Полное руководство по : безопасности/анонимности/конфиденциальности в сети. (Содержание 2.ч)

​

Меры предосторожности при чтении этого руководства и доступе к различным ссылкам:

• Рядом с документами/файлами есть ссылка [Archive.org] для доступа к содержимому через Archive.org для повышения конфиденциальности и на случай пропажи содержимого. Некоторые ссылки еще не заархивированы или устарели на archive.org, и в этом случае мы рекомендуем вам запросить новое сохранение, если это возможно.
• Рядом с видеороликами YouTube есть ссылка [Invidious] для доступа к контенту через экземпляр Invidious (в данном случае yewtu.be, размещенный в Нидерландах) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Рядом со ссылками в Твиттере находится ссылка [Nitter] для доступа к контенту через экземпляр Nitter (в данном случае nitter.net) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Ссылки на Википедию имеют рядом с собой ссылку [Wikiless] для доступа к контенту через экземпляр Wikiless (в данном случае Wikiless.org) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
• Рядом со средними ссылками находится ссылка [Scribe.rip] для доступа к контенту через экземпляр Scribe.rip для повышения конфиденциальности. Опять же, рекомендуется использовать эти ссылки, когда это возможно.
• Если вы читаете это в формате PDF или ODT, вы заметите множество ``` вместо двойных кавычек («»). Эти ``` предназначены для облегчения преобразования в формат Markdown/HTML для онлайн-просмотра блоков кода на веб-сайте.

Наконец, обратите внимание, что в этом руководстве упоминаются и даже рекомендуются различные коммерческие услуги (такие как VPN, CDN, провайдеры электронной почты, хостинг-провайдеры…) , но они никоим образом не поддерживаются и не спонсируются ни одним из них. Ни с одним из этих провайдеров нет реферальных ссылок и коммерческих связей.

Содержание 2.ч​

• Общие приготовления
  • Выбор маршрута:
    • Ограничения по времени:/Бюджетные/материальные ограничения:
    • Навыки и умения:
• Шаги для всех маршрутов:
  
  • Привыкание к использованию более качественных паролей:/Получение анонимного номера телефона:
  • Получить USB-ключ:
  • Найдите несколько безопасных мест с приличным общедоступным Wi-Fi:
  Маршрут браузера Tor:
  
  • Windows, Linux и macOS:
  • Андроид:
  • iOS:
  • Важное предупреждение:
  • Маршрут хвоста:
    • Настройки браузера Tor на Tails:
    • Постоянное правдоподобное отрицание с помощью Whonix внутри Tails:
  • Шаги для всех остальных маршрутов:
    
    • Получите выделенный ноутбук для вашей конфиденциальной деятельности:
    • Некоторые рекомендации по ноутбукам:
    • Настройки BIOS/UEFI/Firmware вашего ноутбука:
    • Физически защитите свой ноутбук от несанкционированного доступа:
  Маршрут Whonix:
  
  • Выбор хост-ОС (ОС, установленная на вашем ноутбуке
  • Хост-ОС Linux:
  • Хост-ОС macOS:
  • Хост-ОС Windows:
  • Virtualbox на вашей хост-ОС:
  • Выберите способ подключения:
  • Ч.2
  • Получение анонимного VPN/прокси:
  • Тор через VPN:
  • Виртуальные машины Whonix:
  • Выберите виртуальную машину гостевой рабоче й станции:
  • Виртуальная машина Linux (Whonix или Linux):
  • Виртуальная машина Windows 10/11:
  • Виртуальная машина Android:
  • Виртуальная машина macOS:
  • KeepassXC:
  • Установка VPN клиента (оплата наличными/monero)
  • (Необяз.) Разрешить доступ к интернету только виртуальным машинам, отключить ОС хоста, чтобы предотвратить утечку
  Маршрут Qubes:
  
  • Выберите способ подключения:/Получение анонимного VPN/прокси:/Примечание о правдоподобном отрицании:/Монтаж:
  • Поведение при закрытии крышки/(AEM):
  • Подключиться к общедоступной сети Wi-Fi:
  • Обновление ОС Qubes:/Обновление Whonix с версии 15 до версии 16:
  • Усиление ОС Qubes:
  • Настройте VPN ProxyVM:
  • Настройте безопасный браузер в ОС Qubes (необязательно, но рекомендуется):
  • Настройте виртуальную машину Android:
  • KeePassXC:
  • Краткое примечание: корреляция против атрибуции:
  • Создание анонимных онлайн-идентификаций
  • Понимание методов, используемых для предотвращения анонимности и проверки личности:/Капчи:
    • Проверка телефона/Подтверждение адреса электронной почты:
    • Проверка сведений о пользователе/Подтверждение личности:
    • IP-фильтры:
    • Отпечатки пальцев браузера и устройства:
    • Человеческое взаимодействие/Пользовательская модерация:/Финансовые операции:
    • Войти на какой-либо платформе:/Живое распознавание лиц и биометрия (опять же)/Ручные обзоры
  • Выход в Интернет:
  • Создание новых идентичностей:
  • Проверяем, ужасен ли ваш выходной узел Tor:
  • Система настоящих имен
  • Обзор:
  • Как делиться файлами в частном порядке и/или общаться в анонимном чате:
  • Как поделиться файлами публично, но анонимно:
  • Безопасное редактирование документов/изображений/видео/аудио:
  • Передача конфиденциальной информации различным известным организациям:
  • Задачи обслуживания:
  • Надежное резервное копирование вашей работы:
    • Автономные резервные копии:
    • Резервные копии выбранных файлов:
    • Полное резервное копирование диска/системы:
    • Резервные копии онлайн:/Файлы:/Информация:
  • Синхронизация файлов между устройствами
  • Онлайн
  • Заметая свои следы/Понимание HDD против SSD:
  • Выравнивание износа.
  • Операции обрезки:
  • Вывоз мусора:
  • Как безопасно стереть весь ноутбук/диски, если вы хотите стереть все:
    • Linux (все версии, включая ОС Qubes):
    • Windows:
    • MakОС:
  • Как безопасно удалить определенные файлы/папки/данные на жестком диске/твердотельном накопителе и флэш-накопителе:
    • Windows:
    • Linux (не Qubes OS):
    • Linux (ОС Qubes):
  • Некоторые дополнительные меры против судебной экспертизы:
    • Удаление метаданных из файлов/документов/изображений:
    • Tails:/Whonix:
    • MakOС:
    • Linux (ОС Qubes)/Linux (не Qubes):
    • Windows:
  • Удаление некоторых следов вашей личности в поисковых системах и различных платформах:
    • Google/Bing/DuckduckGo:
    • Яндекс:
    • Qwant/Поиск Yahoo/Baidu:Wiki/Архив.сегодня/Интернет-архив/Другие:
  • Некоторые низкотехнологичные приемы старой школы:
    • Скрытые коммуникации на виду:
    • Как определить, искал ли кто-то ваши вещи:
  • Некоторые последние мысли OPSEC:
  • Цифровой онлайн OPSEC
  • Физический и IRL OPSEC
  • Если вы думаете, что обожглись:
    
    • Если у вас есть время/Если у вас нет времени:
  • Небольшое заключительное примечание редактора:
  • Приложение A: Установка Windows
    • Монтаж:
    • Настройки конфиденциальности:
  • Приложение B. Дополнительные параметры конфиденциальности Windows
  • Приложение C. Создание установочного носителя Windows
  • Приложение D: Использование System Rescue для безопасной очистки SSD-накопителя.
  • Приложение E: Clonezilla
  • Приложение F: Дисковая часть
  • Приложение G: Безопасный браузер в хост-ОС
    • Если вы можете использовать Tor:
    • Если вы не можете использовать Tor:
  • Приложение H: Средства очистки Windows
  • Приложение I. Использование ShredOS для безопасной очистки жесткого диска:
    • Окна:
    • Линукс:
    • Приложение J: Инструменты производителя для очистки жестких дисков и твердотельных накопителей:
      • Инструменты, которые предоставляют загрузочный диск для очистки от загрузки:
      • Инструменты, обеспечивающие поддержку только от работающей ОС (для внешних накопителей).
    • Приложение K: Рекомендации по использованию внешних SSD-накопителей
      • Окна:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
      • Линукс:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
      • макОС:
        • Поддержка обрезки:
        • Операции ATA/NVMe (безопасное стирание/санация):
    • Приложение L: Создание гостевой виртуальной машины mat2-web для удаления метаданных из файлов
    • Приложение M: параметры BIOS/UEFI для очистки дисков различных марок
    • Приложение N: Предупреждение о смартфонах и смарт-устройствах
    • Приложение O: Получение анонимного VPN/прокси
      • Наличные/Monero-Paid VPN:
      • Самостоятельный VPN/прокси на Monero/VPS с оплатой наличными (для пользователей, более знакомых с Linux):
        • VPN VPS:
        • Сокс прокси VPS:
    • Приложение P: Максимально безопасный доступ к Интернету, когда Tor и VPN недоступны
    • Приложение Q: Использование антенны дальнего действия для подключения к общедоступным сетям Wi-Fi с безопасного расстояния:
    • Приложение R: Установка VPN на вашу виртуальную машину или хост-ОС
    • Приложение S: Проверьте свою сеть на наличие слежки/цензуры с помощью OONI
    • Приложение T: Проверка файлов на наличие вредоносных программ
      • Целостность (при наличии):
      • Подлинность (если есть):
      • Безопасность (проверка на фактическое вредоносное ПО):
        • Антивирусное программное обеспечение:
        • Ручные обзоры:
    • Приложение U: Как обойти (некоторые) локальные ограничения на контролируемых компьютерах
      • Портативные приложения:
      • Загрузочные живые системы:
      • Меры предосторожности:
    • Приложение V. Какой браузер использовать на гостевой/одноразовой виртуальной машине
      • Brave
      • Негугл-Chromium:
      • Край:
      • Сафари:
      • Fire Fox:
      • Тор Браузер:
    • Приложение V1: Повышение безопасности ваших браузеров:
      • Храбрый:
      • Негугл-Chromium:
      • Край:
      • Сафари:
      • Fire Fox:
        • Нормальные настройки:
        • Расширенные настройки:
        • Дополнения для установки/рассмотрения:
        • Бонусные ресурсы:
    • Приложение W: Виртуализация
    • Приложение X: Использование мостов Tor во враждебных средах
    • Приложение Y: Установка и использование настольного браузера Tor
      • Монтаж:
      • Использование и меры предосторожности:
    • Приложение Z: Анонимные онлайн-платежи с использованием криптовалют
      • Разумно анонимный вариант:
      • Экстра-параноидальный анонимный вариант:
      • Предупреждение об особом перемешивании, смешивании, объединении кошельков и услуг конфиденциальности.
      • При конвертации BTC в Monero:
    • Приложение A1: Рекомендуемые поставщики хостинга VPS
    • Приложение A2: Рекомендации по паролям и парольным фразам
    • Приложение A3: Поисковые системы
    • Приложение A4: Противодействие судебной лингвистике
      • Введение:
      • Что ищет противник, изучая ваше письмо?
      • Примеры:
      • Как противодействовать усилиям вашего противника:
      • Что различные языковые варианты могут сказать о вас:
        • Смайлики:
        • Структурные особенности:
        • Орфографический сленг и символы:
      • Методы предотвращения записи:
        • Проверка орфографии и грамматики:
        • Техника перевода:
        • Найдите и замените:
        • Заключительный совет:
      • Бонусные ссылки:
    • Приложение A5: Дополнительные меры предосторожности при использовании браузера с включенным JavaScript
    • Приложение A6: Зеркала
    • Приложение A7: Сравнение версий
    • Приложение A8: Услуги по обмену криптовалюты без регистрации и KYC
      • Общий обмен криптовалюты:
      • Только BTC в Monero:
    • Приложение A9: Установка кошелька Zcash:
      • Дебиан 11 ВМ:
      • Ubuntu 20.04/21.04/21.10 ВМ:
      • ВМ Windows 10/11:
      • Рабочая станция Whonix 16 ВМ:
    • Приложение B1: Контрольный список вещей, которые необходимо проверить, прежде чем делиться информацией:
    • Приложение B2: Отказ от ответственности Monero
    • Приложение B3: Ресурсы по моделированию угроз
    • Приложение B4: Важные примечания о злой деве и несанкционированном вмешательстве
    • Приложение B5: Типы атак на ЦП:
    • Приложение B6: Предупреждение об использовании Orbot на Android
    • Приложение B7: Предупреждение о сессионном мессенджере
    • Использованная литература:

 

[[helper]]

Установка VPN-клиента (оплата наличными/Monero):​

Если вы решили не использовать VPN с оплатой наличными, а просто хотите использовать Tor, пропустите этот шаг.

Если вы вообще не можете использовать VPN во враждебной среде, пропустите этот шаг.

На этом Маршрут должен быть завершен, и теперь вы должны быть готовы.

О интеллектуальном анализе/утечке данных VPN-клиента:​

Вы можете спросить себя, заслуживают ли доверия эти VPN-клиенты, чтобы не передавать какую-либо информацию о вашей локальной среде провайдеру VPN при использовании их в контексте «VPN через Tor».

Это серьезная проблема, но ее следует воспринимать с долей скептицизма.

Помните, что все действия VPN происходят из изолированной виртуальной машины во внутренней сети за сетевым шлюзом (шлюзом Whonix). Не имеет большого значения, если VPN-клиент оставит какие-то идентификаторы на вашей гостевой ВМ. Гостевая виртуальная машина по-прежнему находится в песочнице и отделена стеной от хост-ОС. Поверхность атаки невелика, особенно при использовании надежных и рекомендуемых провайдеров VPN в руководствах (iVPN, Mullvad, Proton VPN и, возможно, Safing.io).

В лучшем случае VPN-клиент будет знать ваш локальный IP-адрес (внутренний IP-адрес) и некоторые рандомизированные идентификаторы, но не сможет ничего получить от хост-ОС. И теоретически клиент VPN не должен отправлять данные телеметрии обратно провайдеру VPN. Если ваш VPN-клиент делает это или запрашивает это, вам следует подумать о смене провайдера.

 

[[helper]]

(Необязательно) Разрешить доступ к Интернету только виртуальным машинам, отключив ОС хоста, чтобы предотвратить утечку:​

Этот шаг позволит вам настроить хост-ОС так, чтобы только виртуальная машина Whonix Gateway имела доступ к Интернету. Таким образом, это предотвратит любую «утечку» из вашей хост-ОС, позволяя Whonix Gateway установить подключение к tor. Другие виртуальные машины (Whonix Workstation или любая другая виртуальная машина, которую вы установили за ней, не будут затронуты)

Есть три способа сделать это:

• Ленивый способ (на самом деле не рекомендуется): не поддерживается Whonix и может иметь некоторые последствия для безопасности, поскольку вы будете подвергать виртуальную машину Whonix Gateway общедоступной сети Wi-Fi. Мы бы не рекомендовали это, если вы не торопитесь или очень ленивы.
  • Этот метод не будет работать с авторизованными порталами Wi-Fi, требующими регистрации для подключения.
• Лучший способ (см. ниже): по-прежнему не поддерживается Whonix, но он не будет предоставлять виртуальную машину Whonix Gateway для общедоступной сети Wi-Fi. Это должно держать вещи под контролем с точки зрения безопасности.
• Лучший способ: использовать внешний USB-ключ Wi-Fi и просто отключить Wi-Fi на хост-ОС/компьютере.

Ленивый способ ( не поддерживается Whonix, но сработает, если вы спешите, см. далее лучший способ):​

Этот способ не поддерживается проектом Whonix , но я все равно предоставлю этот вариант. Это полезно для предотвращения утечки какой-либо информации из вашей ОС хоста, когда вы используете виртуальные машины Whonix.

Обратите внимание, что эта опция как есть будет работать только в сетях Wi-Fi без авторизованного портала (где вы должны ввести некоторую информацию, чтобы разблокировать доступ).

На рисунке ниже показан результат этого шага:

КОНФИГУРАЦИЯ ВМ WHONIX GATEWAY:​

Чтобы это работало, нам нужно будет изменить некоторые конфигурации виртуальной машины Whonix Gateway. нам нужно будет добавить DHCP-клиент в Whonix Gateway для получения IP-адресов из сети. Для внесения этих изменений хост-ОС по-прежнему должен иметь доступ в Интернет на данный момент.

Итак, вот как:

• Убедитесь, что ваша хост-ОС подключена к безопасному Wi-Fi.
• Через VirtualBox запустите виртуальную машину Whonix Gateway.
• Запустите терминал на виртуальной машине
• Установите DHCP-клиент на виртуальную машину Whonix Gateway с помощью следующей команды:
  • sudo apt install dhcpcd5
• Теперь отредактируйте сетевую конфигурацию виртуальной машины Whonix Gateway с помощью следующей команды:
  • sudo nano /etc/network/interfaces.d/30_non-qubes-whonix
• В файле измените следующие строки:
  • # auto eth0кauto eth0
  • # iface eth0 inet dhcpкiface eth0 inet dhcp
  • iface eth0 inet staticк# iface eth0 inet static
  • address 10.0.2.15к# address 10.0.2.15
  • netmask 255.255.255.0к# netmask 255.255.255.0
  • gateway 10.0.2.2к# gateway 10.0.2.2
• Сохраните (используя Ctrl+X и подтвердите с помощью Y) и выключите виртуальную машину из верхнего левого меню.
• Зайдите в приложение VirtualBox и выберите виртуальную машину Whonix Gateway.
• Нажмите Настройки
• Щелкните вкладку «Сеть».
• Для адаптера 1 измените значение «Attached To» с «NAT» на «Bridged Adapter».
• В качестве «Имени» выберите сетевой адаптер Wi-Fi.
• Нажмите OK, и вы закончите с частью конфигурации виртуальной машины.

КОНФИГУРАЦИЯ ХОСТ-ОС:​

Теперь вы должны заблокировать доступ в Интернет из вашей хост-ОС, но при этом разрешить подключение виртуальной машины. Это будет сделано путем подключения к Wi-Fi с хост-ОС, но без назначения себе IP-адреса. Затем виртуальная машина будет использовать вашу ассоциацию Wi-Fi для получения IP-адреса.

ХОСТ-ОС WINDOWS:​

Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:

• Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
• Откройте административную командную строку (щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора»).
• Выполните следующую команду: route delete 0.0.0.0(это удалит шлюз из вашей IP-конфигурации)
• Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
  • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
• Теперь вы можете запустить виртуальную машину Whonix Gateway, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
• И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.

ХОСТ-ОС LINUX:​

Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:

• Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
• Откройте терминал
• Выполните следующую команду: sudo ip route del default(это удалит шлюз из вашей IP-конфигурации)
• Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
  • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
• Теперь вы можете запустить виртуальную машину Whonix Gateway, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
• И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.

MACOS ХОСТОС:​

Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету
без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:

• Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
• Откройте терминал
• Выполните следующую команду: sudo route delete default(это удалит шлюз из вашей IP-конфигурации)
• Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
  • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
• Теперь вы можете запустить виртуальную машину Whonix Gateway, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
• И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.

Лучший способ (рекомендуется):​

Этот способ не будет противоречить рекомендациям Whonix (поскольку он не будет подвергать Whonix Gateway хост-ОС) и будет иметь то преимущество, что позволит подключаться не только к открытому Wi-Fi, но и к тем, у которых есть Captive Portal, где вам нужно введите некоторую информацию для доступа в Интернет.

Тем не менее, это по-прежнему не будет поддерживаться проектом Whonix, но это нормально, поскольку основная проблема более раннего Lazy Way заключается в том, чтобы виртуальная машина Whonix Gateway была открыта для хост-сети, и здесь этого не будет.

Для этого варианта потребуется дополнительная виртуальная машина между ОС хоста и шлюзом Whonix, которая будет действовать как сетевой мост.

Для этой цели я рекомендую использовать легкий дистрибутив Linux. Подойдет любой, но самым простым будет дистрибутив на основе Ubuntu, и я бы порекомендовал облегченный XUbuntu, так как его будет чрезвычайно легко настроить.

Почему XUbuntu, а не Ubuntu или KUbuntu? Поскольку XUbuntu использует легковесную среду рабочего стола XFCE, эта виртуальная машина будет служить только прокси-сервером и ничем другим.

Конечно, вы также можете добиться этого с любым другим дистрибутивом Linux, если решите, что вам не нравится XUbuntu.

Вот как это будет выглядеть в конце

УСТАНОВКА ВИРТУАЛЬНОЙ МАШИНЫ XUBUNTU:​

XUbuntu был выбран из-за производительности XFCE.

Убедитесь, что вы подключены к безопасному Wi-Fi для этой операции.

Во-первых, вам нужно будет загрузить последнюю стабильную версию XUbuntu ISO со страницы https://xubuntu.org/download/ .

Когда вы закончите загрузку, пришло время создать новую виртуальную машину:

• Запустите менеджер VirtualBox
• Создайте новую виртуальную машину и назовите ее как хотите, например «XUbuntu Bridge».
• Выберите тип «Линукс»
• Выберите версию «Ubuntu (64-разрядная версия)».
• Оставьте другие параметры по умолчанию и нажмите «Создать».
• На следующем экране оставьте параметры по умолчанию и нажмите «Создать».
• Выберите только что созданную виртуальную машину и нажмите «Настройки».
• Выберите сеть
• Для адаптера 1 переключитесь в режим моста и выберите адаптер Wi-Fi в названии.
• Выберите адаптер 2 и включите его.
• Прикрепите его к «Внутренней сети» и назовите «XUbuntu Bridge».
• Выберите хранилище
• Выберите пустой дисковод компакт-дисков
• С правой стороны щелкните значок компакт-диска и выберите «Выбрать файл на диске».
• Выберите ISO-образ XUbuntu, который вы ранее загрузили, и нажмите «ОК».
• Запустите виртуальную машину
• Выберите «Запустить XUbuntu».
• Выберите «Установить XUbuntu».
• Выберите раскладку клавиатуры и нажмите «Продолжить».
• Выберите «Минимальная установка» и «Загрузите обновления» при установке XUbuntu.
• Выберите «Стереть диск», установите XUbuntu и нажмите «Установить сейчас».
• Выберите часовой пояс по вашему выбору и нажмите «Продолжить».
• Выберите несколько случайных имен, не связанных с вами (мое любимое имя пользователя — «NoSuchAccount»).
• Выберите пароль и требуйте пароль для входа
• Нажмите «Продолжить» и дождитесь окончания установки и перезапустите.
• Когда вы закончите перезагрузку, войдите в систему
• Нажмите на значок соединения в правом верхнем углу (он выглядит как две вращающиеся сферы)
• Щелкните Редактировать соединения.
• Выберите проводное соединение 2 (адаптер 2, ранее настроенный в настройках VirtualBox)
• Выберите вкладку IPv4.
• Измените метод на «Общий доступ к другим компьютерам» и нажмите «Сохранить».
• Теперь вы закончили настройку виртуальной машины XUbuntu Bridge.

НАСТРОЙКА ВМ WHONIX GATEWAY:​

По умолчанию Whonix Gateway не имеет DHCP-клиента и потребует его для получения IP-адреса из общей сети, которую вы настроили ранее:

• Через VirtualBox запустите виртуальную машину Whonix Gateway.
• Запустите терминал на виртуальной машине
• Установите DHCP-клиент на виртуальную машину Whonix Gateway с помощью следующей команды:
  • sudo apt install dhcpcd5
• Теперь отредактируйте сетевую конфигурацию виртуальной машины Whonix Gateway с помощью следующей команды:
  • sudo nano /etc/network/interfaces.d/30_non-qubes-whonix
• В файле измените следующие строки:
  • # auto eth0кauto eth0
  • # iface eth0 inet dhcpкiface eth0 inet dhcp
  • iface eth0 inet staticк# iface eth0 inet static
  • address 10.0.2.15к# address 10.0.2.15
  • netmask 255.255.255.0к# netmask 255.255.255.0
  • gateway 10.0.2.2к# gateway 10.0.2.2
• Сохраните (используя Ctrl+X и подтвердите с помощью Y) и выключите виртуальную машину из верхнего левого меню.
• Зайдите в приложение VirtualBox и выберите виртуальную машину Whonix Gateway.
• Нажмите Настройки
• Щелкните вкладку «Сеть».
• Для адаптера 1 измените значение «Присоединен к» с «NAT» на «Внутренняя сеть».
• В качестве «Имени» выберите созданную ранее внутреннюю
  • В качестве «Имени» выберите созданную ранее внутреннюю сеть «XUbuntu Bridge» и нажмите «ОК».
  • Перезагрузите виртуальную машину Whonix Gateway.
  • В верхнем левом меню выберите «Система», «Панель управления Tor» и убедитесь, что вы подключены (вы должны быть)
  • Вы закончили настройку виртуальной машины Whonix Gateway.
  • КОНФИГУРАЦИЯ ХОСТ-ОС:
  • 
    
  Теперь вы должны заблокировать доступ в Интернет из вашей хост-ОС, но при этом разрешить подключение виртуальной машины моста XUbuntu. Это будет сделано путем подключения к Wi-Fi с ОС хоста, но без назначения адреса шлюза. Затем виртуальная машина будет использовать вашу ассоциацию Wi-Fi для получения IP-адреса.
  
  При необходимости из виртуальной машины XUbuntu Bridge вы сможете запустить браузер для ввода информации в любой портал авторизации/регистрации в сети Wi-Fi.
  
  Только виртуальная машина XUbuntu Bridge должна иметь доступ к Интернету. ОС хоста будет ограничена только локальным трафиком.
  
  

  ХОСТ-ОС WINDOWS:​

  Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:
  • Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
  • Откройте административную командную строку (щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора»).
  • Выполните следующую команду: route delete 0.0.0.0(это удалит шлюз из вашей IP-конфигурации)
  • Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
    • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
  • Теперь вы можете запустить виртуальную машину XUbuntu Bridge, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
  • При необходимости вы можете использовать XUbuntu Bridge VM Browser для заполнения любой информации на любом авторизованном/регистрационном портале для доступа к Wi-Fi.
  • После этого вы можете запустить виртуальную машину Whonix Gateway, которая должна получить подключение к Интернету от виртуальной машины XUbuntu Bridge.
  • И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.
  • ХОСТ-ОС LINUX:
  • 
    
  Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:
  • Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
  • Откройте терминал
  • Выполните следующую команду: sudo ip route del default(это удалит шлюз из вашей IP-конфигурации)
  • Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
    • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
  • Теперь вы можете запустить виртуальную машину XUbuntu Bridge, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
  • При необходимости вы можете использовать XUbuntu Bridge VM Browser для заполнения любой информации на любом авторизованном/регистрационном портале для доступа к Wi-Fi.
  • После этого вы можете запустить виртуальную машину Whonix Gateway, которая должна получить подключение к Интернету от виртуальной машины XUbuntu Bridge.
  • И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.
  • MACOS ХОСТОС:
  • 
    
  Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:
  • Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
  • Откройте терминал
  • Выполните следующую команду: sudo route delete default(это удалит шлюз из вашей IP-конфигурации)
  • Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
    • Обратите внимание, что это будет сбрасываться
    • • при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
    • Теперь вы можете запустить виртуальную машину XUbuntu Bridge, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
    • При необходимости вы можете использовать XUbuntu Bridge VM Browser для заполнения любой информации на любом авторизованном/регистрационном портале для доступа к Wi-Fi.
    • После этого вы можете запустить виртуальную машину Whonix Gateway, которая должна получить подключение к Интернету от виртуальной машины XUbuntu Bridge.
    • И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.

MACOS ХОСТОС:​

Цель здесь — подключиться к сети Wi-Fi без подключения к Интернету. Вы добьетесь этого, удалив шлюз из соединения после того, как вы подключитесь:

• Сначала подключитесь к безопасному Wi-Fi по вашему выбору.
• Откройте терминал
• Выполните следующую команду: sudo route delete default(это удалит шлюз из вашей IP-конфигурации)
• Готово, ваша хост-ОС теперь не сможет получить доступ к Интернету, пока все еще подключена к Wi-Fi.
  • Обратите внимание, что это будет сбрасываться при каждом отключении/повторном подключении к сети, и вам придется снова удалять маршрут. Это не постоянно.
• Теперь вы можете запустить виртуальную машину XUbuntu Bridge, которая теперь должна автоматически получать IP-адрес из сети Wi-Fi и предоставлять сеть другим виртуальным машинам позади (Whonix Workstation или другим).
• При необходимости вы можете использовать XUbuntu Bridge VM Browser для заполнения любой информации на любом авторизованном/регистрационном портале для доступа к Wi-Fi.
• После этого вы можете запустить виртуальную машину Whonix Gateway, которая должна получить подключение к Интернету от виртуальной машины XUbuntu Bridge.
• И, наконец, после этого вы можете запустить виртуальную машину Whonix Workstation (или любую другую виртуальную машину, которую вы настроили для работы за виртуальной машиной Whonix Gateway), и она должна быть подключена к Интернету через Tor.

Лучший способ:​

Этот способ не будет противоречить рекомендациям Whonix (поскольку он не будет подвергать Whonix Gateway хост-ОС) и будет иметь то преимущество, что позволит подключаться не только к открытому Wi-Fi, но и к тем, у которых есть Captive Portal, где вам нужно введите некоторую информацию для доступа в Интернет. Тем не менее, это по-прежнему не будет поддерживаться проектом Whonix, но это нормально, поскольку основная проблема более раннего Lazy Way заключается в том, чтобы виртуальная машина Whonix Gateway была открыта для хост-сети, и здесь этого не будет. Этот вариант является лучшим, потому что сеть будет полностью отключена от загрузки ОС хоста.

Для этого варианта потребуется дополнительная виртуальная машина между ОС хоста и шлюзом Whonix, которая будет действовать как сетевой мост и подключаться к сети Wi-Fi. Для этого варианта требуется работающий USB-ключ Wi-Fi, который будет передаваться на виртуальную машину моста.

Для этой цели я рекомендую использовать легкий дистрибутив Linux. Подойдет любой, но самым простым будет дистрибутив на основе Ubuntu, и я бы порекомендовал облегченный XUbuntu, так как его будет чрезвычайно легко настроить.

Почему XUbuntu, а не Ubuntu или KUbuntu? Поскольку XUbuntu использует легковесную среду рабочего стола XFCE, эта виртуальная машина будет служить только прокси-сервером и ничем другим.

Конечно, вы также можете добиться этого с любым другим дистрибутивом Linux, если решите, что вам не нравится XUbuntu.

Вот как это будет выглядеть в конце:

 

[GigaGo]

Не мало хорошего материала тут смотрю) Подпишусь, сохраню в закладки. Еще в комментариях надо будет всё прочитать))

 

[Spellsinger]

Автору спасибо, годный материал

 

[[helper]]

Маршрут Qubes:​

Обратите внимание, что руководство было обновлено до версии Qubes OS 4.1.

Как говорится на их веб-сайте, Qubes OS — достаточно безопасная, бесплатная, ориентированная на безопасность операционная система с открытым исходным кодом для однопользовательских настольных компьютеров. ОС Qubes использует и широко использует виртуализацию на основе Xen для создания и управления изолированными отсеками, называемыми Qubes.

Qubes OS — это не дистрибутив Linux , а дистрибутив Xen. Он отличается от дистрибутивов Linux, поскольку будет широко использовать виртуализацию и разделение, так что любое приложение будет работать на другой виртуальной машине (Qube). В качестве бонуса ОС Qubes по умолчанию интегрирует Whonix и обеспечивает повышенную конфиденциальность и анонимность. Настоятельно рекомендуется задокументировать принципы ОС Qubes, прежде чем идти по этому пути. Вот некоторые рекомендуемые ресурсы:

• Введение в ОС Qubes, https://www.qubes-os.org/intro/ [Archive.org]
• Видеотуры Qubes OS, https://www.qubes-os.org/video-tours/ [Archive.org]
• Начало работы с ОС Qubes, https://www.qubes-os.org/doc/getting-started/ [Archive.org]
• YouTube, Жизнь за фольгой: взгляд на Qubes и Copperhead — Константин Рябицев, The Linux Foundation https://www.youtube.com/watch?v=8cU4hQg6GvU [Invidious]
• YouTube, Мы использовали достаточно безопасную ОС Qubes в течение 6 месяцев и выжили — Мэтти Макфатти [@themattymcfatty] https://www.youtube.com/watch?v=sbN5Bz3v-uA [Invidious]
• YouTube, ОС Qubes: как это работает и демонстрация этой ориентированной на виртуальные машины ОС https://www.youtube.com/watch?v=YPAvoFsvSbg [Invidious]

Эту ОС рекомендуют такие видные деятели, как Эдвард Сноуден, PrivacyGuides.org.

Qubes — лучший вариант в этом руководстве для людей, которым удобнее работать с Linux и технологиями в целом. Но у него есть некоторые недостатки, такие как отсутствие правдоподобного отрицания для всей ОС, требования к оборудованию и совместимость с оборудованием. Хотя вы можете запустить это на 4 ГБ ОЗУ в соответствии с их требованиями [Archive.org] , рекомендуемый объем ОЗУ составляет 16 ГБ. Мы не рекомендуем использовать ОС Qubes, если у вас менее 8 ГБ ОЗУ. Если вы хотите комфортного использования, у вас должно быть 16 ГБ, если вы хотите особенно приятного опыта, у вас должно быть 24 ГБ или 32 ГБ.

Причина этого требования к ОЗУ заключается в том, что каждое приложение будет работать на отдельной виртуальной машине, и каждой из этих виртуальных машин потребуется и будет выделен определенный объем памяти, который не будет доступен для других приложений. Если вы запускаете собственные приложения Windows в Qubes OS Qubes, накладные расходы оперативной памяти будут значительными.

Вы также должны проверить их аппаратную совместимость здесь https://www.qubes-os.org/hcl/ [Archive.org] , прежде чем продолжить. Ваш пробег может отличаться, и вы можете столкнуться с несколькими проблемами совместимости оборудования, которые вам придется устранять и решать самостоятельно.

Я думаю, что если вы можете себе это позволить и вас устраивает идея использования Linux, вам следует пойти по этому пути, так как он, вероятно, лучший с точки зрения безопасности и конфиденциальности. Единственным недостатком этого маршрута является то, что он не позволяет включить правдоподобное отрицание для всей ОС [Archive.org] , в отличие от маршрута Whonix.

Выберите способ подключения:​

В этом маршруте есть семь возможностей:

• Рекомендуемые и предпочтительные:
  • Используйте только Tor (Пользователь > Tor > Интернет)
  • Используйте VPN через Tor (Пользователь > Tor > VPN > Интернет) в определенных случаях
  • Используйте VPS с собственным VPN/прокси через Tor (Пользователь > Tor > Самостоятельный VPN/прокси > Интернет) в определенных случаях.
• Возможно, если этого требует контекст:
  • Используйте VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет)
  • Используйте Tor через VPN (Пользователь > VPN > Tor > Интернет)
• Не рекомендуется и опасно:
  • Использовать только VPN (Пользователь > VPN > Интернет)
  • Используйте VPN через VPN (Пользователь > VPN > VPN > Интернет)
• Не рекомендуется и очень рискованно (но возможно)
  • Без VPN и без Tor (Пользователь > Интернет)

Только Тор:​

Это предпочтительное и наиболее рекомендуемое решение.

С этим решением вся ваша сеть проходит через Tor, и в большинстве случаев этого должно быть достаточно, чтобы гарантировать вашу анонимность.

Однако есть один главный недостаток: некоторые сервисы полностью блокируют/банят узлы Tor Exit и не позволяют создавать на них учетные записи.

Чтобы смягчить это, вам, возможно, придется рассмотреть следующий вариант: VPN через Tor, но при этом учитывать некоторые риски, связанные с этим, которые описаны в следующем разделе.

VPN/прокси через Tor:​

Это решение может принести некоторые преимущества в некоторых конкретных случаях по сравнению с использованием Tor только в тех случаях, когда доступ к целевому сервису был бы невозможен с выходного узла Tor. Это связано с тем, что многие службы просто прямо запрещают, препятствуют или блокируют узлы выхода Tor (см. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org] ).

Это решение может быть достигнуто двумя способами:

• Платный VPN через Tor (самый простой)
• Платный VPS с собственным хостингом, сконфигурированный как VPN/Proxy (наиболее эффективен для обхода онлайн-препятствий, таких как капчи, но требует дополнительных навыков работы с Linux)

Как вы можете видеть на этом рисунке, если ваш наличный (предпочтительный)/оплачиваемый Monero VPN/прокси скомпрометирован злоумышленником (несмотря на их заявление о конфиденциальности и политику отсутствия ведения журнала), он найдет только анонимный наличный/платный VPN-аккаунт Monero, подключающийся к их услугам с узла Tor Exit.


Если злоумышленнику
Если злоумышленнику каким-то образом удастся скомпрометировать и сеть Tor, он раскроет только IP-адрес случайного общедоступного Wi-Fi, который не привязан к вашей личности.

Если злоумышленник каким-либо образом скомпрометирует вашу ОС виртуальной машины (например, с помощью вредоносного ПО или эксплойта), он окажется в ловушке во внутренней сети Whonix и не сможет раскрыть IP-адрес общедоступного Wi-Fi.

Однако у этого решения есть один главный недостаток, который следует учитывать: вмешательство в изоляцию Tor Stream

Изоляция потока — это метод смягчения, используемый для предотвращения некоторых корреляционных атак за счет использования разных цепей Tor для каждого приложения. Вот иллюстрация, показывающая, что такое изоляция потока:

VPN/прокси через Tor находится справа что означает, что использование VPN/прокси через Tor заставляет Tor использовать один канал для всех действий вместо нескольких каналов для каждого. Это означает, что использование VPN/прокси через Tor может снизить эффективность Tor в некоторых случаях и поэтому должно использоваться только в некоторых конкретных случаях:

• Когда ваш целевой сервис не разрешает узлы Tor Exit.
• Когда вы не возражаете против использования общего канала Tor для различных сервисов. Например, для использования различных аутентифицированных сервисов.

Однако вам не следует использовать этот метод, если ваша цель состоит в том, чтобы просто просматривать случайные различные веб-сайты, не прошедшие проверку подлинности, поскольку вы не получите выгоды от изоляции потока, и это может упростить корреляционные атаки для злоумышленника между каждым из ваших сеансов

Тор через VPN:​

Вам может быть интересно: а как насчет использования Tor через VPN вместо VPN через Tor?

• Недостатки
  • Ваш провайдер VPN — это просто еще один интернет-провайдер, который узнает ваш исходный IP-адрес и сможет при необходимости деанонимизировать вас. Мы им не доверяем. Предпочитайте ситуацию, когда ваш провайдер VPN не знает, кто вы. Это не добавляет многого в плане анонимности.
  • Это приведет к тому, что вы будете подключаться к различным службам, используя IP-адрес выходного узла Tor, который запрещен или помечен во многих местах. Это не помогает с точки зрения удобства.
• Преимущества:
  • Основное преимущество в том, что если вы находитесь во враждебной среде, где доступ через Tor невозможен/опасн/подозрителен, но с VPN все в порядке.
  • Этот метод также не нарушает изоляцию Tor Stream.

Обратите внимание: если у вас возникли проблемы с доступом к сети Tor из-за блокировки/цензуры, вы можете попробовать использовать Tor Bridges (см. документацию Tor https://2019.www.torproject.org/docs/bridges [Archive.org] и Whonix ). Документация https://www.whonix.org/wiki/Bridges [Archive.org] ).

Также можно рассмотреть VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет) , используя вместо этого два платных VPN с наличными/Monero. Это означает, что вы подключите хост-ОС к первому VPN через общедоступный Wi-Fi, затем Whonix подключится к Tor и, наконец, ваша виртуальная машина подключится ко второму VPN через Tor через VPN (см . whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org] ).

Это, конечно, окажет значительное влияние на производительность и может быть довольно медленным, но где-то Tor необходим для достижения разумной анонимности.

Достичь этого технически легко в рамках этого маршрута, вам нужны две отдельные анонимные учетные записи VPN, и вы должны подключиться к первой VPN из хост-ОС и следовать по маршруту.

Вывод: делайте это только в том случае, если вы считаете, что использование Tor в одиночку рискованно/невозможно, но с VPN все в порядке. Или просто потому, что можно, а почему бы и нет. Этот метод не снизит вашу безопасность/конфиденциальность/анонимность.

Только VPN:​

Этот маршрут не будет ни объяснен, ни рекомендован.

Если вы можете использовать VPN, вы сможете добавить поверх него уровень Tor. И если вы можете использовать Tor, вы можете добавить анонимный VPN через Tor, чтобы получить предпочтительное решение.

Простое использование VPN или даже VPN через VPN не имеет смысла, поскольку со временем их можно отследить до вас. Один из провайдеров VPN будет знать ваш настоящий исходный IP-адрес (даже если он находится в безопасном публичном месте), и даже если вы добавите его поверх него, второй все равно будет знать, что вы использовали этот другой первый VPN-сервис. Это лишь немного задержит вашу деанонимизацию. Да, это дополнительный уровень… но это постоянный централизованный дополнительный уровень, и со временем вы можете быть деанонимизированы. Это просто цепочка из 3 интернет-провайдеров, все из которых подлежат законным запросам.

Для получения дополнительной информации см. следующие ссылки:

• https://www.whonix.org/wiki/Comparison_Of_Tor_with_CGI_Proxies,_Proxy_Chains,_and_VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Архив.org]
• https://www.researchgate.net/publication/324251041_Anonymity_communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Архив.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

В контексте этого руководства Tor требуется где-то для достижения разумной и безопасной анонимности, и вы должны использовать его, если можете.

Без VPN/Tor:​

Если вы не можете использовать VPN или Tor там, где находитесь, вы, вероятно, находитесь в очень враждебной среде, где наблюдение и контроль чрезвычайно высоки.

Просто не надо, это того не стоит и слишком рискованно. Вы можете быть практически мгновенно деанонимизированы любым мотивированным противником, который может добраться до вашего физического местоположения за считанные минуты.
Ч.2

Тип соединения	Анонимность	Простота доступа к онлайн-ресурсам	Изоляция Tor Stream	Безопаснее там, где Tor подозрительный/опасный	Скорость	Расходы	рекомендуемые
Тор один	Хороший	Середина	Возможный	Нет	Середина	Бесплатно	Да
Тор через VPN	Хороший+	Середина	Возможный	Да	Середина	Около 50€/год	При необходимости (Tor недоступен)
Тор через VPN через Tor	Лучший	Середина	Возможный	Да	Медленный	Около 50€/год	Да
VPN через Тор	Хороший-	Хороший	Нет	Нет	Середина	Около 50€/год	При необходимости (удобство)
Собственный VPS VPN/прокси через Tor	Хороший-	Отлично	Нет	Нет	Середина	Около 50€/год	При необходимости (удобство)
VPN/прокси через Tor через VPN	Хороший-	Хороший	Нет	Да	Медленный	Около 100€/год	При необходимости (удобство и недоступный Tor)
Только VPN/прокси	Плохо	Хороший	Н/д	Да	Хороший	Около 50€/год	Нет
Без Тора и ВПН	Плохо	Неизвестно	Н/д	Нет	Хороший	Около 100 € (антенна)	Нет. На свой страх и риск

ор через VPN через Tor	Лучший	Середина	Возможный	Да	Бедный	Около 50€/год	Да
VPN через Тор	Хороший-	Хороший	Нет	Нет	Середина	Около 50€/год	При необходимости (удобство)
Собственный VPS VPN/прокси через Tor	Хороший-	Отлично	Нет	Нет	Середина	Около 50€/год	При необходимости (удобство)
VPN/прокси через Tor через VPN	Хороший-	Хороший	Нет	Да	Бедный	Около 100€/год	При необходимости (удобство и недоступный Tor)
Только VPN/прокси	Плохо	Хороший	Н/Д	Да	Хороший	Около 50€/год	Нет
Без Тора и ВПН	Плохо	Неизвестный	Н/Д	Нет	Хороший	Около 100 € (антенна)	Нет. На свой страх и риск.

К сожалению, использование только Tor вызовет подозрения у многих платформ назначения. Вы столкнетесь со многими препятствиями (каптчами, ошибками, трудностями при регистрации), если будете использовать только Tor. Кроме того, использование Tor там, где вы находитесь, может создать вам проблемы только из-за этого. Но Tor остается лучшим решением для анонимности и должен быть где-то для анонимности.

• Если вы намерены создать постоянные общие и аутентифицированные удостоверения в различных службах, где доступ из Tor затруднен, мы рекомендуем варианты VPN через Tor и VPS VPN/Proxy через Tor(или VPN через Tor через VPN, если необходимо). Это может быть немного менее защищено от корреляционных атак из-за нарушения изоляции Tor Stream, но обеспечивает гораздо более удобный доступ к онлайн-ресурсам, чем просто использование Tor. Это «приемлемый» компромисс IMHP, если вы достаточно осторожны со своей личностью.
  • Примечание. Становится все более распространенным, что основные сервисы и CDNS также блокируют или мешают пользователям VPN с помощью капчи и других различных препятствий . В этом случае самостоятельный VPS с VPN / прокси через Tor является лучшим решением для этого, поскольку наличие собственного выделенного VPS гарантирует, что вы являетесь единственным пользователем своего IP и практически не сталкиваетесь с препятствиями.

Примечание о правдоподобном отрицании:​

ОС Qubes использует LUKS для полного шифрования диска, и технически возможно достичь формы отрицания с помощью отдельных заголовков LUKS. Это еще не интегрировано в это руководство, но вы найдете развивающееся руководство о том, как этого добиться, здесь: https://forum.qubes-os.org/t/qubes-os-installation-detached-encrypted-boot-and- header/6205 и дополнительную справочную информацию в разделе Linux Host Os

Монтаж:​

Вы будете следовать инструкциям из их собственного руководства https://www.qubes-os.org/doc/installation-guide/ [Archive.org] :

(Безопасная загрузка не поддерживается в соответствии с их часто задаваемыми вопросами: https://www.qubes-os.org/faq/#is-secure-boot-supported [Archive.org] , поэтому ее следует отключить в настройках BIOS/UEFI. )

• Загрузите последнюю версию установочного ISO-образа Qubes OS 4.1.x в соответствии со списком совместимого оборудования.
• Получите и проверьте основной ключ подписи ОС Qubes: https://keys.qubes-os.org/keys/qubes-master-signing-key.asc .
• Подготовьте USB-ключ с ISO-файлом ОС Qubes.
• Установите ОС Qubes согласно инструкции по установке:
  • Если вы хотите использовать Tor или VPN через Tor: установите флажок « Включение обновлений системы и шаблонов через анонимную сеть Tor с помощью Whonix» на последнем шаге. Это заставит все обновления ОС Qubes проходить через Tor. Хотя это значительно снизит вашу скорость обновления, это с самого начала повысит вашу анонимность. (Если у вас возникли проблемы с подключением к Tor из-за цензуры или блокировки, рассмотрите возможность использования Tor Bridges, как было рекомендовано ранее. Просто следуйте инструкциям, представленным здесь: https://www.whonix.org/wiki/Bridges [Archive.org] )
  • Если вы хотите использовать Tor через VPN или не можете использовать ни один из них, не устанавливайте этот флажок.
  • Будьте абсолютно уверены, что вы проверяете подпись ISO, которую вы можете найти на этой странице: https://www.qubes-os.org/security/verifying-signatures/ [Archive.org] . Проверьте, получив отпечаток пальца из нескольких независимых источников несколькими различными способами в соответствии с рекомендациями. Это делается для того, чтобы изображение не было изменено. Не пропускайте этот жизненно важный шаг, даже если вы знаете, что получаете ISO-образ из надежного источника, потому что веб-сайт Qubes может быть скомпрометирован.
• Если вам запрещено использовать Tor, нет смысла устанавливать шаблоны ВМ Whonix. Вы можете отключить установку Whonix во время работы мастера первоначальной настройки после установки.

Чтобы убедиться, что ваш ISO-образ Qubes не был подделан, вы должны получить отпечаток главного ключа Qubes из нескольких разных источников. Это руководство может быть использовано как один из источников.

Отпечаток главного ключа подписи Qubes должен совпадать с 427F 11FD 0FAA 4B08 0123 F01C DDFA 1A3E 3687 9494.

 

[[helper]]

Поведение при закрытии крышки:​

К сожалению, ОС Qubes не поддерживает режим гибернации ,что является проблемой для атак с холодной загрузкой. Чтобы смягчить их, я настоятельно рекомендую вам настроить ОС Qubes на отключение при любом действии питания (кнопка питания, закрытие крышки). Вы можете установить это из XFCE Power Manager. Не используйте функции сна.

Anti Evil Maid(AEM):​

Предупреждение ! Этот шаг работает только с процессорами Intel, устаревшей версией BIOS и TPM 1.2. Если вы не соответствуете этим требованиям, пропустите этот шаг.

Anti Evil Maid — это реализация статической доверенной загрузки на основе TPM, основной целью которой является предотвращение атак Evil Maid. Для установки и использования AEM необходимо подключить USB-накопитель непосредственно к dom0. Таким образом, пользователь должен сделать выбор между защитой dom0 от потенциально вредоносного USB-накопителя и защитой системы от атак Evil Maid. Обратите внимание, что AEM совместим только с процессорами Intel и вариантами загрузки Legacy.

Предпочтение для смягчения любой атаки злой горничной состоит в том, чтобы постоянно поддерживать физический контроль над вашим устройством. Если это невозможно, то это может относиться к вашей модели угроз.

Дополнительные сведения и инструкции по установке см. по следующим ссылкам:

• https://www.qubes-os.org/doc/anti-evil-maid/ [Archive.org]
• https://blog.invisiblethings.org/2011/09/07/anti-evil-maid.html [Архив.org]
• https://github.com/QubesOS/qubes-antievilmaid [Архив.org]

 

[[helper]]

Подключиться к общедоступной сети Wi-Fi:​

Помните, что это нужно делать из безопасного места

• В правом верхнем углу щелкните левой кнопкой мыши значок сети и запишите SSID Wi-Fi, к которому вы хотите подключиться.
• Теперь щелкните правой кнопкой мыши значок сети и выберите «Редактировать подключения».
• Добавьте один, используя знак +
• Выберите Wi-Fi
• Введите SSID нужной сети, которую вы указали ранее (при необходимости).
• Выберите клонированный адрес Mac
• Выберите «Случайно», чтобы рандомизировать ваш Mac-адрес.
  • Предупреждение. Этот параметр должен работать в большинстве случаев, но может быть ненадежным на некоторых сетевых адаптерах. Пожалуйста, обратитесь к этой документации, если вы хотите быть уверенным: https://github.com/Qubes-Community/Contents/blob/master/docs/privacy/anonymizing-your-mac-address.md[Archive.org]
• Сохранять
• Теперь снова щелкните левой кнопкой мыши учетную запись подключения и подключитесь к нужному Wi-Fi.
• Если это открытый Wi-Fi, требующий регистрации: вам нужно будет запустить браузер, чтобы зарегистрироваться.
  • После подключения запустите одноразовый браузер Fedora Firefox.
  • Зайдите в верхнее левое Меню
  • Выберите «Одноразовый», «Fedora», «Firefox».
  • Откройте Firefox и зарегистрируйтесь (анонимно) в сети Wi-Fi.

 

[[helper]]

Обновление ОС Qubes с 4.0.x до 4.1.x (вы должны это сделать)​

Лично мы не стали бы делать это на месте и делать новую установку.

Но если вы действительно хотите, это технически возможно, следуя этому руководству: https://www.qubes-os.org/doc/upgrade/4.1/ [Archive.org]

Обновление ОС Qubes:​

После подключения к Wi-Fi вам необходимо обновить Qubes OS и Whonix. Вы должны постоянно обновлять Qubes OS, прежде чем выполнять какие-либо конфиденциальные действия. Особенно ваши виртуальные машины браузера. Обычно Qubes OS предупреждает вас об обновлениях в правом верхнем углу с помощью значка шестеренки. Поскольку в данном случае это может занять некоторое время из-за использования Tor, вы можете принудительно запустить процесс, выполнив следующие действия:

• Щелкните верхний левый значок приложений.
• Выберите инструменты Qubes
• Выберите обновление Qubes
• Установите флажок «Включить обновления для Qubes без известных доступных обновлений».
• Выбрать все кубы
• Нажмите «Далее» и дождитесь завершения обновления.
• Если вы отметили параметр Tor во время установки, наберитесь терпения, так как это может занять некоторое время по сравнению с Tor.

Обновление Whonix с версии 15 до версии 16:​

Опять же, вы действительно должны сделать это как можно скорее. Мы бы использовали новую установку, но технически возможно сделать это на месте, см. https://www.whonix.org/wiki/Release_Upgrade_Whonix_15_to_Whonix_16 [Archive.org]

Следуйте инструкциям на странице https://www.whonix.org/wiki/Qubes/Install [Archive.org] . Если вы используете Qubes 4.1.x, это уже сделано за вас.

 

[[helper]]

Усиление ОС Qubes:​

Отказ от ответственности: этот раздел находится в разработке и будет активно работать в следующих выпусках. Этот раздел предназначен для более продвинутых пользователей.

Песочница приложения:​

В то время как ОС Qubes уже и так помещает все в песочницу по своему дизайну, также полезно рассмотреть возможность изолирования самих приложений в песочнице с помощью AppArmor или SELinux.

AppArmor:​

«AppArmor — это система обязательного контроля доступа. При включении AppArmor ограничивает программы в соответствии с набором правил, определяющих, к каким файлам может обращаться данная программа. Такой инициативный подход помогает защитить систему как от известных, так и от неизвестных уязвимостей» (Debian.org).

По сути, AppArmor — это система песочницы приложений. По умолчанию он не включен, но поддерживается ОС Qubes.

• О виртуальных машинах Fedora:
  • Fedora использует не AppArmor, а SELinux, поэтому смотрите следующий раздел.
• О виртуальных машинах Debian:
  • Выйдите и прочитайте https://wiki.debian.org/AppArmor [Archive.org]
• О любой другой виртуальной машине Linux:
  • Выходите и читайте:
    • https://wiki.archlinux.org/title/AppArmor [Архив.org]
    • https://wiki.debian.org/AppArmor [Архив.org]
• Что касается виртуальных машин Whonix, вам следует рассмотреть возможность включения и использования AppArmor, особенно на виртуальных машинах Whonix ОС Qubes:
  • Во-первых, вы должны выйти и прочитать https://www.whonix.org/wiki/AppArmor [Archive.org]
  • Во-вторых, вы должны снова выйти и прочитать https://www.whonix.org/wiki/Qubes/AppArmor [Archive.org]

SELinux:​

SELinux похож на AppArmor. Различия между SELinux и AppArmor — технические детали, в которые мы не будем вдаваться.

Вот хорошее объяснение того, что это такое: https://www.youtube.com/watch?v=_WOKRaM-HI4 [Invidious]

В этом руководстве и в контексте ОС Qubes важно упомянуть об этом, поскольку это рекомендуемый метод Fedora, который является одной из систем по умолчанию в ОС Qubes.

Итак, отправляйтесь и прочитайте https://docs.fedoraproject.org/en-US/quick-docs/getting-started-with-selinux/ [Archive.org]

Вы можете использовать SELinux в своих шаблонах Fedora. Но это зависит от вас. Опять же, это для продвинутых пользователей.

 

[[helper]]

Настройте VPN ProxyVM:​

Пропустите этот шаг, если вы не хотите использовать VPN и используете только Tor, или если VPN тоже не подходит.

Это руководство также должно работать с любым провайдером OpenVPN (например, Mullvad, IVPN, Safing.io или Proton VPN).

Это основано на руководстве, предоставленном самой ОС Qubes ( https://github.com/Qubes-Community/Contents/blob/master/docs/configuration/vpn.md [Archive.org] ). Если вы знакомы с этим процессом, вы можете следовать их руководству.

Кроме того, у Mullvad также есть справочная статья, которая поможет вам настроить прокси-VM https://mullvad.net/en/help/qubes-os-4-and-mullvad-vpn/ [Archive.org] .

Создайте проксиVM:​

• Щелкните значок Приложения (верхний левый угол)
• Щелкните Создать виртуальную машину Qubes.
• Назовите и назовите по своему усмотрению: я предлагаю «VPNGatewayVM».
• Выберите тип: автономный Qube, скопированный из шаблона.
• Выберите шаблон: Debian-11 (по умолчанию)
• Выберите Сеть:
  • Выберите sys-whonix, если вы хотите использовать VPN только через Tor / Tor (рекомендуется)
  • Выберите sys-firewall, если вы хотите использовать Tor через VPN / Без Tor или VPN / Просто VPN
• Дополнительно: Проверить наличие сети
• Установите флажок «Автоматически запускать Qube при загрузке»
• Создайте виртуальную машину
  • Если вы собираетесь использовать VPN через Tor, вам нужно зайти в настройки созданной вами ProxyVM и выбрать «sys-vpn» для сети.
    • Более простой способ настроить ProxyVM — просто запустить VPN-клиент на ProxyVM.
    • Обычно, когда вы подключаетесь к веб-сайту своего VPN-провайдера, он сообщает вам, правильно ли ваш трафик направляется через VPN.
  • Если вы собираетесь использовать Tor через VPN, следует сделать обратное: для ProxyVM сеть должна быть установлена как «sys-tor», а для виртуальной машины «sys-tor» — «sys-vpn».
    • Проверьте подключение виртуальной машины к Интернету, запустив браузер в ProxyVM. Посетите https://check.torproject.org [Archive.org] (должно быть указано, что вы подключены к Tor)

Загрузите конфигурацию VPN у вашего платного VPN-провайдера с наличными/Monero:​

Если вы можете использовать Tor:​

Используя Tor Browser (будьте осторожны, чтобы не использовать для этого какой-либо браузер Clearnet), загрузите необходимые файлы конфигурации OpenVPN для Linux у своего провайдера VPN.

Это можно сделать с помощью встроенного в ОС Qubes браузера Tor, открыв значок «Приложения» (в верхнем левом углу) и выбрав приложение Disposable Tor Browser.

Если вы не можете использовать Tor:​

Запустите браузер с DisposableVM и загрузите необходимые файлы конфигурации OpenVPN для Linux у своего провайдера VPN.

Когда вы закончите загрузку файлов конфигурации в одноразовом браузере (обычно это zip-файл), скопируйте их на свой компьютер ProxyVM VPN Gateway (щелкнув файл правой кнопкой мыши и отправив его на другую AppVM).

• Создайте виртуальную машину
  • Если вы собираетесь использовать VPN через Tor, вам нужно зайти в настройки созданной вами ProxyVM и выбрать «sys-vpn» для сети.
    • Более простой способ настроить ProxyVM — просто запустить VPN-клиент на ProxyVM.
    • Обычно, когда вы подключаетесь к веб-сайту своего VPN-провайдера, он сообщает вам, правильно ли ваш трафик направляется через VPN.
  • Если вы собираетесь использовать Tor через VPN, следует сделать обратное: для ProxyVM сеть должна быть установлена как «sys-tor», а для виртуальной машины «sys-tor» — «sys-vpn».
    • Проверьте подключение виртуальной машины к Интернету, запустив браузер в ProxyVM. Посетите https://check.torproject.org [Archive.org] (должно быть указано, что вы подключены к Tor)

Загрузите конфигурацию VPN у вашего платного VPN-провайдера с наличными/Monero:​

Если вы можете использовать Tor:​

Используя Tor Browser (будьте осторожны, чтобы не использовать для этого какой-либо браузер Clearnet), загрузите необходимые файлы конфигурации OpenVPN для Linux у своего провайдера VPN.

Это можно сделать с помощью встроенного в ОС Qubes браузера Tor, открыв значок «Приложения» (в верхнем левом углу) и выбрав приложение Disposable Tor Browser.

Если вы не можете использовать Tor:​

Запустите браузер с DisposableVM и загрузите необходимые файлы конфигурации OpenVPN для Linux у своего провайдера VPN.

Когда вы закончите загрузку файлов конфигурации в одноразовом браузере (обычно это zip-файл), скопируйте их на свой компьютер ProxyVM VPN Gateway (щелкнув файл правой кнопкой мыши и отправив его на другую AppVM).

Настройте ProxyVM:​

Пропустите этот шаг, если вы не собираетесь использовать VPN

• Щелкните левый верхний угол
• Выберите виртуальную машину VPN, которую вы только что создали.
• Откройте файлы виртуальной машины VPN.
• Перейдите в «Qubesincoming»> dispXXXX (это была ваша одноразовая виртуальная машина браузера)
• Дважды щелкните загруженный zip-файл, содержащий файлы конфигурации OpenVPN, чтобы разархивировать его.
• Теперь снова выберите виртуальную машину VPN и запустите терминал.
• Установите OpenVPN с помощью следующей командыsudo apt-get install openvpn
• Скопируйте все файлы конфигурации OpenVPN, предоставленные вашим провайдером VPN, в /etc/openvpn/
• Для всех файлов конфигурации OpenVPN (для каждого местоположения):
  • Отредактируйте каждый файл с помощью sudo nano configfile(не забудьте sudo для редактирования файла в /etc)
  • Измените протокол с «udp» на «tcp» (Tor не поддерживает UDP)
  • Измените порт на поддерживаемый (вашим провайдером VPN) TCP-порт (например, 80 или 443).
  • Сохраните и закройте каждый файл
• Отредактируйте файл конфигурации OpenVPN (/etc/default/openvpn), набравsudo nano /etc/default/openvpn
  • Измените #AUTOSTART="all"на AUTOSTART="all"(другими словами, удалите «#»)
  • Сохранить и выйти
• Отредактируйте файл правил брандмауэра Qubes (/rw/config/qubes-firewall-user-script), введя «sudo nano /rw/config/qubes-firewall-user-script»
  • Добавьте следующие строки (без кавычек и примечаний в скобках)
    • virtualif=10.137.0.17

(Это IP-адрес ProxyVM, он не динамический, и вам может потребоваться изменить его при перезагрузке)

• vpndns1=10.8.0.1

(Это первый DNS-сервер вашего VPN-провайдера, он не должен меняться)

• vpndns2=10.14.0.1

(Это второй DNS-сервер вашего VPN-провайдера, он не должен меняться)

• iptables -F OUTPUT
• iptables -I FORWARD -o eth0 -j DROP
• iptables -I FORWARD -i eth0 -j DROP
• ip6tables -I FORWARD -o eth0 -j DROP
• ip6tables -I FORWARD -i eth0 -j DROP

(Они будут блокировать исходящий трафик, когда VPN не работает, это переключатель уничтожения, дополнительная информация здесь https://linuxconfig.org/how-to-create-a-vpn-killswitch-using-iptables-on-linux [Архив .org] )

• iptables -A OUTPUT -d 10.8.0.1 -j ACCEPT
• iptables -A OUTPUT -d 10.14.0.1 -j ACCEPT

(Это позволит DNS-запросам к DNS вашего VPN-провайдера разрешать имена VPN-серверов в файлах конфигурации OpenVPN)

• iptables -F PR-QBS -t nat
• iptables -A PR-QBS -t nat -d $virtualif -p udp --dport 53 -j DNAT --to $vpndns1
• iptables -A PR-QBS -t nat -d $virtualif -p tcp --dport 53 -j DNAT --to $vpndns1
• iptables -A PR-QBS -t nat -d $virtualif -p udp --dport 53 -j DNAT --to $vpndns2
• iptables -A PR-QBS -t nat -d $virtualif -p tcp --dport 53 -j DNAT --to $vpndns2

(Они будут перенаправлять все DNS-запросы с ProxyVM на DNS-серверы провайдера VPN)

• Перезапустите ProxyVM, набрав «sudo reboot».
• Проверьте подключение ProxyVM VPN, запустив в нем браузер и перейдя на тестовую страницу вашего провайдера VPN. Теперь должно быть написано, что вы подключены к VPN:
  • Муллвад: https://mullvad.net/en/check/ [Archive.org]
  • IVPN: https://www.ivpn.net/ [Archive.org] (проверьте верхний баннер)
  • Proton VPN: следуйте их инструкциям здесь https://protonvpn.com/support/vpn-ip-change/ [Archive.org]

VPN через Tor:​

Настройте одноразовый Browser Qube для использования VPN через Tor:​

• В меню приложений (в верхнем левом углу) выберите одноразовую виртуальную машину Fedora.
• Зайдите в настройки Qube
• Нажмите Clone Qube и назовите его, например, «sys-VPNoverTor».
• Опять же, в меню приложений выберите только что созданный клон.
• Зайдите в настройки Qube
• Измените сеть на ваш ProxyVPN, созданный ранее.
• Нажмите ОК
• Запустите браузер на рабочей станции Whonix
• Убедитесь, что у вас есть подключение к VPN, и оно должно работать.

Теперь у вас должна быть виртуальная машина Disposable Browser, которая работает с вашим платным VPN/Monero через Tor.

Тор через VPN:​

Перенастройте виртуальную машину Whonix Gateway, чтобы использовать ProxyVM в качестве NetVM вместо sys-firewall:

• В меню приложений (в верхнем левом углу) выберите виртуальную машину sys-whonix.
• Зайдите в настройки Qube
• Измените Networking NetVM на ваш ProxyVPN, созданный ранее, вместо sys-firewall
• Нажмите ОК
• Создайте одноразовую виртуальную машину Whonix Workstation (следуйте этому руководству https://www.whonix.org/wiki/Qubes/DisposableVM [Archive.org] )
• Запустите браузер с виртуальной машины и убедитесь, что у вас есть подключение к VPN, и оно должно работать.

В качестве альтернативы вы также можете создать одноразовую виртуальную машину любого другого типа (но менее безопасную, чем виртуальная машина Whonix):

• В меню приложений (в верхнем левом углу) выберите одноразовую виртуальную машину Fedora.
• Зайдите в настройки Qube
• Нажмите Clone Qube и назовите его, например, «sys-TorOverVPN».
• Опять же, в меню приложений выберите только что созданный клон.
• Зайдите в настройки Qube
• Измените Networking на ваш sys-whonix, созданный ранее.
• Нажмите ОК
• Запустите браузер в виртуальной машине
• Убедитесь, что у вас есть подключение к VPN, и оно должно работать.

Теперь у вас должна быть виртуальная машина Disposable Browser, которая работает с Tor через VPN с оплатой наличными/Monero.

Любая другая комбинация? (например, VPN через Tor через VPN)​

К настоящему моменту вы должны понимать, насколько легко перенаправлять трафик с одной виртуальной машины на другую с помощью Qubes.

Вы можете создать несколько ProxyVM для VPN-доступа и оставить Whonix для Tor. Вам просто нужно изменить настройки NetVM различных виртуальных машин, чтобы изменить макет.

Вы могли бы:

• Одна VPN ProxyVM для подключения к базовой ОС Qubes
• Используйте виртуальную машину sys-whonix (Whonix Gateway), получающую свою сеть от первой ProxyVM.
  • Второй VPN ProxyVM получает сеть от sys-whonix.
  • Одноразовые виртуальные машины получают свою NetVM от второй ProxyVM.
  • Это приведет к Пользователь> VPN> Tor> VPN> Интернет (VPN через Tor через VPN). Поэкспериментируйте сами. Qubes OS отлично подходит для этих целей.

 

[GoodGameMotherFucker]

Главное легавым не рассказывать про свои увлечения)))

 

[[helper]]

Настройте безопасный браузер в ОС Qubes (необязательно, но рекомендуется):​

Одноразовая виртуальная машина Fedora:​

В меню приложений (вверху слева) выберите шаблон Fedora-36:

• Зайдите в настройки Qube
• Клонируйте виртуальную машину и назовите ее «fedora-36-brave» (у этого шаблона виртуальной машины будет Brave).
• Снова зайдите в меню приложений и выберите только что созданный клон.
• Зайдите в настройки Qube
• Измените свою сеть на ProxyVPN и подайте заявку
• Запуск терминала с виртуальной машины

Если вы хотите использовать Brave: примените инструкции с https://brave.com/linux/ [Archive.org] и выполните следующие команды:

• sudo dnf install dnf-plugins-core
• sudo dnf config-manager --add-repo https://brave-browser-rpm-release.s3.brave.com/x86_64/
• sudo rpm --import https://brave-browser-rpm-release.s3.brave.com/brave-core.asc
• sudo dnf install brave-browser

Одноразовая виртуальная машина Whonix:​

Отредактируйте шаблон Whonix Disposable VM и следуйте инструкциям здесь https://www.whonix.org/wiki/Install_Software [Archive.org]

 

[[helper]]

Настройте виртуальную машину Android:​

Потому что иногда вы также хотите анонимно запускать мобильные приложения. Вы также можете настроить виртуальную машину Android для этой цели. Как и в других случаях, в идеале эта виртуальная машина также должна находиться за шлюзом Whonix для подключения к сети Tor. Но это также можно настроить как VPN через Tor через VPN.

Так как Android-x86 плохо работает с ОС Qubes (мой собственный опыт). Вместо этого мы рекомендуем использовать AnBox ( https://anbox.io/ [Archive.org] ), который «достаточно хорошо» работает с ОС Qubes. Дополнительную информацию также можно найти на https://www.whonix.org/wiki/Anbox [Archive.org]

Если вы можете использовать Tor (исходно или через VPN):​

Позже в настройках Qubes при создании:

• Выберите Сеть
• Измените на sys-whonix, чтобы разместить его за шлюзом Whonix (через Tor).

Монтаж:​

В основном, следуйте инструкциям здесь:

• Щелкните значок Приложения (верхний левый угол)
• Щелкните Создать виртуальную машину Qubes.
• Имя и ярлык по вашему желанию: мы предлагаем «Android»
• Выберите тип: автономный Qube, скопированный из шаблона.
• Выберите шаблон: Debian-11
• Выберите Сеть:
  • Выберите sys-whonix, если вы хотите использовать VPN только через Tor / Tor (рекомендуется)
  • Выберите sys-firewall, если вы хотите использовать Tor через VPN / Без Tor или VPN / Просто VPN
• Запустите Qube и откройте терминал

Теперь вам нужно будет следовать инструкциям отсюда: https://github.com/anbox/anbox-modules [Archive.org] :

• Начните с закрытия репозитория модулей AnBox, выполнив:
  • git clone https://github.com/anbox/anbox-modules.git
  • Зайдите в клонированный каталог
  • Запустите ./INSTALL.sh(или следуйте инструкциям руководства в учебнике)
• Перезагрузите машину
• Откройте новый терминал
• Установите Snap, запустив:
  • sudo apt install snapd

Теперь вы будете следовать их другому руководству отсюда: https://github.com/anbox/anbox/blob/master/docs/install.md [Archive.org] :

• Установите AnBox, выполнив:
  • snap install --devmode --beta anbox
• Чтобы обновить AnBox позже, запустите:
  • snap refresh --beta --devmode anbox
• Перезагрузите машину
• Снова откройте терминал и запустите эмулятор, выполнив:
  • anbox.appmgr

Это должно открыть интерфейс Android. Иногда он дает сбой, и вам, возможно, придется запустить его дважды, чтобы он заработал.

Если вы хотите установить приложения на этот эмулятор:

• Установите ADB, выполнив:
  • sudo apt install android-tools-adb
• Первый запуск Anbox (выполнить anbox.appmgr)
• Возьмите APK любого приложения, которое хотите установить
• Теперь установите любой APK, запустив:
  • adb install my-app.apk

Вот и все, теперь у вас должен быть Android Qube через Tor (или что-то еще), способный запускать практически любое приложение, которое вы можете загрузить с помощью ADB. На данный момент это самый простой способ получить эмуляцию Android в ОС Qubes.

 

[[helper]]

KeePassXC:​

Вам нужно будет где-то хранить ваши данные (логины/пароли, идентификационные данные и информацию TOTP ).

Для этой цели рекомендуется KeePassXC из-за встроенной функции TOTP. Это возможность создавать записи для аутентификации 2FA с функцией аутентификатора.

В контексте ОС Qubes вы должны хранить конфиденциальную информацию в хранилище Qube:

• Сначала щелкните значок «Приложения» (вверху слева) и выберите хранилище Qube.
• Нажмите Настройки Qubes
• Выберите вкладку Приложения
• Из списка доступных приложений добавьте KeePassXC в список выбранных приложений.

Учебник по установке виртуальных машин на базе Windows в ОС Qubes:​

См. их руководство здесь: https://github.com/Qubes-Community/Contents/blob/master/docs/os/windows/windows-tools41.md [Archive.org]

 

[[helper]]

Краткое примечание: корреляция против атрибуции​

Корреляция — это отношение между двумя или более переменными или атрибутами . Как определяются атрибуции? Во время цифровой криминалистики и реагирования на инциденты (DFIR) аналитики обычно ищут индикаторы компрометации (IoC) после событий, которые призывают их к действию. Эти индикаторы обычно состоят из IP-адресов, имен, баз данных; все они могут предписывать определенный поведенческий «ярлык» отдельному человеку или группе. Это называется атрибуцией. Принцип статистики состоит в том, что «корреляция не делает вывод о причинно-следственной связи». Это означает, что, хотя вы можете оставлять определенные следы в определенных областях устройства или сети, это показывает только присутствие действия, т. е. не явным образом ваше присутствие. Он не показывает, кто вы, а только решает, что что-то произошло и кто -то сделал.что-то .

Атрибуция необходима для доказательства вины или вины, и это основная причина, по которой люди, использующие сеть Tor для доступа к даркнету, были скомпрометированы: они оставили следы, которые, как было показано, связаны с их реальной личностью. Ваш IP может быть — но обычно не является — достаточно важным показателем, чтобы приписать вину. Об этом свидетельствуют печально известные кибератаки NotPetya против США, которые позже были обрушены и на Украину. Хотя Белый дом никогда не заявлял , что это дело рук России, они приписали нападение российскому (ГРУ) , которое является непосредственным офисом, в котором размещаются киберподразделений российской скрытой войны, редко именуемых в разведывательном сообществе (IC) «создателями шпионов».

В чем смысл , спросите вы? Ну, прямо говоря, это прекрасный пример, потому что NotPetya, который теперь, несомненно, является делом рук российских киберопераций против иностранных государств и правительств, до сих пор формально никогда не относился к России, а только к известной внутри России группировке (в просторечии именуемой Cozy Bear ) . что нельзя ни подтвердить, ни опровергнуть, учитывая, что она сильно раздроблена в структуре российских вооруженных сил. И это также отчасти из-за попыток замаскироваться под обычный Ransomware, а также из-за того, что он регулярно использовал серверы взломанных иностранных активов, не связанных с Россией или с ее внутренними сетями.

Это все для того, чтобы показать вам, на что готовы пойти государственные деятели. Вы можете не знать об этом, но иностранные правительства используют методы сокрытия, подобные тем, которые обсуждаются в разделах этого руководства. Они обычно используют Tor, VPN для сокрытия трафика; они используют взломанные устройства и доступ к украденному оборудованию для осуществления кибершпионажа каждый день, и это делает атрибуцию невероятно трудной, если не невероятной, с точки зрения судебного эксперта. Проблема корреляции тривиальна, и вы можете решить ее, просто используя инструменты сокрытия IP-адресов, такие как VPN и сеть Tor, но при этом оставаться подключенными к вашему реальному имени и IP-адресу из-за утечки данных или других факторов. Вас нелегко будет отнести к вашей деятельности, если вы будете тщательно следовать и применять данные методы и навыки, обсуждаемые ниже.

 

[[helper]]

Создание анонимных онлайн-идентификаций:​

Понимание методов, используемых для предотвращения анонимности и проверки личности:​

Капчи:​

Captcha расшифровывается как «Полностью автоматизированный публичный тест Тьюринга, чтобы отличить компьютеры от людей». Это тесты Тьюринга . головоломки, которые вам нужно решить, прежде чем получить доступ к форме / веб-сайту. В основном вы столкнетесь с сервисами Google (сервис reCAPTCHA ) и Cloudflare (hCaptcha ). hCaptcha используется в 15% интернета по их собственным показателям.

Они предназначены для отделения ботов от людей, но также явно используются для предотвращения доступа анонимных и частных пользователей к службам.

Если вы часто пользуетесь VPN или Tor, вы быстро везде столкнетесь со множеством капч . Довольно часто при использовании Tor, даже если вам удастся решить все головоломки (иногда десятки подряд), после решения головоломок вам все равно будет отказано.

См. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]

В то время как большинство людей думают, что эти головоломки предназначены только для решения небольшой головоломки, важно понимать, что это намного сложнее, и что современные капчи используют передовые алгоритмы машинного обучения и анализа рисков, чтобы проверить, являетесь ли вы человеком

• Они проверяют ваш браузер, файлы cookie и историю посещенных страниц с помощью сканера отпечатков пальцев браузера
• Они отслеживают движения вашего курсора (скорость, точность) и используют алгоритмы, чтобы решить, является ли он «человеческим или органическим».
• Они отслеживают ваше поведение до/во время/после тестов, чтобы убедиться, что вы «человек»

Также весьма вероятно, что эти платформы уже могли надежно идентифицировать вас на основе уникального способа взаимодействия с этими головоломками. Это может работать, несмотря на обфускацию вашего IP-адреса/браузера и очистку всех файлов cookie.

Посмотрите, например, эту презентацию DEF CON 25: DEF CON 25 - Svea Eckert, Andreas Dewes - Dark Data [Invidious]

Вы часто будете сталкиваться с несколькими подряд (иногда бесконечно), а иногда и чрезвычайно сложными, связанными с чтением неразборчивых символов или идентификацией различных объектов на бесконечных наборах изображений. У вас также будет больше капчи, если вы используете систему блокировки рекламы (например, uBlock) или если ваша учетная запись была по какой-либо причине помечена ранее за использование VPN или Tor.

У вас также будет (по моему опыту) больше капч (reCAPTCHA от Google), если вы не используете браузер на основе Chromium. Но это можно смягчить, используя браузеры на основе Chromium, такие как Brave. Существует также расширение для браузера под названием Buster, которое может помочь вам с этими https://github.com/dessant/buster [Archive.org] .

Что касается Cloudflare (hCaptcha), вы также можете использовать их решение Accessibility здесь ( https://www.hcaptcha.com/accessibility [Archive.org] ), которое позволит вам зарегистрироваться (с вашим анонимным идентификатором, созданным позже) и установите файл cookie в своем браузере, который позволит вам обходить их капчи. Другим решением для смягчения hCaptcha может быть использование их собственного решения под названием «Privacy Pass» https://privacypass.github.io/ [Archive.org] в виде расширения для браузера, которое вы можете установить в браузере виртуальной машины.

Поэтому вам следует обращаться с ними осторожно и заставлять себя изменить способ их решения (скорость/движение/точность/…), чтобы предотвратить «отпечаток пальца капчи».

К счастью, насколько нам известно, они еще официально/публично не используются для деанонимизации пользователей для третьих лиц.

Чтобы не было таких проблем, вам следует рассмотреть возможность использования VPN через Tor. И лучший способ избежать этого — использовать собственный VPN / прокси через Tor на платном VPS-сервере с наличными / Monero.

 

[[helper]]

Проверка телефона:​

Проверка телефона рекламируется большинством платформ, чтобы подтвердить, что вы человек. Но не дайте себя обмануть, основная причина проверки телефона заключается не только в том, чтобы проверить, являетесь ли вы человеком, но и в том, чтобы иметь возможность при необходимости деанонимизировать вас.

Большинству платформ (в том числе ориентированным на конфиденциальность, таким как Signal/Telegram/Proton) потребуется номер телефона для регистрации, и в большинстве стран теперь требуется предоставить удостоверение личности для регистрации .

К счастью, в этом руководстве ранее объяснялось, как получить номер в следующих случаях:

Подтверждение адреса электронной почты:​

Проверка электронной почты — это то, чего раньше было достаточно, но в большинстве случаев это уже не так. Важно знать, что открытые почтовые провайдеры (например, одноразовые почтовые провайдеры) помечаются так же, как и открытые прокси (например, Tor).

Большинство платформ не позволяют вам регистрироваться с использованием «анонимного» или одноразового адреса электронной почты. Так как они не позволят вам зарегистрироваться, используя IP-адрес из сети Tor.

Ключевым моментом здесь является то, что становится все труднее зарегистрировать бесплатную учетную запись электронной почты в любом месте, не предоставив (как вы уже догадались)… номер мобильного телефона. Тот же самый номер мобильного телефона может быть удобно использован для отслеживания вас в большинстве мест.

Вполне возможно, что эти службы (например, Proton) могут потребовать от вас указать адрес электронной почты для регистрации. В этом случае мы рекомендуем вам создать адрес электронной почты от этих поставщиков:

• Почтовый забор: https://mailfence.com/
• Отключить: https://disroot.org
• Аутисты: https://autistici.org
• Envs.net: https://envs.net/

Имейте в виду, что они не обеспечивают дизайн с нулевым доступом (дизайн с нулевым доступом - это когда только вы можете получить доступ к своей электронной почте - даже администраторы службы не могут читать ваши сообщения). Это означает, что они могут получить доступ к вашей электронной почте, хранящейся в их базе данных.

Примечание о Riseup:​

Канарейка-ордер RiseUp была продлена с опозданием, поскольку их Twitter опубликовал загадочное сообщение, которое, казалось бы, призывало пользователей не доверять им. Из-за подозрительной ситуации это руководство больше не может их рекомендовать.

Также см.: https://forums.whonix.org/t/riseup-net-likely-compromised/3195

Защита ваших анонимных электронных писем в Интернете с помощью служб Aliasing:​

Если вы хотите избежать передачи ваших анонимных адресов электронной почты различным сторонам. Мы настоятельно рекомендуем рассмотреть возможность использования таких служб псевдонимов электронной почты, как:

• https://simplelogin.io/ (предпочтительный первый выбор из-за большего количества опций, доступных на бесплатном уровне)
• https://anonaddy.com/

Эти службы позволят создавать случайные псевдонимы для вашей анонимной электронной почты (например, на Proton) и могут повысить вашу общую конфиденциальность, если вы не хотите раскрывать эту электронную почту для каких-либо целей. Оба они рекомендованы Privacyguides.org и Privacytools.io. Я тоже их рекомендую.

 

[[helper]]

Проверка сведений о пользователе:​

Очевидно, что Reddit этого не делает (пока), но Facebook, скорее всего, делает и будет искать «подозрительные» вещи в ваших данных (которые могут включать в себя распознавание лиц).

Некоторые примеры:

• IP-адрес из страны, отличной от страны вашего профиля.
• Возраст в профиле не соответствует возрасту на фото.
• Национальность в профиле не соответствует национальности на фото.
• Язык не соответствует языку страны.
• Неизвестный в чьих-либо контактах (имеется в виду, что никто другой вас не знает).
• Блокировка настроек конфиденциальности после регистрации.
• Имя, которое не соответствует этнической принадлежности/языку/стране?

Подтверждение личности:​

Нарушитель сделки в большинстве случаев. Насколько нам известно, только Facebook и LinkedIn (за исключением финансовых служб) запрашивали такие проверки, которые включают отправку фотографий какой-либо формы идентификации (паспорт, национальное удостоверение личности, водительские права…). Единственный способ сделать это — создать поддельные официальные документы (подделку) с использованием приличных навыков Photoshop, и в большинстве мест это может быть незаконным.

Поэтому мы не собираемся помогать вам пересекать эту черту в этом руководстве. Некоторые сервисы предлагают такие услуги в Интернете, но мы считаем, что они недобросовестны и выходят за рамки своих возможностей.

Во многих странах только правоохранительные органы, некоторые определенные процессы (например, запросы GDPR) и некоторые хорошо регулируемые финансовые службы могут запрашивать подтверждение личности. Таким образом, законность запроса таких документов является спорной, и мы считаем, что такие платформы не должны требовать их.

В некоторых странах (например, в Германии) эта практика является незаконной, а онлайн-платформы, такие как Facebook или LinkedIn, юридически обязаны разрешать вам использовать псевдоним и оставаться анонимным.

 

[[helper]]

IP-фильтры:​

Как указывалось ранее в этом руководстве, многие платформы будут применять фильтры к IP-адресам пользователей. Выходные узлы Tor общедоступны, а выходные серверы VPN «хорошо известны». Существует множество коммерческих и бесплатных сервисов, которые позволяют легко блокировать эти IP-адреса (привет, Cloudflare).

Операторам и администраторам многих платформ не нужен трафик с этих IP-адресов, поскольку они часто направляют на свои платформы много незаконного/вредоносного/убыточного трафика. Обычно используют одни и те же оправдания:

• Незаконно, потому что «Думайте о детях» или «Террористах».
• Вредоносный из-за «русских троллей».
• Нерентабельно, потому что «Ну, это шум в данных, которые мы продаем рекламодателям» (AdSense, Facebook Ads…). Тем не менее, мы по-прежнему платим за них, так что давайте просто запретим их все.

К счастью, эти системы не идеальны, и вы (по-прежнему) сможете обойти эти ограничения, сменив удостоверения (в случае Tor) и каждый раз пытаясь получить доступ к веб-сайту, пока не найдете выходной узел, который не заблокирован. - в списке (пока).

Иногда некоторые платформы позволяют вам войти в систему с IP-адресом Tor, но не зарегистрироваться (см. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org] ). Эти платформы будут вести удобный постоянный журнал IP-адресов, которые вы использовали во время регистрации. А некоторые будут хранить такие журналы неопределенное время, включая все IP-адреса, которые вы использовали для входа в систему (привет, Facebook).

Толерантность к VPN намного выше, поскольку они не считаются «открытыми прокси», но это не помешает многим платформам усложнить их использование, заставляя большинство пользователей VPN вводить все более сложные капчи.

По этой причине в этом руководстве рекомендуется использовать VPN через Tor (а не Tor через VPN) в определенных случаях. Помните, что лучший способ избежать этого — использовать собственный VPN / прокси через Tor на платном VPS-сервере с наличными / Monero .

 

[[helper]]

Отпечатки пальцев браузера и устройства:​

Браузер и устройство Fingerprinting обычно интегрированы в сервисы Captcha, а также в другие различные сервисы.

Многие платформы (например, Google ) проверяют ваш браузер на наличие различных возможностей и настроек и блокируют браузеры, которые им не нравятся. Это одна из причин, по которой мы рекомендуем использовать браузеры на основе Chromium, такие как Brave Browser, вместо Tor Browser на этой виртуальной машине.

Вот некоторые вещи, которые они проверяют в последних браузерах:

• User-Agent: это имя и версия вашего браузера.
• Заголовки HTTP_ACCEPT: это тип контента, который может обрабатывать ваш браузер.
• Часовой пояс и смещение часового пояса: ваш часовой пояс.
• Размер экрана и глубина цвета: разрешение вашего экрана.
• Системные шрифты: шрифты для набора текста, установленные в вашей системе.
• Поддержка файлов cookie: поддерживает ли ваш браузер файлы cookie или нет.
• Хэш отпечатка Canvas и хеш отпечатка WebGL: генерируются уникальные идентификаторы на основе ваших возможностей графического рендеринга.
• WebGL Vendor & Renderer: Имя вашей видеокарты
• Do-Not-Track включен или нет: ну да, они могут использовать вашу информацию DNT, чтобы отслеживать вас
• Язык: язык вашего браузера.
• Платформа: используемая вами операционная система.
• Поддержка сенсорного ввода: если ваша система поддерживает сенсорный ввод (например, телефон/планшет или ноутбук с сенсорным экраном).
• Использование блокировки рекламы: если ваш браузер блокирует рекламу
• Отпечаток AudioContext: Как и отпечатки Canvas и WebGL, они будут отпечатками ваших аудиовозможностей.
• ЦП: какой ЦП вы используете и сколько их
• Память: сколько памяти у вас есть в вашей системе
• Разрешения браузера: разрешает ли ваш браузер некоторые вещи, такие как геолокация или доступ к микрофону/веб-камере.
• …

Вот службы, которые вы можете использовать для проверки отпечатков пальцев вашего браузера:

• https://abrahamjuliot.github.io/creepjs/ (вероятно, лучший в целом)
• https://coveryourtracks.eff.org/
• https://amiunique.org
• https://browserleaks.com/
• https://www.deviceinfo.me/
• (Только браузеры на основе Chromium) https://z0ccc.github.io/extension-fingerprints/#

Скорее всего, вы обнаружите, что отпечаток вашего браузера уникален, независимо от того, что вы делаете.