Безопасность

Базовая компьютерная свобода и безопасность

19.05.2022

Компьютеры окружают нас повсюду. Смартфоны, смартчасы, умные колонки и лампы, ноутбуки и стационарные компьютеры – это практически стандартный набор гаджетов у продвинутого человека. Также не стоит забывать о серверах и суперкомпьютерах, на которых держатся например различные социальные сети, сервисы и инфраструктуры. Несмотря на то, что в последнее время регулярно выходят новости об очередном взломе сервисов (за последнее время нашумела новость о взломе видеохостинга RuTube), утечке данных, уязвимостях операционных систем и приложений, люди особенно не задумываются о своей информационной безопасности.

Большинство пользуется операционной системой Windows, которую часто осуждают за шпионаж за пользователем, что неудивительно, так как Windows – операционная система с закрытым исходным кодом.

Исходный код – это код, который может прочитать человек, знающий язык программирования, на котором он написан; для исполнения программы требуется его преобразовать в двоичный код. Двоичный код преобразовать в исходный практически невозможно, а если можно, то с кучей нюансов.

Может показаться странным, но система с открытым кодом гораздо более защищенная, чем система с закрытым исходным кодом, так как открытую систему исследуют не только сотрудники корпораций, но и любой желающий, и как правило, в код не допускаются какие попало изменения. Кто угодно может провести аудит кода и убедиться, что в нем нет никакого вредоносного функционала. Это называется – свободное программное обеспечение.

К слову, в лицензионном соглашении Windows запрещено пытаться выяснить исходный код методом обратной разработки.

Всё это значит, что корпорация, владеющая кодом закрытой системы, может тайно внедрять любой вредоносный функционал. Она сможет просматривать любые данные на носителях; посещаемые сайты; какие программы открываете, и что в них делаете; сможет собирать пароли от ваших учетных записей; прослушивать ваш микрофон и просматривать web-камеру; собирать каждое нажатие на клавиатуру и движение мышки и т.д.

В “заявлении конфиденциальности” из лицензионного соглашения Windows написано, что корпорация может собирать данные о том, какие программы установлены на компьютере, какие сайты вы посещаете, какой установлен язык и регион в системе, а также «пароли, подсказки по паролям и другие данные относящиеся к безопасности и используемые для проверки подлинности и доступа к учетным записям».

Если вы не ужаснулись, то коротко – Microsoft собирает ВСЮ информацию о вашей деятельности.
Телеметрию (как обычно называют слежку корпорации) можно частично отключить, но это скорее иллюзия для успокоения, чем решение проблемы.

Кроме этого, Windows полна уязвимостей, которыми могут воспользоваться злоумышленники и например перенаправлять интернет трафик с детской порнографией через ваш компьютер, тем самым вы рискуете нарваться на неприятности со стороны властей. Это не говоря о том, что люди обязаны платить за лицензию системы. macOS вышеперечисленных качеств также не лишена.

Также Windows 11 требует обязательное интернет подключение при установке системы и без входа в учетную запись Microsoft система не позволяет ей пользоваться. Наверняка в будущем новые версии Windows будут требовать ещё и паспортные данные.

По причине вышеперечисленных оснований, разумно использовать свободную операционную систему.

Лучшим примером такой свободной системы является GNU/Linux. Она является флагманом свободного программного обеспечения, имеет отличную поддержку, а ещё она полностью бесплатная. Среди свободных операционных систем существует семейство систем BSD, в которую входят FreeBSD, NetBSD, OpenBSD, DragonflyBSD и прочее, но они существенно проигрывают в плане поддержки оборудования и программного обеспечения.

Помимо высокой надежности и безопасности (благодаря архитектурным особенностям системы), дистрибутивы GNU/Linux гораздо менее требовательны к ресурсам компьютера, чем Windows 11, более отзывчивы и производительны.

Систему GNU/Linux можно четко настроить как вам удобно, например можно использовать графическое окружение, которое вам понравится, и кастомизировать под свой вкус.

Интересный факт, но операционная система GNU/Linux была создана Линусом Торвальдсом – человеком, которого просто не устраивали остальные существующие на тот момент системы, впрочем остальные программы нередко были написаны по этой же причине. Это значит, что ничего не мешает написать свою идеальную программу, или модифицировать чужой код под открытой лицензией под свои нужды.

В Windows 11 теперь уже нельзя перенести панель задач вверх, влево или вправо, так как (цитата сотрудника Microsoft) “Мы знаем, что есть определённая группа людей, которым нравится перемещать панель задач. Однако мы также видим, что запросов на эту функцию очень мало по сравнению с другими. Поэтому в настоящее время мы продолжаем фокусироваться на тех опциях, на которые больше спроса.” Это всё что нужно знать об отношении корпораций к их клиентам, которые ещё им платят.

Стоит сказать, что всё не заканчивается на программном обеспечении, в аппаратном обеспечении тоже содержится различный вредоносный функционал. Ещё с 2006 года в чипсетах Intel начиная с поколения процессоров Core 2 Duo появилась автономная система Intel Management Engine. Это система состоит из отдельного микропроцессора и выполняемой на нем прошивки. Она имеет полный доступ ко всему оборудованию компьютера, включая центральный процессор, оперативную память и подключенные устройства.

Даже если компьютер выключен, она продолжает работать (при условии подключенного блока питания в розетку, или аккумулятора в ноутбуке). В ней находили различные уязвимости, позволявшие полностью завладеть доступом компьютера. Эту систему невозможно отключить, но можно нейтрализовать при помощи инструмента me_cleaner, который изменяет прошивку так, чтобы Intel ME не мог функционировать.

У AMD есть аналогичная система под названием AMD Platform Security Processor, которая появилась в 2013 году. В ней функционал несколько отличается, но она гораздо опаснее возможностью запускать вредоносный код через неё, чего нельзя сделать на Intel ME. На некоторых ноутбуках ее можно отключить в меню BIOS/UEFI, в остальных случаях ее отключить невозможно.

Кроме этого не следует исключать преднамеренные или непреднамеренные уязвимости в архитектуре процессора и прошивке BIOS и UEFI. Существует открытая альтернатива заводских прошивок BIOS/UEFI – Coreboot, Libreboot. Тем не менее, Coreboot содержит некоторые закрытые компоненты, в отличии от Libreboot, но их поддерживает очень малое количество материнских плат стационарных компьютеров и ноутбуков.

Доступным вариантом относительно свободного безопасного компьютера может стать сборка системы на основе материнской платы Asus KGPE-D16, которая поддерживает Libreboot. Она имеет два сокета для установки двух 16-ти ядерных процессоров Opteron (которые лишены AMD Platform Security Processor), поддерживает 8-ми канальный режим памяти DDR3 на два процессора (скорость которой cущественно быстрее, чем у двух канальной DDR5), максимальный объем которой составляет 256GB.

Лучшим на текущий момент решением для безопасного стационарного компьютера/сервера является система на основе материнской платы Talos II с открытой прошивкой на двух 22-ух ядерных процессорах IBM POWER9 с открытыми спецификациями. Она поддерживает 8-ми канальный режим памяти DDR4 на два процессора, максимальный объем которой составляет 2TB.

В недалеком будущем должный выйти ноутбук на открытой архитектуре POWER, который станет одним из самых свободных и безопасных ноутбуков.

Различные карты расширения типа видеокарт, аудиокарт, контроллеров требуют установки драйвера (программы, которая взаимодействует с устройством, для которого она и написана), который как правило является закрытым, а значит его полный функционал также неизвестен.

Единственные видеокарты, для которых выпускаются открытые драйверы – это AMD Radeon (AMDGPU), начиная от линейки HD 7000, которые можно рекомендовать.

В свою очередь существует открытая прошивка для небольшого ряда моделей SSD-дисков – OpenSSD.

Периферия тоже может быть скомпроментирована, и например в клавиатуре и мыши может содержаться аппаратный кейлоггер (который отслеживает все нажатия, движения и клики).

В конечном счете становится ясно, что лучше всего использовать аппаратное обеспечение с открытыми драйверами и спецификациями, без наличия автономных систем для слежки, или хотя бы с возможностью отключения,

Что касается программ, то принцип остается прежним – если программа закрытая, то вы не сможете узнать, что она может делать помимо своего предназначения.

Cуществует много открытых альтернатив для популярных программ, например:
Adobe Photoshop – GIMP, Krita
MAGIX VEGAS, Adobe Premiere – Kdenlive
FL Studio – Ardour, Rosegarden, Linux MultiMedia Studio

Смартфоны также нельзя пропустить мимо и обратим внимание на самые распространенные операционные системы, на которых они работают – iOS и Android.

iOS – закрытая операционная система корпорации Apple, которая ничем не отличается от Windows и macOS в отношении конфиденциальности и безопасности.

Android – открытая операционная система, которую можно порекомендовать к использованию при условии, что пользователь перепрошьет свой смартфон на чистую прошивку без потенциально вредоносных и скрытых предустановленных программ (типа приложения клавиатуры, которое отправляет производителю все, что вводит пользователь).

К тому же стоит отметить, что в центральном процессоре любого современного смартфона используется технология – ARM TrustZone Technology. Её суть заключается в том, что при запуске процессора запускается система Secure OS, которая имеет полный доступ к оборудованию, а из под нее запускается гостевая система (например Android). Эту технологию не представляется возможности отключить, и так как она закрытая, остается только догадываться, что она может делать.

Не стоит забывать про модем Wi-Fi, Bluetooth; baseband процессор; аудиокодек; контроллеры питания и памяти; и даже SIM-карта, которая имеет свой собственный процессор и память, и позволяет методом эксплуатации уязвимости запустить вредоносный код на смартфоне, а также закрытый recovery и загрузчик. Это нужно обозначить чтобы знать, чего потенциально можно ожидать от закрытого устройства.

Известно, что смартфон, как и любой телефон с baseband процессором подключен к сотовым вышкам даже без вставленной SIM-карты. Это позволяет методом триангуляции определять весьма точное местоположение телефона. Неспроста современные смартфоны, планшеты и ноутбуки имеют несъемный аккумулятор. Ноутбук с Intel ME/AMD PSP даже в выключенном состоянии сможет в теории выйти в интернет, загрузить вредоносную программу и выполнить её; а смартфон, также будучи в выключенном состоянии может быть подключен к сотовым вышкам.

Неплохой альтернативой популярным моделям смартфонов покажутся PinePhone Pro и Librem 5, так как у них есть аппаратные переключатели камер, микрофонов, baseband процессора и Wifi/Bluetooth модулей, но как выяснилось, эти переключатели не отключают питание напрямую к этим компонентам, а программным методом отключают функции, и нет никакой гарантии, что модули действительно выключены. Если нужен максимальный и доступный уровень безопасности, следует отказаться от смартфонов и мобильных телефонов, и пользоваться мобильным компьютером с открытыми компонентами на операционной системе GNU/Linux.

Теперь нужно плавно перейти к интернет ресурсам, которыми люди привыкли пользоваться. Из всего вышесказанного уже не секрет, что корпорации собирают информацию о своих клиентах. К примеру ВКонтакте получает следующую информацию:

Содержимое личных переписок, постов и комментариев (даже если пользователь их удалил); ФИО; возраст; пол; данные о семейном положении, образовании, работе и родственниках; интересы (все поисковые запросы и весь контент, что смотрел пользователь); ID; даты удаления учетной записи (даже если пользователь передумал и восстановил страницу); привязки телефонных номеров и электронной почты; время входа на сайт или в приложение; геолокация пользователя, включая часто посещаемые места; данные об устройстве, с которого пользователь зашел на сайт или в приложение; “лайки”, которые пользователь оставил на постах и комментариях.

Усугубляет всё это доступность информации почти для любого, кому вы чем-то не угодили.

По сути, Facebook, Twitter, Google и подобные сервисы ничем не отличаются в вопросе конфиденциальности их клиентов.
Поисковые системы Яндекс, Google, Mail.ru, Yahoo; мессенджеры WhatsApp, Telegram, Viber; видеохостинги TikTok, YouTube также собирают всевозможные данные о пользователях.

Корпорации заявляют, что все эти данные нужны для подбора индивидуальной контекстной рекламы, которая якобы полезна для пользователя. Нормальному человеку очевидно, что когда кто-то лезет в твою личную жизнь – это очень неприятно.

Логично, что все эти сервисы выгодны их владельцам потому, что данные пользователей очень ликвидны, и в частности с рекламы они получают основной доход. Тут не за что кормить корпорации.

Теперь нужно обратить внимание на то, что интернет трафик пользователей во многих странах сохраняется в дата-центрах в течении нескольких лет (например в РФ – это система СОРМ, которая записывает все телефонные разговоры и СМС ещё с 1996 года). Несмотря на то, что современные вебсайты работают по протоколу HTTPS, который шифрует трафик, его все равно можно анализировать по заголовкам, что может делать интернет-провайдер. Также DNS-трафик (в котором содержится вся история посещений) по умолчанию не зашифрован, а DNS сервером как правило выступает интернет-провайдер.

Решить это можно путем вывода трафика в другую страну, желательно не входящую в альянс 14 глаз (который принял соглашение об обмене разведовательной информации, и правительство может незамедлительно получить доступ к содержимому вашего трафика), например Румынию, Индию, Чехию, Финляндию, Панаму. Если популярные VPN протоколы типа Wireguard блокируются системой анализа трафика DPI, то нужно использовать протокол Shadowsocks для обфускации трафика.

Не рекомендуется использовать на постоянной основе бесплатные или коммерческие VPN провайдеры. Лучшим решением будет арендовать свой личный VPS/VDS сервер, который может выступать как VPN и DNS сервер. Этот трафик можно пропустить через TOR или I2Pd, а затем через еще один VPN или публичный прокси-сервер, чтобы легко менять IP-адрес по желанию.

Для просмотра сайтов лучшим браузером является Firefox, и его производные на основе его исходного кода, в которых частично отключена телеметрия – Icecat, Iceweasel, Librewolf.

В нем нужно во вкладке about:config нужно полностью отключить телеметрию (лучше всего изучить лично, какие атрибуты изменить, так как иногда появляются новые). Также следует иметь в виду, что настройки атрибутов могут сброситься после обновления браузера.

Полезные расширения для анонимизации – Chameleon, Canvas Fingerprint Defender, Font Fingerprint Defender, WebGL Fingerprint Defender, AudioContext Fingerprint Defender, Canvas Blocker, Temporaly Containers, Privacy Badger.
Лучше всего отключать ненужные JavaScript’ы расширением NoScript.

Необходимо коротко затронуть тему безопасного хранения ценной информации на носителях. Не стоит хранить свои данные в открытом виде, а следует их зашифровать, например программой zuluCrypt. Можно создать зашифрованный файл-контейнер, который можно скопировать на другой носитель или удалить, а так же можно зашифровать носитель целиком. Лучше всего выбрать спецификацию формата шифрования раздела диска/контейнера LUKS2. Режим LUKS2 + external header (внешний заголовок, в котором хранятся данные о типе зашифрованного раздела) позволит хранить внешний заголовок на другом носителе, без которого доступ к данным будет невозможно получить.

Кроме этого стоит создать зашифрованный контейнер с паролями в программе KeePass на отдельном носителе. Пароль нужно использовать достаточно сложный, чтобы если носитель с контейнером потеряется или его украдут, подобрать пароль методом перебора было нереально.

В заключении, нужно перечислить, чем можно заменить сервисы корпораций и какие ещё полезные свободные программы/сервисы можно попробовать:

Diaspora – децентрализованная социальная сеть

Mastodon – децентрализованная социальная сеть

SearX – открытая метапоисковая система, которая анонимно обращается к поисковым движкам Google, DuckduckGo, Yahoo, Bing (зеркала https://searx.space/)

PeerTube – децентрализованный, федеративный видеохостинг, основанный на технологиях ActivityPub и WebTorrent

Invidious – web-клиент YouTube, который анонимизирует пользователя (https://redirect.invidious.io/)

OpenStreetMap – веб карты и навигатор

RiseupVPN – хороший бесплатный VPN

Riseup Email – защищенная электронная почта, но она доступна только по приглашению от того, у кого есть доступ к этой почте

NextCloud – программное обеспечение для создания своего частного облачного хранилища, поддерживает свои собственные приложения

LibreOffice – мультиплатформенный офисный пакет

KeePassXC – мультиплатформенный менеждер паролей

zulucrypt – программа для шифрования носителей (Linux)

ClamAV – мультиплатформенный антивирус

F-Droid – репозиторий открытых приложений для Android, в который попадают только проверенные модераторами приложения, и не требующий регистрации

Privacy Browser – хороший браузер для Android

InviZible Pro – инструмент шифрования DNS трафика и разворачивания роутеров TOR и I2Pd для Android

Element – мультиплатформенный мессенджер, основанный на протоколе Matrix

Jami- мультиплатформенный мессенджер – сообщения, аудио/видеоконференции, файлообмен

aTox/qTox – мобильная и компьютерная версии бессерверного мессенджера Tox соответственно – сообщения, видео/аудиосвязь, файлообмен

Jitsi Meet – мультиплатформенный мессенждер для видеоконференций (аналог Skype)

Organic Maps – мобильные карты и навигатор оффлайн

Dicio – открытый голосовой помощник

Electrum Bitcoin Wallet – мультиплатформенный Bitcoin кошелёк

Если вы не нашли что-то для себя, можно посмотреть альтернативы на alternativeto.net с тегом “open-source”.

P. S. Статью мне прислал мой знакомый, я решил опубликовать. Может, кому-то пригодится. У меня свой метод борьбы за приватность – просто перестать активно пользоваться интернетом, что я давно и сделал. Виртуальную сеть уже практически не смотрю, она стала не интересна. Надо больше времени тратить на реальную жизнь, а не на виртуальную галиматью. Но статья очень полезна, особенно для людей, кто только осваивает азы компьютерной грамотности.