Алексаня Тюрик
Ч0ткий!
0. О чем?
Посвящается всем аспектам информационной безопасности и анонимности, вопросам шифрования, выборе софта и харда, вопросам безопасного нахождения в сети. В дополнение - Техника безопасности.
1. Насколько надёжную защиту обеспечивает Tor Browser, в допущении, что является единственным средством защиты, которое я использую?..
Можно бы было устроить жаркую дискуссию на эту тему, но мы будем исходить из вопроса целей использования. Runion почитать и так можно, но для чего-то большего стоит использовать дополнительные решения, связанные с анонимизацией. Ну и общие пожелания - отдельный ноутбук с Tails и максимально анонимный выход в Интернет.
2. Так, а если я, к примеру, наркотой/стволами не торгую, но схемы серые проворачиваю, или там справки продаю?
Всегда лучше исходить из того, что лучше слушать свою паранойю - использовать отдельную машину, использовать связки (напр. VPN -> Tor). При незасвеченном айпишнике и выводе ден.средств после отмывки - скорее всего все будет хорошо. Да и для того, чтобы тебя начали искать - нужно возбужденное уголовное дело.
3. Что ещё можно и нужно сделать на компе для повышения степени анонимности, учитывая что я не хочу менять систему и использовать LiveCD/LiveUSB?
Отключить JS (включён по умолчанию), при «личном» общении использовать шифрование. За собой следить, ибо ничто не выдаст вас лучше, чем вы сами. По возможности - использовать только open source ПО, виртуальные машины. Но всё это не является достаточно надёжным способом уберечься.
4. А стоит ли таки отключать JS?
По идее, это должно положительно сказываться на вашей безопасности, но у медали две стороны. Использование JS легко детектируется сайтами и может быть использовано для профилирования. Типа "А вот тот, у которого JS отключен, так и запишем". JS работает почти у всех и включен всегда, так что пользователей без него можно скорее всего по пальцам посчитать.
5. Не раз упоминался LiveCD. Это что?
ОСь такая, загружающаяся с диска\флешки\etc, позволяющая достигнуть большей степени анонимности, ибо после использования не оставляет следов. Стоит обратить внимание на Tails.
6. А варианты, кроме LiveCD?
Виртуальные машины (стоит выделить Whonix), всевозможные линуксы… Зависит от назначения, предпочтений пользователя и ещё десятка условий. Windows - изначально плохой выбор.
7. Слышу про шифрование, вижу ключи, а что со всем этим делать-то?
Вот и вот. Читайте, вникайте, пользуйтесь.
8. А что насчёт шифрования данных на компе?
Программ для шифрования приличное количество, главные условия использования - открытый код и внимание разработчиков. Внимание стоит обратить на TrueCrypt и DiskCryptor для Windows; cryptsetup (тема на форуме) и zulucrypt для Linux.
9. Что насчёт VPN?
Для самых маленьких: это штука, к которой ты подключаешся с домашнего компа, и теперь ты как-будто бы сидишь за компом где-нибудь в США. Следует понять одну важную вещь: VPN, в отличие от Tor’а, не пытается достичь анонимности пользователя, стремясь более к приватности и помогая обойти часть цензуры провайдера. По сему – целесообразность его использования в качестве анонимизатора кажется несколько сомнительной.
10. i2p или Tor (вечный вопрос, похоже)?
Если нужен простой ответ - Tor. Но лучше всего изучить вопрос самостоятельно - у каждого варианта есть свои особенности. Погуглите и почитайте, попробуйте и выберете. Почитайте еще про Freenet.
11. Насколько безопасно использовать Skype\ICQ\Brosix и т.п. мессенджеры?
Совсем-совсем небезопасно. Хорошо, если они только саму переписку сольют, ибо эти адские машинки ещё и потырить или загрузить чего вполне в состоянии. Если очень надо, ICQ и многие другие протоколы можно использовать с помощью транспортов jabber (гуглите).
12. Если выходная нода снифает мой трафик, будут ли скомпрометированы данные для входа к этому сайту?
К .onion сайтам - нет. Они вообще не используют exit'ы и могут работать без их наличия. Для сайтов клирнета - если соединение нешифрованное (без https...), то да.
13. Слышал про аппаратное шифрование - насколько надёжно?
Весьма перспективный, но очень не надёжный в современных реалиях способ шифрования, т.к. открытых реализаций пока не существует. Доверия к закрытому ПО нет, к закрытому железу - еще меньше, поэтому что там конкретно делает и как шифрует (и шифрует ли вообще) устройство проверить невозможно. В некотором роде исключение - проект Trezor, полностью открытый (вплоть до загрузчика) "железный" bitcoin-кошелек.
14. Какие сервисы для бекапов информации наиболее предпочтительны в плане безопасности?
Те, которые предоставляют доступ по SSH. По сути, подойдет любой простенький VPS, их можно приобрести за дешево и полностью анонимно. Остальные проприетарные решения по типу Dropbox не могут обеспечить надежное хранение данных, хотя могут быть более удобными и практичными.
15. Актуален ли https в .onion?
Технически, он избыточен. Но с недавнего времени центры сертификации начали выпуск сертификатов к .onion-доменам, что в некотором роде может дополнительно подтверждать подлинность соединения с сайтом. Вот при доступе на внешние источники клирнета https необходим.
16. Какие существуют безопасные мессенджеры?
Наиболее безопасное ПО - с открытым кодом. Наиболее популярные мессенджеры с открытым кодом - Miranda (только для Windows), Psi+ и Pidgin (кросс-платформенные).
17. Что такое OTR? Слышал, что как-то свзяано с Jabber'ом, можете объяснить?
Off-the-record - алгоритм обмена шифрованными сообщениями в реальном времени, используется в различных Jabber-клиентах для безопасного общения.
18. Так почему же небезопасно использовать Windows?
Из-за закрытого кода. Неизвестно, что конкретно делает операционная система, какие конкретно данные передает при обновлении и работе с Интернетом вообще. Такое поведение очень схоже с вредоносными программами - вирусами, троянами и т.д.
19. Какой почтовый провайдер выбрать?
Этот вопрос обсуждается здесь.
20. Актуально ли использование Tor в связке с другим браузером?
На ПК - однозначно нет. Tor Browser Bundle является лучшим в плане безопасности выбором, не стоит заниматься самодеятельностью. Мобильные платформы пока что лишены "официальной" поддержки команды Tor, так что при выборе браузера стоит проявлять осторожность, а лучше вовсе не использовать Tor на смартфонах ни для чего "серьезного".
21. Какая мобильная платформа безопаснее?
Наиболее открытая и популярная у разработчиков. Пока что лидерство по этим критериям у Android, возможно продуктивное развитие FirefoxOS, Tizen, Sailfish и Ubuntu. Устройства на базе продуктов Microsoft и Apple не могут претендовать на звание безопасных даже в теории.
22. Подскажите безопасные программы для передачи голоса.
Сложный вопрос, и однозначного ответа на него нет. Возможно когда-нибудь таковой станет программа Tox. Но для передачи действительно важной информации следует использовать традиционные решения передачи зашифрованного текста.
23. Хочу поднять свою Tor-ноду, что для этого нужно?
Терпение и чуточку финансов. Почитайте вот эту статью.
Ответы на технические вопросы следует искать в темах, ссылки на которые вы видите в тексте.
Посвящается всем аспектам информационной безопасности и анонимности, вопросам шифрования, выборе софта и харда, вопросам безопасного нахождения в сети. В дополнение - Техника безопасности.
1. Насколько надёжную защиту обеспечивает Tor Browser, в допущении, что является единственным средством защиты, которое я использую?..
Можно бы было устроить жаркую дискуссию на эту тему, но мы будем исходить из вопроса целей использования. Runion почитать и так можно, но для чего-то большего стоит использовать дополнительные решения, связанные с анонимизацией. Ну и общие пожелания - отдельный ноутбук с Tails и максимально анонимный выход в Интернет.
2. Так, а если я, к примеру, наркотой/стволами не торгую, но схемы серые проворачиваю, или там справки продаю?
Всегда лучше исходить из того, что лучше слушать свою паранойю - использовать отдельную машину, использовать связки (напр. VPN -> Tor). При незасвеченном айпишнике и выводе ден.средств после отмывки - скорее всего все будет хорошо. Да и для того, чтобы тебя начали искать - нужно возбужденное уголовное дело.
3. Что ещё можно и нужно сделать на компе для повышения степени анонимности, учитывая что я не хочу менять систему и использовать LiveCD/LiveUSB?
Отключить JS (включён по умолчанию), при «личном» общении использовать шифрование. За собой следить, ибо ничто не выдаст вас лучше, чем вы сами. По возможности - использовать только open source ПО, виртуальные машины. Но всё это не является достаточно надёжным способом уберечься.
4. А стоит ли таки отключать JS?
По идее, это должно положительно сказываться на вашей безопасности, но у медали две стороны. Использование JS легко детектируется сайтами и может быть использовано для профилирования. Типа "А вот тот, у которого JS отключен, так и запишем". JS работает почти у всех и включен всегда, так что пользователей без него можно скорее всего по пальцам посчитать.
5. Не раз упоминался LiveCD. Это что?
ОСь такая, загружающаяся с диска\флешки\etc, позволяющая достигнуть большей степени анонимности, ибо после использования не оставляет следов. Стоит обратить внимание на Tails.
6. А варианты, кроме LiveCD?
Виртуальные машины (стоит выделить Whonix), всевозможные линуксы… Зависит от назначения, предпочтений пользователя и ещё десятка условий. Windows - изначально плохой выбор.
7. Слышу про шифрование, вижу ключи, а что со всем этим делать-то?
Вот и вот. Читайте, вникайте, пользуйтесь.
8. А что насчёт шифрования данных на компе?
Программ для шифрования приличное количество, главные условия использования - открытый код и внимание разработчиков. Внимание стоит обратить на TrueCrypt и DiskCryptor для Windows; cryptsetup (тема на форуме) и zulucrypt для Linux.
9. Что насчёт VPN?
Для самых маленьких: это штука, к которой ты подключаешся с домашнего компа, и теперь ты как-будто бы сидишь за компом где-нибудь в США. Следует понять одну важную вещь: VPN, в отличие от Tor’а, не пытается достичь анонимности пользователя, стремясь более к приватности и помогая обойти часть цензуры провайдера. По сему – целесообразность его использования в качестве анонимизатора кажется несколько сомнительной.
10. i2p или Tor (вечный вопрос, похоже)?
Если нужен простой ответ - Tor. Но лучше всего изучить вопрос самостоятельно - у каждого варианта есть свои особенности. Погуглите и почитайте, попробуйте и выберете. Почитайте еще про Freenet.
11. Насколько безопасно использовать Skype\ICQ\Brosix и т.п. мессенджеры?
Совсем-совсем небезопасно. Хорошо, если они только саму переписку сольют, ибо эти адские машинки ещё и потырить или загрузить чего вполне в состоянии. Если очень надо, ICQ и многие другие протоколы можно использовать с помощью транспортов jabber (гуглите).
12. Если выходная нода снифает мой трафик, будут ли скомпрометированы данные для входа к этому сайту?
К .onion сайтам - нет. Они вообще не используют exit'ы и могут работать без их наличия. Для сайтов клирнета - если соединение нешифрованное (без https...), то да.
13. Слышал про аппаратное шифрование - насколько надёжно?
Весьма перспективный, но очень не надёжный в современных реалиях способ шифрования, т.к. открытых реализаций пока не существует. Доверия к закрытому ПО нет, к закрытому железу - еще меньше, поэтому что там конкретно делает и как шифрует (и шифрует ли вообще) устройство проверить невозможно. В некотором роде исключение - проект Trezor, полностью открытый (вплоть до загрузчика) "железный" bitcoin-кошелек.
14. Какие сервисы для бекапов информации наиболее предпочтительны в плане безопасности?
Те, которые предоставляют доступ по SSH. По сути, подойдет любой простенький VPS, их можно приобрести за дешево и полностью анонимно. Остальные проприетарные решения по типу Dropbox не могут обеспечить надежное хранение данных, хотя могут быть более удобными и практичными.
15. Актуален ли https в .onion?
Технически, он избыточен. Но с недавнего времени центры сертификации начали выпуск сертификатов к .onion-доменам, что в некотором роде может дополнительно подтверждать подлинность соединения с сайтом. Вот при доступе на внешние источники клирнета https необходим.
16. Какие существуют безопасные мессенджеры?
Наиболее безопасное ПО - с открытым кодом. Наиболее популярные мессенджеры с открытым кодом - Miranda (только для Windows), Psi+ и Pidgin (кросс-платформенные).
17. Что такое OTR? Слышал, что как-то свзяано с Jabber'ом, можете объяснить?
Off-the-record - алгоритм обмена шифрованными сообщениями в реальном времени, используется в различных Jabber-клиентах для безопасного общения.
18. Так почему же небезопасно использовать Windows?
Из-за закрытого кода. Неизвестно, что конкретно делает операционная система, какие конкретно данные передает при обновлении и работе с Интернетом вообще. Такое поведение очень схоже с вредоносными программами - вирусами, троянами и т.д.
19. Какой почтовый провайдер выбрать?
Этот вопрос обсуждается здесь.
20. Актуально ли использование Tor в связке с другим браузером?
На ПК - однозначно нет. Tor Browser Bundle является лучшим в плане безопасности выбором, не стоит заниматься самодеятельностью. Мобильные платформы пока что лишены "официальной" поддержки команды Tor, так что при выборе браузера стоит проявлять осторожность, а лучше вовсе не использовать Tor на смартфонах ни для чего "серьезного".
21. Какая мобильная платформа безопаснее?
Наиболее открытая и популярная у разработчиков. Пока что лидерство по этим критериям у Android, возможно продуктивное развитие FirefoxOS, Tizen, Sailfish и Ubuntu. Устройства на базе продуктов Microsoft и Apple не могут претендовать на звание безопасных даже в теории.
22. Подскажите безопасные программы для передачи голоса.
Сложный вопрос, и однозначного ответа на него нет. Возможно когда-нибудь таковой станет программа Tox. Но для передачи действительно важной информации следует использовать традиционные решения передачи зашифрованного текста.
23. Хочу поднять свою Tor-ноду, что для этого нужно?
Терпение и чуточку финансов. Почитайте вот эту статью.
Ответы на технические вопросы следует искать в темах, ссылки на которые вы видите в тексте.