Безопасность в сети: практическое руководство по защите своих данных и личности.
Шаги, которые гарантируют вам безопасность и анонимность в интернете, в условиях глобальной слежки⚡️
Очевидно, что гайки закручиваются все сильнее... Привлечь к ответственности могут за безобидный лайк или репост. Думаю, мне нет никакого смысла в очередной раз рассказывать вам о том, что творится в РФ и некоторых других странах СНГ на данный момент. Для этого есть новостные Телеграм-каналы, да и вы у меня отнюдь не глупые, сами все понимаете.
Сегодня я расскажу о инструментах, которые пригодятся каждому из вас на случай блокировок большей части интернета и слежки со стороны государства и других сомнительных личностей.
Содержание статьи:
(Все содержание - кликабельно)
1. Как обойти блокировки Роскомнадзора
1.1 Бесплатный способ
1.2 Платный, но более надежный (рекомендую)
2. Как правильно использовать TOR
3. Как зашифровать свой компьютер
4. Как безопасно общаться в интернете
4.1 Правильное использование Telegram
4.2 Session - рекомендуемый вариант
5. Как безопасно обмениваться файлами
6. Как выбрать безопасную почту, моя рекомендация
7. Как выбрать браузер, который не будет за вами следить
7.1 Для компьютера
7.2 Для смартфона
8. Как безопасно хранить свои пароли
9. Как автоматически обнулить свой Android-смартфон. Красная кнопка
10. Как защитить свой роутер от взлома
1. Как обойти блокировки Роскомнадзора
На сегодняшний день Роскомпозор заблокировал более 30 тысяч сайтов. Согласитесь, с такими предпосылками и до блокировки большей части интернета рукой подать.
Предлагаю вам подготовиться к этому сценарию заранее, что ы потом не плакать у разбитого корыта. Любые блокировки можно обойти! Я подготовил для вас целых 2 способа это сделать:
- Первый будет полностью бесплатный, но подойдет не для всех платформ и потребует наличия минимальных технических навыков.
- Второй обойдется вам в сумму, равную 5$ в месяц, но будет максимально простым, удобным и надежным.
В любой случае, вы сможете выбрать тот метод, который подходит именно вам.
1.1 Бесплатный способ
1.1.1 Программа для обхода пассивного и активного DPI
GoodbyeDPI - это программа, работающая, как сетевой драйвер, на лету изменяющий ваши сетевые пакеты таким образом, чтобы DPI не могли определить наличие заблокированных доменов в вашем трафике.
- Она имеет открытый исходный код который вы можете посмотреть тут, и поддерживает ОС Windows 7, 8 и 10.
- Нам же исходный код не нужен, нам нужна готовая программа, которая доступна для скачивания здесь.
GoodbyeDPI умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем. Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.
По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы.
goodbyedpi.exe -1 -a
- Если заблокированные сайты стали открываться, то DPI вашего провайдера можно обойти.
- Далее попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
- Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a
1.1.2 Программа для обхода блокировок по IP
В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.
Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.
Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.
Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации хакерских атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.
1.2 Метод, стоимостью 5$ в месяц. Поднимаем персональный приватный прокси Amnezia, который не допустит слежки за вами и точно не будет заблокирован.
В качестве самого простого, но в тоже время надежного решения я предлагаю поднять персональный приватный прокси Amnezia.
Для вас важна максимальная безопасность и анонимность в сети? Вы уже не доверяете многочисленным публичным прокси сервисам и боитесь утечки конфиденциальной информации? Вам нужен статический выделенный IP, которым никто кроме вас не пользуется? Надоели постоянные капчи и блокировки на публичных прокси сервисах?
Вам нужна полная свобода действий и гибкость настроек? Вам нужен прокси, где гарантировано не ведутся логи? Если ваш ответ ДА, значит это именно то, что вам нужно!
- Важно: в РФ рекомендую использовать протоколы Cloak или AmneziaWG, они гарантированно не будут заблокированы.
- ЗА ДЕЛО:
Для начала нам необходимо определиться с хостинг-провайдером, у которого мы приобретем сервер для того, что бы поднять на нем личный VPN.
Все дальнейшие действия я буду показывать на примере хостинг-провайдера Inferno Solutions (это не реклама сервиса, вы можете попробовать найти любой другой надежный сервис самостоятельно. Однако, я и мои ученики используем Inferno Solutions, жалоб нет)
- Итак, переходим на сайт Inferno Solutions (кликабельно) и выбираем пункт, который я выделил красным:
- Итого, у нас будет вот такая картина (другие параметры, кроме платежного цикла и страны - трогать не нужно):
- Жмем "Перейти к оплате" (обвел красным на скрине выше):
- Теперь заполняем все необходимые данные (ФИО, адрес и прочее лучше указать не свои, а рандомного человека, можете воспользоваться онлайн генератором личностей. Однако, если ничем черным вы заниматься не планируете, то можете вписать и реальные данные)
- После оплаты можно преступить к непосредственной настройке вашего VPN на устройствах, которые вы будете использовать. Трудного тут ничего нет, ниже вы найдете подробные инструкции и приложения для всех платформ:
2. Как правильно использовать TOR
Если вы хотите использовать Tor, то я настоятельно не рекомендую делать это просто установив браузер Tor на свой ПК. В данном случае, особенно при неправильной настойке, вы рискуете засветить свой реальный IP адрес, что может привести к вашей полной деанонимизации. Оно вам надо?
И называется это решение — Whonix.
Whonix — это дистрибутив Linux на основе Debian, который разработан для обеспечения повышенной безопасности и конфиденциальности. Высокая анонимность достигается средствами VirtualBox и Tor.
Whonix снижает угрозу от распространенных векторов атак, сохраняя при этом удобство использования. Он обеспечивает существенный уровень защиты от вредоносных программ и утечек IP-адресов.
Я подготовил для вас лекцию, в которой вы научитесь создавать виртуальные машины, трафик из которых будет идти полностью через TOR сеть, а также скрывать факт использования TOR сети от провайдеров.
📚 Мануал: Whonix + Windows/Linux (нажмите)
3. Как зашифровать свой компьютер
Операционная система Windows не может на 100% гарантировать, что при наличии пароля доступ к ноутбуку посторонние не получат. Пароль учетной записи можно узнать и поменять при помощи специальных инструментов не имея доступ в саму ОС. Поэтому возникает необходимость шифрования данных на жестком диске. Это позволяет не беспокоиться о несанкционированном доступе в том случае, если владелец перед тем как оставить компьютер без присмотра блокирует его.
Этот вид шифрования хорош в качестве первой линии защиты. Если кто-то украдет ваш ноутбук или извлечет диск из одного из серверов, им нужно будет взломать шифрование жесткого диска, чтобы получить доступ к устройству. При использовании сложного пароля на это уйдут десятки, если не сотни, лет.
С этим видом защиты, также можно использовать шифрование на уровне папок и шифрование отдельных файлов.
Шифрование диска
BitLocker Device Encryption — это инструмент Microsoft для шифрования диска полностью, он встроен в Windows 10 Pro и Enterprise. Но, у BitLocker есть несколько недостатков:
- Если BitLocker Device Encryption не был предварительно установлен на вашем компьютере, установка и настройка могут вызвать трудности. На сайте Microsoft есть список устройств с предустановленным Bitlocker;
- На разных устройствах функции Bitlocker могут отличаться, все зависит от вашей материнской платы;
- Как упоминалось ранее, BitLocker работает только с Windows 10 Professional и Enterprise.
Есть альтернатива – программа VeraCrypt, у которой нет таких недостатков:
- Установить VeraCrypt значительно проще, чем BitLocker;
- VeraCrypt не зависит от комплектующих вашего компьютера;
- VeraCrypt работает на любой версии Windows 10.
VeraCrypt - это бесплатная программа с открытым исходным кодом (FOSS). Не вдаваясь в спор как «открытый исходный код против закрытого исходного кода», с нашей точки зрения, программное обеспечение FOSS обычно считается более безопасным. Кроме того, оно бесплатно. После установки VeraCrypt нужно будет просто вводить пароль при каждом запуске компьютера.
📚 Мануал: Как зашифровать свой компьютер (нажмите)
4. Как безопасно общаться в интернете
4.1 Правильное использование Telegram
Telegram безумно удобная штука. Однако, в плане анонимности тут все не так гладко, как многие думают. Я подготовил для вас отдельную статью, в которой рассказал, как нужно действовать, чтобы общение в Telegram было максимально безопасным и приватным.
📃Статья: Как уберечься от деанона в Telegram (нажмите)
4.2 Session - рекомендуемый вариант
По-факту, лучшим вариантом был и остается Jabber с OTR, настроенный на собственном сервере. Однако, мобильные приложения xmpp убоги, глючны и, в добавок, еще и с закрытым кодом.
Это приложение, наравне с Wire, давно и прочно обосновалось в мобильных устройствах коррумпированных чиновников, налоговиков и силовиков, а уж эти вылупки то точно знают о том, что можно вскрыть, а что нет.
Ну а мы чем хуже? Скажем прослушке — Х*Й и переходим на Session, как это уже сделали сами менты и фсбшники.
Все пользователи мессенджера остаются полностью анонимными. Причем настолько, что узнать IP-адрес любого из них будет невозможно.
При регистрации нет необходимости указывать телефонный номер, как это обычно происходит с конкурирующими мессенджерами.
При использовании Session весь ваш траффик отправляются по назначению только через децентрализованную сеть, с использованием системы, которую разработчики называют «Onion запросами». Запросы Onion защищают конфиденциальность пользователей, гарантируя, что ни один сервер никогда не узнает источник и назначение сообщения.
Session доступен для ПК, под следующие операционные системы:
Также Вы можете установить Session на мобильные устройства, под операционными системами:
5. Как безопасно обмениваться файлами
Я бы хотел познакомить вас с прекрасным сервисом: Wormhole — это простой и удобный сервис для обмена файлами, использующий end-to-end (сквозное) шифрование.
Интересным решением является возможность выбрать срок действия ссылки (от 60 минут до 24 часов), а так же ее автоудаление после определенного кол-ва скачиваний (от 1 до 100)
Таким образом, вы можете сохранить вашу конфиденциальность и быть уверенным, что ваши материалы не разойдутся по всей сети и не останутся здесь навсегда.
6. Как выбрать безопасную почту
Здесь я рекомендовал бы присмотреться к MailFence — бельгийскому сервису безопасной электронной почты без трекинга и рекламы (почти). Он поддерживает шифрование GnuPrivacy Guard (GPG) и не выдаёт данные пользователей третьим лицам.
Базовая учетная запись бесплатная (ее вполне хватает), но можно докупить себе больше места и расширенную техподдержку.
Сервис жертвует 15% прибыли на поддержку Фонда электронных рубежей и Европейского фонда цифровых прав.
У некоторых из вас сервис может быть заблокирован правительством, что на сегодняшний день можно считать знаком качества :) Поэтому, если мы не можете попасть на сайт MailFence - воспользуйтесь инструментами из 1 пункта данной статьи.
7. Как выбрать браузер, который не будет за вами следить
7.1 Для компьютера
Уверен, что опытные пользователи компьютера согласятся со мной в том, Firefox является одним из лучших браузеров для компьютеров. Тем не менее, многие пользователи с недоверием относятся ко встроенным в продукт Mozilla службам телеметрии.
Подавляющее большинство людей предпочитают, чтобы браузер по умолчанию был настроен на максимальную конфиденциальность и безопасность.
LibreWolf как раз решает данную проблему. Браузер лишен отвлекающих функций Firefox и сконцентрирован на максимальной приватности «прямо из коробки».
Именно его я и советую использовать вам на своем компьютере. LibreWolf доступен для следующих ОС:
🌐 Скачать его можно на официальном сайте, просто нажав сюда
7.2 Для смартфона
В качестве неплохого решения для смартфона, я могу рекомендовать DuckDuckGo Privacy Browser – это браузер для Android и iOS, ориентированный на анонимный поиск в интернете и безопасное посещение интернет-сайтов, без риска утечки конфиденциальных данных. Его полностью хватит для нужд рядового пользователя.
🌐 Скачать его можно на официальном сайте, просто нажав сюда
8. Как безопасно хранить свои пароли
У каждого человека, который пользуется интернетом есть множество паролей. И вряд ли кто-то из вас будет рад, если эти самые пароли утекут в руки злоумышленникам.
Что бы такого не произошло, нужно соблюдать два простых правила при выборе паролей:
Однако, следовать этим правилам человеку с обычной памятью почти невозможно. Крайне сомневаюсь, что кто-то из вас способен запомнить сотню сложных паролей. Благо теперь это и не нужно — есть программы для хранения паролей.
Представляю вашему вниманию KeePassXC — менеджер паролей №1
- В мануале ниже я подробнейшим образом рассмотрел установку и использование данного менеджера паролей:
📚 Мануал: KeePass - как хранить пароли? (нажмите)
9. Как автоматически обнулить свой Android-смартфон. Красная кнопка
Очередная хитрость, благодаря которой ваш участковый останется в этом месяце без премии, а вы - на свободе.
Я научу вас настраивать в телефоне экстренное удаление всей информации. И в этом нам поможет одна хорошая программа.
Способ удаления всех данных на смартфоне:
1. Для начала нам потребуется включить функцию шифрования данных на смартфоне.
На различных версиях пункт шифрования находится в разных местах, обычно в "Настройки" -> "Безопасность" -> Шифрование данных, Защита данных, Блокировка экрана, Зашифровать устройство.
Шифрование необходимо для того, чтобы не было никакой возможности восстановления файлов уже после удаления файлов по описанному нами способу.
2. Далее скачиваем программу "AutoWipe" на свой Андроид-смартфон. 👉Скачать можно: По данной ссылке
Для установки включаем пункт "Установка приложений с неизвестных источников" в настройках.
После окончания установки открываем приложение, Активируем "админа" и подтверждаем в настройках.
Сами настройки AutoWipe.
1. На первом месте нас ждёт та самая полезная настройка - Удаление файлов при неудачном вводе пароля блокировки экрана.
На одной только функции эта полезная софтина не останавливается. Следом идет не менее полезный пункт:
2. Удаление файлов по SMS. Т.е. программа удалит все с телефона, если на смартфон придёт смс сообщение с определённым кодовым словом 😎
Данная функция будет полезна всем без исключения.
Далее идет простая, но не менее полезная опция для "особо-хитрых" товарищей в погонах:
3. Удаление данных при изменении Subscriber ID, например, удалена или заменена Sim-карта в телефоне.
4. Ну, и напоследок нам понадобится защитить само приложение "AutoWipe" и конечно же не забываем включить пункт удаления данных с SD карты.
Готово
После нарушения установленных ограничений - телефон выключится и начнёт процесс сброса данных (обнуления), а настроенное в самом начале шифрование - не даст эти данные восстановить.
10. Как защитить свой роутер от взлома
Очень важно использовать защищенные устройства маршрутизации или роутеры. С помощью этих устройств происходит обмен пакетами между устройствами сети и провайдера на основе правил и таблиц маршрутизации. Получив доступ к роутеру можно получить различную информацию, которая может быть использована в разных целях. Например, это может быть информация об устройствах, посещаемых сайтах, настройках и т.д.
Я использовал роутер фирмы TP-LINK. В зависимости от фирмы и модели админ панель может отличаться. Информации достаточно много в сети по каждой из моделей. Настройка не займет у вас много времени.
Как можно получить доступ к роутеру?
Хакеры используют автоматические сканеры по определенным сетям. Сканеры устройств маршрутизации проводят сканирование по портам, которые традиционно занимают роутеры. Происходит сканирование на нахождения стандартных портов с определенными данными для входа. Если ваш роутер имеет стандартные настройки, то очень большая вероятность, что хакер сможет получить доступ к вашим данным.
На примере одной из программ для сканирования было получено 73 успешных роутера за 40 минут работы. Если учитывать, что в среднем роутер используют 3-4 устройства, то это достаточно большое количество пользователей:
Как свести шансы взлома к нулю?
Для того, чтобы снизить шансы и минимизировать риск взлома необходимо проделать небольшой список действий.
Для начала, необходимо проверить адрес, на котором находиться админ панель. Для этого нужно ввести в браузере два адреса:
http://192.168.0.1/ http://192.168.1.1/
Как правило, для входа используется логин и пароль admin/admin или похожая стандартная комбинация. Таким образом, первое что нужно сделать - это изменить адрес размещения админ панели, логин и пароль. Это позволит защитить нас от средств массового сканирования, например, Router Scan.
Имя пользователя и пароль можно изменить в разделе «Системные инструменты»->«Пароль»:
Далее необходимо запретить доступ к средствам администрирования из вне. Для нашего роутера необходимо зайти в раздел «Безопасность»->«Локальное управление».
В нашем случае можно указать MAC адреса компьютеров, которые будут иметь доступ к админ панели. Этот способ можно применять для открытых сетей с большим количеством участников.
Создание фильтрации позволяет добавить в список устройств тех пользователей, которые не имеют опасности. Это можно обойти, но это дополнительный барьер, который может остановить школьников-хакеров.
Роутеры TP-Link позволяют создать список желательных и нежелательных устройств для сети. Этот способ имеет преимущества с большими сетями.
Дополнительно необходимо изменить порт, который может использоваться для удаленного управления. Это действие позволит защититься от автоматических сканеров, которые сканируют адреса на портах 80 и 8080. Это стандартные порты роутеров. Программы автоматического сканирования не будут проверять все значения от в пределе от 1 до 65534. Поэтому лучше изменить стандартные порты на другие значения. Да, хакеры могут отдельным софтом просканировать все порты на средства маршрутизации, но это займет ооочень много времени.
В идеале, функцию удаленного управления лучше вовсе отключить. Достаточно указать IP адрес 0.0.0.0. Тогда по умолчанию эта функция будет отключена.
Протокол DHCP применяется для автоматического назначения IP-адреса, шлюза по умолчанию, DNS-сервера и т.д. В качестве транспорта данный протокол использует UDP, а это значит, что мы можем без особых проблем подменять все интересующие нас поля в сетевом пакете, начиная с канального уровня: MAC-адрес, IP-адрес, порты — то есть все, что хочется. Поэтому, чтобы избавить себя от разного рода атак лучше отключить DHCP на роутере.
Привязать можно в меню IP & MAC Binding (Привязка IP и МАС). Связывание по протоколу ARP является удобной функцией для контроля доступа компьютеров, находящихся в локальной сети. Список устройств можно посмотреть в ARP таблице.
Как правило, почти все WiFi сети имеют свое название. Это название и является SSID (Service Set Identifier). Это имя можно увидеть, сканируя сети вокруг. По умолчанию роутеры показывают имя всем желающим. Скрытый SSID позволит снизить количество разных атак, которые будут осуществляться на вашу сеть.
В роутерах TP-Link это можно сделать в основном меню (Настройки беспроводного режима).
Wi-Fi Protected Setup(WPS) - это технология аппаратного подключения к сети, которая работает по упрощенному принципу подключения к сети WiFi. Она имеет достаточно много уязвимостей, поэтому лучше отказаться от ее использования.
Данная программа позволяет контролировать все устройства сети. Если появляется новое устройство, то софт может отправлять сообщение на почту, записывать лог в журнал или отображать эту информацию в интерфейсе программы. Дополнительно программа умеет отправлять сообщение подключенному устройство с меткой, что за ним ведется детальное наблюдение.
Таким образом, мы смогли максимально обезопасить свой роутер. Конечно, не стоит забывать, о двух вещах. Во-первых, практически все модемы имеют кнопку сбрасывания настроек. Поэтому, лучше размещать роутер в месте, где нет физического доступа других пользователей. Во-вторых, если вы скачаете файл с эксплойтом/вирусом и запустите его у себя на компьютере, тогда толку от защиты нет. Так как хакер получит доступ ко всем вашим данным. Поэтому, стоит внимательно проверять данные, которые вы скачиваете и открываете.