Выживание и IT технологии

хотелось бы в этой теме затронуть вопрос IT технологий в аспекте выживания.

Ведь ни для кого не секрет, что, к примеру, все устройства фирмы Эппл, имеющие доступ в интернет, могут быть "выключены" простым решением руководства фирмы. Через Apple ID. Причем по вкусу, хотите вообще все, хотите по локализации прошивки, хотите по вендорам, хотите просто по данным геолокации.

Ходят разговоры(с) что аналогичная функция есть и ОС Андройд. Убить бут (аналог БИОС в материнских платах больших компьютеров) через обновление ОС не трудно даже прямо сейчас. Был бы доступ к репозиторию гугла.

Ну и вспомнить совсем недавние события в Иране, когда Stuxnet устроил второй Чернобыль на заводе по обогащению урана. А еще чуть раньше - выключенные системы коммуникаций от Алкателя, системы управления воздушным движением и авиаоники от Саджема во время агрессии США против Ирака. А еще чуть раньше взрывы газа под Уфой в 1989 и реактора ЧАЭС, которые, как нам сейчас наверняка начнет с жаром доказывать, совершенно случайно в первом случае управлялись miniVAX а во втором проводилось моделирование того самого эксперимента, закончившегося аварией. Причем результат моделирования чудным образом сильно отличался от реальной ситуации. И в которых, компьютерах в смысле, уже под конец СССР нашли закладки, позволявшие управлять компьютерами дистанционно.

Но впрочем бог с ними с крупными авариями. Пусть даже внезапно из за "повисшей" системы управления задвижками и "случайно" легшей телефонной связи чуть было не смыло целый город ниже по течению от СШГЭС. Вернемся к нашим баранам.

Что хотелось бы обсудить.

1. Прежде всего - смартфоны и планшеты, работающие на альтернативных ОС. Например на тех же линукс-сборках.
2. Операционные системы для простых компьютеров, способные сохранить работоспособность после массированной атаки через бэкдоры АНБ.
3. Настройки фаерволов и источники получения информации по настройкам.

От себя же - "лично чем могу". Решил, пусть и частично интернет безопасность своей домашней сети следующим образом.

Был куплен роутер марки mikrotik. Какой конкретно модели - не столь суть важно, все они работают на одинаковой ОС и конфигурирование будет одинаково для всех маделей.

Выбор фирмы-производителя был в тот момент обусловлен тем, что роутерах этой фирмы почти совершенно точно не было закладок от наследников четвертого и пятого управления КГБ, всю жизнь трепавшие нервы моим родителям и развлекавших меня до конца восьмидесятых порой чуть ли не откровенно педофильскими подкатами на улице и вопросиками "а нет ли у вас какой то тайной организации мушкетеров" и т.д.

Сейчас, разумеется, после всех событий с 2014 года вектора угроз сильно сместились, поэтому в ближайшее время буду переходить на хуайвеевский роутер-борд под линуксом. Так как ожидать, что в латышском продукте нет закладок от их старших братьев - как минимум наивно. Особенно на фоне "конюшни" в Антавиляй. Но для тех, кто верит, что "они нам друзья" - концепция прекрасно подходит.

Итак. Перво наперво загружаем в роутер настройки фаерволла:
http://weblampa.ru/%d0%bf%d0%b...be%d1%81%d1%8c/
или тут пастебин:
http://pastebin.com/6Tgbdzz8

Остается только последнее. Список ай-пи адресов правительственных гос-структур и аффилиантов. Те, что в рулесах выше обозваны как goverment. И тут нам на помощь приходит сайт AntiZapret https://github.com/AntiZapret/antizapret
Который выкладывает и актуализирует диапазоны ай-пи адресов гос-структур. Цели и задачи у них разумеется отличны от наших, но айпи-адреса, что бы избавиться от назойливого внимания крыши казино в гостинице Космос и проч. прекрасно подходят.

Чуть поработали и после "общения" в комментах на лента.ru божечки-кошечки, что же ми таки видим в логе?

айпишник широко известен гуголю. А папа владельца организации так и вообще у всех на слуху. После истории с ификтивненькими в Карелии прошлым летом. Утопивших детей, чьи родители "не всписались".

Ну и как "вишенка на торте" - аналог AD Bloсker, поднимаемый на все том же mikrotik роутере:
https://blog.kplus.pro/mikroti....html#more-1613

удобная штука, которая не детектится на сайтах рекламодателях и не режет функционал, как в случае программ-надстроек на браузере.

Sraptak

Что хотелось бы обсудить.

1. Прежде всего - смартфоны и планшеты, работающие на альтернативных ОС. Например на тех же линукс-сборках.

2. Операционные системы для простых компьютеров, способные сохранить работоспособность после массированной атаки через бэкдоры АНБ.

3. Настройки фаерволов и источники получения информации по настройкам.

очень наивный подход.

Глядя на то, каким путём пошла РФ, какое оборудование стоит у магистральных провайдеров и т.д. и т.п. как и в каком направлении всё развивается
смею предполагать, что вектор атаки будет совсем другой, отнюдь не бэкдоры заботливо оставленные АНБ.

Более разумный подход --- не доверять жизненно важные вещи всей этой заморской технике.
Избегать жёсткой завязанности на неё и на все эти электронные системы.
Особенно черезчур сложные.

Ваш микротик --- это конечное звено,
а магистраль то на цисках
и что толку от конечного звена,
когда магистраль уже во вражьих руках?

И с сетями мобильной связи та же песня, даже веселей --- там прописался HUAWEI. А "братья навек" уже неоднократно показали себя...

Linux был ещё на что-то похож во времена ядер 2.4 и систем тех времён.
А сейчас он растолстел и усложнился до неприличия.
И едва ли кто-то сможет провести реальный аудит на предмет отсутствия закладок.
Сколько уже всплывало всякой гадости в openssl ...

ни каких наивных подходов. Просто делаю ровно то, что могу сам.

Потеря магистрали в краткосрочной перспективе не фатальна. Главное что бы карты можно было посмотреть в оффлайн. И справочники на локальном зеркале Флибусты были доступны. Остальное - голосом по эфиру обсудить. Или всплывет старый добрый ФИДОнет на основе микросотовой сети из Wi-Fi роутеров.

А вот если "положат" домашние и рабочие компьютеры - это будет ДЕЙСТВИТЕЛЬНО проблемой.

Sraptak
Настройки фаерволов и источники получения информации по настройкам.

Sraptak
....Или всплывет старый добрый ФИДОнет на основе микросотовой сети из Wi-Fi роутеров. ....

Камрад, а уже есть такие готовые решения по ФИДОнету?

Шаг в правильном направлении:

Я долго ждал дня, когда на моём столе появится первый коммерческий, массово доступный прибор на нашей собственной безопасной операционной системе.
Вот он, красавец.
Сетевой роутер производства компании Крафтвей.
Эта красивая чёрная коробочка - не что иное как защищённый коммутатор уровня L3 с нашей ОСью внутри.
И это первая серийная железка в коммерческой продаже!
На подходе ещё много чего, а дальше будет и ещё, и ещё больше разных безопасных 'вещей интернета', также известных как IoT.
Потому что наша операционка оказалась весьма подходящей для подобных проектов, где нужна небольшая, оптимизированная и безопасная платформа.
Если кратко, то у этой операционки есть несколько особенностей.
Во-первых, микроядерная архитектура, в результате чего мы под конкретные требования можем собирать 'из кубиков' различные модификации системы.
Во-вторых, встроенная система безопасности, контролирующая поведение приложений и модулей операционной системы.
Чтобы хакнуть эту платформу надо поломать криптографическую
подпись, что до наступления эпохи квантовых компьютеров является весьма недешёвым занятием.
И в-третьих, всё сделано с нуля.
Всё популярные ОСи не заточены на безопасность и поэтому проще и надёжнее сделать всё заново, по-правильному.
Что мы и сделали.

Sraptak

А вот если "положат" домашние - это будет ДЕЙСТВИТЕЛЬНО проблемой.

.

Sraptak
А вот если "положат" домашние и рабочие компьютеры - это будет ДЕЙСТВИТЕЛЬНО проблемой.

Какой? ВК не посидеть? Нельзя поиграть по танки-самолёты-корабли по инету?

Sraptak
и реактора ЧАЭС, которые ..... И в которых, компьютерах в смысле, уже под конец СССР нашли закладки, позволявшие управлять компьютерами дистанционно.

Tor191
Подробнее: http://sdelanounas.ru/blogs/86176/

Nikolay_K
Более разумный подход --- не доверять жизненно важные вещи всей этой заморской технике.
Избегать жёсткой завязанности на неё и на все эти электронные системы.
Особенно черезчур сложные.

Шаг в правильном направлении:

Иваныч611_1
Простите, а не поделитесь ли пруфом?
Я не говорю, что я "не верю", просто немного удивляет то, что "Скала" могла управляться извне....

После прочтения слова *mikrotik*
сижу и думаю а читать ли дальше
ну думаю ладно тема для меня очень актуальная поэтому думаю буду читать дальше.

Дочитал до слов
*хуайвеевский роутер-борд под линуксом*
повторно задумался - стоит ли терять время читая такой вздор

ФУУУУ
Дочитал то наконец...

по поводу микротиков:
мы специально тестировали эти железки нескольких разных серий
OpenVPN там хоть и еть хоть и настраивается но блин сцуко трафик всеравно гонит почти в открытом виде
и так по нескольким пунктам что касается микротиков - отказались от использования в главных отделениях компании.

Хуавеи ???
да Вы что ???
даже время терять расписывать не хочется

-------------------------------
От себя лично:

На инфраструктуру вообще не надеюсь
Накупил жестких дисков, закатал туда информацию
Разложил по каждой копии в свой спец сейф

Sraptak
развлекавших меня до конца восьмидесятых

это как? папины яйца сильно смеялись?

MrWho
Вот вот - ни в коем случае не используйте технику на их б-го мерзких AMD и Intel и тем более Винду/OSX/Android/iOS. Есть же прекрасные российские процессоры, как и прекрасные российские ОС. Да и телефоны заморские - это зло.

Преображенский: А если вы заботитесь о своём пищеварении, мой добрый совет: не говорите за обедом о большевизме и медицине.
И не читайте до обеда советских газет.

Борменталь: Гм... Да ведь других нет!

Преображенский: Вот никаких и не читайте.

наклейка с надписью касперский OS

Преимущества ОС, построенной на микроядре, по сравнению с ОС, построенной на монолитном ядре:
Простота реализации (ядро и компоненты реализуют чётко определённую функциональность, поэтому размер их кода невелик);
Простота отладки (компоненты - обычные процессы, поэтому могут отлаживаться с помощью инструментов, созданных для отладки процессов);
Гарантированная безопасность (код небольшого размера можно проверить на корректность вручную или автоматически - с помощью математических рассуждений);
Надёжность (в ОС с микроядерной архитектурой ошибка в одном из компонентов приведёт к завершению процесса компонента; в ОС с монолитным ядром отказ компонента приведёт к отказу ОС);
Модульность (в микроядерной ОС большее число компонентов может быть запущено и остановлено по необходимости; например, для исправления ошибки можно внести изменения в код компонента, скомпилировать новый компонент, остановить старый и запустить новый).
Недостатки ОС, построенной на микроядре, по сравнению с ОС, построенной на монолитном ядре:
более низкая производительность (из-за накладных расходов на IPC).
Для того чтобы микроядерная ОС по скорости не уступала ОС, построенной на базе монолитного ядра, требуется очень аккуратно проектировать разбиение системы на компоненты и стараться минимизировать взаимодействие между ними.
Таким образом, основная сложность при создании микроядерных ОС - необходимость очень аккуратного проектирования.

Есть же прекрасные российские процессоры

Цена.
Еще один пункт покрытый мраком.
Этот миф не удалось никак опровергнуть.
Есть 'объявленные' цены в районе 4000 долларов.
Есть информация про 120000 рублей.
Вся это информация на май 2015 года.

Получается в лучших традициях Советского Союза: машина есть, цена есть, купить нельзя.
На два запроса компания МЦСТ мне не ответила.
Судя по комментариям к статьям, не только мне.
Более того, интересно как изменится цена на отечественный компьютер с учетом нынешнего курса отечественного рубля.
Вопрос остается открытым.

Sraptak
выживание и IT технологии

Чем то их "Kraftway Terminal Linux" сильно напоминает перелицованый OpenWRT. Видать очередной BolgenOS.

Дык, примерно так и есть...
Ибо:

на основе процессора Marvell 98DX4122

Ветеран
birth date: 04 май 1995 г. возраст: 21

Arkan137
по поводу микротиков:
мы специально тестировали эти железки нескольких разных серий
OpenVPN там хоть и еть хоть и настраивается но блин сцуко трафик всеравно гонит почти в открытом виде
и так по нескольким пунктам что касается микротиков - отказались от использования в главных отделениях компании.

Хотя конечно я могут быть и не прав. Моей целью было защититься от вторжения. А не исключить возможность слежки за внешними контактами.

Sraptak
хотелось бы в этой теме затронуть вопрос IT технологий в аспекте выживания.

1. Комп (планшет) для просмотра порно/игры в танчики/ютуба/вкашечки и прочей хоротени.
2. Ноут с линуксом слакварь/дебиан | FreeBSD. С незакрученной крышкой харда и молотком рядом. С выкинутым вафай модулем и вынутой стевухой.
ВСЕ. Железобетонно епт. От любой атаки. Шанс что друг / родственник несмотря на пароли и криптовку разберется в текстовом интерфейсе один к миллиону, даже если просто оставить комп на столе включеным.

И ваще срать на закладки, роутеры, штаты, гэбню итп.... Взял под мышку - пошел. Выбивают дверь? Разбил хард молотком (для тех у кого там шифры от ракет).

Sraptak

айпишник широко известен гуголю. А папа владельца организации так и вообще у всех на слуху. После истории с ификтивненькими в Карелии прошлым летом. Утопивших детей, чьи родители "не всписались"..

А этот вбросик пруфить бум? Или «пипал схавает»?

terranin
А этот вбросик пруфить бум? Или 'пипал схавает'?

Sraptak
Для домашнего (ДОМАШНЕГО, КАРЛ!!!) использования OpenVPN просто напросто не нужен

MrWho
А я например считаю, что незачем провайдеру, знающему твой домашний адрес и номер паспорта, иметь возможность смотреть на то, чем ты занимаешься в сети. То ли на ганзе комментарии пишешь или хоть на порнуху наяриваешь, но это твое личное дело. OpenVPN недорого решает эти вопросы.

OpenVPN недорого решает эти вопросы.

Да и вообще, после БП, когда будете поднимать свою локалку в поселении)) сразу вспомните про OpenVpn, защищенная связь, закрытые каналы с вебкамер, например с целью обнаружения подбирающихся сектантов-каннибалов и пр. хозяйственно-бытовые нужды.

Простая экшн-камера с wifi - тоже отличный помощник выживальщика, не нужно бошку высовывать где попало, можно комфортно лежать в палатке и наблюдать на экране смартфона за разнузданной вакханалией,
которую устроили алиены-содомиты совместно с сектантами-каннибалами, над несчастными жителями деревни))

Дело не в наклейке, пишут про полностью свою, с ноля, микроядерную OS.[/B]

достаточно фирмы которая написана на картинке, очень уж жадные ребяты

[B]Если это не очередной распил по мотивам "национальной ОС", то очень неплохо.

Ребятам бы продажи поднять 😊

А настоящую национальную ОС мы уже много раз видели, но на поверку все это оказывалось жигулями с решеткой и значком от мерседеса прикрученной на проволочки.

Sraptak
Потому что наверное мы все таки говорим о разных случаях. Для домашнего (ДОМАШНЕГО, КАРЛ!!!) использования OpenVPN просто напросто не нужен.

У меня для себя любимого IPSEC из дома в более чем 40 филиалов компании
так что для дома надо и еще как даже

Лично я вообще не верю железным роутерам, уже очень много раз это обсуждалось на специализированных сайтах
для меня только BSD в качестве маршрутки, линух конечно то же нормально но там уже с безопасностью посложнее настраивается.

Правильно выше сказали
1) наличка только в бумаге
2) информация только на отдельных дисках и на бумаге
3) отдельный комп без вафли и вообще сетки

Лично я вообще особо не верю и не надеюсь в надежность инета и сети, достаточно уже было примеров когда бухой тракторист перекапывал магистральный канал.
Жесткие диски могу положить запазуху и уже в джокервиле в автономку делать что хочется, одних книг только более 500 гигов

Arkan137

3) отдельный комп без вафли и вообще сетки

+100. Это подтвердит любой сотрудник, работавший с секреткой например. Отдельный комп для хранения инфы - работы. Отдельный пустой для инета. Нужно скачать картинку? Скачали на флешку, перенесли на стационарник - разукрасили картинку. Перенесли на инет машину - запостили. Все. Две развязанные по архитектуре системы на этих машинах например аппл-винда / винда-юникс решают вопрос червей и прочей хреноты. А можно еще и пгп заюзать, закрывая на внутренней машине инфу перед отправкой. Устойчивость от повреждения инфы 146%-я, при условии своевременных бекапов. Устоичивость от взлома - ограничивается лишь стойкостью вашей жопы к паяльнику, ибо програмно0аппаратно недоступно супостату.

интервью ТАСС Касперская заявила, что данные самим пользователям не принадлежат: "Мое мнение, что эти данные должны являться собственностью государства, потому что пользователи этими данными не обладают. Пользователь отпустил их в информационное пространство, и утекло все, что он там написал. Значит, это не их принадлежность". В числе таких данных она указала всю информацию рядовых пользователей, собираемую с помощью информационных технологий: поисковые запросы, геолокация, контакты, переписка пользователей, фото- и видеоматериалы.

Подробнее: http://www.newsru.com/russia/30nov2016/kasperskaya.html

вторая часть марлезонского балета

Alexander_SAS
интервью ТАСС Касперская заявила, что данные самим пользователям не принадлежат: "Мое мнение, что эти данные должны являться собственностью государства, потому что пользователи этими данными не обладают.

скользкая дорожка... что-то думаю, что ни к чему хорошему она не выведет...
так можно ведь дойти и до полного попрания всех понятий типа авторских и смежных прав, до отрицания Конституции РФ
заявляющей о праве на неприкосновенность личной жизни и много ещё до чего

Чего мелочиться? Сразу "граждане должны принадлежать государству" и всего делов.

Ivan_1980
А можно еще и пгп заюзать, закрывая на внутренней машине инфу перед отправкой. Устойчивость от повреждения инфы 146%-я, при условии своевременных бекапов. Устоичивость от взлома - ограничивается лишь стойкостью вашей жопы к паяльнику, ибо програмно0аппаратно недоступно супостату.

Мдя, батенька, куево вы значит с секретной информацией работали. Не в курсе, что ФСБ имеет бэкдоры к любой криптографической программе, сертифицированной в РФ? И таки да, PGP в этом реестре.

PGP, TrueCrypt и другие широкораспространенные криптографические программы не рулят. Только свой, самопридуманный алгоритм (но ведь это незаконно).

angrifer

И таки да, PGP в этом реестре.

А как на счет GPG? Думается, что не все так благостно для гэбни, раз уж так усираются с требованиями выдать им ключи от квартиры где деньги лежат от систем шифрования в разных мессенжерах и необходимости установки чербурнетного корневого SSL-сертификата.

зачем выживальщику вообще шифровать свою информацию?

шифрует - значит шпиён.

и какие технологии ИТ в БП будут востребованы? ноутбуки через полчаса отрубятся, ничего сделать не успеешь. Интернет отрубится первым.

лучше позаботиться, чтобы телефон долго держал заряд и рации были наготове. и то не во всех случаях.

Не в курсе, что ФСБ имеет бэкдоры к любой криптографической программе, сертифицированной в РФ? И таки да, PGP в этом реестре.

ПГП нужно брать старенький, не выше шестого.
Трукрипт, кстати, уже загнулся, разработчики его бросили. Есть мнение, что именно потому и бросили, что "компетентные органы" "попросили" сделать бэкдор. И это вовсе было не ФСБ.

angrifer
Не в курсе, что ФСБ имеет бэкдоры к любой криптографической программе, сертифицированной в РФ? И таки да, PGP в этом реестре.

при творческом подходе к делу бэкдоры не помогут.

Но для этого надо хорошо понимать как криптографические методы работают
и что конкретно будет делать ваш потенциальный противник.

У криптоаналитиков как-бы время тоже ограничено и они не будут скорее всего тратить черезчур много на мелких сошек.
А "крупняк" на ганзе такие вещи уж точно не будет обсуждать.
Крупняк скорее наймёт тех-же Шнайдера с Шамиром и компанией.
Поставит им задачу, объявит призовой фонд и вперёд.

sk0ndr
ПГП нужно брать старенький, не выше шестого.

angrifer
PGP, TrueCrypt и другие широкораспространенные криптографические программы не рулят. Только свой, самопридуманный алгоритм (но ведь это незаконно).

MrWho
открытый код клиента и хранит данные где то хз где - он рулит.

Хрычонак
зачем выживальщику вообще шифровать свою информацию?

шифрует - значит шпиён.

и какие технологии ИТ в БП будут востребованы? ноутбуки через полчаса отрубятся, ничего сделать не успеешь. Интернет отрубится первым.

лучше позаботиться, чтобы телефон долго держал заряд и рации были наготове. и то не во всех случаях.

Чтоб не встретить БП в тюрьме, например.

lich
Чтоб не встретить БП в тюрьме, например.

так нефиг заниматься тем, за что можно в тюрьме оказаться

за скачивание музыки не посодють

Хрычонак

так нефиг заниматься тем, за что можно в тюрьме оказаться

за скачивание музыки не посодють

Не дышать, что ли?