- Сообщения
- 223
- Реакции
- 485
Здраствуйте.
Дабы быть полезным местному сообществу, постараюсь рассказать как можно сделать безопасный и анонимный ноутбук для ведения торговой деятельности в Сети.В данной статьи все рекомендации и все советы будут изложены "как есть", отвественность за какие либо негативные последствия я не несу!
Вводная.
Перед собой, ставим следующее ТЗ(техническое задание):1. Максимально прикрыть вектора атак: раскрытие IP, атака прямого доступа(форензика).
2. Защититься от прослушивания/подглядывания.
Для выполнения работ желательно минимальное знание радиодела(электроники) на уровне наличия мануальных навыков пайки и/или соблюдения инструкций.
Ноутбук: подойдёт любой, который поддерживаеться сообществом coreboot.
Приступаем.
1. Нам нужно прошить BIOS.BIOS: микрокод, который записан в Flash память(SPI). Обеспечивает определение всех устройств, проводит их опрос и передает управление загрузчику ОС.
Для выполнения прошивки, разбираем ноутбук. Видео разборки можете найти на YouTube. Извлекаем материнскую плату и ищем микросхему BIOS. Выглядит она вот так:
Визуально Вы можете увидеть данную микросхему по следующим признакам: имеет шесть контактов(выводов), имеет маркировку(первые символы) 25Q64.....25: это серия, 64: объем памяти.
Если есть желание, можно найти позиционный номер данной микросхемы на boardview схеме и найти идентичный номер на нашей плате.
Для просмотра схемы рекомендую использовать open source продукт:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
.Для проведения прошивки нам понадобиться программатор, который умеет шить SPI микросхемы серии 25.
Для новичков идеально подойдёт вариант: программатор на чипе CH341a и прищепка(колодка, кому как удобней) SOIC8.
Пример: на
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
.Подойдёт любой подобный, но брать что то более крутое смысла нет.
По гайду
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
собираем программатор и прошиваем микросхему. В самой прошивке нет ничего сложного, нужно скачать с официального сайта проекта coreboot bin(бинарный) файл прошивки именно для подходящей модели ноутбука, открыть его с помощью ПО которое поставляеться в комплекте с программатором(или качаеться с Сети по запросу "ch341a programmer software") и прошить его нажав кнопку "Write". Перед этим обязательно считать и сохранить в файл родной дамп BIOS, он понадобиться Вам в случаи неудачной прошивки.
После прошивки нажимаем на кнопку "Verif" и проверяем соотвествует ли записанный на микросхему дамп, открытому(если же не соотвествует, рекомендую полностью стереть содержимое микросхемы и записать дамп повторно).
2. Для обеспечения минимальной антифорензик защиты давайте опредилимся что такое "форензика".
Форензика это компьютерная криминалистика.
Она может выполняться различными алгоритмами, например "cold-boot" по интерфейсам USB, FireWire, ExpressCard(последние интерфейсы не встречал давно).
Для физического затруднения идентификации ноутбука, с помощью любого острого предмета стираем шильдики(информационные бирки) особенно где фигурирует серийный номер, дата выпуска.
Батерею(АКБ) рекомендую извлечь, контакты батереи ровно как и разъем картридера, USB(все кроме одного) залить эпоксидной смолой. Модули памяти ОЗУ также можно залить смолой или компаундом.
Поясню зачем заливать контакты АКБ. АКБ "общаеться", то есть передает данные с инными компонентами ноутбка по шине SMBus. И абсолютно нет никакой гарантии, что форензики не разработают метод который эксплуатирует данный интерфейс.
3. Камеру и микрофон советую деактивировать механически, путём извлечения их шлейфов. Гнезда также советую пролить компаундом, для надёжности.
4. Что касаеться работы в сети, здесь все просто.
О Windows ОС забываем. Это небезопасно. Нет, не так. Это опасно. Только Linux, только open source.
Для новичков идеально подойдёт Ubuntu, скачивать конечно же с официального сайта:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
(можно и через TOR скачивать, но это уже слишком параноидально).Перед установкой системы подготовим жесткий диск(HDD) затерев его нулями(в несколько ходов).
Для этого, я рекомендую использовать open source утилиту DBAN, скачать ее можно здесь:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
.Советую записать утилиту на флешку и в диалоговом режиме, как минимум три раза перезаписать нулями диск.
Только после этого, устанавливаем ОС.
Подключаемся конечно же к общедоступной или взломанной нами Wi-Fi сети.
В ходе установки выбираем пункты: «Шифровать новую установку Ubuntu для обеспечения безопасности » и «Использовать LVM » и «Использовать весь диск для установки».
Пароль шифрования, пароль roоt и пароль от пользовательской учётной записи делаем разный, длинной не менее 10 символов.
Пароль должен содержать как минимум буквы разного регистра, специальные символы и цифры.
Для защиты от "терморектального криптоанализа" рекомендую записать данные пароли на листик, в случаи ЧП: листик проглатываем.
Для торификации системы, будем использовать AnonSurf(это open source утилита). Устанавливаем утилиту путём поочередного ввода в Терминал(консоль, открываеться зажатием клавиш Alt+T) следующих команд:
Код:
sudo git clone https://github.com/Und3rf10w/kali-anonsurf.git (клонируем реппозиторий)
cd kali-anonsurf (переходим в папку)
sudo ./installer.sh (запускаем установочный скрипт)
Код:
sudo anonsurf restart
anonsurf status
Код:
sudo anonsurf help
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
.Там же есть и инструкция по установке.
После извлечения флешки, скрипт аварийно свернет систему и очистит RAM(ОЗУ, оперативную память), что не позволит сотрудникам отдела "К" извлечь ключи шифрования из модулей оперативной памяти.
TOR браузер устанавливаем также из терминала, поочередным вводом команд:
Код:
sudo add-apt-repository ppa:micahflee/ppa
sudo apt update sudo apt install torbrowser-launcher
torbrowser-launcherДополнительно советую установить macchanger, ибо светить свой MAC адресс не есть хорошо.
Дополнение:
5. Если же нет желания портить внешний вид USB, советую пойти по простому пути.
Как мы знаем, USB представляет собой 4-ёх контактный порт. Ищем такой на материнской плате:
Нашли. Видим 4 вывода(на фотке обвел для вас чёрным). Это питание +5В, GND(земля) и шины передачи данных(ТХ, РХ). Нам нужно паяльником поднять один из контактов в воздух, какой именно разницы нет особой. Проделать такое для всех портов.
6. Не рекомендую устанавливать проприетарное программное обеспечение на рабочий ноутбук, ровно как и всякие репаки. Только их автор знает что он туда накодил.
7. Личные наблюдения. Если батерея снимаеться путём отключения разъема от гнезда, которое распаяно напрямую на плате, советую заизолировать разъем каптоновым скотчем или изолентой. Были случаи, когда разъем при транспортировке замыкал на плату что влекло за собой в особых случаях замену СРU. .
8. Обязательно после работ советую заменить термопасту/термопрокладки. Рекомендую закручивать винты на радиаторах СО(системы охлаждения) крест-на-крест и равномерно. Не нужно закручивать одну строну и затем вторую, после этого Вы с большей долей вероятности заработаете себе скол чипа.
Техника безопасности.
Стучат в дверь, хочешь в туалет: дёрнул usb из порта, спрятал листок с паролями и пошёл открывать.Надеюсь статья вам понравилась, буду стараться улучшать подачу материала.
Будут статьи по созданию на базе Orange Pi анонимного рабочего стола, с TOR и всякими интересными плюшками
Последнее редактирование:
