[Codeby] Paranoid Rebirth – курс з анонімності та безпеки (2022)

Paranoid Rebirth Твоя безпека та свобода Codeby Security School

Paranoid Rebirth — повністю перероблений та актуалізований курс з анонімності у мережі Paranoid.
Жодної теорії та фантазування — прочитав і повторив, усе працює.

Курс складається:
1. Встановлення операційної системи:
1.0 Запис образу на usb-накопичувач і звіряння хеш-суми
1.1 Вступ про шифрування
1.2 Огляд методів встановлення операційної системи. Порівняння їх переваг та недоліків, підготовка до початку курсу.
➢ Три способи встановлення операційної системи на комп’ютер. Для різних потреб у безпеці, а також враховуючи рівень знань учнів:
1.3 Встановлення Manjaro через графічний установник (для новачків)
➢ Стандартне встановлення операційної системи Linux на комп’ютер. Перевага у цьому способі віддано графічному установнику. Зроблено це з урахуванням низького рівня вмінь майбутніх учнів. Даний спосіб установки може бути цілком надійним при дотриманні ряду правил, що обумовлюються нами.
1.4 Встановлення Manjaro через установник “архітектор”
➢ У стандартному live-образі manjaro додатково присутній установник “архітектор”. Він настільки звичний проти графічним, тому спочатку може злякати новачків. Однак у свою чергу він гнучкіший. Дозволяє вибрати не тільки ядро, оточення робочого столу, встановити розділи lvm, але також дозволяє гнучкіше працювати з cryptsetup. Тому у нас з’являється можливість тонко налаштовувати параметри шифрування жорстких дисків. Хеш-функція, алгоритм шування даних, ітерації тощо. Даний спосіб установки цілком самодостатній, проте є заходом, що підводить до просунутої установки.
1.5 Просунута установка Manjaro
➢ Просунута установка операційної системи призначена в першу чергу для тих, хто вже досить впевнено використовує Linux, але також вона підійде для початківців параноїків, які по-справжньому потребують високого ступеня захисту та збереження своїх даних. Цей спосіб встановлення надає користувачеві багаторівневу систему захисту. Він одночасно приховує наявність даних на жорсткому диску, оскільки в головному завантажувальному записі відсутній завантажувач Grub, відсутні метадані заголовка Luks, за наявності якого відразу видно, що присутні зашифровані дані. Завантаження системи відбувається із зашифрованою завантажувальною usb-флешкою ​​на якій знаходиться одночасно заголовок Luks, Завантажувач операційної системи, системне ядро, а також файл-ключ, яким розшифровує безпосередньо сам криптоконтейнер всередині якого розташована операційна система. До речі файл ключ також зашифрований. При використанні файлу ключа використовується так зване зміщення – це означає, що маючи на руках ключ у розшифрованому вигляді, що атакує потрібно знати, звідки починати зчитувати байти і де закінчити. Сам файл ключ може важити гігабайти, з яких дійсно ключем є 8192 байти.
1.5-1 Створення запасної завантажувальної usb-флешки та резервна копія даних
➢ При всій надійності просунутої установки manjaro є недоліки. Найголовніший недолік, який одночасно є і перевагою – це неможливість запуску системи без USB-накопичувача (нашої зашифрованої флешки). Відповідно при втраті, збої у файловій системі до даних на жорсткому диску ви більше не дістанетеся. Саме тому ви повинні вміти робити резервні копії необхідних файлів, а також створювати новий завантажувальний usb-накопичувач для відновлення доступу до системи.

2. Налаштування хоста
2.1 Налаштування BIOS комп’ютера
2.2 Налаштування робочого оточення та робочого простору
2.3 Захист USB портів від підключення несанкціонованих пристроїв, від копіювання вашої інформації, а також панічне зачищення даних та ОЗУ
2.4 Захист облікового запису адміністратора
2.5 Антивірус для сканування хоста
2.6 Резервні копії системи
2.7 Робота з криптографією у Linux. Використання програм для шифрування з відкритим кодом

3. Налаштування мережі
3.1 Автоматична заміна мак-адрес мережевих пристроїв
3.2 Автоматична зміна імені-хоста комп’ютера
3.3 Невидиме підключення до wifi роутера
3.4 Firewall для відстеження витоку мережевого трафіку
3.5 Обфускація Vpn підключень, приховування наявності самого факту підключення до VPN від вашого мережного провайдера та DPI обладнання встановленого на його боці
3.6 Робота з різними типами proxy серверів
3.7 Використання SSH підключень, RDP для анонімізації. Робота з мережею i2p, p2p та Тор: безпечна передача даних, з’єднання двох комп’ютерів через Тор, електронна пошта
3.8 Поділ трафіку на кілька гілок + маскіратор трафіку
3.9 Налаштування, шифрування DNS від інтернет-провайдера
3.10 Атаки на бездротові мережі

4. Програми для безпечного спілкування
У розділ увійшов список програм з відкритим вихідним кодом, які є найбільш безпечними для спілкування та передачі даних. Навчимо їх встановлювати, налаштовувати та правильно використовувати за призначенням.

5. Робота з VPS сервером
Розділ присвячений настроюванню VPS сервера, різних служб

на ньому, а також встановлення програмного комплексу для приховування від DPI. Навчимо піднімати власні сервери для різних месенджерів.

6. Налаштування віртуальних машин VBOX, QeMU
6.1 Встановлення та налаштування гіпервізора, а також усіх додаткових модулів
6.2 Whonix-gateway Встановлення та налаштування шлюзу, Домашня AP через шлюз Whonix. Відпадає необхідність у роутерах
6.3 Встановлення робочої віртуальної машини, що працює через шлюз та її налаштування. Встановлення, налаштування мережі, тонке налаштування браузера, налаштування месенджерів для безпечного зв’язку
6.4 Встановлення віртуальної машини Windows для перепрошивки IMEI смартфона
6.5 Віртуальна машина Android через шлюз whonix + зміна всіх ідентифікаторів
6.6 Віртуальна машина для роботи з криптовалютою. Безпечне зберігання, відмив коштів

7. Купівля та налаштування обладнання
7.1 Налаштування мобільного телефону на базі бюджетного пристрою Android
– Розблокування завантажувача
– Перепрошивка на вільну прошивку та отримання root прав
– Шифрування
– Перепрошивка радіомодуля (Зміна Imei).
– Підключення телефону до Sip
– Налаштування перепрошитої операційної системи та програм для безпечної роботи.
– Підміна ідентифікаторів телефону для програм: Серійні номери, mac-adress wifi, зміна IMEI на програмному рівні для виведення запитуваних програм, заміна розташування телефону тощо.
7.2 Пристрій для відкриття домофонів
7.3 Пристрій для бездротових атак на базі Raspberry pi3b та arduino
Автономний пристрій на базі Raspberry з кількома каналами керування: SMS команди, ssh, vnc, радіоканал. Просунута установка Arch arm на малину 3b+, використовуємо вбудований wifi як sdr-передавач. Налаштування автоматичної глушилки (яка скануватиме та деаутентифікуватиме точки доступу “на ходу”), налаштування автоматичного збирання рукостискань “на ходу”. Декілька варіантів живлення в польових умовах, віддалений запуск по радіоканалу. Поєднуємо малину та arduino – переробка налагоджувальної плати arduino для зниження енергоспоживання, налаштування таймерів для відкладеного запуску/запуску по зовнішньому тригеру/віддаленого запуску по gsm. Бонус – авторський варіант управління електронним навантаженням за допомогою мікроконтролера/будь-яких логічних рівнів + схема.
7.4 4G Модеми для анонімності мережі
Модеми, що дозволяють підключати дві антени, а також змінювати IMEI, TTL, серійні номери прямо з веб-панелі пристрою. антена стріла, підключення до необхідної базової станції мобільного оператора.
7.5 Wifi повторювач сигналу на базі Raspberry зі своєю системою керування та живлення

По завершенню та засвоєнню матеріалу ви матимете:
Захищену систему, доступ до якої можна отримати лише вдавшись до зашифрованого USB-накопичувача. Відсутність метаданих LUKS на жорсткому диску, відповідно на жорсткому диску не буде завантажувача, заголовка Luks;
Налаштований пристрій для атак на мережу або інших цілей на базі одноплатного комп’ютера Raspberry. Яке також заточено по всіх канонах параноїків і має апаратну надбудову, що робить його повністю застосовним у польових умовах! Кілька каналів керування: радіоканал/смс команди, дистанційне керування за допомогою ssh, vnc. Просунута система енергозбереження пристрою;
4G модем керований з веб-панелі. Що вміє міняти IMEI, серійні номери, TTL;
Бюджетний Android смартфон, який має вільну прошивку без сервісів Google, що стежать. Налаштований за всіма канонами безпеки. Зміна IMEI апаратна (тепер стільникові оператори не будуть бачити, що ви використовуєте зовсім “лівий пристрій”, більше немає необхідності купувати щоразу новий телефон), щоб залишитися анонімним), зміна ідентифікаторів, що видаються додаткам, а саме: серійні номери, IMEI (програмний ), Android ID, вбудоване обладнання телефону, підроблені GPS координати і так далі;
Знання з налаштування та роботи з мережею, мережевим обладнанням із ухилом в анонімність. Навчіться обходити блокування інтернет-провайдерів і приховувати від них факт відвідування певних інтернет ресурсів;
Навчіться безпечно передавати файли через інтернет, спілкуватися за голосовим зв’язком або текстовими повідомленнями так, що доступ до листування матимете тільки ви і ваш співрозмовник;
Навчіться працювати на VPS сервері достатньо для того, щоб виконувати установку і налаштування необхідних служб, програм і т.д.;
Безпечне зберігання та відмив криптовалюти більше не стане для вас непосильним завданням;
Ви отримаєте повністю налаштовану систему із захистом від усіх відомих векторів атак, які застосовуються як хакерами (пробачення за узагальнення), так і криміналістами внутрішніх відомств.