Полное руководство по : безопасности/анонимности/конфиденциальности в сети. (Содержание 2.ч)

​

Меры предосторожности при чтении этого руководства и доступе к различным ссылкам:

• Рядом с документами/файлами есть ссылка [Archive.org] для доступа к содержимому через Archive.org для повышения конфиденциальности и на случай пропажи содержимого. Некоторые ссылки еще не заархивированы или устарели на archive.org, и в этом случае мы рекомендуем вам запросить новое сохранение, если это возможно.
• Рядом с видеороликами YouTube есть ссылка [Invidious] для доступа к контенту через экземпляр Invidious (в данном случае yewtu.be, размещенный в Нидерландах) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Рядом со ссылками в Твиттере находится ссылка [Nitter] для доступа к контенту через экземпляр Nitter (в данном случае nitter.net) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Ссылки на Википедию имеют рядом с собой ссылку [Wikiless] для доступа к контенту через экземпляр Wikiless (в данном случае Wikiless.org) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Рядом со средними ссылками находится ссылка [Scribe.rip] для доступа к контенту через экземпляр Scribe.rip для повышения конфиденциальности. Опять же, рекомендуется использовать эти ссылки, когда это возможно.
• Если вы читаете это в формате PDF или ODT, вы заметите множество ``` вместо двойных кавычек («»). Эти ``` предназначены для облегчения преобразования в формат Markdown/HTML для онлайн-просмотра блоков кода на веб-сайте.

Наконец, обратите внимание, что в этом руководстве упоминаются и даже рекомендуются различные коммерческие услуги (такие как VPN, CDN, провайдеры электронной почты, хостинг-провайдеры…) , но они никоим образом не поддерживаются и не спонсируются ни одним из них. Ни с одним из этих провайдеров нет реферальных ссылок и коммерческих связей.

Содержание 2.ч​

• Общие приготовления
  • Выбор маршрута:
    • Ограничения по времени:/Бюджетные/материальные ограничения:
    • Навыки и умения:
• Шаги для всех маршрутов:
  
  • Привыкание к использованию более качественных паролей:/Получение анонимного номера телефона:
  • Получить USB-ключ:
  • Найдите несколько безопасных мест с приличным общедоступным Wi-Fi:
  Маршрут браузера Tor:
  
  • Windows, Linux и macOS:
  • Андроид:
  • iOS:
  • Важное предупреждение:
  • Маршрут хвоста:
    • Настройки браузера Tor на Tails:
    • Постоянное правдоподобное отрицание с помощью Whonix внутри Tails:
  • Шаги для всех остальных маршрутов:
    
    • Получите выделенный ноутбук для вашей конфиденциальной деятельности:
    • Некоторые рекомендации по ноутбукам:
    • Настройки BIOS/UEFI/Firmware вашего ноутбука:
    • Физически защитите свой ноутбук от несанкционированного доступа:
  Маршрут Whonix:
  
  • Выбор хост-ОС (ОС, установленная на вашем ноутбуке
  • Хост-ОС Linux:
  • Хост-ОС macOS:
  • Хост-ОС Windows:
  • Virtualbox на вашей хост-ОС:
  • Выберите способ подключения:
  • Ч.2
  • Получение анонимного VPN/прокси:
  • Тор через VPN:
  • Виртуальные машины Whonix:
  • Выберите виртуальную машину гостевой рабоче й станции:
  • Виртуальная машина Linux (Whonix или Linux):
  • Виртуальная машина Windows 10/11:
  • Виртуальная машина Android:
  • Виртуальная машина macOS:
  • KeepassXC:
  • Установка VPN клиента (оплата наличными/monero)
  • (Необяз.) Разрешить доступ к интернету только виртуальным машинам, отключить ОС хоста, чтобы предотвратить утечку
  Маршрут Qubes:
  
  • Выберите способ подключения:/Получение анонимного VPN/прокси:/Примечание о правдоподобном отрицании:/Монтаж:
  • Поведение при закрытии крышки/(AEM):
  • Подключиться к общедоступной сети Wi-Fi:
  • Обновление ОС Qubes:/Обновление Whonix с версии 15 до версии 16:
  • Усиление ОС Qubes:
  • Настройте VPN ProxyVM:
  • Настройте безопасный браузер в ОС Qubes (необязательно, но рекомендуется):
  • Настройте виртуальную машину Android:
  • KeePassXC:
  • Краткое примечание: корреляция против атрибуции:
  • Создание анонимных онлайн-идентификаций
  • Понимание методов, используемых для предотвращения анонимности и проверки личности:/Капчи:
    • Проверка телефона/Подтверждение адреса электронной почты:
    • Проверка сведений о пользователе/Подтверждение личности:
    • IP-фильтры:
    • Отпечатки пальцев браузера и устройства:
    • Человеческое взаимодействие/Пользовательская модерация:/Финансовые операции:
    • Войти на какой-либо платформе:/Живое распознавание лиц и биометрия (опять же)/Ручные обзоры
  • Выход в Интернет:
  • Создание новых идентичностей:
  • Проверяем, ужасен ли ваш выходной узел Tor:
  • Система настоящих имен
  • Обзор:
  • Как делиться файлами в частном порядке и/или общаться в анонимном чате:
  • Как поделиться файлами публично, но анонимно:
  • Безопасное редактирование документов/изображений/видео/аудио:
  • Передача конфиденциальной информации различным известным организациям:
  • Задачи обслуживания:
  • Надежное резервное копирование вашей работы:
    • Автономные резервные копии:
    • Резервные копии выбранных файлов:
    • Полное резервное копирование диска/системы:
    • Резервные копии онлайн:/Файлы:/Информация:
  • Синхронизация файлов между устройствами
  • Онлайн
  • Заметая свои следы/Понимание HDD против SSD:
  • Выравнивание износа.
  • Операции обрезки:
  • Вывоз мусора:
  • Как безопасно стереть весь ноутбук/диски, если вы хотите стереть все:
    • Linux (все версии, включая ОС Qubes):
    • Windows:
    • MakОС:
  • Как безопасно удалить определенные файлы/папки/данные на жестком диске/твердотельном накопителе и флэш-накопителе:
    • Windows:
    • Linux (не Qubes OS):
    • Linux (ОС Qubes):
  • Некоторые дополнительные меры против судебной экспертизы:
    • Удаление метаданных из файлов/документов/изображений:
    • Tails:/Whonix:
    • MakOС:
    • Linux (ОС Qubes)/Linux (не Qubes):
    • Windows:
  • Удаление некоторых следов вашей личности в поисковых системах и различных платформах:
    • Google/Bing/DuckduckGo:
    • Яндекс:
    • Qwant/Поиск Yahoo/Baidu:Wiki/Архив.сегодня/Интернет-архив/Другие:
  • Некоторые низкотехнологичные приемы старой школы:
    • Скрытые коммуникации на виду:
    • Как определить, искал ли кто-то ваши вещи:
  • Некоторые последние мысли OPSEC:
  • Цифровой онлайн OPSEC
  • Физический и IRL OPSEC
  • Если вы думаете, что обожглись:
    
    • Если у вас есть время/Если у вас нет времени:
  • Небольшое заключительное примечание редактора:
  • Приложение A: Установка Windows
    • Монтаж:
    • Настройки конфиденциальности:
  • Приложение B. Дополнительные параметры конфиденциальности Windows
  • Приложение C. Создание установочного носителя Windows
  • Приложение D: Использование System Rescue для безопасной очистки SSD-накопителя.
  • Приложение E: Clonezilla
  • Приложение F: Дисковая часть
  • Приложение G: Безопасный браузер в хост-ОС
    • Если вы можете использовать Tor:
    • Если вы не можете использовать Tor:
  • Приложение H: Средства очистки Windows
  • Приложение I. Использование ShredOS для безопасной очистки жесткого диска:
    • Окна:
    • Линукс:
    • Приложение J: Инструменты производителя для очистки жестких дисков и твердотельных накопителей:
      • Инструменты, которые предоставляют загрузочный диск для очистки от загрузки:
      • Инструменты, обеспечивающие поддержку только от работающей ОС (для внешних накопителей).
    • Приложение K: Рекомендации по использованию внешних SSD-накопителей
      • Окна:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
      • Линукс:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
      • макОС:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
    • Приложение L: Создание гостевой виртуальной машины mat2-web для удаления метаданных из файлов
    • Приложение M: параметры BIOS/UEFI для очистки дисков различных марок
    • Приложение N: Предупреждение о смартфонах и смарт-устройствах
    • Приложение O: Получение анонимного VPN/прокси
      • Наличные/Monero-Paid VPN:
      • Самостоятельный VPN/прокси на Monero/VPS с оплатой наличными (для пользователей, более знакомых с Linux):
        • VPN VPS:
        • Сокс прокси VPS:
    • Приложение P: Максимально безопасный доступ к Интернету, когда Tor и VPN недоступны
    • Приложение Q: Использование антенны дальнего действия для подключения к общедоступным сетям Wi-Fi с безопасного расстояния:
    • Приложение R: Установка VPN на вашу виртуальную машину или хост-ОС
    • Приложение S: Проверьте свою сеть на наличие слежки/цензуры с помощью OONI
    • Приложение T: Проверка файлов на наличие вредоносных программ
      • Целостность (при наличии):
      • Подлинность (если есть):
      • Безопасность (проверка на фактическое вредоносное ПО):
        • Антивирусное программное обеспечение:
        • Ручные обзоры:
    • Приложение U: Как обойти (некоторые) локальные ограничения на контролируемых компьютерах
      • Портативные приложения:
      • Загрузочные живые системы:
      • Меры предосторожности:
    • Приложение V. Какой браузер использовать на гостевой/одноразовой виртуальной машине
      • Brave
      • Негугл-Chromium:
      • Край:
      • Сафари:
      • Fire Fox:
      • Тор Браузер:
    • Приложение V1: Повышение безопасности ваших браузеров:
      • Храбрый:
      • Негугл-Chromium:
      • Край:
      • Сафари:
      • Fire Fox:
        • Нормальные настройки:
        • Расширенные настройки:
        • Дополнения для установки/рассмотрения:
        • Бонусные ресурсы:
    • Приложение W: Виртуализация
    • Приложение X: Использование мостов Tor во враждебных средах
    • Приложение Y: Установка и использование настольного браузера Tor
      • Монтаж:
      • Использование и меры предосторожности:
    • Приложение Z: Анонимные онлайн-платежи с использованием криптовалют
      • Разумно анонимный вариант:
      • Экстра-параноидальный анонимный вариант:
      • Предупреждение об особом перемешивании, смешивании, объединении кошельков и услуг конфиденциальности.
      • При конвертации BTC в Monero:
    • Приложение A1: Рекомендуемые поставщики хостинга VPS
    • Приложение A2: Рекомендации по паролям и парольным фразам
    • Приложение A3: Поисковые системы
    • Приложение A4: Противодействие судебной лингвистике
      • Введение:
      • Что ищет противник, изучая ваше письмо?
      • Примеры:
      • Как противодействовать усилиям вашего противника:
      • Что различные языковые варианты могут сказать о вас:
        • Смайлики:
        • Структурные особенности:
        • Орфографический сленг и символы:
      • Методы предотвращения записи:
        • Проверка орфографии и грамматики:
        • Техника перевода:
        • Найдите и замените:
        • Заключительный совет:
      • Бонусные ссылки:
    • Приложение A5: Дополнительные меры предосторожности при использовании браузера с включенным JavaScript
    • Приложение A6: Зеркала
    • Приложение A7: Сравнение версий
    • Приложение A8: Услуги по обмену криптовалюты без регистрации и KYC
      • Общий обмен криптовалюты:
      • Только BTC в Monero:
    • Приложение A9: Установка кошелька Zcash:
      • Дебиан 11 ВМ:
      • Ubuntu 20.04/21.04/21.10 ВМ:
      • ВМ Windows 10/11:
      • Рабочая станция Whonix 16 ВМ:
    • Приложение B1: Контрольный список вещей, которые необходимо проверить, прежде чем делиться информацией:
    • Приложение B2: Отказ от ответственности Monero
    • Приложение B3: Ресурсы по моделированию угроз
    • Приложение B4: Важные примечания о злой деве и несанкционированном вмешательстве
    • Приложение B5: Типы атак на ЦП:
    • Приложение B6: Предупреждение об использовании Orbot на Android
    • Приложение B7: Предупреждение о сессионном мессенджере
    • Использованная литература:

 

[[helper]]

Бонусные ссылки:​

• https://seirdy.one/posts/2022/07/09/stylometric-fingerprinting-redux/ [Archive.org] : Стилометрический отпечаток пальца
• https://www.whonix.org/wiki/Surfing_Posting_Blogging#Stylometry [Archive.org] : документация Whonix о стилометрии.
• https://wikipedia.org/wiki/Forensic_linguistics [Wikiless] [Archive.org] : дает краткое изложение основ судебной лингвистики, не слишком информативно.
• https://wikipedia.org/wiki/Writeprint [Wikiless] [Archive.org] : дает краткое и информативное изложение судебной лингвистики, применяемой к интернет-расследованиям.
• https://wikipedia.org/wiki/Стилометрия [Wikiless] [Archive.org] : Дает краткий обзор стилометрии.
• https://wikipedia.org/wiki/Content_similarity_detection [Wikiless] [Archive.org] : Мы рекомендуем прочитать это, довольно информативно.
• https://wikipedia.org/wiki/Author_profiling [Wikiless] [Archive.org] : прочтите и это, если вам интересна эта тема.
• https://wikipedia.org/wiki/Native-language_identification [Wikiless] [Archive.org] : Это менее важно, если вы используете переводчик, но если вы не используете переводчик для общения на форумах, которые не находятся на вашем родном языке, подумайте о том, чтобы быстро прочитать это.
• https://wikipedia.org/wiki/Computational_linguistics [Wikiless] [Archive.org] : читайте это только в том случае, если эта тема вам интересна.
• https://regmedia.co.uk/2017/09/27/gal_vallerius.pdf [Archive.org] : Объясняет, как власти использовали судебную лингвистику для ареста OxyMonster (страницы 13–14).
• https://wikipedia.org/wiki/Ted_Kaczynski#After_publication [Wikiless] [Archive.org] : Может иметь IQ 167, но он был пойман в основном на основании судебной лингвистики.
• https://i.blackhat.com/USA-19/Wednesday/us-19-Wixey-Im-Unique-Just-Like-You-Human-Side-Channels-And-Their-Implications-For-Security-And- Privacy.pdf [Archive.org] : Объясняет, как ваш стиль письма может быть использован для отслеживания вас. Мы настоятельно рекомендуем прочитать эти слайды или посмотреть сопутствующую презентацию на YouTube.
• https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/DEFCON-26-Matt-Wixey-Betrayed-by-the-Keyboard-Updated.pdf [Archive.org] : пояснения как ваш стиль письма может быть использован для отслеживания вас, мы настоятельно рекомендуем прочитать эти слайды или посмотреть сопроводительную презентацию на YouTube, она очень похожа на предыдущую презентацию.
• https://i.blackhat.com/us-18/Wed-August-8/us-18-Wixey-Every-ROSE-Has-Its-Thorn-The-Dark-Art-Of-Remote-Online-Social- Engineering.pdf [Archive.org] : здесь рассказывается, как потенциально обнаружить обман через Интернет, и представлен контрольный список, чтобы увидеть, насколько человек заслуживает доверия. Мы бы посоветовали прочитать слайды или посмотреть презентацию на YouTube.

 

[[helper]]

Приложение A5: Дополнительные меры предосторожности при использовании браузера с включенным JavaScript​

Чтобы избежать отпечатков пальцев браузера и пользователя с помощью JavaScript, но с включенным JavaScript, необходимо соблюдать некоторые дополнительные меры безопасности, по крайней мере, на некоторых веб-сайтах:

Эти рекомендации аналогичны рекомендациям в начале руководства и особенно актуальны для определенных веб-сайтов. В основном рекомендуется использовать безопасные для конфиденциальности интерфейсные экземпляры и альтернативные службы для различных служб:

• Для ссылок на YouTube используйте экземпляр Invidious ( https://github.com/iv-org/invidious [Archive.org] )
  • Рекомендуем [https://yewtu.be]
• Для ссылок на Twitter используйте экземпляр Nitter ( https://github.com/zedeus/nitter [Archive.org] )
  • Мы рекомендуем [https://nitter.net]
• Для ссылок на Википедию используйте экземпляр Wikiless ( https://codeberg.org/orenom/wikiless [Archive.org] )
• Для Reddit используйте экземпляр LibReddit ( https://github.com/spikecodes/libreddit [Archive.org] )
• Для Карт рассмотрите возможность использования https://www.openstreetmap.org.
• Для перевода рассмотрите возможность использования SimplyTranslate на https://simplytranslate.org/
• Для поисковых систем используйте поисковые системы, ориентированные на конфиденциальность, такие как:
  • Стартовая страница: https://www.startpage.com/
  • DuckDuckGo: https://duckduckgo.com/
  • Экземпляры SearX ( https://searx.me/ ): список доступен здесь: https://searx.space/

(Необязательно) Рассмотрите возможность использования расширения https://libredirect.github.io/ [Archive.org] для автоматизации использования вышеуказанных сервисов.

 

[[helper]]

Приложение A8: Услуги по обмену криптовалюты без регистрации и KYC​

Общий обмен криптовалюты:​

Перейдите к следующему разделу для обмена BTC на Monero. Не пользуйтесь услугами по обмену BTC на Monero.

Вот небольшой список услуг по обмену криптовалют без KYC, помните, что все они имеют свою стоимость и сборы:

• https://sideshift.ai
• https://bisq.network/
• Kilo Swap (скрытый сервис Onion): http://mlyusr6htlxsyc7t2f4z53wdxh3win7q3qpxcrbam6jf3dmua7tnzuyd.onion/coinswap

Подумайте о том, чтобы взглянуть на https://kycnot.me/ , который представляет собой проект с открытым исходным кодом, в котором перечислены обмены/сервисы обмена, не относящиеся к KYC (репозиторий на https://codeberg.org/pluja/kycnot.me ).

Только BTC в Monero:​

Не используйте какой-либо сервис обмена, используйте их функцию атомарного обмена. См. этот инструмент Monero Atomic Swap: https://unstoppableswap.net/ .

Это предотвратит ненужные комиссии и посредников при использовании коммерческого сервиса обмена. Веб-сайт говорит сам за себя с подробными инструкциями для всех операционных систем

 

[[helper]]

Приложение A9: Установка кошелька Zcash:​

Помните, что это следует делать только в безопасной среде, такой как виртуальная машина за шлюзом Whonix.

Дебиан 11 ВМ:​

• Загрузите виртуальную машину Debian
• Откройте браузер
• Перейдите по адресу https://packages.debian.org/buster/amd64/libindicator3-7/download и загрузите с указанного зеркала.
• Перейдите по адресу https://packages.debian.org/buster/amd64/libappindicator3-1/download и загрузите с указанного зеркала.
• Перейдите на веб-сайт ZecWallet Lite, чтобы загрузить последний пакет DEB https://www.zecwallet.co/#download (для удобства измените каталог загрузки на /home/user)
• Откройте окно терминала и выполните следующие команды (при необходимости с обновленной загруженной версией):
  • **sudo dpkg -i ./libindicator3-7_0.5.0-4_amd64.deb**
  • **sudo dpkg -i ./libappindicator3-1_0.4.92-7_amd64.deb**
  • **sudo dpkg -i ./Zecwallet_Lite_1.7.5_amd64.deb**
• Щелкните меню в левом верхнем углу, найдите и запустите ZecWallet Lite.

 

[[helper]]

Ubuntu 20.04/21.04/21.10 ВМ:​

• Загрузите виртуальную машину Ubuntu
• Откройте браузер
• Перейдите на веб-сайт ZecWallet Lite, чтобы загрузить последний пакет DEB https://www.zecwallet.co/#download .
• Откройте окно терминала
• Перейдите в каталог загрузки и выполните следующую команду (при необходимости с обновленной загруженной версией), например:sudo apt install ./Zecwallet_Lite_1.7.5_amd64.deb
• Щелкните меню в левом верхнем углу, найдите и запустите ZecWallet Lite.

 

[[helper]]

ВМ Windows 10/11:​

• Загрузите виртуальную машину Windows
• Откройте браузер
• Перейдите на страницу https://www.zecwallet.co/#download.
• Загрузите и установите последнюю версию установщика Windows
• Запустите ZecWallet Lite

 

[[helper]]

Рабочая станция Whonix 16 ВМ:​

• Загрузите виртуальную машину рабочей станции Whonix
• Откройте Тор Браузер
• Перейдите по адресу https://packages.debian.org/buster/amd64/libindicator3-7/download и загрузите с указанного зеркала.
• Перейдите по адресу https://packages.debian.org/buster/amd64/libappindicator3-1/download и загрузите с указанного зеркала.
• Перейдите на веб-сайт ZecWallet Lite, чтобы загрузить последний пакет DEB https://www.zecwallet.co/#download (для удобства измените каталог загрузки на /home/user)
• Откройте окно терминала и выполните следующие команды (при необходимости с обновленной загруженной версией):
  • **sudo dpkg -i ./libindicator3-7_0.5.0-4_amd64.deb**
  • **sudo dpkg -i ./libappindicator3-1_0.4.92-7_amd64.deb**
  • **sudo dpkg -i ./Zecwallet_Lite_1.7.5_amd64.deb**
• Щелкните меню в левом верхнем углу и перейдите в раздел «Разработка», затем запустите ZecWallet Lite.

 

[[helper]]

Приложение B1: Контрольный список вещей, которые необходимо проверить, прежде чем делиться информацией:​

Вот контрольный список вещей, которые нужно проверить, прежде чем делиться информацией с кем-либо:

• Проверьте файлы на наличие метаданных: см. Удаление метаданных из файлов/документов/изображений
• Проверьте файлы на наличие вредоносных программ: см. Приложение T: Проверка файлов на наличие вредоносных программ.
• Проверьте файлы на наличие водяных знаков: см. Водяные знаки
• Проверьте любое письмо на предмет возможного криминалистического анализа: см. Приложение A4: Противодействие судебной лингвистике.
• Взгляните на эту часть документации Whonix: https://www.whonix.org/wiki/Surfing_Posting_Blogging#Anonymous_File_Sharing [Archive.org]
• Тщательно оцените потенциальные последствия и риски передачи любой конфиденциальной информации для вас и других (с юридической, этической и моральной точек зрения). Помни… Не будь злым. Легально не обязательно хорошо.

После проверки файлов на предмет всего, что вы хотите исключить. Перепроверьте их дважды и даже трижды. Затем вы могли бы подумать об отправке их в организацию, например, в пресс-службу или в другую.

 

[[helper]]

Приложение B2: Отказ от ответственности Monero​

Во-первых, пожалуйста, прочитайте это небольшое вводное видео о Monero: https://www.youtube.com/watch?v=H33ggs7bh8M [Invidious]

Анонимность Monero зависит от его криптоалгоритмов. Если вы используете Monero с биржи KYC. Вы можете быть почти уверены, что сегодня вы в безопасности. Но вас может не быть в долгосрочной перспективе, если алгоритмы Monero когда-либо будут взломаны (вспомните квантовые вычисления). Имейте в виду, что правила KYC могут заставить операторов (таких как Crypto Exchanges) хранить ваши финансовые записи до 10 лет, и поэтому вам нужно, чтобы алгоритмы Monero не были нарушены в течение следующих 10 лет.

Вы можете посмотреть это познавательное видео для получения более подробной информации: https://www.youtube.com/watch?v=j02QoI4ZlnU [Invidious]

Также рекомендуем прочитать: Ограничения конфиденциальности в анонимных сетях с Monero

Если вы чувствуете чрезмерную паранойю и хотите получить максимально возможный уровень безопасности, воспользуйтесь опцией анонимного экстра-параноика .

Используйте их на свой страх и риск, отправка наличных платежей поставщикам, принимающим наличные (через почтовую службу), всегда является лучшим решением, если / когда это возможно.

 

[[helper]]

Приложение B3: Ресурсы по моделированию угроз​

Вот различные ресурсы по моделированию угроз, если вы хотите углубиться в моделирование угроз.

• Тот, который мы рекомендуем: LINDDUN https://www.linddun.org [Archive.org]
  • Исследователи создали онлайн-инструмент, который поможет создать вашу модель угроз, по адресу https://www.linddun.org/go [Archive.org] .
  • Это синергично с STRIDE ниже.
  • Он ориентирован на конфиденциальность, но явно идеально подходит для анонимности.
  • Он доступен для всех уровней навыков, включая новичков (содержит множество учебных пособий), но также подходит для высококвалифицированных читателей.
  • Он используется при создании Манифеста моделирования угроз: https://www.threatmodelingmanifesto.org/ [Archive.org]
  • Вы можете прочитать больше здесь: Облегченный подход к моделированию угроз конфиденциальности
  • Вот два видео от доктора К. Вуйтса (imec-DistriNet, KU Leuven), объясняющие процесс:
    • Конфиденциальность и предубеждение: о заблуждениях, связанных с моделированием угроз конфиденциальности [Invidious]
    • Модель угроз конфиденциальности с использованием LINDDUN [Invidious]

Вот альтернативные ресурсы и методики, если LINDDUN вам не подходит:

• Безопасность онлайн-операций: https://github.com/devbret/online-OPSEC
• STRIDE от Microsoft: https://en.wikipedia.org/wiki/STRIDE_%28security%29 [Wikiless] [Archive.org]
• МАКАРОНЫ: https://versprite.com/tag/pasta-threat-modeling/ [Archive.org]
• Моделирование угроз: 12 доступных методов: https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods [Archive.org]
• Моделирование угроз: https://www.geeksforgeeks.org/threat-modelling/ [Archive.org]

 

[[helper]]

Приложение B4: Важные примечания о злой деве и несанкционированном вмешательстве​

Ваш контекст должен быть принят во внимание.

Предотвращение нападения злой девы или несанкционированное вмешательство может привести к плохим последствиям. Затем ваш противник может прибегнуть к другим средствам для получения ключа.

С другой стороны, разрешение атаки, но ее обнаружение не позволит вашему противнику узнать, что вы знаете о взломе. Затем вы можете безопасно предпринять шаги, чтобы не раскрывать информацию и, возможно, уйти.

Советы см. в разделе « Последние мысли OPSEC ».

 

[[helper]]

Приложение B5: Типы атак на ЦП:​

Отдельные проблемы безопасности досаждают многим процессорам Intel, например, атаки с временным выполнением (ранее называвшиеся методами спекулятивного выполнения по побочным каналам). Здесь вы можете проверить свой процессор на наличие уязвимых микропроцессоров с известными ошибками https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated- product-cpu-model.html [Архив.org] .

Усовершенствованный программируемый контроллер прерываний (APIC) — это интегрированный компонент ЦП, отвечающий за прием, приоритезацию и диспетчеризацию прерываний логическим процессорам (LP). APIC может работать в режиме xAPIC, также известном как устаревший режим, в котором регистры конфигурации APIC доступны через страницу ввода-вывода с отображением памяти (MMIO).

Введите AEPIC (стилизованный под ÆPIC), первую архитектурную ошибку ЦП, которая приводит к утечке устаревших данных из микроархитектуры без использования побочного канала. Он архитектурно пропускает устаревшие данные, которые неправильно возвращаются при чтении неопределенных диапазонов регистров APIC. Этот новый метод был описан в статье ÆPIC Leak: Architecturally Leaking Uninitialized Data from the Microarchitecture , которую вы можете прочитать здесь: Borrello2022AEPIC [Archive.org]

Специфичные для модели регистры (MSR) и биты их конфигурации также могут автоматически обнаруживаться в процессорах Intel и AMD: Kogler2022 [Archive.org] . Это позволяет злоумышленнику (с глубоким знанием функциональности ЦП) просматривать информацию о MSR, которые по сути являются специальными регистрами ЦП, позволяющими взаимодействовать с низкоуровневыми функциями ЦП и расширенной настройкой поведения ЦП. Современные процессоры x86 имеют сотни таких документов, которые обычно очень мало документированы и становятся все менее многословными за последние несколько лет.

Некоторые другие ошибки микроархитектуры:​

• PLATYPUS [Archive.org] - Программные атаки Power Side-Channel Attacks на x86, которые показывают, как непривилегированный злоумышленник может украсть ключи AES-NI из Intel SGX и ядра Linux и нарушить рандомизацию адресного пространства ядра (KASLR).
• SQUIP [Archive.org] - Использование очереди планировщика посредством проверки интерфейса. Все процессоры AMD Zen уязвимы для уязвимости средней степени серьезности, которая может позволить злоумышленникам проводить атаки по сторонним каналам.
• Hertzbleed [Archive.org] — Вывод криптографических ключей путем анализа энергопотребления уже давно является атакой, но обычно она нежизнеспособна, поскольку измерение энергопотребления часто затруднено. Эта новая атака измеряет энергопотребление путем измерения времени, что упрощает ее использование.
• Retbleed [Archive.org] — Retbleed фокусируется на инструкциях по возврату, которые являются частью программного обеспечения retpoline для смягчения последствий атак класса спекулятивного выполнения, о которых стало известно в начале 2018 года с помощью Spectre.

 

[[helper]]

Приложение B6: Предупреждение об использовании Orbot на Android​

Хотя это часто неправильно понимают, Orbot на Android не заставляет ваши «приложения с поддержкой Tor» проходить через Tor, если вы добавляете их в список. Orbot действует как VPN для всего устройства или (также известный как прозрачный прокси). Список приложений, использующих Orbot, является белым списком. Этот список не заставит некоторые приложения волшебным образом использовать Tor, а непроверенные — использовать clear-net. Это только гарантирует, что VPN для всего устройства использует Tor для маршрутизации трафика. Это означает, что Orbot может контролировать только то, какое приложение может получить доступ к созданной им VPN. Другие приложения потеряют связь.

Важно знать, что если вы запускаете приложение (или Android делает это автоматически), когда Orbot не работает, приложение будет просто использовать обычную сеть без участия Orbot (за исключением некоторых приложений, поддерживающих прокси-сервер Orbot). .

Кроме того, вас не должно удивлять, что браузер Tor не работает при использовании Orbot в режиме VPN, поскольку дизайн Tor не допускает «Tor over Tor» (вы не можете повторно войти в сеть Tor с выходного узла Tor).

Это довольно хорошо объясняет Александр Фэрой, основной разработчик Tor Project, в своей книге TorifyHOWTO: Tor over Tor .

«При использовании прозрачного прокси возможен запуск сеанса Tor как с клиента, так и с прозрачного прокси (читайте предупреждение!), создавая сценарий «Tor over Tor». Это приводит к неопределенному и потенциально небезопасному поведению. Теоретически, однако, вы можете получить шесть прыжков вместо трех, но не гарантируется, что вы получите три разных прыжка — вы можете получить одни и те же прыжки, возможно, в обратном или смешанном порядке. Неясно, безопасно ли это. Это никогда не обсуждалось. Вы можете выбрать точку входа/выхода, но вы получите наилучшую безопасность, которую может обеспечить Tor, когда вы оставите выбор маршрута на Tor; переопределение узлов входа/выхода может испортить вашу анонимность способами, которые мы не понимаем. Поэтому использование Tor поверх Tor крайне не рекомендуется».

И из сообщения на Tor Stack Exchange:

«Опасность (помимо снижения производительности), которая мешает мне использовать Tor вместо Tor, связана с измерением времени и перегрузки. Злоумышленники, наблюдающие за вашим трафиком на выходе(ах) ваших каналов, имеют больше шансов связать вашу активность Whonix с вашей активностью [Tor Browser Bundle], когда эти общие каналы замедляют работу или отбрасывают пакеты одновременно. Это может произойти без Tor over Tor, когда ваши экземпляры используют общую восходящую ссылку. Связь будет более тесной и явной, если вы пропустите трафик Whonix Tor через свои схемы TBB SOCKS5 Tor. Эта более тесная связь повышает опасность успешной корреляции».

 

[[helper]]

Приложение B7: Предупреждение о Session Messenger​

Вот причины, по которым мы с осторожностью относимся к мессенджеру Session в целом:

• Компания базируется в Австралии, где действуют очень неблагоприятные законы о конфиденциальности.
• Они продвигают свою собственную криптовалюту Oxen, что создает конфликт интересов.
• Они используют LokiNet, который требует от Oxen запуска узлов для маршрутизации трафика Session, а запуск узла стоит 12 тысяч долларов.
  • Цена запуска узлов, по сути, ставит их сеть за платный доступ, если вы хотите запустить узел, даже просто для увеличения пропускной способности сети, как вы могли бы с Tor.
  • Разработчики Session утверждают, что это попытка предотвратить атаки сивилл , но многие утверждают, что это только поощряет такие атаки, гарантируя, что только правительства и другие хорошо финансируемые организации (люди, от которых эти сети обычно пытаются защитить) когда-либо будут иметь финансовые ресурсы для запуска узлов.
• Они отказались от критически важных функций безопасности своего протокола (полная секретность пересылки (PFS) и отрицание) в пользу долговременных ключей сообщений и самоудаляющихся криптографических подписей, которые обеспечивают гораздо более слабые гарантии безопасности.
  • Это может быть не так плохо, если узлы могут работать бесплатно, но это не так.
• Сессия была проверена с удовлетворительными результатами, но в этой проверке эти изменения не упоминаются. У нас также в настоящее время недостаточно информации о LokiNet (сеть луковой маршрутизации, используемая Session), чтобы подтвердить ее. Сессия по-прежнему рекомендуется некоторыми, например Techlore.
• Их финансирование совершенно непрозрачно.

Короче говоря, мы считаем, что вы можете использовать Session Messenger на iOS из-за отсутствия лучшей альтернативы (например, Briar). Но если станет доступно приложение Briar или другое приложение (возможно, Cwtch в будущем), мы рекомендуем как можно скорее отказаться от мессенджера Session. Это крайняя мера.

 

[Бенджамин Ф.]

Сколько материалов, спасибо за труды, дядь! В сохры добавил буду изучать

 

[[helper]]

Сколько материалов, спасибо за труды, дядь! В сохры добавил буду изучать

От души бро !)

 

[Xapka777]

Реально,мнгоим помог)

 

[OTANO]

Спасибо вам!

 

[SerjBayraktarov]

Напишите мануал по секьюрному пользованию telegram для серых целей.
Судя по количеству покупаемых вами рекламных размещений в телеге- вы прямо заинтересованы в расширении охвата аудитории.

 

[Ксю667]

От души бро !)

Ты сумасшедший!!!!))

На моей памяти это самый объёмный труд и количество сформулированного и скомпонованного материала *Очень удивило; респектую)