Статья для участия в конкурсе Мамкин Аноним
Романтическая анонимность
Прежде чем об этом говорить, давайте определимся, что за этими словами скрывается?
Предполагаю, субъективно, что за этим скрывается только индивидуальный фантастический мир в человеческой голове, связанный с каким-то опытом, личным или услышанным, прочитанным, увиденным. Отсюда следует, что полной картины мы не видим в любом случае, какие-то кусочки знаний и опыта учитываем, но очень часто упускаем критически важные нюансы. Всегда есть какие-то неизвестные переменные в общем уравнении интернет анонимности, из-за которых эта хрупкая цепочка может легко порваться. Постараюсь это учитывать в моей романтической истории, обязательно соблюдая при этом законодательство.
Так пошутила жизнь, что моя ИТ специальность попала в ряды востребованных и актуальных. Учились на потоке ребята и девчата. И среди них одна отличница, смышленая и симпатичная блондинка, какое сочетание (!), которая очень любила шляпки. Носила их круглый год, разных цветов, размеров и фасонов. Так к ней и прилипла погремуха – «смышленая шляпа». В каждой шутке, есть доля шутки, но видимо коллективная сила мысли повлияла на ее судьбу, сейчас она «Белошляпая» серьезная дама. В ее хрупких руках оказались очень интересные возможности. Поэтому, периодически, мы с однокашниками играем с ней в игру «Найди меня» на интересный приз. Развивая, при этом друг друга в профессиональной сфере, ну и разнообразя ежедневную рутину ИБ. Игра имеет несколько уровней, один из них связан с тестовым сайтом, на котором проверяют новые технологии глубокой деанонимизации, хотят их включить в новые стандарты сайтостроения. Никто о них не распространяется, можно только догадываться, что нас ждет в ближайшем будущем. Играть буду с базовым уровнем – нужно просто зайти на сайт, авторизоваться по известному логину и паролю, открыть пару страниц сайта, скачать заданные файлы и запустить их в своей ОС. Абсолютно никакого нарушения законов в этом нет. Но об этом чуть позже.
Совсем недавно, на время поездки к дальней родне, бабушка попросила присмотреть за квартирой, которая расположена в центре города. Ничего особенного, обычная советская обстановка, обычный кинескопный телевизор, никаких «умных» технологий в квартире не водилось. Даже телефон обычный проводной. Но рядом с домом жизнь бурлила и носилась, как ужаленная. Море развлекательных заведений, торговых центров, гостиницы, sea free wi-fi для клиентов, мои любимые эклеры в кафе напротив.
Надо заметить, что у меня с детства была аллергия на мобильные телефоны. Невзлюбил их за тот хаос, который они вносили в размеренную повседневную жизнь. Идешь себе, радуешься жизни и тут бац! Кто-то звонит или пишет, и за секунду переворачивает все с ног на голову, рассказывая тебе, как дальше жить, куда бежать и что срочно надо сделать. О каком здоровье в такой обстановке может идти речь? Это проблема была решена быстро, все вопросы и просьбы только на электронную почту, в течение дня смотрю и отвечаю. Если мне нужно было позвонить, то пользовался таксофоном за углом. Жизнь сразу засверкала новыми красками.
Одно к другому, за два дня до визита в квартиру открываю почту, а там письмо с рекламной рассылкой: «Новый завоз из Европы Second Hard-а». Письмо вчерашнее, уже день, может мне повезет и еще что-то интересное осталось, лечу на «европейскую» базу. Фартонуло! Все сложилось, как в песне Г. Лепса «Я счастливый, как никто»! и «Самый лучший день» в одном моменте. Достался мощный ноут с 64ГБ оперативки и направленная «вай-файка». Как мне продаван нашептал, разрабы каких-то западных контор эти железки периодически отдают, обновляя свой парк. Поэтому регулярно такое добро завозят буквально за копейки, даже сортируют и переписывают уже у них на месте, заранее не зная, что в контейнере приехало. Вот так бывает!
Итак, по воле случая, появилась возможность для новой игровой комбинации с нашей «Белошляпой» подругой. Мы ж как дети, дай только новую игрушку. Займусь подготовкой.
Мысли вслух:
1) Учитываю такие технологии, как Intel Management Engine (IME) с разными названиями в любом оборудовании, любого производителя . Поэтому разницы уже не вижу в том, одной телеметрией будет больше в ОС или одним жучком, о котором никто еще не знает, больше в серийном железе. Исходя из этого, для реализации намеченной «бутербродной» анонимной комбинации, ставлю на ноут свежий Windows (не 10) с офсайта, отключаю все, что излишне фонит в эфир – в службах, в планировщике заданий и т.д., просто чтоб интернет канал лишними пакетами не забивать.
2) На удивление веб-камера, микрофон и колонки на ноуте не заработали. Не видно их даже в списке оборудования! Подсунули брак второрукий или случайное совпадение? Они мне точно не пригодятся, так что совпадение на руку. У меня есть 3 дня на проверку и возврат ноута, в случае какого-то всплывшего брака.
3) Ставлю на хост VM Ware Player с офсайта, а в нем разворачиваю предпоследнюю версию Ubuntu с офсайта.
4) В Ubuntu ставлю «переделанный» на антидетект VBox (из source с офсайта) самостоятельной сборки. Переработано железо, идентификаторы. Не публичный.
5) Также ставлю в Ubuntu клиент OpenVPN:
sudo apt install openvpn
sudo apt install network-manager-openvpn
В сетевом менеджере появится пункт с OpenVPN, настройки загружаю прямо с файла *.ovpn , нажав Импортировать из файла.
6) В VBox-антидетект выставляю сетевой тип подключения - Виртуальный адаптер хоста. Трафик с этого адаптера запускаю через VPN в Ubuntu. Если VPN отваливается, трафик уже никуда с VBox не утечет.
Для этого делаю, например, так:
sudo iptables -A FORWARD -o tun0 -i vboxnet0 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
7) В VBox-антидетект ставлю Windows (не 10) с офсайта, настраиваю, и он становится очень похож на настоящий хост, проходит тесты pafish , al-khaser.
Потом устанавливаю Firefox (с офсайта) c плагинами (с их магазина) блокирующими скрипты, рекламу, меняющими и блокирующими известные данные, по которым обычно идентифицируют конкретный компьютер (названия плагинов не называю специально, дабы не усиливать внимания к ним, но вы о них слышали). На эти плагины сильно не надеюсь, поскольку существуют «другие» идентификаторы, о которых мало кто знает, и никто не блокирует.
8) Надеюсь, даже последние наработки компьютерных гениев, участников ежегодного Pwn2Own в таком «бутерброде» потеряются. Выход из нескольких виртуальных машин, одна из которых не опознается, как VB, и двух принципиально разных ОС, будет, скорее всего, затруднительным для их опробованных вредоносных заготовок. Но и не беда, если они все же просочатся до хоста, такой вариант изначально учитывался. Деанонимизации не произойдет и в этом случае.
9) Разворачивать «бутерброд» на VPS/VDS не буду, могут быть неудобные моменты для анонимности, связанные с оплатами, регистрацией и логированием со стороны дата-центра или провайдера услуги, как некоторые делают с выходной нодой Тора. Как только поймут, что арендую VPS/VDS для анонимности , могу получить от них «ханипот» за свои же деньги. Вероятность целевого логирования, как в сетевой инфраструктуре, так и в ОС, в этом случае значительно повышается, нежели в случае – быть, как все. Иду только законным путем, поэтому хватит и европейского ноута.
10) Теперь выстраиваю интернет соединения. У клиентов точек общепита и развлекательных заведений, есть возможность подключаться к free wifi . Их много вокруг бабушкиного дома. Попросил соседку, которая шла с ребенком в кафешку, купить мне там пяток эклеров и взять чек для расчета с ней. На чеке указан пароль wifi для клиентов. Купил их продукцию, значит уже клиент. Есть чек, подтверждающий это и пароль от wifi на нем. Теперь можно подключиться к ним законно.
11) Устанавливаю на хосте в Windows системе Expert Bundle Tor и OpenVPN клиент (с официальных сайтов). Для шифрованной сети беру только оригинальные opensource-ные клиенты, которые проверены временем и достойно себя зарекомендовали. От них зависит моя сетевая анонимность, проявленная, как минимум конечными IP адресами в каких-то логах, с которых начнут отматывать соединения в мою сторону. Если в каком-то миксе (прокси,тор,впн) с закрытым кодом, типа популярного «анонимного» чегототам-фаера, будет бэк (как этого настойчиво добиваются известные страны и службы, от любого раскрученного сетевого софта), вся эта суета будет напрасной. Настройки в интернете подробно описаны, не повторяюсь.
12) На хосте в Windows меняю MAC адрес Wi-Fi адаптера.
13) Конфигурации для OpenVPN буду выбирать из числа свободных, коих на просторах интернета достаточно. Искать их буду сам, а не слушать добрых советчиков на каких-то форумах. Свой VPN настроенный на VPS/VDS не понадобится, как по причинам, описанным в п.9, так и по причинам бессмысленности сбора какой-либо статистики о том IP, который будет зафиксирован в логах VPN провайдера.
14) На хосте с Windows делаю такую сетевую цепочку: Bridge obfs4-Tor-OpenVPN (завернут в TOR). Подробности настроек описаны в интернете много раз, не буду повторяться. Для интернет провайдера будет виден SSLтрафик и IP адрес моста (в открытых списках Tor их нет), а на выходе в интернет получу нормальный IP провайдера OpenVPN (при этом в логах VPN провайдера отмечусь, как клиент, пришедший с IP выходной ноды Тора). Что еще нужно в этой структуре для анонимности: IP на выходе нормальный, на выходной ноде Тора не прослушают, для интернет провайдера - ноут не подключается к IP сети Tor, для провайдера OpenVPN (с которого ходим по интернету) клиент пришел с IP выходной ноды Тора, пусть собирают статистику, если хотят. Плюс цепочка удлинится на еще один IP VPN с Ubuntu, в логах которого будет IP предыдущего VPN-на.
15) Теперь DNS. Воспользуюсь Firefox и его DoH.
Сервер выбираю НЕ из списка неизвестных «анонимных», по-умолчанию присутствующих в конфигурациях множества форков приложений типа DNSCrypt. Позиционирование сервера, как анонимного с непонятным владельцем, автоматически запускает риски целевого логирования и перевода клиента на нужные владельцу, для его деанонимизации, сайты. Это тот же «ханипот», получаем то, от чего пытаемся защититься. Свой сервер поднимать не буду в данном случае, в настройках адаптера и VPN пропишу сервера из числа открытых и проверенных, т.к. по умолчанию там может быть и гугл. После проверю систему на утечку DNS.
16) В Windows, который установлен в VBox-антидетект, VPN или TOR не ставлю. Пусть система, при её анализе изнутри скачанными файлами, смотрится, как реальная с проводным сетевым адаптером.
17) Делаю снимок настроенной Windows системы в VBox-антидетект, для последующего сброса всего залетного с интернета и загруженных софтовых жучков внутри ОС. И бэкап хостовой системы для отката.
18) Микс из проприетарного и Open Source софта в «бутерброде» делался сознательно. По причине определенных, необходимых мне функциональных возможностей разных ОС, виртуалок и определенного софта. Полной деанонимизацией в моем конкретном случае это не грозит.
19) Запускаю «Анонимный шпагат». Подключаюсь с хоста к Wi-Fi, запускаю цепочку с п.14, запускаю Ubuntu на VM Ware Player, в Ubuntu запускаю OpenVPN и VBox-антидетект, потом восстанавливаю снимок Windows в нем. Смотрю на Wi-Fi адаптер через Wireshark, куда уходит мой трафик, вижу только SSL соединения и IP мостов, значит все по плану. В Ubuntu вижу IP VPN-на, значит связка в работе.
20) Из Windows в VBox-антидетект захожу с Firefox на тестовый сайт, авторизуюсь, скачиваю файлы, запускаю их. Условия нашей игры выполнены.
21) Выключаю Windows, возвращаюсь к его сохраненному снимку в VBox. Восстанавливаю бэкап хоста. А может еще проще - сношу всю эту красоту к …. и меняю бракованный ноут на исправный
22) Найди меня «смышленая шляпа»/ Позже она обязательно прочитает эти строки и наверняка учтет их в будущем.
P.S. Поменял брак не зря! Исправной заменой на каждый день стал мощный ноут System76 с отключенным IME и Ubuntu\Debian OS. Хостовую систему оставляю только для личных дел. А ежедневный интернет-серфинг будет в VBox-антидетект с Windows и Firefox с плагинами, комплектацию «железа» которого, можно менять хоть каждый день. А также возвращать первоначальный вид системы из снимка, сбрасывая все попытки модифицировать какой-либо софт и оставить персонифицированные жучки в системе. Для защиты от сбора данных хватит и 2х разных VPN, один на хосте, второй в Windows. Провайдер увидит подключение к IP VPN с хоста, 1й VPN провайдер увидит наше подключение к IP 2го VPN провайдера (ничего интересного), 2й VPN провайдер (с которого серфим интернет) залогирует клиента с IP 1го VPN провайдера, о котором собирать статистику бессмысленно, т.к. им могут пользоваться сотни-тысячи клиентов. По DNS остается актуальным п.15.
В итоге весь основной софт у меня Open Source. А Windows в VBox-антидетект будет видеть только то, что ему позволено – периодически меняющееся железо и идентификаторы вокруг, которые он может сливать на сервера MS, через разные IP VPN-ов.
Это пример, как можно задействовать Windows, если он нужен. А можно сразу в VBox-антидетект поставить Linux, тогда full Open Source. Или поставить обе ОС.
