Приветствую всех, не уверен были ли подобные темы на форуме (искал, не нашёл) потому напишу свою.
В этом посте я распишу только то, что уже очень долго давит мне на голову, что думаю на этот счёт, а также спрошу пару советов.
Интересует вопрос эффективного достижения максимального уровня анонимности. Я имею в виду такие методы, которые позволяют максимально обезопасить свою систему (ПК) начиная от хардварного уровня и заканчивая сетевыми манипуляциями, но обезопасить так, чтобы процесс OPSEC не был слишком дорогостоящим, трудным и затрудняющим дальнейшее использование (т.е. целесообразно проводить работу до тех пор, пока это эффективно).
Приведу пару простых примеров неэффективных и неудобных (по моему мнению) но очень безопасных решений:
- на linux использовать дистрибутивы не использующие systemd
- использование Linux-libre ядра, взамен обычному
- использование исключительно тех дистро, которые признаны FSF
Советы выше буквально являются деструктивными т.к. они являются причинами холиваров, в то же время внося "призрачный" вклад в OPSEC пользователя и причиняя уйму неудобств связанных с недостатком умений / знаний
Теперь перейду к тому, что на данный момент я имею в голове на счёт "правильной" анонимности.
1. Использование coreboot взамен UEFI/BIOS. Спорная тема, так как coreboot поддерживается не на всех платах, а его портирование на свою является сильной проблемой
проблема uefi/bios не в заводских бекдорах (хотя это тоже) но и в уязвимостях по типу обхода secure boot. Это создает вероятность заражения буткитом, что очень неприятно, потому хотелось бы услышать ваше мнение насчет coreboot, стоит того?
2. Использование dualboot
К сожалению, не все люди столь богатые чтобы реализовать себе несколько устройств тем самым обезопасив рабочее место.
лично я имею надобность как в достаточно безопасной и свободной ОС так и в достаточно удобной userfriendly ОС, единой и сбалансированной к сожалению я не обнаружил, потому я хочу сделать связку dualboot:
Некий Linux (arch, devuan) + Win10, win10 будет иметь 1 накопитель чисто под крякнутое ПО, игры, linux будет иметь 2 накопителя под другие задачи, вопрос такой: Возможно ли реализовать отключение питания дискам #1 #2 при использование win10? и наоборот, отключение питания диску #3 при использовании linux, это сильно повысит безопасность, и можно будет избежать компрометации данных второй системы при заражении первой + хотелось бы услышать про загрузчики для dualboot по типо GRUB, может у них есть какие то изъяны? какое ваше общее мнение?
p.s. из плюсов dualboot - никакой эмулятор qemu kvm не сможет так глубоко эмулировать виндовс как его нативная версия для различных тестов.
3. Использование amd вместо intel
На платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
p.s. вопрос по железу! - может кто подскажет какую мат плату можно приобрести, из условий: am4 сокет, адекватная цена, возможность прошиться под coreboot (не обязательно) или прошиться актуальными uefi/bios образами от производителя без эксплойтов и крит уязвимостей? (уязвимости которые могут быть эксплуатированы только при определенных редких условиях или только при физическом доступе не стоит расматривать как критические или даже высокие).
4. Использование безопасных образов \ дистро
главной осью можно выбрать arch или devuan, накатывать файрволл и обновления + проводить аудит не считаю трудной задачей (для всего подозрительного существуют VM которые также будут использоваться на нашей главной системе)
win10 ось ставится оригинальная и чиститься от телеметрии и другого говна используя разные тулзы из сети
ваши рекомендации?
5. Whonix под qemu/kvm на нашей главной системе (тут всё понятно)
есть пару вопросов по поводу использования торифицированной ВМ, хотелось бы узнать: как использовать монеро кошельки? (буду использовать чужие доверенные ноды) через тор капец как долго синхронизируется, или вообще прерывается.
Ситуация с btc кошельками такая же? подскажите как это можно ускорить и какие кошели лучше использовать? возможно ли установить мобильный эмулятор на ВМ? на вм на виндовс была проблема, в virtualbox в настройках недоступна галочка amd-v / intel-vt, хотя проц поддерживает виртуализацию и в bios включена, как так? и может дадите общие рекомендации как ускорить и оптимизировать работу ВМ, ГПУ прокидывать не буду.
6. Полнодисковое шифрование veracrypt (тут тоже всё понятно)
Не уверен, но вроде как возможно реализовать схему, когда вводя пароль #1 мы попадаем на некую систему #1, а вводя пароль #2 мы попадаем на систему #2, это решит сразу 2 проблемы: создание правдоподобного отрицания в случае когда из тебя насильно выбивают пароль и возможность упрощения dualboot (может я несу х#йню, ибо никогда не слышал как реализуется такое "двойное" шифрование и как это работает да и возможно ли такое вообще я не уверен, если и возможно получиться ли реализовать метод с отключением питания неиспользуемым дискам?). Ваше мнение на этот счёт?
7. (не связано opsec) Долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?
8. (чуть отдалимся физически от ПК) Прошивка своих устройств - здравая мысль, так стоит ли прошивать свой ведроид на относительно свободные ОС? подскажите ОС какие сами использовали и их изъяны, возможно ли будет в них создать виртуальный контейнер для гос. приложений которые потенциально бекдоры? У них будет доступ лишь к выделенной ПЗУ памяти. Также это оптимизирует расход батареи / трафика на всякие фоновые мусорные гугловские процессы.
Стоит задеть и роутер, нужно ли прошивать роутер под openwrt? могу ли я настроить там приколы для ускорения udp/tcp трафика? очевидные плюсы это zapret, возможность наката впн, возможность наката dnscrypt, возможность наката bittorrent + инструментов для создания информационного шума.
В основном тут лишь то, что меня беспокоит, для грамотного opsec есть вагон тем для изучения, которым этой темы будет маловато.
Возможно я что то забыл или упустил, тогда позже отредачу или комментарий добавлю. Если где то косякнул - укажите, буду рад любому совету или замечанию.
В этом посте я распишу только то, что уже очень долго давит мне на голову, что думаю на этот счёт, а также спрошу пару советов.
Интересует вопрос эффективного достижения максимального уровня анонимности. Я имею в виду такие методы, которые позволяют максимально обезопасить свою систему (ПК) начиная от хардварного уровня и заканчивая сетевыми манипуляциями, но обезопасить так, чтобы процесс OPSEC не был слишком дорогостоящим, трудным и затрудняющим дальнейшее использование (т.е. целесообразно проводить работу до тех пор, пока это эффективно).
Приведу пару простых примеров неэффективных и неудобных (по моему мнению) но очень безопасных решений:
- на linux использовать дистрибутивы не использующие systemd
- использование Linux-libre ядра, взамен обычному
- использование исключительно тех дистро, которые признаны FSF
Советы выше буквально являются деструктивными т.к. они являются причинами холиваров, в то же время внося "призрачный" вклад в OPSEC пользователя и причиняя уйму неудобств связанных с недостатком умений / знаний
Теперь перейду к тому, что на данный момент я имею в голове на счёт "правильной" анонимности.
1. Использование coreboot взамен UEFI/BIOS. Спорная тема, так как coreboot поддерживается не на всех платах, а его портирование на свою является сильной проблемой
проблема uefi/bios не в заводских бекдорах (хотя это тоже) но и в уязвимостях по типу обхода secure boot. Это создает вероятность заражения буткитом, что очень неприятно, потому хотелось бы услышать ваше мнение насчет coreboot, стоит того?
2. Использование dualboot
К сожалению, не все люди столь богатые чтобы реализовать себе несколько устройств тем самым обезопасив рабочее место.
лично я имею надобность как в достаточно безопасной и свободной ОС так и в достаточно удобной userfriendly ОС, единой и сбалансированной к сожалению я не обнаружил, потому я хочу сделать связку dualboot:
Некий Linux (arch, devuan) + Win10, win10 будет иметь 1 накопитель чисто под крякнутое ПО, игры, linux будет иметь 2 накопителя под другие задачи, вопрос такой: Возможно ли реализовать отключение питания дискам #1 #2 при использование win10? и наоборот, отключение питания диску #3 при использовании linux, это сильно повысит безопасность, и можно будет избежать компрометации данных второй системы при заражении первой + хотелось бы услышать про загрузчики для dualboot по типо GRUB, может у них есть какие то изъяны? какое ваше общее мнение?
p.s. из плюсов dualboot - никакой эмулятор qemu kvm не сможет так глубоко эмулировать виндовс как его нативная версия для различных тестов.
3. Использование amd вместо intel
На платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
p.s. вопрос по железу! - может кто подскажет какую мат плату можно приобрести, из условий: am4 сокет, адекватная цена, возможность прошиться под coreboot (не обязательно) или прошиться актуальными uefi/bios образами от производителя без эксплойтов и крит уязвимостей? (уязвимости которые могут быть эксплуатированы только при определенных редких условиях или только при физическом доступе не стоит расматривать как критические или даже высокие).
4. Использование безопасных образов \ дистро
главной осью можно выбрать arch или devuan, накатывать файрволл и обновления + проводить аудит не считаю трудной задачей (для всего подозрительного существуют VM которые также будут использоваться на нашей главной системе)
win10 ось ставится оригинальная и чиститься от телеметрии и другого говна используя разные тулзы из сети
ваши рекомендации?
5. Whonix под qemu/kvm на нашей главной системе (тут всё понятно)
есть пару вопросов по поводу использования торифицированной ВМ, хотелось бы узнать: как использовать монеро кошельки? (буду использовать чужие доверенные ноды) через тор капец как долго синхронизируется, или вообще прерывается.
Ситуация с btc кошельками такая же? подскажите как это можно ускорить и какие кошели лучше использовать? возможно ли установить мобильный эмулятор на ВМ? на вм на виндовс была проблема, в virtualbox в настройках недоступна галочка amd-v / intel-vt, хотя проц поддерживает виртуализацию и в bios включена, как так? и может дадите общие рекомендации как ускорить и оптимизировать работу ВМ, ГПУ прокидывать не буду.
6. Полнодисковое шифрование veracrypt (тут тоже всё понятно)
Не уверен, но вроде как возможно реализовать схему, когда вводя пароль #1 мы попадаем на некую систему #1, а вводя пароль #2 мы попадаем на систему #2, это решит сразу 2 проблемы: создание правдоподобного отрицания в случае когда из тебя насильно выбивают пароль и возможность упрощения dualboot (может я несу х#йню, ибо никогда не слышал как реализуется такое "двойное" шифрование и как это работает да и возможно ли такое вообще я не уверен, если и возможно получиться ли реализовать метод с отключением питания неиспользуемым дискам?). Ваше мнение на этот счёт?
7. (не связано opsec) Долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?
8. (чуть отдалимся физически от ПК) Прошивка своих устройств - здравая мысль, так стоит ли прошивать свой ведроид на относительно свободные ОС? подскажите ОС какие сами использовали и их изъяны, возможно ли будет в них создать виртуальный контейнер для гос. приложений которые потенциально бекдоры? У них будет доступ лишь к выделенной ПЗУ памяти. Также это оптимизирует расход батареи / трафика на всякие фоновые мусорные гугловские процессы.
Стоит задеть и роутер, нужно ли прошивать роутер под openwrt? могу ли я настроить там приколы для ускорения udp/tcp трафика? очевидные плюсы это zapret, возможность наката впн, возможность наката dnscrypt, возможность наката bittorrent + инструментов для создания информационного шума.
В основном тут лишь то, что меня беспокоит, для грамотного opsec есть вагон тем для изучения, которым этой темы будет маловато.
Возможно я что то забыл или упустил, тогда позже отредачу или комментарий добавлю. Если где то косякнул - укажите, буду рад любому совету или замечанию.
