1. Форум RCClub объявляет набор в команду ПроТестеров.

    Оплата $5 за трип-репорт, приоритетное получение пробников, официальный статус «ПроТестер» и другое.

    Подробности

    Скрыть объявление
  2. Всем продавцам Форума RCClub бесплатно предоставляется собственный рекламный торговый раздел, веб-сайт автопродаж и неблокируемый Telegram бот!

    Возможность круглосуточно семь дней в неделю принимать оплаты EasyPay, WEX, EXMO, BTCU.biz, Qiwi, Bitcoin, Litecoin и выдавать адреса покупателям без участия оператора!

    Как получить статус продавца?

    Скрыть объявление
  3. RCClub первый Форум, который запустил денежное вознаграждение пользователей за общение!

    Мы платим за сообщения, за написание трип-репортов, за публикацию полезной информации и авторского текста, за приглашение новых активных пользователей и магазинов, мы дарим бонус за регистрацию, и не останавливаемся на этом!

    Общайтесь и зарабатывайте!

    Подробности

    Скрыть объявление

Qubes OS - операционная система для параноиков (теория)

Тема в разделе "Безопасность в сети", создана пользователем Fisher, 29 май 2017.

  1. Fisher

    Fisher Местный

    Регистрация:
    2 апр 2017
    Сообщения:
    300
    Симпатии:
    758
    Jabber:
    fisher@rcclub.im
    Ну что, злодеи, речь сегодня пойдет о всеми нами любимой теме анонимности и безопасности в сети интернет, а именно о самой современной и функциональной на данный момент связке ОС КУБЫ(Qubes OS)+ Whonix.

    Начну я со следующей лесенки основных принципов безы, по которым мы постепенно доберемся и до самой связки.

    1. Использование операционной системы и софта с наиболее совершенным кодом. Простыми словами нас не отъ**ать, потому что отсутствуют дыры\узвимости. Естественно в реальной жизни такого не бывает и дыры есть ВСЕГДА, но мы можем существенно усилить нашу броню пересев с гнилого Windows на самый стабильный из unix дистрибутивов ДИБИЛИАН (Debian) www.debian.org/



    В данный пункт, например, можно отнести использование таких популярных дистрибутивов как Tails, Jondo live, Parrot Security OS, Whoinix и многие другие. Все они являются немного доработанным дебиллионом для нужд безопасности.

    Далее на данной системе уже строоится цепочка впнов,туннелей, дедиков в зависимости от нашей параноидальности и осуществляется вход в сеть. И все бы было у нас хорошо, но даже здесь нас могут достать подкованные в айти специалисты. Можете, например, почитать про критическую уязвимость в ядре Linux, позволяющую получить рут доступ к компьютеру habrahabr.ru/post/275543/

    (Обратите, кстати, внимание, что именно разрабы дебилиана первыми залатали дыру).
    Также не исключено, что вы можете словить малварь, которую под видом пдф документа\подгона с "ментовским" дедиком вам прислал ваш коллега ВАСЯ из жабы.
    При успешной атаке на систему дальнейшее вычисление вашего реального айпи-адреса, который всегого лишь является первым звеном цепочки торов\тунелей являеется лишь делом техники.




    [​IMG]

    Вывод: мы существенно снижаем таким образом пространство для возможной атаки, но дыры остаются.


    2. Использование изолированных операционных систем.
    Суть здесь заключается в следующем. У нас есть несколько операционных систем, причем связь между ними может быть как по локальной сети, так и путем использования софта для виртуализации (Oracle Virtual Box, VMware и прочие). На практике это может выглядеть, например, так: у нас есть компьютер с Windows7 и поднятым на нем VPN, далее мы устанавливаем виртуал бокс и запускаем виртуалку Дебилиана, на котором уже настраиваем все как в пункте 1. Таким образом даже если наш супер-защишенный дебилиан дает сбой, то максимум,что получит злоумышленник это айпишник ВПН сервиса. Здесь я привел самую простую цепочку из одной виртуалки. но мы можем ее усложнять сколько угодно, добавляя новые звенья.

    Отдельно стоит отметить систему ХУИНИКС(Whoinix) www.whonix.org, которая представляет из себя два образа дебилиана для Virtual Box, настроенных для максимальной безы\анонимности . Первый образ шлюз - Whoinix gateway, заворачивает весь наш траффик в сеть TOR, а второй рабочая станция - Whoinix Workstation, с которой мы уже заходим в интернет. Причем, рабочая станция настроена таким образом, что вообще не может принимать никакого траффика кроме сети TOR. Это полностью исключает любую возможную утечку нашего айпи адреса или днс. На рабочей станции хуиникса легко настраивается впн\ссх\покси, что избавляет нас от постоянного ввода предельно тупорылой капчи и защищает нас от недобросовестных выходных нод тора, которые могут сниффать траффик. При желании можно подключить к нашему шлюзу Хуиникс любую другую виртуалку\несколько виртуалок. Можете даже Виндоус подключить, только учитывайте при этом его дырявость.


    [​IMG]

    Конечно, и при использовании изолированных систем мы не получаем абсолютной защиты.


    Во-первых уязвима наша основная система (хост), на которой установлен Виртуал Бокс. Если злоумышленник получает к ней доступ, то следом за ней зведой летят и все запущенные виртуалки
    (Сложно такое представить, ведь наша основная система остается неизвестной потенциальным недоброжелателям. Ну допустим мы как-то случайную словили малварь в скачанной левой проге из-за дырявости Windows, ну а далее уже охота за нашими данными. Решение - использовать в качестве хоста вместо Windows Линукс ).

    Во-вторых, уязвимым может оказаться и сам софт виртуализации, ведь, как правило, целью его разработчиков является удобство и быстродействие, а не безопасность и анонимность. Тут есть и общие папки\буфер обмена, технология drag and drop для перетаскивания файлов из одного окна в другое. Все это желательно отключить в настройках Virtual box.
    Стоит отметить, что атаки на гипервизоры ( научное название виртуалок) являются очень сложными и трудоемкими и уж точно не для рядового кулхацкера.


    3. Использование операционной системы, которая уже базируется на софте для виртуализации (ОЦ КУБЫ - Qubes OS). Сначала гипервизор XEN в виде фундамента, а на нем уже все остальное. www.qubes-os.org

    Чтобы вы хоть примерно понимали, что это такое, представьте детский конструктор, где каждый "кубик" это отдельная операционная система. Вот что из этого можно накрутить:

    Dom0 (основная система хоста, на которой все запускается, подключения к интернету не имеет).

    Куб1 с нашими сетевыми устройствами для подключения к вайфай,

    Куб2 где траффик заворачивается в ВПН
    КУб3 где траффик завернутый в ВПН заворачивается в туннель
    Куб4 траффик завернутый в туннель заворачивается в сеть тор при помощи шлюза ХУИНИКС (встроены в последние версии Qubes по дефолту)
    Куб5 траффик после тора заворачивается в впн,жоп,туннель, дед, во что хотите.

    [​IMG]

    Можете играться\добавлять новые звенья\переставлять все это дело почти в любой последовательности за считанные скунды. Если надоест, то можете поднять цепочку любой длины на одном единственном "кубе".

    Каждая такая виртуалка жрет около 200-600 мб оперативы и запускается за несколько секунд.


    snapshot9.png
    _________________________________________________



    Далее уже идут рабочие кубы:

    1.Куб "KARDING" для работы c ЭПС подключен к кубу с дедом нужной нам страны\города

    2.Куб "BANDITISM" для очень черных дел подключен к кубу с торификацией\впн\тунелями...

    3. Куб "RABOTA" для серых дел - цепочка менее пароноидальная.

    3.Куб "BRODYGA" для серфингаинтернета\ютуба\музыки\ - только ВПН.

    4. Куб "KLADOVKA" вообще не подключен к интернету, здесь складируются все важные файлы, документы, пароли.

    5. Куб "WINDA7" для запуска виндоус приложений нужных нам в работе.

    Естественно это все лишь пример, и вы можете создавать какие угодно кубы под свои личные нужды.

    Теперь самое вкусное - Куб запускается по уже готовому шаблону. Т.е. нам не надо устанавливать 5 виртуалок, а достаточно выбрать уже предсутановленный шаблон ДЕБИЛИАНА и штамповать по нему сколько угодно систем (создание и запуск очередной оси занимает буквально несколько секунд). Также между кубами реализован безопасный буфер обмена, а файлы отправлять с куба на куб можно нажатием правой кнопки мыши. Тем не менее, во избежание потенциальных уявимостей разрабы рекомендуют не отправлять данные с особенно "черных" доменов на "белые" (C кубом, который знает ваш реальный айпи вообще нет никакой нужды обмена данными)

    [​IMG]

    Также предусмотрена специальная песочница для открытия подозрительных файлов, щелкаем по любому файлу правой кнопкой мыши, выбираем disposal vm и он открывается в отдельной системе, которая при закрытии уничтожается.

    Отдельно стоит упомянуть, что все программы запускаются в основной системе dom0, что позволяет исключить необходимость запуска графического интерфейса на таком большом числе виртуалок. Т.е. выглядит это как обычный рабочий стол с кучей ярлыков из разных систем.

    Естественно, что для запуска QUBES вам понадобится более менее современный ноутбук или компьютер с 64 битным процем. Если раньше не работали с линукс-системами, то лучше поработайте.

    Вот минимальные системые требования, но я бы увеличил еще объем оперативки до предела.
    64-bit Intel or AMD processor (x86_64 aka x64 aka AMD64)
    4 GB RAM
    32 GB disk space

    Огромным плюсом будет наличие ssd жесткого диска. Конечно, можно установить и на флешку 64 Гига с юсб 2.0, но периодически будет подвисать\тормозить (неприятно, но терпимо)

    Ну вот собственно и всё c теоретической частью, вопросы\обсуждения привествуются. Практика по данной ос будет опубликована почти сразу за этим материалом.
     
    Последнее редактирование: 29 май 2017
    Fahrenheit и ballldezhno нравится это.
  2. demonha

    demonha Местный

    Регистрация:
    17 май 2018
    Сообщения:
    231
    Симпатии:
    106
    Это уже совсем сильное шифрование
     
  3. ballldezhno

    ballldezhno Пользователь

    Регистрация:
    23 апр 2019
    Сообщения:
    18
    Симпатии:
    20
    тема-как раз для максимальных параноиков тк всё максмльно зашифровано,ну хоть людям спокойно будет)
     
  4. master1908

    master1908 Местный

    Регистрация:
    13 июн 2019
    Сообщения:
    1.100
    Симпатии:
    197
    Это не паранойя а перестраховка всего лишь , и перестраховка я скажу замечательная , если бы это не пользовалось спросом то и не создавалось бы , а те кто считает что это паранойя желаю чтоб вас никогда не отслеживали и не взламывали , всем удачи!!!
     
    Bakss нравится это.
  5. Chudesnoe

    Chudesnoe Местный Наказан

    Регистрация:
    14 авг 2018
    Сообщения:
    802
    Симпатии:
    454
    Страшная сила страшная паранойя
     
    Bakss нравится это.
  6. Bakss

    Bakss Местный

    Регистрация:
    23 июн 2019
    Сообщения:
    1.308
    Симпатии:
    1.087
    скачаю себе такую систему
     
    Fahrenheit нравится это.
  7. XimjjjKarDinal

    XimjjjKarDinal Местный Наказан

    Регистрация:
    25 авг 2019
    Сообщения:
    409
    Симпатии:
    218
    Че это ребята за шняга? Для параноиков таких как я? Я читать не стал думаю может кто тоипоясни))
     
  8. sulfo

    sulfo Местный ПроТестер

    Регистрация:
    9 апр 2019
    Сообщения:
    122
    Симпатии:
    75
    Да неплохая тема. Только много заморочек ради анонимности. Есть много других, простых вариантов и более безопасных
     
  9. ClansterS

    ClansterS Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    105
    Симпатии:
    21
    Хорошая защита никогда не будет лишним не бывает
     
  10. Jamshid

    Jamshid Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    179
    Симпатии:
    21
    так много
    ...
    при чем с хабра все молочик. хабр классный форум для ИТ
     
  11. BenzoNux

    BenzoNux Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    133
    Симпатии:
    11
    Кали Линукс как по мне достаточно. Вполне
     
    0xdenys нравится это.
  12. Connor_Hilfiger

    Connor_Hilfiger Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    32
    Симпатии:
    3
    Ой наделают всякого бреда, которым не пользуются
     
  13. Mendeleev34

    Mendeleev34 Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    50
    Симпатии:
    3
    в чём она лучше чем всеми нами известная линукс,я вообще на обычной винде 7 сижу
     
  14. Fahrenheit

    Fahrenheit Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    147
    Симпатии:
    74
    Автор ошибся причислив Debian к Unix. Дебиан есть Linux (LinixIsNotUniX)
     
  15. Shul9

    Shul9 Местный Наказан

    Регистрация:
    10 сен 2019
    Сообщения:
    84
    Симпатии:
    19
    Каждый по своему боится за свою попу)
     
  16. KirtanErenrih

    KirtanErenrih Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    71
    Симпатии:
    9
    тема очень длинная, многие параноики так же и лентяи, ищущие м находящие пути немного легче чем долгое нудное чтиво, вещь очень хорошая, но то чувство когда один из тех же лентяев, и так и остался сидеть с анонимными браузерами и лицензионными ВПН. и этого вроде как достаточно. ( Жаль нет спец. маршрутизатора)
     
  17. Rahim1980

    Rahim1980 Местный

    Регистрация:
    10 сен 2019
    Сообщения:
    41
    Симпатии:
    4
    Согласен с тобой
     
  18. FlaweOfficial

    FlaweOfficial Местный Наказан

    Регистрация:
    5 июл 2019
    Сообщения:
    49
    Симпатии:
    8
    Очень нужная и полезная тема, ток видосика еще не хватает
     
  19. CAGEGG

    CAGEGG Местный Наказан

    Регистрация:
    12 сен 2019
    Сообщения:
    54
    Симпатии:
    5
    Видео не хватает про эту операционную систему к сожалению, ибо я один из таких параноиков, думал о ней давно еще, буду на днях ставить наверное
     
  20. dovajoker

    dovajoker Местный

    Регистрация:
    12 сен 2019
    Сообщения:
    52
    Симпатии:
    3
    очень хорошая информация
    --- Сообщения объединены, 13 сен 2019 ---
    интересно для каких именно
     
Top