаки.
А вообще чистить надо оперативку, кстати вот инструмента как в Tails, чтобы само при выключении чистило, у меня вроде нет, может у Вас есть?
Pandorabomb претендует на это, командой она чистит, да, а вот автоматически по-моему нет. В любом случае, инструмент неплохой, ищите
Пожалуйста не думайте, что сценарии, описанные выше, какие-то фантастические. В Америке например примерно 5000 ноутбуков теряют или оставляют одни в аэропортах каждую неделю. Европейская статистика говорит, что примерно 8% всех ноутбуков, используемых для дела, хотя бы раз были потеряны или украдены.
Похожая проблема, если Вы оставляете комнату или квартиру, где работает Ваш зашифрованный комп. Так что первая защита от этих методов – всегда выключать комп. Всегда.
Следующая вещь, которую нужно себе напомнить: нельзя полагаться на полнодисковое шифрование. Так что нужно предпринимать и дальнейшие шаги в деле шифрования. Это значит, нужно зашифровывать папки, содержащие важную информацию, используя другие методы, такие как контейнеры Truecrypt. В таком случае, если атакующий получит Ваш пароль, он завладеет лишь доступом к неважным файлам. Если у Вас есть важная информация, полнодискового шифрования недостаточно.
Когда используете зашифрованные контейнеры, которые содержат важную информацию, нужно выключать компьютер после того, как используете их, чтобы очистить всю временную информацию, хранящуюся в компе, которая может быть использована атакующим для получения паролей (и тут еще оперативку чистить полезно, поищите, например, программы на гитхабе).
Когда работаете с важной информацией, нужно иметь возможность лишить комп источника питания. Так что если недоброжелатели уже приближаются, Вам нужно лишь выключить кабель и надеяться, что им понадобится по крайней мере 30 сек., чтобы добраться до Вашей оперативки. Это может помочь предотвратить описанные выше атаки.
А вообще чистить надо оперативку, кстати вот инструмента как в Tails, чтобы само при выключении чистило, у меня вроде нет, может у Вас есть?
Pandorabomb претендует на это, командой она чистит, да, а вот автоматически по-моему нет. В любом случае, инструмент неплохой, ищите
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Если по какой-то причине Вы не хотите использовать зашифрованный LVM, можно использовать ecryptfs, чтобы шифровать файлы и папки после установки ОС.
Есть еще одна важная вещь:
Шифрование swap с помощью ecryptfs:
Особенно когда используете старый комп с маленькой оперативкой может часто случаться, что комп будет использовать swap для разных задач, когда оперативки недостаточно. Кроме недостатка скорости, это не очень желательно с точки зрения безопасности: поскольку swap находится на жестком диске, записи туда могут оставить следы на Вашем жестком диске. Если комп использует swap пока Вы используете криптоконтейнеры, может случиться так, что пароли запишутся в swap и могут быть извлечены оттуда – а этого Вы захотите избежать.
Это можно сделать просто с помощью ecryptfs.
Сначала надо установить:
А потом зашифровать swap:
Swap будет размонтирован, зашифрован и снова примонтирован.
Чтобы убедиться, что все как надо, можно использовать эту команду:
Это покажет swap, должна быть надпись «cryptswap».
Чтобы избежать сообщений об ошибках при загрузке, нужно отредактировать /etc/fstab. Скопируйте содержимое этого файла. Возможно, вы захотите его использовать для бэкапов, в случае, если что-то полетит.
На форуме Северус советовал шифровать swap автоматически меняющимися при загрузке ключами, которые нигде не сохраняются. Описывал он это так:
Но я не понял, как это сделать. Может, Вы знаете.
Есть еще одна важная вещь:
Шифрование swap с помощью ecryptfs:
Особенно когда используете старый комп с маленькой оперативкой может часто случаться, что комп будет использовать swap для разных задач, когда оперативки недостаточно. Кроме недостатка скорости, это не очень желательно с точки зрения безопасности: поскольку swap находится на жестком диске, записи туда могут оставить следы на Вашем жестком диске. Если комп использует swap пока Вы используете криптоконтейнеры, может случиться так, что пароли запишутся в swap и могут быть извлечены оттуда – а этого Вы захотите избежать.
Это можно сделать просто с помощью ecryptfs.
Сначала надо установить:
Код:
$ sudo apt-get install ecryptfs-utils cryptsetup
Код:
$ sudo ecryptfs-setup-swap
Чтобы убедиться, что все как надо, можно использовать эту команду:
Код:
$ sudo blkid | grep swap
Чтобы избежать сообщений об ошибках при загрузке, нужно отредактировать /etc/fstab. Скопируйте содержимое этого файла. Возможно, вы захотите его использовать для бэкапов, в случае, если что-то полетит.
На форуме Северус советовал шифровать swap автоматически меняющимися при загрузке ключами, которые нигде не сохраняются. Описывал он это так:
Код:
swapoff -a
ls -lF /dev/disk/by-id
nano /etc/crypttab
cswap /dev/disk/by-id/DISK_NAME_HERE-part1 /dev/urandom swap,cipher=aes-xts-plain64:sha256
nano /etc/fstab
/dev/mapper/cswap none swap sw 0 0
blkdiscard /dev/sdc1
reboot
dmsetup info
lsblk
cat /proc/swaps
Еще один хороший инструмент шифрования –
Он использует LUKS AES/SHA-256 и потому может считаться надежным. Но Tomb – не просто возможная замена инструментам вроде Truecrypt. У него есть некоторые действительно полезные черты:
1) Разделение зашифрованного файла и ключа
2) Монтирование файлов и папок в заранее определенные места, используя bind-hooks
3) Прятать ключи в картинках, используя стеганографию
Документацию по Tomb мне удалось найти, но, поработав с программой, ч обнаружил некоторые черты, которые не упомянуты ни в какой документации. Поэтому автор сам написал мануал:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Он использует LUKS AES/SHA-256 и потому может считаться надежным. Но Tomb – не просто возможная замена инструментам вроде Truecrypt. У него есть некоторые действительно полезные черты:
1) Разделение зашифрованного файла и ключа
2) Монтирование файлов и папок в заранее определенные места, используя bind-hooks
3) Прятать ключи в картинках, используя стеганографию
Документацию по Tomb мне удалось найти, но, поработав с программой, ч обнаружил некоторые черты, которые не упомянуты ни в какой документации. Поэтому автор сам написал мануал:
Сначала надо испортировать ключи и добавить их в список ключей:
Теперь сверьте отпечаток:
Должно быть примерно следующее:
(Вполне может быть, что это уже устарело, стоит на сайте смотреть)
Теперь добавьте ключ:
Добавьте их репозитории:
Добавьте:
(Тут тоже хттп перед ссылкой)
Обновитесь:
Установите Tomb:
Использование:
Если у Вас активирован swap, Tomb предложит выключить и зашифровать. Выключить swap:
Чтобы полностью отключить, можно закомментировать стоку в /etc/fstab. Так оно не будет монтироваться при перезагрузке (заметьте, что отключать swap на старых компьютерах, где немного оперативки, плохая идея. Когда оперативка полностью заполнится, без swap процессы и программы полетят).
Tomb создаст зашифрованный файл в папке, в которой Вы в данный момент находитесь, так что если хотите создавать в папке документов:
Когда Вы в нужной папке, можно создать зашифрованный файл командой:
XX – размер файла в мегабайтах, (а FILE – название).
Чтобы создать файл «test» размером 10 мб., введите следующее:
Заметьте, что если Вы не отключили swap, команду нужно изменить таким образом:
Чтобы открыть и примонтировать этот файл к /media/test введите:
Чтобы открыть и примонтировать в другом месте:
Чтобы закрыть именно этот конкретный файл:
Чтобы закрыть все файлы tomb:
Или просто:
Код:
$ sudo gpg --fetch-keys //apt.dyne.org/software.pub (тут надо добавить хттп)
Должно быть примерно следующее:
Код:
Key fingerprint = 8E1A A01C F209 587D 5706 3A36 E314 AFFA 8A7C 92F1
Теперь добавьте ключ:
Добавьте их репозитории:
Код:
$ sudo nano /etc/apt/sources.list
Код:
deb //apt.dyne.org/debian dyne main
deb-src //apt.dyne.org/debian dyne main
Обновитесь:
Код:
$ sudo apt-get update
Код:
$ sudo apt-get install tomb
Если у Вас активирован swap, Tomb предложит выключить и зашифровать. Выключить swap:
Код:
$ swapoff -a
Tomb создаст зашифрованный файл в папке, в которой Вы в данный момент находитесь, так что если хотите создавать в папке документов:
Код:
$ cd /home/user/documents
Код:
$ tomb -s XX create FILE
Чтобы создать файл «test» размером 10 мб., введите следующее:
Код:
$ tomb -s 10 create test
Код:
$ tomb --ignore-swap -s 10 create test
Код:
$ tomb open test.tomb
Код:
$ tomb open test.tomb /different/location
Код:
$ tomb close /media/test.tomb
Код:
$ tomb close all
Код:
$ tomb slam
Очевидно, создать файл под названием «secret.tomb» - плохая идея, серьезно. Гораздо лучше сделать так, чтобы атакующему было сложно даже найти зашифрованные файлы, которые Вы используете. Для этого просто переместите их содержимое в другой файл.
Например:
Теперь Вы поменяли имя зашифрованного файла так, что его будет не настолько просто обнаружить. Когда будете это делать, убедитесь, что синтаксис в названии файла, который использует Tomb, сохранен:
filename.suffix
filename.suffix.key
В противном случае при открытии файла будут проблемы.
После этого Вы также можете захотеть переместить ключ в другое место:
Теперь давайте перейдем еще дальше:
После того, как Вы переименовали файл и переместили ключ и файл, надо убедиться, что ключ не будет найден. Спрячем его в картинку (jpeg):
Вам понадобиться ввести пароль в ходе этого процесса. Теперь переименуйте оригинальный ключевой файл во что-то вроде: "true-story.txt.key-backup" и проверьте, все ли работает.
Ваш ключ должен теперь снова появиться. После того, как убедитесь, что все работает, Вы можете снова спрятать ключ и уделить остаток ключа, который обычно находится в папке с оригинальным ключом.
По умолчанию Tomb нужно, чтобы зашифрованный файл и ключ были в одной папке. Если Вы их разделили, нужно изменить команду, которую надо вводить для открытия файла:
Чтобы изменить пароль ключевого файла:
Если хотите использовать Tomb для шифрования папок с почтой в Icedove, это легко сделать. Обычно это проблема для программ вроде Truecrypt, потому что им нужно создать контейнер, переместить папку в контейнер, и после использования возвращать назад. Tomb делает проще:
Просто переместите папки, которые хотите зашифровать, в корневой раздел tomb-файла, который Вы создали.
Например:
Скрытое содержимое доступно для зарегистрированных пользователей!
Теперь Вы поменяли имя зашифрованного файла так, что его будет не настолько просто обнаружить. Когда будете это делать, убедитесь, что синтаксис в названии файла, который использует Tomb, сохранен:
filename.suffix
filename.suffix.key
В противном случае при открытии файла будут проблемы.
После этого Вы также можете захотеть переместить ключ в другое место:
Скрытое содержимое доступно для зарегистрированных пользователей!
Теперь давайте перейдем еще дальше:
После того, как Вы переименовали файл и переместили ключ и файл, надо убедиться, что ключ не будет найден. Спрячем его в картинку (jpeg):
Скрытое содержимое доступно для зарегистрированных пользователей!
Вам понадобиться ввести пароль в ходе этого процесса. Теперь переименуйте оригинальный ключевой файл во что-то вроде: "true-story.txt.key-backup" и проверьте, все ли работает.
Скрытое содержимое доступно для зарегистрированных пользователей!
Ваш ключ должен теперь снова появиться. После того, как убедитесь, что все работает, Вы можете снова спрятать ключ и уделить остаток ключа, который обычно находится в папке с оригинальным ключом.
По умолчанию Tomb нужно, чтобы зашифрованный файл и ключ были в одной папке. Если Вы их разделили, нужно изменить команду, которую надо вводить для открытия файла:
Скрытое содержимое доступно для зарегистрированных пользователей!
Чтобы изменить пароль ключевого файла:
Скрытое содержимое доступно для зарегистрированных пользователей!
Если хотите использовать Tomb для шифрования папок с почтой в Icedove, это легко сделать. Обычно это проблема для программ вроде Truecrypt, потому что им нужно создать контейнер, переместить папку в контейнер, и после использования возвращать назад. Tomb делает проще:
Просто переместите папки, которые хотите зашифровать, в корневой раздел tomb-файла, который Вы создали.
Вы хотите зашифровать всю папку icedove. Тогда Вы создаете tomb-файл для него и перемещаете папку icedove в то хранилище. Следующим шагом создаете файл под названием "bind-hooks" и помещаете в ту же директорию. Этот файл будет содержать простую таблицу вроде этой:
Первый столбец определяет путь к корневому разделу tomb. Второй указывает путь, относящийся к домашней (home) папке юзера. Так что, если Вы просто хотите зашифровать папку icedove, которая находится в /home/user/, вышеуказанное подойдет. Если хотите, чтобы папка была примонтирована где-то еще в разделе /home, нужно соответствующем образом изменить строки.
После того, как Вы переместили оригинальную папку в tomb, нужно создать ложную папку, в которую может быть примонтировано содержимое оригинальной папки. Так что Вы просто идете в /home/user и создаете папку icedove, оставляя ее пустой. В следующий раз, когда Вы откроете и примотируете свой tomb-файл, папка icedove будет там, и она исчезнет, как только вы закроете tomb.
Советую проверить это, прежде чем перемещать почту.
Скрытое содержимое доступно для зарегистрированных пользователей!
Первый столбец определяет путь к корневому разделу tomb. Второй указывает путь, относящийся к домашней (home) папке юзера. Так что, если Вы просто хотите зашифровать папку icedove, которая находится в /home/user/, вышеуказанное подойдет. Если хотите, чтобы папка была примонтирована где-то еще в разделе /home, нужно соответствующем образом изменить строки.
После того, как Вы переместили оригинальную папку в tomb, нужно создать ложную папку, в которую может быть примонтировано содержимое оригинальной папки. Так что Вы просто идете в /home/user и создаете папку icedove, оставляя ее пустой. В следующий раз, когда Вы откроете и примотируете свой tomb-файл, папка icedove будет там, и она исчезнет, как только вы закроете tomb.
Советую проверить это, прежде чем перемещать почту.
Подобный инструментарий, в том числе стеганография, есть и в Zulucrypt. Но сам я не пробовал его использовать каким-то нестандартным методом, поэтому если Вы дополните раздел мануалом по продвинутым функциям zulucrypt – это будет полезно. А пока просто помните, что все это есть там, инструмент действительно хороший.
Можно еще сделать такое, чтобы при вводе определенного пароля жесткий диск форматировался. Гуглите «Nuke» и «Nuke password» (вместе с «Luks», скорее всего).
Кейлоггеры могут представлять собой серьезную угрозу Вашей безопасности – но особенно безопасности Ваших криптоконтейнеров. Если кому-то удастся поставить кейлоггер на Вашу систему, он сможет получить все пароли, которые Вы там вводите. Некоторые также делают скриншоты. Так какие есть виды кейлоггеров?
Под линукс есть несколько прог-кейлоггеров. Например, lkl, uberkey, THC-vlogger, PyKeylogger, logkeys.
Защита от них:
1) Никогда не используйте пароли от системы вне ее
В основном то, что устанавливается в линуксе требует root доступа или других привилеегий, полученных через /etc/sudoers. Но атакующий может это обойти, если он использует фреймворк с эксплойтами для браузера (browser-exploitation framework), такой как BEEF, который также может быть использован как кейлоггер на уровне браузера. Так что если Вы используете свой пароль суперпользователя где-то в интернете, он может утечь и может быть использован для установки всех вредоносных программ на Вашем компе. Кейлоггеры также часто бывают частью руткитов. Так что регулярно проверяйте систему.
2) Убедитесь, что Ваш браузер безопасен
Часто люди думают, что кейлоггеры – это некие программы, установленные непосредственно на их компьютере. Но есть и другая угроза, куда более актуальная для пользователей линукс: скомпроментированный браузер. Вы сможете найти много информации о том, как сохранить браузер в безопасности. Так что убедитесь, что Вы ее используете.
Компроментация браузеров – это не ракетостроение. И поскольку все, что может представлять опасность для браузера, кроссплатформенное, так что Вы, как пользователь линукс, не в безопасности. Не важно, что близорукие (есть и такие) фанаты линукса Вам скажут. Эксплойт на javasxript станет для Вас опасным, если Вы не подумаете о безопасности браузера. Не важно, на какой Вы операционной системе.
3) Проверяйте запущенные процессы
Если атакующий не особенно продвинут, он может не подумать о том, чтобы скрыть процесс запущенного кейлоггера. Вы можете их увидеть так:
или
или
И изучить текущие процессы. Конечно атакующий может его переименовать. Так что смотрите на подозрительные процессы, о которых Вы раньше не слышали. Если Вы сомневаетесь на счет процесса – спросите у знающих людей.
Поскольку многие кейлоггеры входят в состав руткитов, вероятно, что Вам такой и встретится.
4) Ежедневно проверяйте систему на руткиты
Я опишу инстументы, которые это делают, ниже. Rkhunter и Chkrootkit должна точно использоваться. Другие инструменты могут давать более подробную информацию, но из них не извлечь большой пользы, не обладая знаниями об архитектуре линукса и процессах.
5) Не полагайтесь на виртуальные клавиатуры
Идея защититься от кейлоггеров виртуальной клавиатурой кажется удачной. Но это также и опасно. Некоторые кейлоггеры могут также захватывать активность на экране (скриншоты). Так что использование виртуальной клавиатуры может быть бесполезным и давать ложное чувство защищенности.
Защита от них:
1) Никогда не используйте пароли от системы вне ее
В основном то, что устанавливается в линуксе требует root доступа или других привилеегий, полученных через /etc/sudoers. Но атакующий может это обойти, если он использует фреймворк с эксплойтами для браузера (browser-exploitation framework), такой как BEEF, который также может быть использован как кейлоггер на уровне браузера. Так что если Вы используете свой пароль суперпользователя где-то в интернете, он может утечь и может быть использован для установки всех вредоносных программ на Вашем компе. Кейлоггеры также часто бывают частью руткитов. Так что регулярно проверяйте систему.
2) Убедитесь, что Ваш браузер безопасен
Часто люди думают, что кейлоггеры – это некие программы, установленные непосредственно на их компьютере. Но есть и другая угроза, куда более актуальная для пользователей линукс: скомпроментированный браузер. Вы сможете найти много информации о том, как сохранить браузер в безопасности. Так что убедитесь, что Вы ее используете.
Компроментация браузеров – это не ракетостроение. И поскольку все, что может представлять опасность для браузера, кроссплатформенное, так что Вы, как пользователь линукс, не в безопасности. Не важно, что близорукие (есть и такие) фанаты линукса Вам скажут. Эксплойт на javasxript станет для Вас опасным, если Вы не подумаете о безопасности браузера. Не важно, на какой Вы операционной системе.
3) Проверяйте запущенные процессы
Если атакующий не особенно продвинут, он может не подумать о том, чтобы скрыть процесс запущенного кейлоггера. Вы можете их увидеть так:
Код:
$ ps -aux
Код:
$ htop
Код:
$ pstree
Поскольку многие кейлоггеры входят в состав руткитов, вероятно, что Вам такой и встретится.
4) Ежедневно проверяйте систему на руткиты
Я опишу инстументы, которые это делают, ниже. Rkhunter и Chkrootkit должна точно использоваться. Другие инструменты могут давать более подробную информацию, но из них не извлечь большой пользы, не обладая знаниями об архитектуре линукса и процессах.
5) Не полагайтесь на виртуальные клавиатуры
Идея защититься от кейлоггеров виртуальной клавиатурой кажется удачной. Но это также и опасно. Некоторые кейлоггеры могут также захватывать активность на экране (скриншоты). Так что использование виртуальной клавиатуры может быть бесполезным и давать ложное чувство защищенности.
Сущестаует также все возрастющее количество аппаратных (hardware) кейлоггеров. Некоторые из них используют wifi. А некоторые могут быть внедрены в Вашу клавиатуру, так что Вы их даже не заметите.
Защита от них
1) Изучайте свое железо
Это очевидно.
2) Проверяйте, какие устройства подключены к Вашей машине
Есть отличная программа под названием USB View, которая покажет, какие типы USB-устройств подключены к Вашему компу. Некоторые, но не все, кейлоггеры, которые используют USB, будут отражены там. И она доступна из репозиториев debian:
Кроме этого, не так много чего можно сделать. Если физическая атака является частью Вашей модели угроз, Вам надо подумать о месте, где можно в безопасности хранить ноутбук, пока Вас нет рядом. Также не оставляйте свой ноутбук без присмотра на работе, в аэропорту, отеле и на конференциях.
Защита от них
1) Изучайте свое железо
Это очевидно.
2) Проверяйте, какие устройства подключены к Вашей машине
Есть отличная программа под названием USB View, которая покажет, какие типы USB-устройств подключены к Вашему компу. Некоторые, но не все, кейлоггеры, которые используют USB, будут отражены там. И она доступна из репозиториев debian:
Код:
$ sudo apt-get install usbview
Шифруя файлы, Вы также можете захотеть позаботиться об их безопасном удалении. Для тех, кто не знает: обычное удаление файла не уничтожает удаленные данные, а только позволяет их перезаписывать. Поэтому данные можно восстановить с помощью инструментов форензики (forensic software). Есть несколько способов безопасно удалять файлы, в зависимости от операционной системы, самый простой способ:
Еще один хороший и более безопасный способ удаления:
Использование:
Функции:
-d проигнорировать файлы, выделенные кавычками
-f быстрый и небезопасный режим
-r рекурсивный режим, удаляет все субдиректории
-v verbose режим
-z перезаписывает последнее удаленное нулями вместо случайных данных
Другие способы.
Чтобы перезаписать данные нулями:
или:
Чтобы перезаписать случайными данными. Это делает менее заметным факт удаления данных:
или:
Удаление не работает как надо в ext3
sfill — для очистки от следов удаленных данных свободного места
srm — для надёжного удаления файлов и директорий
smem — для очистки оперативной памяти
sswap — для очистки раздела подкачки (swap)
С этой прогой можно не толкьо освобождать свободное место на диске, но и очищать систему от различных временных файлов.
Установка:
Запуск:
Просто выберете, что нужно удалить. Помните, что некоторые функции – экспериментальны и могут привести к проблемам в системе. Но не волнуйтесь: программа уведомит об этом и даст возможность отменить выбор.
Установка:
Код:
$ sudo apt-get install bleachbit
Код:
$ bleachbit
Код:
$ sudo dd if=/dev/urandom of=/dev/sdX
Код:
Syntax: srm [-dflrvz] file1 file2 etc.
-d проигнорировать файлы, выделенные кавычками
-f быстрый и небезопасный режим
-r рекурсивный режим, удаляет все субдиректории
-v verbose режим
-z перезаписывает последнее удаленное нулями вместо случайных данных
Другие способы.
Чтобы перезаписать данные нулями:
Код:
# dd if=/dev/zero of=/dev/sdX
Код:
$ sudo dd if=/dev/zero of=/dev/sdX
Код:
# dd if=/dev/urandom of=/dev/sdX
Код:
$ sudo dd if=/dev/urandom of=/dev/sdX
sfill — для очистки от следов удаленных данных свободного места
srm — для надёжного удаления файлов и директорий
smem — для очистки оперативной памяти
sswap — для очистки раздела подкачки (swap)
Эта утилита доступна в большинстве дистрибутивов Linux, включая Debian GNU/Linux. Чтобы удалить файл personalinfo.tar.gz, используется следующая команда:
где:
-n: Перезаписать файл N (200) раз вместо значения по умолчанию (25);
-z: Добавить финальную перезапись нулями;
-u: Отсоединить и удалить файл после перезаписи;
Для получения более подробной информации прочитайте man-страницу shred.
shred file --- По стандарту удалит файл с перезаписью 3 итерациями
shred -n 20 file --- Гораздо безопаснее будет удалить с 20 проходами
shred -f -n 20 -z -v file --- Удаляем без вопросов, изменяя права на файлы и перезаписываем в конце нулями
Большинство из вышеприведенных прог не особо полезны, если Вы используете журналируемую файловую систему, такую как JFS, XFS, Ext3 и т.д., а также при использовании RAID. Кроме того, резервные копии и удаленные зеркала вашей файловой системы могут содержать копии удаляемых файлов, которые останутся в неприкосновенности.
Код:
$ shred -n 200 -z -u personalinfo.tar.gz
-n: Перезаписать файл N (200) раз вместо значения по умолчанию (25);
-z: Добавить финальную перезапись нулями;
-u: Отсоединить и удалить файл после перезаписи;
Для получения более подробной информации прочитайте man-страницу shred.
shred file --- По стандарту удалит файл с перезаписью 3 итерациями
shred -n 20 file --- Гораздо безопаснее будет удалить с 20 проходами
shred -f -n 20 -z -v file --- Удаляем без вопросов, изменяя права на файлы и перезаписываем в конце нулями
Большинство из вышеприведенных прог не особо полезны, если Вы используете журналируемую файловую систему, такую как JFS, XFS, Ext3 и т.д., а также при использовании RAID. Кроме того, резервные копии и удаленные зеркала вашей файловой системы могут содержать копии удаляемых файлов, которые останутся в неприкосновенности.
Если Вам нужно какую-то мелочь восстановить, можно использовать, например, проги Elcomsoft.
Не буду рассказывать о важности удаления метаданных. Известная программа — MAT. Кроме этого можно посмотреть, какие есть проги, например
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Есть всем известные программы, такие как steghide, openstego, под Arch есть еще matroschka, stegsolve, stepic, существуют и не такие распространенные инструменты, такие как tcsteg, про который я уже неоднократно писал на форуме. Если у Вас есть еще интересные программы, дополняйте, пожалуйста.
Читайте книгу: «Форензика – компьютерная криминалистика».
В России есть Elcomsoft, продукты которых используют правоохранительные органы.
//
В России есть Elcomsoft, продукты которых используют правоохранительные органы.
- Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
- Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
//
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Следующая вещь, которую Вы, возможно, захотите сделать, это критически посмотреть на то, кто «стучит в Ваши двери». Для этого используйте snort. Настройка проста:
Запуск:
Чтобы проверить пакеты:
Snort должен автоматически запускаться при загрузке.
Если Вы хотите проверить его правила, загляните в /etc/snort/rules
Чтобы посмотреть предупреждения:
Snort покажет все события, которые он записал, во временном порядке:
Там Вы можете увидеть записи вроде таких:
Код:
$ sudo apt-get install snort
Код:
$ snort -D (чтобы запустить в качестве демона)
Код:
$ sudo snort
Если Вы хотите проверить его правила, загляните в /etc/snort/rules
Чтобы посмотреть предупреждения:
Код:
$ sudo nano /var/log/snort/alert
Там Вы можете увидеть записи вроде таких:
Скрытое содержимое доступно для зарегистрированных пользователей!
Следующая вещь – настроить Rkhunter, сокращенное от [R]oot[K]itHunter.
Что он делает? Вы догадались. Ищет руткиты.
Установка:
Лучше всего запускать его после установки, чтобы быть уверенным, что ничто уже не пробралось.
Важное замечание по поводу проги, что Вам нужно добавь ей фидбэк. Каждый раз, когда Вы будете запускать обновления, rkhunter будет говорить, что Вы скомпроментированы. Почему? Потому что он может определять лишь подозрительные файлы и изменения в файлах. Так, если Вы обновите пакет coreutils, многие изменения произойдут в /usr/bin – и когда Вы попросите rkhunter проверить систему, в лог файле будут предупреждения. Он сажет, что свойства файлов изменились и начнет ругаться. Чтобы избежать этого, запустите команду rkhunter --propupd в системе, которая, Вы убеждены, не скомпроментирована.
Вкратце: сразу после команд, таких как apt-get update && apt-get upgrade запустите:
Это говорит rkhunter(у): все в порядке
Чтобы запустить rkhunter:
Лог файл в /var/log/rkhunter.log. Так что, когда получаете предупреждение, его можно изучить там.
Чтобы запустиь отложенную проверку (с помощью cron)
Вставьте и измените адрес почты:
Сделайте скрипт исполняемым:
Обновите rkhunter:
И проверьте, работает ли он, как предполагалось:
Конечно Вы можете оставить часть с почтой на усмотрение cron, если не хотите, производить впечатление, что единственный, кто присылает Вам почту – ваш комп.
В целом, использование snort и rkhunter – отличный способ заработать паранойю, если у Вас ее еще нет. Так что, пожалуйста, потратьте время на изучение сообщений и предупреждений. Там много ошибочных сообщений. Обычно беспокоиться не о чем. Но если хотите использовать эти инструменты, придется потратить время на изучение логов. В противном случае их можно просто пропустить.
Фишки rkhunter
Если Вы сомневаетесь, запускать ли rkhunter --propupd после обновления системы, можно использовать следующую команду:
Теперь rkhunter обратиться к менеджеру пакетов, чтобы убедиться, что все ихменения происходят из надежного источника. Если у Вас раньше были предупреждения, теперь их не должно быть. Если предупреждения все еще есть, можно проверить, к какому пакету и фалу они относятся. Сделайте следующее:
Пример:
В итоге:
Это говорит Вам, что файл, который Вы проверяли, в /bin/ls, принадлежит пакету "coreutils".
Теперь можно исследовать с помощью packagesearch.
Если он не установлен:
Запуск:
Теперь там можно ввести «coreutils» в поле «search for pattern». После выбираете пакет ниже. Потом идете направо и выбираете "files". Там Вы увидите список файлов, относящихся к выбранному пакету. Теперь нужно сделать примерно следующее:
Идея в том, чтобы получить файл, относящийся к тому же пакету, что и файл, вызвавший предупреждение rkhunter. Тогда Вы смотрите на этот файл и проверяете его свойства. Когда он был изменен, если в то же время, что и файл в бинернике (binary folder), можно быть вполне уверенным, что изменения происходят из надежного источника. Также используйте хеш-суммы пакетов Debian, когда сомневаетесь.
Что он делает? Вы догадались. Ищет руткиты.
Установка:
Код:
$ sudo apt-get install rkhunter
Важное замечание по поводу проги, что Вам нужно добавь ей фидбэк. Каждый раз, когда Вы будете запускать обновления, rkhunter будет говорить, что Вы скомпроментированы. Почему? Потому что он может определять лишь подозрительные файлы и изменения в файлах. Так, если Вы обновите пакет coreutils, многие изменения произойдут в /usr/bin – и когда Вы попросите rkhunter проверить систему, в лог файле будут предупреждения. Он сажет, что свойства файлов изменились и начнет ругаться. Чтобы избежать этого, запустите команду rkhunter --propupd в системе, которая, Вы убеждены, не скомпроментирована.
Вкратце: сразу после команд, таких как apt-get update && apt-get upgrade запустите:
Код:
$ sudo rkhunter --propupd
Чтобы запустить rkhunter:
Код:
$ sudo rkhunter -c --sk
Чтобы запустиь отложенную проверку (с помощью cron)
Код:
$ sudo nano /etc/cron.daily/rkhunter.sh
Код:
#!/bin/bash
/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Details" [email protected]
Код:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
Код:
$ sudo rkhunter --update
Код:
$ sudo rkhunter -c --sk
В целом, использование snort и rkhunter – отличный способ заработать паранойю, если у Вас ее еще нет. Так что, пожалуйста, потратьте время на изучение сообщений и предупреждений. Там много ошибочных сообщений. Обычно беспокоиться не о чем. Но если хотите использовать эти инструменты, придется потратить время на изучение логов. В противном случае их можно просто пропустить.
Фишки rkhunter
Если Вы сомневаетесь, запускать ли rkhunter --propupd после обновления системы, можно использовать следующую команду:
Код:
$ sudo rkhunter --pkgmgr dpkg -c --sk
Код:
$ dpkg -S /folder/file/in/doubt (папка в которой сомневаетесь)
Код:
$ dpkg -S /bin/ls
Код:
coreutils: /bin/ls
Теперь можно исследовать с помощью packagesearch.
Если он не установлен:
Код:
$ sudo apt-get install packagesearch
Код:
$ sudo packagesearch
Код:
/usr/share/doc/coreutils/changelog.Debian.gz
Если Вы чувствуете, что всего вышенаписанного недостаточно, есть еще кое-что:
Они пишут: «Lynis – инстумент аудита для Unix.Он сканирует Вашу систему и доступные программы, обнаруживая проблемы в безопасности. Кроме информации по поводу безопасности, он также будет сканировать основную информацию системы, установленные пакеты и ошибки конфигурации».
Эта прога заявляет о себе как об автоматизированном аудите, автоматизированном исправлении программного обеспечения, поиске уязвимостей и малвари для Unix.
Автор использует, ему нравится. Если думаете, что она может Вам понадобиться – попробуйте. Она доступна в репозиториях Debian.
Запск:
Что обнаружит, будет объяснено в лог-файлах.
Они пишут: «Lynis – инстумент аудита для Unix.Он сканирует Вашу систему и доступные программы, обнаруживая проблемы в безопасности. Кроме информации по поводу безопасности, он также будет сканировать основную информацию системы, установленные пакеты и ошибки конфигурации».
Эта прога заявляет о себе как об автоматизированном аудите, автоматизированном исправлении программного обеспечения, поиске уязвимостей и малвари для Unix.
Автор использует, ему нравится. Если думаете, что она может Вам понадобиться – попробуйте. Она доступна в репозиториях Debian.
Код:
$ sudo apt-get install lynis
Код:
$ sudo lynis -c
Проверка debsums, md5-сумм Ваших системных файлов по хешам в репозиториях.
Установка:
Запуск:
Это покажет все файлы, к которым хеши или отсутствуют, или изменены. Но, пожалуйста, не беспокойтесь, если найдете что-то вроде /etc/ipkungfu/ipkungfu.conf после того, как последуете советам этого мануала.
Установка:
Код:
$ sudo apt-get install debsums
Код:
$ sudo debsums -ac
Есть проги, которые теперь идут вместе с sha256 хешами. Например: I2P
debsums не поможет с этим. Чтобы проверить хеш-сумму вручную:
$ cd /папка/файл/что проверяем to -sha256sum -c файл-что-хотите-проверить
После этого сравните его с представленными хешами. Этот инструмент уже включен в системы, основанные на Debian.
debsums не поможет с этим. Чтобы проверить хеш-сумму вручную:
$ cd /папка/файл/что проверяем to -sha256sum -c файл-что-хотите-проверить
После этого сравните его с представленными хешами. Этот инструмент уже включен в системы, основанные на Debian.
Чтобы быть уверенными, что все в Вашей системе безопасно, используйте ClamA[nti]V[irus].
Установка:
Обновление:
Проверка загруженной папки:
Проверить систему:
Это заставит ClamAV просканировать Вашу систему рекурсивно в verbose режиме, исключив папки, которые Вы не хотите проверять.
Убедитесь, что проверяете все, что скачиваете. Вы никогда не знаете, когда сервера, которым обычно можно доверять, могут быть скомпроментированы. Вредоносный код может в файлы каждого типа (да, включая pdf).
Помните: ClamAV известен своей параноидальностью. Это значит, что время от времени будут ложные срабатывания. Ищите в интернете, если Вы сомневаетесь в его результатах.
Установка:
Код:
$ sudo apt-get install clamav
Код:
$ sudo freshclam
Код:
$ sudo clamscan -ri /home/your-username/downloads
Код:
$ sudo clamscan -irv --exclude=/proc --exclude=/sys --exclude=/dev --exclude=/media --exclude=/mnt
Убедитесь, что проверяете все, что скачиваете. Вы никогда не знаете, когда сервера, которым обычно можно доверять, могут быть скомпроментированы. Вредоносный код может в файлы каждого типа (да, включая pdf).
Помните: ClamAV известен своей параноидальностью. Это значит, что время от времени будут ложные срабатывания. Ищите в интернете, если Вы сомневаетесь в его результатах.
В целом советую использовать проводное соединение. Если нужно беспроводное, используйте шифрование WPA2. Все остальное сможет перехватить 12-ти летний подросток.
Также запускайте только те службы, которые Вы реально используете. Если Вы не используете SSH – удалите клиент, чтобы быть уверенным в обеспечении безопасности от некоторых проблем. Также заметьте, что IRC тоже не особенно безопасен. Используйте осторожно, или просто используйте виртуалку для подобных программ.
Если Вы используете SSH, используйте Denyhosts или SSHGuard.
Также запускайте только те службы, которые Вы реально используете. Если Вы не используете SSH – удалите клиент, чтобы быть уверенным в обеспечении безопасности от некоторых проблем. Также заметьте, что IRC тоже не особенно безопасен. Используйте осторожно, или просто используйте виртуалку для подобных программ.
Если Вы используете SSH, используйте Denyhosts или SSHGuard.
Скрытое содержимое доступно для зарегистрированных пользователей!
Установите:
Настройте:
Раскомментируйте:
Запуск при старте системы:
Измените "IPKFSTART =0" на "IPKFSTART=1"
Запуск:
Настройка /etc/sysctl.conf
Здесь можно выставить различные способы работы с ICMP-пакетами и тому подобным:
После редактирования запустите эту команду, чтобы утвердить изменения:
По настройке ipkungfu еще была статья в Хакере
Еще можно использовать другие варианты.
Код:
$ sudo apt-get install ipkungfu
Код:
$ sudo nano /etc/ipkungfu/ipkungfu.conf
Код:
# IP внутренней сети. Используйте "127.0.0.1"
# для автономной машины
LOCAL_NET="192.168.1.0/255.255.255.0"
---
# Gateway скорее всего не понадобиться трогать, если не соединяетесь через что-то другое.
GATEWAY=0
---
# Закрываем порты
FORBIDDEN_PORTS="135 137 139"
---
# Сброс ping
# 1 - да, 0 - нет. По умолчанию нет.
BLOCK_PINGS=1
---
# Что делать с вероятно подозрительными пакетами
#SUSPECT="REJECT"
SUSPECT="DROP"
---
# Что делать с подозрительным трафиком
#KNOWN_BAD="REJECT"
KNOWN_BAD="DROP"
---
# Что делать со сканированием портов
#PORT_SCAN="REJECT"
PORT_SCAN="DROP"
Код:
$ sudo nano /etc/default/ipkungfu
Запуск:
Код:
$ sudo ipkungfu
Здесь можно выставить различные способы работы с ICMP-пакетами и тому подобным:
Код:
$ sudo nano /etc/sysctl.conf
# Не принимайте ICMP перенаправления (предотвращает MITM)
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
net.ipv4.tcp_syncookies=1
#lynis recommendations
#net.ipv6.conf.default.accept_redirects=0
net.ipv4.tcp_timestamps=0
net.ipv4.conf.default.log_martians=1
# TCP Hardening - cromwell-intl.com/security/security-stack-hardening.html (тут нужен урл)
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
kernel.core_uses_pid=1
kernel.sysrq=0
#ignore all ping
net.ipv4.icmp_echo_ignore_all=1
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
# Log Martian Packets
net.ipv4.conf.all.log_martians = 1
Код:
sudo sysctl –p
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Еще можно использовать другие варианты.
Код:
sudo apt-get install ufw gufw
sudo ufw enable
sudo ufw default deny incoming
sudo nano /etc/ufw/before.rules
Код:
# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Тоже возможный вариант:
Скачиваем ключ отсюда
//
Под рутом:
(естественно эта команда не сработает, т.к. тут нет http)
Устанавливаем
Либо cкачиваем
Скачиваем ключ отсюда
//
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Код:
gpg --import patrick.asc (если не выходит, запукайте из папки, где хранится ключ или прописывайте туда путь)
gpg --export 916B8D99C38EAF5E8ADC7A2A8D66066A2EEACCDA | sudo apt-key add -
Код:
echo "deb //deb.whonix.org jessie main" > /etc/apt/sources.list.d/whonix.list
Код:
apt-get update
Код:
sudo apt-get install whonix-ws-firewall
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
:
Код:
sudo dpkg –i whonix-ws-firewall*.deb (можно скопировать название скачанной версии)
Пожалуйста, не забудьте включить файервол на модеме и роутере, отключить UPnP (это Вам может понадобиться в p2p сетях) и изменить имя пользователя и пароль (или можно ничего этого не делать, чтоб сойти за рядового пользователя). Также устанавливайте обновления. Также Вы можете захотеть установить собственный файервол, используя smoothwall.
Лучшая идея – использовать открытые проги для подключения к интернету (firmware)для роутера, такие как dd-wrt, openwrt или tomato. Используя их, можно превратить свой роутер в девайс корпоративного уровня. Конечно прогаммы вроде - dd-wrt используют IP-tables, который Вы можете дополнить своими скриптами.
Лучшая идея – использовать открытые проги для подключения к интернету (firmware)для роутера, такие как dd-wrt, openwrt или tomato. Используя их, можно превратить свой роутер в девайс корпоративного уровня. Конечно прогаммы вроде - dd-wrt используют IP-tables, который Вы можете дополнить своими скриптами.
Используем безопасные и нецензурируемые бесплатные DNS
Чтобы изменить настройки DNS:
Измените свои DNS на заслуживающие доверия. В противном случае, Ваш модем будет использовать автоматически определенные сервера, что не особенно анонимно. Нужные dns-сервера можно найти в интернете.
HTTPS-DNS предпочтительней по очевидным причинам.
Ваш resolv.conf должен выглядить примерно так:
Используйте хотя бы два DNS-сервера, чтобы избежать проблем с подключением, которые иногда случаются.
Чтобы предотвратить перезапись этого файла системой при перезагрузке, запустите под рутом:
Это сделает файл неизменяемым, даже для рута.Чтобы отменить это для последующих изменений запустите
Это заставит Ваш браузер использовать DNS-сервера, которые Вы указали, вместо обычных.
Разные DNS можно найти
Чтобы изменить настройки DNS:
Код:
$ sudo nano /etc/resolv.conf
HTTPS-DNS предпочтительней по очевидным причинам.
Ваш resolv.conf должен выглядить примерно так:
Код:
nameserver 213.73.91.35
#CCC DNS-Server
nameserver 85.214.20.141
#FoeBud DNS-Server
Чтобы предотвратить перезапись этого файла системой при перезагрузке, запустите под рутом:
Код:
$ sudo chattr +i /etc/resolv.conf
Код:
$ sudo chattr -i /etc/resolv.conf
Разные DNS можно найти
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Еще можно обезопасить соединения, используя DNScrypt.
Что мне не нравится в этом деле: необходимость использования OpenDNS. Они имеют плохую репутацию из-за агрессивной рекламы и угона инфы. Но я уверен, что некоторые такие «фишки» OpenDNS блокируются настройкой браузера (о которой ниже). В частности аддон Request Policy предотвращает перенаправление в функцию поиск OpenDNS. Например, вопрос о поиске инфы в том, что он предоставляется yahoo!, и они могут вести логи.
В зависимости от Вашей модели угроз, если Вы не вводите ничего секретного, что никто не должен знать, можно использовать DNScrypt, поскольку оно делает хорошее дело, шифруя DNS трафик. Также можно перенаправлять запросы на Ваше сервер вместо OpenDNS – но я это еще не проверял.
Так что, если Вам не важно, что OpenDNS будет знать каждый сайт, который Вы посещаете, можно продолжить использовать DNScrypt:
Скачиваете текущую версию (dnscrypt.org). И:
Скомпилировать и установить:
Замените -j2 количеством ядер, которое хотите использовать.
Чтобы прописать в resolv.conf localhost:
Замените на:
Запуск DNScrypt в качестве демона:
Должен заметить, что OpenDNS быстрый. Что можно сделать: для своего обычного поиска используйте OpenDNS, а для приватного измените настройки в resolv.conf обратно на заслуживающие доверия DNS-сервера, которые можно хранить в той же папке.
В Whonix вообще особого смысла в шифровании DNS нет, можете посмотреть их на эту тему:
Еще есть статья про DNS «Новый сорт паранойи».
Что мне не нравится в этом деле: необходимость использования OpenDNS. Они имеют плохую репутацию из-за агрессивной рекламы и угона инфы. Но я уверен, что некоторые такие «фишки» OpenDNS блокируются настройкой браузера (о которой ниже). В частности аддон Request Policy предотвращает перенаправление в функцию поиск OpenDNS. Например, вопрос о поиске инфы в том, что он предоставляется yahoo!, и они могут вести логи.
В зависимости от Вашей модели угроз, если Вы не вводите ничего секретного, что никто не должен знать, можно использовать DNScrypt, поскольку оно делает хорошее дело, шифруя DNS трафик. Также можно перенаправлять запросы на Ваше сервер вместо OpenDNS – но я это еще не проверял.
Так что, если Вам не важно, что OpenDNS будет знать каждый сайт, который Вы посещаете, можно продолжить использовать DNScrypt:
Скачиваете текущую версию (dnscrypt.org). И:
Код:
$ sudo bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf -
$ cd dnscrypt-proxy-*
Код:
$ sudo ./configure && make -j2
$ sudo make install
Чтобы прописать в resolv.conf localhost:
Код:
$ nano /etc/resolv.conf
Код:
nameserver 127.0.0.1
Код:
$ sudo dnscrypt-proxy --daemonize
В Whonix вообще особого смысла в шифровании DNS нет, можете посмотреть их на эту тему:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Еще есть статья про DNS «Новый сорт паранойи».
Песочница – особая среда, которая предотвращает доступ программы в важным системным данным, на случай, если она будет скомпрментирована. Дальше тут автор предлагает совершенно какой-то трудный способ, можно все сделать куда проще, в частности:
Чтобы приложение перманентно открывалось в песочнице:
ln -s /usr/bin/firejail /usr/local/bin/название приложения
(естественно название не абы какое, а та команда, которая его запускает)
Также еще смотрите статью
Установка:
Запуск:
Введите "/" в поисковую строчку, и убедитесь, что все работает. Бразуер теперь должен иметь доступ только к файлам, которые ему нужны и не в /root.
Чтобы скачивать фалы из инета, отредактируйте профиль:
Добавьте:
Заметьте.
Фигрепринтинг, который несет более 15-20 бит идентифицирующей информации, достаточен, чтобы идентифицировать конкретный браузер, дать его ip, маску подсети, или даже его автономный системный номер. Можно ознакомиться на panopticlick.org
Теперь, когда мы разобрались с системой и с браузером, давайте начнем подключаться к интернету.
Код:
sudo apt-get install firejail
firejail firefox – запуск
ln -s /usr/bin/firejail /usr/local/bin/название приложения
(естественно название не абы какое, а та команда, которая его запускает)
Также еще смотрите статью
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Установка:
Код:
$ sudo -s
$ gpg --keyserver keys.gnupg.net --recv-keys 7977070A723C6CCB696C0B0227A5AC5A01937621
$ gpg --check-sigs 0x01937621
$ bash -c 'gpg --export -a 01937621 | apt-key add -'
$ echo "deb //ignorantguru.github.com/debian/ unstable main" >> /etc/apt/sources.list (тут нужен хттп)
$ apt-get update
$ apt-get install sandfox
Код:
$ sudo sandfox firefox
Чтобы скачивать фалы из инета, отредактируйте профиль:
Код:
$ sudo nano /etc/sandfox/default.profile
Код:
bind=/home/$user/downloads
Базовая настройка.Думаю это сами все знают.
about:config:
Код:
"General"->"when Firefox starts"->"Show a blank page"
"General"->"save files to:"Downloads"
"Content"->check:"Block pop-up windows"
"Content"->uncheck:"Enable JavaScript" [optional - NoScript Add-on will block it anyway]
"Content"->"Fonts & Colors"->"Advanced"->"Serif":"Liberation Sans"
"Content"->"Fonts & Colors"->"Advanced"->"Sans-serif":"Liberation Sans"
"Content"->"Fonts & Colors"->"Advanced"->uncheck:"Allow pages to choose their own fonts"
"Content"->"Languages"->choose *only*:"en-us" [remove all others, if any]
"Applications"->choose:"Always ask" for every application - if not possible:choose:"Preview in Firefox/Nightly"
"Privacy"->"Tracking"->check:"Tell websites I do not want to be tracked"
"privacy"->"History"->"Firefox will:"Use custom settings for history"
"privacy"->"History"->uncheck:"Always use private browsing mode"
"privacy"->"History"->uncheck:"Remember my browsing and download history"
"privacy"->"History"->uncheck:"Remember search and form history"
"privacy"->"History"->uncheck:"Accept cookies from sites"
"privacy"->"History"->uncheck:"Accept third-party cookies"
"privacy"->"History"->check:"Clear history when Firefox/Nightly closes"
"privacy"->"History"->"settings":check all -> except:"Site Preferences"
"privacy"->"location bar"->"When using the location bar, suggest:"->choose:"Nothing"
"security"->check:"Warn me when sites try to install add-ons"
"security"->check:"Block reported attack sites"
"security"->check:"Block reported web forgeries"
"security"->"Passwords"->uncheck:"Remember passwords for sites"
"security"->"Passwords"->uncheck:"Use a master password"
"advanced"->"General"->"System Defaults"->uncheck:"Submit crash reports"
"advanced"->"General"->"System Defaults"->uncheck:"Submit performance data"
"advanced"->"Update"->check:"Automatically install updates"
"advanced"->"Update"->check:"Warn me if this will disable any of my add-ons"
"advanced"->"Update"->check:"Automatically update Search Engines"
"advanced"->"Encryption"->"Protocols"->check:"Use SSL 3.0"
"advanced"->"Encryption"->"Protocols"->check:"Use TLS 1.0"
"advanced"->"Encryption"->"Certificates"->"When a server requests my personal certificate"->check:"Ask me every time"
about:config:
Код:
---disable browser cache:
browser.cache.disk.enable:false
browser.cache.disk_cache_ssl:false
browser.cache.offline.enable:false
browser.cache.memory.enable:false
browser.cache.disk.capacity:0
browser.cache.disk.smart_size.enabled:false
browser.cache.disk.smart_size.first_run:false
browser.cache.offline.capacity:0
dom.storage.default_quota:0
dom.storage.enabled:false
dom.indexedDB.enabled:false
dom.battery.enabled:false
---disable history & localization
browser.search.suggest.enabled:false
browser.sessionstore.resume_from_crash:false
geo.enabled:false
---misc other tweaks:
keyword.enabled:false
network.dns.disablePrefetch:true -> very important when using TOR
network.dns.disablePrefetchFromHTTPS -> very important when using TOR
dom.disable_window_open_feature.menubar:true
dom.disable_window_open_feature.personalbar:true
dom.disable_window_open_feature.scrollbars:true
dom.disable_window_open_feature.toolbar:true
browser.identity.ssl_domain_display:1
browser.urlbar.autocomplete.enabled:false
browser.urlbar.trimURL:false
privacy.sanitize.sanitizeOnShutdown:true
network.http.sendSecureXSiteReferrer:false
network.http.spdy.enabled:false ---> use http instead of google's spdy
plugins.click_to_play:true ---> also check each drop-down-menu under "preferences"->"content"
security.enable_tls_session_tickets:false ---> disable https-tracking
security.ssl.enable_false_start:true ---> disable https-tracking
extensions.blocklist.enabled:false ---> disble Mozilla's option to block/disable your addons remotely
webgl.disabled:true ---> disable WebGL
network.websocket.enabled:false --->
network.http.pipelining:true
network.http.pipelining.ssl:true
network.http.proxy.pipelining:true
network.http.max-persistent-connections-per-proxy:10
network.http.max-persistent-connections-per-server:10
network.http.max-connections-per-server:15
network.http.pipelining.maxrequests:15
network.http.redirection-limit:5
network.dns.disableIPv6:true
network.http.fast-fallback-to-IPv4:false
dom.popup_maximum Mine:10
network.prefetch-next:false
browser.backspace_action:0
browser.sessionstore.max_tabs_undo:5
browser.sessionhistory.max_entries:5
browser.sessionstore.max_windows_undo:1
browser.sessionstore.max_resumed_crashes:0
browser.sessionhistory.max_total_viewers:0
browser.tabs.animate:0
NoScript
HTTPS everywhere
Flashblock
Privacy badger
Disconnect
Что-то для подмены User Agent
Disable webrtc
Betterprivacy
Self-destructing cookies
Canvas Fingerprint Blocker
SSleuth
Decentraleyes
HTTPS everywhere
Flashblock
Privacy badger
Disconnect
Что-то для подмены User Agent
Disable webrtc
Betterprivacy
Self-destructing cookies
Canvas Fingerprint Blocker
SSleuth
Decentraleyes
Фигрепринтинг, который несет более 15-20 бит идентифицирующей информации, достаточен, чтобы идентифицировать конкретный браузер, дать его ip, маску подсети, или даже его автономный системный номер. Можно ознакомиться на panopticlick.org
Теперь, когда мы разобрались с системой и с браузером, давайте начнем подключаться к интернету.
Выходные ноды часто представляют собой honey-pots и поддерживаются кибер-преступниками и агентами спецслужб. Почему? Трафик внутри зашифрован, но на выходе должен расшифровываться и это происходит на выходных нодах, которые могут изучить Ваш трафик (Понятно, что здесь все надеются на https). Еще одна проблема с тором в том, что как только Вы его начинаете использовать в том месте, где его не используют, провайдер точно может об этом узнать. Так что безопасней использовать мосты. Но это уменьшает возможности тех, кому оно реально нужно: в Китае, Иране и т.п.Советую осторожно относиться ко всему, скаченному в даркнетах. В частности, изменить владельца файла на пользователя с ограниченным доступом.
Это все знают.Также можно установить на роутере. Нагуглите.
Проще всего установить macchanger и там менять.
Есть сервисы для получения почты с целью регистрации на каких-то сайтах (хотя многие их банят). Например:
anonymouse/anonemail
trash-mail
10 Minute Mail
dispostable
SilentSender
Mailinator
И удобное расширение Bloody Vikings для браузера.
Но важнее – отправка сообщений без информации о своем адресе.
guerrillaMail.com (15 минут, хотя пишет 60)
yopmail.com/en/ (5 дней)
mailexpire.com
mytrashmail.com
incognitomail.com
trash-mail.com/compose-mail/
e4ward.com
Больше можно найти здесь:
//gist.github.com/adamloving/4401361
//
//
По понятным причинам лучше использовать иностранные.
anonymouse/anonemail
trash-mail
10 Minute Mail
dispostable
SilentSender
Mailinator
И удобное расширение Bloody Vikings для браузера.
Но важнее – отправка сообщений без информации о своем адресе.
guerrillaMail.com (15 минут, хотя пишет 60)
yopmail.com/en/ (5 дней)
mailexpire.com
mytrashmail.com
incognitomail.com
trash-mail.com/compose-mail/
e4ward.com
Больше можно найти здесь:
//gist.github.com/adamloving/4401361
//
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
//
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
По понятным причинам лучше использовать иностранные.
Есть всем известные privnote.com и onetimesecret.com. Обсуждалось, могут ли к ним получить доступ спецслужбы, и многие считают, что да. Но в целом это лучше, чем просто так пересылать информацию, например, в социальных сетях.
Для нас, конечно, актуальней «Вконтакте». Во-первых, подумайте о том, что многие сайты блокируют тор-ноды, а крупные соц.сети — нет. Так что, заходя через тор, Вы, вполне возможно, привлекаете дополнительное внимание. Еще если у Вас есть какая-то информация о том, как долго «Вконтакте» хранит ip, переписку, посты (включая удаленные) и т.д., поделитесь, это важно. А вообще еще предстоит думать, как использовать эти инструменты себе во благо, а не во вред.
Friendica рекомендует Free Software Foundation
Lorea довольно сложная.
Diaspora, но есть некоторые сомнения по поводу ее безопасности:
//oda.dreamwidth.org/2828.html
Хотя это в любом случае лучше, чем фейсбук.
Lorea довольно сложная.
Diaspora, но есть некоторые сомнения по поводу ее безопасности:
//oda.dreamwidth.org/2828.html
Хотя это в любом случае лучше, чем фейсбук.
Безопасен ли телеграм? Конечно нет. Как вообще может быть безопасной проприентарщина, привязанная к номеру телефона?!
Статьи по теме:
«On the CCA insecurity of MTProto»
«Telegram AKA Stand back we have Math PhDs! »
//unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
«Telegram’s Cryptanalysis Contest»
//
«A practical cryptoanalysis of the Telegram messaging protocol»
//cs.au.dk/~jakjak/master-thesis.pdf
«A crypto challenge for the Telegram Developers»
//moxie.org/blog/telegram-crypto-challenge/
Статьи по теме:
«On the CCA insecurity of MTProto»
«Telegram AKA Stand back we have Math PhDs! »
//unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
«Telegram’s Cryptanalysis Contest»
//
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
«A practical cryptoanalysis of the Telegram messaging protocol»
//cs.au.dk/~jakjak/master-thesis.pdf
«A crypto challenge for the Telegram Developers»
//moxie.org/blog/telegram-crypto-challenge/
Всегда используйте хорошие пароли.
Используется для генерации паролей.
Установка:
Использование:
Возможности:
Включить хотя бы одну заглавную букву в пароль.
Не включать заглавных букв
Включить хотя бы один номер в пароль.
Не включать номера
Включить хотя бы один символ в пароль
Сгенерировать совершенно случайный пароль
Не включать сложные символы в пароль
Использовать sha1 хеш-сумму файла для генератора
Опубликовать сгенерированные пароли в колонке
Не делать этого
Не использовать гласных, чтобы избежать неприятных слов
Пример:
Pwgen выдаст список паролей из 24 цифр с хотя бы одним специальным символом.
Чтобы проверить сложность пароля, рекомендую использовать Passfault. Но советую не использовать там свой настоящий пароли, заменив каждую букву другой. Так можно проверить сложность пароля, не передавая его сомнительным образом по интернету.
Если Вы думаете, что система скомпроментирована и содержит кейлоггеры, нужно использовать только виртуальную клавиатуру. Они есть в каждой ОС.
Установка:
Код:
$ sudo apt-get install pwgen
Код:
pwgen [ OPTIONS ] [ pw_length ] [ num_pw ]
Код:
-c or --capitalize
Код:
-A or --no-capitalize
Код:
-n or --numerals
Код:
-0 or --no-numerals
Код:
-y or --symbols
Код:
-s or --secure
Код:
-B or --ambiguous
Код:
-h or --help
-H or --sha1=path/to/file[#seed]
Код:
-C
Код:
-1
Код:
-v or --no-vowels
Пример:
Код:
$ pwgen 24 -y
Чтобы проверить сложность пароля, рекомендую использовать Passfault. Но советую не использовать там свой настоящий пароли, заменив каждую букву другой. Так можно проверить сложность пароля, не передавая его сомнительным образом по интернету.
Если Вы думаете, что система скомпроментирована и содержит кейлоггеры, нужно использовать только виртуальную клавиатуру. Они есть в каждой ОС.
KeePass хранит все пароли в зашифрованном AES/Twofish хранилище, предоставляя удобный и безопасный способ их использования.
Установка:
Гайд можно найти на официальном сайте.
Хотя все и хвалят Keepass, мне это не кажется так уж надежно, хотя бы потому, что все будут знать, что Вы тут храните пароли. Конечно, нет и защиты от терморектального криптоанализа.
Установка:
Код:
$ sudo apt-get install keepass2
Хотя все и хвалят Keepass, мне это не кажется так уж надежно, хотя бы потому, что все будут знать, что Вы тут храните пароли. Конечно, нет и защиты от терморектального криптоанализа.
Хотя есть мнение, что применяется он не особенно часто, и жестко пытать скорее всего не будут, точно это знать невозможно. Особенно учитывая то, как они прославились в пытках и садизме.
Абсолютно надежной защиты нет, поскольку если Вы знаете свой пароль, Вы его можете сказать, а если не знаете, то он бесполезен.
Надо сделать как можно менее очевидным факт хранения пароля.
Во-первых, pgp ключи. Я спрашивал на форуме, как лучше их спрятать, но ответа не получил. Не знаю как.
Во-вторых, можно использовать стеганографию и маленькие контейнеры, чтобы спрятать их. Еще можно прятать не только в компьютере, но и в своем доме. Хотя, как я понимаю, обыски проводят тщательно и заглядывают…в общем везде. Можете делиться своими советами.
Статья «Скрытый шифрованный диск с защитой от терморектальной расшифровки»
//habrahabr.ru/post/92774/
Абсолютно надежной защиты нет, поскольку если Вы знаете свой пароль, Вы его можете сказать, а если не знаете, то он бесполезен.
Надо сделать как можно менее очевидным факт хранения пароля.
Во-первых, pgp ключи. Я спрашивал на форуме, как лучше их спрятать, но ответа не получил. Не знаю как.
Во-вторых, можно использовать стеганографию и маленькие контейнеры, чтобы спрятать их. Еще можно прятать не только в компьютере, но и в своем доме. Хотя, как я понимаю, обыски проводят тщательно и заглядывают…в общем везде. Можете делиться своими советами.
Статья «Скрытый шифрованный диск с защитой от терморектальной расшифровки»
//habrahabr.ru/post/92774/
Обязательно нужно позаботиться об альтернативных вариантах доступа к информации в случае разных трудностей. Очевидные варианты:
- Облачные сервисы
Минусы: нужно помнить пароль к ним, да еще и к криптоконтейнеру (мы ведь не будем отправлять этим компаниям незашифрованные данные), недолгосрочное хранение, все это могут удалить. Само наличие программ на компе может вызывать терморектальный криптоанализ.
Идеальных вариантов нет. И еще нужно обязательно подумать над такой ситуацией:
- Вы просидели несколько лет/или срочно сбежали на эти годы. Что стало с данными?
- Вас накачали психотропными препаратами и Вы сами ничего не помните.
Что делать в таких случаях? Советы приветствуются.
- Облачные сервисы
Минусы: нужно помнить пароль к ним, да еще и к криптоконтейнеру (мы ведь не будем отправлять этим компаниям незашифрованные данные), недолгосрочное хранение, все это могут удалить. Само наличие программ на компе может вызывать терморектальный криптоанализ.
Идеальных вариантов нет. И еще нужно обязательно подумать над такой ситуацией:
- Вы просидели несколько лет/или срочно сбежали на эти годы. Что стало с данными?
- Вас накачали психотропными препаратами и Вы сами ничего не помните.
Что делать в таких случаях? Советы приветствуются.
Отредактировано @nurlan7700
Последнее редактирование: