[Обучение] Делюсь своим опытом в вопросах безопасности

[Fingenerator]

Вот я читаю все эти статьи, которые размещены здесь и честно, становится даже смешно)
Какие-то там VPNы, прокси и прочая дребедень. Такое ощущение, будто собралась одна школота…. Либо, простите, может я чего-то не понимаю?

Как бы мне приходится шифроваться и я делаю это все немного по другому.

1. Пошел на рынок (компьютерный), купил там пару мобильных телефонов (Нокия-фонарики),
сим-карт (естественно, сказав что паспорта нет с собой),
3G модем (так же, без паспорта)
SSD хард на 64 гига.
плашку памяти на 4 гига, So-Dim DDR3
дешевую флешку, на 4 гига, очень маленькую
по пути домой закинул на один из номеров денег немного, чтобы номер активировался.

2. Вернувшись домой, залез на Авито.ру. Немного пошарив, нашел интересный ноутбук, Lenovo ThinkPad. Вообще, для работы лучше использовать бизнес-ноутбуки, типа Lenovo ThinkPad или Dell Latitude. Как правило, эти ноутбуки практически безотказны и в ценнике до 10K можно купить модели на базе Core I 2-го поколения!
Активировал второй телефон, зарегился на Киви.

3. Вставил симку в телефон, позвонил продавцу, встретился, купил ноут. По пути домой выбросил старую симку и телефон. Закинул деньги на Киви кошель.

4. Вернувшись домой, вынул родной HDD и установил SSD.
Так же, докинул плашку в 4 гига.
Повесил винду 7Макс. Подрубил 3Г модем.
Повесил Антивирь, даже Касперского и весь нужный софт.
По сути, для работы 64 гига ССД вполне достаточно! После того, как ноут был настроен, включил Windows BitLocker, настроил политики безопасности так, чтобы ключ хранить на той самой флешке. Да, чуть не забыл, пароль порядка 20 символов, с большими и маленькими буквами, а та к же цифрами и закорючками.
Ну и для доп. Безопасности, отрубил через командную строку спящий режим и гибернацию. Как бы есть такое дело, что можно вытаскивать ключи из дампа ОЗУ (правда, понятия не имею как снять этот самый дамп). Так что теперь ноут имеет только 2 режима: включен и выключен.

Все. Вот и вся безопасность.

Да, несколько раз надо было лететь в другой город.
Для этого, я скопировал с флешки ключ в папку на рабочем столе, через WinRAR 5.0 сохранил архив, используя шифрование AES и пароль почти на 20 символов, после чего закинул архив вновь на флешку, затем воткнул влешку в свой личный ноут и отправил архив на свой gmail почтовый ящик. А флешку отформатировал через Акронис, у них там есть технология глубокого форматирования флешки. После чего, взяв ноут смело с собой, отправился в аэропорт.

продолжение следует..

 

[Fingenerator]

Прилетев в другой город, открыл свой личный ноут, зашел на емейл, скачал оттуда архив, распаковал и вновь залил все на флешку. В принципе, в последнее время я уже не кидаю на емейл ключи, я их храню на своем личном ноуте, в запароленном архиве, а ноут личный так же под шифрованием, он Dell Latitude и там использую Dell Data Protection, которым зашифрованы диски.
Так что по сути, чтобы добраться до архива, надо сперва взломать защиту Dell, а затем и пароль на архив.
Все «добро» стоит примерно:
1. Ноут, около 10К
2. 3G модем + симка с интернетом на месяц = 2К
3. SSD хард = 2.5К
4. ОЗУ = 2К
5. Выброшенный мобильник + симка = 1К
6. Флешка = 0.3К
Итого: 18К
При этом, я не ломаю голову на тему как настроить VPN, скрыть IP или еще что-то там.
На новом ноуте были созданы новые аккаунты Скайпа, Почты и т.д.
Думаю и ежу понятно, что никогда, ни при каких обстоятельствах на рабочей машине не только не логиньтесь в своих аккаунтах на каких-то сайтах, но даже и не заходите на те сайты. Рабочая машина только для работы!

 

[Fingenerator]

А теперь подробнее о «дырах в моей инфраструктуре»

1. Надежность BitLocker?
Как бы там используется AES 256, взятый за основу Американским Министерством Обороны.
Да, BitLocker, если не ошибаюсь, сейчас принадлежит Мелкософту и есть ненулевая вероятность того, что есть какие-то ключи самого Мелкософта, позволяющие вскрыть эту систему. Вот только для этого меня должно поймать ФСБ, признать преступником международного класса, отправить запрос своим коллегам в интерпол, который в свою очередь запросит инфу у Майкрософта.
Вот только я далеко не преступник международного класса))

2. Паяльник способен вскрыть любые пароли.
Да, есть такое дело, но чтобы дошло до паяльника, на то должны быть веские причины, но я не уточнил самого главного: данный комплект за 18К я меняю ежемесячно. Таким образом, если меня и вычислят (каким-то волшебным способом), придут ко мне и включат паяльник в розетку, то максимум что смогут нарыть – это деяния за последние максимум 30 дней, а там объем такой, что можно и отмыться (с каждого проекта я откладываю определенную сумму «на черный день, а если вдруг»).

3. 3G интернет – это хорошо, но могут вычислить.
Да, могут. Но только если вас уже начали искать, а вы все еще продолжаете пользоваться «старым» оборудованием. С помощью триангуляции в городе с многоэтажками нифига не вычислить – очень много помех, отражений сотового сигнала, что дает весьма приличный разброс +- 1000 квартир.
Но здесь очень важно, чтобы ваш 3G модем находился постоянно в одном месте, в одном районе, ибо если вы возьмете с собой свой ноут, со своим текущим модемом и (или) симкартой, то есть способ вас вычислить.

Правда, я не знаю используют ли такие технологии (имеют ли техническую возможность) наши СБ-ники, но где-то читал статью, как в Британии был такой эксперимент.
Смотрите: вы пользуетесь модемом, например, у себя дома.
Потом, вы взяли свой ноутбук с модемом в другое место (на работе, в парк и т.д.) и назовем «район Б»
Далее, СБ запрашивает у всех операторов инфу, какие номера телефонов регистрировались на базовых вышках в районе, где был «засвечен» номер вашего 3G модема.
Затем, СБ запрашивает у всех опсосов какие номера регистрировались на вышках в районе «Б», после чего просто сверит номера на совпадение и все номера, которые совпадут – это будут, вероятно, ваш личный мобильный телефон (ведь у всех у нас есть привычка всюду таскать свой личный мобильный). И, вы, может и удивитесь, но в реале количество совпавших номеров будет 1-3 штуки (по сути ваш и ваших друзей, с которыми вы тусите), ну а дальше будут изучать глубже ваших друзей, кому звоните и т.д.

Но опять же, это если вас целенаправленно ищут, то есть задним числом вас не станут так искать и я уверен, что в данный момент собирать инфу задним числом копец как сложно (вам надо будет кинуть госструктуру, либо быть международным террористом, чтобы так с вами заморачивались), а просто МВД не будет этим заниматься.

Так что, господа, почаще меняйте оборудование и никогда, ни при каких обстоятельствах не трогайте госструктуры (да будет вам уроком история с Аэрофлотом, лично я очень не хотел бы, чтобы за меня взялось Group-IB и нет, я их не боюсь, просто не ошибается лишь тот, кто ничего не делает и есть ненулевая вероятность где-то когда-то ошибиться).

 

[Fingenerator]

Но самое сложное во всей этой серой системе не техническая ее часть, а материальная, то есть вывод заработанных денег. Если у вас копейки, то есть 100-500 тыс. в месяц, то здесь можно и не париться, купил пару карт, на которые сливаешь нажитое, а после вечерней прогулкой по банкоматам, налишь, но когда сумма становится от 2-3 млн. в месяц и приходят они не на кошельки, а на р/с фирмы, вот тогда уже вывод денег превращается в геморрой, особенно, когда речь идет о грязи. Ведь с грязью мало кто реально готов связываться, а подставлять «честных» нальщиков и выводить через них грязь – это подло и прошу вас, никогда так не делайте! Подумайте о том, что вы можете когда-нибудь кинуть «того, кого нельзя» и он выйдет на нальщиков как 2 пальца обоссать и запахнет тогда паленым мясом тех, кто вам оказал помощь.

Вообще, в последнее время работать в Москве стало очень сложно.
Камеры сплошь тут и там и многие из них включены и реально записывают (есть так же много муляжей, либо не подключенных камер). Делается все не сложно (при наличии желания).

Например, у вас мошеннический сайт.
СБ отправляет запрос хостеру на предоставление информации.
Хостер предоставляет ее: IP адреса, идентификаторы вашего ноутбука, способы оплаты хостинга.
И здесь, в том числе, может передать СБ файлы самого сайта, в которых порывшись, иногда можно так же найти кучу всякой инфы: например, если вам программист делает сайт уже на готовой сборке, которую собирал когда-то давно на другом хостинге, то в ней, в БД, остается самый первый IP адрес админа и если программист делал это со своего реального компа, то это будет его личным IP адресом.
Так же, часто, когда из одной CMS сборки делают разные сайты, то в процессе допила иногда остаются ссылки на старые сайты, я сталкивался с таким (с такой безответственностью программиста).

Дальше, СБ смотрит кучу разной инфы, в том числе, как опрачивался хостинг.
Видит, например, через виртуальную карту Киви.
Отправляет запрос в Киви и получает много разной инфы, в том числе о транзакциях, а так же пополнениях. При этом, они так же могут получить инфу о том, через какой терминал и в какое время пополнялся счет.
И если терминал находится под видеонаблюдением (уличная камера, либо камера на входе в продуктовый магазин, где часто ставят подобные терминалы), то они могут получить инфу с камер и уже будут знать вас в лицо..

 

[Fingenerator]

Дополнительные рекомендации.

1. Если вам надо пополнить, а вы не знаете, есть ли рядом камеры, не ищите их)
Просто накиньте капюшоп, опустите голову, подойдите к терминалу, пополните счет и не поднимая головы свалите в туман.
Долгая история, но я как-то работал с СБшниками и видел этих горе-воришек, которые мотая головой искали камеру, но увидев ее на мгновение замирали (это рефлекс и от этого никуда не деться), да так, что фейс их в камеру попадал четко, в фас!).

2. У бизнес ноутбуков Dell Latitude есть специальное приложение для шифрования данных.
Суть в том, что вы устанавливате помимо своего основного пароля "специальный" и если его ввести, то в течении секунды все данные на жестком диске уничтожаются. Так что, в этом случае паяльник тоже далеко не панацея.
Понимаю, что у IT спецов возникает вопрос о том, как происходит "мгновенное" удаление данных. Секрет прост: для корректной работы данной функции необходимо использовать (как делал именно я) SSD диск с поддержкой аппаратного шифрования диска.

В России есть в свободной продаже Crucial M550 (удивляюсь, как их пропустили в продажу, года 3 назад пытался купить 2.5 HDD для ноутбука и не нашел в продаже ни одного харда с поддержкой апаратного шифрования!), который поддерживает аппаратное шифрование (и этот жесткий диск поддерживается ПО Dell).
Так вот, происходит уничтожение ключа дешифровки данных, маленького файлика объемом менее 1 килобайта, а без ключа - эти данные всего лишь набор нулей и единиц.
В этом и весь секрет быстрого уничтожения данных.

3. Все эти VPN, TOR анонимайзеры и прочий софт - они хороши лишь до той поры, пока вас не начали искать, а если вас начнут искать, то не факт, что они смогут реально вас защитить.
Поэтому, просто купите отдельный ноутбук с отдельным 3G модемом и делайте спокойно все на нем и не забывайте регулярно менять железо - выбрасывать старое и покупать новое. Лишь это способно вас по максимум обезопасить.
И если для вас покупка ноутбука удовольствие дорогое, то поверьте, не стоит вам лезть в "серые дела". Заработок в 10-20-30-50 тыс. руб. - не стоит ради таких денег подставлять свою задницу. Хотите адреналина - найдите ближайшую дропзону и занимайтесь парашютным спортом - там вы получите достаточно адреналина.
Помните, если вы собираетесь лезть в эту сферу, то объем вашего заработка должен позволять вам полностью отмыться, в случае если вас схватят за задницу. Но а если вам нужны первоначальные финансы, то я считаю что дополнительно 20-30 тыс. на безопасность - эти деньги накопить не проблема.

Если у вас есть какие-то вопросы, то готов на них ответить.

 

[ziliboba]

Могут вычислить откуда был заход в почту мейл? Заходил через тор, с включённым ява скриптом.

 

[ortober]

Привет. А как насчёт такой схемы купить роутер с большой далностью сигнала и поймать бесплатную вай фай точку?

 

[Fingenerator]

Могут вычислить откуда был заход в почту мейл? Заходил через тор, с включённым ява скриптом.

Мейл + ТОР с Ява скриптом - это зло.
1. Mail.ru - Российский сервис, к которому у спецслужб есть прямой доступ.
Мои вам рекомендации - используйте gmail.com - к нему на данный момент Российские спецслужбы могут получить доступ только в том случае, если вы получите статус международного террориста.
2. При пользовании ТОР не включайте Java скрипты, так как они нарушают безопасность. Я подозреваю, что без включенного ява скрипта невозможно войти на почтовый ящик. Но, на Авито за 4-5 тыс. можно надыбать нетбук, лучше купить нетбук и не рискуйте.

 

[Misha89]

Очень интересная и позновательная статья, спасибо ТСу. Объясните только попонятней мне бестолковому что это(SSD хард на 64 гига.
плашку памяти на 4 гига, So-Dim DDR3)

 

[Fingenerator]

Очень интересная и позновательная статья, спасибо ТСу. Объясните только попонятней мне бестолковому что это(SSD хард на 64 гига.
плашку памяти на 4 гига, So-Dim DDR3)

SSD - это жесткий диск на основе флеш памяти.
В отличии от "классических" дисков, скорость ноутбука возрастает в разы, в среднем, ноутбук с кучей настроенных программ + антивирусом полностью готов к работе через 30-40 секунд после включения, а любая программа загружается за "пару" секунд.
Подробнее: Жесткие диски и сетевые накопители - выбор по параметрам на Яндекс.Маркете

плашка памяти 4 гига - дополнительный модуль памяти для ноутбука, в итоге, общая ОЗУ на ноуте составляет 4+4=8 Гигов.
При этом БУшный ноутбук, который в итоге обошелся в 13 тыс., работает уровне новых, стоимостью в 25-30 тыс.

 

[Fingenerator]

Очень важно, что если вы с кем-то из товарищей, которых знаете в реале, решили замутить какой-нибудь проект, продумайте сразу механизмы, которые вам позволят защититься.

Никогда в общении по прямым каналам (сотовая связь, мессенджеры, переписка по емейл), не упоминайте даже вскольз о проекте. Какими бы вы ни были друзьями, помните, что рано или поздно может произойти что-то такое, что разрушит вашу дружбу.

Например, если вашего товарища поймают, помните, что в 100% случаев следователь предложит ему скосить срок (или даже сделать свидетелем) в обмен на информацию о его сообщниках и в 99% случаев люди сдают своих сообщников. Забудьте про американские боевики, где один из героев берет все на себя, а спустя 10 лет, выйдя из тюрьмы, получает свою долю, такое бывает только в кино.
Поэтому, очень важно, чтобы ваш товарищ даже если и выдаст вас, не смог предоставить никаких доказательств вашего соучастия. В этом случае вас могут вызвать на допрос, организовать обыск, перечитать ваши сообщения в соцсетях, но если ничего не найдут, то и приписать вам ничего не смогут.

Например, в одном из проектов, в котором участвовало 3 человека (организатор, программист, обнальщик), все трое договорились сделать следующее: они раскидали объявления в интернете о предложениях своих услуг.

Организатор, зарегился на сайте fl.ru и разместил там проект, в котором искал программиста для проекта.
Человек, который должен был программировать, он нашел это объявление и ответил на него.
Затем, организатор пообщался подробно со всеми, кто откликнулся на его проект на фрилансе и выбрал "своего" человека для разработки сайтов.
И вся дальнейшая работа велась в русле, типа программист не знал, для чего будут использоваться данные проекты.
В рамках данного проекта, если поймают организатора и будут пытать паяльником (то есть не оставят ему выбора), то он сможет смело показать сайт fl.ru, на котором он разместил проект и нашел программиста и даже если выйдут на программиста (а программист находился в другом городе),
то в его деятельности не будет злого умысла, в итоге он пойдет по делу как свидетель.
В свою очередь программист, если поймают его (ну, мало ли как могут это сделать), покажет объявление на сайте fl.ru и может смело показать всю переписку в Скайпе, по почте и получается, что он просто делал сайт, не зная для чего нужны заказчику эти сайты. Таким образом, фактически, программист отделается "легким испугом".
Естественно, оплата услуг программиста так же делалась 2-мя каналами: через один канал оплачивались его услуги программирования, по среднерыночной цене, а через другой канал он получал толстый конверт а денежкой.

С обнальщиком вопрос был сложнее.
Вопрос с обнальщиком был решен прямым письмом на его емейл, в котором его попросили помочь в вопросах "налогового планирования" и помочь обналичить небольшую сумму для организации.
В рамках данной ситуации, его деятельность подпадает под УБЭП, а не мошенничество, а от дел УБЭПа можно и откупиться.

И самое главное!
В том проекте, прежде чем начать работу, был сперва создан финансовый буфер в 1 млн. рублей, на "непредвиденные ситуации", который впоследствии был расширен до 3-х млн. По сути, подобная сумма способна решить множество вопросов (только если вы не перешли дорогу очень серьезному дяде).

И главнее главного!
Если так уж получилось, что вы не смогли что-то поделить, вас кинули, не спешите мстить.
Какая бы вас не раздирала ненависть к тому, кто вас кинул на деньги, попытайтесь не решать проблему местью в лоб. Помните, что в таких случаях, примерно в течении 48 часов вы не способы адекватно мыслить, поэтому, предпринимайте какие-то действия, а еще лучше, начинайте думать только лишь спустя 2 суток, когда ваш мозг вернется в нормальное русло и к вам вернется способность мыслить объективно.
Всегда старайтесь найти альтернативные решения. Меня кидали 2 раза, по крупному и оба раза, в итоге оказывалось, что это был правильный знак! Но об этом позже распишу.

Почитал на форуме эту статью
http://darkmoney.cc/bezopasnost-i-a...st-i-bezopasnost-ochen-poleznaya-stat-ya-426/
и могу сказать, что она очень даже правильная!

 

[Fingenerator]

Человек - раб своих привычек.
Сталкивался с тем, что люди в своих левых проектах ставят те же пароли на аккаунты, что и в реальной жизни.
Это не правильно, так нельзя делать!

Описываемое далее на данный момент является пока что теорией, но она может в ближайшее время быть внедренной.
Вы ведь не хотите быть первыми?)
Например, у вас аккаунт на Яндексе. Спецслужбы уже знают, что это аккаунт .
Они могут запросить у Яндекса аккаунты, в которых используются те же пароли, который используете вы.
Далее, получат список аккаунтов и начнут сверять по соцсетям.
И поверьте, это может им позволить весьма круто сузить круг поиска!

 

[Геккон]

Человек - раб своих привычек.
Сталкивался с тем, что люди в своих левых проектах ставят те же пароли на аккаунты, что и в реальной жизни.
Это не правильно, так нельзя делать!

в связи с этим вопрос - на сколько актуально использовать в программах шифрования (напр. TruCrypt) или прога хранения паролей файлов-ключей? если, например, задать действительно грамотный сложный пароль, то он сам по себе не будет гарантией?

 

[everyday]

по моему ТС подкован достаточно и читать его посты познавательно.

 

[cybercomercant]

по моему ТС подкован достаточно и читать его посты познавательно.

если честно, такое же мнение!

 

[Fingenerator]

в связи с этим вопрос - на сколько актуально использовать в программах шифрования (напр. TruCrypt) или прога хранения паролей файлов-ключей? если, например, задать действительно грамотный сложный пароль, то он сам по себе не будет гарантией?

Вероятно, вы не совсем поняли то мое сообщение.
В нем я описывал немного другое.

Дело в том, что для левых проектов необходимы бывают левые аккаунты почтовых ящиков, Скайпа, регистрации на каких-то сервисах.
Так вот, я встречал, когда люди при регистрации этих левых аккаунтов использовали те же самые пароли, которые используют и в своих основных аккаунтах: почтовых ящиках, скайпе, регистрации в соцсетях.

Что касается системы TrueCrypt, то на данный момент нет ни одного факта, подтверждающего возможность взлома,
однако,
не забываем,
что в данный момент происходят нехорошие вещи с проектом и спецслужбы плотно работают над данной программой в поисках алгоритмов, позволяющих расшифровать зашифрованные данные.
Программа очень хороша и надеюсь, что они не найдут решения.

Но, важно помнить одно: если вы попадетесь в руки спецслужб, даже если они не смогут расшифровать ваши данные, но будут уверены на 100% в том, что вы замешаны, то они с вас не слезут!

Сколько бы ни было анекдотов о "тупых ментах, которых ходят парами, так как один умеет только писать, а второй только читать"
- помните, это люди, которых учат как ловить, которых учат, как вытаскивать показания, признания и у которых всегда в запасе есть немало "висяков", которые они легко могут сфабриковать и повесить на вас, дав вам реальный срок.
На моей памяти немало случаев, когда когда мелких барыг, торгующих наркотой, останавливали на улице, подбрасывали им наркоту и сажали на реальный срок.
И все люди, которые попадались - они попадались именно из-за того, что недооценивали интеллектуальные способности спецслужб (МВД, ФСБ).

 

[Геккон]

Вероятно, вы не совсем поняли то мое сообщение.
В нем я описывал немного другое.

нет, я прекрасно все понял, замечание достаточно верное, на своем опыте знаю, что лень придумывать каждый раз новые пароли, поэтому и стал использовать прогу для хранения паролей - очень удобно...
ну и свой вопрос задал потому что речь зашла о паролях...
но Вы все же не ответили - стоит ли дублировать хороший пароль в подобных программах (я имею ввиду пароли на открытие в таких программах их баз с паролями) или пароли на присоединение шифрованных дисков на TrueCrypt ещё и файлами-ключами?

 

[Jamooo]

BitLocker ********** ИМХО трукрипт 7.1а

ява не вырублен флеш тоже HTML5 WebRTC

Поэтому, просто купите отдельный ноутбук с отдельным 3G модемом и делайте спокойно все на нем и не забывайте регулярно менять железо - выбрасывать старое и покупать новое. Лишь это способно вас по максимум обезопасить.

вертуалка антидитект

 

[Jamooo]

ну и свой вопрос задал потому что речь зашла о паролях...
но Вы все же не ответили - стоит ли дублировать хороший пароль в подобных программах (я имею ввиду пароли на открытие в таких программах их баз с паролями) или пароли на присоединение шифрованных дисков на TrueCrypt ещё и файлами-ключами?

для трукрипта возьми обзац с книги




юзайте линукс

 

[puhidd87]

Прекрасно читается )