Свяжитесь со мной для обратной связи или вопросов! Я отвечаю всем.

Ниндзя гайд по Интернету

- Введение -
- Операционные системы -
- Веб браузеры -
- Расширения для браузеров -
- Поисковики -
- E-mail провайдеры -
- Виртуальные частные сети(ВПНы) -
- Луковичный маршрутизатор(Тор) -
- Мессенджеры -
- Облачное хранилище -
- Загрузка/обмен текстом -
- Загрузка/обмен картинками -
- Загрузка/обмен видео -
- Перевод -
- Другие сервисы заслуживающие упоминания -
- Хостинг сайтов -
- Клирнет обречен! -
- OPSEC -

Введение

В настоящее время существуют, наверное, сотни руководств по конфиденциальности в Интернете, и большинство из них ужасны. Они рекомендуют браузеры от злых компаний, таких как Mozilla Firefox; провайдеров электронной почты, которые собирают много ваших данных, таких как Mailfence или Runbox; бесполезные или вредоносные аддоны такие как Privacy Badger или NoScript; коммуникационное ПО, которое запрашивает номер телефона, например Signal или Telegram; подозрительные VPN, например Proton; слишком много внимания уделяют тому, где размещена услуга, а не его политики или функциональности; попадаются на ложную рекламу; имеют "спонсированные" рекомендации; игнорируют очень хороших провайдеров и не упоминают существенные вещи, которые вы ДОЛЖНЫ делать. Моя цель здесь заключается в том, чтобы создать ультимативное руководство, которое, надеюсь, не будет страдать ни от одной из этих проблем. И что самое приятное, вы сможете сделать все здесь бесплатно! Почему руководство ниндзя? Ну, они прячутся в тени (архив). И это звучит чертовски круто, не так ли?

Операционные системы

Невозможно избежать разговора о них, поскольку это то, на чем работает все ваше программное обеспечение. Очевидно, что не стоит использовать Windows - она шпионит за почти всем, что вы делаете (архив) и имеет автообновления, которые нельзя отключить, в домашней версии. По-видимому, некоторые новые обновления позволили отключить еще часть шпионажа, но это все равно не спасает эту систему. Даже если вы отключите всю телеметрию, Windows все равно посылает 11 нежелательных запросов в минуту (архив). Конечно, у Linux тоже есть свои проблемы - у Ubuntu были проблемы со шпионским ПО (архив) в прошлом, а systemd является практически попыткой поглощения Linux (архив) большими корпорациями. Лучше всего использовать дистрибутив Linux без systemd, например Salix.

Веб-браузеры

Кратко говоря, большинство браузеров не заботятся о вашей конфиденциальности или даже являются активно вредоносными; многие из тех, что не являются таковыми, страдают от проблем с удобством использования, таких как отсутствие поддержки расширений. Ungoogled-Chromium или IceCat не посылают ненужных запросов и поддерживают дополнения. Однако они зависят от злых гигантов Google и Mozilla, соответственно, поэтому я предлагаю использовать de-spyware'd и addon-hardened Pale Moon - который не зависит от них. Для более подробной информации читайте эту статью.

Расширения браузера

Самым важным из них, предлагающим практически полный контроль над вашим браузером, является uMatrix. Decentraleyes - еще одно важное расширение, которое работает в фоновом режиме, предотвращая подключение к Delivery Networks (которые могут отслеживать вас по всему Интернету, поскольку они встроены в большое количество сайтов). Контроль WebRTC необходим для того, чтобы браузеры на базе Chrome не передавали ваш реальный IP через VPN / Tor. Дополнительная информация здесь.

Поисковые системы

Большинство так называемых "приватных" поисковых систем полагаются на Google, Bing или Yahoo для получения результатов и могут считаться скомпрометированными по умолчанию. Еще хуже то, что многие из них осуществляют собственное отслеживание или имеют другие недостатки. Единственные, у кого есть собственные индексы, это Mojeek и Wiby - но у обоих очень слабые результаты. Если вы не против полагаться на нарушителей - хороший экземпляр SearX - ваш лучший выбор. Дополнительная информация здесь.

E-mail провайдеры

RiseUp - лучший, и он бесплатный - но вам нужен код приглашения. Он не требует личной информации для регистрации, имеет onion домены, поддерживает почтовые клиенты и неограниченное количество псевдонимов (что позволяет регистрироваться во многих местах под разными именами), а также имеет отличную политику конфиденциальности. Disroot не требует пригласительного кода, но у него нет луковых доменов и ужасный спам-фильтр, который блокирует нормальных провайдеров; его функция псевдонимов также платная. Из коммерческих провайдеров лучше всего подходит Posteo. Нажмите здесь для получения отчета, в котором подробно рассматриваются основные игроки.

Виртуальные частные сети(ВПНы)

Не выходите в сеть без этого! Но не забудьте приобрести надежную сеть. Единственный бесплатный провайдер, стоящий своей соли, - RiseUp. Конечно, вы можете всегда заплатить за хорошего, такого как Mullvad - который предоставит вам больше серверов по всему миру, что позволит вам обходить различные блокировки и запреты. Индустрия VPN является грязной, как черт - так что будьте осторожны при выборе. Избегайте пользовательских "приложений", которые лишают вас контроля - Придерживайтесь WireGuard или OpenVPN. Вот как настроить последний:

  1. Во-первых, получите файл конфигурации OpenVPN от выбранного вами провайдера VPN и поместите его в /etc/openvpn
  2. Сейчас нам нужно установить некоторые правила файрвола, которые предотвращают утечки вашего реального IP адреса. Установите пакет ufw, если у вас его еще нет.
  3. В конфигурационном файле найдите строку, которая начинается с "remote". Запишите IP и порт. Теперь введите это в терминал: sudo ufw allow out to [IP] port [PORT]. Конечно, замените IP и PORT на соответствующие значения. Это позволит системе подключиться к VPN через файрвол.
  4. Найдите строку, начинающуюся с dev tun. Измените tun на что-то узнаваемое, например, tun_myvpn.
  5. Введите эти два правила в терминал: sudo ufw allow in on tun_myvpn и sudo ufw allow out on tun_myvpn. Это позволит как входящие, так и исходящие соединения через VPN.
  6. Сейчас введите sudo ifconfig. Обратите внимание на IP, который появится после inet. Это ваш локальный IP (маршрутизатора).
  7. Наберите sudo ifconfig.
  8. Пропустите его через файрвол следующим образом: sudo ufw allow out to [LOCAL_IP] . Это позволит фактически установить VPN-соединение.
  9. Чтобы настроить систему на использование DNS-серверов VPN вместо DNS-серверов вашего провайдера, введите sudo resolvconf -l. Теперь скопируйте серверы имен и поместите их в файл /etc/resolv.conf (nameserver 172.27.0.1 для RiseUp, например). Без этого шага ваш провайдер все равно будет знать каждый сайт, который вы посещаете.
  10. Сейчас сделайте /etc/resolv.conf неизменяемым, либо с помощью chattr +i, либо поместив nohook resolv.conf wpa_supplicant в /etc/dhcpcd.conf (мой предпочтительный вариант). Это предотвратит систему от перезаписи DNS-серверов вашей VPN на DNS-серверы провайдера.
  11. И наконец, разрешите DNS-серверы VPN через файрвол; как и раньше - sudo ufw allow out to [DNS_IP]. (вы только что ввели адреса в resolv.conf, поэтому просто разрешите эти адреса). Без этого шага вы не сможете подключиться к любому домену, если вы не знаете его фактический IP-адрес (поскольку мы заблокировали резолвер провайдера).
  12. Осталось только заблокировать все, кроме того, что мы только что указали. sudo ufw default deny incoming и sudo ufw default deny outgoing. Это та часть, которая действительно обеспечивает безопасность вашего соединения.
  13. Чтобы включить файрвол при запуске системы, добавьте этот код в /etc/rc.d/rc.local:

    if [ -x /lib/ufw/ufw-init ]; then
    /lib/ufw/ufw-init start
    fi

    Это для дистрибутивов на базе Slackware и может не работать на других. В этом случае поищите эквиваленты.

Вот и все для OpenVPN! Однако веб-браузеры также могут передавать ваш реальный IP-адрес через WebRTC, поэтому вам придется отключить и это. Firefox использует запись media.peerconnection.enabled в about:config, а для браузеров на базе Chrome требуется расширение WebRTC Control (пользователям Pale Moon ничего делать не нужно). В предыдущей версии этого руководства предлагалось отключить IPv6 во всей системе, но, похоже в этом нет необходимости если вы все делаете правильно. Однако некоторые VPN, по-видимому, дают утечку, если вы этого не сделаете, так что если ваш VPN один из таких, проделайте все эти шаги на всякий случай. (в предыдущей версии был только шаг 1, но похоже, этого не всегда достаточно):

net.ipv6.conf.wlan0.disable_ipv6 = 1
se net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Теперь запустите вашу VPN с помощью команды cd /etc/openvpn; sudo openvpn [vpn_config_file.conf]. Затем посетите https://ipleak.net, чтобы проверить наличие утечки. Результат без утечек для RiseUp VPN, например, будет выглядеть так.

Не забывайте, что вы по-прежнему полагаетесь на доверие к любому VPN, который вы используете - теоретически, они могут шпионить за вами если захотят - но в конечном итоге, вы можете предполагать что информация выйдет наружу (и вышла для некоторых VPN). Тем не менее, они намного лучше, чем "оголение" вашего провайдера - у которого есть ваше настоящее имя и адрес, который хранит все ваши логи и почти наверняка будет сотрудничать с полицией. Если вы считаете, что VPN недостаточно - к счастью, существуют способы улучшить вашу конфиденциальность еще больше:

Луковый маршрутизатор(Тор)

Сеть, которая позволяет (относительно) анонимный просмотр веб-страниц - прочитайте первый раздел моей статьи, если вы хотите узнать больше (но не отчаивайтесь - это все еще полезно). Сначала найдите пакет Tor в Gslapt и установите его. Конфигурация по умолчанию требует отдельного пользователя для его запуска - так что давайте создадим его. Если вы используете Salix XFCE, нажмите кнопку Salix в левом нижнем углу и перейдите в раздел Система > Пользователи и Группы (в других дистрибутивах должны быть аналогичные инструменты). Нажмите кнопку Управление группами, затем Добавить и введите tor в строке Имя Группы. Теперь, когда вы добавили группу tor - время создать пользователя tor и добавить его в эту группу. Закройте меню Группы и нажмите Добавить. Введите tor в поле Имя пользователя и любое другое имя в качестве настоящего имени. Теперь переключитесь на вкладку Группы и выберите tor в качестве основной группы. Нажмите OK и все готово. Теперь введите эти команды в терминал: sudo chown -R tor /var/log/tor, затем sudo chown tor /var/lib/tor. Это сделает вновь созданного пользователя владельцем некоторых каталогов, необходимых Tor, так что у него будут права на их использование.

А теперь самое интересное - настройка веб-браузера для использования сети. В Pale Moon перейдите в меню Инструменты -> Настройки -> Дополнительно -> Сеть -> Настройки. Выберите Ручная конфигурация прокси и - в поле SOCKS Host введите 127.0.0.1 в качестве сервера и 9050 в качестве порта. Нет необходимости в опции Использовать прокси для выполнения DNS-запросов поскольку мы все равно будем настраивать TorDNS по всей системе; но отметьте SOCKS5 вместо 4. Теперь вы будете автоматически посещать все сайты clearnet через сеть Tor. Вы также можете добавить Proxy Privacy Ruler расширение поверх этой конфигурации, чтобы Tor был включен только для окон инкогнито или определенных доменов. В любом случае - поскольку Tor разрешает просмотр через свой собственный DNS - вам нужно включить эту функцию, чтобы подключиться к ним. Во-первых, добавьте эти две строки в конец вашего файла /etc/tor/torrc:

DNSport 53
AutomapHostsOnResolve 1

Затем вставьте эту строку: nameserver 127.0.0.1 в ваш /etc/resolv.conf, чтобы использовать Tor в качестве DNS-резольвера. Без этого домены .onion просто не будут работать, поскольку обычный DNS-сервер их не "понимает". Теперь сеть Tor не ограничивается веб-браузингом - любое приложение, имеющее настройки прокси (например, мессенджеры или программы для чтения новостей) могут быть настроены на ее использование. Даже если они этого не делают, инструмент под названием proxychains-ng может обойти это. Просто установите его из репозитория (в большинстве дистрибутивов он должен быть) и запустите его из терминала следующим образом: proxychains4 filezilla (замените filezilla на программу, которую вы хотите запустить). Для дополнительной защиты, скомбинируйте вашу сеть Tor с VPN, которую вы настроили ранее. По сравнению с одним только Tor, эта настройка имеет преимущество в том, что ваш реальный IP остается скрытым в случае утечки данных из Tor или просто в приложении, которое не поддерживает его (все, что использует UDP). Кроме того, прочитайте мою статью Избежать "ботнета" - невозможно? , прежде чем слишком уверенно использовать VPN или Tor (на самом деле всего, что вы делаете в электронном виде или даже IRL).

Мессенджеры

XMPP + OMEMO шифрование - это золотой стандарт. Новомодное дерьмо продолжает появляться, но жаббер по-прежнему остается лучшим. PSI, Dino, Pidgin (слабая реализация), Gajim и Conversations - вот некоторые из клиентов, которые его поддерживают. Не используйте Signal или Telegram (несмотря на их постоянную рекламу) - они просят ваш чертов номер телефона! Discord - еще хуже. WhatsApp принадлежит Facebook - достаточно сказано. Skype работает напрямую с программой Prism и используется для перенаправления китайцев на модифицированную версию, которая позволяет китайскому правительству внедрить цензуру и слежку. XMPP является децентрализованным - любой может запустить сервер, поэтому вам следует выбрать один из них с хорошей конфиденциальностью, например, RiseUp (инсайдерская информация - они, кажется, планируют отказаться от него), Snopyta или Autistici (который вы получите, если подписаться на их учетную запись электронной почты). Не пропускайте шифрование, даже если вы используете безопасное программное обеспечение и сервер! Это главный вывод здесь.

Облачное хранилище

Введите в привычку хранить все локально! И делайте гребаные бэкапы, Срань господня - не будьте тем клоуном, который теряет все из-за вредоносного ПО, аппаратного сбоя, кражи, или еще чего-нибудь. Все, что вам нужно - это запасной USB-накопитель или SD-карта. В любом случае, я изучил большинство доступных бесплатных провайдеров облачных хранилищ и они либо требуют ваши личные данные, такие как имя или номер телефона, либо не поддерживают английский язык, либо притворяются бесплатными, но на самом деле являются платными, либо имеют другие проблемы. Disroot - единственный с удовлетворительной оценкой - Nextcloud раздута и они также удалят всю вашу учетную запись, если вы загрузите что-то, что, по их мнению, противоречит их ToS (если вы не удалите нарушающий правила файл в течение 24 часов). Если вы все же решите воспользоваться таким сервисом, помните, что вы можете защитить паролем свои файлы (например, командой gpg -c terrorism_manual.pdf) от администраторов или других соглядатаев, и при этом делиться ими с теми, с кем вы хотите.

Загрузка/обмен текстом

Ака знаменитый pastebin. Deep Paste (только для onion) является лучшим - простой, не требует JS; поддерживает публичные, приватные и самоуничтожающиеся пасты - и ничего не удаляет. Snopyta's service (onion), или другой PrivateBin, является еще одним вариантом, но требует JS (хотя вы получаете больше возможностей, включая защиту паролем и шифрование - но любой, кто знает ссылку, может расшифровать ее). Не используйте Ghostbin (использует cloudflare, нет политики конфиденциальности), 0bin (признает, что не заботится о защите ваших загрузок), или pastebin (самый худший - хранит ваш IP и другие данные, не шифруется, признает цензуру [архив], использует Google Analytics и имеет таргетированную рекламу).

Загрузка/обмен картинками

Coinsh (onion) - единственный хороший - Никаких данных не будет записано о том, кто какую монету вставляет - все, что я получу, это временную метку. Не требует JavaScript, а также интегрирован с IPFS (это означает, что изображение никогда не исчезнет, пока его просматривает достаточное количество людей - аналогично тому, как это делает Freenet). UPDATE: долгое время отсутствовал, теперь снова работает, но не позволяет загружать изображения. Используйте lainsafe, пока кто-нибудь не создаст другой экземпляр coinsh.

Загрузка/обмен видео

К сожалению, ничто не сравнится с YouTube по количеству пользователей и контента. Независимо от его интеграции с Google, абсолютно ужасная политика конфиденциальности, загроможденный пользовательский интерфейс, дерьмовые "функции", такие как автовоспроизведение / автозагрузка следующего видео, а также реклама и огромные проблемы с цензурой (архив) - мы вынуждены считаться с ним, если хотим получить видео. Есть два хороших способа сделать это - один из них Invidious, который вычищает UI от зондов и теперь не требует подключения к google чтобы смотреть видео (если вы выберите dash качество в настройках). Другой вариант - youtube-dl, который, скачивает видео вместо того чтобы использовать чей-то сервер, полностью избегая их проблем, таких как тротлинг и т.д. Видео теперь просто файл на вашем диске - вы делаете с ним все, что хотите. Конечно, если вам нужны такие "функции", как комментарии, вам придется поддаться ботнету и войти в систему под своим аккаунтом google (что я, конечно, не рекомендую делать). Что насчет так называемых альтернатив youtube? Вкратце - все они отстой. На Vimeo и Dailymotion гораздо меньше контента, а их политика конфиденциальности в любом случае не очень хороша. Bitchute требует проверки браузера cloudflare, прежде чем вы сможете получить к нему доступ. Brighteon выступает против цензуры, но требует приглашения (хотя контент там мне действительно нравится). Вы можете попробовать некоторые экземпляры peertube, но они могут умереть в любой момент (очевидно, поскольку они не поддерживаются большой корпорацией), и их так много, что вы можете забыть о завоевании популярности как создателя контента (поскольку нет большой, централизованной базы данных для людей, чтобы найти ваши видео - проблема характерная практически для всех децентрализованных сервисов). К сожалению, я не ожидаю, что эта проблема будет решена, пока Google не наебет создателей контента настолько сильно, что все они решат собрать вещи, уйти и создать свою собственную альтернативу YouTube - чего они не собираются делать до тех пор, пока они зарабатывают деньги на рекламе - так что капитализм должен умереть первым.

Перевод

Раньше здесь рекомендовали переводчик Swisscows, но он умер. Есть какие-то локальные способы, хотя я о них ничего не знаю. UPDATE: один из участников нашего чата смог установить Apertium и сказал, что он работает нормально. UPDATE 2: легковесный прокси для Botnet Translate теперь существует.

Другие сервисы заслуживающие упоминания

Cockfile позволяет хранить файл в течение 24 часов и утверждает, что не ведет никаких логов. Ограничение по размеру составляет 5 Гб и есть некоторые ограничения по типам файлов. Disroot's Lufi это аналогичный сервис с временным интервалом до 60 дней и размером 1 ГБ. Он также шифрует ваши файлы, так что даже администраторы не смогут увидеть содержимое. Snopyta, в дополнение к тому что я уже упоминал, предоставляет различные другие услуги, такие как Git, экземпляр YaCy (слабые результаты поиска, но полностью децентрализованный), сервер Mumble (голосовой чат), совместное редактирование и другие - многие из которых имеют onion сервисы.

Хостинг сайтов

Neocities стоит на голову и плечи выше других хостингов клирнета, у него есть бесплатное хранилище на 1 ГБ, интеграция IPFS, встроенное пожертвование биткоинов, а также некоторые квази-социальные медиа функции, которые позволяют вам находить другие интересные сайты, оставлять комментарии и т.д. Однако с точки зрения конфиденциальности или цензуры, это черный ящик (хотя я не слышал ни об одном реальном случае последнего). Все остальные страдают от таких недостатков, как платность, требование личных данных, низкая скорость, вынужденные простои или реклама (особенно если хостинг бесплатен), и самое главное - дерьмовая политика цензуры (архив). Лучше всего хранить свой сайт на Freenet или найти хост в сети Tor. И с этим мы переходим к самому важному разделу...

Клирнет обречен!

В конечном итоге, всякий раз, когда мы пользуемся услугами клирнета, мы полагаемся на сервер, контролируемый незнакомцем или крупной корпорацией, которая может установить любые политики и менять их в любое время. Он может, конечно, умереть и забрать с собой ваши данные (крупные корпорации вроде как сопротивляются этому, но все же...). Интернет консолидируется в руках нескольких игроков, таких как Cloudflare, Amazon, Google, Twitter и Facebook. Знаете ли вы, что, например, даже если сайт, к которому вы подключаетесь, не имеет элементов ни от одного из них, он все равно может проходить через их центры (вы можете убедиться в этом с помощью сетевого монитора)? Не говоря уже о том, что все соединения проходят через несколько интернет-провайдеров, которые могут не только устанавливать свои собственные политики, но и подвержены все более жесткому преследованию правительствами свободы слова (или даже свободного чтения) и неприкосновенности частной жизни. Чтобы обойти их, нам необходимо полагаться на децентрализованные решения, которые труднее подвергнуть цензуре или заблокировать. Некоторые из них - это ZeroNet, RetroShare, Tor и IPFS (все они имеют серьезные недостатки), а также Freenet, который, IMO, является единственным достойным решением из всех перечисленных (хотя и не самый лучший). Децентрализация вообще имеет много присущих ей недостатков (некоторые из них я уже затрагивал в разделе "Видео") - однако, если клирнет станет непригодным для использования, у нас не будет ничего другого, кроме как перейти на них, и ждать их неизбежного улучшения (или помочь сделать это, если вы можете!). Freenet является старейшим и единственным доступным, который позволяет хостить сайт без нахождения в сети 24 часа в сутки. Он не подвергается цензуре и его можно сделать в высшей степени анонимным с помощью соответствующих настроек безопасности (вы сами выбираете уровень компромисса, на который вы собираетесь пойти). Я рекомендую перейти на него прямо сейчас, поскольку с этого момента я не уделяю клирнету слишком много времени. Но также прочитайте Избежать "ботнета" - невозможно? для некоторых разъяснений по поводу децентрализации и интернета в целом (краткое резюме: нам понадобится физическая инфраструктура в конечном итоге). Но пока что Freenet - наша надежда!

OPSEC

Безопасность / конфиденциальность - это не только программное обеспечение или услуги, но и ваше поведение. Старайтесь не размещать в Интернете свои личные данные - такие как имя или номер телефона, а также, желательно, любые детали реальной жизни, которые могут связать вашу активность в Интернете с вашей реальной личностью (люди разрушили свои жизни, не прислушавшись к этому совету). Если только эти данные не являются чем-то, что вы хотите раскрыть - но тогда, сделайте это с новой учетной записью на платформе, которая не будет использовать ее против вас. Например, если у вас есть аккаунт на Reddit с тысячей сообщений, вы, возможно, не захотите привязывать его к событию, на котором вы были в реальной жизни, например, протесту или чему-то подобному. Хорошая идея - иметь несколько личностей в Интернете в любом случае, даже для того, чтобы аккаунт, который вам дорог, не был "запятнан" чем-то глупым, сказанным вами на форуме по видеоиграм или еще где-нибудь.

Очевидно, регулярно делайте резервные копии своих данных, чтобы вредоносное ПО, хакерская атака или поломка диска не помешали вам. Имейте несколько уровней безопасности - используйте Tor для любой программы, которая его поддерживает, а также VPN и надежных провайдеров. Шифруйте свои коммуникации, а также данные на вашем диске. Для действительно важных вещей вы возможно захотите использовать другой профиль или совершенно новый компьютер с публичной сетью WiFi далеко от вашего дома (heads OS часто используется для таких целей). Используйте разные пароли для каждой учетной записи, которая для вас небезразлична. Удалите электронный email, на который были зарегистрированы аккаунты, чтобы в случае, если он был взломан, злоумышленник не мог просто "Вспомнить пароль" для всех ваших учетных записей. Очевидно, не загружайте ненадежное программное обеспечение, например, скрипты с сомнительных имиджбордов (lol), если вы не можете прочитать и понять код (тем не менее, вредоносные программы случались даже в официальных репозиториях Linux (архив)). Если вы жестко настроены, то можете также поместить определенные приложения в песочницу с помощью Firejail, или даже использовать ориентированный на безопасность дистрибутив, такой как Qubes или Whonix (поскольку по умолчанию, приложения в Linux имеют все разрешения того пользователя, от которого они запускаются). Здесь можно рассказать гораздо больше - целые книги написаны об OPSEC - но это хорошее начало. Однако, если вы пытаетесь сделать что-то, что может действительно доставить вам неприятности - идите в даркнет, найдите людей с опытом, задавайте вопросы. Не полагайтесь на это совершенно непрофессиональное руководство.

Назад на главную страницу

Translated by nullpointer