Для начала, это чат в matirx. Он используется для коммуникации в потоке. В нём есть поддержка e2e шифрования, которое можно включить в комнате. С таким шифрованием сообщения на сервере перехватить невозможно
Одним из самых популярных протоколов мессенджеров в даркнете остаётся jabber
Он достаточно старый, но всё ещё живёт. Поэтому я расскажу о нём, он ещё пригодится
У plastik тоже есть свой jabber, но он сейчас как резервный канал используется
Для начала о том, почему люди в даркнет используют jabber и matrix, а не vk с facebook
Потому что существует угроза прослушки
Прослушка может быть на канале связи. Условно, прослушивать может провайдер
Но с повсеместным использованием ssl и tls это не актуально
Сейчас трафик практически везде шифруется. Но шифрования разные бывают, не всё безопастно
Сайты, использующие шифрование работают по https. Их так можно отличить
Но это шифрование от браузера к серверу. Да, провайдер ничего не видет так, но на севрере всё как на ладони А при использовании мессенджера это само собой никому не надо
Так вот, можно шифровать так, чтобы на сервере не было ничего вижно
Это называется e2e шифрование, или end to end шифрование. От одного конца до другого
В jabber этот механизм называется OTR, в telegram тоже есть защищенные комнаты, в matrix тоже можно подключить шифрование в комнате
Но вот в watsapp и большенстве популярных месенджеров нет
Поэтому jabber всё ещё остаётся в использовании. Он один из самых проверенных о обкатаных протоколов с поддержкой сквозного шифрования
Какие клиенты можно использовать? - psi, psi+(лучше его), pidgin
В jabber нет единного сервера. Обычно, если не надо какого-то специфичного сервера, используют exploit.im. Большенство даркнета на нём сидит
Это было вступление о мессенджерах, эта информация понадобится ещё и потом расскажу больше
Пароль на вход в windows - обычная фикция, и его можно легко обойти, об этом мноние знают
Но чтобы обойти его требуется перезапускать систему. Это важный момент
Дело в том, что если диск зашифрован перезагрузка = сброс пароля шифроваиня из памяти
То есть после перезагрузке придётся вводить пароль шифрования заново
Поэтому пароль на вход в систему можно использовать. Но не сразу после включения, а когда надо ненадолго отойти от системы
Если в этот момент что-то случится, то посторонний не сможет войти в систему. А поскольку методы внедрения на лету практически не осуществимы, и занимать таким никто не будет, это достаточно надёжно
Но лучше выключать компьютер, когда это возможно. Потому что у системы авторизации могут быть ошибки, о котрых мы не знаем
Помню в каком-то session manager linux был баг, что для обхода пароля для авторизации надо было несколько сотен раз backspace нажать
Когда может помочь пароль на вход - при использовании режима сна
Во сне компьютер не выгружает ничего из оперативной памяти, и сделать запрос пароля шифрования после выхода из сна невозможно
В случае использования сна лучше защитится хоть как то, добавив пароль на вход
Почему? Потому что, как бы система не защищалась, есть угроза попадания вируса или когод-то извне в систему
Первое, что лучше положить под дополнительную защиту - пароли
Не стоит хранить их в текстовом файле, это риск. Лучше использовать менеджеры паролей
Лучший вариант, наверное, keepass
Он существует давно. Но есть много менеджеров паролей. Только не надо выбирать совмес неизвестные. Кто знает, что там
Что делает менеджер паролей? Он структурирет их, а главное шифрует перед записью на диск
Для шифрования используется master password. Без него пароли из базы не прочитать
Кстати, шифровать можно не только системные диски. Если в работе испольщуется, например, внешний жёсткий, его так же надо шифрануть
Одно уточнение по шифрованию основного диска
При шифровании veracrypt записал свой загрузчик, который создаёт слой шифрования. Без него систему не запустить
Этот загрузчик уникальный для каждого шифрования. Если с ним что-то случится, в интернете его замену не найти
Потому что при ишфровании используется такая вещь как соль. Она разная каждый раз
Соль такой же элемент шифрования как пароль. Это как бы добавка у нему
Делается это для усложнения пароля, и чтобы одинаковые данные зашифрованные одинаковым паролем выглядели по раздному
так сложнее подбирать пароль
Поэтому, чтобы иметь возможность восстановить сисему, если загрузчик пропадёт, есть диск восстановления veracryot
Этот файл надо сохранить себе куда-нибудь на флешку, лучше не шифровать
В нём не содержится секретов, просто копия того, что уже есть в системе
Чтобы расшифроваться всё равно понадобится ввести пароль. Без него никак
А теперь о том, как вообще быть с паролями. Их же много, всё в голове не запомнить
Но желательно помнить 2 пароля. 1) пароль шифрования 2) мастер пароль хранилища паролей
Всё остальное хранить в менеджере паролей
Если и записывать эти 2 пароля куда-то, то очень осторожно. Если их найдут, то шифрованию конец. Но с другой стороны если забыть их, то данным тоже конец
Теперь вообще о том, какие пароли стоит выбирать
Необходимая длина пароля зависит от алгоритма шифрования. Есть такие алгоритмы, на проверку пароля по которым надо кучу времени
Тогда и пароль из 4 мисволов можно годами подбирать
*символов
Единственное, что они могут сделать - подобрать его сами
А если делать пароль по правилам, которые я сейчас напишу, то у них 0 шансов
Оптимальная длина пароля - 12-16 символов
Оговорюсь сразу, что подобрать можно людей пароль. Это вопрос времени и вычислительной мощности
Но всё упирается в то, что если пароль реально сложный, его никто не будет ломать. Потому что на это могут потребоваться миллиарды долларов или больше и никто не гарантирует успех в ближайшие сотню лет
Поэтому с паролем в 15 символов его попытки взломать в адекватное время нулевые
Да и, скажем прямо, у тех кто будет это делать вряд ли под рукой все сервер google окажутся
В тесте был вопрос о сложности пароля. По нему были вопросы. Сейчас скину его
В теории квантовый компьютер смодет свести на нет любое шифрование. Но в ближайшем будущем такое вряд ли понадобится. У всего есть свой срок надёжности. Ничего не будет надёжно нерез несколько тысяч лет
Да, давайте разберу пароли и оставлю время для вопросв
Вопрос был
Какой из этих паролей наиболее устойчив к взлому?
Вообще при взломе паролей есть 2 типа атак
перебор по словарю
полный перебор
Полный перебор - это когда проверяется каждая возможная комбинация
По сути этот метод самый здравай. Бруть и когда нибдь 100% взломаешь
Но время-то ограничего. Если парль длинный, то остаётся только продолжеть брутить в надежне на удачу или ждать пока квантовый компьютер соберут и он начнёт стоит как коробка мыла
Поэтому создаются словари для брута. Где перечислены самые частые комбинации паролей
Если пароль есть в словаре, его взломают. В этом есть смысл, очень часто люди используют осмысленные пароли
Но есть более продвинутый метод - комбинирование
Часто пароль не просто слово из словаря, а видоизменённое слово
Например, andrey89
89 может быть годом рождения и т.п. В данным случае только слово andrey будет в словаре
Поэтому есть программы, которые комбинируют слова, пробуют подставлять цифры, используют повтарения
Т.е. в зоне риске не только пароли из словаря, но и все произвольные пароли
В том вопросе такими паролями были ответы qwertyuiopasdfghjkl и passwordpasswordpassword123
Методом достаточно несложного комбинирования их можно получить по словарю. Поэтому на их взлом уйлёт немного времени, хоть они и длинные
Остаётся 2 варианта: 8nZhja7kvhsSDfAuLm и Z@kn8#n~
В словаре подобного не найти. А значит ни комбинирование, ни взлом по словарю не дадет результата
________________________________________
Остаётся только полный перебор. А тут сильнее тот пароль, у которого больше длина
Потому что при взломе не известно, какие символы использовал пользователь
Поэтому приходится действовать полным перебором по всем символам, чтобы точно не пропустить ничего. А значит, что использование спец символов не сильно усложняет задачу
Но надо понимать, что если мы скрываем трафик от провайдера, он наоборот становится виден у VPN провайдера. Теперь он всё знает о трафике
В нашем случае это не большая проблема. Потому что после VPN будет тор. VPN так же будет скрывать от провайдера использование тора
Почему одного VPN не достаточно? Ведь некоторые провайдеры заверяют, что у них нет логов, совсем
Но это немного не вяжется с действительностью. VPN хостеры используют одни сервера для большого количества людей
Так проще наладить инфраструктуру, да и 1 пользователь сможет пользоваться IP из любой точки мира
Но проблема в том, что этот 1 сервер должен быть всегда в работе. Если его заблокируют, то большое количество пользователей пострадает
А почему сервер могут забанить? - Из-за абузов. Если использовать сервер по чёрному, то он начнёт попадать в блек листы и использовать его станет невозможно
Конечно, VPN хостеру не надо, чтобы у него в пуле были такие сервера. Значит, хостер должен пресикать абузы
Значит что любой VPN хостер, у котого есть возможность пользоваться общими конфигами в разных странах, ведёт логи
Если бы он этого не делал, его сервера блокировались бы. Он бы попросту не смог работать. Поэтому, чтобы блокировать абузеров, он отслеживает их... по логам...
Как должен работать VPN, чтобы не было этой проблемы?
На кажного человека должен быть свой сервер. Тогда за блокировку сервера хостеру бояться не придётся
Хостеров, которые предлогают это, немного. Большенство просто не понимает разницой между выделенным сервером и "у нас не логов, точно"
Надёжнее настроить себе VPN самому
Для этого нужен VPS. Это виртуальный сервер. Оформить его можно за крипту, и есть места, где лишних данных о пользователе не спросят
Как просто настроить такой сервер? - Установить openvpn access
Для личного использования лиценьзия не нужна. Это один из самых быстрых способов поднять сервер
Но остаётся ещё 1 вопрос - а как быть с логами провайдера
Да, лучше и с ними что-то придумать. Надо усложнить цепочку, чтобы маршрут пролегал через несколько стран. Тогда такие логим будет сложнее собрать, да и дакозать цепочку тоже будет непросто
Это концепция double vpn. Как понять, что vpn двойной - IP в конфиге, к которому подключается клиет, и IP на выходе разные
Сейчас мы установим конфиг потока и настроим VPN
Вот официальная страница загрузки https://openvpn.net/community-downloads/
Там нам нужен Windows installer
Надо сказать и установить его
В процессе установке будет запрос на установку драйверов. Там надо согласиться
Изначально при установке драйверов подсвечено нет
Драйвера нужны для создания виртуального адаптера, через который будет идти сеть
Но в поездках, например, можно использовать такие конфиги
Это лучше, чем ничего. Они скрывают трафик внутри, статистику собирать сложнее
А если учесть, что за VPN стоит tor и ещё много чего, то логи не страшны
Настройка VPN - первый этап в ней
VPN работает на основной системе. Лучше чтобы он работал всегда. Это зашита от ошибок
В случае с использованием VPN провайдера пологаться на VPN, если есть ошибки, не придётся
Даже с VPN есть смопобы узнать реальный VPN. О них будет подробнее в лекции потом сказано, мы устраним эти бреши
Немного информации для тех, кто хочет знать больше
VPN может быть настроен на роутере или сетевой карте. Это на уровень выше основной системы. Это защищает от ошибок в системе. Это не такая частая проктика, но такая возможность есть
DNS - одно из мест, где можно попалиться, если не настраивать систему. Об его настройке будет потом
На будущее, есть сервис для анонимного поднятия персонального double VPN http://vpnhule3n2mjz5cp.onion/ Сейчас конфиг есть и другой не нужен. Если потом понадобится другой, можно тут выпустить
Давайте тогда на сегодня конференцию закончим. Я отвечу на вопросы, и если будут темы, то уже на след. конфу перенесу
Одним из самых популярных протоколов мессенджеров в даркнете остаётся jabber
Он достаточно старый, но всё ещё живёт. Поэтому я расскажу о нём, он ещё пригодится
У plastik тоже есть свой jabber, но он сейчас как резервный канал используется
Для начала о том, почему люди в даркнет используют jabber и matrix, а не vk с facebook
Потому что существует угроза прослушки
Прослушка может быть на канале связи. Условно, прослушивать может провайдер
Но с повсеместным использованием ssl и tls это не актуально
Сейчас трафик практически везде шифруется. Но шифрования разные бывают, не всё безопастно
Сайты, использующие шифрование работают по https. Их так можно отличить
Но это шифрование от браузера к серверу. Да, провайдер ничего не видет так, но на севрере всё как на ладони А при использовании мессенджера это само собой никому не надо
Так вот, можно шифровать так, чтобы на сервере не было ничего вижно
Это называется e2e шифрование, или end to end шифрование. От одного конца до другого
В jabber этот механизм называется OTR, в telegram тоже есть защищенные комнаты, в matrix тоже можно подключить шифрование в комнате
Но вот в watsapp и большенстве популярных месенджеров нет
Поэтому jabber всё ещё остаётся в использовании. Он один из самых проверенных о обкатаных протоколов с поддержкой сквозного шифрования
Какие клиенты можно использовать? - psi, psi+(лучше его), pidgin
В jabber нет единного сервера. Обычно, если не надо какого-то специфичного сервера, используют exploit.im. Большенство даркнета на нём сидит
Это было вступление о мессенджерах, эта информация понадобится ещё и потом расскажу больше
Пароли и шифрование
Был вопрос о пароле на вход в системе. На самом деле он не такой простойПароль на вход в windows - обычная фикция, и его можно легко обойти, об этом мноние знают
Но чтобы обойти его требуется перезапускать систему. Это важный момент
Дело в том, что если диск зашифрован перезагрузка = сброс пароля шифроваиня из памяти
То есть после перезагрузке придётся вводить пароль шифрования заново
Поэтому пароль на вход в систему можно использовать. Но не сразу после включения, а когда надо ненадолго отойти от системы
Если в этот момент что-то случится, то посторонний не сможет войти в систему. А поскольку методы внедрения на лету практически не осуществимы, и занимать таким никто не будет, это достаточно надёжно
Но лучше выключать компьютер, когда это возможно. Потому что у системы авторизации могут быть ошибки, о котрых мы не знаем
Помню в каком-то session manager linux был баг, что для обхода пароля для авторизации надо было несколько сотен раз backspace нажать
Когда может помочь пароль на вход - при использовании режима сна
Во сне компьютер не выгружает ничего из оперативной памяти, и сделать запрос пароля шифрования после выхода из сна невозможно
В случае использования сна лучше защитится хоть как то, добавив пароль на вход
Равпределение данных
Не смотря на то, что система зашифрована, всё равно лучше не хранить всё на основном диске под одним паролемПочему? Потому что, как бы система не защищалась, есть угроза попадания вируса или когод-то извне в систему
Первое, что лучше положить под дополнительную защиту - пароли
Не стоит хранить их в текстовом файле, это риск. Лучше использовать менеджеры паролей
Лучший вариант, наверное, keepass
Он существует давно. Но есть много менеджеров паролей. Только не надо выбирать совмес неизвестные. Кто знает, что там
Что делает менеджер паролей? Он структурирет их, а главное шифрует перед записью на диск
Для шифрования используется master password. Без него пароли из базы не прочитать
Кстати, шифровать можно не только системные диски. Если в работе испольщуется, например, внешний жёсткий, его так же надо шифрануть
Одно уточнение по шифрованию основного диска
При шифровании veracrypt записал свой загрузчик, который создаёт слой шифрования. Без него систему не запустить
Этот загрузчик уникальный для каждого шифрования. Если с ним что-то случится, в интернете его замену не найти
Потому что при ишфровании используется такая вещь как соль. Она разная каждый раз
Соль такой же элемент шифрования как пароль. Это как бы добавка у нему
Делается это для усложнения пароля, и чтобы одинаковые данные зашифрованные одинаковым паролем выглядели по раздному
так сложнее подбирать пароль
Поэтому, чтобы иметь возможность восстановить сисему, если загрузчик пропадёт, есть диск восстановления veracryot
Этот файл надо сохранить себе куда-нибудь на флешку, лучше не шифровать
В нём не содержится секретов, просто копия того, что уже есть в системе
Чтобы расшифроваться всё равно понадобится ввести пароль. Без него никак
А теперь о том, как вообще быть с паролями. Их же много, всё в голове не запомнить
Пароли
Запомниать всё не надо. Как и использовать 1 пароль для всегоНо желательно помнить 2 пароля. 1) пароль шифрования 2) мастер пароль хранилища паролей
Всё остальное хранить в менеджере паролей
Если и записывать эти 2 пароля куда-то, то очень осторожно. Если их найдут, то шифрованию конец. Но с другой стороны если забыть их, то данным тоже конец
Теперь вообще о том, какие пароли стоит выбирать
Необходимая длина пароля зависит от алгоритма шифрования. Есть такие алгоритмы, на проверку пароля по которым надо кучу времени
Тогда и пароль из 4 мисволов можно годами подбирать
*символов
Единственное, что они могут сделать - подобрать его сами
А если делать пароль по правилам, которые я сейчас напишу, то у них 0 шансов
Оптимальная длина пароля - 12-16 символов
Оговорюсь сразу, что подобрать можно людей пароль. Это вопрос времени и вычислительной мощности
Но всё упирается в то, что если пароль реально сложный, его никто не будет ломать. Потому что на это могут потребоваться миллиарды долларов или больше и никто не гарантирует успех в ближайшие сотню лет
Поэтому с паролем в 15 символов его попытки взломать в адекватное время нулевые
Да и, скажем прямо, у тех кто будет это делать вряд ли под рукой все сервер google окажутся
В тесте был вопрос о сложности пароля. По нему были вопросы. Сейчас скину его
В теории квантовый компьютер смодет свести на нет любое шифрование. Но в ближайшем будущем такое вряд ли понадобится. У всего есть свой срок надёжности. Ничего не будет надёжно нерез несколько тысяч лет
Да, давайте разберу пароли и оставлю время для вопросв
Вопрос был
Какой из этих паролей наиболее устойчив к взлому?
Вообще при взломе паролей есть 2 типа атак
перебор по словарю
полный перебор
Полный перебор - это когда проверяется каждая возможная комбинация
По сути этот метод самый здравай. Бруть и когда нибдь 100% взломаешь
Но время-то ограничего. Если парль длинный, то остаётся только продолжеть брутить в надежне на удачу или ждать пока квантовый компьютер соберут и он начнёт стоит как коробка мыла
Поэтому создаются словари для брута. Где перечислены самые частые комбинации паролей
Если пароль есть в словаре, его взломают. В этом есть смысл, очень часто люди используют осмысленные пароли
Но есть более продвинутый метод - комбинирование
Часто пароль не просто слово из словаря, а видоизменённое слово
Например, andrey89
89 может быть годом рождения и т.п. В данным случае только слово andrey будет в словаре
Поэтому есть программы, которые комбинируют слова, пробуют подставлять цифры, используют повтарения
Т.е. в зоне риске не только пароли из словаря, но и все произвольные пароли
В том вопросе такими паролями были ответы qwertyuiopasdfghjkl и passwordpasswordpassword123
Методом достаточно несложного комбинирования их можно получить по словарю. Поэтому на их взлом уйлёт немного времени, хоть они и длинные
Остаётся 2 варианта: 8nZhja7kvhsSDfAuLm и Z@kn8#n~
В словаре подобного не найти. А значит ни комбинирование, ни взлом по словарю не дадет результата
________________________________________
Остаётся только полный перебор. А тут сильнее тот пароль, у которого больше длина
Потому что при взломе не известно, какие символы использовал пользователь
Поэтому приходится действовать полным перебором по всем символам, чтобы точно не пропустить ничего. А значит, что использование спец символов не сильно усложняет задачу
Но надо понимать, что если мы скрываем трафик от провайдера, он наоборот становится виден у VPN провайдера. Теперь он всё знает о трафике
В нашем случае это не большая проблема. Потому что после VPN будет тор. VPN так же будет скрывать от провайдера использование тора
Почему одного VPN не достаточно? Ведь некоторые провайдеры заверяют, что у них нет логов, совсем
Но это немного не вяжется с действительностью. VPN хостеры используют одни сервера для большого количества людей
Так проще наладить инфраструктуру, да и 1 пользователь сможет пользоваться IP из любой точки мира
Но проблема в том, что этот 1 сервер должен быть всегда в работе. Если его заблокируют, то большое количество пользователей пострадает
А почему сервер могут забанить? - Из-за абузов. Если использовать сервер по чёрному, то он начнёт попадать в блек листы и использовать его станет невозможно
Конечно, VPN хостеру не надо, чтобы у него в пуле были такие сервера. Значит, хостер должен пресикать абузы
Значит что любой VPN хостер, у котого есть возможность пользоваться общими конфигами в разных странах, ведёт логи
Если бы он этого не делал, его сервера блокировались бы. Он бы попросту не смог работать. Поэтому, чтобы блокировать абузеров, он отслеживает их... по логам...
Как должен работать VPN, чтобы не было этой проблемы?
На кажного человека должен быть свой сервер. Тогда за блокировку сервера хостеру бояться не придётся
Хостеров, которые предлогают это, немного. Большенство просто не понимает разницой между выделенным сервером и "у нас не логов, точно"
Надёжнее настроить себе VPN самому
Для этого нужен VPS. Это виртуальный сервер. Оформить его можно за крипту, и есть места, где лишних данных о пользователе не спросят
Как просто настроить такой сервер? - Установить openvpn access
Для личного использования лиценьзия не нужна. Это один из самых быстрых способов поднять сервер
Но остаётся ещё 1 вопрос - а как быть с логами провайдера
Да, лучше и с ними что-то придумать. Надо усложнить цепочку, чтобы маршрут пролегал через несколько стран. Тогда такие логим будет сложнее собрать, да и дакозать цепочку тоже будет непросто
Это концепция double vpn. Как понять, что vpn двойной - IP в конфиге, к которому подключается клиет, и IP на выходе разные
Сейчас мы установим конфиг потока и настроим VPN
Вот официальная страница загрузки https://openvpn.net/community-downloads/
Там нам нужен Windows installer
Надо сказать и установить его
В процессе установке будет запрос на установку драйверов. Там надо согласиться
Изначально при установке драйверов подсвечено нет
Драйвера нужны для создания виртуального адаптера, через который будет идти сеть
Но в поездках, например, можно использовать такие конфиги
Это лучше, чем ничего. Они скрывают трафик внутри, статистику собирать сложнее
А если учесть, что за VPN стоит tor и ещё много чего, то логи не страшны
Настройка VPN - первый этап в ней
VPN работает на основной системе. Лучше чтобы он работал всегда. Это зашита от ошибок
В случае с использованием VPN провайдера пологаться на VPN, если есть ошибки, не придётся
Даже с VPN есть смопобы узнать реальный VPN. О них будет подробнее в лекции потом сказано, мы устраним эти бреши
Немного информации для тех, кто хочет знать больше
VPN может быть настроен на роутере или сетевой карте. Это на уровень выше основной системы. Это защищает от ошибок в системе. Это не такая частая проктика, но такая возможность есть
DNS - одно из мест, где можно попалиться, если не настраивать систему. Об его настройке будет потом
На будущее, есть сервис для анонимного поднятия персонального double VPN http://vpnhule3n2mjz5cp.onion/ Сейчас конфиг есть и другой не нужен. Если потом понадобится другой, можно тут выпустить
Давайте тогда на сегодня конференцию закончим. Я отвечу на вопросы, и если будут темы, то уже на след. конфу перенесу