В этой статье я опишу свои действия по повышению анонимности в интернете, а так же дам иструкции по переходу с google зависимых сервисов, на свои собственные.
Оглавление.
Все что передается в незашифрованном виде может быть перехвачено и изменено (классический MitM). А наш провайдер может с легкостью идентифицировать запрос с точностью мак-адреса и клиентского договора.
Даже если ваш провайдер не занимается подобными вещами, то у него в ЦОДе непременно стоит неприметный серверок куда mirror-ится определенный трафик. Это сервер СОРМ. А что там происходит — неизвестно никому, кроме поставщиков СОРМа
Если вы пользуетесь gmail для чтения рабочей/личной почты или используете браузер chrome, то корпорации Google будет очень удобно собирать информацию о том куда вы ходите и что вам пишут.
Российские сервисы поступают аналогично, вспомните ЯндекКрипту, VK — вообще рассадник информации о пользователях.
А вспомните сотни сайтов, где комментарии можно оставлять авторизовавшись в социальных сетях.
Конечно, пока это делается только для того чтобы показывать нам более “правильную рекламу”, но кто знает что будет в будущем.
Теперь, когда мы поняли для чего нужно сохранять анонимность в интернете, давайте посмотрим как этого можно достичь.
Информация составлена по мере увеличения параноидальности
Переходим по адресу about:config в адресной строке чтобы подкрутить список опций влияющих на приватность
Если мы хотим передать файл безопасно, то крайне желательно исползовать шифрование. Например gpg/pgp
Лицо, получившее от вас письмо или файл зашифрованное и подписаное нашим ключом pgp, может быть на 100% уверено, что оно не поддельное и прочитать его сможет только получатель, указанный отправителем. Таким образом наша почта может быть существенно более безопасной и данные сложнее будет получить злоумышленникам даже в случае полного доступа к ящику во время взлома.
Можно просто зашифровать любой файл. Для этого достаточно просто отдать команду:
Система дважды запросит пароль. В итоге мы получим рядом с исходным файлом новый с расширением .gpg в конце. Например, file.gpg. Расшифровать тоже очень просто:
И после введения пароля мы получим свой исходный файл.
Немного более сложная процедура, т.к. тут участвует 2 ключа. Один наш личный, секретный, известный только нам и никому иному. Другой публичный, раздаваемый нами знакомым любым удобным способом. Как раз этот вариант и наиболее часто используемый, т.к. в первом варианте кроме зашифрованного файла нужно передавать и пароль на него и нет гарантии что он не будет перехвачен.
Тема освещалась в рунете — раз, два
Теперь переходим ко второй части статьи, где я постараюсь рассказать чем и как можно заменить популярные гуглопочты и rss ридеры и т.д.
Вся попытка остаться анонимным и незаметным для интерета ничто, если пользуетесь календарем и контактами от гугла, храните переписку в яндекс-почте, пишете заметки в evernote и кладете файлики в дропбокс
Для того чтобы интернет-сервисы не могли подглядывать за нами, нам надо перестать ими пользоваться!
Для того чтобы хостить свои приложения, нам понадобиться vps с анонимной оплатой (биткойны или что-то подобное) и зашифрованным диском (KVM, XEN и прочая виртуализация, которая позволит это сделать)
Внешний ip адрес, который можно купить вместе с vps и dns имя.
Чем мы пользуемся чаще всего?
Можно настроить всю почтовую связку самостоятельно (например: postfix+dovecot+antispam), а можно воспользоваться сборкой iredmail.
Про нее на хабре писали вот и посвежее.
Заменой дропбоксу можно считать довольно много opensource приложений, я приведу небольшой список из них со ссылками на примеры установки:
К сожалению, мной не была найдена полноценная веб-ориентированная замена сервису evernote.
Есть лишь laverna, но это еще слишком свежее ПО. Полное детских багов и ошибок
Это конечно же всеми любимый jabber, настроенный и работающий на собственной vps.
Инструкция по установке prosody, легковесного и маленькго сервера для общения через jabber.
Для чтения новостей, я использую rss ридер Tiny Tiny rss, у него живое сообщество и довольно приятный интерфейс.
Инструкция по установке
О том как настроить vpn на хабре писали не раз и не два
Ссылка1
Ссылка2
Для того чтобы у меня работала синхронизация паролей и закладок в браузере я использую сервер firefox sync.
Инструкция по настройке
Для того, чтобы все наши сервисы работали по защищенному соедниению необходимо либо купить ssl сертификат (wildcard сертификат или несколько обычных ), либо создать свой центр сертификации, интегрировать его в свои браузеры и подписать им ssl сертификаты своих сервисов.
Инструкция по настройке
Дополнительные элементы повышающее спокойстве у параноика
Зачем это надо? Например мы хотим запустить скайп или парочку скайпов или запустить еще один firefox для просмотра супер секретного японского фильма через японский vpn.
Причин может быть много.
Итак, реализация описана в статьях одного из создателей lxc
Непривилигированные контейнеры
и
GUI в контейнерах
Как именно браузер сливает информацию о вас довольно неплохо описано на лурке:
Идентификация пользователей в интернете
Есть великолепная статься на wikibooks по использованию интернета анонимно:
Защита_конфиденциальных_данных_и_анонимность_в_интернете
К сожалению, статья не вмещает в себя еще много решений по информационной безопасности.
Я постараюсь восполнить пробелы ссылками на интересные решения.
habrahabr.ru/post/120620 — DNSSEC, что такое и зачем
prism-break.org/ru — Проект по поиску альтернатив проприетарным решениям для защиты от СОРМ
www.opennet.ru/base/sec/ubuntu_disk_crypt.txt.html — шифрование диска для linux
Оглавление.
- Зачем это надо
- За нами следит провайдер
- За нами следит поставщик сервиса
- Анонимность в интернете
- Правила регистрации на интернет-сайтах
- Настройка браузера
- Использование pgp шифрования
- Использование self-hosted сервисов
- Бонус
- Ссылки
Зачем это надо
За нами следит провайдер
Все что передается в незашифрованном виде может быть перехвачено и изменено (классический MitM). А наш провайдер может с легкостью идентифицировать запрос с точностью мак-адреса и клиентского договора.
Даже если ваш провайдер не занимается подобными вещами, то у него в ЦОДе непременно стоит неприметный серверок куда mirror-ится определенный трафик. Это сервер СОРМ. А что там происходит — неизвестно никому, кроме поставщиков СОРМа
За нами следят владельцы сервисов
Если вы пользуетесь gmail для чтения рабочей/личной почты или используете браузер chrome, то корпорации Google будет очень удобно собирать информацию о том куда вы ходите и что вам пишут.
Российские сервисы поступают аналогично, вспомните ЯндекКрипту, VK — вообще рассадник информации о пользователях.
А вспомните сотни сайтов, где комментарии можно оставлять авторизовавшись в социальных сетях.
Конечно, пока это делается только для того чтобы показывать нам более “правильную рекламу”, но кто знает что будет в будущем.
То, что попало в интернет, останется там навсегда
Анонимность в интернете
Теперь, когда мы поняли для чего нужно сохранять анонимность в интернете, давайте посмотрим как этого можно достичь.
Правила использования интернет-сервисов
Информация составлена по мере увеличения параноидальности
- Не использовать реальные имена/фамилии/даты рождения
- Не использовать везде один и тот же пароль (сломают одно — сломают все)
- По возможности использовать несколько аккаунтов с разными никами, разным типом активности
- Если сайт присылает вам в почту пароль в открытом виде — это плохой сайт. Они хранят ваш пароль незашифрованным, а значит знают его сами и могут продать/дать возможность украсть.
- По возможности используем режим инкогнито при регистрации, логине на важные сайты (например сайт банк-клиента или супер-пупер важный баг-трекер)
- Если мы хотим выложить фоточки, то предварительно необходимо проверить — не осталось ли там деанон метаданных
- Если надо передать секретные данные по открытому каналу, то можно выполнить предварительное шифрование с помощью pgp или передать информацию частями по разным каналам. Логин можно передать по скайпу, пароль сказать лично, а адрес отправить через whatsapp.
- Логинимся и регистрируемся только там где есть HTTPS!
- Логинимся и регистрируемся используя vpn, для того чтобы не светить свой ip-шник
Настройка браузера
- Браузер не должен запоминать ваши пароли
- Браузер не должен синхронизировать вашу историю/cookie/пароли и другую информацию с неизвестным сервером в интернете
- Браузер не должен хранить куки между своими перезапусками
- Многое другое
Пример настройки для firefox
Переходим по адресу about:config в адресной строке чтобы подкрутить список опций влияющих на приватность
- media.peerconnection.enabled = false — запрещает поддержку протокола WebRTC, текущая реализация которого позволяет незаметно для пользователя получить список IP-адресов в его локальной сети (с помощью JavaScript), что повышает уникальность пользователя.
- browser.safebrowsing.enabled = false и browser.safebrowsing.malware.enabled = false — отключает передачу информации о посещаемых веб-сайтах Гуглу, база которого используется для предупреждений о мошеннических сайтах.
- browser.search.suggest.enabled = false — отключает передачу текста, набираемого в окне поиска, поисковой системе без явного подтверждения со стороны пользователя. Лишаемся предложений от поисковой системы по мере набора запроса, но зато, если вы вдруг начали набирать запрос и передумали – он не отправится до нажатия Enter.
- dom.enable_performance = false — отключает передачу браузером информации о времени начала и окончания загрузки страницы. Анализ этих данных позволяет определить факт использования прокси-сервера.
- network.dns.disablePrefetch = true — запрещает предварительное разрешение имён DNS для всех ссылок на веб-странице (пока пользователь сам не нажмёт на ссылку). Это может привести к утечке DNS-трафика при работе через анонимизирующий прокси-сервер.
- network.proxy.socks_remote_dns = true — отправлять DNS-запросы через прокси при использовании прокси. Иначе они пойдут напрямую и могут привести к раскрытию реального IP-адреса.
- dom.battery.enabled = false — запрещает отслеживать состояние батареи.
- dom.network.enabled = false — запрещает определять параметры соединения с сетью (при этом передаётся тип соединения: LAN, Wifi, 3G и так далее).
- network.proxy.no_proxies_on = (пустое значение) — запрещает сайтам обращение к локальной машине, что позволило бы им анализировать список открытых портов.
Использование pgp шифрования
Если мы хотим передать файл безопасно, то крайне желательно исползовать шифрование. Например gpg/pgp
Лицо, получившее от вас письмо или файл зашифрованное и подписаное нашим ключом pgp, может быть на 100% уверено, что оно не поддельное и прочитать его сможет только получатель, указанный отправителем. Таким образом наша почта может быть существенно более безопасной и данные сложнее будет получить злоумышленникам даже в случае полного доступа к ящику во время взлома.
Шифрование
Можно просто зашифровать любой файл. Для этого достаточно просто отдать команду:
gpg -c file
Система дважды запросит пароль. В итоге мы получим рядом с исходным файлом новый с расширением .gpg в конце. Например, file.gpg. Расшифровать тоже очень просто:
gpg file
И после введения пароля мы получим свой исходный файл.
Ассиметричное шифрование и подпись
Немного более сложная процедура, т.к. тут участвует 2 ключа. Один наш личный, секретный, известный только нам и никому иному. Другой публичный, раздаваемый нами знакомым любым удобным способом. Как раз этот вариант и наиболее часто используемый, т.к. в первом варианте кроме зашифрованного файла нужно передавать и пароль на него и нет гарантии что он не будет перехвачен.
Тема освещалась в рунете — раз, два
Теперь переходим ко второй части статьи, где я постараюсь рассказать чем и как можно заменить популярные гуглопочты и rss ридеры и т.д.
Использование self-hosted сервисов
Вся попытка остаться анонимным и незаметным для интерета ничто, если пользуетесь календарем и контактами от гугла, храните переписку в яндекс-почте, пишете заметки в evernote и кладете файлики в дропбокс
Для того чтобы интернет-сервисы не могли подглядывать за нами, нам надо перестать ими пользоваться!
Итак поехали
Для того чтобы хостить свои приложения, нам понадобиться vps с анонимной оплатой (биткойны или что-то подобное) и зашифрованным диском (KVM, XEN и прочая виртуализация, которая позволит это сделать)
Внешний ip адрес, который можно купить вместе с vps и dns имя.
Чем мы пользуемся чаще всего?
Почта
Можно настроить всю почтовую связку самостоятельно (например: postfix+dovecot+antispam), а можно воспользоваться сборкой iredmail.
Про нее на хабре писали вот и посвежее.
Dropbox
Заменой дропбоксу можно считать довольно много opensource приложений, я приведу небольшой список из них со ссылками на примеры установки:
- Seafile, установка подробно описана на официальном сайте
- OwnCloud, установка и использование
- Sparkleshare
- Pydio
Замена evernote/google keep
К сожалению, мной не была найдена полноценная веб-ориентированная замена сервису evernote.
Есть лишь laverna, но это еще слишком свежее ПО. Полное детских багов и ошибок
Замена асечке/скайпу/месенджеру
Это конечно же всеми любимый jabber, настроенный и работающий на собственной vps.
Инструкция по установке prosody, легковесного и маленькго сервера для общения через jabber.
Использование rss
Для чтения новостей, я использую rss ридер Tiny Tiny rss, у него живое сообщество и довольно приятный интерфейс.
Инструкция по установке
Использование vpn
О том как настроить vpn на хабре писали не раз и не два
Ссылка1
Ссылка2
Использование сервера синхронизации firefox
Для того чтобы у меня работала синхронизация паролей и закладок в браузере я использую сервер firefox sync.
Инструкция по настройке
Создание rootCA
Для того, чтобы все наши сервисы работали по защищенному соедниению необходимо либо купить ssl сертификат (wildcard сертификат или несколько обычных ), либо создать свой центр сертификации, интегрировать его в свои браузеры и подписать им ssl сертификаты своих сервисов.
Инструкция по настройке
Бонус
Дополнительные элементы повышающее спокойстве у параноика
Использование lxc-песочниц, для программ не заслуживающих доверия
Зачем это надо? Например мы хотим запустить скайп или парочку скайпов или запустить еще один firefox для просмотра супер секретного японского фильма через японский vpn.
Причин может быть много.
Итак, реализация описана в статьях одного из создателей lxc
Непривилигированные контейнеры
и
GUI в контейнерах
Построение защищенной ОС на вашем компьютере/ноутбуке
- Это значит, использовать Linux или другую ОС с открытым исходным кодом
- Это значит, использовать криптостойкий пароль (а лучше аутонтификацю с помощью отпечатка пальца )
- Это значит, использовать шифрование своих дисковых разделов
Настройка телефона на базе Android
- Замена стандартной прошивки на Cyanogenmod/Replicant/Paranoid Android
- Использование шифрование файловой системы
- Выход в интернет только через VPN
- Отказ от использования google play, замена на F-Droid
- Использовать длинный, стойкий пароль
- Следить за своим телефоном ( gps tracker android self hosted в поиск)
Ссылки
Как именно браузер сливает информацию о вас довольно неплохо описано на лурке:
Идентификация пользователей в интернете
Есть великолепная статься на wikibooks по использованию интернета анонимно:
Защита_конфиденциальных_данных_и_анонимность_в_интернете
К сожалению, статья не вмещает в себя еще много решений по информационной безопасности.
Я постараюсь восполнить пробелы ссылками на интересные решения.
habrahabr.ru/post/120620 — DNSSEC, что такое и зачем
prism-break.org/ru — Проект по поиску альтернатив проприетарным решениям для защиты от СОРМ
www.opennet.ru/base/sec/ubuntu_disk_crypt.txt.html — шифрование диска для linux
