welcome: please sign in

Include all attachments?

location: Cryptoanarchist_FAQ

Table of contents:

Для кого это руководство?

Для журналистов, активистов, правозащитников и многих других. В том числе для тех "простых людей", которым якобы "нечего скрывать". Для тех, кто задумывается о том, как много информации о нас собирают без объяснения зачем им эта информация. Для тех, кто хочет защитить свою приватность и не хочет чтобы личная жизнь стала общественной.

Им же будут пользоваться террористы!

Да, это так. Но одного только этого руководства для нехороших дел будет недостаточно. Кроме того, даже без этого руководства различные негодяи смогут делать плохие вещи. Например, в Париже спланировали теракт с помощью обычных мобильных телефонов без шифрования, которые можно прослушать. И это не помогло.

Если полностью запретить шифрование, то пострадают простые люди, а злоумышленники продолжат делать то что делали.

Но если шифрование не запрещать, то оно поможет для хороших дел. Например, правозащитники смогут безопасно переписываться с жертвами незаконного преследования со стороны государства. А журналисты освещать различные события. Например, как в случае со Сноуденом.

"Любой кухонный нож достаточно острый для того, чтобы порезать близкого вам человека; любой молоток достаточно тяжёлый для того, чтобы разбивать головы; любая машина движется со скоростью, достаточной для того, чтобы сбивать пешеходов. Они должны быть такими, чтобы выполнять свое предназначение, и в отношении информации всё обстоит ровно так же." Подробнее можно почитать в этой статье.

Мне скрывать нечего

Даже если человек считает, что ему нечего скрывать, информацию о нём всё равно собирают. При том собирают всё что только могут, не объясняя зачем. По аккаунтам в социальных сетях анализируют доход человека, круг знакомств, круг интереснов. Анализируются даже личные переписки. Подробнее о слежке в соцсетях.

Действительно ли можно быть уверенным, что информация, оставленная человеком сегодня, не принесёт ему вреда через 10 лет. #FIXME привести пример.

И даже если лично вам прямо сейчас не хочется защищать личную переписку, это может понадобиться вашему собеседнику.

Не проще ли не быть подозрительным, чтобы за тобой не следили?

Собирают информацию обо всех, подозрительный человек или нет. Чтобы не быть подозрительным можно сидеть с Google Chrome, пользоваться соцсетями, сидеть на Windows 10, но тогда о человеке копится очень много информации, которую можно будет использовать против него. Ничем хорошим это не кончится.

Рано или поздно человек может заинтересовать спецслужбы на ровном месте. Оказался он вблизи места преступления или лайкнул не ту запись. И тогда тот огромный пласт информации уже начинают анализировать конкретные люди.

Если все люди будут пользоваться торбраузером, i2p, не сидеть в соцсетях и шифровать переписку, то все будут одинаково не подозрительными. Именно к этому и надо стремиться.

Не буду никого ничему учить, чем меньше людей знает про безопасность, тем лучше для меня

Представим такую ситуацию, где все люди обычные и один человек анонимный. Если сайт видит, что кто-то подключился анонимно, то он определит, что это именно тот единственный анонимный человек. Чем больше людей пользуется шифрованием, тем менее подозрительный каждый из них.

В случае, если бы https не приобрёл массовую популярность, провайдеры оставили бы только банковские сайты, а остальным бы блокировали https, чтобы видеть, что пользователи смотрят. Сейчас Казахстан пытается подменять весь https трафик, но у него это плохо получается, именно из-за массвости https шифрования.

Если торбраузером пользовалось бы мало человек, то сайты стали бы вставлять заглушки "доступ через Tor заблокирован". Так что в наших интересах распространять знания о безопасности.

Этим нормисам реально нечего скрывать, им ничего не надо

Приятное чувство, когда общаешься с человеком и предлагаешь ему перейти в джаббер, а он говорит "ой, да кому я нужен, мне нечего скрывать"? Чтобы таких ситуаций не было, надо призывать людей пользоваться шифрованием, чтобы через них не следили лично за тобой.

Толковый словарик

Нормис - человек с нормальными, общепринятыми жизненными установками и приоритетами. Забота о безопасности своих данных и приватности такого человекане волнует или волнует слабо.

Впараша - социальная сеть "ВКонтакте"

Зонд - программы или устройства, собирающие лишнюю информацию о своих пользователях

Проприетарные (программы) - несвободные, собственнические

Какие программы мне использовать?

Только свободные. Если программа свободная, то её исходный код открыт, и кто угодно может проверить есть ли в программе вредоносные функции.

Иногда можно использовать несвободные программы, но только если у них открыт исходный код.

Идеальный вариант - свободная программа, разрабатывается независимыми людьми, существует достаточно долгое время, получает обновления безопасности и у программы был проведён аудит.

Смотри также: https://bitcheese.net/opensource-faq

Какой компьютер мне купить?

С 2008 года Intel встраивает бэкдоры в свои процессоры. Значит может удалённо подключаться к компьютеру и делать с ним всё что угодно, независимо от операционной системы.

На таких стареньких ноутбуках как ThinkPad T400 имеется возможность декативировать Intel ME, они будут хорошим выбором. Гайд.

Если слежка со стороны Intel не страшна, то можно выбрать любой другой компьютер, но он обязательно должен работать без несвободных драйверов. Проверить можно очень просто: записать на флешку Debian livecd, загрузиться с неё и посмотреть как работает компьютер

Какую операционную систему мне использовать?

Windows не подходит, так как она несвободная и следит за пользователем. macOS тоже.

Остаются GNU/Linux дистрибутивы и операционные системы семейства BSD.

Можно посмотреть список свободных дистрибутивов на сайте gnu.org. Но там отсутствует Debian из-за того, что вики Debian содержит инструкции по установке несвободных программ. И из-за того, что в репозиториях содержится раздел non-free, который по умолчанию выключен.

Дистрибутивы для обеспечения анонимности Whonix и TAILS основаны на Debian. Значит Debian будет неплохим выбором. Он полностью свободный, если не добавлять раздел non-free настройки. А ещё он развивается сообществом.

Хорошо, у меня есть компьютер без операционной системы или с предустановленой, что дальше?

Нельзя доверять предустановленным операционным системам. Они могут подменить образ Debian при записи на диск. Почему используется именно диск, а не флешка? Диск не перезаписывается. А в случае с флешкой, предустановленная операционная система может подменить образ на заражённый, а как только пользователь установкит с заражённого образа операционную систему, образ на флешке подменится обратно на обычный, и пользователь уже не сможет проверить, был заражён установочный ностиель или нет.

Рассмотрим несколько вариантов. Каждый из них будет сложнее, но безопаснее. (первый самый лёгкий, последний самый безопасный)

1. Скачать Debian с официального сайта. Обычно требуется DVD образ для архитектуры amd64, скачать можно по этой ссылке. Стоит скачать и SHA512SUMS вместе с .sign. После загрузки проверяем подлинность контрольных сумм при помощи программы GPG4WIN для Windows или GnuPG для других ОС. Затем проверям подлинность образа при помощи контрольных сумм. Для высисления контрольной суммы образа подойдёт программа GtkHash. Или любая другая свободная. Не HashTab! Если контрольные суммы сходятся, то записываем образ на диск и устанавливаем Debian.

2. Найти друга, который может проверить отпечаток открытого ключа, с помощью которого проверяется подлинность контрольных сумм. (GPG4WIN)

3. После установки можно проделать всё то же самое, только с чистого Debian'a. Заново скачать образ и контрольные суммы, проверить цифровую подписть контрольных сумм, проверить образ по контрольным суммам, записать образ на другой диск, переустановить Debian с нового диска.

4. После установки или перед отнести записанный диск к друзьям, которые проверят подлинность этого диска.

Как устанавливать Debian?

Есть руководство в формате HTML и PDF.

Скидываем все файлы на внешний носитель. Будем ставить систему на весь жёсткий диск с уничтожением всех данных.

Загружаемся с диска. Выбираем install, язык, (#FIXME описать как продолжить установку без интернета), выбираем имя компьютера, пароль суперпользователя оставляем пустым, чтобы пользоваться sudo, а не su.

Полное имя пропускаем или вписываем. Выбираем имя учётной записи. Придумываем пароль. Часовой пояс.

Выбираем автоматическую разметку с шифрованием. Все файлы в одном разделе. #FIXME Описать подробно: Ручная разметка с созданием /boot раздела и зашифрованного, поверх которого ext4, а swap создаётся файлом по инструкции

Жмём закончить разметку и записать изменения на диск. Не сканируем другой диск, не используем зеркало архива, не участвуем в опросе. Теперь можно (а можно и не снимать и выбрать xfce и тогда не надо будет жать alt+f2, делать chroot и ставить пакеты вручную) снять все галочки, нажать продолжить, подождать предложения установить GRUB. Нажать alt+f2. Нажать enter, ввести "chroot /target/ bash".

Мы в установленной системе. Поставим несколько нужных программ и окружение рабочего стола. "apt install bash-completion xfce4 xfce4-terminal network-manager-gnome". После установки у нас не будет лишних программ. Вводим "exit" два раза. Жмём alt+f1.

Соглашаемся на установку GRUB. Система поставлена.

Шифрование жёсткого диска не защитит от атаки evil maid. Если кто-то может получить физический доступ к компьютеру, то лучше вынести загрузчик на флешку и носить флешку с собой.

Не рассмотрена установка на UEFI и настройка secure boot. Атака evil maid Исполоьзуем Secure Boot Немного про UEFI и Secure Boot

Какой придумать пароль для шифрования и для учётной записи

#FIXME

Я поставил операционную систему, что дальше

Загружаемся, выбираем настройки по умолчанию. Заходим в меню > мультимедиа > pulseaudio, выключаем звук с микрофона. Заходим в меню > диспетчер настроек и настраиваем всё что надо.

Открываем терминал, вводим "sudo nano /etc/apt/sources.list". Всё удаляем и вписымаем три строчки.

deb https://deb.debian.org/debian-security buster/updates main
deb https://deb.debian.org/debian buster main
deb https://deb.debian.org/debian buster-updates main

Сохраняем (ctrl+o enter), выходим (ctrl+x). Подключаем интернет. Вводим "sudo apt update; sudo apt upgrade". Обновляемся, перезагружаемся. Устанавливаем tor и apt-transport-tor. "sudo apt install tor apt-transport-tor".

Редактируем репозитории. "sudo nano /etc/apt/sources.list", добавлем tor пред https, чтобы получилось

deb tor+https://deb.debian.org/debian-security buster/updates main
deb tor+https://deb.debian.org/debian buster main
deb tor+https://deb.debian.org/debian buster-updates main

Обновляемся "sudo apt update; sudo apt upgrade". Вместо https репозиторием можно подключить .onion репозитории. Их можно найти на сайте https://onion.debian.org/

Устанавливаем межсетевой экран. "sudo apt install gufw". Вводим в терминале "sudo gufw", выбираем общественное место.

Устанавливаем torbrowser. Его нет в стабильной ветке, поэтому подключим нестабильную, но настроим её так, чтобы пакетный менеджер брал из неё только torbrowser-launcher. "sudo nano /etc/apt/preferences"

Package: *
Pin: release n=sid
Pin-Priority: -1

Package: torbrowser-launcher
Pin: release n=sid
Pin-Priority: 1

Добавляем строчку "deb tor+https://deb.debian.org/debian sid main contrib" в /etc/apt/sources.list. Обновляемся "sudo apt update; sudo apt upgrade". Ставим лаунчер. "sudo apt install torbrowser-launcher". Запускаем лаунчер, ждём установки торбраузера. После установки и запуска нажимаем на значок щита, выбираем максимальную безопасность "Safest". Теперь скрипты не будут запускаться и браузер станет безопасным. Но некоторые сайты перестанут работать. Если эти сайты очень нужны и безопасность не так важна, то можно включить скрипты отдельно для этого сайта. Для этого выносим значок "NoScript" на панель браузера. 3 полоски > customize > перетаскиваем NoScript к щиту. Теперь с помощью этого значка можно временно разрешать скрипты. Есть статья с подробной настройкой браузера. Вместе с torbrowser-launcher установились и apparmor профили. Даже если сайт взломает браузер, то у браузера просто не будет доступа ко многим файлам в домашней директории пользователя. Можно проверить: ввести "/home/" в адресной строке, должна появиться ошибка.

Иногда может понадобиться обычный браузер. Установим Firefox. "sudo apt install firefox-esr firefox-esr-l10n-ru". Запускаем, ставим плагины "https everywhere", "privacy badger", "ublock origin", и если не сложно вручную включать скрипты, то "noscript". Можно ещё любых по желанию.

Заходим в настройки и настраиваем браузер. #FIXME описать настройку.

У меня всё настроено, как мне защищённо общаться с друзьями

Как настроить джаббер

Как настроить электронную почту

Сделать:

Настройка apparmor

Выключить приложению доступ в интернет

Где хранить пароли

Шифрование своих файлов

Прохождение аэропорта

Тележка

Воздушный зазор

Антивирус

Торренты

Когда тор не поможет

Экстренное уничтожение информации

Панические кнопки

Банковские карточки

Полезные ссылки: гну орг, фсф, самозащита электронной почты, ссд eff org

Прозрачная проксификация

Автоматические обновления

Когда надо перезагружаться после обновлений.

Установка и настройка i2p

tor dns