Прикладное руководство криптокоммуниста

Здравствуйте, дорогой товарищ. Вы держите в своих руках или видишь на своём мониторе руководство Союза Марксистов по основам основа информационной безопасности в цифровую эпоху, иначе говоря — настольную книгу (хотя по объёму, скорее, брошюру) начинающего криптокоммуниста. Сразу следует оговориться, что данное рукодство является лишь введеним в ИБ и не претендует на исчерпывающий статус. Вполне вероятно, что после освоения предлагаемых в нём азов, нашему товарищу захочется больше знаний и ещё большую степень защищённости. Это просто прекрасно и может быть только поддержано. В целом, если читатель внимательно и последовательно проследует за всеми указаниями руководства, его компьютер будет превращён в настоящую крепость, а жизнь наполнится духом и романтикой шифропанка. Однако, обо всём по порядку.

Цели данного руководства и его ограничения

Основной целью руководства является многократное повышение защищённости основной машины и коммуникаций читателя. Настроенная в соотвествии с ним машина будет нести возможность безопасного веб-сёрфинга и защищённого общения с товарищами. Сразу следует оговориться, что в данном руководстве почти не рассматривается защита смартфонов (о некоторых совсем простых принципах её, однако, будет сказано в конце повествования) и принципиально не рассматривается применение компьютера для других целей, таких как работа с текстом, графикой или банальные компьютерные игры. Считайте, что если вам совершенно необходимы данные возможности, то ваше домашнее задание после прочтения руководства — найти способ ими заниматься, не нарушив степени безопасности машины. Если вас это устраивает, что прекрасно, будьте готовы пройти через следующие этапы:

0.) Формирование полезных привычек.
1.) Установка ОС GNU/Linux и шифрование жёсткого диска.
2.) Настройка браузера.
3.) Выбор средств связи
4.) Подбор интернет-ресурсов.
5.) Перепрошивка телефона.
6.) Обучение основам криптографии.

Формирование полезных привычек

Перед тем, как вы вообще приступите к практикуму по информационной безопасности, следует решить моральные вопросы, а именно — сформировать ряд привычек, которые помогут вам в дальнейшем.

Для начала, я расскажу вам как придумывать невероятно зубодробительные пароли, которые при этом столь же невероятно легко запомнить. Метод очень простой. Берёте любую цитату (из книги, фильма). Особым цинизмом будет, если цитату вы помните на русском — её можно набрать в английском раскладке. Эту цитату печатаете ВсемиЗаглавнымиБуквамиБезПробелов. В конце добавляете легко запоминаемые, лучше если связанные с цитатой, цифры. Итак, что у нас получилось? Предположим, мы процитировали Ленина: РелигияРодДуховнойСивухи1917. В английской раскладке этот 30+ значный пароль вовсе представляет собой кашу: HtkbubzHjlLepjdyjqCbde[b1917. Подобрать или взломать приведённый пароль НЕВОЗМОЖНО. При этом, насколько трудно его запомнить? Да ни на сколько, вы уже его помните.

Теперь что касательно подсказок к паролям. Без них вы, скорее всего, не обойдётесь, потому-что когда у вас больше десятка паролей, даже применяя примведённый выше принцип вы будете помнить хорошо если пять. У подсказок есть единственное правило: их должны понимать вы и ТОЛЬКО вы. Проследуем за примером с сивухой. Подсказка «Ленин о религии» очень плохая. Любой прочитайвший её, скорее всего, быстро поймёт, что значит подсказка и останется вопросом времени подобрать ваш пароль. Посмотрим на другую подсказку: «Ленин выпил 17». Для любого злоумышленника это бессмысленный набор слов, а вы, запамятов пароль, по этой подсказке уже поняли о чём идёт речь. Хранить подсказки лучше всего в реальности на бумаге.

Последнее и, возможно, главное, что касается паролей: отучитесь использовать везде один и тот же пароль. Я знаю, что сформировать такую привычку очень сложно, но она правда важная. Если у вас везде один пароль, то каким бы сильным он ни был, любая компрометация аккаунта под этим паролем приведёт к компрометации ВСЕХ аккаунтов под ним. Особенно плохо будет, если вы применили этот пароль где-то, где опасность компрометации реальна, или где-то то, где его компрометация приведёт к непоправимым последствиям, а «лучше» всё сразу.

Наконец, следует поговорить о привычке к разумной паранойе. Её принцип гласит следующее: доверять можно только самому себе. Это простейшая установка с далеко идущими последствиями. Далее, следует принять дополнительный принцип: меньше всего доверия заслуживают государственные органы и корпорации. Вместе эти два принципа — самая грозная сила в ваших руках. Они приведут, например, к тому, что вы перестанете использовать Гугл и Яндекс ещё раньше, чем ближе к концу руководства мы предложим вам альтернативный поисковик, к тому, что на телефон вы никогда не установите Сервисы Google и Play Market, к тому, что никогда не установите приложение Сбербанка и никогда не зарегистрируетесь на Госуслугах и всему перечисленному будет одна единственаня веская причина: это не безопасно.

Установка ОС GNU/Linux и шифрование жёсткого диска

Полный и окончательный переход на Линукс является совершенно необходимым этапом становления как криптокоммуниста и, в общем смысле, одним из самых разумных шагов к улучшению своей безопасности. Смена семейства ОС — крайне важный шаг в жизни, ваша первая установка Linux подобна первому поцелую. Пожалуйста, морально приготовьтесь к такому поступку. В процессе установки новой ОС, мы реализуем, также, один из фундаментально важных этапов создания защищённой машины — полное шифрование жёсткого диска. Основопологающий принцип такого шифрования в том, что выключенная машина без пароля будет не полезнее большого и очень дорогого кирпича. Иначе говоря, никоим образом нельзя будет ни получить хранимую на компьютере информацию, ни просто воспользоваться компьютером, если пароля у вас нет. Следует сделать ремарку, что всё ещё возможно на компьютере с зашифрованным диском загрузиться с флешки. Впрочем, на безопаность это никак не влияет, потому-что сколько ни грузись, а без пароля никоим образом получить информацию с комьютера не представляется возможным.

Для начала, следует выбрать дистрибьютив, иначе говоря, подвид и реализацию ОС Linux. Хорошим выбором являются Arch Linux, Gentoo и Debian (Ubuntu, Kubuntu, Lubuntu). Рекомендуемым для вашего первого раза является либо Kubuntu либо, если у вас очень слабая машина, Lubuntu. Очень плохим выбором являются Manjaro, Mint, Kali и Astra. Установщики всех дистрибьютивов кроме Arch и Gentoo позволяют выбрать шифрование диска одним нажатием кнопки. Установка же Арча или Генту гораздо более «вдумчивая» и потребует предварительного чтения мануалов, однако, этот процесс окупается: вы сможете не оставить почти ни единого байта информации на диске незашифрованным (говоря точными терминами, которые вы узнаете из этих самых мануалов — зашифровать директорию /boot).

Теперь, когда вы определились с дистрибьютивами, следует безопасным образом перенести вашу информацию на новую ОС. Простейший способ — использовать внешний жёсткий диск или, если данных мало, обычную флешку. Но не у всех есть такие средства. Если вы ограниченны ресурсно, можете попробовать создать ещё из Windows или незашифрованного Linux раздел на диске, установить в другой раздел зашифрованную ОС и перенести данные между разделами. К сожалению, этот способ не лишёнь изъяна: присоеденить в дальнейшем эту области диска к шифрованному разделу невозможно и придётся шифровать её отдельно.

В любом случае, после использования внешнего носителя или раздела следует не просто удалить с него перенесённую информацию (её будет легко восстановить любому злоумышленнику), а затереть область их расположения, говоря на IT жаргоне — провести вайп. Простейшим и довольно грубым способом вайпа является зануление. Из уже установленного зашифрованного линукса перенаправьте поток нулей из /dev/zero на бывшее расположение данных. Это делается простейшей командой: dd if=/dev/zero of=$1 где вместо $1 затираемая область. Более основательно и надёжно до полной невозможности восстановить данные можно отвайпать их при помощи хеш-сумм. Для этого воспользуйтесь командой openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/random bs=128 count=1 2>/dev/null | base64)" -nosalt </dev/zero | pv -bartpes $(du -sb $1) | dd bs=64K of=$1 где вместо $1 в двух местах следует подставить адрес затираемой области. Обратите внимание, что на некоторых дистрибьютивах для корректного исполнения этой строки кода понадобится отдельно установить утилиту pv. БУДЬТЕ КРАЙНЕ ОСТОРОЖНЫ С ЭТИМИ КОМАНДАМИ!!! Их предназначение — уничтожать информацию таким образом, чтобы её невозможно было восстановить. Очевидно, что направив нули или хеш-сумму не по тому адресу, вы совершите своими руками настоящую катастрофу, при чём непоправимую.

Хорошему криптокоммунисту, наверняка, интересно, как это всё работает, что мы одобряем обеими руками. Дополнительным чтением к данному разделу является поиск статей, хотя бы на Википедии, по следующим запросам: dmcrypt, LUKS (обратите внимание — статья о LUKS на русской википедии гораздо информативнее, чем на английской), ядро Linux, UNIX way (обратите особое внимание на концепцию everything is a file: она откроет вам глаза на то, как работает dmcrypt), AES, шифрование-на-лету.

Настройка браузера

Прежде чем вы настроите свой браузер, его следует выбрать. Крайне рекомендованным выбором является редкий на данный момент браузер Basilisk. Это — форк (ответвление) рот де-юре устаревшей версии брайзера Firefox, обладающей повышенными параметрами безопаности относительно современной «лисы». Далее мы будем «обмазывать» ваш Василиск более чем десятью плагинами и тонкой настройкой каждого из них. Кроме этого, на данном этапе мы установим Tor.

- Установка Tor

Добро пожаловать в замечательный мир Linux, где почти любая программа устанавливается одной командой в консоли (проще, чем нажать на кнопку) и настраивается ещё легче. Если вы видите Linux впервые в жизни, то порядок действий следующий: узнайте, как называется ваш менеждер пакетов (в Kubuntu это будет apt-get) и как выглядит команда на установку пакета (напр. apt-get install); установите демон Tor (apt-get install tor); запустите его и поставьте в автозагрузку (в Kununtu это произойдёт автоматически, в Arch используйте systemctl enable tor и systemctl start tor). Поздравляю, на вашем компьютере установлен и работает Tor. Командой systemctl status tor вы можете узнать его «пульс». Запомните на всю оставшуюся жизнь следующее число — 9050. По адресу localhost:9050 вы можете обратиться к Тору на своём компьютере.

- Простейшие плагины

Следует установить два плагина, которые просты как два болта, но нам не помешают.

1.) UBlock Origin. Блокировщик рекламы, замечательный тем, что режет не только, собственно, рекламу, но также счётчики, а за одно блокирует видео-рекламу на YouTube.

2.) Ghostery. Более специализированный блокировщик счётчиков и прочих следилок. По сравнению с плагинами, которые будут описаны ниже, его использование — детские игры, однако парананойа не бывает лишней.

- Разрешительные плагины

Данные плагины работают по принципу «белых списков» и критически важны: именно они обеспечат большую часть вашей безопасности. 

3.) FoxyProxy. Один из мошнейших в тонкости настройки плагинов за всю историю браузера Firefox, он нам позволит направить большую часть вашего интернет-траффика через Tor, при этом сделав исключение для сайтов, которые работают через него очень плохо. Пропишите либо в новом профиле (лучше всего) либо в Default уже упомянутый адрес прокси-сервера localhost:9050 и whitelist-правило состоящее из одного единственного символа *. Поздравляю, прямо сейчас ВЕСЬ траффик вашего браузера направляется через Тор. Теперь научимся делать исключения. Создайте blacklist-правило и пропишите в него нужный адрес в окружении определённых символов, вот так: *youtube.com/* . Поздравляю, теперь Ютуб или любой другой сайт не будет направляться через Тор. Просто, не правда ли? Но при этом вы только что обезопасили себя от огромного пласта слежки.

4.) RequestPolicy. Ваше генеральное и мощнейшее оружие в борьбе с интернет-слежкой, тяжёлая артиллерия криптокоммунизма, этот плагин позволяет ультимативно контролировать любые запросы сайта к другим интернет-ресурсам. По-умолчанию, после его установки, ВСЕ кросс-сайтовые запросы будут заблокированы. Поместите значок плагина на верхнюю панель и нажмите полученную кнопку. Теперь вы можете временно или постоянно разрешать каждый отдельный запрос. Временные разрешения будут сброшены при перезапуске браузера. Более ультиматичного средства контроля над браузером просто не существует и можно очень долго распинаться в величии и полезности этого плагина.

5.) NoScript. Помощник и соратник RequestPolicy, этот плагин не позволяет исполнение JS-скриптов без вашего разрешения. Работает абсолютно по тому же принципу, как и ReauestPolicy: у вас появляется волшебная кнопка по управлению всеми скриптами.

6.) RefControl. Позволяет управлять передачей информации о том, с какого сайта вы перешли на другой сайт. Проще всего установить и забыть навсегда: теперь сайты просто не знают, откуда вы на них пришли.

Выбор средств связи

Следует пройтись по основным средствам безопасной связи напрямую с другими товарищами.

- Telegram. За этот пункт нас могут пожурить, да и мы сами признаём этот мессенджер в лучшем случае наполовину безопасным. Однако, это самое удобное из существующих на данный момент средств связи, в защиту которого можно сказать, что оно не сотрудничает с российскими властями, имеет девственно пустой Transparency Report и использовалось для связи исламскими террористами (мы не одобряем исламский терроризм, но о безопасности платформы это говорит красноречиво). Используйте, но с осторожностью.

- Tox. Лучшее, что дал миру шифропанк, Токс — это протокол зашифрованного и децентрализованного мессенджинга. Он в разы безопаснее, чем Telegram и отчасти более удобен. Однако, у него есть существенный минус: ваш аккаунт в Tox жёстко привязан к определённой машине, вплоть до того, что в случае утери доступа к ней вы потеряете и аккаунт, а чтобы воспользоваться Токсом на другом компьютере или телефоне надо создавать и давать вашим товарищам второй аккаунт. Я рекомендую использовать Tox для всех-всех-всех возможных контактов.

- cock.li Безопасная, абьюзоустойчивая анонимная почта, да ещё к тому же с красивыми адресами. К сожалению, недавно перешла на систему инвайтов. Вы можете обратиться к автору настоящего руководства за инвайтом, однако, учитывая их ограниченное число, не столь велик шанс, что эта просьба будет выполнена. В целом, если у вас получится получить инвайт, членопочта рекомендована в качестве основного почтового сервиса для любых контактов вплоть до банковских.

Подбор интернет-ресурсов

Вам следует знать, какие сайты в интернете безопасно или даже рекомендованно использовать чтобы получить качественный опыт.

- DuckDuckGo. Безопасный и Tor-friendly поисковик с хорошей поисковой машиной. Использовать во всех целях поиска по интернету, вместо небезопасных гугла и яндекса.

- Dobrochan.com Одна из старейших и крупнейших в рунете анонимных имиджборд. По многим параметрам, рекомендованное средство ежедневного общения и постепенного вката в тему анонимности.

- Iichan.hk Старейшая и одна из крупнейших русских имиджборд. К сожалению, на сайте полностью запрещено обсуждение политики.

- Lainchan.org Один из лучших существующих англоязычных чанов, обладающий мощным разделом по информационной безопаности.

- 2ch.hk/crypt Скрытый раздел сайта-который-нельзя-называть, посвящённый информационной безопаности. К сожалению, для доступа придётся добавить в исключения Tor. Посещение других разделов 2ch.hk строжайше не рекомендуется в виду полной безблагодатности и вредности.

- Rutracker.org Старый добрый рутрекер, отлично работающий из под Tor.

- Флибуста. Крупнейший в рунете архив литературы (интернет-библиотека). В Tor доступна по адресу flibustahezeous3.onion

Перепрошивка телефона

Последним этапом нашего погружения в удивительный мир шифропанка будет выбор и перепрошивка телефона. Итак, покупать следует ИСКЛЮЧИТЕЛЬНО флагманы, если есть деньги, и другие модели из основного модельного ряда, если денег нет. Особо практично и романтично брать битые экс-флагманы нескольких лет давности, лучше всего — на радиорынке. Почему мы ограничиваем свой выбор самыми известными моделями? Чтобы установить на них прошивку из линейки Lineage или, на совсем старенькие аппараты, Cyanogen. Обе этих линейки — открытые и свободные прошивки с повышенной безопаностью, в которых по-умолчанию отсуствуют гапсы и плей маркет (их некоторые не очень ценящие свою безопасность люди устанавливают отдельно).

Ваш главный друг на века — сайт 4PDA. Вбив в утку модель своего смартфона и эти волшебные буквы вы получите страницу со списком прошивок, где обязательно будут либо линейка либо циан. Далее, так как маркет на ваш телефон теперь не завезли, все приложения от браузера до телеграмма вы будете устанавливать напрямую из apk. Угадайте, где вы их возьмёте.

Прошивка из под Linux — довольно простая задача, рекомендовано использовать для неё spflashtool или, для совсем тугих в этом плане девайсов, adb. Если вы справедливо боитесь окирпичить телефон, проверьте наличие нужной прошивки и обратитесь в обычный сервис с просьбой прошить под линейку без гапсов. Вам это сделают с радостью и дёшево.

Обучение основам криптографии

Для обучения теории криптографии мы будем использовать ресурс Интуит, проект свободного университета, расположенного в интернете. Рекомендован к изучению следующий курс именно в такой последовательности:

https://www.intuit.ru/studies/courses/10/10/info — Основы информационной безопасности
https://www.intuit.ru/studies/courses/102/102/info — Безопасность сетей
https://www.intuit.ru/studies/courses/30/30/info — Стандарты информационной безопасности
https://www.intuit.ru/studies/courses/20/20/info — Межсетевое экранирование
https://www.intuit.ru/studies/courses/7/7/info — Инструменты безопасности с открытым исходным кодом
https://www.intuit.ru/studies/courses/3649/891/info — Техническая защита информации
https://www.intuit.ru/studies/courses/2256/140/info — Основы теории информации и криптографии
https://www.intuit.ru/studies/courses/691/547/info — Основы криптографии
https://www.intuit.ru/studies/courses/28/28/lecture/20412?page=3 —  Криптографические основы безопасности

Последний курс является самым важным и все предшествующие можно рассматривать как подготовку к его прохождению.

Для понимангия истории криптографии также рекомендуется статья в Википедии 
https://www.intuit.ru/studies/courses/2256/140/info — Основы теории информации и криптографии
https://www.intuit.ru/studies/courses/691/547/info — Основы криптографии
https://www.intuit.ru/studies/courses/28/28/lecture/20412?page=3 —  Криптографические основы безопасности

Последний курс является самым важным и все предшествующие можно рассматривать как подготовку к его прохождению.

Для понимангия истории криптографии также рекомендуется статья в Википедии «Криптоанализ Энигмы» и все с ней связанные статьи.