- Entrou
- Jun 1, 2014
- Mensagens
- 284
- Reaction score
- 263
- Pontos
- 63
Basics of Anonymity
Despite the fact that the Internet unites a huge space, a person’s personal space is becoming less and less. The technology, which is designed to give people freedom of speech and the ability to openly express their thoughts, over the years has become an instrument of control and suppression. Due to the technological features of the Network, a digital footprint is drawn from each user for all of his activity. Anyone who has the ability to collect this data gets the opportunity to use it against users. Freedom of speech cannot exist in conditions when anyone can be punished for words. Even the very possibility of being punished erects a wall of censorship and self-censorship, making open public discussion impossible. Without this openness, stagnation begins that exploit the forces with resources. Thus, the propaganda function is added to the suppression and control function. Due to its open nature, the digital footprint is available to third parties who can use it to intervene in their personal lives. What should be kept a secret can be made public. In such a situation, the only effective way to preserve your freedom of speech and privacy is through anonymous behavior, that is, not giving anyone and never the opportunity to connect the trace of activities on the Web with your real person. There will always be some forces that will try to take away freedom of expression in various ways. There are many means to counter these forces. Below we give the most common methods of ensuring anonymity and improving information security, divided into categories by degree of importance. The methods of each category complement the previous ones.
Critical
An individual user does not have clear boundaries between the anonymous / non-anonymous state. This state directly depends on the threat model, because different resources are available to different attackers to attack this user. Basic means will be enough to protect against accidental factors, and the best techniques will be needed to resist the work of special services. Not having enough data about your threat model, the choice of tools should be based on a compromise. On the one hand lies the usual convenience, on the other hand there is a huge risk of disclosing sensitive data generated by default and independently of the user. It is also worth bearing in mind that 90% of the data obtained by intelligence comes from open sources, mainly from the Web. In other words, in the digital age, users unknowingly compose a dossier. Possession of personal data gives power, so ownership of it will always be of interest. Anonymity is complicated, information security is even more complex. Everyone should learn only one thing: no one will protect your data, no one will keep privacy, except for yourself.
Despite the fact that the Internet unites a huge space, a person’s personal space is becoming less and less. The technology, which is designed to give people freedom of speech and the ability to openly express their thoughts, over the years has become an instrument of control and suppression. Due to the technological features of the Network, a digital footprint is drawn from each user for all of his activity. Anyone who has the ability to collect this data gets the opportunity to use it against users. Freedom of speech cannot exist in conditions when anyone can be punished for words. Even the very possibility of being punished erects a wall of censorship and self-censorship, making open public discussion impossible. Without this openness, stagnation begins that exploit the forces with resources. Thus, the propaganda function is added to the suppression and control function. Due to its open nature, the digital footprint is available to third parties who can use it to intervene in their personal lives. What should be kept a secret can be made public. In such a situation, the only effective way to preserve your freedom of speech and privacy is through anonymous behavior, that is, not giving anyone and never the opportunity to connect the trace of activities on the Web with your real person. There will always be some forces that will try to take away freedom of expression in various ways. There are many means to counter these forces. Below we give the most common methods of ensuring anonymity and improving information security, divided into categories by degree of importance. The methods of each category complement the previous ones.
Critical
- Do not provide unnecessary information about yourself . There is a set of attributes, knowing which, you can distinguish a specific user from many others. This is age, gender, education, place of residence or time zone, profession, hobbies, data on appearance and generally any individual characteristics of a person. Such attributes allow an outside observer to effectively filter out unnecessary users by profile, which gradually leads to deanonymization. This can be avoided by developing the habit of being careful when communicating. In addition, you need to learn how to control your emotions. In 2010, B. Manning, in search of moral support, confessed to the stranger in a private chat that he had transferred 250 thousand military documents to WikiLeaks. The stranger passed it to FBI agents, and now Manning is serving a term of 35 years. This would not have happened if he had controlled himself.
- When using resources on which you need to maintain anonymity, be sure to change your IP address . It is directly connected with the name in the physical world (through a contract with the provider, and with dynamic IP - through the connection logs). A record of a client connecting to a server can be stored on this server almost forever. It is convenient to use Tor to change IP. This is an anonymizing network, which, roughly speaking, is a proxy chain and helps to easily change IP. Windows users can install the portable Tor Browser Bundle. Linux users can install it from most package managers. Changing the IP applies not only to surfing the sites, but also to any other Internet connections to the servers - Jabber, instant messengers and everything else. The same Tor can proxy almost any type of connection, just specify the host 127.0.0.1 and port 9050 or 9150 in the proxy settings. Some sites may block Tor due to malicious activity. It is also impossible to download torrents through it, since the real IP will “leak”. In such cases, you can use a VPN. They are paid or free. The listed tools for changing the IP address should be used for all work on the Web, or at least for work that requires anonymity.
- Do not use one nickname twice . If you use the same nickname as on a non-anonymous resource, matching personalities is not difficult. Knowing a non-anonymous nickname, it is possible to get a real IP. If there is not enough imagination to come up with new nicknames each time, you can use online generators, there are many of them.
- When registering with various resources, do not use the e-mail associated with the real name . Even if it is not displayed anywhere for other users, it is still available to the observer, or at least the resource administrator. It’s best to use a one-time email like 10minutesmail. It allows you to get a password or activation link to a one-time box and directly through the browser. After registration, you always need to change the password to a more stable one.
- Never use a personal mobile number to confirm registration. Such two-factor authentication negates anonymity, since the number is often associated with a real name and allows departments with resources to find out a lot of things, including location. If you wish, you can use paid services such as SMS REG or free browser services to receive registration codes. But first, it’s better to think about whether such a resource is needed at all.
- Required delete metadata when publishing any files . Metadata can contain records based on which you can completely deanonymize the user. Modern digital cameras can sew the model number and manufacturer of this camera into the photo. Some smartphones sew GPS-coordinates of a place of shooting in a photo. To avoid de-anonymization, you must first clean up any published files. There are special tools for this, such as the Metadata Anonymization Tool for Linux and Exiftool for Windows, and many similar programs.
- Improve the security of web surfing. There are several extensions for popular browsers that can fix some vulnerabilities. Expansion NoScript blocks various site scripts that can be used to run malicious code or invoke any programs that can lead to deanonymization. Some sites will not work correctly after installing NoScript, so you may have to add them to the exceptions. The second extension is called HTTPS Everywhere . It forces the use of a secure connection. Although TLS / SSL certificates are generally susceptible to vulnerabilities, this extension can improve security on sites where the connection does not have protection at all. It may be useful RequestPolicy - it protects some user data as well Adblock cleaning up annoying ads. In the settings of the browser itself, you need turn off geolocation (for obvious reasons), be sure to disable flash , which can deanonymize in the same way as scripts.
- Use OTR to protect privacy in private chats. Private messages are transmitted in the clear, they can be read by the server administrator or anyone else by setting the wiretap. Off-The-Record is an end-to-end encryption scheme that automatically creates one-time session keys and encrypts all messages (except the very first) with them. After completion, session keys are destroyed and an attacker will not be able to restore them, like the entire dialogue in the chat. OTR also has authentication functions - through the exchange of identifiers of fixed keys through another means of communication such as a telephone, or through a shared secret, which must be agreed upon in person at a personal meeting. OTR plugins are available for most messengers, work well on top of XMPP, IRC and other protocols. For email apply GPG encryption , which is a separate article in this issue.
- Use special password storage tools . Keeping them open in a text file or on paper is a bad idea. They can be stolen by various methods. Programs such as KeePassX and Password Safe create an encrypted database locked with one master key, that is, it’s enough to invent and remember one strong password. Password stores also have the function of generating long passwords from random characters. This is convenient - they are immediately written to the database, and due to randomness and long length it is difficult to crack them by selection.
- Do not use proprietary software . Due to the fact that it is impossible to view the internal contents of the program, you cannot find out all its functions and make sure that it does not have built-in backdoors for special services. Only the closeness of the system allows you to embed bookmarks that perform any function of collecting data about a user who also installed such a program voluntarily. To avoid leaks of important information, you need to use only open source free software. The content of open programs can be viewed entirely by anyone. In addition to checking for bookmarks, free software has a completely open development cycle, which is much more effective due to the feedback chain - systems like GitHub allow you to contact the author of the program directly and quickly solve any detected vulnerabilities and bugs. Before downloading any program, you need to make sure that it is open and free. This is usually indicated on the program website. If not, you need to find an open analogue. Using open operating systems (various Linux distributions and BSD systems) will also help increase your security.
- By mastering open source OSs such as Linux, advanced users can increase the security of their systems even more. Security enhancement methods and tools are usually task specific. Whonix may come in handy in some cases. This distribution allows you to create isolated virtual machines whose traffic is fully proxied through Tor. In the virtual machine itself, you can run any other OS, even Windows, and all traffic of the virtual machine will be anonymized. Whonix is ideal for those who like to isolate the system through virtualization, but it requires quite powerful hardware. Gentoo lovers can enhance security using the core of GrSecurity, this distribution is called Hardened Gentoo. Such a kernel has a large number of patches that eliminate the low-level vulnerabilities inherent in the regular Linux kernel. There is also SELinux, a role-based access control system. Initially, this tool was created by the NSA to protect its computers. At the network level there is iptables, which allows you to create an effective firewall. All the mentioned tools (and not mentioned too) are suitable for really experienced users, and their configuration requires attention and caution.
- When installing various programs, you must check checks downloaded files with those that are located in the sources of the program. This will help ensure their integrity. If the files were corrupted during the download or were deliberately changed by the attacker even by one byte, the check-sum will be completely different. This is achieved due to the avalanche effect of hash functions. In addition to check sums, some developers use GPG-signatures of files and assemblies. Usually the release manager signs it with his key, acting as a guarantor of reliability. For example, Tor assemblies have been signed by Erinn Clarke for many years. Checking the signatures of downloaded software is good practice, as it helps to establish the reliability and integrity of critical programs.
- Help protect your computer from physical access disk encryption tools . They decrypt the partition at the start of the operating system and encrypt back when disconnected. Linux users have a built-in dm-crypt tool that has all the necessary utilities for disk encryption. You only need to keep in mind that in Linux you will have to encrypt not only root, but also swap, otherwise some data will not be protected. It is also necessary to pre-configure the DE to immediately turn off the machine, since only turning off helps to reliably lock the data in an emergency. A useful feature in some cases may be encryption with convincing denial. Simply put, creating a hidden “double bottom” in encrypted sections with other sections without any tags, locked with a different password. Effectively prove the existence of such a "double bottom" can not any examination, it is only possible to assume the size of the general section. For retrogrades and Windows users, there is TrueCrypt, which ceased to exist in May 2014 under mysterious circumstances. The only reliable source for assemblies and source code is the repository with signatures: Index of / truecrypt . The latest reliable version is 7.1a. TrueCrypt can also be used for disk encryption, creating hidden partitions and encrypted volumes. Using this program is quite simple and well-documented. For those who need to replace obsolete TrueCrypt, there is Veracrypt: VeraCrypt - Home The project inherited parts of TrueCrypt code, has a compatibility mode with its volumes, and is generally being actively developed. Another TrueCrypt descendant is Ciphershed: CipherShed | Secure Encryption Software However, it is still in a rather early stage of development. When using disk encryption, you need to know that there are several dangers. One of them is the Cold boot attack, which allows you to start the machine shortly after shutting down. The second danger is attacks like Evil Maid, which allow you to steal a password from an encrypted partition: The Invisible Things Lab's blog: Evil Maid goes after TrueCrypt! . All this must be taken into account, leaving the computer unattended.
- If possible, need reduce physical attack area . If you have a built-in WiFi card, you should remove it and use an external one that connects via USB. This will allow you to completely and reliably disconnect the computer from the network if necessary, isolating and reducing the attack area (the physical way to isolate the computer from the network connection points is called "Air gap"). Beware of the integrated Access Management System. This system provides the manufacturer with remote full access to the machine. Initially, this system is used to track theft, but it can be used for anything. You should not buy computers with mail delivery. The NSA has a unit called Tailored Access Operations, whose job is to intercept mail parcels with computers, install hardware and software bookmarks, and then send them to the recipient. According to the agency, such a scheme is considered one of the most effective for implementation in the desired system.
- The basis of information security is knowledge . The best way to increase your security is to study systems, cryptographic algorithms and protocols. This is a long process that requires patience and time. The reward for labor will be the ability to understand vulnerabilities themselves and solve them.
An individual user does not have clear boundaries between the anonymous / non-anonymous state. This state directly depends on the threat model, because different resources are available to different attackers to attack this user. Basic means will be enough to protect against accidental factors, and the best techniques will be needed to resist the work of special services. Not having enough data about your threat model, the choice of tools should be based on a compromise. On the one hand lies the usual convenience, on the other hand there is a huge risk of disclosing sensitive data generated by default and independently of the user. It is also worth bearing in mind that 90% of the data obtained by intelligence comes from open sources, mainly from the Web. In other words, in the digital age, users unknowingly compose a dossier. Possession of personal data gives power, so ownership of it will always be of interest. Anonymity is complicated, information security is even more complex. Everyone should learn only one thing: no one will protect your data, no one will keep privacy, except for yourself.
Original message
Основы анонимности
Несмотря на то, что Интернет объединяет огромное пространство, личного пространства у человека становится всё меньше. Технология, которая призвана давать людям свободу слова и возможность открыто выражать свои мысли, с годами стала инструментом контроля и подавления. Из-за технологических особенностей Сети, за каждым пользователем тянется цифровой след из всей его активности. Тот, кто имеет возможности собирать эти данные, получает возможность использовать её против пользователей. Свобода слова не может существовать в условиях, когда за слова можно наказать любого. Даже сама по себе возможность быть наказанным воздвигает стену из цензуры и самоцензуры, делая невозможным публичное открытое обсуждение. Без этой открытости начинается стагнация, что начинают эксплуатировать обладающие ресурсами силы. Таким образом, к функции подавления и контроля добавляется функция пропаганды. Из-за своей открытой природы, цифровой след доступен третьим лицам, которые могут использовать её для вмешательства в личную жизнь. То, что должно оставаться секретом, может стать публичным достоянием. В такой ситуации единственный эффективный способ сохранить свою свободу слова и приватность — через анонимное поведение, то есть не давать никому и никогда возможности соединить след от деятельности в Сети со своей реальной личностью. Всегда будут некие силы, которые будут пытаться отнять свободу выражения различными способами. Для противостояния этим силам есть множество средств. Ниже мы приводим наиболее общие методы обеспечения анонимности и повышения информационной безопасности, разделённые на категории по степени важности. Методы каждой категории дополняют предыдущие.
Critical
У отдельно взятого пользователя не существует чётких границ между состоянием «аноним/не-аноним». Это состояние напрямую зависит от модели угроз, потому что разным злоумышленникам доступны разные ресурсы для атаки на этого пользователя. Для защиты от случайных факторов хватит и базовых средств, для сопротивления работе спецслужб потребуются лучшие техники. Не имея достаточно данных о своей модели угроз, выбор применяемых средств следует делать на основе компромисса. С одной стороны лежит привычное удобство, с другой стороны лежит огромный риск раскрытия чувствительных данных, генерируемых по умолчанию и независимо от пользователя. Также стоит иметь в виду, что 90% данных, добываемых разведкой, происходят из открытых источников, в основном из Сети. Другими словами, в цифровом веке пользователи по незнанию сами составляют на себя досье. Обладание личными данными даёт власть, поэтому владение ими всегда будет предоставлять интерес. Анонимность — это сложно, информационная безопасность — ещё сложней. Каждый должен усвоить только одно: никто не защитит твои данные, никто не сохранит приватность, кроме тебя самого.
Несмотря на то, что Интернет объединяет огромное пространство, личного пространства у человека становится всё меньше. Технология, которая призвана давать людям свободу слова и возможность открыто выражать свои мысли, с годами стала инструментом контроля и подавления. Из-за технологических особенностей Сети, за каждым пользователем тянется цифровой след из всей его активности. Тот, кто имеет возможности собирать эти данные, получает возможность использовать её против пользователей. Свобода слова не может существовать в условиях, когда за слова можно наказать любого. Даже сама по себе возможность быть наказанным воздвигает стену из цензуры и самоцензуры, делая невозможным публичное открытое обсуждение. Без этой открытости начинается стагнация, что начинают эксплуатировать обладающие ресурсами силы. Таким образом, к функции подавления и контроля добавляется функция пропаганды. Из-за своей открытой природы, цифровой след доступен третьим лицам, которые могут использовать её для вмешательства в личную жизнь. То, что должно оставаться секретом, может стать публичным достоянием. В такой ситуации единственный эффективный способ сохранить свою свободу слова и приватность — через анонимное поведение, то есть не давать никому и никогда возможности соединить след от деятельности в Сети со своей реальной личностью. Всегда будут некие силы, которые будут пытаться отнять свободу выражения различными способами. Для противостояния этим силам есть множество средств. Ниже мы приводим наиболее общие методы обеспечения анонимности и повышения информационной безопасности, разделённые на категории по степени важности. Методы каждой категории дополняют предыдущие.
Critical
- Не сообщать о себе лишней информации. Есть набор атрибутов, зная которые, можно выделить конкретного пользователя из множества других. Это возраст, пол, образование, место проживания или часовой пояс, профессия, увлечения, данные о внешности и вообще любые индивидуальные характеристики человека. Подобные атрибуты позволяют стороннему наблюдателю эффективно отсеивать лишних пользователей по профилю, что постепенно ведёт к деанонимзации. Избежать этого можно, выработав у себя привычку быть осторожным при общении. Помимо этого, нужно научиться контролировать свои эмоции. В 2010 году Б. Мэннинг, в поиске моральной поддержки, сознался незнакомцу в приватном чате в том, что это он передал 250 тысяч военных документов в WikiLeaks. Незнакомец сдал его агентам ФБР, и теперь Мэннинг отбывает срок в 35 лет. Этого не произошло бы, держи он себя в руках.
- При использовании ресурсов, на которых нужно сохранить анонимность, обязательно менять свой IP-адрес. Он напрямую связан с именем в физическом мире (через контракт с провайдером, а при динамическом IP — через логи подключения). Запись о подключении какого-либо клиента к серверу может храниться на этом сервере практически вечно. Для смены IP удобно использовать Tor. Это анонимизирующая сеть, которая, грубо говоря, является цепочкой прокси и помогает легко сменить IP. Пользователи Windows могут установить портативный Tor Browser Bundle. Пользователи Linux могут установить его из большинства пакетных менеджеров. Смена IP касается не только сёрфинга сайтов, но и любых других Интернет-подключений к серверам — Jabber, мессенджеры и всё остальное. Тот же Tor может проксировать почти любой вид подключения, достаточно указать в настройках прокси хост 127.0.0.1 и порт 9050 или 9150. Некоторые сайты могут блокировать Tor из-за вредоносной активности. Через него также невозможно скачивать торренты, так как реальный IP будет «протекать». В таких случаях можно использовать VPN. Они бывают платные или бесплатные. Перечисленные средства для смены IP-адреса следует применять для всей работы в Сети, или как минимум для работы, требующей анонимности.
- Не использовать один ник дважды. Если использовать тот же ник, что и на не анонимном ресурсе, сопоставить личности не составляет труда. Зная не анонимный ник, возможно достать реальный IP. Если не хватает фантазии каждый раз придумывать новые ники, можно использовать онлайн-генераторы, их много.
- Не использовать при регистрации на различных ресурсах тот e-mail, который связан с реальным именем. Даже если он нигде не отображается для других пользователей, он всё равно доступен для наблюдателя или как минимум администратору ресурса. Лучше всего использовать одноразовый e-mail наподобие 10minutesmail. Он позволяет получить пароль или ссылку активации на одноразовый ящик и прямо через браузер. После регистрации всегда нужно менять пароль на более стойкий.
- Никогда не использовать личный номер мобильного телефона для подтверждения регистрации. Подобная двухфакторная аутентификация сводит на нет анонимность, так как номер часто связан с реальным именем и позволяет имеющим ресурсы ведомствам узнать много всего, в том числе и местоположение. При желании для получения кодов регистрации можно использовать платные сервисы типа SMS REG или бесплатные браузерные. Но сначала лучше подумать, нужен ли подобный ресурс вообще.
- Обязательно удалять метаданные при публикации любых файлов. Метаданные могут содержать записи, на основе которых можно полностью деанонимизировать пользователя. Современные цифровые камеры могут вшивать в фотографию номер модели и производителя данной камеры. Некоторые смартфоны вшивают в фотографии GPS-координаты места съёмки. Чтобы избежать деанонимизации, нужно предварительно очищать любые публикуемые файлы. Для этого существуют специальные инструментов, например Metadata Anonymisation Tool для Linux и Exiftool для Windows, и множество похожих программ.
- Повысить безопасность веб-сёрфинга. Есть несколько расширений для популярных браузеров, позволяющих устранить некоторые уязвимости. Расширение NoScript блокирует различные скрипты сайтов, которые могут быть использованы для запуска вредоносного кода или вызова каких-нибудь программ, которые могут привести к деанонимизации. Некоторые сайты будут работать некорректно после установки NoScript, поэтому возможно придется вносить их в исключения. Второе расширение называется HTTPS Everywhere. Оно принуждает использовать защищённое соединение. Хотя в целом сертификаты TLS/SSL подвержены уязвимостям, это расширение позволяет повысить безопасность на тех сайтах, где соединение не имеет защиты вообще. Полезным может оказаться RequestPolicy — он защищает некоторые данные о пользователе, а также AdBlock, убирающий назойливую рекламу. В настройках самого браузера нужно выключить геолокацию (по понятным причинам), обязательно отключить Flash, который может деанонимизировать по той же схеме, что и скрипты.
- Использовать OTR для защиты приватности в личных чатах. Личные сообщения передаются в открытом виде, их может прочитать администратор сервера или вообще кто угодно, установив прослушку. Off-The-Record — это схема сквозного шифрования, которая автоматически создает одноразовые сессионные ключи и шифрует ими все сообщения (кроме самого первого). После завершения сессионные ключи уничтожаются и восстановить их, как и весь диалог в чате, злоумышленник не сможет. Ещё OTR имеет функции аутентификации — через обмен идентификаторами постоянных ключей через другое средство связи типа телефона, либо через общий секрет, о котором надо договориться заранее при личной встрече. Плагины OTR доступны для большинства мессенджеров, хорошо работают поверх XMPP, IRC и других протоколов. Для электронной почты применять шифрование GPG, которому посвящена отдельная статья в этом номере.
- Использовать специальные средства для хранения паролей. Хранить их в открытом виде в текстовом файле или на бумаге — плохая идея. Их могут украсть различными методами. Такие программы как KeePassX и Password Safe создают шифрованную базу данных, запертую одним мастер-ключом, то есть достаточно придумать и запомнить один стойкий пароль. Хранилища паролей также имеют функцию генерации длинных паролей из случайных символов. Это удобно — они сразу записываются в базу данных, а из-за случайности и большой длины взломать их подбором сложно.
- Не использовать проприетарное программное обеспечение. Из-за того, что невозможно просмотреть внутреннее содержимое программы, нельзя узнать все её функции и убедиться, что в ней нет встроенных чёрных ходов для спецслужб. Только закрытость системы позволяет встроить закладки, выполняющие любые функции по сбору данных о пользователе, который к тому же установил такую программу добровольно. Чтобы избежать утечек важной информации, нужно использовать только свободное ПО с открытым исходным кодом. Содержание открытых программ может просмотреть целиком любой желающий. Кроме проверки на закладки, свободное ПО имеет полностью открытый цикл разработки, который гораздо более эффективен за счёт цепи обратной связи — системы типа GitHub позволяют связаться с автором программы напрямую и оперативно решить любые обнаруженные уязвимости и баги. Прежде чем скачивать какую-либо программу, надо убедиться что она открытая и свободная. Это обычно указанно на сайте программы. Если нет — надо найти открытый аналог. Использование открытых операционных систем (различные дистрибутивы Linux и системы BSD) также поможет повысить свою безопасность.
- Освоив открытые ОС типа Linux, продвинутые пользователи могут повысить безопасность своих систем ещё сильнее. Методы и инструменты повышения безопасности обычно зависят от конкретных задач. В некоторых случаях может пригодится Whonix. Этот дистрибутив позволяет создавать изолированные виртуальные машины, трафик которых полностью проксирован через Tor. В самой виртуальной машине можно запустить любую другую ОС, даже Windows, и весь трафик виртуальной машины будет анонимизирован. Whonix идеально подходит для тех, кому нравится изолирование системы через виртуализацию, однако для него требуется достаточно мощное железо. Любители Gentoo могут повысить безопасность, используя ядро от GrSecurity, этот дистрибутив называется Hardened Gentoo. Такое ядро имеет большое количество патчей, которые устраняют низкоуровные уязвимости, присущие обычному ядру Linux. Также существует SELinux, система контроля доступа на основе ролей. Изначально это средство было создано АНБ для защиты своих компьютеров. На сетевом уровне есть iptables, позволяющий создать эффективный firewall. Все упомянутые средства (и не упомянутые тоже) подходят для действительно опытных пользователей, и их настройка требует внимания и осторожности.
- При установке различных программ, необходимо сверять чек-суммы скачанных файлов с теми, что размещены в источниках программы. Это поможет убедиться в их целостности. В случае, если файлы были испорчены при скачивании или преднамеренно изменены злоумышленником даже на один байт, чек-сумма будет полностью другая. Достигается это за счёт лавинообразного эффекта хэш-функций. Помимо чек-сумм, некоторые разработчики используют GPG-подписи файлов и сборок. Подписывает обычно релиз-менеджер своим ключом, выступая гарантом надёжности. Например, сборки Tor на протяжении многих лет подписывает Erinn Clarke. Проверка подписей скачиваемого ПО является хорошей практикой, так как помогает установить достоверность и целостность критически важных программ.
- Защитить компьютер от физического доступа помогут инструменты для дискового шифрования. Они расшифровывают раздел при запуске операционной системы и зашифровывают обратно при отключении. У пользователей Linux есть встроенный инструмент dm-crypt, имеющий все необходимые утилиты для дискового шифрования. Нужно только иметь в виду, что в Linux придётся шифровать не только root, но и swap, в противном случае некоторые данные будут не защищены. Также необходимо предварительно настроить DE на моментальное выключение машины, так как только выключение помогает надёжно запереть данные в экстренной ситуации. Полезной в некоторых случаях функцией может оказаться шифрование с убедительной отрицаемостью. Проще говоря, создание в шифрованных разделах скрытого «двойного дна» с другими разделами без каких-либо меток, запертого другим паролем. Эффективно доказать существование такого «двойного дна» не сможет никакая экспертиза, возможно только предположить по размеру общего раздела. Для ретроградов и пользователей Windows есть TrueCrypt, прекративший своё существование в мае 2014 года при загадочных обстоятельствах. Единственный надёжный источник сборок и исходного кода — репозиторий с подписями: Index of /truecrypt. Последней надёжной версией является 7.1a. TrueCrypt также можно применять для дискового шифрования, создания скрытых разделов и зашифрованных томов. Использование этой программы достаточно простое и хорошо документированное. Для тех, кому нужно заменить устаревающий TrueCrypt, есть Veracrypt: VeraCrypt - Home Проект унаследовал части кода TrueCrypt, имеет режим совместимости с его томами и вообще активно разрабатывается. Еще один наследник TrueCrypt — это Ciphershed: CipherShed | Secure Encryption Software Однако, он ещё в довольно ранней стадии разработки. Применяя дисковое шифрование, нужно знать, что существует несколько опасностей. Одна из них — это Cold boot attack, позволяющая запускать машину через короткий период после выключения. Вторая опасность — атаки типа Evil Maid, которые позволяют украсть пароль от зашифрованного раздела: The Invisible Things Lab's blog: Evil Maid goes after TrueCrypt!. Всё это нужно учитывать, оставляя компьютер без присмотра.
- По возможности, нужно уменьшить площадь физической атаки. При наличии встроенной карты WiFi, её следует удалить и использовать внешнюю, подключаемую через USB. Это позволит полностью и надёжно отключать компьютер от сети при необходимости, изолируя и уменьшая площадь атаки (физический способ изоляции компьютера от точек подключения Сети называется «Air gap»). Следует остерегаться встроенной Access Management System. Эта система предоставляет производителю удалённый полный доступ к машине. Изначально эта система используется для отслеживания при краже, однако её можно использовать для чего угодно. Не стоит покупать компьютеры с доставкой по почте. У АНБ есть подразделение под названием Tailored Access Operations, работа которого заключается в перехвате почтовых посылок с компьютерами, установке аппаратных и программных закладок и дальнейшей отправке получателю. По мнению агенства, подобная схема считается одной из самых эффективных для внедрения в нужную систему.
- Основа информационной безопасности — это знания. Лучший способ повысить свою безопасность — изучать системы, криптографические алгоритмы и протоколы. Это долгий процесс, требующий терпения и времени. Наградой за труд станет возможность самому разбираться в уязвимостях и решать их.
У отдельно взятого пользователя не существует чётких границ между состоянием «аноним/не-аноним». Это состояние напрямую зависит от модели угроз, потому что разным злоумышленникам доступны разные ресурсы для атаки на этого пользователя. Для защиты от случайных факторов хватит и базовых средств, для сопротивления работе спецслужб потребуются лучшие техники. Не имея достаточно данных о своей модели угроз, выбор применяемых средств следует делать на основе компромисса. С одной стороны лежит привычное удобство, с другой стороны лежит огромный риск раскрытия чувствительных данных, генерируемых по умолчанию и независимо от пользователя. Также стоит иметь в виду, что 90% данных, добываемых разведкой, происходят из открытых источников, в основном из Сети. Другими словами, в цифровом веке пользователи по незнанию сами составляют на себя досье. Обладание личными данными даёт власть, поэтому владение ими всегда будет предоставлять интерес. Анонимность — это сложно, информационная безопасность — ещё сложней. Каждый должен усвоить только одно: никто не защитит твои данные, никто не сохранит приватность, кроме тебя самого.