Безопасность в сети

1. Где лучше всего хранить информацию?

Лучше хранить всю информацию в облачных сервисах, таких как skydrive, google drive, dropbox, конечно же не используя яндекс диск и другие подобные Российские сервисы.
Но храня информацию не нужно забывать о её шифровании. С облачными дисками прекрасно интегрируются несколько программ шифрования, это "truecrypt" и "rohos disk".

2. Как общаться наиболее безопасно?

Джаббер это с одной стороны правильно, но с другой многие jabber сервисы ни чем не отличаются от ICQ или Skype: так же ведут логи по соединениям и переписки. Для того, чтобы избежать данной проблемы (если вам это требуется) заведите свой jabber сервер (установка его займет максимум 5 минут, а настройка еще 3). Ну и если вы все-таки пользуетесь публичными (или как вы думаете, приватными jabber сервисами), обязательно шифруйте свои сообщения.
Шифрование сообщений в jabber-е имеет один большой недостаток, обычно клиенты не могут установить модуль OTR для шифрования сообщений. Для облегчения жизни существует другой вид шифрования PGP, под который написан отличный клиент с встроенным модулем шифрования и удобной (но не думаю что приватной) передачей файлов через файлообменники. Этот клиент зовется SJ.

Общение в аське лучше производить из самого джаббера (подключив транспорт ICQ).

Skype это отдельная история. Во-первых, с недавних пор он палит IP клиента, во-вторых, хранит очень полные логи. Избавиться от него самый правильный вариант, но очень уж много клиентов им пользуется и терять их совсем не хочется. В этом случае, как закрыть свой IP мы уже знаем, а вот общение в скайпе надо свести к минимуму и стараться передавать важную информацию путем передачи зашифрованных файлов. Но не делайте так, как многие: наивно полагая о честности сервиса передают информацию через privnote.com. Этот сервис давно себя скомпрометировал в связи с тем, что логирует все записи клиентов.

3. Как вычисляют пользователей?

Что делает обычный пользователь? Он меняет IP и радуется жизни. Продвинутый удаляет еще и cookies, и тоже считает себя относительно защищенным. Но все мы забываем, что каждый браузер и система имеют свой, практически уникальный отпечаток. Методика заключается в том, что собирается вся информация о браузере, плагинах, операционной системе и времени установок (где возможно получить время). Вся эта информация достаточно уникальна и позволяет на 70-75 процентов идентифицировать пользователя, а это уже не мало на начальном этапе.

Система снятия отпечатков браузера и ос, сейчас стоит на всех социальных сетях. То есть, если вы пошли к примеру на один ресурс, где был снят ваш отпечаток, и потом отключив впн пошли к себе в одноклассники, то считайте что вы попали, так как с 2012 года вторым этапом розыска осуществляется сверка данных по отпечаткам, доступ к АРМ имеют сотрудники большого брата, все же остальные получают данные по запросу.

Далее используется IP адрес (даже под впном) и сверяются тайминги.

Как же это происходит?

Везде (по всей Европе и России), во всех "Дата Центрах" установлено оборудование для записи трафика (это страшное слово СОРМ, Solera, E-Detective и т.д.). Это оборудование пишет весь трафик по ДЦ, как входящий, так и исходящий. Далее происходит сверка пакетов по временным интервалам, то есть считается количество и размер исходящего и входящего пакета в промежуток времени. Прибавляется время, необходимое на прохождение маршрута и вуаля, мы имеем клиента, который прячется за впном. Так же через ДЦ не запрашивая данные у ВПН провайдера имеем реальный IP клиента.

4. Виртуальная машина, этого достаточно, что бы скрыть/изменить отпечаток?

Виртуальная машина скроет ваш отпечаток и будет передавать свой. Время от времени требуется настройка сброса параметров и переустановка системы в виртуалке, с изменениями параметров. Если говорить о виртуалке на удаленном хостинге: если она не подготовлена определенным образом (шлюзование, макширование, впн, миграция и тд.), значит её вообще не стоит использовать. 

5. Хранят ли провайдеры данные о пользователях?

Федеральная служба безопасности РФ намерена получить полный контроль над данными пользователей глобальной сети Интернет. Так, эксперты ведомства приняли участие в создании приказа Министерства связи и массовых коммуникаций, согласно которому, с 1 июля 2014 года все провайдеры должны были установить необходимое оборудование, позволяющее записывать и хранить данные интернет-трафика не менее 12 часов. К тому же, согласно проекту приказа, доступ к этой информации в полном объеме должен быть предоставлен спецслужбам страны.

По данным ИД «Коммерсантъ», под наблюдение ведомства попали, помимо всего остального, телефонные номера, IP-адреса, имя учетной записи пользователя, адреса электронной почты в сервисах mail.ru, yandex.ru, rambler.ru, gmail.com, yahoo.com и др.; уникальный идентификационный номер пользователя интернет-чата ICQ, международный идентификатор мобильного оборудования (IMEI), идентификаторы вызываемого и вызывающего абонентов интернет-телефонии и др.

Помимо этого, документ предусматривает передачу представителям ФСБ данных о местоположении абонентских терминалов пользователей сервисов интернет-телефонии (Google Talk, Skype и др.).

Отметим, что многие эксперты назвали проект приказа неконституционным, поскольку его положения предполагают сбор и хранение данных пользователей без соответствующего постановления суда.

Это оборудование ставиться в рамках СОРМа, но уже имеет более направленный характер для слежения за абонентами.

Минимальной мерой безопасности теперь является полный отказ от IM клиентов и переход на jabber с обязательным шифрованием OTR, а так же отказ от всей IP телефонии, кроме использования сервисов с шифрованием разговора и с обязательной подменой IP (соответственно с sip проксированием на стороне сервера).

6. Как проверить маршруты и как мне защититься от самого сервиса?

Для проверки анонимности проверяем всю информацию, для начала так:

1) Заходим на сервер и смотрим входной IP, далее включаем логи на сервере и перезаходим еще раз (на выданном вам сервере) и проверяем в аудите безопасности IP подключения к серверу (то есть по сути лог о том с какого IP вы подключались, если защиты бы не было, то будет ваш домашний IP).

2) Проверяем исходящий IP адрес и смотрим совпадение его с входящим, он не должен совпадать.

3) Проверяем снова идет ли трафик через "jap", самое простое можно указать адрес сервера "jap" в прокси и проверить работает ли сервис.

Это самая простая проверка маршрутов.

Но анонимность не будет анонимной, если вас смогут контролировать. А при такой проверке все равно можно снифить трафик и видеть что творит человек.

Для того чтобы защитить себя, вам предоставляется возможность шифрования трафика. Для этого на каждой машине установлен VPN клиент от сторонней компании. Трафик шифруется проходя через наши шлюзы именно вашим ВПН и у нас нет возможности его отследить.

Остается еще одна дыра, мы можем получить доступ к вашей информации на жестком диске.

Для этого, на каждой машине сделан дополнительный жесткий диск, который предназначен для хранения информации. С нашей стороны он зашифрован, но это не спасает, поэтому на рабочем столе есть установленная программа для шифрования данных, которой я настоятельно рекомендую пользоваться. 

7. Что вы скажите о целесообразности использования криптофона? Будет ли какой-то толк, если у меня есть, а у собеседника нет? Или же у обоих абонентов должны быть криптофоны?

Конечно должен быть у обоих, иначе смысла в нем нет, кстати те, что продаются в России и сертифицированы в них даже в двух смысла нет.

8. Кто передаёт секреты с помощью интернета или сотовой связи? Зачем обычному пользователю засекречивать свои разговоры в Скайпе?

Люди бывают разные и дела обсуждают очень часто онлайн. Не всегда приятно, что за тобой следит дополнительный глаз. Ну и потом не забывайте, что на данный момент вся переписка идет через сервера майкрософта, что с большой долей вероятности означает, что даже спустя какое-то время вам смогут вменить любую переписку (пусть даже косвенно, но все же). Самый безобидный вариант, это передача каких то конфиденциальных данных, чем люди часто обмениваются.

9. Какое отношение Kryptos.pro имеет к России? Законен ли сервис?

Kryptos.pro имеет отношение к России, только тем, что сотрудники говорят на русском языке. Юр.лицо открыто в другой стране, сервера находятся за пределами России, клиентами являются тоже не только Россияне. В странах ЕС, данные услуги считаются совершенно законными, так как защищают конфиденциальность личной жизни.

Касаемо России, тут вопрос спорный:
С одной стороны есть конституция, которая говорит что каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. (в принципе, чем мы и занимаемся).

А с другой, использование шифровальных средств, несоответствующих ГОСТ запрещены законом РФ. Но тут тоже, мы не нарушаем законов РФ, потому что на физ. лиц это не распространяется, так как шифруют свою информацию у нас сами пользователи, при этом используя программы находящиеся в общем доступе.

10. Что делать, если VPN отключается?

Дело в том, что много пользователей (которые экономят) попадают из-за "выпадания" впн, то есть по сути даже запроса к впн сервису делать не надо, так как у многих пользователей впн клиент хоть раз, но отключался. В момент отключения такие сервисы, как скайп, icq, webmoney успевают быстрее принять ваш ip, чем вы подключите VPN. Соответственно вы засветитесь и далее уже прятаться смысла нет. Для того, чтобы при отключении VPN разорвался интернет, надо изменить маршрутизацию, а точнее в настройках сетевого соединения удалить шлюз (после подключения к впну). Это самый простой способ, хотя многие впн сервисы уже стали предоставлять программу для удаления шлюза, но ставить неизвестные программы не стоит (гораздо проще написать батничек-минискрипт). Маршрутизация - это маршрут, через который идет интернет, его можно пускать напрямую, а можно через впн, а особо параноидальные пускают трафик на разные ресурсы через несколько впн.

11. Насколько эффективно ставить пароль в биосе на современных материнских платах?

Пароль на любую материнку в биос на данный момент ставить для безопасности нет смысла. Имеет смысл делать комбинированный пароль на шифрованный раздел с ключом. Либо еще лучше, делать двойную систему с помощью того же тру скрипта. А вообще, держать информацию на машине, которая может оказаться доступна физически для злоумышленников, даже если будет все зашифровано - не правильно. Но как любительский вариант это шифрование и использование скрытого контейнера + двойная система.

В старом биосе, для сброса достаточно вытащить батарейку, а в новых пароль хранится в пзу и обнулить его можно только с помощью паяльника. Так что если ПК изымут, то не составит труда обнулить пароль.

12. Если есть модем 3G и есть возможность менять сим-карты хоть каждый день. Такой сервис актуален вообще? Есть у модема какой-нибудь ID, или меняешь сим-карту, меняешь модем, сами компьютеры тоже имеют какой-то свой уникальный номер идентификации?!

Модем 3G имеет как сетевой адрес, так и IMEI, что позволит вас отследить даже при смене симкарт. Компьютер же к модему отношения вроде бы и не имеет, то есть он не светит свои сетевые адреса, но светит ID железа и системы. Так что если не использовать систем защиты (помимо впн), используйте хотя бы виртуальную машину на локальном компьютере.

13. Есть элементарные рекомендации для "чайников" по защите ПК от проникновения разного рода "хакеров" и опасного ПО? Без анонимности.

Самый простой вариант, если вы на Windows и находитесь в лане, то:

1. Поставить firewall + антивирус, совет - agnitum

2. Отключаем шары на своем ПК, если он на Windows (даже административные C$ и тп), их сейчас стали вновь использовать для брута.

3. Старайтесь не принимать файлы от малознакомых людей.

4. Не обязательно, но желательно ставим двойную авторизацию на вход + шифруем все данные, которые представляют ценность (или носим их на флешке, или сохраняем в облаке).

14. Сим-карты, которые когда-либо вставлялись в модем, хранится ли информация о них где-то?

Да, такие данные хранятся у оператора.

15. Какую виртуальную машину посоветуйте использовать на домашнем компьютере?

Самый простой вариант - установить VirualBox.

Подписывайтесь на канал:
@mydengi