Originally posted by Дог: Ну я в принципе думал о сборке, которую просто так не найти, но мне проще, у меня частный дом. К примеру такая реализация - сервер в гермоупаковке под фундаментом, по проводу только питание, его легко спрятать.
А зачем собственно? Для начала надо понять от чего вы хотите защититься? Если не хотите, чтобы смотрели ваши сообщения и переписку - пожалуйста, берете на алиэкспрессе Orange Pi PC c с блоком питания и коробочкой за 28$ с доставкой, поднимаете на ней raspbian и устанавливаете, к примеру, Citadel. Вуаля - у вас уже есть свой почтовый и XMPP сервер, стоящий под столом. Ставите на телефон K-9 Mail, OpenKeychain и Conversations - вот у вас есть почта и мессенджер, защищенные GnuPG и хранящие всю переписку у вас под столом. Надо зашифрованные звонки? Ставите такую же машинку, устанавливаете FreeSWITCH c поддержкой ZRTP, на телефон ставите CSIPSimple - вот и зашифрованные звонки на своем частном сервере. Не хотите, чтобы фотографии выгружались в облако и кто то мог иметь к ним теоретический доступ? Ставите на ноутбук и телефон bittorent sync и картинки будут грузиться сразу на ноут. Беспокоитесь что закроют Tor? - для этого есть специальные транспорты типа meek, позволяющие обходить блокировку.
Originally posted by MrWho: Если не хотите, чтобы смотрели ваши сообщения и переписку - пожалуйста, берете на алиэкспрессе Orange Pi PC c с блоком питания и коробочкой за 28$ с доставкой, поднимаете на ней raspbian и устанавливаете, к примеру, Citadel. Вуаля - у вас уже есть свой почтовый и XMPP сервер, стоящий под столом. Ставите на телефон K-9 Mail, OpenKeychain и Conversations - вот у вас есть почта и мессенджер, защищенные GnuPG и хранящие всю переписку у вас под столом. Надо зашифрованные звонки? Ставите такую же машинку, устанавливаете FreeSWITCH c поддержкой ZRTP, на телефон ставите CSIPSimple - вот и зашифрованные звонки на своем частном сервере. Не хотите, чтобы фотографии выгружались в облако и кто то мог иметь к ним теоретический доступ? Ставите на ноутбук и телефон bittorent sync и картинки будут грузиться сразу на ноут. Беспокоитесь что закроют Tor? - для этого есть специальные транспорты типа meek, позволяющие обходить блокировку.
это всё подходит только для бородатых суровых админов у которых к тому же много свободного времени...
Originally posted by MrWho: Если не хотите, чтобы смотрели ваши сообщения и переписку - пожалуйста, берете на алиэкспрессе Orange Pi PC c с блоком питания и коробочкой за 28$ с доставкой, поднимаете на ней raspbian и устанавливаете, к примеру, Citadel. Вуаля - у вас уже есть свой почтовый и XMPP сервер, стоящий под столом.Ставите на телефон K-9 Mail, OpenKeychain и Conversations - вот у вас есть почта и мессенджер, защищенные GnuPG и хранящие всю переписку у вас под столом.Надо зашифрованные звонки? Ставите такую же машинку, устанавливаете FreeSWITCH c поддержкой ZRTP, на телефон ставите CSIPSimple - вот и зашифрованные звонки на своем частном сервере.Не хотите, чтобы фотографии выгружались в облако и кто то мог иметь к ним теоретический доступ? Ставите на ноутбук и телефон bittorent sync и картинки будут грузиться сразу на ноут.Беспокоитесь что закроют Tor? - для этого есть специальные транспорты типа meek, позволяющие обходить блокировку.
Несмотря на второе десятилетие в Сети, не один собственноручно собранный комп и настроенную программную среду, я потрясён вышеприведённым абзацем, из которого понял процентов 50%. Наверное, сопалатник великий Хакер... Что он думает про DiskCryptor, кстати?
Я вот сейчас даже начал разделять интерес всяких служб с к людям, которые готовы сжигать ключи и харды, лишь бы посторонним не достались. Вы хоум видео с утилизацией трупов храните чтоли. Зарегатесь на какой-нибудь забугорной почте, регистрируйтесь везде с нее, на форумы через тор/забугорные прокси. Если вы не торгуете оружием/наркотиками/детским порно никто вас никогда не найдет. Зачем все усложнять-то?
Esterdes: Если вы не торгуете оружием/наркотиками/детским порно никто вас никогда не найдет. Зачем все усложнять-то?
Отмывка средств полученных незаконным путем, взятки, оффшоры, зарплаты в конвертах, неуплата налогов - сейчас в тренде ещё и все это, а оно косается на много болше людей чем вами названные причины
Originally posted by Esterdes: Если вы не торгуете оружием/наркотиками/детским порно
если вы этим не занимаетесь, то это вовсе не означает, что вы никогда не станете подозреваевым по одной из таких статей и не подвергнитесь соответствующим оперативно-разыскным и криминалистическим мероприятиям, вплоть до КПЗ и прочего.
Потом вам скажут "извини, дружище, мы ошиблись, ты ни в чём не виноват" но это будет потом, где-нибудь через пол-года...
если вы этим не занимаетесь, то это вовсе не означает, что вы никогда не станете подозреваевым по одной из таких статей и не подвергнитесь соответствующим оперативно-разыскным и криминалистическим мероприятиям, вплоть до КПЗ и прочего.
Я таки думаю, что наглухо зашифрованные гигабайты информации скорее вызовут подозрения, нежели как-то помогут мне не заселиться в КПЗ в подобных обстоятельствах.
Отмывка средств полученных незаконным путем, взятки, оффшоры, зарплаты в конвертах, неуплата налогов - сейчас в тренде ещё и все это, а оно косается на много болше людей чем вами названные причины
Ну да, как-то не подумал об этом. Хотя мне кажется, это все-таки больше проблемы юрлиц, а не среднестатистических выживальщиков. Я думаю, что лучше хранить данные на удаленном сервере (забугорном, понятно), можно в зашифрованном виде, чем срочно сжигать харды и глотать ключи.
Originally posted by Esterdes: Я думаю, что лучше хранить данные на удаленном сервере (забугорном, понятно), можно в зашифрованном виде, чем срочно сжигать харды и глотать ключи.
Во Во и подключаться к ним с помощью торсионных полей и высшего разума. Сведения должны быть всегда в зоне физического доступа, в противном случае это не ваши сведения.
Вот еще один простенький вариант - Tor браузер через VPN, дабы не светить в DeepWeb свой реальный IP.
Здесь "реальный" IP как бы а после цепочки Tor становится 195.154.56.44, используется входной узел в Греции для обхода провайдерских ограничений. Всю фигню лучше городить внутри закриптованной виртуалки, использовать временные почтовые ящики для регистрации обезличенных аккаунтов и пр., добавить сюда скрипт с проверкой нажатия некоторых клавиш при старте виртуальной машины (либо на проверку существования какого нибудь процесса и т.д.), если такового нажатия нет - вся виртуалка целиком трется при помощи шредера. Да, скорость так себе, но лучше медленно но ехать))
Originally posted by zair: В двух словах скажу, если на вас есть ориентировка
настоящий вышивальщик гневно смотрит на Вас, какая ориентировка, Вы что, он как не уловимый джо движется между струями воды и капли отбивает винчестером.
Originally posted by zair: У настоящего хакера компьютера дома нет.
У на стоящего хакера нет дома, а комп у него есть всегда. Только не надо путать хакинг и желание человека относительно безопасно распоряжаться своей информацией, это прямо противоположные задачи.
Originally posted by Nikolay_K: это всё подходит только для бородатых суровых админов у которых к тому же много свободного времени...
Уровня пользователя, который может прочитать мануал - вполне достаточно. Не являясь полноценным суровым админом, а больше программистом, у меня сборка, настройка и конфигурация вот этого домашнего сервера заняла около 3 часов с постоянными сверками с руководствами, при том, что система ставилась около часа. Сейчас у меня он выполняет следующие функции - Почта - Джаббер сервер для сообщений - Адресная книга - Календарь - Частное облако - SIP АТС (Правда пока не пользуюсь, так как у нас нормально работает Signal) И ничего не храниться там, где кто-то что-то смог посмотреть - так как считаю, что мои персональные данные должны находиться у меня.
Представители "Большого Брата" уже вставляют палки в колёса анонимам. Личный пример: смартфону сделал полный сброс, обновил прошивку по WiFi, не вставлял SIM-карту, зарегистрировал новую учётку в Гугле, поставил Скайп. Больше ничего, не бродил с него по Интернету, не добавлял ссылки в избранное, ни одного контакта в адресной книге, не настраивал и не пользовался электронной почтой. Только Скайп. Через полтора месяца Гугл заблокировал мой аккаунт с причиной "подозрительная активность". Т.е. отсутствие информации, которую можно украсть Гугл считает подозрительной активностью.
Originally posted by SЁM: Через полтора месяца Гугл заблокировал мой аккаунт с причиной "подозрительная активность". Т.е. отсутствие информации, которую можно украсть Гугл считает подозрительной активностью.
Я так понимаю, что при регистрации аккаунта он не активировался СМСкой? Вот это гугл скорее всего и посчитал подозрительной активностью, а не отсутствие данных.
MrWho: Я так понимаю, что при регистрации аккаунта он не активировался СМСкой? Вот это гугл скорее всего и посчитал подозрительной активностью, а не отсутствие данных.
Конечно я не сообщал Гуглу номер телефона. Мне это не надо. Мне не нужны ни SMS, ни звонки Гугла, мне только в маркете скайп поставить. Может у меня вообще телефона нет? У меня несколько аккаунтов в Гугле, часть "просто так", часть - с андроидными девайсами настраивались, ни на одном не указывал номер телефона и ни один не блокировался - там была и история браузера, и переписка по почте, и адресные книги, т.е. было что украсть. Надо медиа-приставку проверить, не включал года три-четыре, м.б. там учётку заблокировали "за непосещение"...
Originally posted by MrWho: ничего не храниться там, где кто-то что-то смог посмотреть - так как считаю, что мои персональные данные должны находиться у меня .
+100500
на то они и персональные и конституция тут на нашей стороне.
Originally posted by SЁM: отсутствие информации, которую можно украсть Гугл считает подозрительной активностью.
гугл давно уже раскрыл своё лицо
сбор разнообразных персональных данных и передача их в том или ином виде третьим лицам либо некоторое использование их в интересах третьих лиц --- это основное занятие и основная статья доходов Гугла
таргетированная реклама --- это один из частных случаев, но отнюдь не факт, что единственный.
Originally posted by SЁM: Конечно я не сообщал Гуглу номер телефона. Мне это не надо. Мне не нужны ни SMS, ни звонки Гугла, мне только в маркете скайп поставить. Может у меня вообще телефона нет?
Ну да, вы регистрируете новый аккаунт гугла, заходите на него с обнуленного телефона, у которого не изменился IMEI, читается новый номер телефона. Система видит, что какого то хера Вы заходите с телефона, к которому был привязан уже какой то аккаунт, номер телефона изменился, а по какой то причине автор его не хочет верифицировать - это стремно для Гугла, правда.
Originally posted by SЁM: Есть, но.. . Оригинальная она там или "с добавкой"?
Вам знакома концепция цифровой подписи приложения? Если контрольная сумма совпадает с тем, что есть - то установите. Если изменена - то на полэкрана будет написано, что не компания подписала, а какой то буй с бугра и ставить не надо
Появилась технология, чтобы говорить голосом в смартфон, а он преобразовал голос в текст. Так ведь решится проблема, каким способом пол года хранить личную переписку: все телефонные разговоры в реальном времени преобразуются в текст. А текст занимает место в тысячу раз меньше звука.
Originally posted by wasya83: Появилась технология, чтобы говорить голосом в смартфон, а он преобразовал голос в текст.
появилась да, но пока ещё не стала зрелой... и не знаю сможет ли стать вот смотрю как грузин пытается на грузинском русском назвать навигатору улицу и что из этого выходит... так ведь эти люди и по телефону на таком-же языке говорят и друг друга понимают, а кроме того есть ещё диалекты и сленги.. . которые очень тяжело распознавать.
если вам хочется создать надёжный канал, то можете нанять двух каких-нибудь афганцев говорящих на своём пахто ( пушту ) и можете быть спокойны --- даже если перехватят и запишут, то очень ещё долго не смогут разобраться.
А для пущей надёжности --- абазинцев. Их уж точно никто не поймёт.
MrWho: Ну да, вы регистрируете новый аккаунт гугла, заходите на него с обнуленного телефона, у которого не изменился IMEI, читается новый номер телефона.
Нет нового номера у телефона. Я же писал - SIM-карту в него не вставлял.
MrWho: Вам знакома концепция цифровой подписи приложения? Если контрольная сумма совпадает с тем, что есть - то установите. Если изменена - то на полэкрана будет написано, что не компания подписала, а какой то буй с бугра и ставить не надо
Чтобы ставить приложения не из плеймаркета, нужно поставить галочку "разрешить ставить не из плеймаркета", кто там что подписал - анализируется ли, есть ему с чем сравнивать?
Originally posted by akitukitua: В таком случае Вы их контролируете, в любом другом доступ к ним контролирует кто угодно (провайдер, владелец облака и тд) но только не вы
имхуется спорное утверждение, читая про такие технологии как Intel ME, чёт у меня большое сомнение в контроле. Вот с таким как бороться? ЗЫ. на днях надо было позвонить по ватсапу, поставил его себе на смарт, позвонить решил с компа. На компе высветились все мои контакты со смарта.. Я правильно понимаю, что ватсап сп@здил мои контаткты ?
Не поможет против правильно приготовленной зверушки:
Stuxnet Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п.
Издание утверждает, что эта программа была разработана совместно разведывательными службами США и Израиля, а израильтяне уже испытали вирус в своём центре в городе Димоне, в пустыне Негев. В газете утверждается, что вирус был разработан в Димоне не позже 2009 года, и им была успешно заражена компьютерная система ядерной программы Ирана. Бывший аналитик ЦРУ Мэтью Барроуз в книге 'Будущее рассекречено' пишет, что червь Stuxnet 'смог, пусть и на короткое время приостановить иранскую ядерную программу. Он нарушил работу почти 1000 центрифуг для обогащения уранового топлива. По мнению экспертов, иранцы, обнаружив вирус и избавившись от 1000 зараженных устройств, смогли предотвратить больший ущерб'
Оставаться незамеченным антивирусными программами ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron)
Так что само наличие цифровой подписи не дает никаких гарантий в принципе.
Originally posted by Tor191: Оставаться незамеченным антивирусными программами ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron)
Врут как сивые мерины, в данном случае сертификаты были левые (вовремя не скомпрометированные), хотя надо признать в некоторых других случаях подпись была сделана на действующем и валидном сертификате. И потом в данном случае подпись не поможет, поможет только совпадения хеша, с хешем предоставляемым производителем, но и тут можно сайтик ломануть, хешь подменить... . в общем никому верить нельзя, мне можно (с)
Originally posted by akitukitua: Я вам такие страшилки могу про биос написать, так что бороться с ними можно только "техническими средствами"
так эта хрень работает до биос, даже когда комп выключен. А какими тех средствами с этим бороться? Выпилить чип вроде пока ниукого не получилось, порты ограничивать?
Originally posted by akitukitua: А вы внимательней пользовательское соглашение читайте там все прописано
да доступ к контактам прописан был, но доступ ведь не дает прав копировать и отсылать куда-то там в тырнет? или дает?
Originally posted by Tor191: наличие цифровой подписи не дает никаких гарантий в принципе.
любое криптографическое средство защиты при бездумном его применении без понимания принципов, без оценки рисков и общего ландшафта превращается в тупой безсмысленный фетишизм и в конечном итоге производит обратный эффект
и чем сложне и мудрёнее это средство --- тем более тяжкие последствия также как при бездумном лечении антибиотиками смазываются симптомы, болезнь загоняется внутрь и разобраться чтобы исправить ситуацию становится ещё сложнее, чем до начала такого лечения.
Читайте Брюса Шнайдера, он один из тех немногих у кого пока ещё сохранился здравый смысл.
Любые методы защиты не дают 100% абсолютной защиты, но лишь снижают риски. Цифровые сертификаты в том числе.
Originally posted by Hunt70: так эта хрень работает до биос, даже когда комп выключен. А какими тех средствами с этим бороться? Выпилить чип вроде пока ниукого не получилось, порты ограничивать?
теоретически это лечится правильно настроенным межсетевым экраном (firewall) в сочетании с фильтрующими шлюзами прикладного уровня ( ALG, filtering proxy )
то есть в идеале комп не должен вообще напрямую видеть Интернет а все HTTP-запросы и прочие прикладного уровня должны заворачиваться на умный прокси, которые разбирает седьмой уровень, кондиционирует, выкидывает всё лишнее и только после этого пробрасывает наружу, обратно процесс аналогичный
100% гарантии такой механизм не даёт, но в сочетании с доп. средствами типа мониторинга, фильтрации, списков доверия, виртуализации, сегментирования и т.д. позволяет реализовать достаточно разумный уровень безопасности приемлемый, например для банков и фин.контор.
Такой подход позволяет исключить попадение "управляющих пакетов" на внутренние хосты. И также исключить возможность прощупывания внутренней сети и изучения её функция и топологии извне.
Для военных таки предпочтительна своя полностью закрытая сеть. Без связи с внешним миром.
Originally posted by akitukitua: Не совсем так, первым работает биос мат платы, а уж затем вся остальная требуха, но это так сноство
на скока я понял, прошивка МЕ хранится на флэше рядышком с БИОС, процессор отдельный свой, отдельная оперативка и доступ ко всем процессам на компе. вот на хабре обсуждают habrahabr.ru
Originally posted by akitukitua: не хранить то, что не должно попасть в сеть, на технике подключенной к сети
да меня честно говоря больше другая функция МЕ беспокоит, там же декларирована защита от кражи, превращением компа в кусок ненужного железа, даже при переустановке ОС. Вот обидятся на нас пендосы и сделают из компов кирпичи ЗЫ. меня в свое время моторола дефи не порадовала - при вытащенной симкарте заблокировала доступ к программам попросив обнулить данные. После этого снес штатный андроид и поставил кастомную прошивку, теперь доволен Но там была программная блокировка, а у МЕ получается аппаратная.
Originally posted by Nikolay_K: теоретически это лечится правильно настроенным межсетевым экраном (firewall) в сочетании с фильтрующими шлюзами прикладного уровня ( ALG, filtering proxy )
а как правильно настроить не подскажете, на роутере например?