Ghidul paranoicului

Ghidul paranoicului foarte pe scurt pentru începători cu multe link-uri.
(inspirat de CF)

DISCLAIMER: NU sunt specialist. Citiți singuri. Ideea e să aveți niște referințe.

1. Nu folosești Windows. De ce? Pentru că e greu de controlat. Cine a încercat să seteze un firewall la nivel de aplicație știe. Similar pentru distribuțiile de Linux mari.

Dar se poate folosi și Windows. Mie îmi place Windows, recunosc. E prietenos. Arată bine. Fonturile sunt impecabile. Totul merge. Dar nu mă bag la Windows aici. Culmea, în Windows mi se pare mult mai complicat.

ARCH-Linux e o alegere bună

2. Criptare HDD cu LUKS. Tot în afară de /boot.

Cu luks:

a. citești FAQ pentru a stabili dacă opțiunile default sunt suficiente
b. parolă lungă și complexă la care calculezi entropia înainte să o setezi
c. înainte de criptare

dd if=/dev/urandom of=/dev/hddmeu

Asta umple spațiul cu date random pentru a nu fi clară delimitarea spațiului criptat.
Dacă aveți SSD, nasol. un dd if=/dev/zero of=/dev/ssdcacat de cinci-șase ori înainte de comanda menționată ar fi ceva mai safe.

Umplut hdd-ul criptat cu LUKS cu urandom are avantaje discutabile. Dar să presupunem că merge. Eu am găsit păreri împărțite, așa că atunci când voi avea cea timp am să încerc să fac treaba asta într-un loopback device și să găsesc un utiliar de forensics care să vedem dacă poate afla ceva.

d. /boot se poate ține pe un USB stick, dar nu are chiar sens. Pentru a face mai greu evil maid attack parolă la bios/pornire și un serviciu care calculează hash-ul MBR-ului la pornire. Totuși cea mai bună e securitatea fizică.

e. Împotriva keylogger-elor fizice puteți ține keyfile pe un SD card și la bootare în initramfs se încarcă modulul pentru SD și se pasează parametrul corespunzător kernelului. Important e să țineți SD-ul într-un loc sigur și să nu-l lăsați în laptop dacă vă simțiți amenințați.

Criptarea doar cu un keyfile poate fi mai sigură pentru că niciodată nu veți avea entropia din keyfile generat din /dev/random într-o parolă pe care puteți să o rețineți. Pe de altă parte există riscul de a pierde sd-ul. Keyfile se generează cu /dev/random nu /urandom, DUH.

f. Un plus de siguranță ar fi să criptați și /home cu o parolă la fel de lungă.

g. Nu recomand folosirea cheii pgp (gpg whatever) pentru partiții. Pierzi cheia, te descoperi pe mai multe planuri.

3. Instalați sistemul. Iptables up, deschis doar port de ssh dacă e nevoie. Mai sigur e configurat pe port-knocking cu porturi non-standard. Log-in cu chei nu parolă. Pentru că iptables e greu și o puteți da în bară, ufw e o alegere bună. Ce face profesioniștii nu faci tu cu mâna ta, dacă ai putea nu ai citi textul de față.

4. VirtualBox

a. VM 1 – pfSense (sau orice alt sistem care poate ruta). Configurat VPN, configurat route + iptables să drop orice nu iese prin VPN (în caz că VPN-ul pică trebuie să pice conexiunea). VPN cumpărat cu bitcoins care au fost cumpărați direct (cu cash de la un gigel din alt oraș). Apoi se pot reruta, teoretic sunt mai greu de trace, practic se poate. Dacă nu VPN free. VPN plătit cu cardul de credit mi se pare o idee proastă.
b. VM 2.1 – Tails, pentru amnezie. Configurat să iasă prin VM1 (Internal network). Asta e pentru comoditate, ideal e să rulați Tails direct de pe USB. După ce l-ați folosit o dată se poate rescrie USB-ul cu o imagine curată (tails mai are scăpări din cauza bug-urilor, check bug-reports)
c. VM 2.2 – Whonix, configurat să iasă prin VM1. În Workstațion configurați browser-ul să nu se conecteze decât prin https.

5. Partițiile să fie montate cu ordered (parcă, need to check). Remove se face cu shred (man shred) și mai util e un alias rm -> shred sau un mic wrapper pentru rm. Apropo, pentru shred cel mai safe e să aveți ext2.

6. Din altă locație:

a. un script (ssh acasă)
plink -D localhost:8080 -i ./cheie.sec.ppk user@ip-ul-de-acasă

b. pornit tor, configurat vidalia să iasă prin proxy localhost:8080 .

Astfel TOR o să iasă printr-un tunel SSH cu calculatorul de acasă. Dar nu o să iasă prin VPN->TOR. Se poate configura și așa, dar e mai complex și nu știu pașii din memorie.

7. Firefox & extensiile standard pentru privacy. Chromium la fel. Nu Chrome totuși. Chromium e ok.

8. Parolele. Eu cred (EU CRED) că mai bine o parolă lungă și scrisă într-un loc safe, decât una scurtă pentru a fi reținută. Hârtia cu parola se poate arde într-o secundă. Și pe hârtia cu parola parola poate fi criptată într-un mod rudimentar cu un algoritm personal (shift-uri sau înlocuiri de caractere simple, legături între cuvinte, etc).

9. Gpg2 Trebuie să fie setat pe niște algoritmi puternici. Deși mărimea nu contează (spun unii) după 2048, rău nu face.

10. Parolele uzuale se țin în keepass cu parolă lungă și complexă + keyfile. Evident, keyfile care nu stă lângă baza de date. File -> database settings / Number of key encryption rounds schimbat la valori mult mai mari.

11. User volatil: un utilizator care nu are permisii de scriere pe nicio partiție. în afară de home, iar home e creat în /tmp (care trebuie să fie /tmpfs). man tmpfs.

 

În încheiere, nu există securitate perfectă. Important e cât valorezi pentru X. Dacă valoarea securității tale < cât valoreazi pentru X, you are fucked.

Dacă ești paranoic adevărat, oricum nu contează. Pentru că EI știu și EI văd. Pe Soare există o cameră imensă de luat vederi. La naștere ți-au pus un cip în creier, e acolo, după ureche. Așa că, cel mai bine stai liniștit și nu atrage atenția. Un magnet lipit de cap poate ajuta, dar nu mult. Noaptea dacă asculți atent vocile ai să-i auzi vorbind despre tine.

Glumeam. Nu e nicio cameră imensă pe Soare. E pe Lună.

Anunțuri

2 thoughts on “Ghidul paranoicului

  1. Pingback: Amendamente la ghid | S.A.M.D.

Vorbeşte-mi murdar...

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s