Краткое напоминание о компьютерной безопасности 2020. Часть 4

0

بسم  الله الرحمن الرحيم

Поиск решения. Программное обеспечение

Дополнение к ноутбукам. Я совершенно забыл про существование бренда HP. Если кто-то скажет, что HP тоже лоялен к GNU/Linux, то этот человек будет прав. Но…

Несколько лет назад HP попались на программной закладке в драйвере для тачпада к windows 10. Шпион собирал каждую нажатую клавишу клавиатуры и отправлял на сервера корпорации. Почему microsoft можно, а им нельзя?

Когда мастер ремонтирует ноутбуки, то он видит перед собой кроме процессоров, видеокарт, устройств отвечающих за сеть и периферию, какое-то количество чипов, назначение которых он не знает. Каждый производитель проектирует устройство на свое усмотрение и добавляет в него, что пожелает, и далеко не всегда даже человек, разбирающийся в электронике и схемах, может понять, за что отвечает тот или иной чип, как он работает и для чего он нужен. Если он, неизвестный чип, перестает работать, они просто заказывают такие же выпаянные с других ноутбуков. Производитель их не продает.

Грань морали HP с клавиатурным логером в драйвере тачпада для windows уже перешли, и каких-то публичных извинений и сожалений по этому поводу я не помню, как вы думаете, что им мешает кейлогер перенести в чип и впаять его в материнскую плату ноутбука?

Это причина, по которой я несколько лет назад забыл про существование HP и не могу его никому рекомендовать, даже если в нем хорошо работает GNU/Linux.

Операционные системы GNU/Linux. Первым делом надо определиться, что такое дистрибутив GNU/Linux. Дистрибутив от слова дистрибьюция, распространение, вариант набора ПО + ядра системы. Делятся на два типа — корпоративные и создаваемые сообществом.

Здесь мы должны понять, что такое цифровой отпечаток, и этот термин давно вышел за пределы веб-браузера; а это характеристики вашего «железа», иногда вместе с серийными номерами, вроде процессоров, видеокарт, материнских плат, версия ОС, разрешение экрана, ip-адрес и уникальный mac-адрес сетевой карты, локализация, шрифты, уникальный идентификационный номер веб-браузера, который «случайно» присваивается при первом запуске. Все это вместе составляет ваш цифровой отпечаток, который позволяет и без ваших личных данных с высокой точностью отслеживать, чем занимается ваш ПК, ноутбук или смартфон и вас идентифицировать.

Проблема корпоративных дистрибутивов в  том, что в них пользователь становится в своем роде тестером программного обеспечения, и в них жестко встроены сервисы по сбору данных об аппаратном и программном обеспечении, автоматических сообщениях об ошибках, таким образом цифровой отпечаток компьютера становится общественно-доступным и он уже не годится для анонимной работы. Именно по этой причине, я не могу советовать дистрибутивы, поддерживаемые корпорациями вроде Fedora и Ubuntu. Ubuntu прекрасно подходит для компьютеров, где нет личной и чувствительной информации.

Могу рекомендовать создаваемые и поддерживаемые сообществом Debian и Arch. НО… Для новичка оригинальный Арч это вариант пытки, но дистрибутивы, упрощающие его установку и настройку, вполне сгодятся и для новичков.

В качестве первого кандидата на знакомство рекомендую именно Debian, потому что дистрибутив заслуженно пользуется уважением по причине универсальности и надежности, и кроме того имеет огромное количество программ в своем репозитории (сетевом хранилище)

 debian.org

Если кому-то очень важно чтобы было что-то сделано мусульманами, могу предложить Archman турецкую сборку Арч и уникальный турецкий дистрибутив Pardus.

https://archman.org/

https://www.pardus.org.tr/

К Pardus необходимо добавить, что разрабатывается этот дистрибутив турецким государством и используется самыми его разными институтами, в том числе и силовыми. Сейчас в его основе Debian. Есть ли в традиции турецкого государства 21 века шпионаж за своими подчиненными? Это будет ответом на вопрос, можно ли им пользоваться вообще.

Категорически нельзя пользоваться китайским deepin, русскими rosa и altlinux, северокорейским red flag. Русские так или иначе связаны с чекистским государством, остальные занимаются шпионажем. Пользовательское соглашение Endless вообще напоминает microsoft, но не свободу.

Кроме того чрезвычайно важно свести к нулю или к минимуму использование любых несвободных программ и прошивок. Именно в этом и суть свободного ПО, полностью открытые программы и прошивки, которые может проверить любой желающий или заплатить другому человеку за аудит, сводят возможность внедрения в ПО и драйвера шпионских закладок и «ключей от задней двери», бэкдоров, к нулю.

Конечно, не всегда это возможно, особенно в отношение ноутбуков и беспроводных карт, но надо стремиться сводить это все к нулю и если во всем компьютере или ноутбуке будет всего одна несвободная прошивка для сетевой карты или видеоадаптера, то это уже победа.

Для того, чтобы была возможность вообще пользоваться техникой, разработчики дистрибутивов предоставляют возможность устанавливать несвободные драйвера, которые брезгливо называют кляксами. Надо заранее знать модель видеокарты, wi-fi карты и проверить в wiki дистрибутива инструкцию для вашего устройства.

Например для wi-fi карты atheros потребуется firmware-ath10k, для apu в процессоре AMD firmware-amdgraphics.

Поэтому для обеспечения работоспособности «железа», снижения зависимости от несвободных систем и сервисов и просто чтобы не усложнять жизнь пользователям,  ПО в дистрибутивах делится на свободное и несвободное. Последняя группа это в основном, как уже выяснили, драйвера и прошивки, архиваторы, ресурсы компьютерных игр, дополнения или плагины к ПО, которые не подходят под  описания свободных и открытых, а также другое ПО с несвободными лицензиями.

Надо очень хорошо подумать прежде чем ставить что-то несвободное, потому что это может быть опасно для анонимности.

В большинстве дистрибутивов есть следующее ПО:

Audacity — известный аудиоредактор

Kdenlive и Olive — видеоредакторы

Gimp — фоторедактор

Inkscape — векторный редактор

Scribus — для создания журналов, сразу вспоминается Inspire.

Firefox, Chromium — корпоративные веб-браузеры

Libreoffice — офисный пакет

VLC, videolan — известный медиа плеер с широким функционалом.

OBS — ПО для стримов.

LibreCAD, FreeCAD, openscad — САПР-ы 2D и 3D для заметок, схематических чертежей и трехмерного проектирования деталей машин.

 Война идет, какой еще САПР?

Например, захочет группа улучшить точность старых АКМС с разболтавшимися прикладами, решит ствол и фиксированный приклад в одну линию выстроить, прицел чуть поднять и добавить дульный тормоз. У нее есть возможность семь раз замерить в трехмерном САПР-е, прежде чем изготавливать детали и оценить объем работ, после полевых испытаний выложить чертежи для других. Может быть полезным.

Есть возможность зашифровать полностью всю систему при установке  и потом по мере необходимости все носители информации, без бэкдоров, и многое-многое другое.

В наличие огромное количество разнообразного ПО для практически любых задач и перечислять его я не вижу смысла, каждый найдет что-то удобное для себя, а тот, кто не хочет менять инструмент для работы, никогда не будет доволен.

Стоит так же упомянуть про узкоспециальные дистрибутивы для серверов, аппаратных фаерволов, сетевых хранилищ и т. д. Вообще все это ПО есть в репозиториях ( сетевое хранилище с ПО) дистрибутивов и в отдельных сборках администратор не нуждается. Он может в зависимости от своих предпочтений все поднять и настроить хоть через командную строку, хоть через графику, хоть через веб-интерфейс средствами своего дистрибутива. Но специализированные сборки нашли свою популярность среди людей с поверхностным пониманием как это все работает, администраторов windows, среди малых офисов, потому что позволяют быстро развернуть систему и настроить ее. В некоторых случаях спецдистрибутивы предлагают действительно что-то новое.

Сетевое хранилище

https://www.openmediavault.org/

Для домашней киностудии ( на основе дебиан)

http://www.bandshed.net/avlinux/

Офис и малые предприятия

https://clearos.com/

https://zentyal.com/community/

Фаерволы

http://www.endian.com/en/community/overview/

https://www.ipfire.org/

https://www.untangle.com/

Специальные дистрибутивы для анонимности в сети:

Whonix работает через тор, дистрибутив только для виртуальных машин.

https://www.whonix.org/

Tails известный дистрибутив на основе tor + debian + набор ПО для анонимной работы. Основное преимущество полностью настроен так, чтобы избежать любых утечек в реальную сеть.

https://tails.boum.org/

Kodachi, о нем я только слышал, тор внутри их vpn-сервиса.  Создателем дистрибутива является IT специалист Warith Al Maawali из Омана, специализирующийся на услугах безопасности, создавший компанию Eagle Eye Digital Solutions  с 19-ого года ставшей некоммерческой. Я не смог найти ничего негативного ни про компанию, ни про человека. Надо репутацию проверить.

https://www.digi77.com/linux-kodachi/

Краткие рекомендации по выбору рабочего окружения. Если ты новичок в GNU/Linux, всю жизнь работал в windows и твоему ПК или ноуту не старше 7 лет, то смело пробуй Cinnamon DE. Если ультра-бюджетное или старое, то XFCE. Если древнее 10+, а то и  15+, то пробуй LXDE.

Если Google Android твое и у тебя относительно современный компьютер, то от GNOME ты будешь в восторге.

Антивирус в GNU/Linux не нужен. Вам нужно настроить фаервол, например ufw (gufw) и контроль прав доступа apparmor или selinux, что в вашем дистрибутиве. В отличие от виндового uac он полезен и не обходится одним ключом. Иногда проводить аудит безопасности утилитами вроде rkhunter, chkrootkit, lynis.

Быть предельно осторожными, когда устанавливаете ПО не из своего дистрибутива и десять раз подумать нужно ли это, потому что вы полагаетесь на порядочность и репутацию разработчика ПО. Именно так и происходят заражения вредоносными скриптами. Внимательно проверяйте источник ПО и репутацию его автора.

Раздел подкачки или файл подкачки очищается автоматически при выключении компьютера. Для препятствования захвата файла подкачки работающей системы его шифруют.

Для чистки мусора имеется bleachbit. Каждая программа имеет свой файл настроек и и журнал. Надо регулярно чистить. Linux хранит файлы истории в домашней папке пользователя в скрытых файлах или папках начинающихся с точки, в каталоге /var журналы системы и кэш, в папке /tmp временные файлы которые удаляются при выключении и перезагрузке. Понаблюдав какое-то время вы поймете какие программы где и что хранят, какие-то уже есть в списках bleachbit, а какие-то надо добавить вручную.

Например, добавив по выбору папку для удаления .local/cache/gvfs-metadata удаляется история открытых съемных носителей.

Показ скрытых файлов скорее всего включается комбинацией ctrl + h, но в вашем файловом менеджере могут быть другие горячие клавиши.

 Для шифрования носителей и файлов пользуйтесь:

 Veracrypt — после истории с захватом и взломом TrueCrypt французская компания продолжила развитие идей программы под другим брендом и одной из свободных лицензий, но официального разрешения делать форк ( копию) и развивать его от автора не было и в запросе было отказано. Это ставит легальность Veracrypt под сомнение. Есть установочные файлы для windows, mac, дистрибутивов GNU/Linux.

Несмотря на то, что мне лично программа нравится, считаю необходимым искать замену.

Для veracrypt — serpent-twofish-aes 256 bit (xts) sha-512 максимально стойкий уровень криптографии.

 Для корректного отображения кирилицы в fat32 файловой системе, если кто для совместимости с windows будет такое использовать, надо в настройках монтирования ( mount options) в пустое поле вписать сodepage=866,iocharset=utf8

Zulucrypt, тоже очень похож функционально на TrueCrypt. Для полного функционала требуется установка плагинов. Выгодное отличие — свободная лицензия GPLv2, есть в репозиториях дистрибутивов, богатые возможности и главное, вам больше не надо для шифрования мышку по столу водить. Случайные знаки для шифрования берутся из виртуального устройства urandom.

/dev/urandom

При выборе типа шифрования огромное количество предустановок. При несколько упрощенном интерфейсе в программе больше функциональность чем в VeraCrypt.

Новые контейнеры, флешки, несистемные жесткие диски и ssd рекомендую шифровать им. Только прежде разберитесь с настройками и вариантами шифрования.

Все криптоконтейнеры и носители форматировать в родную для GNU/Linux файловую систему ext4.

GnuPG свободный аналог протокола шифрования OpenPGP, глубоко интегрирован в систему, есть GUI вроде seahorse, поэтому проблем с этим не будет.

Веб-браузеры. Скорее всего полностью отказаться от мозилы и хромиума не получится, потому что это лидеры технологий и альтернативные браузеры от них отстают именно технологически. Но… Можно оставить эти браузеры  только для сайтов, в которых невозможно спрятать свои данные, вроде банков, ютуба, различных госпорталов, интернет магазинов и т. д. Для всего остального, личного и частного использовать альтернативы.

Примеры свободных браузеров с поддержкой современных стандартов: otter, palemoon, midori, falkon, epiphany, для работы без мыши qutebrowser. 

 Учитесь пользоваться браузерами без java-скриптов и используйте их там, где они справляются со своей задачей. Для того, чтобы читать тексты и новости скрипты не нужны.

Примеры без поддержки современных стандартов и ява скриптов: netsurf, links2.

В некоторых дистрибутивах из исходного кода мозилы разработчики стараются убирать в меру своего понимания шпионскую телеметрию, например в Debian. Пока еще корпорация mozilla такую возможность предоставляет, уверен они это исправят в будущем и вся активность будет в облаке как у гугл хрома (хромиума), а на своем компьютере можешь сколько угодно ставить галочки и удалять историю чистильщиками.

В самой мозиле в адресной строке ввести about:config, согласиться с ответственностью, в поиске вбить telemetry и все значения перевести в false и нули.

Надо убрать старые протоколы шифрования, чтобы не радовать zte и чекистское государство.

security.ssl3.rsa_des_ede3_sha  небезопасно, нужно отключить.

security.ssl.require_self_negotiation true

secutiry.tls.version.min   поменять с 1 до 3

 Можно попробовать вычищенный браузер на основе мозилы от самой FSF — gnu icecat c некоторыми дополнениями безопасности. Уменьшает цифровой отпечаток.

https://www.gnu.org/software/gnuzilla/

Дополнение librejs блокирует все несвободные javascripts и скорее всего процентов 80 сайтов перестанет работать. Зато ничего на вашем ПК удаленно не будет выполняться.

Настроить браузер на автоматическое удаление всех данных при выходе из программы.

Отключить прием сторонних куки ( third parties ) и блокировать все трекеры.

Дополнения для браузеров с проверенной репутацией — EFF, Electronic Frontier Foundation — https everywhere, privacy badger (блокировка трекеров). Raymond Hills — ublock origin, umatrix. Остерегайтесь подделок.

Никогда не используйте учетную запись вашего браузера. Это ID который будет собирать всю историю о вас и хранить ее удалено.

Никогда не сохраняйте пароли в браузере, разработчикам вашего браузера знать ваши пароли не надо. Держите их в голове или в зашифрованном контейнере. Можете использовать keepassXC для этого, но лучше Zulucrypt контейнер + обыкновенный текстовый файл внутри.

 Держите разные браузеры для разных задач.

Почему я не рекомендую BSD системы ведь это тоже свободное? Не могу рекомендовать проект, лицензия которого разрешает что-то закрывать и прятать от клиентов. Мне такая полумораль непонятна и неприятна. Кроме того есть техническое отставание от GNU/Linux на годы.

Оставить комментарий

avatar

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Подписаться  
Уведомление о