Анонимность уровня S-класса. Часть первая.
Сегодня мы будем говорить в этой статье об анонимности уровня фанатика.) не люблю вокруг до около ходить, так, начнем сразу.
Тебе стало интересно причем тут статуя Давида "Микеланджело". А я тебе отвечу. С сегодняшнего дня у тебя нет имени, ты никто! Прежде чем выбрать этот путь, тебе стоит обдумать последствия. Ведь никто из нас не может гарантировать Хэппи Энд. Наша жизнь прекрасна, но уже будет поздно для тебя. Стив Джобс великий человек, хотя сами знаем, что он заработал миллиарды на детском труде. А может, потому что, все наши герои оказываются фальшивками. Весь мир большой обман. Мы пересылаем друг другу одну и ту же чушь, выдавая ее за свое мнение и верим в искренность социальных сетей. И мы ведь сами это выбрали. Начинаешь задавать себе вопросы, зачем автор пишет вместо как стать анонимом использует афоризмы, что за бред.) Я тебе расскажу мой дорогой читатель. Хотя я не уверен что эту статью увидит мир. Если ты это читаешь, это означает что вся работа не была потрачена зря.
Анонимность — это всего лишь маленький корабль в огромном океане.
Прости меня Ницше, я не мог остановить себя, так как от твоей гениальности схожу с ума. Мы сейчас рассмотрим как исчезнуть с поля зрения, а не как совершить преступление. Как говорил один мой друг: "Мир опасное место не из-за тех, кто делает зло, а из-за тех, кто смотрит и ничего не делает". Имей хоть чуть-чуть совести ч**т с**а! Первая часть будет состоять из ряда правил и требование. Основном мы будем сегодня говорить про железу и ещё как подобрать подходящую систему.
1. Железо...
Тут начинается самое интересное, и ты поймешь почему имея деньги, можешь обеспечить свою анонимность. Если хочешь купить ноутбук, настоятельно рекомендую купить с процессором AMD. Это не потому что я сам сижу на AMD, а потому что Intel Management Engine это очень заразная вещь по мнению многих, он может получить доступ прямо ко всем областям оперативной памяти. Сам бинарный код тоже закрыт. Он изолирован и можно сказать автономный физический встроен на каждый процессор Intel. Многие считает его бэкдором. Его возможности как подключение к сетевому интерфейсу для обработки и отправки оставляет желать лучшего. В целом он по сути один из современных Malware, только это на уровне микропроцессора и это чуток отпугивает. Сами можете погуглить и прочитать о нем в форуме, в ютубе даже достаточно инфы. Так как чипсет всегда подключен к источнику тока, эта подсистема продолжает работать даже когда компьютер отключен. Есть некоторые способы для ограниченного устройство отключение этой опции, но хочу сказать при ошибки вы можете превратить свой девайс в кирпич. Аналогичная история с AMD, там тоже братец Intel Management Engine.
AMD Platform Security Processor — специальная подсистема процессоров компании AMD, выпущенных примерно начиная с 2013 года и аналогичных по функциональности Intel Management Engine. Процессорами на базе ARM ещё хуже... Я на этом не хочу зацикливаться, так как лучше оставлю пару материалов как доп материал. За меня уже другие успели об этом достаточно наговорить чтобы вам было понятно. Почему тогда я вам посоветовал AMD ? Потому что он лучше взаимодействует с системамы Gnu Linux и мало встречаются какие-то конфликты по сравнение Intel + Nvidia.
В голове мысли дает понять что и тут наша с вами анонимность заканчивается ?) Не хочу вас разочаровать, но уже можно тут заканчивать наши веселое путешествие. Нельзя ПРОСТО ВЗЯТЬ И СТАТЬ НЕВИДИМЫМ. Можно всего лишь от части получить свое и об этом дальше идет речь. Наша жизнь уже с рождением идентифицирован и мы не можем это менять. Теперь самое сладкое. А вы знали что в конференции DEFCON был показан как зловредный эксплойт мог перепрошить UEFI систему Mac Os X и стать аппаратным сниффером, это шокировал всех, от части и меня. Что я хочу этим сказать вам, Bios и его современный аналог UEFI имеет закрытый код. Не исключение что аппарат имеет уязвимости нулевого дня. Иногда сами разработчики оставляют эти уязвимости. Даже были в 2015 году найдены уязвимости в UEFI, Malware может скрыться в системе таким образом что брандмауэр и антивирус не могут анализировать утечки. Может под закрытым кодом прячется Rootkit, кто знает) А есть альтернатива и решение спросите вы ? Есть и это аналог с открытым исходным кодом:
Coreboot — Проект открытым исходным кодом, он быстрее любого Bios и UEFI. В ютубе можете посмотреть как он быстро включается и в общем интересная прошивка) Конечно он одобренный Free Software Foundation, всего примерно 3-7 секунд требуется для запуска вашего компьютера. КАРЛ 3 СЕКУНДЫ. Но как говориться, у монеты 2 стороны. Его минус заключается в том, что сложно прошить и для рядового пользователя это невозможно. Как говорил я: "Анонимность требует от нас средств". Дальше мы рассмотрим готовые ноутбуки с уже установленный прошивкой. Ещё хочу сказать, что Coreboot автоматически не может отключать Intel Management Engine. Вам все же придется самому разобраться в этом или купить готовое решение, и об этом речь будет дальше. В заключении можно сказать отличный аналог Bios и UEFI, ну конечно жаль, что не все могут купить и список поддерживаемых устройств не так уж велик. Надеюсь, все это скоро станет доступно для всех. Сами можете ознакомиться на официальном сайте.
Libreboot — Это тоже проект свободного ПО, направленный на замену проприетарной прошивки BIOS в большинстве компьютеров со свободной, облегченной системой. В целом его готового варианта не купить. Он ещё более жестче для фанатиков чем Coreboot. Очень мало устройств, которые поддерживают. Но он гарантирует свободу и в своем архитектуре не использует ни одного проприетарщины. Минус, как я упомянул ранее - это небольшое количество устройств, на которых он может быть установлен. Плюсы -- это автоматическое отключение Intel Management Engine после прошивки платы. Вам не придется его отключать и проходить через 9 кругов ада. Мне он побольше нравится, он гораздо поинтереснее чем тот же Coreboot. Нет готовых решений, только True Hacking 😎🗿. Я честно очень хочу купить какой-нибудь Thinkpad x230 или T460p, чтобы прошить и попробовать вкус свободы от деда Ричарда Столлмана.) ну я не живу в США чтобы мог найти эти модели ноутбуков в Ebay и купить. Если получится что-то сделать, будет об этом в блоге пост отдельный. Короче, простыми словами, не дано всем прошить и работать на таком ноутбуке с прошивкой Libreboot. Нужно всё самому делать от А до Я. Это требует знаний и финансового вклада.
Идем дальше, "неужели нет выходи из этой ситуации ?" - спросите вы. Есть, но это не дешевое удовольствие. Есть коммерческие компании, которые дают нам такую возможность. Я буду говорить только про две, но они самые надежные и имеют хорошую репутацию. Это Purism и System76.
Purism — коммерческая компания компьютерных технологий, которая находится в Южном районе Сан-Франциско, и зарегистрированная как социальная компания в штате Вашингтон. Purism производит линейку устройств Librem, ориентируясь на движение свободного программного обеспечения, компьютерную безопасность и приватность в Интернете. Их ноутбуки в рынке безопасности уже давно лидируют. Сам ноутбук идет уже с установленными Coreboot и отключенными Intel management Engine. Вы можете сами конфигурировать устройство и выбрать подходящие характеристики. Думаю, всё же будет лучше, если вы сами ознакомитесь с компанией. Достаточно информации в ютубе и в форумах.
Простите, но пока что я не могу себе позволить ноутбук почти за 2к $. Если в целом субъективно высказываться, не плохо и стоит обратить внимание. Такой ноутбук то что нужна для фанатика. Не хочу про технические характеристики рассказывать, начальная цена такого ноутбука составляет 1.400 $ (характеристики минималочка). Если когда нибудь удастся побыть в Сан Франциско не отказал бы потестить такой аппарат. Идем дальше...
System76 — Тоже один из популярных производитель компьютеров, базирующийся в Денвере, штат Колорадо, специализирующийся на продаже ноутбуков с установленными Coreboot, настольных компьютеров и серверов. Он тоже популярен среди пользователями системы Gnu/Linux. Его тоже часто обсуждают в Реддите и других форумах. Начинка хорошая и даже я бы сказал лучше чем Purism, производитель дает больше выбора и возможности для кастомизации устройств. Само собой он тоже с коробки идет с установленными Coreboot и отключенными Intel management Engine.
В общем я считаю его тоже очень интересным проектом. Цены низкие и качество очень достойное. О нем снимали обзоры западные блогеры, можете в ютубе посмотреть. Эти два компании смело могут назвать себя лучшими в рынке безопасности. Нам всем нужно понять что их капитал по сравнение с другими компаниями просто мизерный и не вижу смысла эти ноутбуки сравнить допустим макбуком. Надеюсь я мог донести свои мысли до вас. Идем дальше...
В заключение этого раздела хочу сказать вам одно: Наша жизнь очень коротка, чтобы провести за черно-белим терминалом. Вы можете иметь топовый железо которое может обеспечить вашу анонимность. Но вы любой момент можете сами себя деанонить своими необдуманными действиями. Следующие часты статьи и разделы будут именно об этом. Запомните, это очень важно.
2. Операционная Система...
Сразу рекомендую прежде чем начать читать эту часть статьи, перейдите на мою первую статью про "Операционная система для хакеров". Это для того, чтобы чуток иметь представление про операционные системы. Ещё хочу сказать что дальше почти не будет речь про железо, так как мы уже достаточно ознакомились. Дальше сами можете интересоваться. Перейдём к делу, хочу рассказать что никакой Хакинтош или Виндовс нам не может обеспечить анонимность. Даже некоторые дистрибутивы линукс имеют проблемы с этим. Я не буду в этой статье рассматривать системы семейство "Unix BSD" так как про них я только в книге "Unix и Linux: руководство системного администратора" прочитал. Не было повода ещё для ознакомление. Надеюсь вам это понятно, но будет поверхностное упоминание про них. Дистрибутивы существует очень много, мы будем всего топ 5 вариантов рассматривать. Жаль что некоторые дистрибутивы начали использовать телеметрия на своих продукции, например тот же Ubuntu. Я бы рекомендовал все же самому пробовать, изучать, экспериментировать. Так как никто не может гарантировать вам что его мнение и выборы абсолютно правильные. Только знание и самосовершенствование спасет наш мир.
Devuan Linux — начнем с того что он появился на свет 2014 год, ещё считается молодым бойцом. Если вы заметили в списке все дистрибутивы почти не используют систему инициализации Systemd. Он тоже, в том числе, дистрибутив на базе Debian. Цель заключалась в предоставлении дистрибутива без демона systemd. Сам по себе дистрибутив хороший, но увы из-за проблемы нехватки свежего софтины чуток напрягает. Если ваша цель просто анонимно серфить по интернету и сохранить конфиденциальность, то он хороший выбор. Но вот мне он не подойдет из-за нехватки софта. Самое главное что он не использует проприетарное программное обеспечение и базируется на Open Source. Этого достаточно если вы не монтируйте видеоролики и не являетесь заядлым игроманом как я. Некст...
Gentoo Linux — вот и наш любимый Gentoo <3, некоторые люди даже успели скончаться после компиляции ядра от радости) сразу скажу, дистрибутив не для слабонервных. Если у вас есть склонность к суициду, лучше не пробовать установить его. Уровень сложности S. Я сам лично не пробовал его установить, так как ещё нужен родным живым. Знаю пару ребят который уже давно используют его на десктопе и довольны результатом. Дистрибутив очень мощный и считается самым сложным. Использует систему инициализации OpenRC. Думаю вам вряд ли захочется его установить, когда есть альтернативы. Но каждый уважающий себя гуру линуксоид должен по моему мнение попробовать его установить. Как нибудь я сам хочу почувствовать всю его мощь. Пока что оставлю ссылку на видео где о нем рассказывает профи своего дела. Некст...
Artix Linux — по логотипу заметно что он из семейства Arch based, отличие в том что он не использует тот же systemd. Похожа история как с Debian и Devuan. В Артикс линуксе используются инициализации, такие как OpenRC, runit, s6 или Dinit, в отличие от init systemd Arch Linux. Тут стоит обратить внимание что артикс это проект, который нуждается в поддержке и спонсирование. По этому проблема с малым количество софта никуда не денется в ближайшие пару лет. Его преимущество это использование инструментов для проникновения и тестирования Black Arch. В целях обеспечения безопасности и конфиденциальности можно рассматривать его. А для десктопа мало кому думаю по душе. Да система за счет выбора системы инициализации выглядит очень заманчиво. Но когда начинаешь пользоваться ею и сталкиваешься с некоторыми проблемами которые разрабы обошли стороной без внимания, научишься говорить по китайский) Конечно если ты допустим не используешь программы например как Blender или Davinci Resolve и твой главный фокус заключается в анонимности, в использовании пару приложений, то он интересный выбор. Плюсы — это его скорость и инструменты для пентеста, а минусы уже вы сами поняли. Идем дальше...
Arch Linux — после прочтения первой статьи, о чем я просил вас в начале. Вам известно, что я пользуюсь арчем. Ну сразу же возникает вопрос, он же использует под капотом init systemd! И почему же я сам не перешел на дистрибутивы без systemd. Мне на данный момент просто важны софты для обучения, например: Gimp, Davinci Resolve, Blender и некоторые Black Arch Tools. Тот же Davinci Resolve — один из бесплатных программ для монтажа на линуксе. Прям бесит меня своими недостатками, по этому иногда пропадает желание, что-то освоить или экспериментировать. Если я ещё перейду на системы, где дофига проблем с софтами, то как мне выжить ?) В общем его минус это только инициализация, вот бы разрабы дали возможность на чистом арче выбор инициализации, мне бы не пришлось переживать за безопасность. Все же я рекомендую арча всем. Потому что он может много чему научить пользователя. Его установка тоже не легкая, но все же не такой уж сложный как Gentoo. Сообщество отличное и отзывчивое. Проблема с программной стороной мало встречается. Его считают независимым дистрибутивом GNU/Linux для опытных пользователей, но даже рядовой пользователь Windows может его освоить за пару месяцев. В заключение хочу сказать, что это система является балансом между анонимностью и развитием. Идем дальше...
Void Linux — ещё один независимый дистрибутив Linux. Которым пользуется менеджер пакетов XBPS, он был разработан и реализован с нуля и использует систему инициализации runit. Начнем с того что у него есть отличающаяся черта от других дистрибутивов. Знаете Void меня очень заинтересовал, потому что он предоставит фичу musl. Что это такое ? Musl — реализация стандартной библиотеки для языка Си, предназначенная для операционных систем на основе ядра Linux, распространяемая под лицензией MIT. Библиотека разработана в начале 2010-х Ричем Фелкером в качестве чистой и эффективной реализации, соответствующей стандартам. Среди энтузиастов считается что дистрибутивы с musl работают быстрее. У войда есть и стандарт вариант библиотекой glibc языка Си. Понятно что это меня заинтриговал и я пошел копать инфы, но не нашел достаточно. Система меня очень заинтересовала, в ближайшее время я хочу его тестировать. Но вот жаль что искать инфу придется в англоязычном интернете. Войд безусловно достоин внимания. Я пока что точно не могу что-то сказать, но по видеороликам в ютубе понял что я обязан этот дистрибутив попробовать. Если рассуждать по критериям анонимности, он тоже является Open Source и никак не уступает место другим в этом топе. Никак не стоит их сравнивать друг с другом, так как в этом топе все 5 дистрибутивов по своему уникальны. Станет ясно что Devuan я не считаю лучше остальных или худшей. Смысл не заключается в том чтобы определить наилучшего или оценивать по баллам дистрибутива. Они разбросаны рандомно местами. Думаю до вас смог донести смысл...
3. Спойлеры...
Нужно отметить что я не разобрал специальные дистрибутивы нацеленные на безопасность и анонимность по типу: Tails Linux, Kodachi, Whonix и т д
Начнем с Tails который все считали самой анонимной операционной системой, который может обеспечить ваши конфиденциальность. В деле оказалось это тоже просто пустые слова. 2017 году FBI поймал взрослого парнишку которого обвинили в домогательство и педофилии. Встречаем Бастер Эрнандес — плохой парень! ну я не буду про его грехи тут рассуждать, так как это нас не интересует. Скажу только одно, хорошо что его посадили на бутылку. Сами можете его фамилию в гугле вбить и узнать все подробности. Так нас интересует техническая сторона этой истории. Он для своей безопасности использовал Tails Linux. Этот дистрибутив считается GNU/Linux на основе Debian, созданный для обеспечения приватности и анонимности. Является продолжением развития ОС Incognito. Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. Но как же его поймали спросите вы ? Ответ простой, спец службы обнаружили уязвимость нулевого дня и сразу пошли пилить под него эксплойт. После обнаружение уязвимости они не сообщили его разработчикам и это причина по который не стоит его использовать. Что с ним никто, не знает. Лучше собрать себе систему с нужными пакетами, чем использовать готовый варианты бэкдором. Он потерял свою славу, дальше про этот дистрибутив я не буду говорить. Не вижу смысла. Желаю Бастеру Эрнандесу удачи за решеткой. Дальше вы сами можете ознакомиться, если конечно вас интересует. Просто знайте что системы дырявая.
Теперь коротка про Kodachi Linux — это просто позор, дистрибутив основанный на Xubuntu и ориентированный на компьютерную безопасность, противодействие форензике, а также на обеспечение анонимной работы в интернете. Является Live-дистрибутивом, но при необходимости может быть установлен на любой совместимый накопитель. Но это полный шваль. Система имеет RootKit под капотом, предоставленные инструменты тоже так себе га**о. Внутри системы установлен и рекламируется VPN сервера. Лучше обойти стороной этот дистрибутив и больше никогда не говорить о нем. Он собирает данные о железе перед загрузкой, по этому даже попробовать его установить на свое железо не советую. Там слишком много софта с закрытым исходным кодом. Я бы даже врагу не советовал его установить. Вся начинка, начиная от интерфейса до софта, полный абсурд. Не хочу дальше говорить о нем...
Теперь один из интересных Whonix — дистрибутив Linux на основе Debian, ранее известный как TorBOX. Предназначен для обеспечения анонимности средствами VirtualBox и Tor. Его особенностью является то, что ни вредоносные программы, ни компрометация учётной записи суперпользователя не могут привести к утечкам IP-адреса и DNS. Его преимущество это перенаправление трафика через сет Tor на виртуальной машине. Что это значить ? Вы можете использовать цепочку VPN + Dns Crypt + Tor + Socks5 или ещё один VPN. И тут я должен закачивать, так как это уже следующая часть статьи. Теперь пришло время сделать выводы. Whoinx отличный проект, по крайнем мере не было зашкварных случаев. С ним мы в будущем познакомимся. Он ещё один отличный способ для анонимизации трафика.
Итоги:
Я свихнулся на этой игре, как Фридрих Ницше, который посвятил свою жизнь нигилизму и сошел с ума в процессе, то же самое случилось со мной, но плевать, когда я получу свое, тогда это окупится, тогда я буду счастлив, что сошел с ума ради этого момента.
Бегом прочитать вторую статью. Это пригодится для следующей части. Если привести итоги, можно сказать full анонимности не существует. Мы сегодня рассмотрели разные варианты и способы. Но каждый день открывается новый ящик пандоры и методы. Вы имеете топовое железо и безопасную систему на декстопе. Но не надо забывать что есть и другие аспекты. Дальше мы более глубоко рассмотрим про трафик и другие вещи. Я мог все на 1 статью впихнуть, но это очень много. Лучше на части делить. Ближайшие время я планирую попробовать Void Musl + оконную менеджер Hyprland. Выглядит очень интересно. Не забудь подписаться на блог в телеграмме. Там много интересного и полезного. Способы анонимизации и методы обширные, по этому про это ждите в ближайшее время статью. Мы ещё не должны забывать про железо, ведь я не зря потратил на это время. Советую всем самому изучать эту тему, так как это важно. Никто кроме вас не может быть уверен в своей анонимности и обеспечить ее. Приводя итоги, хочу всем советовать ещё раз вбить в гугле упомянутые вещи. Примерно про эту тематику будет минимум 2 статьи. Там будут рассмотрены темы про телефоны и прочие фишки. С вами был Томми, подпишись на блог, скоро встретимся!
