27.11.2016 / 21:11

Эдуард Пальчыс: Як я захоўваў ананімнасць і як мяне знайшлі 34

За апошнія гады, асабліва пасля ўчынка Эдварда Сноўдэна, больш ужо ніхто не сумняваецца ў патрэбнасцях захавання бяспекі ў інфармацыйнай прасторы. Для Беларусі гэта таксама вельмі актуальна. Дзяржаўная манаполія на інтэрнэт азначае лёгкі доступ спецслужбаў да вашага трафіку. Мяне не раз пыталі: «Як ты захоўваў сваю ананімнасць? Што параіш?» і «Як цябе знайшлі?». Адказваю.

Ствараем сакрэтную і зашыфраваную аперацыйную сістэму

Ёсць такая праграма як TrueCrypt (версія 7.1а). Яна дазваляе ствараць віртуальныя дыскі (раздзелы) на вашым фізічным цвёрдым дыску. Гэтыя раздзелы шыфруюцца спецыяльнымі складанымі крыптаграфічнымі метадамі.

Дык вось што мы з вамі зробім — створым віртуальны зашыфраваны том. А ўнутры яго — яшчэ адзін, сакрэтны (таемны), які нікому не будзе бачны, акрамя вас. І на гэты сакрэтны том, мы ўстановім так званую «віртуальную машыну» з аперацыйнай сістэмай. І праз яе будзем выходзіць у інтэрнэт.

То бок, у нас атрымаецца такi ланцуг:

Ваш камп’ютар з аперацыйнай сістэмай — першы наяўны зашыфраваны віртуальны раздзел — другі сакрэтны зашыфраваны раздзел — «віртуальная машына» з аперацыйнай сістэмай — TOR/VPN — інтэрнэт.

TrueCrypt — ствараем шыфраваныя раздзелы

Запускаем праграму, у галоўным акне выбіраем Create Volume.

Выбіраем пункт Encrypt a non-system partition/drive, што азначае «зашыфраваць несістэмны раздзел цвёрдага дыска».

Выбіраем Hidden TrueCrypt volume, гэта значыць «Стварэнне схаванага тома».

Выбіраем Normal mode.

Націскаем Select Device і выбіраем раздзел дыска, які будзе зашыфраваны.

У нашым выпадку выбіраем раздзел пад літарай E.

Далей:

Далей:

Задаём налады для знешняга зашыфраванага раздзела: выбіраем алгарытм шыфравання і алгарытм хэшавання.

Далей:

Уводзім пароль знешняга зашыфраванага раздзела.

У гэтым акне праграма пытае нас, ці будзем мы захоўваць у дадзеным раздзеле файлы памер якіх будзе перавышаць 4 GB. Калі мы не плануем захоўваць файлы памерам больш за 4 GB, то выбіраем пункт No.

Выбіраем файлавую сістэму знешняга раздзела (NTFS) і памер кластара файлавай сістэмы (default) і націскаем Format.

Пагаджаемся з прапановай праграмы фарматаваць раздзел у файлавую сістэму NTFS.

Праграма выдае папярэджанне, што ўсе звесткі на абраным раздзеле будуць выдаленыя ў працэсе фарматавання. Пагаджаемся і націскаем «Так».

Ідзе працэс шыфравання абранага знешняга раздзела цвёрдага дыска.

Знешні раздзел паспяхова створаны. Далей:

Ствараем яшчэ адзін схаваны (таемны) раздзел унутры першага схаванага раздзела. Далей:

Выбіраем алгарытм шыфравання і алгарытм хэшавання схаванага раздзела.

Выбіраем памер схаванага раздзела. Разлічвайце так, каб хапіла пад патрэбы віртуальнай машыны і аперацыйнай сістэмы, якую вы будзеце ўсталёўваць (Linux, Windows і інш).

Уводзім пароль таемнага раздзела. Далей:

 

Усё тое самае. Праграма пытаецца, ці будзе карыстальнік захоўваць на таемным раздзеле файлы памерам больш за 4 гб.

Выбіраем файлавую сістэму схаванай часткі (у нашым выпадку NTFS) і стандартны памер кластара файлавай сістэмы. Націскаем Format.

Выканана:

Схаваны (таемны) раздзел паспяхова створаны

Далей:

Пераходзім у галоўнае акно праграмы і націскаем Select Device.

Выбіраем першы раздзел цвёрдага дыска, на якім мы стваралі схаваны том, у нашым выпадку гэта частка пад літарай E.

У радку Volume з'явіўся наш раздзел.

Выбіраем літару, пад якой будзем мантаваць створаныя намі знешні і схаваны (таемны) раздзелы цвёрдага дыска і націскаем кнопку Mount.

Спачатку змантуем знешні раздзел, увёўшы ад яго пароль.

Наш змантаваны знешні раздзел пад літарай M.

Размантаванне адбываецца праз кнопку Dismount.

Як бачым, знешні раздзел змантаваны пад літарай M. Пра тое, што змантаваны знешні раздзел, кажа слова «Normal».

Як бачым, насупраць літары M ужо нічога няма, значыць наш знешні раздзел паспяхова размантаваны.

Аналагічным чынам змантуем схаваны (таемны) раздзел. Усё так жа, як і ў выпадку са знешнім раздзелам, толькі цяпер у акне ўводу пароля трэба ўводзіць пароль ад схаванага (таемнага) раздзела.

Змантаваны схаваны (таемны) раздзел пад літарай M. Пра тое, што змантаваны раздзел з'яўляецца схаваным, кажа слова «Hidden».

Змантаваны схаваны (таемны) раздзел пад літарай M.

Размантуем наш схаваны раздзел, націснуўшы кнопку Dismount.

Наш схаваны раздзел размантаваны.

Такім чынам у выніку нашай працы былі створаныя два віртуальныя дыскі (раздзелы): адзін знешні, другі ўнутраны. Прычым схаваны (таемны) раздзел знаходзіцца ўнутры знешняга схаванага раздзелу. Такая «матрошка» вельмі надзейна схавае вашу дзейнасць. І нават пры канфіскацыі вашай тэхнікі наўрад ці хто зможа што-небудзь даказаць. А зараз унутры гэтай «матрошкі» створым віртуальны камп’ютар (машыну), і ўсталюем аперацыйную сістэму.

Віртуальная машына

Ёсць дзве самыя папулярныя праграмы для стварэння віртуальных машын: ORACLE VirtualBox і VMware Workstation. Першая бясплатная, другая — за грошы. Але ў VMware Workstation ёсць шэраг тэхнічных пераваг, у тым ліку і зручны інтэрфэйс. Таму выкарыстоўваць будзем гэтую зручную праграму. Але да гэтага праз TrueCrypt актывізуйце ваш схаваны (таемны) раздзел. Менавіта туды мы ўсё і ўсталюем.

Клікаем «Стварыць новую віртуальную машыну».

Затым «Выбарачны».

Далей:

Калі ў вас ужо ёсць на камп’ютары спампаваная аперацыйная сістэма ў фармаце ISO (альбо на дыску), вы можаце адразу яе ўсталяваць. Ці потым, калі яшчэ не вызначыліся.

Вызначаемся з аперацыйнай сістэмай.

А зараз мы вызначаем, колькі аперацыйнай памяці будзе спажываць ваша віртуальная машына пры працы. Арыентуйцеся на 1—2 гігабайты.

Далей:

Далей:

УВАГА! НАМ НЕ ПАТРЭБНА ЎЖО СТВАРАЦЬ НОВЫ ВІРТУАЛЬНЫ ДЫСК. У нас ёсць свой, нават два, створаныя праз TrueCrypt. На гэты момант, схаваны (таемны) раздзел павінен быць актывізаваны праз True Crypt, і бачны вашым камп’ютарам. Таму выбіраем «Выкарыстаць існуючы віртуальны дыск». І ўказваем на наш схаваны (таемны) віртуальны раздзел, які мы стварылі праз TrueCrypt.

Вуаля! Віртуальная машына створаная, і на ёй ёсць патрэбная нам аперацыйная сістэма.

Такім чынам, яшчэ раз усё разгледзім. У нас ёсць знешні віртуальны дыск, які зашыфраваны TrueCrypt. Унутры знешняга віртуальнага дыска ёсць яшчэ і таемны, які таксама зашыфраваны. І на гэты таемны віртуальны дыск мы ўсталявалі яшчэ адзін камп’ютар (віртуальны), на якім ёсць свая аперацыйная сістэма. Гэтая аперацыйная сістэма цалкам працаздольная.

Як выходзіць у інтэрнэт

Мы змантавалі праз TrueCrypt таемны віртуальны дыск, адкрылі VMware Workstation, запусцілі віртуальную машыну, запрацавала таемная аперацыйная сістэма. Але выходзіць у інтэрнэт праз ByFly нельга, бо ўся ананімнасць страціцца ў той жа момант. Ёсць некалькі варыянтаў, чым карыстацца:

  1. TOR — самы зручны і лёгкі выбар. Распрацоўка на аснове Mozilla Firefox. Спампаваў, запусціў, карыстайся.
  2. VPN. Больш надзейны ў некаторых момантах варыянт, чым TOR. Пры выкарыстанні VPN увесь ваш трафік ідзе праз серверы, якія яго шыфруюць. Ёсць як платныя, так і бясплатныя сэрвісы VPN. Прафесіяналы могуць настроіць свой VPN, купіўшы ўласны сервер.
  3. Для большай надзейнасці набываеце на Ждановічах (ці ў іншым месцы) 3G (4G) мадэм і ананімную сім-карту. Кладзяце на сім-карту грошы. Праз «левы» тэлефон, у рэжыме USSD, далучаеце на гэтую сімку 3G (ці 4G) інтэрнэт. Устаўляеце сім-карту ў мадэм. І ўжо праз гэты мадэм выкарыстоўвайце TOR ці VPN. Баланс сім-карты папаўняйце картамі аплаты ці тымі тэрміналамі, дзе няма камер.

Як мяне знайшлі?

Ананімнасць у сеціве — гэта як пабудова картачнага доміка. Адзін пракол — і ўсё рушыцца. Я мяркую, што спецслужбы на мяне выйшлі праз чалавечы фактар і маю недальнабачнасць.

Справа ў тым, што калі ствараўся сайт 1863x.com, я не думаў, што ён будзе адразу кімсьці чытаны. Для рэгістрацыі акаўнтаў у сацыяльных сетках я выкарыстоўваў ананімную ўкраінскую сім-карту, у якой быў падключаны роўмінг. І гэтую ж сім-карту я выкарыстоўваў пры рэгістрацыі дамена.

Але ёсць такі сэрвіс — Whois. Ён дазваляе глядзець інфармацыю пра кантакты ўладальніка дамена.

І вось, у першы месяц працы сайта, у Whois вісеў нумар гэтай ананімнай украінскай сім-карты. Потым я змяніў гэты нумар на іншы, але, напэўна, супрацоўнікі спецслужбаў адразу заўважылі мой блог, і спрабавалі прабіць усе дадзеныя. Улічваючы, што роўмінг прадстаўляюць мясцовыя аператары сотавай сувязі, вызначыць маё месца знаходжання было справай аперацыйнай распрацоўкі.

Я не мог прадбачыць, што артыкулы пра Дыянава і «беларускіх казакоў» разыдуцца па сеціве і іх масава перадрукуюць СМІ. Таму і папаўся.

Але, мяркую, у спецслужбаў ёсць вялікі інструментарый для аналізу і маніторынгу інтэрнэт-трафіку.

Так што будзьце пільнымі, рабіце добрае і не рабіце кепскага!

Эдуард Пальчыс

29
Туш / Адказаць
27.11.2016 / 21:24
Ізноў гэтая дзіўная непрыгожая фотка
3
WIK / Адказаць
27.11.2016 / 21:30
цикава....
1
Убла / Адказаць
27.11.2016 / 21:37
Ага, а яшчэ, калі ты ўжо выклікаеш падазрэнні ў спецслужбаў - мець траян на сваёй незашыфраванай сістэме, які злівае ўсе націсканні клавіятуры - гэта як два пальцы аб асфальт. І ўсе твае паролі вядомыя, і дзесяць укладзеных тамоў не дапамогуць.
Паказаць усе каментары/ 34 /
Каб пакінуць каментар, калі ласка, актывуйце JavaScript у наладах свайго браўзеру