Операционная система Tails - руководство

Darkseid · Понеділок в 22:01

Tails — это операционная система , которая делает анонимное использование компьютера доступным для всех. Tails разработан так , чтобы не оставлять следов вашей активности на вашем компьютере, если вы явно не настроите его на сохранение определенных данных. Это достигается путем запуска с DVD или USB, независимо от установленной на компьютере операционной системы. Tails поставляется с несколькими встроенными приложениями, предварительно настроенными с учетом безопасности, и все анархисты должны знать, как использовать его для безопасного общения, исследования, редактирования и публикации конфиденциального контента.

Документация

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

превосходна и проста в использовании. В этом руководстве обобщена наиболее важная документация, а также дополнительно включены советы по настройке и использованию, относящиеся к модели угроз анархистов .

TAILS: амнезическая и инкогнито живая система

Tails — это операционная система. Операционная система — это набор программ, которые управляют различными компонентами (жесткий диск, экран, процессор, память и т. д.) компьютера и позволяют ему функционировать.

Вы, вероятно, слышали о «Windows» или «macOS», двух самых распространенных операционных системах. Есть и другие операционные системы — может быть, вы слышали о Linux? Linux относится к семейству операционных систем, которое разветвляется на несколько подсемейств или различных версий Linux, одна из которых называется Debian. В подсемействе Debian мы находим Ubuntu и Tails. Tails — это дистрибутив (версия) Linux с несколькими отличительными особенностями:

Живая система
- Tails — это так называемая живая система. В то время как другие операционные системы запускаются с жесткого диска вашего компьютера, Tails устанавливается на внешнее устройство, такое как USB (или даже SD-карта или DVD). Когда вы запускаете компьютер с подключенным устройством Tails, ваш компьютер работает с этого устройства, оставляя ваш жесткий диск нетронутым. Вы даже можете использовать Tails на компьютере без жесткого диска.
Амнезия
- Tails разработан так, чтобы не оставлять никаких данных на компьютере, который вы используете; он ничего не записывает на жесткий диск и работает только в оперативной памяти (RAM), которая автоматически стирается после выключения. Сама система Tails live (обычно работающая на USB) также остается нетронутой. Единственный способ сохранить информацию — переместить ее на другой раздел USB перед выключением (см. ниже). Цель этого — не оставлять криминалистических следов, которые кто-то, имеющий физический доступ к вашему компьютеру или USB-накопителю Tails, мог бы позже прочитать. Такие вещи, как история поиска в Интернете, «недавно отредактированные» документы и т. д., стираются.
Инкогнито
- Tails также является системой, которая позволяет вам оставаться инкогнито или анонимным. Она скрывает элементы, которые могут раскрыть вашу личность, местоположение и т. д. Tails использует сеть анонимности Tor для защиты вашей анонимности в сети, заставляя все стандартное программное обеспечение подключаться к Интернету через Tor. Если приложение пытается подключиться к Интернету напрямую, Tails автоматически заблокирует соединение. Tails также изменяет «MAC-адрес» вашего сетевого оборудования, который может использоваться для уникальной идентификации вашего ноутбука.

Безопасность
- Tails был разработан с учетом безопасности. Минимальная, функциональная и проверенная среда уже установлена (со всем необходимым для базовой обработки текста, редактирования изображений, шифрования и т. д.).

Сегодняшняя цифровая безопасность не обязательно завтрашняя. Защита персональных данных требует регулярных обновлений. Цифровые инструменты ненадежны, если они никогда не обновляются, и чтобы иметь постоянную уверенность в этих инструментах, хорошо знать, что команды активно поддерживают их и что у них хорошая репутация. Важно понимать дух Tails: все разработано с учетом безопасности. Однако в программном обеспечении не существует идеального инструмента; всегда есть ограничения. Кроме того, способ использования Tails может создавать проблемы безопасности.

Tails — это бесплатное программное обеспечение с открытым исходным кодом . Любой желающий может просматривать, загружать и изменять исходный код (рецепт)... Абсолютно необходимо убедиться, что версия Tails у вас подлинная. Не пренебрегайте этапами проверки во время установки, которые подробно описаны на веб-сайте Tails.

Tails позволяет неспециалистам извлекать выгоду из цифровой безопасности и анонимности без крутой кривой обучения. Использование Tor имеет решающее значение для цифровой анонимности, и Tails помогает нам совершать как можно меньше ошибок при использовании Tor и некоторых других инструментов. Использование Tails требует совсем немного усилий, чтобы сделать повседневное цифровое поведение более безопасным, даже если иногда это кажется «неудобным». С другой стороны, «удобная» альтернатива означает повышенный риск репрессий — не только для вас, но и для тех, с кем вы общаетесь.

Концепция модели угроз
Tails — это не магия, и у нее много ограничений. Интернет и компьютеры — это враждебная территория, созданная для кражи ваших данных. Tails не защитит вас от человеческих ошибок, взлома оборудования, взлома прошивки, взлома или некоторых других типов атак. В Интернете не существует идеальной безопасности, поэтому так важно построить модель угроз .

Построение модели угроз — это просто вопрос, от которого вы задаете себе определенные вопросы. От кого я защищаюсь? Каковы их возможности? Каковы были бы последствия, если бы у них был доступ к этим данным? А затем, исходя из конкретной ситуации, оцените, как вы можете защитить себя.

I) Основы использования Tails

Предпосылки

Выберите USB/DVD:

Tails будет работать только с USB-накопителями объемом не менее 8 ГБ, DVD-дисками или SD-картами. Все данные на USB-накопителе будут полностью стерты во время установки, поэтому сохраните их в другом месте, а если вы не хотите, чтобы там остались какие-либо следы того, что там было раньше, используйте новый USB-накопитель.

В статье Tails Best Practices рекомендуется использовать USB с переключателем защиты от записи (неизменяемый диск). При блокировке переключатель полностью предотвращает изменение содержимого USB. Это предотвращает компрометацию вашего USB-накопителя Tails скомпрометированным сеансом Tails. Переключатель защиты от записи должен быть выключен во время установки. Если у вас нет возможности получить такой USB-накопитель, вы можете запустить Tails с SD-карты, DVD-R/DVD+R или всегда загружаться с опцией toram(описанной в статье).

Выберите ноутбук:

Хотя Tails можно использовать на настольном компьютере, это не рекомендуется, поскольку обнаружить физическое вмешательство можно только на ноутбуке.

Некоторые модели ноутбуков и USB не будут работать с Tails, или некоторые функции не будут работать. Чтобы узнать, есть ли у вашей модели известные проблемы, посетите страницу известных проблем Tails .

Если Tails работает слишком медленно, убедитесь, что USB версии 3.0 или выше и что вы используете порт USB 3.0 на ноутбуке. Если Tails часто зависает, вы можете добавить больше оперативной памяти в компьютер. 8 ГБ должно быть достаточно.

Установка

Для установки Tails на USB-накопитель вам понадобится «источник» и USB-накопитель (8 ГБ или больше).

Для «источника» есть два решения.

Решение 1: Установка путем загрузки (предпочтительно)

Следуйте инструкциям по установке Tails ; важно следовать всему руководству. Злоумышленник может перехватить и изменить данные по пути к вам (это называется атакой «человек посередине» ), поэтому не пропускайте этапы проверки. Как обсуждалось в Tails Best Practices , метод установки GnuPG предпочтительнее, поскольку он более тщательно проверяет целостность загрузки.

Решение 2: Установка с другого USB-накопителя Tails

Для этого необходимо знать пользователя Tails, которому вы доверяете. Очень простое программное обеспечение под названием Tails Installer позволяет вам «клонировать» существующий USB-накопитель Tails на новый за несколько минут; см. документацию по клонированию с ПК или Mac . Никакие данные постоянного хранилища не будут переданы. Недостатком этого метода является то, что он может распространять скомпрометированную установку.

Загрузка с USB-накопителя Tails

Если у вас есть USB-накопитель Tails, следуйте инструкциям Tails по загрузке Tails на Mac или ПК . USB-накопитель Tails необходимо вставить до включения ноутбука. Появится экран загрузчика, и через несколько секунд Tails автоматически запустится.

Примерно через 30 секунд загрузки появится экран приветствия .

На экране приветствия выберите язык и раскладку клавиатуры в разделе « Язык и регион» . Для пользователей Mac есть раскладка клавиатуры для Macintosh. В разделе «Дополнительные настройки» вы найдете кнопку + , нажмите ее, и появятся дополнительные параметры конфигурации:

Пароль администратора Установите это, если вам нужны права администратора. Это необходимо, например, для установки дополнительного программного обеспечения, которое вы хотите использовать во время сеанса Tails. В следующем диалоговом окне вы можете ввести любой пароль (и вам нужно его запомнить!). Он будет действителен только для этого сеанса Tails. Перезапустите сеанс Tails без пароля администратора, как только вы закончите действие, для которого он требовался.
Подмена MAC-адреса Мы рекомендуем вам никогда не отключать это. По умолчанию это включено.
Сетевое подключение "Отключить все сетевые возможности" позволяет отключить все программные сетевые адаптеры при запуске. Если вы собираетесь использовать сеанс Tails в режиме "офлайн", имеет смысл сделать это до того, как Tails запустит свои сетевые возможности.
Небезопасный браузер - Unsafe Browser включен по умолчанию и не использует Tor. Злоумышленник может воспользоваться уязвимостью в другом приложении в Tails, чтобы запустить невидимый Unsafe Browser и раскрыть ваш реальный IP-адрес. Это возможно, даже если вы не используете Unsafe Browser. Например, злоумышленник может воспользоваться уязвимостью в Thunderbird, отправив вам фишинговое письмо, которое запустит невидимый Unsafe Browser, который посетит веб-сайт и раскроет ваш IP-адрес. Такая атака маловероятна, но ее может осуществить сильный злоумышленник, например правительство или хакерская компания. По этой причине мы рекомендуем вам отключать Unsafe Browser для каждого сеанса . Оставляйте Unsafe Browser включенным только тогда, когда вам нужно пройти через «портал захвата» для подключения к Интернету (когда вам нужно щелкнуть поле или войти в систему для подключения к Интернету, что распространено в интернет-кафе, общественных Wi-Fi и т. д.).

Если у вас включено постоянное хранилище, в этом окне появится парольная фраза для его разблокировки. Если вы не включили постоянное хранилище, на вашем USB-накопителе Tails не будет сохранено никаких данных после этой сессии. Нажмите Запустить Tails . Через 15–30 секунд появится рабочий стол Tails.

Использование рабочего стола Tails

Tails — простая операционная система.

Меню «Действия». Позволяет просматривать обзор окон и приложений. Также позволяет искать приложения, файлы и папки. Вы также можете получить доступ к «Действиям», направив указатель мыши в верхний левый угол экрана или нажав клавишу Command/Windows (❖).
Меню «Приложения». Список доступных приложений (программного обеспечения), организованный по категориям.
Меню «Места». Ярлыки различных папок и устройств хранения, доступ к которым также можно получить через браузер «Файлы» ( Приложения → Стандартные → Файлы ).
Дата и время. После подключения к Интернету все системы Tails по всему миру используют одно и то же время .
Индикатор статуса Tor. Сообщает, подключены ли вы к сети Tor. Если над значком луковицы есть крестик, значит, вы не подключены. Вы можете открыть приложение Onion Circuits отсюда. Проверьте подключение Tor, посетив check.torproject.orgTor Browser.
Кнопка «Универсальный доступ». Это меню позволяет включить программное обеспечение для обеспечения доступности, такое как экранный диктор, визуальная клавиатура и большой текстовый дисплей.
Выбор раскладки клавиатуры. Значок, показывающий текущую раскладку клавиатуры (в примере выше enдля английской раскладки). Щелчок по нему открывает опции для других раскладок, выбранных на экране приветствия.
Меню «Система». Отсюда вы можете получить доступ к громкости и яркости экрана, подключению Wi-Fi и Ethernet, состоянию батареи, а также кнопкам перезагрузки и выключения.
Значок «Рабочие пространства». Эта кнопка переключает между несколькими представлениями рабочего стола (называемыми «рабочими пространствами»), что может помочь уменьшить визуальный беспорядок на небольшом экране.

Если ваш ноутбук оснащен Wi-Fi, но в системном меню нет опции Wi-Fi, см. документацию по устранению неполадок . После подключения к Wi-Fi появится помощник Tor Connection, который поможет вам подключиться к сети Tor. Выберите Connect to Tor automatic (Подключаться к Tor автоматически) , если только вы не находитесь в стране, где нужно скрыть, что вы используете Tor (в этом случае вам нужно настроить мост ).

Необязательно: создание и настройка постоянного хранилища

Tails по умолчанию амнезиачен. Он забудет все, что вы сделали, как только вы закончите сеанс. Это не всегда то, что вам нужно — например, вы можете захотеть установить дополнительное программное обеспечение без необходимости переустанавливать его каждый раз при запуске. В Tails есть функция под названием Persistent Storage, которая позволяет вам сохранять данные между сеансами. Это явно менее безопасно, но необходимо для некоторых действий.

Принцип, лежащий в основе Persistent Storage, заключается в создании второй области хранения (называемой разделом) на вашем USB-накопителе Tails, которая зашифрована. Этот новый раздел позволяет вам сделать некоторые данные постоянными — то есть сохранять их между сеансами Tails. Включить Persistent Storage очень просто. Чтобы создать Persistent Storage

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

выберите Applications → Tails → Persistent Storage .

Появится окно с просьбой ввести парольную фразу; см. Tails Best Practices для получения информации о надежности парольной фразы. Затем вы настроите , что вы хотите сохранить в Persistent Storage. Persistent Storage можно включить для нескольких типов данных:

Личные документы:

Постоянная папка : данные, такие как ваши личные файлы, документы или изображения, над которыми вы работаете.

Настройки системы:

Экран приветствия : настройки экрана приветствия: язык, клавиатура и дополнительные настройки.
Принтеры : Конфигурация принтера .

Сеть:

Сетевые подключения : пароли для сетей Wi-Fi можно сохранить, чтобы вам не пришлось вводить их каждый раз.
Tor Bridge : если включен Tor Bridge (для пользователей в странах, где Tor подвергается цензуре), будет сохранен последний использовавшийся вами Tor Bridge.

Приложения:

Закладки браузера Tor : Закладки браузера Tor.
Биткоин-кошелек Electrum : биткоин-кошелек и настройки.
Клиент электронной почты Thunderbird : почтовый ящик Thunderbird, каналы и ключи OpenPGP.
GnuPG : ключи OpenPGP, которые вы создаете или импортируете в GnuPG и Kleopatra.
Pidgin : Файлы учетной записи этого приложения чата (использующего протокол XMPP).
SSH-клиент : все файлы, связанные с SSH, протоколом, используемым для подключения к серверам.

Расширенные настройки:

Дополнительное ПО : Если эта функция включена, список дополнительного ПО по вашему выбору будет автоматически устанавливаться каждый раз при запуске Tails. Эти пакеты ПО хранятся в постоянном хранилище. Они автоматически обновляются при подключении к Интернету. Будьте осторожны с тем, что вы устанавливаете .
Dotfiles : В Tails и Linux в целом имена файлов конфигурации часто начинаются с точки, поэтому их иногда называют "dotfiles". Их можно сохранить в постоянном хранилище. Будьте осторожны, изменяя настройки конфигурации, так как изменение значений по умолчанию может нарушить вашу анонимность.

Чтобы использовать Постоянное хранилище, вы должны разблокировать его на экране приветствия. Если вы хотите изменить парольную фразу, см. документацию

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

Если вы когда-нибудь забудете свою парольную фразу, восстановить ее будет невозможно; вам придется удалить Постоянное хранилище и начать заново.

В Tails Best Practices мы рекомендуем не использовать Persistent Storage в большинстве случаев; большинство функций Persistent Storage не работают должным образом с USB-накопителями, имеющими переключатель защиты от записи, любые файлы, хранящиеся на USB-накопителе Tails, оставят на нем криминалистические следы, а хранение персональных данных на USB-накопителе Tails также препятствует его разделению при разблокировке Persistent Storage. Вместо этого любые файлы, которые должны быть постоянными, можно хранить на втором USB-накопителе, зашифрованном с помощью LUKS .

Обновление Tails USB

Чтобы Tails оставался безопасным, операционная система должна постоянно развиваться, а любые уязвимости безопасности должны устраняться посредством обновлений. Важно всегда использовать последнюю версию (Tails обновляется примерно каждый месяц), поскольку в программах, используемых Tails, регулярно обнаруживаются уязвимости безопасности, что в худшем случае может привести к раскрытию вашей личности, IP-адреса и т. д. Обновление Tails исправит эти уязвимости и обычно улучшит другие функции.

Каждый раз, когда вы запускаете Tails, сразу после подключения к сети Tor, Tails Upgrader проверяет, установлена ли у вас последняя версия Tails. Существует два типа обновлений.

Автоматическое обновление

Когда автоматическое обновление доступно, появится окно с информацией об обновлении, и вам нужно будет нажать «Обновить сейчас ». Подождите некоторое время, пока оно не завершится, затем нажмите «Применить обновление», и ваш интернет на мгновение прервется. Подождите, пока не увидите окно «Перезапустить Tails». Если обновление не удалось (например, из-за того, что вы выключили его до его завершения), ваше постоянное хранилище не будет затронуто, но вы, возможно, не сможете перезапустить свой USB-накопитель Tails. Если вы используете USB-накопитель с переключателем защиты от записи, вам нужно будет разблокировать его для выделенного сеанса, в котором вы выполняете обновление.

Ручное обновление

Иногда окно обновления сообщит вам, что вам нужно выполнить ручное обновление. Этот тип обновления используется только для крупных обновлений (которые происходят примерно каждые два года) или если есть проблема с автоматическими обновлениями. См. документацию по ручным обновлениям .

II) Идем дальше: несколько советов и пояснений

Тор

Что такое Tor?

Tor , что означает The Onion Router, — лучший способ сохранить анонимность в Интернете. Tor — это программное обеспечение с открытым исходным кодом, подключенное к публичной сети из тысяч ретрансляторов (серверов). Вместо прямого подключения к определенному месту в Интернете Tor делает обходной путь через три промежуточных ретранслятора. Браузер Tor использует сеть Tor, но другие приложения также могут это делать, если они правильно настроены. Все стандартные приложения, включенные в Tails, используют Tor, если им нужно подключиться к Интернету.

Интернет-трафик, включая IP-адрес конечного пункта назначения, шифруется слоями, как луковица. Каждый прыжок по трем ретрансляторам удаляет один слой шифрования. Каждый ретранслятор знает только ретранслятор до него и ретранслятор после него (выходной ретранслятор знает, что он пришел со среднего ретранслятора и что он идет на такой-то веб-сайт, но не входной ретранслятор).

Это означает, что любые посредники между вами и входным реле знают, что вы используете Tor, но они не знают, на какой сайт вы переходите. Любые посредники после выходного реле знают, что кто-то в мире переходит на этот сайт, но они не знают, кто это. Веб-сервер сайта видит, что вы заходите с IP-адреса выходного реле.

Tor имеет несколько ограничений. Например, если кто-то с техническими и юридическими средствами считает, что вы подключаетесь с определенного соединения Wi-Fi, чтобы посетить определенный сайт, он может попытаться сопоставить ваше соединение Wi-Fi с активностью на сайте («атака корреляции»). Однако, насколько нам известно, этот тип атаки сам по себе никогда не использовался для обвинения кого-либо в суде. Для конфиденциальных действий используйте интернет-соединения, которые не привязаны к вашей личности, чтобы защитить себя в случае сбоя Tor.

Что такое HTTPS?
Практически все веб-сайты сегодня используют

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

— S означает «безопасный» (например,

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

). Если вы попытаетесь посетить веб-сайт без

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

Browser, вы получите предупреждение перед продолжением. Если вы видите

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

адресом веб-сайта, это означает, что все посредники после выходного реле сети Tor знают, чем вы обмениваетесь с веб-сайтом (включая ваши учетные данные). HTTPS означает, что цифровая запись того, что вы делаете на посещаемом вами сайте, защищена ключом шифрования, принадлежащим сайту. Посредники после выходного реле будут знать, что вы посещаете riseup.net, например, но у них не будет доступа к вашим электронным письмам и паролям, и они не будут знать, проверяете ли вы свои электронные письма или читаете случайную страницу на сайте. Маленький замок появляется слева от адреса сайта, когда вы используете HTTPS.

Если на замке есть желтое предупреждение, это означает, что некоторые элементы на просматриваемой вами странице не зашифрованы (они используют HTTP), что может раскрыть точную страницу или позволить посредникам частично изменить страницу. По умолчанию браузер Tor использует режим HTTPS-Only, чтобы запретить пользователям посещать сайты HTTP.

HTTPS необходим как для ограничения вашего веб-отпечатка, так и для предотвращения изменения посредником данных, которыми вы обмениваетесь с веб-сайтами. Если посредник не может расшифровать данные, он не может их изменить. Для обзора соединений HTTP / HTTPS с Tor и без него, а также того, какая информация видна различным третьим лицам, см. интерактивную графику EFF .

Короче говоря, не посещайте сайты, которые не используют HTTPS.

Onion Services: что такое .onion?

Вы когда-нибудь видели странный адрес веб-сайта с 56 случайными символами, заканчивающийся на .onion? Это называется onion-сервис, и единственный способ посетить веб-сайт, используя такой адрес, — использовать Tor Browser. «Deepweb» и «darkweb» — это термины, которые были популяризированы в СМИ для описания этих onion-сервисов.

Любой может создать сайт .onion. Но зачем им это? Ну, местоположение сервера анонимно, поэтому власти не могут узнать, где размещен сайт, чтобы закрыть его. Когда вы отправляете данные на сайт .onion, вы входите в три ретранслятора Tor этого сайта после стандартной цепи Tor. Таким образом, между нами и сайтом есть 6 ретрансляторов Tor; мы знаем первые 3 ретранслятора, сайт знает последние 3, и каждый узел Tor знает только ретранслятор до и после. В отличие от обычного веб-сайта HTTPS, все это зашифровано Tor от начала до конца.

Это означает, что и клиент (ваш ноутбук), и сервер (где находится сайт) остаются анонимными, тогда как с обычным сайтом анонимным является только клиент. Помимо того, что он более анонимен для сервера, он также более анонимен для клиента: вы никогда не покидаете сеть Tor, поэтому перехватить вас после выхода из реле невозможно.

Адрес сайта .onion длинный, так как он включает сертификат сайта. HTTPS не нужен; безопасность зависит от знания адреса сайта .onion.

Некоторые сайты предлагают как классический URL, так и адрес .onion. В этом случае, если сайт был настроен на это, рядом с URL должно появиться указание «.onion available». Если нет, иногда сайт будет указывать адрес .onion где-то на своей странице. Чтобы узнать адреса сайтов, которые доступны только как .onion, вам нужно будет либо найти их по сарафанному радио, либо через веб-сайты, на которых перечислены другие сайты .onion, например, эта

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

.

Сайты, которые блокируют Tor

Некоторые сайты блокируют пользователей, которые заходят через сеть Tor, или иным образом делают посещение сайта неудобным. Некоторые сайты могут заставить вас заполнить CAPTCHA или предоставить дополнительную личную информацию (ID, номер телефона…) перед продолжением, или они могут вообще заблокировать Tor.

Сайт может блокировать только определенные ретрансляторы Tor. В этом случае вы можете изменить узел выхода Tor, используемый для этого сайта: нажмите кнопку ≣ → «Новый контур Tor для этого сайта» . Контур Tor (путь) изменится для текущей вкладки, включая другие открытые вкладки или окна с того же сайта. Вам может потребоваться сделать это несколько раз подряд, если вам не повезло и вы столкнулись с несколькими заблокированными ретрансляторами.

Поскольку все ретрансляторы Tor являются публичными, возможно, что сайт блокирует всю сеть Tor. В этом случае вы можете попробовать использовать прокси для доступа к сайту, например

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

только если вам не нужно вводить личную информацию, например учетные данные для входа). Вы также можете проверить, сохранена ли страница, к которой вы хотите получить доступ, на Wayback Machine: web.archive.org.

Четко разделяйте анонимные личности

Не рекомендуется выполнять различные интернет-задачи, которые не должны быть связаны друг с другом во время одного сеанса Tails. Вы должны тщательно разделять различные (контекстные) личности! Например, опасно проверять свою личную электронную почту и публиковать анонимный текст во время одного сеанса. Другими словами, вы не должны быть идентифицируемы и анонимны в сети Tor одновременно. Вы также не должны использовать сеть Tor под псевдонимом A и псевдонимом B в одном сеансе, так как эти псевдонимы могут быть связаны через контролируемый или скомпрометированный выходной ретранслятор Tor. Выключайте и перезапускайте Tails между интернет-активностями под разными личностями!

Функция «Новая идентификация» браузера Tor недостаточна для полного разделения контекстных идентификаций в Tails, поскольку она не восстанавливает соединения за пределами браузера Tor, и вы сохраняете тот же узел входа Tor. Перезапуск Tails — лучшее решение.

Приложение Onion Circuits показывает, какой канал Tor использует соединение с сервером (веб-сайтом или иным). Иногда бывает полезно убедиться, что выходной ретранслятор не находится в определенной стране, чтобы быть дальше от самого простого доступа для следственных органов. В приведенном выше примере соединение с check.torproject.org проходит через ретрансляторы tor7kryptonit, Casper03 и выходной узел blackfish. При нажатии на канал на правой панели отобразятся технические сведения о его ретрансляторах. Функция «Новый идентификатор» браузера Tor полезна для изменения этого выходного ретранслятора без перезапуска сеанса Tails, который можно повторять до тех пор, пока у вас не будет выходного ретранслятора, который вас устроит. Мы не рекомендуем использовать «Новый идентификатор» для переключения между идентификаторами, но только если вы хотите изменить выходной узел в рамках действий одного и того же идентификатора.

Настройки безопасности браузера Tor

Как и любое программное обеспечение, Tor Browser имеет уязвимости, которые могут быть использованы — различные полицейские агентства имеют эксплойты Tor Browser для серьезных случаев. Чтобы смягчить это, важно поддерживать Tails в актуальном состоянии, и вам следует повысить параметры безопасности Tor Browser: щелкните значок щита, а затем щелкните Настройки... . По умолчанию он установлен на Стандартный, что обеспечивает возможности просмотра, сопоставимые с обычным браузером. Мы настоятельно рекомендуем вам установить его на самые строгие настройки, прежде чем вы начнете просмотр: Самый безопасный . Подавляющее большинство эксплойтов против Tor Browser не будут работать с настройкой Самый безопасный.

Макет некоторых страниц может быть изменен, а некоторые типы контента могут быть отключены (изображения SVG, видео с кликом и т. д.). Например, у anarsec.guide есть две вещи, которые будут сломаны в безопасном режиме, поскольку они полагаются на Javascript: темный режим и оглавление статьи. Некоторые сайты вообще не будут работать с этими ограничениями; если у вас есть основания доверять им, вы можете просматривать их с менее строгими настройками для каждого сайта. Помните, что настройки «Стандарт» и «Безопаснее» позволяют работать скриптам, что может нарушить вашу анонимность в худшем случае.

Загрузка/выгрузка и папка Tor Browser

Tor Browser на Tails хранится в «песочнице», чтобы предотвратить его от слежки за всеми вашими файлами, если вредоносный сайт скомпрометировал его. Это означает, что существуют особые соображения при загрузке или скачивании файлов с помощью Tor Browser.

Загрузка

Когда вы что-то загружаете с помощью Tor Browser, оно сохраняется в папке Tor Browser ( ), которая находится внутри песочницы. Если вы хотите что-то сделать с файлом, вам следует переместить его из папки Tor Browser. Для этого /home/amnesia/Tor Browser/вы можете использовать файловый менеджер ( Applications → Accessories → Files ).

Выгрузка
Аналогично, если вы хотите что-то загрузить с помощью Tor Browser (например, включить файл в сообщение в блоге), вам сначала нужно будет переместить или скопировать файл в папку Tor Browser. Затем он будет доступен, когда вы выберете файл для загрузки в Tor Browser.

RAM

Имейте в виду, что если вы загружаете или иным образом работаете с очень большими файлами, ваша оперативная память (RAM) может заполниться. Это происходит потому, что весь сеанс Tails выполняется в оперативной памяти (если вы не настроили постоянное хранилище, которое использует USB). Если оперативная память заполнится, Tails замедлится или выйдет из строя. Вы можете смягчить это, закрыв ненужные приложения и удалив другие загруженные вами файлы. В худшем случае вам может потребоваться временно включить постоянное хранилище, чтобы загружать или выгружать большие файлы через постоянную папку Tor Browser, которая использует USB вместо оперативной памяти.

Делитесь файлами с Onionshare

Можно отправить документ через ссылку .onion благодаря OnionShare ( Приложения → Интернет → OnionShare ). По умолчанию OnionShare останавливает скрытый сервис после того, как файлы были загружены один раз. Если вы хотите предложить файлы для многократной загрузки, вам нужно перейти в настройки и снять флажок «Остановить общий доступ после первой загрузки». Как только вы закроете OnionShare, отключитесь от Интернета или выключите Tails, файлы больше не будут доступны. Это отличный способ поделиться файлами, поскольку вам не нужно подключать USB к чужому компьютеру, что мы не рекомендуем . Длинный адрес .onion можно передать через другой канал (например, созданный вами Riseup Pad , который легче набирать).

Усложните корреляционные атаки

Когда вы запрашиваете веб-страницу через веб-браузер, сервер сайта отправляет ее вам небольшими «пакетами», имеющими определенный размер и время (среди прочих характеристик). При использовании браузера Tor последовательность пакетов также может быть проанализирована для поиска шаблонов, которые могут быть сопоставлены с шаблонами веб-сайтов. Чтобы узнать больше, см. «1.3.3. Шаблоны пассивного трафика прикладного уровня» . Tor планирует смягчить эту проблему в будущем .

Чтобы затруднить эту «корреляционную атаку» , отключите JavaScript, используя в браузере Tor настройку «Безопаснее» .

Кроме того, команда Tor рекомендует выполнять несколько задач одновременно с помощью клиента Tor .

Включенное программное обеспечение

Tails поставляется со

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

по умолчанию. Документация дает обзор интернет-приложений , приложений для шифрования и конфиденциальности , а также приложений для работы с конфиденциальными документами . В оставшейся части этого раздела мы рассмотрим только общие случаи использования, имеющие отношение к анархистам, но для получения дополнительной информации прочтите документацию.

Менеджер паролей (KeePassXC)

Когда вам нужно знать много паролей, может быть приятно иметь безопасный способ их хранения (т. е. не листок бумаги рядом с вашим компьютером). KeePassXC — это менеджер паролей, включенный в Tails ( Приложения → Избранное → KeePassXC ), который позволяет вам хранить ваши пароли в файле и защищать их одним главным паролем.

Мы рекомендуем вам разбить ваши пароли на отсеки — иметь отдельный файл KeePassXC для каждого отдельного проекта. Они могут использовать один и тот же главный пароль — смысл разбиения в том, что только пароли одного проекта разблокируются в любой момент времени. Если сеанс Tails будет скомпрометирован, злоумышленник не получит все ваши пароли одним махом, а только те, которые в данный момент разблокированы.

В терминологии KeePassXC пароль — это случайная последовательность символов (букв, цифр и других символов), а парольная фраза — это случайная последовательность слов.

При создании новой базы данных KeePassXC увеличьте время расшифровки в окне настроек шифрования со значения по умолчанию до максимального (5 секунд). Затем выберите надежную парольную фразу и сохраните файл KeePassXC. Мы рекомендуем вам нажать на значок с маленьким кубиком в поле пароля, чтобы сгенерировать случайную парольную фразу из 7-10 слов.

Этот файл базы данных KeePassXC будет содержать все ваши пароли/парольные фразы и должен сохраняться между сеансами на вашем постоянном хранилище или на отдельном USB-накопителе с шифрованием LUKS, как описано в Tails Best Practices . Как только вы закроете KeePassXC или не будете использовать его в течение нескольких минут, он заблокируется. Убедитесь, что вы не забыли свою парольную фразу KeePassXC.

После создания самой базы данных вы должны увидеть пустую папку «Root». Если вы хотите организовать свои пароли в разные группы, щелкните правой кнопкой мыши эту папку и выберите «New Group...».

Теперь вы можете добавить свою первую запись. Нажмите Записи → Новая запись или нажмите значок «плюс». Введите название учетной записи, ваше имя пользователя для учетной записи и ваш пароль. Нажмите значок «кубик», чтобы сгенерировать случайный пароль или парольную фразу для записи.
Чтобы скопировать пароль из базы данных, выберите запись и нажмите CTRL + C. Чтобы скопировать имя пользователя, выберите запись и нажмите CTRL + B.

Реально удалить данные с USB

Нажатие «Удалить навсегда» или отправка файлов в «корзину» не удаляет данные... и их можно очень легко восстановить. Когда вы «удаляете» файл, вы просто сообщаете операционной системе, что вам больше не интересно содержимое этого файла. Затем она удаляет его запись в индексе существующих файлов. Затем она может повторно использовать пространство, которое занимали данные, для записи чего-то другого.

Однако могут пройти недели или годы, прежде чем это пространство будет фактически использовано для новых файлов, и в этот момент старые данные фактически исчезнут. В то же время, если вы посмотрите непосредственно на то, что записано на диск, вы можете найти содержимое файлов. Это довольно простой процесс, автоматизированный многими программами, которые позволяют вам «восстанавливать» или «восстанавливать» данные. Вы не можете на самом деле удалить данные, но вы можете перезаписать данные, что является частичным решением.

Существует два типа накопителей: магнитные (HDD) и флэш-накопители (SSD, NVMe, USB, карты памяти и т. д.). Единственный способ стереть файл на любом из них — переформатировать весь диск и выбрать «Перезаписать существующие данные нулями» .

Однако следы ранее записанных данных все еще могут остаться. Если у вас есть конфиденциальные документы, которые вы действительно хотите стереть, лучше всего физически уничтожить USB после его переформатирования. К счастью, USB-накопители дешевы и их легко украсть. Обязательно переформатируйте диск перед его уничтожением; уничтожение диска часто является частичным решением. Данные все еще можно восстановить с фрагментов диска, а сжигание диска требует температур выше, чем обычный огонь (например, термит), чтобы быть эффективным.

Для флэш-накопителей (USB, SSD, SD-карты и т. д.) используйте плоскогубцы, чтобы выломать плату из пластикового корпуса. Используйте высококачественный бытовой блендер, чтобы измельчить чипы памяти, включая плату, на куски, которые в идеале будут меньше двух миллиметров. Этот блендер не следует использовать для еды, поскольку его очистка не удалит токсичные следы в достаточной степени.

Как создать зашифрованный USB

Храните данные только на зашифрованных дисках. Это необходимо, если вы хотите использовать отдельный USB-накопитель LUKS вместо постоянного хранилища на USB-накопителе Tails, как рекомендовано в Tails Best Practices .

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

— это стандарт шифрования Linux. Чтобы зашифровать новый USB-накопитель, перейдите в Applications → Utilities → Disks .

Когда вы вставите USB, в списке должно появиться новое «устройство». Выберите его и убедитесь, что описание (бренд, название, размер) соответствует вашему устройству. Будьте осторожны, чтобы не ошибиться!
Отформатируйте его, нажав ≣ → Форматировать диск.
- В раскрывающемся списке Стереть выберите Перезаписать существующие данные нулями . Обратите внимание, что этого недостаточно для удаления всех следов конфиденциальных документов, хранящихся на USB-накопителе.
- В раскрывающемся списке «Разбиение на разделы» выберите пункт «Совместимо со всеми системами и устройствами (MBR/DOS)» .
- Затем нажмите «Форматировать».
  - Теперь вам нужно добавить зашифрованный раздел.
    - Нажмите на кнопку " + "
    - Выберите размер раздела (все свободное пространство)
    - В поле «Тип» выберите внутренний диск, который будет использоваться только с системами Linux (Ext4) ; установите флажок «Защищенный паролем том (LUKS)».
    - Введите надежную парольную фразу
  - Если вы вставите зашифрованный USB-накопитель, вам будет предложено ввести парольную фразу. Перед извлечением накопителя после завершения работы с ним необходимо щелкнуть его правой кнопкой мыши в Places → Computer и выбрать Eject.
  Шифрование файла паролем или открытым ключом
  В Tails вы можете использовать приложение Kleopatra для шифрования файла паролем или открытым ключом PGP. Это создаст файл .pgp. Если вы хотите зашифровать файл, сделайте это в оперативной памяти, прежде чем сохранять его на USB-накопитель LUKS. После сохранения незашифрованной версии файла на USB-накопитель USB необходимо переформатировать, чтобы удалить его.
  
  По той же причине перед расшифровкой файла сначала скопируйте его в папку Tails, которая находится только в оперативной памяти (например, Places → Documents ).
  
  Добавление прав администратора
  Tails требует пароль администратора (также называемый паролем "root") для выполнения задач системного администрирования. Например:
  - Установка дополнительного программного обеспечения
  - Доступ к внутренним жестким дискам компьютера
  - Выполнение команд в корневом терминале
  - Доступ к определенным привилегиям, например, когда вы видите окно, запрашивающее аутентификацию администратора
  - По умолчанию пароль администратора отключен для дополнительной безопасности. Это может помешать злоумышленнику с физическим или удаленным доступом к вашей системе Tails получить привилегии администратора. Если вы устанавливаете пароль администратора для своего сеанса, вы создаете еще один вектор для потенциального обхода безопасности Tails.
  Чтобы установить пароль администратора, необходимо выбрать пароль администратора на экране приветствия при запуске Tails. Этот пароль действителен только в течение сеанса.
  
  Установка дополнительного программного обеспечения
  Если вы устанавливаете новое программное обеспечение, вам нужно убедиться, что оно безопасно. Tails заставляет все программное обеспечение подключаться к Интернету через Tor, поэтому вам нужно будет настроить это для приложений, которые используют Интернет . Программное обеспечение, используемое в Tails, проходит аудит на безопасность, но это может быть не так для того, что вы устанавливаете. Перед установкой нового программного обеспечения лучше всего убедиться, что в Tails еще нет программного обеспечения, которое выполняет ту работу, которую вы хотите, чтобы оно выполняло. Если вы хотите, чтобы дополнительное программное обеспечение сохранялось после одного сеанса, вам нужно включить «Дополнительное программное обеспечение» в конфигурации постоянного хранилища .
  
  Более подробную информацию смотрите в документации по установке дополнительного программного обеспечения .
  
  Не забудьте сделать резервные копии!
  USB-накопитель Tails легко потерять, а срок службы USB-накопителей намного короче, чем у жестких дисков (особенно дешевых). Если у вас есть важные данные на нем, не забывайте регулярно делать их резервные копии. Если вы используете второй USB-накопитель с шифрованием LUKS, это так же просто, как использовать файловый менеджер для копирования файлов на резервный USB-накопитель с шифрованием LUKS.
  
  Если вы используете постоянное хранилище, ознакомьтесь с документацией по его резервному копированию .
  
  Экран конфиденциальности
  На экран ноутбука можно установить экран конфиденциальности , чтобы посторонние (или скрытые камеры) не могли видеть контент, если только они не находятся прямо перед ним.
  
  III) Устранение неполадок
  Компьютер пытается загрузить USB, но это не работает.
  
  Проверьте сообщения об ошибках, которые вы получаете (например, если у вас старый 32-разрядный компьютер, он не будет работать с Tails). Если там написано Error starting GDM with your graphics card, проблема в видеокарте; проверьте документацию на предмет Известных проблем с видеокартами . Вы также можете проверить список известных проблем на сайте Tails для вашей модели компьютера.
  
  Если откроется страница загрузчика Tails, попробуйте загрузиться в режиме устранения неполадок Tails.
  
  Мой Tails USB больше не запускается! (а раньше он запускался на том же компьютере)
  
  После обновления или по другой причине Tails больше не запускается на вашем компьютере. У вас есть три варианта:
  1. Посмотрите, упоминаются ли на странице новостей Tails какие-либо проблемы с обновлением.
  2. Выполните ручное обновление , которое может потребоваться, если компьютер был выключен до завершения автоматического обновления.
  3. Если первые два решения не сработали, USB слишком старый, плохого качества или сломан. Если вам нужно восстановить данные из Persistent Storage, подключите этот USB к сеансу Tails с помощью другого USB. Он будет отображаться как обычный USB, который вам нужно будет разблокировать с помощью пароля. Если вы не можете получить доступ к своим данным на другом USB Tails, на котором включен Persistent Storage, ваш USB может быть неисправен.
  4. Я не могу подключиться к публичной сети Wi-Fi со страницей аутентификации (порталом авторизации)
  Если вам нужно подключиться к Wi-Fi с помощью портала захвата, вы должны включить Unsafe Browser на экране приветствия. Подключитесь к Wi-Fi, а затем откройте Приложения → Интернет → Unsafe Browser . Вы вводите URL-адрес сайта, который не является сомнительным (например, wikipedia.org), чтобы получить доступ к странице аутентификации. После завершения страницы портала захвата подождите, пока Tor не будет готов, а затем закройте unsafe Browser.
  
  Что делать, если на USB-накопителе закончилось место?
  
  Если на USB-накопителе закончилось место или вы видите меньше данных, чем на самом деле есть на USB-накопителе, установите флажок «Показывать скрытые файлы» в файловом браузере. Там вы увидите новые файлы с именем .something. Файл .Trash-10xxзанимает место (и если щелкнуть по нему правой кнопкой мыши и выбрать «Переместить в корзину», он будет полностью удален). Не изменяйте другие скрытые файлы.
  
  Файл всегда открывается в режиме только для чтения или не открывается вообще?
  
  В некоторых программах это нормально, если тот же файл уже открыт. Если это не так, используйте тот же трюк, что и в абзаце выше. Вы включаете Показывать скрытые файлы. Будет файл .lock с тем же именем, что и у файла, с которым у вас проблема. Удалите этот файл, что указывает на то, что он уже открыт в другом месте. Если проблема не в этом, вам нужно изменить права доступа файла.
  
  Я не могу установить Tails на USB
  
  Убедитесь, что ваш USB-накопитель не имеет известных проблем с Tails. Отформатируйте весь USB-накопитель и повторите установку.
  
  Приложение тормозит Tails? Экран глючит?
  
  Попробуйте нажать клавишу Windows или клавишу Cmd для Mac, что откроет окно со всеми запущенными приложениями, из которого вы сможете выйти. Если это не сработает, вам нужно будет принудительно завершить работу, удерживая кнопку питания.
  
  Добавить принтер
  
  Вы переходите в Приложения → Системные инструменты → Настройки → Устройства → Принтеры → "+" → Добавить принтер . Некоторые модели принтеров могут не работать с Tails (или их может быть сложно настроить).
  
  Невозможно установить новое программное обеспечение
  
  Иногда Synaptic Package Manager отказывается устанавливать программное обеспечение. В этом случае используйте root-терминал (требующий пароль администратора): установите с помощью командыapt update
  - && apt install [package_name]

big dope · Понеділок в 22:04

интересная темка)

Darkseid · Понеділок в 22:04

Лучшие практики Tails

Tails Best Practices важно установить перед использованием Tails для высокочувствительных действий, таких как запрос действия . Чтобы не перегружать себя, начните с изучения того, как использовать Tails в базовых целях, таких как чтение анархистских веб-сайтов или написание текстов. Смотрите тег Tails для руководств по таким темам, как удаление идентифицирующих метаданных из файлов .

В статье использованы материалы

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

(на французском языке) и

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

(на немецком языке).

Все анархисты должны знать, как использовать Tails — в этом тексте описываются некоторые дополнительные меры предосторожности, которые вы можете предпринять, и которые имеют отношение к модели анархистской угрозы . Не все модели анархистской угрозы одинаковы, и только вы можете решить, какие меры по смягчению последствий стоит применять для вашей деятельности, но мы стремимся предоставить советы, которые подходят для высокорисковых видов деятельности, таких как требование действия. Если вы новичок в Tails, начните с Tails for Anarchists .

Начнем с рассмотрения трех тем, затронутых на странице предупреждений Tails : защита вашей личности, ограничения сети Tor и ненадежные компьютеры.

Защита вашей личности при использовании Tails

Tails создан для сокрытия вашей личности. Но некоторые ваши действия могут раскрыть вашу личность:

Обмен файлами с метаданными , такими как дата, время, местоположение и информация об устройстве

Использование Tails для нескольких целей одновременно

1. Обмен файлами с метаданными

Первую проблему можно решить, очистив метаданные файлов перед их публикацией :

Чтобы узнать, как это сделать, см.
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
.

2. Использование Tails для более чем одной цели одновременно

Эту вторую проблему можно смягчить с помощью так называемой «компартментализации» :

Разделение означает разделение различных видов деятельности или проектов. Если вы используете сеансы Tails для более чем одной цели одновременно, злоумышленник может связать ваши различные виды деятельности вместе. Например, если вы входите в разные учетные записи на одном и том же веб-сайте в одном сеансе Tails, веб-сайт может определить, что учетные записи используются одним и тем же человеком. Это происходит потому, что веб-сайты могут определить, когда два аккаунта используют одну и ту же схему Tor.
Чтобы не дать злоумышленнику связать ваши действия при использовании Tails, перезапускайте Tails между различными действиями. Например, перезапускайте Tails между проверкой писем разных проектов.
Tails по умолчанию амнезирует, поэтому для сохранения любых данных из сеанса Tails необходимо сохранить их на USB-накопитель. Если сохраняемые файлы могут быть использованы для связывания ваших действий, используйте разные зашифрованные (
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
) USB-накопители для каждого действия. Например, используйте один USB-накопитель Tails для модерирования веб-сайта, а другой — для исследования действий. В Tails есть функция, называемая Persistent Storage, но мы не рекомендуем использовать ее для хранения данных, о чем мы расскажем ниже .

Ограничения сети Tor

Tails использует сеть Tor , поскольку это самая сильная и популярная сеть для защиты от слежки и цензуры. Но у Tor есть ограничения, если вас беспокоят:

Скрытие того, что вы используете Tor и Tails

Защита ваших онлайн-коммуникаций от решительных и опытных злоумышленников

1. Скрытие факта использования Tor и Tails

Эту первую проблему можно смягчить с помощью мостов Tor :

Tor Bridges — это секретные ретрансляторы Tor, которые скрывают ваше подключение к сети Tor. Однако это необходимо только там, где подключение к Tor заблокировано, например, в странах с жесткой цензурой, некоторыми публичными сетями или некоторыми программами родительского контроля. Это связано с тем, что Tor и Tails защищают вас не тем, что вы выглядите как любой другой пользователь Интернета, а тем, что все пользователи Tor и Tails выглядят одинаково. Становится невозможным определить, кто есть кто среди них.

2. Защита от решительных и опытных нападающих

Сквозная корреляционная атака — это теоретический способ, с помощью которого глобальный злоумышленник может нарушить анонимность Tor:

Мощный противник, который может анализировать время и форму трафика, входящего и исходящего из сети Tor, может быть в состоянии деанонимизировать пользователей Tor. Эти атаки называются атаками сквозной корреляции , потому что злоумышленник должен наблюдать оба конца цепи Tor одновременно. [...] Атаки сквозной корреляции изучались в исследовательских работах, но мы не знаем ни об одном фактическом использовании для деанонимизации пользователей Tor.

Нецелевые и целевые корреляционные атаки

Как описано в приведенной выше цитате, глобальный противник (то есть АНБ) может взломать Tor с помощью корреляционной атаки. Если это произойдет, интернет-адрес, который вы использовали в кофейне без камер видеонаблюдения, будет вести только к вашей общей области (например, к вашему городу), поскольку он не связан с вами. Конечно, это менее верно, если вы используете местоположение регулярно. Корреляционные атаки еще менее осуществимы против подключений к адресу .onion, поскольку вы никогда не покидаете сеть Tor, поэтому нет «конечной точки», с которой можно было бы коррелировать посредством анализа сетевого трафика (если местоположение сервера неизвестно противнику). Стоит подчеркнуть, что «сквозные корреляционные атаки изучались в исследовательских работах, но мы не знаем ни о каком фактическом использовании для деанонимизации пользователей Tor».

То, что мы назовем «целевой» корреляционной атакой, гораздо более вероятно, потому что неглобальный противник (т. е. местные правоохранительные органы) способен на это, если вы уже находитесь в поле их зрения и являетесь целью физического наблюдения и/или цифрового наблюдения . Это подтип корреляционной атаки, когда предполагаемая цель уже известна, что делает атаку более легкой для достижения, поскольку это значительно сокращает объем данных для фильтрации для корреляции. Нецелевая корреляционная атака, используемая для деанонимизации пользователя Tor, является беспрецедентной в текущих доказательствах, используемых в суде, хотя «целевая» корреляционная атака использовалась в качестве подтверждающего доказательства — подозреваемый уже был идентифицирован, что позволило следователям сопоставить их наблюдаемый след с определенной онлайн-активностью. В частности, они сопоставили сетевой трафик Tor, исходящий из дома подозреваемого, со временем, когда его анонимный псевдоним был онлайн в чатах.

Чтобы объяснить, как это работает, будет полезно, если у вас есть базовое понимание того, какая информация Tor видна различным третьим лицам — см. интерактивную графику EFF . Для нецелевой корреляционной атаки следователю нужно будет начать с узла выхода Tor : взять конкретную онлайн-активность, исходящую из узла выхода, и попытаться сопоставить ее с огромным объемом глобальных данных, которые поступают на узлы входа Tor. Однако, если подозреваемый уже идентифицирован, следователь может вместо этого провести «целевую» корреляционную атаку и начать с узла входа Tor : взять данные, входящие на узел входа (через физический или цифровой след подозреваемого ), и попытаться сопоставить их с конкретной онлайн-активностью, исходящей из узла выхода.

Для вашего физического следа операция по наблюдению может наблюдать, как вы регулярно ходите в кафе, а затем попытаться сопоставить это с онлайн-активностью, в которой они вас подозревают (например, если они подозревают, что вы модератор веб-сайта, они могут попытаться сопоставить эти временные окна с активностью модератора веб-сайта). Для вашего цифрового следа , если вы используете Интернет из дома, следователь может наблюдать за всем вашим трафиком Tor, а затем попытаться сопоставить это с онлайн-активностью, в которой они вас подозревают. Для вашей конкретной онлайн-активности более сложный анализ будет включать регистрацию подключений к серверу для подробного сравнения, а простой анализ будет чем-то, что будет публично видно всем (например, когда ваш псевдоним находится в сети в чате или когда пост публикуется на веб-сайте).

Вы можете смягчить воздействие методов, доступных могущественным противникам, отдавая приоритет ссылкам .onion, когда они доступны , принимая во внимание возможность целенаправленного наблюдения и используя подключение к Интернету, которое не привязано к вашей личности .

Интернет-соединение, не привязанное к вашей личности

Использование интернет-соединения, не привязанного к вашей личности, означает, что если атака на сеть Tor будет успешной, она все равно не деанонимизирует вас. У вас есть два варианта: использовать Wi-Fi из общественного места (например, пойти в кафе без камер видеонаблюдения) или использовать антенну Wi-Fi через окно из частного пространства.

Работа в общественном месте

Если вам нужно использовать Интернет нерегулярно, например, чтобы отправить коммюнике или провести исследование действий, вы можете выполнить обнаружение слежки и антислежку перед тем, как пойти в кофейню , точно так же, как вы это делаете перед прямым действием. См. «Как отправить анонимное коммюнике и избежать наказания» для получения дополнительной информации о том, что включает в себя отправка коммюнике.

При использовании Wi-Fi в общественных местах следует учитывать следующие соображения безопасности:

Время имеет значение. Если вы хотите отправить отчет на следующее утро после беспорядков или коммюнике вскоре после акции (время, когда может быть более высокий риск целенаправленного наблюдения), рассмотрите возможность подождать. В 2010 году, на следующее утро после поджога банка в Канаде, полиция следила за подозреваемым, когда он шел из дома в интернет-кафе, и наблюдала, как он размещал коммюнике, а затем закапывал ноутбук в лесу. Совсем недавно следователи, осуществлявшие физическое наблюдение за
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
установили скрытую камеру для контроля доступа в интернет-кафе недалеко от дома товарища и запросили записи видеонаблюдения за день, когда было отправлено коммюнике о поджоге.
Не входите в привычку посещать одни и те же кафе снова и снова, если можете этого избежать. Чем чаще вы пользуетесь пространством, тем больше Интернет привязан к вашей личности. Кроме того, если слежка знает, куда вы направляетесь, антислежка не будет эффективной.
Если вам нужно купить кофе, чтобы получить пароль от Wi-Fi, платите наличными!
Встаньте спиной к стене, чтобы никто не мог «залезть на плечо», чтобы увидеть ваш экран, и в идеале установите на свой ноутбук экран конфиденциальности . Если вы пишете коммюнике в офлайн-сессии Tails перед походом в общественное пространство, вам понадобится всего несколько минут, чтобы запереться в общественном туалете, чтобы отправить его.
Если кафе без камер видеонаблюдения встречаются редко, вы можете попробовать получить доступ к Wi-Fi кофейни снаружи, вне зоны действия камер.
Поддерживайте ситуационную осведомленность и будьте готовы вытащить USB-накопитель Tails, чтобы выключить компьютер в любой момент. Очень сложно поддерживать адекватную ситуационную осведомленность, оставаясь сосредоточенным на сеансе Tails — подумайте о том, чтобы попросить близкого друга пообщаться с вами, который может посвятить себя присмотру за вашим окружением. Если USB-накопитель Tails извлечен, Tails выключится и перезапишет оперативную память случайными данными . Все USB-накопители LUKS, которые были разблокированы в сеансе Tails, теперь будут снова зашифрованы. Обратите внимание, что Tails предупреждает : «Физически извлекайте USB-накопитель только в случае чрезвычайной ситуации, так как это иногда может привести к поломке файловой системы постоянного хранилища».
- У одного человека, отвечающего за рынок даркнета, изъяли компьютер Tails, когда он отвлекся на фальшивую драку рядом с ним. Подобная тактика использовалась и в других полицейских операциях . Если бы его USB-накопитель Tails был прикреплен к поясу с помощью короткого куска лески, полиция, скорее всего, потеряла бы все улики, когда USB-накопитель Tails был бы вытащен. Более техническим эквивалентом является BusKill — однако мы рекомендуем покупать его только лично или распечатывать на 3D-принтере . Это связано с тем, что любое письмо может быть перехвачено и изменено, что сделает оборудование вредоносным .

Работа из личного пространства

Если вам нужно регулярно пользоваться Интернетом для таких проектов, как модерирование веб-сайта или взлом, то переход на новое место Wi-Fi после принятия контрмер наблюдения может быть нереалистичным на ежедневной основе. Кроме того, главным приоритетом полиции будет изъятие компьютера, пока он не зашифрован, и им гораздо проще этого добиться в общественном месте, особенно если вы одни. В этом сценарии идеальным смягчением является использование антенны Wi-Fi, расположенной за окном в частном пространстве, для доступа с расстояния в несколько сотен метров — физическое наблюдение не заметит, как вы входите в кафе, или не сможет легко изъять ваш включенный ноутбук, а цифровое наблюдение не заметит ничего в вашем домашнем Интернете. Чтобы защититься от скрытых камер , вам все равно следует быть осторожным с тем, где вы размещаете свой экран.

Если антенна Wi-Fi слишком техническая для вас, вы можете даже захотеть использовать свой домашний интернет для некоторых проектов, требующих частого доступа в интернет. Это противоречит предыдущему совету не использовать интернет-соединение, привязанное к вашей личности. Это компромисс: использование Tor из дома позволяет избежать создания физического следа, который так легко наблюдать, за счет создания цифрового следа, который более техничен для наблюдения и из которого может быть сложнее сделать осмысленные выводы. Существует два основных риска деанонимизации, которые следует учитывать при использовании домашнего интернета: что противник деанонимизирует вас с помощью атаки корреляции Tor или что он деанонимизирует вас, взломав вашу систему (например, с помощью фишинга ), что позволяет им обойти Tor . Чтобы сделать обе эти атаки более сложными, мы рекомендуем подключаться к VPN перед подключением к Tor (т. е.

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

) при использовании Tails из дома, что требует запуска VPN с вашего сетевого устройства (маршрутизатора или аппаратного брандмауэра). Более подробную информацию об обосновании см. в Руководствах по конфиденциальности .

Подводя итог

Для деликатной и нерегулярной интернет-активности используйте интернет-подключение из случайного кафе, которому предшествует обнаружение слежки и антислежка. Для действий, требующих ежедневного доступа в Интернет, так что принятие мер противодействия слежке и поиск нового кафе нереальны, лучше всего использовать антенну Wi-Fi. Если это слишком технически для вас, то можно использовать домашний Wi-Fi, но для этого нужно доверять устойчивости Tor к корреляционным атакам, мерам, которые вы принимаете против взлома, и вашему VPN-провайдеру.

Снижение рисков при использовании ненадежных компьютеров

Tails может безопасно работать на компьютере, на котором есть вирус. Но Tails не всегда может защитить вас, когда:

Установка с зараженного компьютера

Запуск Tails на компьютере с неисправной BIOS, прошивкой или оборудованием

1. Установка с зараженного компьютера

Эту первую проблему можно решить, используя для установки Tails компьютер, которому вы доверяете :

Согласно нашим рекомендациям , в идеале это должна быть система
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
, так как ее гораздо сложнее заразить, чем обычный компьютер Linux.
Используйте метод установки "Terminal" "Debian или Ubuntu с использованием командной строки и GnuPG" , так как он более тщательно проверяет целостность загрузки с использованием GPG . Если использование
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
для вас непонятно, изучите основы командной строки с помощью Linux Essentials и см. Приложение ниже .
После установки не подключайте USB-накопитель Tails (или любые USB-накопители
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
, используемые во время сеансов Tails) к другим компьютерам; если компьютер заражен, инфекция может распространиться на USB-накопитель .

2. Запуск Tails на компьютере с поврежденным BIOS, прошивкой или оборудованием

Эта вторая проблема требует нескольких смягчений. Давайте начнем с нескольких определений.

Программное обеспечение — это инструкции для компьютера, записанные в «коде».
Аппаратное обеспечение — это физический компьютер, который вы используете.
Прошивка — это низкоуровневое программное обеспечение, встроенное в часть оборудования; вы можете просто думать о нем как о связующем звене между оборудованием и высокоуровневым программным обеспечением операционной системы. Его можно найти в нескольких различных компонентах (жесткие диски, USB-накопители, графический процессор и т. д.).
BIOS — это специальная прошивка, встроенная в аппаратную часть «материнской платы» и отвечающая за загрузку компьютера при нажатии кнопки питания.

У наших противников есть две категории векторов атак: физические атаки (через физический доступ) и удаленные атаки (через удаленный доступ к Интернету). Противник с физическим доступом может скомпрометировать программное обеспечение (например, заменив операционную систему вредоносной версией), оборудование (например, добавив кейлоггер) и прошивку (например, заменив BIOS вредоносной версией). Противник с удаленным доступом начинает со взлома вас (компрометация программного обеспечения), а затем может перейти к компрометации прошивки.

Если злоумышленник взломал аппаратное обеспечение или прошивку ноутбука, это также поставит под угрозу сеанс Tails, поскольку операционная система будет работать на вредоносной основе.

Не всем нужно применять все советы ниже. Например, если вы используете Tails только для анонимного просмотра веб-страниц и письменной переписки, некоторые из них могут оказаться излишними. Однако если вы используете Tails для подачи заявления о действиях, которые в высокой степени криминализированы, более тщательный подход, вероятно, будет уместен.

Для смягчения последствий физических атак:

Во-первых, купите новый компьютер . Ноутбук из случайного восстановленного компьютерного магазина вряд ли уже скомпрометирован . Покупайте компьютер за наличные, чтобы его нельзя было отследить до вас, и лично, потому что почту можно перехватить — подержанный Thinkpad — дешевый и надежный вариант. Лучше всего использовать Tails с выделенным ноутбуком, что не позволит злоумышленнику нацелиться на прошивку через менее защищенную операционную систему или через ваши обычные неанонимные действия. Еще одна причина иметь выделенный ноутбук заключается в том, что если что-то в Tails сломается, любая информация, которая просочится и раскроет ноутбук, не будет автоматически связана с вами и вашей повседневной деятельностью на компьютере.

Сделайте винты ноутбука защищенными от несанкционированного доступа, храните его в защищенном от несанкционированного доступа состоянии и следите за взломами . Приняв эти меры предосторожности, вы сможете обнаружить любые будущие физические атаки. Ознакомьтесь с руководством «Сделайте вашу электронику защищенной от несанкционированного доступа», чтобы адаптировать винты вашего ноутбука, используйте какую-либо форму обнаружения вторжений и храните ноутбук должным образом. Храните все внешние устройства, которые вы будете использовать с ноутбуком, таким же образом (USB, внешний жесткий диск, мышь, клавиатура). Когда физические векторы атак смягчены, злоумышленник может использовать только удаленные атаки.

Для защиты от удаленных атак:

Используйте Wi-Fi, не связанный с вашей личностью . Мы рекомендуем это не только для защиты от деанонимизации, но и для защиты от взлома. Лучше никогда не использовать выделенный ноутбук Tails на вашем домашнем Wi-Fi. Это делает ноутбук гораздо менее доступным для удаленного злоумышленника, чем ноутбук, который регулярно подключен к вашему домашнему Wi-Fi. Злоумышленнику, нацелившемуся на вас, нужна отправная точка, и ваш домашний Wi-Fi — довольно хорошая точка.
Извлеките жесткий диск — это проще, чем кажется. Если вы покупаете ноутбук, вы можете попросить магазин сделать это и потенциально сэкономить немного денег. Если вы ищете на YouTube «извлечь жесткий диск» для вашей конкретной модели ноутбука, вероятно, будет обучающее видео. Убедитесь, что вы извлекли аккумулятор ноутбука и отсоединили шнур питания. Мы извлекаем жесткий диск, чтобы полностью удалить прошивку жесткого диска, которая, как известно, была скомпрометирована хакерами . Жесткий диск является частью поверхности атаки, и он не нужен в рабочей системе, такой как Tails, которая работает с USB.
Подумайте о том, чтобы удалить интерфейс Bluetooth, камеру и микрофон , хотя это более сложно — вам понадобится руководство пользователя для вашей модели ноутбука. Камеру можно, по крайней мере, «отключить», наклеив на нее наклейку. Микрофон часто подключается к материнской плате через разъем — в этом случае просто отключите его. Если это не очевидно или если разъема нет, так как кабель припаян непосредственно к материнской плате, или если разъем нужен для других целей, отрежьте кабель микрофона плоскогубцами. Тот же метод можно использовать для постоянного отключения камеры. Также можно использовать Tails на выделенном «офлайн» компьютере, удалив также сетевую карту. Некоторые ноутбуки имеют переключатели на корпусе, которые можно использовать для отключения беспроводных интерфейсов, но для «офлайн» компьютера предпочтительнее фактически удалить сетевую карту.
Установите целостность загрузки, заменив BIOS на
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
. Исследователи безопасности продемонстрировали атаку на прошивку BIOS пользователя Tails, что позволило им украсть ключи GPG и электронные письма. К сожалению, BIOS нельзя удалить, как жесткий диск. Он необходим для включения ноутбука, поэтому его необходимо заменить прошивкой с открытым исходным кодом . Это сложный процесс, поскольку он требует открытия компьютера и использования специальных инструментов. Большинство анархистов не смогут сделать это самостоятельно, но, надеюсь, в ваших сетях найдется доверенный человек, который сможет настроить его для вас. Проект называется Heads, потому что это другая сторона Tails — где Tails защищает программное обеспечение, Heads защищает прошивку. Он имеет ту же цель, что и Verified Boot, найденный в GrapheneOS, который устанавливает полную цепочку доверия от оборудования. Heads имеет ограниченную совместимость , поэтому имейте это в виду при покупке ноутбука, если вы планируете установить его — мы рекомендуем ThinkPad X230, потому что его установка менее сложна, чем у других моделей. Процессоры этого поколения способны эффективно удалять Intel Management Engine при перепрошивке Heads, но это не относится к более поздним поколениям процессоров на новых компьютерах. Heads можно настроить для проверки целостности и подлинности USB-накопителя Tails —
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
, предотвращая его загрузку, если он был подделан. Heads защищает от физических и удаленных классов атак на прошивку BIOS и программное обеспечение операционной системы! Если Heads когда-либо обнаружит подделку, вы должны немедленно рассматривать устройство как ненадежное. Криминалистический анализ может выявить, как произошла компрометация, что поможет предотвратить ее повторение. Вы можете связаться со службой, например, с горячая линия по цифровой безопасности Access Now , хотя мы рекомендуем не отправлять им никаких персональных данных.
Используйте USB-накопители с защищенной прошивкой , например Kanguru FlashTrust , чтобы USB-накопитель перестал работать , если прошивка будет скомпрометирована. Kanguru имеет розничных продавцов по всему миру , что позволяет вам покупать их лично, чтобы избежать риска перехвата почты.
Запустите Tails с USB-накопителя с физическим переключателем защиты от записи .

Использование переключателя защиты от записи

Что такое переключатель защиты от записи ? Когда вы вставляете обычный USB в компьютер, компьютер выполняет операции чтения и записи с ним, а операция записи может изменить данные на USB. Некоторые специальные USB, разработанные для анализа вредоносных программ, имеют физический переключатель, который может заблокировать USB, так что данные могут быть прочитаны с него, но никакие новые данные не могут быть записаны на него.

Если на вашем USB-накопителе Tails есть переключатель защиты от записи, такой как

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, когда переключатель заблокирован, вы защищены от злоумышленника, скомпрометировавшего программное обеспечение Tails, хранящееся на USB-накопителе. Это критически важно. Чтобы скомпрометировать ваш USB-накопитель Tails, злоумышленнику необходимо иметь возможность записывать на него. Это означает, что даже если сеанс Tails заражен вредоносным ПО, ваш USB-накопитель Tails неизменяем, поэтому компрометация не может быть перенесена на последующие сеансы Tails («устойчивость вредоносного ПО») путем изменения файлов операционной системы. Единственный другой способ установить «устойчивость вредоносного ПО» — это компрометация прошивки, которую вы уже смягчили.

Обратите внимание, что прошивка Heads делает переключатель защиты от записи ненужным, поскольку его можно настроить на проверку целостности и подлинности USB-накопителя Tails перед загрузкой.

Если вы не используете Heads и не можете приобрести USB-накопитель с переключателем защиты от записи, у вас есть три варианта.

Установите Tails на SD-карту и используйте адаптер USB 3.0 для SD-карты, поскольку SD-карты оснащены переключателем защиты от записи.
Записывайте Tails на новый DVD-R/DVD+R (записывайте один раз) для каждой новой версии Tails — это довольно неудобно. Не используйте DVD с маркировкой "DVD+RW" или "DVD+RAM", которые можно перезаписать.
Загрузите Tails с toramопцией, которая полностью загружает Tails в память. Извлеките USB-накопитель Tails в начале сеанса, прежде чем что-либо делать (будь то подключение к Интернету или подключение другого USB-накопителя), а затем используйте Tails как обычно. То, как вы используете toramопцию, зависит от того, загружается ли ваш USB-накопитель Tails с помощью SYSLINUX или GRUB .
- Для SYSLINUX, когда появится экран загрузки, нажмите Tab и введите пробел. Введите toramи нажмите Enter.
- Для GRUB, когда появится экран загрузки, нажмите eи используйте стрелки клавиатуры, чтобы перейти к концу строки, которая начинается с linux. Строка, вероятно, перенесена и отображается в несколько строк, но это одна строка конфигурации. Введите toramи нажмите F10 или Ctrl+X.

Разблокировка переключателя

На USB с переключателем защиты от записи вы не сможете вносить какие-либо изменения в Tails USB, когда переключатель заблокирован. Если вы можете вносить изменения, то и вредоносное ПО может. Есть только два случая, когда переключатель должен быть разблокирован:

1. Для специального сеанса обновления.

Если вам нужно обновить Tails, вы можете сделать это в специальном сеансе с разблокированным переключателем — это необходимо, поскольку обновление должно быть записано на USB-накопитель Tails. После того, как вы закончите, вам следует перезапустить Tails с заблокированным переключателем.

2. Для выделенного сеанса настройки, если вы решили использовать постоянное хранилище.

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

— это функция Tails, которая позволяет переносить данные между сеансами, которые в противном случае были бы амнезией, сохраняя данные на самом USB-накопителе Tails. Поскольку Persistent Storage требует записи на USB-накопитель Tails, его обычно непрактично использовать с переключателем защиты от записи. Альтернативой переключателю защиты от записи является использование Heads — Heads проверяет подлинность и целостность USB-накопителя Tails с помощью цифровой подписи при загрузке, и это делает запись на USB-накопитель Tails безопасной, поэтому Persistent Storage будет работать так, как и ожидалось.

Еще одна причина избегать использования функций постоянного хранения заключается в том, что многие из них хранят персональные данные на USB-накопителе Tails. Если ваш сеанс Tails скомпрометирован, данные, к которым вы получаете доступ во время этого сеанса, могут быть использованы для связывания ваших действий. Если на USB-накопителе Tails есть персональные данные, такие как почтовый ящик электронной почты, разделение сеансов Tails больше невозможно, когда постоянное хранилище разблокировано . Чтобы добиться разделения с разблокированным постоянным хранилищем, вам понадобится выделенный USB-накопитель Tails для каждой личности, и обновление их всех каждый месяц будет большой работой.

Однако вы можете захотеть использовать некоторые функции Persistent Storage, которые не хранят персональные данные, например, дополнительную функцию программного обеспечения. Для этого требуется разблокировать переключатель для выделенного сеанса конфигурации Persistent Storage:

Запустите «разблокированный» сеанс, создайте постоянное хранилище с включенным дополнительным программным обеспечением, установите дополнительное программное обеспечение и выберите «Устанавливать каждый раз» при появлении соответствующего запроса.
Теперь, когда настройка завершена, перезапустите Tails в «заблокированном» сеансе, прежде чем фактически использовать программное обеспечение. Не устанавливайте пароль администратора, который требуется только во время первоначальной установки. В «заблокированном» сеансе ни один из файлов, с которыми вы работаете, не сохраняется на USB-накопителе Tails, поскольку он «заблокирован», но теперь дополнительное программное обеспечение настроено на установку каждый раз, когда вы вводите пароль постоянного хранилища на экране приветствия. Чтобы иметь «заблокированный» сеанс с постоянным хранилищем, переключатель USB необходимо перевести в положение «только чтение» после получения уведомления «Дополнительное программное обеспечение успешно установлено» (и до подключения к Интернету).

Функция постоянного хранения недоступна при использовании DVD или toramварианта загрузки.

USB-накопители с персональными данными

Где мы можем хранить персональные данные для использования между сеансами Tails, если переключатель защиты от записи не позволяет нам использовать постоянное хранилище? Мы рекомендуем хранить персональные данные на втором USB-накопителе LUKS. Этот USB-накопитель с «персональными данными» не должен выглядеть идентично USB-накопителю Tails, чтобы избежать путаницы. Чтобы создать этот отдельный USB-накопитель, см. раздел Как создать зашифрованный USB-накопитель . Если вы читаете это из такой страны, как Великобритания, где непредоставление паролей шифрования может привести вас в тюрьму, этот второй диск должен быть жестким диском, содержащим скрытый том Veracrypt (накопители SSD и USB не подходят для скрытых томов ).

Подход к компартментализации, обсуждавшийся выше, аккуратно разделяет разные личности, используя отдельные сеансы Tails для отдельных видов деятельности — например, в сеансе Tails № 1 вы занимаетесь модерацией веб-сайта, а в сеансе Tails № 2 вы занимаетесь исследовательской деятельностью. Этот подход имеет последствия для того, как вы организуете свои USB-накопители «персональных данных». Если сохраняемые вами файлы могут использоваться для связывания ваших видов деятельности, используйте разные USB-накопители «персональных данных» для каждого вида деятельности.

Если USB-накопитель с «личными данными» используется для сохранения очень конфиденциальных файлов (например, текста коммюнике), лучше всего перезаписать и уничтожить USB-накопитель, как только файлы вам больше не понадобятся (см. Реальное удаление данных с USB-накопителя ). Это еще одна причина использовать отдельный USB-накопитель для любых файлов, которые необходимо сохранить — вы не накапливаете криминалистическую историю всех своих файлов в своем постоянном хранилище Tails, и вы можете легко уничтожить эти USB-накопители с «личными данными» по мере необходимости.

Если вы уже используете Tails и зашифрованную электронную почту, вы, возможно, знакомы с функцией постоянного хранилища Thunderbird для вашего почтового ящика и ключей PGP. Эта функция не будет работать при включенном переключателе защиты от записи. Вместо использования постоянного хранилища для электронной почты просто войдите в Thunderbird с помощью IMAP в каждом новом сеансе. Ключи PGP можно хранить на USB-накопителе «персональных данных», как и любой другой файл, и импортировать при необходимости с помощью «Диспетчера ключей OpenPGP» Thunderbird (Файл → Импортировать открытый ключ(и) из файла / Импортировать секретный ключ(и) из файла). Преимущество такого подхода в том, что если правоохранительным органам удастся обойти LUKS, они все равно не получат доступ к вашему почтовому ящику, не зная пароля вашей электронной почты.

Осведомленность о фишинге

Давайте вернемся к теме того, как злоумышленник будет проводить удаленную атаку, нацеленную на вас или ваш проект с целью взлома; ответ, скорее всего, «фишинг» . Фишинг — это когда злоумышленник создает электронное письмо (или сообщение в приложении), чтобы обманом заставить вас раскрыть информацию или внедрить вредоносное ПО на ваш компьютер. Целевой фишинг — это когда злоумышленник провел некоторую разведку и использует уже известную ему информацию о вас, чтобы адаптировать свою фишинговую атаку.

Фишинг работает только в том случае, если у злоумышленника есть способ отправить вам сообщение: вам не нужно беспокоиться об этом векторе атаки для таких действий, как отправка коммюнике или проведение исследований действий, но он актуален для проектов, ориентированных на общественность, которые имеют канал связи. Имейте в виду, что поле «от» в электронных письмах может быть подделано, чтобы обмануть вас —

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

смягчает это, доказывая, что электронное письмо действительно от того, от кого вы ожидаете его получить.

Вы, вероятно, слышали совет скептически относиться к переходу по ссылкам и открытию вложений — вот почему. Успех фишинга зависит от ваших действий, поэтому ваша осведомленность — лучшая защита.

Вредоносный файл или ссылка работает , выполняя код на вашем компьютере. Для вредоносных файлов код выполняется при открытии файла. Для вредоносных ссылок код выполняется при посещении веб-сайта, обычно с помощью JavaScript. Цель выполнения этого кода — предоставить точку входа («начальный доступ») для заражения вашего компьютера вредоносным ПО.

Tails защищает от вредоносного ПО, деанонимизирующего вас, принудительно направляя все интернет-соединения через сеть Tor. Однако, как только противник получит «начальный доступ», он попытается продолжить свою атаку;

чтобы сделать инфекцию стойкой ,
установить экран или кейлоггер ,
чтобы извлечь ваши данные ,
для достижения «повышения привилегий»

Повышение привилегий (т.е. переход от непривилегированного пользователя к администратору в системе) обычно необходимо для обхода Tor. Tails не имеет пароля администратора по умолчанию (его нужно установить на экране приветствия сеанса, если необходимо), чтобы затруднить «повышение привилегий».

Последний аудит Tails обнаружил несколько «уязвимостей повышения привилегий» и даже уязвимость, которая выдавала IP-адрес непривилегированного пользователя. Если устойчивость к атакам вредоносного ПО является важной частью вашей модели угроз, см. Когда использовать Tails против Qubes OS .

Файлы

В 2017 году ФБР и Facebook совместно разработали вредоносный видеофайл , который деанонимизировал пользователя Tails после того, как он открыл его, используя домашний Wi-Fi.

Для ненадежных вложений вам в идеале следует использовать Dangerzone для очистки всех отправленных вам файлов перед их открытием . Dangerzone берет ненадежные PDF-файлы, офисные документы или изображения и превращает их в надежные PDF-файлы. Ознакомьтесь с документацией по установке Dangerzone на Tails — к сожалению, в настоящее время для этого требуется использовать командную строку .

Если вы не используете Dangerzone, лучше всего открывать ненадежные файлы в выделенном сеансе Tails «офлайн-режима» . Это предотвратит выполнение кода от установления удаленного соединения с противником, что обычно необходимо для продолжения атаки. Немедленное завершение сеанса после этого минимизирует вероятность сохранения вредоносного ПО. Однако, если вы не используете Dangerzone для очистки файлов, они останутся ненадежными.

Ссылки

При использовании ненадежных ссылок вам необходимо защищать две вещи: свою анонимность и свою информацию.

Лучше всего открывать ненадежные ссылки в выделенном сеансе Tails без разблокированного постоянного хранилища или подключенных USB-накопителей с «личными данными». Вы можете поместить ссылку на Riseup Pad, чтобы получить к ней доступ.
Используйте Tor Browser с настройкой Safest ! Подавляющее большинство эксплойтов против Tor Browser не будут работать с настройкой Safest.
Скопируйте и вставьте адрес вручную в браузер и повторно введите домен . Например, после вставки ссылки anarsec.guide/posts/tailsповторно введите anarsec.guideсебя. Не переходите по гиперссылке (т. е. всегда копируйте и вставляйте), так как это может ввести вас в заблуждение относительно того, куда вы направляетесь. Повторный ввод домена защищает от «типосквоттинга» (mailriseup.net вместо mail.riseup.net), а также от «омографических атак» (когда кириллические буквы заменяются обычными буквами).
Никогда не переходите по сокращенной ссылке (например, сайт типа bit.ly, который берет длинные веб-адреса и делает короткие), потому что их невозможно проверить перед перенаправлением.
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
может раскрыть сокращенные ссылки.
Если вы не узнаете домен, исследуйте его . Найдите домен с доменным именем в кавычках, используя поисковую систему, сохраняющую конфиденциальность (например, DuckDuckGo), чтобы узнать, является ли это законным веб-сайтом. Это не надежное решение, но это хорошая мера предосторожности.
Не вводите никакую идентификационную информацию на веб-сайте . Если вы переходите по ссылке из электронного письма и вас просят войти в систему, знайте, что это обычная концовка фишинговых кампаний. Вместо этого вручную перейдите на веб-сайт службы, к которой вы пытаетесь получить доступ, и войдите там. Таким образом, вы будете знать, что входите на нужный веб-сайт, поскольку вы сами ввели адрес, а не доверять ссылке в электронном письме.

Атаки на водопои

Злоумышленник также может скомпрометировать «доверенный» веб-сайт — это позволяет ему устанавливать вредоносное ПО на компьютеры любого, кто посещает веб-сайт, без необходимости заниматься фишингом. Это называется «атакой watering hole» или «компрометацией drive-by», потому что она атакует многих людей одновременно. Например, ФБР взломало веб-сайт, а затем использовало эксплойт Tor Browser , чтобы взломать 8000 пользователей, которые его посетили.

Вот почему важно использовать в браузере Tor Browser настройку безопасности «Наиболее безопасный» по умолчанию, даже для «доверенных» веб-сайтов, чтобы значительно снизить риск успешной атаки вредоносного ПО на браузер Tor.

Шифрование

Пароли

Шифрование — единственное, что стоит на пути наших злоумышленников к чтению всех наших данных, если оно используется правильно. Первый шаг к обеспечению безопасности вашего шифрования — убедиться, что вы используете очень надежные пароли — большинство паролей не нужно запоминать, поскольку они хранятся в менеджере паролей KeePassXC, поэтому они могут быть абсолютно случайными. Никогда не используйте пароль повторно для нескольких целей («рециркуляция паролей») — KeePassXC упрощает хранение уникальных паролей, предназначенных для одной цели. Чтобы узнать, как использовать KeePassXC, см. Менеджер паролей .

В терминологии KeePassXC пароль — это случайная последовательность символов (букв, цифр и других символов), а парольная фраза — это случайная последовательность слов.

Шифрование

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

эффективно только тогда, когда устройство выключено — когда устройство включено, пароль можно извлечь из памяти. Злоумышленники могут попытаться провести атаку методом подбора пароля с использованием огромных объемов облачных вычислений . Новая версия LUKS (LUKS2 с использованием Argon2id) менее уязвима для атак методом подбора пароля — это значение по умолчанию для Tails 6.0 и Qubes OS 4.1. Если вы хотите узнать больше об этом изменении, мы рекомендуем обзор Systemli или dys2p .

Надежность пароля измеряется в « битах энтропии ». Ваши пароли/парольные фразы в идеале должны иметь энтропию около 128 бит (парольные фразы Diceware из десяти слов или пароль из 21 случайного символа , включая заглавные, строчные буквы, цифры и символы) и не должны иметь менее 90 бит энтропии (парольные фразы Diceware из семи слов).

Что такое парольная фраза Diceware? Как отмечает Privacy Guides , «парольные фразы Diceware являются отличным вариантом, когда вам нужно запомнить или вручную ввести свои учетные данные, например, главный пароль вашего менеджера паролей или пароль шифрования вашего устройства. Примером парольной фразы Diceware является viewable fastness reluctant squishy seventeen shown pencil». Функция генератора паролей в KeePassXC может генерировать парольные фразы Diceware и случайные пароли. Если вы предпочитаете генерировать парольные фразы Diceware с использованием настоящих игральных костей, см.
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
.

Общие рекомендации

Запомните парольные фразы Diceware из 7–10 слов для всего, что вам нужно будет ввести, прежде чем вы получите доступ к разблокированной базе данных KeePassXC (другими словами, парольную фразу для полного шифрования диска и главную парольную фразу KeePassXC).
Сгенерируйте пароли из 21 случайного символа для всего, что может храниться в базе данных KeePassXC. Сохраняйте резервную копию вашей базы данных KeePassXC вне офиса на случай, если она будет повреждена или изъята.

Кончик
Ваши запомненные пароли Diceware могут легко забыться, если у вас есть несколько, за которыми нужно следить, особенно если вы используете какие-либо из них нечасто. Чтобы снизить риск того, что вы навсегда забудете пароль Diceware, вы можете использовать Tails для хранения всех «запомненных» паролей на USB-накопителе LUKS, а затем хранить его вне места, где его не смогут найти во время полицейского рейда. Вы должны быть в состоянии восстановить пароль LUKS этого USB-накопителя, если прошло много времени. См. Библиотеку угроз для двух различных подходов, которые вы можете использовать: один полагается на доверенного товарища, а другой является самодостаточным. Как и в случае со всеми важными резервными копиями, у вас должно быть как минимум два.

Парольные фразы Tails

Для Tails вам необходимо запомнить две парольные фразы:

Парольная фраза USB- накопителя «персональных данных» LUKS , где хранится ваш файл KeePassXC.
Парольная фраза KeePassXC

Если вы используете постоянное хранилище, это еще одна парольная фраза, которую вам придется ввести на экране приветствия во время загрузки, но она может быть такой же, как пароль LUKS. Выключайте Tails всякий раз, когда вы отходите от компьютера более чем на несколько минут.

Зашифрованные тома

LUKS — это здорово, но глубокая защита не повредит. Если полиция конфискует ваш USB-накопитель во время обыска дома, они попробуют использовать различные тактики, чтобы обойти аутентификацию , поэтому второй уровень защиты с другой реализацией шифрования может быть полезен для особо конфиденциальных данных.

Установка SiriKali

SiriKali — это программа для зашифрованных томов, которая использует gocryptfs за кулисами. Она доступна в репозитории Debian и может быть легко установлена как дополнительное программное обеспечение . В Synaptic установите и sirikali, и gocryptfs (если вы чувствуете себя комфортно в командной строке , вы можете использовать gocryptfs напрямую, и вам на самом деле не нужен sirikali). Если вы не хотите переустанавливать SiriKali в каждом сеансе, вам нужно будет настроить Дополнительное программное обеспечение в Постоянном хранилище .

Создание зашифрованного тома

При использовании SiriKali для создания тома будут созданы два новых каталога: «зашифрованный» каталог, в котором фактически хранятся зашифрованные файлы ( VolumeName/на вашем USB-накопителе с «персональными данными»), и «обычный» каталог, в котором вы получите доступ к расшифрованному тому после его монтирования ( /home/amnesia/.SiriKali/VolumeName).

Подключите USB-накопитель с «личными данными», на котором вы будете хранить этот зашифрованный том, и введите его парольную фразу LUKS.
Затем в SiriKali нажмите «Создать том» и выберите опцию «gocryptfs».
- Вам будет предложено ввести пароль. Создайте новую запись в файле KeepassXC и сгенерируйте пароль с помощью функции «Сгенерировать пароль» (значок игральной кости).
- Для параметра «Путь к тому» выберите USB-накопитель «личные данные», который вы только что разблокировали.

Доступ к вашему зашифрованному тому

Когда вы захотите расшифровать том, нажмите «Монтировать том»:

Это происходит автоматически при создании тома.
Теперь вы можете добавлять файлы в смонтированный том: щелкните правой кнопкой мыши по тому и выберите «Открыть папку».
- Вы можете проверить работу SiriKali, создав тестовый файл здесь. Этот файл будет отображаться в зашифрованном виде в каталоге cipher.
Закончив, щелкните правой кнопкой мыши том и выберите «Отключить».

Прежде чем сохранять важные файлы в томе, следует провести тестирование, чтобы убедиться, что он работает так, как ожидается, особенно если вы используете его впервые.

Зашифрованная связь

Электронная почта PGP — наиболее устоявшаяся форма зашифрованной коммуникации на Tails в анархистском пространстве. К сожалению, PGP не имеет прямой секретности — то есть, один секрет (ваш закрытый ключ) может расшифровать все сообщения, а не только одно сообщение, что является стандартом в зашифрованных сообщениях сегодня. Это противоположность «защите метаданных» и имеет несколько других недостатков .

Для синхронных и асинхронных сообщений мы рекомендуем

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, если только это не анонимный публичный проект, в этом случае мы все равно рекомендуем PGP. Для получения дополнительной информации см. Encrypted Messaging For Anarchists .

В заключение

Использование Tails без этих советов все равно является огромным улучшением по сравнению со многими другими вариантами. Учитывая, что анархисты регулярно доверяют свою свободу Tails, принятие этих дополнительных мер предосторожности может еще больше укрепить ваше доверие к этой операционной системе.

Приложение: Объяснение GPG

Большинству пользователей Linux редко понадобится интерфейс командной строки . Если вы используете Tails, он вам вообще не понадобится, хотя для более безопасной установки вам понадобятся следующие команды :

wget: это позволяет загружать файлы из Интернета с помощью командной строки (а не веб-браузера)
gpg: обрабатывает операции шифрования GPG . Используется для проверки целостности и подлинности загрузки Tails.
apt: управляет пакетами в Debian.
dd: копирует файл с одного диска на другой.

Использование gpgTails во время установки будет менее запутанным, если вы поймете, как он работает.

Сначала немного пояснений.

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

— это термины, которые можно использовать взаимозаменяемо; PGP (Pretty Good Privacy) — это стандарт шифрования, а GPG (GNU Privacy Guard) — это программа, которая его реализует. PGP/GPG также используется для зашифрованной электронной переписки ), но мы используем его здесь только для проверки целостности и подлинности файлов.

GPG — классический пример криптографии с открытым ключом . GPG предоставляет криптографические функции для шифрования , дешифрования и подписи файлов; нас здесь интересует цифровая подпись файлов. Команда Tails подписывает цифровыми подписями свои релизы .img. GPG дает нам возможность проверить, что файл действительно был «подписан» разработчиками, что позволяет нам быть уверенными в том, что он не был подделан.

Теперь вам нужно понять основы криптографии с открытым ключом.

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

содержит отличный обзор с наглядными пособиями. Подводя итог, можно сказать, что для подписи сообщений используется секретный/закрытый ключ , и только пользователь, у которого есть этот ключ, может это сделать. Каждому закрытому ключу соответствует открытый ключ — это называется парой ключей . Открытый ключ передается всем и используется для проверки подписи.

Tails подписывает свои релизы, и только они могут это сделать, потому что только у них есть их закрытый ключ. Однако я могу проверить, что эта подпись действительна, имея копию их открытого ключа. Теперь я объясню gpgкоманды в инструкциях по проверке Tails .

Шаг: Генерация пары ключей

Tails рекомендует это

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

для создания собственной пары ключей.

gpg --gen-keyзапросит у вас некоторые параметры конфигурации, а затем сгенерирует пару ключей.

Шаг: Проверьте открытый ключ Tails

gpg --import < tails-signing.keyимпортирует открытый ключ Tails в вашу связку ключей, чтобы его можно было использовать.
gpg --keyring=/usr/share/keyrings/debian-keyring.gpg --export [email protected] | gpg --importимпортирует открытый ключ разработчика Debian в вашу связку ключей, чтобы его можно было использовать.
gpg --keyid-format 0xlong --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84Fпозволяет вам проверить открытый ключ Tails с открытым ключом разработчика Debian, проверив вывод в соответствии с инструкциями. Это делается для того, чтобы в случае компрометации источника открытого ключа Tails (tails.net) у вас был внешний источник истины, который вас предупредит.
gpg --lsign-key A490D0F4D311A4153E2BB7CADBB802B258ACD84Fсертифицирует открытый ключ Tails с помощью ключа, созданного вами на последнем шаге.

Теперь мы знаем, что у нас есть подлинная версия открытого ключа Tails. gpgтакже знает это, потому что мы решили сертифицировать его.

Шаг: Проверьте загруженный файл Tails .img

TZ=UTC gpg --no-options --keyid-format long --verify tails-amd64-6.1.img.sig tails-amd64-6.1.imgпозволяет вам проверить, что файл .img подписан так, как и должно быть, проверив вывод в соответствии с инструкциями. Номера версий в команде изменятся.

Теперь, когда мы знаем, что у нас есть подлинная версия файла Tails .img, мы можем приступить к его установке на USB-накопитель.

big dope · Понеділок в 22:05

дарк анонимус)

Jesus Christ · Понеділок в 22:08

Пиздец как сложно...

whosbefore\5+ · Понеділок в 22:09

цікаво до жаху, але не подолав на язику (

Darkseid · Понеділок в 22:11

Jesus Christ сказав(ла):
Пиздец как сложно...

Та нихуя ) Tails на SD-карте с protect switch через USB3 без persistent storage как шлюз в Tor с VPN на роутере -

sahuru · Понеділок в 22:29

Есть какойто стилер рабочийй??

Вообще похуй∄ · Вчора 00:37

Тут без пробы мета никак не разобраться

Darkseid · Вчора 00:38

Вообще похуй∄ сказав(ла):
Тут без пробы мета никак не разобраться

Отпиши на фен, потом возможно и мет придумаем

eDRONDONDON · Вчора 01:47

Вот он livecd на максималках+anon

Вообще похуй∄ · Вчора 09:07

Darkseid сказав(ла):
Отпиши на фен, потом возможно и мет придумаем

Уже в процессе, босс :troll-(104):

neoland · Вчора 09:58

Аж голова разболелась

Операционная система Tails - руководство

Представитель - Tip-Top Shop

TAILS: амнезическая и инкогнито живая система​

I) Основы использования Tails​

Предпосылки​

Выберите USB/DVD:​

Выберите ноутбук:​

Установка​

Решение 1: Установка путем загрузки (предпочтительно)​

Решение 2: Установка с другого USB-накопителя Tails​

Загрузка с USB-накопителя Tails​

Использование рабочего стола Tails​

Необязательно: создание и настройка постоянного хранилища​

Обновление Tails USB​

Автоматическое обновление​

Ручное обновление​

II) Идем дальше: несколько советов и пояснений​

Тор​

Что такое Tor?​

Onion Services: что такое .onion?​

Сайты, которые блокируют Tor​

Четко разделяйте анонимные личности​

Настройки безопасности браузера Tor​

​

Загрузка/выгрузка и папка Tor Browser​

Загрузка​

RAM​

Делитесь файлами с Onionshare​

Усложните корреляционные атаки​

Включенное программное обеспечение​

Менеджер паролей (KeePassXC)​

Реально удалить данные с USB​

Как создать зашифрованный USB​

Шифрование файла паролем или открытым ключом​

Добавление прав администратора​

Установка дополнительного программного обеспечения​

Не забудьте сделать резервные копии!​

Экран конфиденциальности​

III) Устранение неполадок​

Гуру

Представитель - Tip-Top Shop

1. Обмен файлами с метаданными​

2. Использование Tails для более чем одной цели одновременно​

Ограничения сети Tor​

1. Скрытие факта использования Tor и Tails​

2. Защита от решительных и опытных нападающих​

Нецелевые и целевые корреляционные атаки​

Интернет-соединение, не привязанное к вашей личности​

Работа в общественном месте​

Работа из личного пространства​

Подводя итог​

Снижение рисков при использовании ненадежных компьютеров​

1. Установка с зараженного компьютера​

2. Запуск Tails на компьютере с поврежденным BIOS, прошивкой или оборудованием​

Для смягчения последствий физических атак:​

Для защиты от удаленных атак:​

Использование переключателя защиты от записи​

Разблокировка переключателя​

1. Для специального сеанса обновления.​

2. Для выделенного сеанса настройки, если вы решили использовать постоянное хранилище.​

USB-накопители с персональными данными​

Осведомленность о фишинге​

Файлы​

Ссылки​

Атаки на водопои​

Шифрование​

Пароли​

Общие рекомендации​

Парольные фразы Tails​

Зашифрованные тома​

Установка SiriKali​

Создание зашифрованного тома​

Доступ к вашему зашифрованному тому​

Зашифрованная связь​

В заключение​

Приложение: Объяснение GPG​

Шаг: Генерация пары ключей​

Шаг: Проверьте открытый ключ Tails​

Шаг: Проверьте загруженный файл Tails .img​

Гуру

TAILS: амнезическая и инкогнито живая система

I) Основы использования Tails

Предпосылки

Выберите USB/DVD:

Выберите ноутбук:

Установка

Решение 1: Установка путем загрузки (предпочтительно)

Решение 2: Установка с другого USB-накопителя Tails

Загрузка с USB-накопителя Tails

Использование рабочего стола Tails

Необязательно: создание и настройка постоянного хранилища

Обновление Tails USB

Автоматическое обновление

Ручное обновление

II) Идем дальше: несколько советов и пояснений

Тор

Что такое Tor?

Onion Services: что такое .onion?

Сайты, которые блокируют Tor

Четко разделяйте анонимные личности

Настройки безопасности браузера Tor

Загрузка/выгрузка и папка Tor Browser

Загрузка

RAM

Делитесь файлами с Onionshare

Усложните корреляционные атаки

Включенное программное обеспечение

Менеджер паролей (KeePassXC)

Реально удалить данные с USB

Как создать зашифрованный USB

Шифрование файла паролем или открытым ключом

Добавление прав администратора

Установка дополнительного программного обеспечения

Не забудьте сделать резервные копии!

Экран конфиденциальности

III) Устранение неполадок

1. Обмен файлами с метаданными

2. Использование Tails для более чем одной цели одновременно

Ограничения сети Tor

1. Скрытие факта использования Tor и Tails

2. Защита от решительных и опытных нападающих

Нецелевые и целевые корреляционные атаки

Интернет-соединение, не привязанное к вашей личности

Работа в общественном месте

Работа из личного пространства

Подводя итог

Снижение рисков при использовании ненадежных компьютеров

1. Установка с зараженного компьютера

2. Запуск Tails на компьютере с поврежденным BIOS, прошивкой или оборудованием

Для смягчения последствий физических атак:

Для защиты от удаленных атак:

Использование переключателя защиты от записи

Разблокировка переключателя

1. Для специального сеанса обновления.

2. Для выделенного сеанса настройки, если вы решили использовать постоянное хранилище.

USB-накопители с персональными данными

Осведомленность о фишинге

Файлы

Ссылки

Атаки на водопои

Шифрование

Пароли

Общие рекомендации

Парольные фразы Tails

Зашифрованные тома

Установка SiriKali

Создание зашифрованного тома

Доступ к вашему зашифрованному тому

Зашифрованная связь

В заключение

Приложение: Объяснение GPG

Шаг: Генерация пары ключей

Шаг: Проверьте открытый ключ Tails

Шаг: Проверьте загруженный файл Tails .img