SidAndNancy
Пассажир
- Сообщения
- 90
- Реакции
- 36
Введение
Кто-то говорит, что полной ананимности не существует, но я с эти не согласен. Можно закрыть все уязвимости на всех уровнях, тем самым сделав деанонимазацию полностью невозможной. В ходе попыток сделать настроить полностью безопасный и анонимный компьютер для выхода в сеть и ведения некоторой черной коммерческой деятельности я перечитал сотни статей на теневых форумах и пересмотрел множество роликов, но не нашел ни одного мануала, где расказано было бы от и до. Везде все частично, поверхностно. По этому, изучив все и пройдя все этапы самостоятельно решил написать статью тут. Думаю много кому будет полезноИтак, тут удет 2 раздела. Первый касается работы непосредственно с компьютером, второй - с роутером
Раздел I
Думаю, это очевидно, что для работы необходим отдельный компьютер, который ранее не использовался для бытовых задач. Лучшим вариантом будет ноутбук, купленный с рук за наличку. Для того, чтобы договориться с продавцом можно использовать левый аккаунт авито. По поводу того какой же компьютер выбрать есть пару маментов, на которые надо обратить внимание. С завода практически все компьютеры идут с предустановленным ПО, имеющем закрытый исходный код. Дальнейшее использование такого ПО недопустимо. Соответственно необходимо ставить BIOS и ОС с открытым исходным кодом. В первую очередь интересует именно BIOS. Для работы можно использовать CoreBoot, либо LibreBoot. Их возможно установить не на все компьютеры, по этому при выборе важно учесть, чтобы либо CoreBoot, либо LibreBoot был совместим с вашей моделью. Далее надо будет перешивать и ОС. На данный момент существует 2 подходящие нам операционные системы. Это Tails и QubesOS в сочетании с Whonix. Конечно Qubes лучше и желательно выбирать компьютер, который сможет полноценно работать с этой системой (Tails запустить можно на любом компьютере. Там спефических требований нет. Пару гигов оперативки и все). Основной принцим работы QubesOS основан на разделении всех процессов в разные виртуальные машины. В отдельных виртуалках, которые не имеют доступа к интернету хранится вся важная информация, а через ту, где стоит Whonix выходим в сеть. Тут весь трафик идет через тор. Так же есть вартуалки, позволяющие выйти в интернет без ТОРа. Соответственно очень важно, чтобы компьютер поддерживал виртуализацию (VT-x; VT-d). Так же нужна оперативная память от 8 гб. С процессором все сложнее. С ним есть еще один нюанс. Компьютеры с новыми процессорами брать бессмысленно. Нам предстоит вывести из строя такой бэкдор как IntelME. На компьютерах с новыми процессорами такой возможности нет. Сам IntelME - это очень хитрое ПО, без которого компьютер просто напросто не запустится. Удалить полностью - не вариант. Нужно вырезать часть кода, чтобы наутбук не потерял свою функциональность, но при этом закрыть бэкдор. К счастью один гениальный человек очень давно придумал и разработал утилиту, позволяющую провернуть такую операцию. Утилита называется MECleaner, ее иходник находится на github. К сожалению она больше не разаботывается и работает только со старыми процессорами. Табицу совместимости можно посмотреть по ссылке ниже:-
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Аналогов у MECleaner НЕТ. И боюсь, что не будет. Соответственно при выборе компьютера важно учесть, чтобы была возможность закрыть этот бэкдор. Это серьезная уязвимость
Итак, подходящий компьютер мы купили, теперь потребуется плата raspberry pi с ориганальной ос и второй компьютер с Linux на борту, через который будем проводить все дальнейшие операции. Kali Linux подходит идеально. Так же можно приобрести 8-pin прищепку для микросхемы, чтобы не припаиваться к ней по несколько раз
1) Прежде всего необходимо закрыть бэкдор и одновременно с этим прешить биос. Для этого нужно распотрошить наш ноутбук (тот который планируем под дальнейшую работу) и найти там микросхему flash памяти CMOS. Обычно она распологается рядом с процессором. Один из распространеныз производителей таких микросхем - Winbond. Если нашли такую маркировку, то это то что нам надо. Берем и выпаиваем ее. Чтобы не перегреть рекомендую нанести немного сплава Розе на ножки и аккуратно достать ее с платы. Далее подключаем ее к raspberry pi и, в свою очередь подключаемся через ssh к самой raspberry pi со второго компьютера. Полная инструкция для дальнейших действий по ссылке ниже на youtube:
-
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Так же одновременно с этим надо будет будет собрать и прошить CoreBoot. Это так же довольно длительная процедура, по этому оставлю ссылку на ролик на youtube, иначе придется написать тут статью, по объемам сравнимую с диссертацией
-
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
В этих роликах все детально показано, но если будут проблемы/ошибки, то всегда можно братиться ко мне за консультацией. Так же могу настроить и продать готовый ноутбук.
После прохождения всех действий по перепрошивке вытаскиваем стоковый жесткий диск или SSD из компьютера. Тут он нам больше не пригодится, можно продать/подарить/использвать для белых целей. Диск может быть скомпрометирован, мы не знаем кто и как им раньше пользовался. После этого pапаиваем микросхему CMOS обратно.
2) Теперь идем и покупаем новый SSD и флешку, если собираемся использовать QubesOS, либо просто одну флешку, если хотим ставить Tails. Дальше ничего сложного нет. Скачиваем с офицального сайта и устанавливаем загрузчик QubesOS либо Tails на купленную флешку через второй компьютер. Сложностей с этим возникнуть не должно. В Linux это делается парой команд через терминал. Предварительно флешку надо отформатировать.
Установка на флешку загрузчика выбранной ос
Сначала вводим команду (флешка не вставлена):
В ответ система выдает список всех подключенных накопительных устройств. Посе этого всталяем флешку и повторно вводим эту же команду:
После чего система выдает новый список накопительных устройств. Он должен измениться, в нем добавится одно устройство - именно наша флешка.
Дальше скачаваем загрузочный образ с официального сайта и вводим следующую команду:
Вместо image вписываем полный путь к файлу загрузочного образа, вместо device вставляем имя нашей флешки. Полностью копируем строку с нашей флешкой из списка устройств, полученного предыдущей командой.
Все команды выполняются от имени ROOT пользователя.
После этого можно вставлять SSD в наш основной компьютер (если используется QubesOS) и флешку. Включаем компьютер и загружаемся с флешки. Если используем Tails, то на этом этапе все готово. Если Qubes, то его надо установить на SSD. Ничего сложного нет, все интуитивно понятно и описано в самом загрузчике.
PS
Очень важно при скачивании файлов проверять их цифровые подписи
В скором времени напишу вторую статью с инструкцией по настройке и правильной прошивке роутера
