Гайд по информационной безопасности для новичков.

Status
Not open for further replies.

cyber23

Member
Joined
Feb 15, 2012
Messages
194
Reaction score
50
Текст предназначен скорее для новичков. При настройке системы речь идет о Linux (главным образом Debian/Ubuntu, немножко под Arch добавил).Хочу обеспечить людей мануалом о том, как сделать систему безопасней, без чтения сотен страниц различных пояснений. Безопасность – это процесс, так что этот - гайд лишь начальная точка.
(Конечно, в первую очередь надо знать про GPG/PGP)
Для безопасности данных мы шифруем диски. Но прежде убедитесь, что Вы поставили сложный пароль на БИОС и для загрузки, и для изменения настроек БИОСа. Также отключите загрузку с каких-либо внешних носителей (это, понятно, не всегда приемлимо).
Как это сделать можно посмотреть, например тут
Во время установки Вы можете просто выбрать зашифрованный LVM. Для других данных, в том числе на внешних носителях, можно использовать Truecrypt (везде, где написано про Truecrypt, можно использовать и Veracrypt), который удобней, чем dmcrypt, т.к. портативный. Truecrypt можно использовать на любой ОС.
- Скачиваем truecrypt
- Разархивируем tar.gz
- Запускаем установочный файл
- Когда выйдет запрос выбираем «извлечь»
- Идем в /tmp
- Копируем tar.gz и перемещаем туда, где собираемся его использовать/хранить
- Извлекаем
- Как только он распакован, идем "usr"->"bin" выделяем "truecrypt"-binary
- Копируем на свое устройство
Поскольку есть атаки на AES, рекомендую использовать aes-twofish-serpent.
Если Вы думаете, что, зашифровавшись, Вы в безопасности, это не так.
Ниже будут рассмотрены атаки, специфичные для Debian, использующего шифрование LVM. Но надо знать, что любые зашифрованные носители имеют свои уязвимости. Не вдаваясь в подробности, остановимся на сути.
Для дискового шифрования, основанного на программном обеспечении (software-based) известны такие атаки:
- DMA атаки (DMA/HDMI-порты используются для подключения к работающей зашифрованной системе, чтобы ее расшифровать)
- Cold-Boot атаки (Ключи извлекаются из оперативной памяти после «холодной перезагрузки)
- Заморозка оперативной памяти (оперативка замораживается и вставляется в систему атакующего, чтобы извлечь ключ)
- Evil-Maid атаки (Различные способы загрузить протрояненную ОС или какой-нибудь кейлоггер)
Для аппаратного (hardware-based) дискового шифрования существуют подобные же атаки:
- DMA атаки (то же самое)
- Replug атаки (жесткие диски подключаются к компьютеру атакующего, подробнее здесь //www.h-online.com/security/news/item/29C3-successful-attack-on-encrypting-hard-drives-1775111.html)
- Reboot атаки. Жесткие диски подключаются после вынужденной перезагрузки. Пароль на БИОС обходится нажиманием F2 и потом отключается. Это работает только на некоторых компьютерах.
- Networked-Evil-Maid атаки. Атакующий крадет загрузчик и заменяет его протрояненным. При загрузке жертва вводит пароль, который отправляется атакующему по интернету. Другой вариант: заменить ноутбук другим, аналогичной модели (в аэропорту, отеле и т.п.) и телефонным номером атакующего внизу. Жертва вводит «неправильный» пароль, который отправляется по интернету атакующему. Жертва выясняет, что ноутбук заменен, звонит атакующему, который копирует содержимое и отдает ноутбук.
Они работают как и cold-boot атаки. Атакующий может достать пароль для контейнера, если компьютер работает или в режиме гибернации. Даже если контейнер открывался раньше, используя временные файлы и файлы подкачки. Этот вид шифрования можно обойти с помощью атаки, которую можно назвать расширенной версией evil-maid атаки.
Проблема в том, что даже если ваши данные зашифрованы, загрузчик и grub – нет. Это и дает возможности атакующему с физическим доступом к Вашему компу.
Чтобы избежать этого, сделайте следующее:
Если не хотите переустанавливать операционную систему, форматните флешку, скопируйте туда /boot, установите туда grub. Чтобы установить туда груб, размонтируйте /boot, снова примонтируйте как флешку, измените /etc/fstab, закомментируйте (# поставить) линию, которая монтирует /boot, и тогда запустите grub-install /dev/sdb (или как ваша флешка распознается). После этого можно будет загружаться с флешки.
Важно помнить, что многие обновления Ubuntu перезаписывают образ (initrd.img), особенно обновления ядра. Убедитесь, что флешка подключена и примонтирована к компу как /boot. Также хорошая идея регулярно делать бэкапы файлов с флешки и записывать их на диски или хранить их в интернете (на диски идея явно не особо хорошая, так сторонним людям будет легче включить комп).
Один комп, с которым я такое проделывал, не мог загрузиться с флешки. Это было решено просто созданием загрузочного диска. Если Вы погуглите “Making a GRUB bootable CD-ROM”, найдете инструкции, как это делать.
Вот меню. Первый файл на этом диске выглядит так:
Code:
default 0
timeout 2
title Boot from USB (hd1)
root (hd1)
chainloader +1
Теперь я могу загрузиться с этого диска с подключенной флешкой, и диск загрузится с флешки, которая после этого запустит загрузчик и загрузит систему. Возможно, немного раздражает, но это работает.
По установке Debian на зашифрованном диске с загрузочным сектором на флешке есть еще мануал:
Тут ограничено чтение, но можно нагуглить или скачать текст.
Для других ОС тоже можно найти мануалы об установке на зашифрованный диск с загрузочным сектором на флешке. Под Gentoo и BSD я не нашел, если дополните, будет хорошо.
Вы можете подумать, что использование программного и аппаратного шифрования решает проблемы. Нет. Атакующий может просто перебирать разные методы, так что мы снова возвращаемся к первому пункту. Конечно так атакующему будет труднее, но это его не остановит. Так что единственный метод – использовать полнодискове шифрование лишь как первый эщелон защиты.
Пожалуйста не думайте, что сценарии, описанные выше, какие-то фантастические. В Америке например примерно 5000 ноутбуков теряют или оставляют одни в аэропортах каждую неделю. Европейская статистика говорит, что примерно 8% всех ноутбуков, используемых для дела, хотя бы раз были потеряны или украдены.
Похожая проблема, если Вы оставляете комнату или квартиру, где работает Ваш зашифрованный комп. Так что первая защита от этих методов – всегда выключать комп. Всегда.
Следующая вещь, которую нужно себе напомнить: нельзя полагаться на полнодисковое шифрование. Так что нужно предпринимать и дальнейшие шаги в деле шифрования. Это значит, нужно зашифровывать папки, содержащие важную информацию, используя другие методы, такие как контейнеры Truecrypt. В таком случае, если атакующий получит Ваш пароль, он завладеет лишь доступом к неважным файлам. Если у Вас есть важная информация, полнодискового шифрования недостаточно.
Когда используете зашифрованные контейнеры, которые содержат важную информацию, нужно выключать компьютер после того, как используете их, чтобы очистить всю временную информацию, хранящуюся в компе, которая может быть использована атакующим для получения паролей (и тут еще оперативку чистить полезно, поищите, например, программы на гитхабе).
Когда работаете с важной информацией, нужно иметь возможность лишить комп источника питания. Так что если недоброжелатели уже приближаются, Вам нужно лишь выключить кабель и надеяться, что им понадобится по крайней мере 30 сек., чтобы добраться до Вашей оперативки. Это может помочь предотвратить описанные выше атаки.
А вообще чистить надо оперативку, кстати вот инструмента как в Tails, чтобы само при выключении чистило, у меня вроде нет, может у Вас есть?
Pandorabomb претендует на это, командой она чистит, да, а вот автоматически по-моему нет. В любом случае, инструмент неплохой, ищите здесь
Если по какой-то причине Вы не хотите использовать зашифрованный LVM, можно использовать ecryptfs, чтобы шифровать файлы и папки после установки ОС.
Есть еще одна важная вещь:
Шифрование swap с помощью ecryptfs:
Особенно когда используете старый комп с маленькой оперативкой может часто случаться, что комп будет использовать swap для разных задач, когда оперативки недостаточно. Кроме недостатка скорости, это не очень желательно с точки зрения безопасности: поскольку swap находится на жестком диске, записи туда могут оставить следы на Вашем жестком диске. Если комп использует swap пока Вы используете криптоконтейнеры, может случиться так, что пароли запишутся в swap и могут быть извлечены оттуда – а этого Вы захотите избежать.
Это можно сделать просто с помощью ecryptfs.
Сначала надо установить:
Code:
$ sudo apt-get install ecryptfs-utils cryptsetup
А потом зашифровать swap:
Code:
$ sudo ecryptfs-setup-swap
Swap будет размонтирован, зашифрован и снова примонтирован.
Чтобы убедиться, что все как надо, можно использовать эту команду:
Code:
$ sudo blkid | grep swap
Это покажет swap, должна быть надпись «cryptswap».
Чтобы избежать сообщений об ошибках при загрузке, нужно отредактировать /etc/fstab. Скопируйте содержимое этого файла. Возможно, вы захотите его использовать для бэкапов, в случае, если что-то полетит.
На форуме Северус советовал шифровать swap автоматически меняющимися при загрузке ключами, которые нигде не сохраняются. Описывал он это так:
Code:
swapoff -a
ls -lF /dev/disk/by-id
nano /etc/crypttab
cswap /dev/disk/by-id/DISK_NAME_HERE-part1 /dev/urandom swap,cipher=aes-xts-plain64:sha256
nano /etc/fstab
/dev/mapper/cswap none swap sw 0 0
blkdiscard /dev/sdc1
reboot
dmsetup info
lsblk
cat /proc/swaps
Но я не понял, как это сделать. Может, Вы знаете.
Еще один хороший инструмент шифрования – Tomb
Он использует LUKS AES/SHA-256 и потому может считаться надежным. Но Tomb – не просто возможная замена инструментам вроде Truecrypt. У него есть некоторые действительно полезные черты:
1) Разделение зашифрованного файла и ключа
2) Монтирование файлов и папок в заранее определенные места, используя bind-hooks
3) Прятать ключи в картинках, используя стеганографию
Документацию по Tomb мне удалось найти, но, поработав с программой, ч обнаружил некоторые черты, которые не упомянуты ни в какой документации. Поэтому автор сам написал мануал:
Сначала надо испортировать ключи и добавить их в список ключей:
Code:
$ sudo gpg --fetch-keys //apt.dyne.org/software.pub (тут надо добавить хттп)
Теперь сверьте отпечаток:
Code:
$ sudo gpg --fingerprint [email protected] | grep fingerprint
Должно быть примерно следующее:
Code:
Key fingerprint = 8E1A A01C F209 587D 5706  3A36 E314 AFFA 8A7C 92F1
(Вполне может быть, что это уже устарело, стоит на сайте смотреть)
Теперь добавьте ключ:
Code:
$ sudo gpg --armor --export [email protected] > dyne.gpg
$ sudo apt-key add dyne.gpg
Добавьте их репозитории:
Code:
$ sudo nano /etc/apt/sources.list
Добавьте:
Code:
deb //apt.dyne.org/debian dyne main
deb-src //apt.dyne.org/debian dyne main
(Тут тоже хттп перед ссылкой)
Обновитесь:
Code:
$ sudo apt-get update
Установите Tomb:
Code:
$ sudo apt-get install tomb
Использование:
Если у Вас активирован swap, Tomb предложит выключить и зашифровать. Выключить swap:
Code:
$ swapoff -a
Чтобы полностью отключить, можно закомментировать стоку в /etc/fstab. Так оно не будет монтироваться при перезагрузке (заметьте, что отключать swap на старых компьютерах, где немного оперативки, плохая идея. Когда оперативка полностью заполнится, без swap процессы и программы полетят).
Tomb создаст зашифрованный файл в папке, в которой Вы в данный момент находитесь, так что если хотите создавать в папке документов:
Code:
$ cd /home/user/documents
Когда Вы в нужной папке, можно создать зашифрованный файл командой:
Code:
$ tomb -s XX create FILE
XX – размер файла в мегабайтах, (а FILE – название).
Чтобы создать файл «test» размером 10 мб., введите следующее:
Code:
$ tomb -s 10 create test
Заметьте, что если Вы не отключили swap, команду нужно изменить таким образом:
Code:
$ tomb --ignore-swap -s 10 create test
Чтобы открыть и примонтировать этот файл к /media/test введите:
Code:
$ tomb open test.tomb
Чтобы открыть и примонтировать в другом месте:
Code:
$ tomb open test.tomb /different/location
Чтобы закрыть именно этот конкретный файл:
Code:
$ tomb close /media/test.tomb
Чтобы закрыть все файлы tomb:
Code:
$ tomb close all
Или просто:
Code:
$ tomb slam
Очевидно, создать файл под названием «secret.tomb» - плохая идея, серьезно. Гораздо лучше сделать так, чтобы атакующему было сложно даже найти зашифрованные файлы, которые Вы используете. Для этого просто переместите их содержимое в другой файл.
Например:
You need to log in to view the content.

Теперь Вы поменяли имя зашифрованного файла так, что его будет не настолько просто обнаружить. Когда будете это делать, убедитесь, что синтаксис в названии файла, который использует Tomb, сохранен:
filename.suffix
filename.suffix.key

В противном случае при открытии файла будут проблемы.
После этого Вы также можете захотеть переместить ключ в другое место:
You need to log in to view the content.

Теперь давайте перейдем еще дальше:
После того, как Вы переименовали файл и переместили ключ и файл, надо убедиться, что ключ не будет найден. Спрячем его в картинку (jpeg):
You need to log in to view the content.

Вам понадобиться ввести пароль в ходе этого процесса. Теперь переименуйте оригинальный ключевой файл во что-то вроде: "true-story.txt.key-backup" и проверьте, все ли работает.
You need to log in to view the content.

Ваш ключ должен теперь снова появиться. После того, как убедитесь, что все работает, Вы можете снова спрятать ключ и уделить остаток ключа, который обычно находится в папке с оригинальным ключом.
По умолчанию Tomb нужно, чтобы зашифрованный файл и ключ были в одной папке. Если Вы их разделили, нужно изменить команду, которую надо вводить для открытия файла:
You need to log in to view the content.

Чтобы изменить пароль ключевого файла:
You need to log in to view the content.

Если хотите использовать Tomb для шифрования папок с почтой в Icedove, это легко сделать. Обычно это проблема для программ вроде Truecrypt, потому что им нужно создать контейнер, переместить папку в контейнер, и после использования возвращать назад. Tomb делает проще:
Просто переместите папки, которые хотите зашифровать, в корневой раздел tomb-файла, который Вы создали.
Вы хотите зашифровать всю папку icedove. Тогда Вы создаете tomb-файл для него и перемещаете папку icedove в то хранилище. Следующим шагом создаете файл под названием "bind-hooks" и помещаете в ту же директорию. Этот файл будет содержать простую таблицу вроде этой:
You need to log in to view the content.

Первый столбец определяет путь к корневому разделу tomb. Второй указывает путь, относящийся к домашней (home) папке юзера. Так что, если Вы просто хотите зашифровать папку icedove, которая находится в /home/user/, вышеуказанное подойдет. Если хотите, чтобы папка была примонтирована где-то еще в разделе /home, нужно соответствующем образом изменить строки.
После того, как Вы переместили оригинальную папку в tomb, нужно создать ложную папку, в которую может быть примонтировано содержимое оригинальной папки. Так что Вы просто идете в /home/user и создаете папку icedove, оставляя ее пустой. В следующий раз, когда Вы откроете и примотируете свой tomb-файл, папка icedove будет там, и она исчезнет, как только вы закроете tomb.
Советую проверить это, прежде чем перемещать почту.
Подобный инструментарий, в том числе стеганография, есть и в Zulucrypt. Но сам я не пробовал его использовать каким-то нестандартным методом, поэтому если Вы дополните раздел мануалом по продвинутым функциям zulucrypt – это будет полезно. А пока просто помните, что все это есть там, инструмент действительно хороший.
Можно еще сделать такое, чтобы при вводе определенного пароля жесткий диск форматировался. Гуглите «Nuke» и «Nuke password» (вместе с «Luks», скорее всего).
Кейлоггеры могут представлять собой серьезную угрозу Вашей безопасности – но особенно безопасности Ваших криптоконтейнеров. Если кому-то удастся поставить кейлоггер на Вашу систему, он сможет получить все пароли, которые Вы там вводите. Некоторые также делают скриншоты. Так какие есть виды кейлоггеров?
Под линукс есть несколько прог-кейлоггеров. Например, lkl, uberkey, THC-vlogger, PyKeylogger, logkeys.
Защита от них:
1) Никогда не используйте пароли от системы вне ее
В основном то, что устанавливается в линуксе требует root доступа или других привилеегий, полученных через /etc/sudoers. Но атакующий может это обойти, если он использует фреймворк с эксплойтами для браузера (browser-exploitation framework), такой как BEEF, который также может быть использован как кейлоггер на уровне браузера. Так что если Вы используете свой пароль суперпользователя где-то в интернете, он может утечь и может быть использован для установки всех вредоносных программ на Вашем компе. Кейлоггеры также часто бывают частью руткитов. Так что регулярно проверяйте систему.
2) Убедитесь, что Ваш браузер безопасен
Часто люди думают, что кейлоггеры – это некие программы, установленные непосредственно на их компьютере. Но есть и другая угроза, куда более актуальная для пользователей линукс: скомпроментированный браузер. Вы сможете найти много информации о том, как сохранить браузер в безопасности. Так что убедитесь, что Вы ее используете.
Компроментация браузеров – это не ракетостроение. И поскольку все, что может представлять опасность для браузера, кроссплатформенное, так что Вы, как пользователь линукс, не в безопасности. Не важно, что близорукие (есть и такие) фанаты линукса Вам скажут. Эксплойт на javasxript станет для Вас опасным, если Вы не подумаете о безопасности браузера. Не важно, на какой Вы операционной системе.
3) Проверяйте запущенные процессы
Если атакующий не особенно продвинут, он может не подумать о том, чтобы скрыть процесс запущенного кейлоггера. Вы можете их увидеть так:
Code:
$ ps -aux
или
Code:
$ htop
или
Code:
$ pstree
И изучить текущие процессы. Конечно атакующий может его переименовать. Так что смотрите на подозрительные процессы, о которых Вы раньше не слышали. Если Вы сомневаетесь на счет процесса – спросите у знающих людей.
Поскольку многие кейлоггеры входят в состав руткитов, вероятно, что Вам такой и встретится.
4) Ежедневно проверяйте систему на руткиты
Я опишу инстументы, которые это делают, ниже. Rkhunter и Chkrootkit должна точно использоваться. Другие инструменты могут давать более подробную информацию, но из них не извлечь большой пользы, не обладая знаниями об архитектуре линукса и процессах.
5) Не полагайтесь на виртуальные клавиатуры
Идея защититься от кейлоггеров виртуальной клавиатурой кажется удачной. Но это также и опасно. Некоторые кейлоггеры могут также захватывать активность на экране (скриншоты). Так что использование виртуальной клавиатуры может быть бесполезным и давать ложное чувство защищенности.
Сущестаует также все возрастющее количество аппаратных (hardware) кейлоггеров. Некоторые из них используют wifi. А некоторые могут быть внедрены в Вашу клавиатуру, так что Вы их даже не заметите.
Защита от них
1) Изучайте свое железо
Это очевидно.
2) Проверяйте, какие устройства подключены к Вашей машине
Есть отличная программа под названием USB View, которая покажет, какие типы USB-устройств подключены к Вашему компу. Некоторые, но не все, кейлоггеры, которые используют USB, будут отражены там. И она доступна из репозиториев debian:
Code:
$ sudo apt-get install usbview
Кроме этого, не так много чего можно сделать. Если физическая атака является частью Вашей модели угроз, Вам надо подумать о месте, где можно в безопасности хранить ноутбук, пока Вас нет рядом. Также не оставляйте свой ноутбук без присмотра на работе, в аэропорту, отеле и на конференциях.
Шифруя файлы, Вы также можете захотеть позаботиться об их безопасном удалении. Для тех, кто не знает: обычное удаление файла не уничтожает удаленные данные, а только позволяет их перезаписывать. Поэтому данные можно восстановить с помощью инструментов форензики (forensic software). Есть несколько способов безопасно удалять файлы, в зависимости от операционной системы, самый простой способ:
С этой прогой можно не толкьо освобождать свободное место на диске, но и очищать систему от различных временных файлов.
Установка:
Code:
$ sudo apt-get install bleachbit
Запуск:
Code:
$ bleachbit
Просто выберете, что нужно удалить. Помните, что некоторые функции – экспериментальны и могут привести к проблемам в системе. Но не волнуйтесь: программа уведомит об этом и даст возможность отменить выбор.
Еще один хороший и более безопасный способ удаления:
Code:
$ sudo dd if=/dev/urandom of=/dev/sdX
Использование:
Code:
Syntax: srm [-dflrvz] file1 file2 etc.
Функции:
-d проигнорировать файлы, выделенные кавычками
-f быстрый и небезопасный режим
-r рекурсивный режим, удаляет все субдиректории
-v verbose режим
-z перезаписывает последнее удаленное нулями вместо случайных данных
Другие способы.
Чтобы перезаписать данные нулями:
Code:
# dd if=/dev/zero of=/dev/sdX
или:
Code:
$ sudo dd if=/dev/zero of=/dev/sdX
Чтобы перезаписать случайными данными. Это делает менее заметным факт удаления данных:
Code:
# dd if=/dev/urandom of=/dev/sdX
или:
Code:
$ sudo dd if=/dev/urandom of=/dev/sdX
Удаление не работает как надо в ext3
sfill — для очистки от следов удаленных данных свободного места
srm — для надёжного удаления файлов и директорий
smem — для очистки оперативной памяти
sswap — для очистки раздела подкачки (swap)
Эта утилита доступна в большинстве дистрибутивов Linux, включая Debian GNU/Linux. Чтобы удалить файл personalinfo.tar.gz, используется следующая команда:
Code:
$ shred -n 200 -z -u  personalinfo.tar.gz
где:
-n: Перезаписать файл N (200) раз вместо значения по умолчанию (25);
-z: Добавить финальную перезапись нулями;
-u: Отсоединить и удалить файл после перезаписи;
Для получения более подробной информации прочитайте man-страницу shred.
shred file --- По стандарту удалит файл с перезаписью 3 итерациями
shred -n 20 file --- Гораздо безопаснее будет удалить с 20 проходами
shred -f -n 20 -z -v file --- Удаляем без вопросов, изменяя права на файлы и перезаписываем в конце нулями
Большинство из вышеприведенных прог не особо полезны, если Вы используете журналируемую файловую систему, такую как JFS, XFS, Ext3 и т.д., а также при использовании RAID. Кроме того, резервные копии и удаленные зеркала вашей файловой системы могут содержать копии удаляемых файлов, которые останутся в неприкосновенности.
Если Вам нужно какую-то мелочь восстановить, можно использовать, например, проги Elcomsoft.
Не буду рассказывать о важности удаления метаданных. Известная программа — MAT. Кроме этого можно посмотреть, какие есть проги, например ТУТ
Есть всем известные программы, такие как steghide, openstego, под Arch есть еще matroschka, stegsolve, stepic, существуют и не такие распространенные инструменты, такие как tcsteg, про который я уже неоднократно писал на форуме. Если у Вас есть еще интересные программы, дополняйте, пожалуйста.
Читайте книгу: «Форензика – компьютерная криминалистика».
В России есть Elcomsoft, продукты которых используют правоохранительные органы.
Есть еще некоторые специфические инструменты против форензики. Под Arch, правда:
//www.blackarch.org/anti-forensic.html
Следующая вещь, которую Вы, возможно, захотите сделать, это критически посмотреть на то, кто «стучит в Ваши двери». Для этого используйте snort. Настройка проста:
Code:
$ sudo apt-get install snort
Запуск:
Code:
$ snort -D (чтобы запустить в качестве демона)
Чтобы проверить пакеты:
Code:
$ sudo snort
Snort должен автоматически запускаться при загрузке.
Если Вы хотите проверить его правила, загляните в /etc/snort/rules
Чтобы посмотреть предупреждения:
Code:
$ sudo nano /var/log/snort/alert
Snort покажет все события, которые он записал, во временном порядке:
Там Вы можете увидеть записи вроде таких:
You need to log in to view the content.
Следующая вещь – настроить Rkhunter, сокращенное от [R]oot[K]itHunter.
Что он делает? Вы догадались. Ищет руткиты.
Установка:
Code:
$ sudo apt-get install rkhunter
Лучше всего запускать его после установки, чтобы быть уверенным, что ничто уже не пробралось.
Важное замечание по поводу проги, что Вам нужно добавь ей фидбэк. Каждый раз, когда Вы будете запускать обновления, rkhunter будет говорить, что Вы скомпроментированы. Почему? Потому что он может определять лишь подозрительные файлы и изменения в файлах. Так, если Вы обновите пакет coreutils, многие изменения произойдут в /usr/bin – и когда Вы попросите rkhunter проверить систему, в лог файле будут предупреждения. Он сажет, что свойства файлов изменились и начнет ругаться. Чтобы избежать этого, запустите команду rkhunter --propupd в системе, которая, Вы убеждены, не скомпроментирована.
Вкратце: сразу после команд, таких как apt-get update && apt-get upgrade запустите:
Code:
$ sudo rkhunter --propupd
Это говорит rkhunter(у): все в порядке
Чтобы запустить rkhunter:
Code:
$ sudo rkhunter -c --sk
Лог файл в /var/log/rkhunter.log. Так что, когда получаете предупреждение, его можно изучить там.
Чтобы запустиь отложенную проверку (с помощью cron)
Code:
$ sudo nano /etc/cron.daily/rkhunter.sh
Вставьте и измените адрес почты:
Code:
#!/bin/bash
/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Details" [email protected]
Сделайте скрипт исполняемым:
Code:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
Обновите rkhunter:
Code:
$ sudo rkhunter --update
И проверьте, работает ли он, как предполагалось:
Code:
$ sudo rkhunter -c --sk
Конечно Вы можете оставить часть с почтой на усмотрение cron, если не хотите, производить впечатление, что единственный, кто присылает Вам почту – ваш комп.
В целом, использование snort и rkhunter – отличный способ заработать паранойю, если у Вас ее еще нет. Так что, пожалуйста, потратьте время на изучение сообщений и предупреждений. Там много ошибочных сообщений. Обычно беспокоиться не о чем. Но если хотите использовать эти инструменты, придется потратить время на изучение логов. В противном случае их можно просто пропустить.
Фишки rkhunter
Если Вы сомневаетесь, запускать ли rkhunter --propupd после обновления системы, можно использовать следующую команду:
Code:
$ sudo rkhunter --pkgmgr dpkg -c --sk
Теперь rkhunter обратиться к менеджеру пакетов, чтобы убедиться, что все ихменения происходят из надежного источника. Если у Вас раньше были предупреждения, теперь их не должно быть. Если предупреждения все еще есть, можно проверить, к какому пакету и фалу они относятся. Сделайте следующее:
Code:
$ dpkg -S /folder/file/in/doubt (папка в которой сомневаетесь)
Пример:
Code:
$ dpkg -S /bin/ls
В итоге:
Code:
coreutils: /bin/ls
Это говорит Вам, что файл, который Вы проверяли, в /bin/ls, принадлежит пакету "coreutils".
Теперь можно исследовать с помощью packagesearch.
Если он не установлен:
Code:
$ sudo apt-get install packagesearch
Запуск:
Code:
$ sudo packagesearch
Теперь там можно ввести «coreutils» в поле «search for pattern». После выбираете пакет ниже. Потом идете направо и выбираете "files". Там Вы увидите список файлов, относящихся к выбранному пакету. Теперь нужно сделать примерно следующее:
Code:
/usr/share/doc/coreutils/changelog.Debian.gz
Идея в том, чтобы получить файл, относящийся к тому же пакету, что и файл, вызвавший предупреждение rkhunter. Тогда Вы смотрите на этот файл и проверяете его свойства. Когда он был изменен, если в то же время, что и файл в бинернике (binary folder), можно быть вполне уверенным, что изменения происходят из надежного источника. Также используйте хеш-суммы пакетов Debian, когда сомневаетесь.
Если Вы чувствуете, что всего вышенаписанного недостаточно, есть еще кое-что:
Они пишут: «Lynis – инстумент аудита для Unix.Он сканирует Вашу систему и доступные программы, обнаруживая проблемы в безопасности. Кроме информации по поводу безопасности, он также будет сканировать основную информацию системы, установленные пакеты и ошибки конфигурации».
Эта прога заявляет о себе как об автоматизированном аудите, автоматизированном исправлении программного обеспечения, поиске уязвимостей и малвари для Unix.
Автор использует, ему нравится. Если думаете, что она может Вам понадобиться – попробуйте. Она доступна в репозиториях Debian.
Code:
$ sudo apt-get install lynis
Запск:
Code:
$ sudo lynis -c
Что обнаружит, будет объяснено в лог-файлах.
Проверка debsums, md5-сумм Ваших системных файлов по хешам в репозиториях.
Установка:
Code:
$ sudo apt-get install debsums
Запуск:
Code:
$ sudo debsums -ac
Это покажет все файлы, к которым хеши или отсутствуют, или изменены. Но, пожалуйста, не беспокойтесь, если найдете что-то вроде /etc/ipkungfu/ipkungfu.conf после того, как последуете советам этого мануала.
Есть проги, которые теперь идут вместе с sha256 хешами. Например: I2P
debsums не поможет с этим. Чтобы проверить хеш-сумму вручную:
$ cd /папка/файл/что проверяем to -sha256sum -c файл-что-хотите-проверить
После этого сравните его с представленными хешами. Этот инструмент уже включен в системы, основанные на Debian.
Чтобы быть уверенными, что все в Вашей системе безопасно, используйте ClamA[nti]V[irus].
Установка:
Code:
$ sudo apt-get install clamav
Обновление:
Code:
$ sudo freshclam
Проверка загруженной папки:
Code:
$ sudo clamscan -ri /home/your-username/downloads
Проверить систему:
Code:
$ sudo clamscan -irv --exclude=/proc --exclude=/sys --exclude=/dev --exclude=/media --exclude=/mnt
Это заставит ClamAV просканировать Вашу систему рекурсивно в verbose режиме, исключив папки, которые Вы не хотите проверять.
Убедитесь, что проверяете все, что скачиваете. Вы никогда не знаете, когда сервера, которым обычно можно доверять, могут быть скомпроментированы. Вредоносный код может в файлы каждого типа (да, включая pdf).
Помните: ClamAV известен своей параноидальностью. Это значит, что время от времени будут ложные срабатывания. Ищите в интернете, если Вы сомневаетесь в его результатах.
В целом советую использовать проводное соединение. Если нужно беспроводное, используйте шифрование WPA2. Все остальное сможет перехватить 12-ти летний подросток.
Также запускайте только те службы, которые Вы реально используете. Если Вы не используете SSH – удалите клиент, чтобы быть уверенным в обеспечении безопасности от некоторых проблем. Также заметьте, что IRC тоже не особенно безопасен. Используйте осторожно, или просто используйте виртуалку для подобных программ.
Если Вы используете SSH, используйте Denyhosts или SSHGuard.
You need to log in to view the content.

Установите:
Code:
$ sudo apt-get install ipkungfu
Настройте:
Code:
$ sudo nano /etc/ipkungfu/ipkungfu.conf
Раскомментируйте:
Code:
# IP внутренней сети. Используйте "127.0.0.1"
# для автономной машины
LOCAL_NET="192.168.1.0/255.255.255.0"
---
# Gateway скорее всего не понадобиться трогать, если не соединяетесь через что-то другое.
GATEWAY=0
---
# Закрываем порты
FORBIDDEN_PORTS="135 137 139"
---
# Сброс ping
# 1 - да, 0 - нет. По умолчанию нет.
BLOCK_PINGS=1
---
# Что делать с вероятно подозрительными пакетами
#SUSPECT="REJECT"
SUSPECT="DROP"
---
# Что делать с подозрительным трафиком
#KNOWN_BAD="REJECT"
KNOWN_BAD="DROP"
---
# Что делать со сканированием портов
#PORT_SCAN="REJECT"
PORT_SCAN="DROP"
Запуск при старте системы:
Code:
$ sudo nano /etc/default/ipkungfu
Измените "IPKFSTART =0" на "IPKFSTART=1"
Запуск:
Code:
$ sudo ipkungfu
Настройка /etc/sysctl.conf
Здесь можно выставить различные способы работы с ICMP-пакетами и тому подобным:
Code:
$ sudo nano /etc/sysctl.conf
# Не принимайте ICMP перенаправления (предотвращает MITM)
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
net.ipv4.tcp_syncookies=1
#lynis recommendations
#net.ipv6.conf.default.accept_redirects=0
net.ipv4.tcp_timestamps=0
net.ipv4.conf.default.log_martians=1
# TCP Hardening - cromwell-intl.com/security/security-stack-hardening.html (тут нужен урл)
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
kernel.core_uses_pid=1
kernel.sysrq=0
#ignore all ping
net.ipv4.icmp_echo_ignore_all=1
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
# Log Martian Packets
net.ipv4.conf.all.log_martians = 1
После редактирования запустите эту команду, чтобы утвердить изменения:
Code:
sudo sysctl –p
По настройке ipkungfu еще была статья в Хакере «Гайд по обеспечению безопасности Linux-системы».
Еще можно использовать другие варианты.
Code:
sudo apt-get install ufw gufw
      sudo ufw enable
      sudo ufw default deny incoming
      sudo nano /etc/ufw/before.rules
Меняем ACCEPT на DROP в следующих строках:
Code:
# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Тоже возможный вариант:
Скачиваем ключ отсюда
//www.whonix.org/wiki/Whonix_Signing_Key

Code:
  gpg --import patrick.asc (если не выходит, запукайте из папки, где хранится ключ или прописывайте туда путь)
       gpg --export 916B8D99C38EAF5E8ADC7A2A8D66066A2EEACCDA | sudo apt-key add -
Под рутом:
Code:
echo "deb //deb.whonix.org jessie main" > /etc/apt/sources.list.d/whonix.list
(естественно эта команда не сработает, т.к. тут нет http)
Code:
   apt-get update
Устанавливаем
Code:
sudo apt-get install whonix-ws-firewall
Либо cкачиваем здесь:
Code:
sudo dpkg –i whonix-ws-firewall*.deb (можно скопировать название скачанной версии)
Пожалуйста, не забудьте включить файервол на модеме и роутере, отключить UPnP (это Вам может понадобиться в p2p сетях) и изменить имя пользователя и пароль (или можно ничего этого не делать, чтоб сойти за рядового пользователя). Также устанавливайте обновления. Также Вы можете захотеть установить собственный файервол, используя smoothwall.
Лучшая идея – использовать открытые проги для подключения к интернету (firmware)для роутера, такие как dd-wrt, openwrt или tomato. Используя их, можно превратить свой роутер в девайс корпоративного уровня. Конечно прогаммы вроде - dd-wrt используют IP-tables, который Вы можете дополнить своими скриптами.
Используем безопасные и нецензурируемые бесплатные DNS
Чтобы изменить настройки DNS:
Code:
$ sudo nano /etc/resolv.conf
Измените свои DNS на заслуживающие доверия. В противном случае, Ваш модем будет использовать автоматически определенные сервера, что не особенно анонимно. Нужные dns-сервера можно найти в интернете.
HTTPS-DNS предпочтительней по очевидным причинам.
Ваш resolv.conf должен выглядить примерно так:
Code:
nameserver 213.73.91.35
#CCC DNS-Server
nameserver 85.214.20.141
#FoeBud DNS-Server
Используйте хотя бы два DNS-сервера, чтобы избежать проблем с подключением, которые иногда случаются.
Чтобы предотвратить перезапись этого файла системой при перезагрузке, запустите под рутом:
Code:
$ sudo chattr +i /etc/resolv.conf
Это сделает файл неизменяемым, даже для рута.Чтобы отменить это для последующих изменений запустите
Code:
$ sudo chattr -i /etc/resolv.conf
Это заставит Ваш браузер использовать DNS-сервера, которые Вы указали, вместо обычных.
Разные DNS можно найти здесь
Еще можно обезопасить соединения, используя DNScrypt.
Что мне не нравится в этом деле: необходимость использования OpenDNS. Они имеют плохую репутацию из-за агрессивной рекламы и угона инфы. Но я уверен, что некоторые такие «фишки» OpenDNS блокируются настройкой браузера (о которой ниже). В частности аддон Request Policy предотвращает перенаправление в функцию поиск OpenDNS. Например, вопрос о поиске инфы в том, что он предоставляется yahoo!, и они могут вести логи.
В зависимости от Вашей модели угроз, если Вы не вводите ничего секретного, что никто не должен знать, можно использовать DNScrypt, поскольку оно делает хорошее дело, шифруя DNS трафик. Также можно перенаправлять запросы на Ваше сервер вместо OpenDNS – но я это еще не проверял.
Так что, если Вам не важно, что OpenDNS будет знать каждый сайт, который Вы посещаете, можно продолжить использовать DNScrypt:
Скачиваете текущую версию (dnscrypt.org). И:
Code:
$ sudo bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf -
$ cd dnscrypt-proxy-*
Скомпилировать и установить:
Code:
$ sudo ./configure && make -j2
$ sudo make install
Замените -j2 количеством ядер, которое хотите использовать.
Чтобы прописать в resolv.conf localhost:
Code:
$ nano /etc/resolv.conf
Замените на:
Code:
nameserver 127.0.0.1
Запуск DNScrypt в качестве демона:
Code:
$ sudo dnscrypt-proxy --daemonize
Должен заметить, что OpenDNS быстрый. Что можно сделать: для своего обычного поиска используйте OpenDNS, а для приватного измените настройки в resolv.conf обратно на заслуживающие доверия DNS-сервера, которые можно хранить в той же папке.
В Whonix вообще особого смысла в шифровании DNS нет, можете посмотреть их на эту тему:
www.whonix.org/wiki/Secondary_DNS_Resolver.
Еще есть статья про DNS «Новый сорт паранойи».
Песочница – особая среда, которая предотвращает доступ программы в важным системным данным, на случай, если она будет скомпрментирована. Дальше тут автор предлагает совершенно какой-то трудный способ, можно все сделать куда проще, в частности:
Code:
sudo apt-get install firejail
firejail firefox – запуск
Чтобы приложение перманентно открывалось в песочнице:
ln -s /usr/bin/firejail /usr/local/bin/название приложения
(естественно название не абы какое, а та команда, которая его запускает)
Также еще смотрите статью «Игры с песочницей. Выбираем простое и быстрое решение для изоляции приложений»
Установка:
Code:
$ sudo -s
$ gpg --keyserver keys.gnupg.net --recv-keys 7977070A723C6CCB696C0B0227A5AC5A01937621
$ gpg --check-sigs 0x01937621
$ bash -c 'gpg --export -a 01937621 | apt-key add -'
$ echo "deb //ignorantguru.github.com/debian/ unstable main" >> /etc/apt/sources.list (тут нужен хттп)
$ apt-get update
$ apt-get install sandfox
Запуск:
Code:
$ sudo sandfox firefox
Введите "/" в поисковую строчку, и убедитесь, что все работает. Бразуер теперь должен иметь доступ только к файлам, которые ему нужны и не в /root.
Чтобы скачивать фалы из инета, отредактируйте профиль:
Code:
$ sudo nano /etc/sandfox/default.profile
Добавьте:
Code:
bind=/home/$user/downloads
Базовая настройка.Думаю это сами все знают.
Code:
"General"->"when Firefox starts"->"Show a blank page"
"General"->"save files to:"Downloads"
"Content"->check:"Block pop-up windows"
"Content"->uncheck:"Enable JavaScript" [optional - NoScript Add-on will block it anyway]
"Content"->"Fonts & Colors"->"Advanced"->"Serif":"Liberation Sans"
"Content"->"Fonts & Colors"->"Advanced"->"Sans-serif":"Liberation Sans"
"Content"->"Fonts & Colors"->"Advanced"->uncheck:"Allow pages to choose their own fonts"
"Content"->"Languages"->choose *only*:"en-us" [remove all others, if any]
"Applications"->choose:"Always ask" for every application - if not possible:choose:"Preview in Firefox/Nightly"
"Privacy"->"Tracking"->check:"Tell websites I do not want to be tracked"
"privacy"->"History"->"Firefox will:"Use custom settings for history"
"privacy"->"History"->uncheck:"Always use private browsing mode"
"privacy"->"History"->uncheck:"Remember my browsing and download history"
"privacy"->"History"->uncheck:"Remember search and form history"
"privacy"->"History"->uncheck:"Accept cookies from sites"
"privacy"->"History"->uncheck:"Accept third-party cookies"
"privacy"->"History"->check:"Clear history when Firefox/Nightly closes"
"privacy"->"History"->"settings":check all -> except:"Site Preferences"
"privacy"->"location bar"->"When using the location bar, suggest:"->choose:"Nothing"
"security"->check:"Warn me when sites try to install add-ons"
"security"->check:"Block reported attack sites"
"security"->check:"Block reported web forgeries"
"security"->"Passwords"->uncheck:"Remember passwords for sites"
"security"->"Passwords"->uncheck:"Use a master password"
"advanced"->"General"->"System Defaults"->uncheck:"Submit crash reports"
"advanced"->"General"->"System Defaults"->uncheck:"Submit performance data"
"advanced"->"Update"->check:"Automatically install updates"
"advanced"->"Update"->check:"Warn me if this will disable any of my add-ons"
"advanced"->"Update"->check:"Automatically update Search Engines"
"advanced"->"Encryption"->"Protocols"->check:"Use SSL 3.0"
"advanced"->"Encryption"->"Protocols"->check:"Use TLS 1.0"
"advanced"->"Encryption"->"Certificates"->"When a server requests my personal certificate"->check:"Ask me every time"

about:config:

Code:
---disable browser cache:
browser.cache.disk.enable:false
browser.cache.disk_cache_ssl:false
browser.cache.offline.enable:false
browser.cache.memory.enable:false
browser.cache.disk.capacity:0
browser.cache.disk.smart_size.enabled:false
browser.cache.disk.smart_size.first_run:false
browser.cache.offline.capacity:0
dom.storage.default_quota:0
dom.storage.enabled:false
dom.indexedDB.enabled:false
dom.battery.enabled:false
---disable history & localization
browser.search.suggest.enabled:false
browser.sessionstore.resume_from_crash:false
geo.enabled:false
---misc other tweaks:
keyword.enabled:false
network.dns.disablePrefetch:true -> very important when using TOR
network.dns.disablePrefetchFromHTTPS -> very important when using TOR
dom.disable_window_open_feature.menubar:true
dom.disable_window_open_feature.personalbar:true
dom.disable_window_open_feature.scrollbars:true
dom.disable_window_open_feature.toolbar:true
browser.identity.ssl_domain_display:1
browser.urlbar.autocomplete.enabled:false
browser.urlbar.trimURL:false
privacy.sanitize.sanitizeOnShutdown:true
network.http.sendSecureXSiteReferrer:false
network.http.spdy.enabled:false ---> use http instead of google's spdy
plugins.click_to_play:true ---> also check each drop-down-menu under "preferences"->"content"
security.enable_tls_session_tickets:false ---> disable https-tracking
security.ssl.enable_false_start:true ---> disable https-tracking
extensions.blocklist.enabled:false ---> disble Mozilla's option to block/disable your addons remotely
webgl.disabled:true ---> disable WebGL
network.websocket.enabled:false --->
network.http.pipelining:true
network.http.pipelining.ssl:true
network.http.proxy.pipelining:true
network.http.max-persistent-connections-per-proxy:10
network.http.max-persistent-connections-per-server:10
network.http.max-connections-per-server:15
network.http.pipelining.maxrequests:15
network.http.redirection-limit:5
network.dns.disableIPv6:true
network.http.fast-fallback-to-IPv4:false
dom.popup_maximum Mine:10
network.prefetch-next:false
browser.backspace_action:0
browser.sessionstore.max_tabs_undo:5
browser.sessionhistory.max_entries:5
browser.sessionstore.max_windows_undo:1
browser.sessionstore.max_resumed_crashes:0
browser.sessionhistory.max_total_viewers:0
browser.tabs.animate:0
NoScript
HTTPS everywhere
Flashblock
Privacy badger
Disconnect
Что-то для подмены User Agent
Disable webrtc
Betterprivacy
Self-destructing cookies
Canvas Fingerprint Blocker
SSleuth
Decentraleyes
Заметьте.
Фигрепринтинг, который несет более 15-20 бит идентифицирующей информации, достаточен, чтобы идентифицировать конкретный браузер, дать его ip, маску подсети, или даже его автономный системный номер. Можно ознакомиться на panopticlick.org

Теперь, когда мы разобрались с системой и с браузером, давайте начнем подключаться к интернету.
Выходные ноды часто представляют собой honey-pots и поддерживаются кибер-преступниками и агентами спецслужб. Почему? Трафик внутри зашифрован, но на выходе должен расшифровываться и это происходит на выходных нодах, которые могут изучить Ваш трафик (Понятно, что здесь все надеются на https). Еще одна проблема с тором в том, что как только Вы его начинаете использовать в том месте, где его не используют, провайдер точно может об этом узнать. Так что безопасней использовать мосты. Но это уменьшает возможности тех, кому оно реально нужно: в Китае, Иране и т.п.Советую осторожно относиться ко всему, скаченному в даркнетах. В частности, изменить владельца файла на пользователя с ограниченным доступом.
Это все знают.Также можно установить на роутере. Нагуглите.
Проще всего установить macchanger и там менять.
Есть сервисы для получения почты с целью регистрации на каких-то сайтах (хотя многие их банят). Например:
anonymouse/anonemail
trash-mail
10 Minute Mail
dispostable
SilentSender
Mailinator
И удобное расширение Bloody Vikings для браузера.
Но важнее – отправка сообщений без информации о своем адресе.
guerrillaMail.com (15 минут, хотя пишет 60)
yopmail.com/en/ (5 дней)
mailexpire.com
mytrashmail.com
incognitomail.com
trash-mail.com/compose-mail/
e4ward.com
Больше можно найти здесь:
//gist.github.com/adamloving/4401361
//www.malwarehelp.org/50-free-temporary-disposable-and-forwarding-email-services-2009.html
//www.tothepc.com/archives/40-temporary-disposable-email-services-quickies/
По понятным причинам лучше использовать иностранные.
Есть всем известные privnote.com и onetimesecret.com. Обсуждалось, могут ли к ним получить доступ спецслужбы, и многие считают, что да. Но в целом это лучше, чем просто так пересылать информацию, например, в социальных сетях.
Для нас, конечно, актуальней «Вконтакте». Во-первых, подумайте о том, что многие сайты блокируют тор-ноды, а крупные соц.сети — нет. Так что, заходя через тор, Вы, вполне возможно, привлекаете дополнительное внимание. Еще если у Вас есть какая-то информация о том, как долго «Вконтакте» хранит ip, переписку, посты (включая удаленные) и т.д., поделитесь, это важно. А вообще еще предстоит думать, как использовать эти инструменты себе во благо, а не во вред.
Friendica рекомендует Free Software Foundation
Lorea довольно сложная.
Diaspora, но есть некоторые сомнения по поводу ее безопасности:
//oda.dreamwidth.org/2828.html
Хотя это в любом случае лучше, чем фейсбук.
Безопасен ли телеграм? Конечно нет. Как вообще может быть безопасной проприентарщина, привязанная к номеру телефона?!
Статьи по теме:
«On the CCA insecurity of MTProto»
«Telegram AKA Stand back we have Math PhDs! »
//unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
«Telegram’s Cryptanalysis Contest»
//www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest
«A practical cryptoanalysis of the Telegram messaging protocol»
//cs.au.dk/~jakjak/master-thesis.pdf
«A crypto challenge for the Telegram Developers»
//moxie.org/blog/telegram-crypto-challenge/
Всегда используйте хорошие пароли.:)
Используется для генерации паролей.
Установка:
Code:
$ sudo apt-get install pwgen
Использование:
Code:
pwgen [ OPTIONS ] [ pw_length ] [ num_pw ]
Возможности:
Code:
-c or --capitalize
Включить хотя бы одну заглавную букву в пароль.
Code:
  -A or --no-capitalize
Не включать заглавных букв
Code:
  -n or --numerals
Включить хотя бы один номер в пароль.
Code:
  -0 or --no-numerals
Не включать номера
Code:
-y or --symbols
Включить хотя бы один символ в пароль
Code:
-s or --secure
Сгенерировать совершенно случайный пароль
Code:
  -B or --ambiguous
Не включать сложные символы в пароль
Code:
-h or --help
  -H or --sha1=path/to/file[#seed]
Использовать sha1 хеш-сумму файла для генератора
Code:
-C
Опубликовать сгенерированные пароли в колонке
Code:
  -1
Не делать этого
Code:
-v or --no-vowels
Не использовать гласных, чтобы избежать неприятных слов
Пример:
Code:
$ pwgen 24 -y
Pwgen выдаст список паролей из 24 цифр с хотя бы одним специальным символом.
Чтобы проверить сложность пароля, рекомендую использовать Passfault. Но советую не использовать там свой настоящий пароли, заменив каждую букву другой. Так можно проверить сложность пароля, не передавая его сомнительным образом по интернету.
Если Вы думаете, что система скомпроментирована и содержит кейлоггеры, нужно использовать только виртуальную клавиатуру. Они есть в каждой ОС.
KeePass хранит все пароли в зашифрованном AES/Twofish хранилище, предоставляя удобный и безопасный способ их использования.
Установка:
Code:
$ sudo apt-get install keepass2
Гайд можно найти на официальном сайте.
Хотя все и хвалят Keepass, мне это не кажется так уж надежно, хотя бы потому, что все будут знать, что Вы тут храните пароли. Конечно, нет и защиты от терморектального криптоанализа.
Хотя есть мнение, что применяется он не особенно часто, и жестко пытать скорее всего не будут, точно это знать невозможно. Особенно учитывая то, как они прославились в пытках и садизме.
Абсолютно надежной защиты нет, поскольку если Вы знаете свой пароль, Вы его можете сказать, а если не знаете, то он бесполезен.
Надо сделать как можно менее очевидным факт хранения пароля.
Во-первых, pgp ключи. Я спрашивал на форуме, как лучше их спрятать, но ответа не получил. Не знаю как.
Во-вторых, можно использовать стеганографию и маленькие контейнеры, чтобы спрятать их. Еще можно прятать не только в компьютере, но и в своем доме. Хотя, как я понимаю, обыски проводят тщательно и заглядывают…в общем везде. Можете делиться своими советами.
Статья «Скрытый шифрованный диск с защитой от терморектальной расшифровки»
//habrahabr.ru/post/92774/
Обязательно нужно позаботиться об альтернативных вариантах доступа к информации в случае разных трудностей. Очевидные варианты:
- Облачные сервисы
Минусы: нужно помнить пароль к ним, да еще и к криптоконтейнеру (мы ведь не будем отправлять этим компаниям незашифрованные данные), недолгосрочное хранение, все это могут удалить. Само наличие программ на компе может вызывать терморектальный криптоанализ.
Идеальных вариантов нет. И еще нужно обязательно подумать над такой ситуацией:
- Вы просидели несколько лет/или срочно сбежали на эти годы. Что стало с данными?
- Вас накачали психотропными препаратами и Вы сами ничего не помните.
Что делать в таких случаях? Советы приветствуются.
Отредактировано @nurlan7700
 
Last edited by a moderator:

NitroNinja

Member
Joined
Jul 5, 2017
Messages
123
Reaction score
3
Норм инфа, но с редактированием было бы проще воспринимать
 

cyber23

Member
Joined
Feb 15, 2012
Messages
194
Reaction score
50
Дополняйте если есть что!!!!
 

Enfore

Member
Joined
May 30, 2017
Messages
396
Reaction score
21
"- Вас накачали психотропными препаратами и Вы сами ничего не помните."
Выхода только два: ноотропы и медитация (но вот со вторым проблема — слишком долго нужно осваивать)
 

cyber23

Member
Joined
Feb 15, 2012
Messages
194
Reaction score
50
"- Вас накачали психотропными препаратами и Вы сами ничего не помните."
Выхода только два: ноотропы и медитация (но вот со вторым проблема — слишком долго нужно осваивать)
С банальной точки зрения моей эрудиции ваши эмоции в даной концепции, неосицитируються с действиями вашего мышления но тем немение мне смешно можете продолжать !!!!
 

Max_Legend

Member
Joined
Jul 29, 2018
Messages
125
Reaction score
15
Такие статьи повышают киберграмотность пользователей и их будет сложнее обмануть
 
Status
Not open for further replies.
Top