Шаги, которые гарантируют вам безопасность и анонимность в сети
В условиях глобальной слежки ⚡️
Всем салют, дорогие друзья!
Очевидно, что гайки закручиваются все сильнее... Нет смысла в очередной раз рассказывать вам о том, что творится в РФ и некоторых других странах СНГ на данный момент. Для этого есть новостные Телеграм-каналы, да и аудитория у меня отнюдь не глупая, сама все понимает.
Сегодня я расскажу о инструментах, которые пригодятся каждому из вас на случай блокировок большей части интернета и слежки со стороны государства и разных сомнительных личностей.
Содержание статьи:
(Все содержание - кликабельно)
1. Как обойти блокировки Роскомнадзора
1.1 Бесплатный способ 1.2 Платный, но более надежный (рекомендую)
2. Как правильно использовать TOR
3. Как зашифровать свой компьютер
4. Как безопасно общаться в интернете
4.1 Правильное использование Telegram 4.2 Session - рекомендуемый вариант
5. Как безопасно обмениваться файлами
6. Как выбрать безопасную почту, моя рекомендация
7. Как выбрать браузер, который не будет за вами следить
7.1 Для компьютера
7.2 Для смартфона
8. Как безопасно хранить свои пароли
9. Как автоматически обнулить свой Android-смартфон. Красная кнопка
10. Как защитить свой роутер от взлома
1. Как обойти блокировки Роскомнадзора
На сегодняшний день Роскомпозор заблокировал более 25 тысяч сайтов. Согласитесь, с такими предпосылками и до блокировки большей части интернета рукой подать.
Предлагаю вам подготовиться к этом сценарию заранее, что бы потом не плакать у разбитого корыта. Любые блокировки можно обойти! Я подготовил для вас целых 2 способа это сделать:
Первый будет полностью бесплатный, но подойдет не для всех платформ и потребует наличия минимальных технических навыков.
Второй обойдется вам в сумму, равную 5$ в месяц, но будет максимально простым, удобным и надежным.
В любой случае, вы сможете выбрать тот метод, который подходит именно вам.
1.1 Бесплатный способ
1.1.1 Программа для обхода пассивного и активного DPI
GoodbyeDPI - это программа, работающая, как сетевой драйвер, на лету изменяющий ваши сетевые пакеты таким образом, чтобы DPI не могли определить наличие заблокированных доменов в вашем трафике.
Она имеет открытый исходный код который вы можете посмотреть тут, и поддерживает ОС Windows 7, 8 и 10.
Нам же исходный код не нужен, нам нужна готовая программа, которая доступна для скачивания здесь.
GoodbyeDPI умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем. Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.
По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы.
Запустите программу следующим образом:
goodbyedpi.exe -1 -aЕсли заблокированные сайты стали открываться, то DPI вашего провайдера можно обойти.
Далее попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a
1.1.2 Программа для обхода блокировок по IP
В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.
Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.
Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.
Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации хакермких атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.
1.2 Метод, стоимостью 5$ в месяц. Поднимаем собственный VPN, который не допустит слежки за вами и точно не будет заблокирован.
В качестве самого простого, но в тоже время надежного решения я предлагаю поднять личный VPN.
Вот несколько доводов в пользу данного решения:
Вы не доверяете многочисленным публичным VPN сервисам и боитесь утечки конфиденциальной информации? Надоели постоянные капчи и блокировки на публичных VPN сервисах? Вам нужна полная свобода действий и гибкость настроек? Вам нужен VPN, где гарантировано не ведутся логи? Если ваш ответ ДА, значит личный VPN - это то, что вам нужно!
Немного о принципах работы VPN:
VPN - это аббревиатура от английского virtual private network, или "виртуальная частная сеть".
Механизм работы сервиса простой. В обычной ситуации пользователь загружает сайт на свое устройство (компьютер или смартфон) напрямую, заходя на него. Если доступ к сайту в России ограничен, то оборудование, поставленное у операторов Роскомнадзором, видит этот запрос и блокирует его.
При подключенном VPN подключение и загрузка происходят через посредника в виде сервера VPN. В таком случае оборудование для блокировок не видит конечный сайт, к которому обращается пользователь, а только сервер посредника.
Поднимаем собственный VPN:
Для начала нам необходимо определиться с хостинг-провайдером, у которого мы приобретем сервер для того, что бы поднять на нем личный VPN.
Все дальнейшие действия я буду показывать на примере хостинг-провайдера Inferno Solutions (это не реклама сервиса, вы можете попробовать найти любой другой надежный сервис самостоятельно. Однако, я и мои ученики используем Inferno Solutions, жалоб нет)
Итак, переходим на сайт Inferno Solutions (кликабельно) и выбираем пункт, который я выделил красным:
Листаем ниже и видим "Личный VPN и Socks 5 прокси с выделенным IP", жмем далее:
Теперь выбираем платежный цикл (на какое время вы хотите оплатить сервер):
Выберем страну (я буду использовать Эстонию, вы так же можете это сделать):
Итого, у нас будет вот такая картина (другие параметры, кроме платежного цикла и страны - трогать не нужно):
Жмем на кнопку "Обновить корзину" (обвел красным на скрине выше) и переходим к оплате:
Жмем "Перейти к оплате" (обвел красным на скрине ниже):
Теперь заполняем все необходимые данные (ФИО, адрес и прочее лучше указать не свои, а рандомного человека, можете воспользоваться онлайн генератором личностей. Однако, если ничем черным вы заниматься не планируете, то можете вписать и реальные данные)
После оплаты можно преступить к непосредственной настройке вашего VPN на устройствах, которые вы будете использовать. Трудного тут ничего нет, ниже вы найдете подробные инструкции для всех платформ:
1. Настройка OpenVPN для ОС Android (кликабельно)
2. Настройка OpenVPN для iOS (кликабельно)
3. Настройка OpenVPN для ОС Windows (кликабельно)
4. Настройка OpenVPN для ОС Ubuntu (кликабельно)
5. Настройка OpenVPN для ОС macOS (кликабельно)
После настройки ваш личный VPN будет готов к работе!
2. Как правильно использовать TOR
Если вы хотите использовать Tor, то я настоятельно не рекомендую делать это просто установив браузер Tor на свой ПК. В данном случае, особенно при неправильной настойке, вы рискуете засветить свой реальный IP адрес, что может привести к вашей полной деанонимизации. Оно вам надо?
Так что же делать?, - спросите вы.
Решение есть!
И называется это решение — Whonix.
Whonix — это дистрибутив Linux на основе Debian, который разработан для обеспечения повышенной безопасности и конфиденциальности. Высокая анонимность достигается средствами VirtualBox и Tor.
Whonix снижает угрозу от распространенных векторов атак, сохраняя при этом удобство использования. Он обеспечивает существенный уровень защиты от вредоносных программ и утечек IP-адресов.
Я подготовил для вас лекцию, в которой вы научитесь создавать виртуальные машины, трафик из которых будет идти полностью через TOR сеть, а также скрывать факт использования TOR сети от провайдеров.
📚 Мануал: Whonix + Windows/Linux (нажмите)
Сейчас мы будем учится создавать виртуальные машины трафик из которых будет идти полностью через TOR сеть, а также скрывать факт использования TOR сети от провайдеров.
За дело!
Для начала, нам понадобится установить VirtualBox, скачать его можно на офф.сайте:
Downloads – Oracle VM VirtualBox
После чего вам необходимо создать виртуальную машину с Windows:
О том, как это сделать давно написано в сети. Возможно, вам поможет вот этот ролик: VirtualBox. Как сделать виртуальную машину и установить Windows 7 - YouTube
Теперь нам понадобится Whonix, скачать его можно на офф.сайте:
👉https://www.whonix.org/#download
После чего открываем виртуальную машину и импортируем наш скачанный конфиг внутрь виртуалки:
Файл -> Импорт Конфигураций -> выбираем скачанный образ
После чего открываем wnonix gateway, workstation нам не понадобится, так как мы будем использовать тор сеть для других виртуалок, запускаем его, после запуска соглашаемся со всеми правилами:
Ждем пока всё загрузится, после чего открываем терминал и выполняем ряд команд:
sudo apt update sudo apt dist-upgrade sudo passwd root -> 2 раза вводим новый пароль рута sudo passwd user -> 2 раза вводим новый пароль юзера
(стандартный пароль whonix: changeme)
Далее проверяем всё ли у нас в порядке, вводим whonixcheck, если нигде нет Warning, значит всё успешно настроено и мы может идти дальше.
и 2 раза кликнуть по IPv4, пункт с IPv6 советую отключить, далее настраиваем как показано на скрине:
LINUX:
Whonix Gateway всегда запускается первым, так как из него идет сеть тор, с линуксом всё аналогично, заходим в настройки виртуалки, далее вкладка сеть и выбрать внутреннюю сеть whonix.После чего нам необходимо подредактировать конфигурации:
Записываем туда значение: nameserver 10.152.152.10
Далее ctrl + 0, ctrl + x чтобы сохранится и выйти.
Сохраняемся и выходим, после чего включаем адаптер и вся сеть идет через тор: ip link set eth0 up
Далее чтобы скрыть факт использования тор сети от провайдера вам необходимо на входе запустить впн, то есть первым делом на основной машине вы запускаете впн, после чего запускаете whonix gateway и далее нужную вам виртуальную машину для работы, которая идет через тор сеть.
В итоге провайдер видит лишь зашифрованный впн трафик, но не видит использование тор сети, а в случае если на рабочей машине вас захотят деанонимизировать, то у них ничего не получится, так как шлюз whonix gateway не знает вашего айпи адреса и никак не сможет его выдать злоумышленникам, кроме того, если они попытаются узнать айпи адрес тора, то получат выходную ноду, а как мы знаем сеть тор состоит из несколько цепочек соединений между узлами и анонимизации одной из цепочки никак не скажется на вас. Поэтому такой способ считается наиболее безопасным.
3. Как зашифровать свой компьютер
Операционная система Windows не может на 100% гарантировать, что при наличии пароля доступ к ноутбуку посторонние не получат. Пароль учетной записи можно узнать и поменять при помощи специальных инструментов не имея доступ в саму ОС. Поэтому возникает необходимость шифрования данных на жестком диске. Это позволяет не беспокоиться о несанкционированном доступе в том случае, если владелец перед тем как оставить компьютер без присмотра блокирует его.
Этот вид шифрования хорош в качестве первой линии защиты. Если кто-то украдет ваш ноутбук или извлечет диск из одного из серверов, им нужно будет взломать шифрование жесткого диска, чтобы получить доступ к устройству. При использовании сложного пароля на это уйдут десятки, если не сотни, лет.
С этим видом защиты, также можно использовать шифрование на уровне папок и шифрование отдельных файлов.
Шифрование диска
BitLocker Device Encryption — это инструмент Microsoft для шифрования диска полностью, он встроен в Windows 10 Pro и Enterprise. Но, у BitLocker есть несколько недостатков:
Если BitLocker Device Encryption не был предварительно установлен на вашем компьютере, установка и настройка могут вызвать трудности. На сайте Microsoft есть список устройств с предустановленным Bitlocker;
На разных устройствах функции Bitlocker могут отличаться, все зависит от вашей материнской платы;
Как упоминалось ранее, BitLocker работает только с Windows 10 Professional и Enterprise.
Есть альтернатива – программа VeraCrypt, у которой нет таких недостатков:
Установить VeraCrypt значительно проще, чем BitLocker;
VeraCrypt не зависит от комплектующих вашего компьютера;
VeraCrypt работает на любой версии Windows 10.
VeraCrypt - это бесплатная программа с открытым исходным кодом (FOSS). Не вдаваясь в спор как «открытый исходный код против закрытого исходного кода», с нашей точки зрения, программное обеспечение FOSS обычно считается более безопасным. Кроме того, оно бесплатно. После установки VeraCrypt нужно будет просто вводить пароль при каждом запуске компьютера.
Для вашего удобства, я поместил подробнейшую пошаговую инструкцию по шифрованию в отдельный мануал:
📚 Мануал: Как зашифровать свой компьютер (нажмите)
Установка VeraCrypt
Запускаем установочный файл. В первом окне отображается лицензионное соглашение, нажимаем кнопку "I accept the license terms", которая означает согласие с его условиями. Нажимаем "Next".
В следующем окне необходимо выбрать режим установки - установка или распаковка. Режим распаковка может пригодится для работы с виртуальными зашифрованными жесткими дисками. Так как необходимо шифровать весь диск, а не создавать виртуальные жесткие диски, необходимо выбрать пункт "Install" и нажать кнопку "Next".
Далее необходимо выбрать опции установки. Опции оставляем по умолчанию, нажимаем "Install".
Начался процесс установки, просто ждём появления сообщения об успешной установке.
Появляется сообщение о том, что установка успешно завершена.
Теперь можно увидеть просьбу разработчиков пожертвовать деньги. Нажимаем "Finish".
После нажатия Finish появляется сообщение с предложением посмотреть справочный материал, нажимаем "Нет".
Установка программы для шифрования жесткого диска успешно завершена.
Настройка программы и шифрование жесткого диска
Запускаем с рабочего стола ярлык "VeraCrypt".
По умолчанию интерфейс на английском языке, но перевод на русский язык есть, интерфейс просто нужно переключить на русский язык. Заходим во вкладку "Settings", потом пункт "Language...".
В следующем окне необходимо выбрать "Русский" язык и нажать кнопку "Ок".
Интерфейс сразу становится на русском языке. Это приятно, так как в TrueCrypt было необходимо перезагрузить программу для применения языка интерфейса, а в VeraCrypt язык меняется сразу без перезапуска.
Теперь приступаем к процессу шифрования жесткого диска с учетом того, что у нас используется Операционная система Windows 10. Переходим во вкладку "Система" и выбираем пункт "Зашифровать системный раздел / диск".
Теперь нужно выбрать тип шифрования - обычный или скрытый. Для использования скрытого типа необходимо иметь два жестких диска, два раздела одного диска не подойдут. Выбираем обычный тип.
Далее необходимо указать область для шифрования. Шифрование системного раздела рекомендуется разработчиками, так как при шифровании всего диска могут быть проблемы с загрузочным сектором VeraCrypt из-за недостаточного места. Стоит отметить, что при наличии нескольких разделов одного диска и выборе пункта "зашифровать системный раздел" будет зашифрован только тот раздел, на который установлена Windows. На ноутбуках часто люди создают два раздела, один для системы, а второй для пользовательских данных. В таком случае пользовательские данные не будут защищены, поэтому рекомендуется выбирать "Шифрование всего диска". Выбираем весь диск.
Появляется уведомление с рекомендацией использовать шифрование только системного раздела. Нажимаем "Нет", так как необходимо шифрование всего диска.
Теперь необходимо указать нужно ли обнаружить и зашифровать скрытый раздел. Уже было выбрано шифрование всего диска, поэтому выбираем "Нет".
Далее нужно указать количество установленных операционных систем. Если при загрузке компьютера нет выбора операционной системы, значит установлена одна ОС. Данная инструкция нацелена на ноутбук с одной ОС, если используется несколько ОС, тогда выбирайте пункт "мультизагрузка" на свой страх и риск. Выбираем пункт "Одиночная загрузка".
Теперь выбираем алгоритм шифрования. По умолчанию стоит алгоритм AES с длиной ключа 256. Оптимальный выбор. Можно выбрать AES(Twofish(Serpent)), но тогда шифрование может быть дольше четырёх часов. Оставляем по умолчанию или выбираем более стойкий вариант.
Если был выбран "AES(Twofish(Serpent))" далее появится уведомление об использовании каскада шифров. Следует внимательно прочитать его, и не терять диск для восстановления, который будет создан далее. Нажимаем "Да".
Далее появится ещё одно уведомлений об использование каскада шифров. Нажимаем "Ок".
Теперь нужно указать пароль, который будет использоваться для загрузки операционной системы. Настоятельно рекомендуется использовать пароли длиной от 20 символов. Если такой пароль не подходит, так как запомнить его точно не получится, тогда можно ввести короткий, но не менее 8 символов с использованием знаком и символов. В нем не должно быть слов или сокращений от фамилии и инициалов. В случае использования короткого пароля появится предупреждение. Другие опции рекомендуется оставить по умолчанию. Можно поставить галочку "Использовать PIM" и в следующем окне необходимо будет указать чисто итераций, которое обязательно нужно запомнить, иначе войти в систему не получится. Поэтому рекомендуем не ставить галочку "Использовать PIM". Вводим пароль.
Далее идёт сбор случайных данных. Просто водите мышкой в пределах окна пока индикатор не станет зеленым, и потом нажимаем "Далее".
Ключи и случайные данные успешно созданы, нажимаем "Далее".