книги хакеры / Курс_по_кибер_безопастности_Секреты_хакеров

используется временно и затем уничтожается, и также домен высокого уровня приват- ности. Все эти домены могут быть реализованы различными способами при помощи раз- личных технических средств, и не обязательно они будут обременительными, это зави- сит от того, как вы их настроите.

Давайте больше поговорим о физической изоляции. Разделение на физическом уровне обеспечивает наивысший уровень безопасности и приватности. Оно также защищает вас от любых злоумышленников, которые имеют физический доступ к вашему устройству. Это будет означать применение одного лэптопа или физического устройства, настроенного для безопасности и/или приватности, и другого для обычного использования.

Давайте поговорим о некоторых ситуациях, когда физическое разделение имеет смысл, или физические домены безопасности. Если вам нужно, например, въехать на территорию страны, где таможня сможет получить доступ к вашему лэптопу, а это, внесем ясность, может произойти в большинстве стран, многие из которых имеют законы, которые обязывают вас предоставлять свой пароль, или могут взять ваш лэптоп, или другие страны, где ситуация еще хуже, где к вам могут применить формы угрозы и запугивания, неправомерные действия, насилие, с целью раскрытия вашего пароля или получения доступа к вашему лэптопу.

При подходе с физическим разделением вы попросту не берете лэптоп с критической информацией или данными, которые вы пытаетесь сохранить приватными. Это именно то, что я рекомендовал корпоративным клиентам, которым нужно путешествовать в определенные области или уголки мира, где, в случае если они обладают ценной информацией, правительства скорее всего захотят ее заполучить. Подобные клиенты не хотят попадать в ситуации, в которых им придется противостоять формам запугивания. Так что учитывайте законы других стран, если перемещаетесь по миру. Даже наличие порнушки может являться преступлением в других правовых юрисдикциях.

Если у вас есть источник угрозы, который может посетить ваше местоположение, вы можете физически спрятать или держать под замком защищенный лэптоп, препятствуя проведению компьютерно-технической экспертизы, конечно, в случае, если они не смогут его найти. При этом вы держите лэптоп для обычных нужд в доступности.

При физическом разделении, если ваш обычный лэптоп скомпрометирован вашим источником угрозы, а это может произойти при помощи вредоносных программ или других средств, то поскольку вы сохраняли физическое разделение, они не смогут получить доступ к вашим защищенным данным с вашего обычного лэптопа. Вам даже не нужно использовать свое собственное оборудование для физической изоляции или физического домена безопасности.

Это может быть опасно, конечно, использовать оборудование других людей для приватности и безопасности, если вы не примете правильных мер предосторожности, и мы конечно же разберем этот вопрос в нашем курсе. Но вы можете использовать, например, интернет-кафе для отправки анонимных сообщений. Пожалуй, можно и загрузить с их машины свою операционную систему и настройки. Вы можете использовать подключение к интернету, которое принадлежит не вам, в целях сохранения приватности. Все это примеры разделения на физические домены безопасности.

У вас может быть отдельный маршрутизатор или отдельное сетевое оборудование для определенных видов деятельности, требующей конфиденциальности. Вы можете иметь отдельные сетевые карты, адаптеры Wi-Fi или адаптеры Ethernet.

В некоторых случаях можно отследить покупателя физических устройств. Например, сетевые карты внутри физических устройств имеют уникальные MAC-адресы или аппаратные адресы. Если вы приобретаете свой защищенный лэптоп анонимно, то по MAC-адресу, если кто-либо сможет определить его, нельзя будет отследить вас.

Есть способы изменения вашего MAC-адреса, мы можем обсудить их в том случае, если вы используете виртуальную форму доменов безопасности. Но анонимная покупка лэптопа обеспечивает дополнительный слой внутри физического домена безопасности.

Некоторые виды виртуальной изоляции медлительны. Например, может потребоваться использование виртуальных машин или скрытых операционных систем на отдельной машине для обеспечения скорости и удобства в использовании.

Виспользовании физического разделения, тем не менее, есть довольно много недостатков. Это означает, что вам необходимо иметь отдельную или даже несколько машин для разных доменов безопасности, что проблематично, это дорого и в целом может вызывать раздражение, в вашей ситуации это может быть попросту неприемлемо.

Передача данных между физическими машинами нарушает физическую изоляцию и повреждает эти раздельные домены безопасности, поэтому трудно передавать данные безопасным образом.

Физически разделенные машины также уязвимы перед атаками, даже несмотря на то, что они находятся в разных доменах. Поэтому, просто иметь отдельную машину недостаточно, она должна быть еще и защищенной.

Чем больше доменов вы имеете, чем больше машин, все это приводит к тому, что вам приходится поддерживать их все в актуальном состоянии и в безопасности. Кроме того, существуют вредоносные программы, которые могут извлекать данные из физически изолированных компьютеров, защищенных при помощи так называемых "воздушных зазоров" (air gap), это уже демонстрировалось, мы обсудим это позже.

Вобщем, есть разные ситуации для физического разделения и физических доменов безопасности, и если вы размышляете о том, нужны вам или нет физические домены безопасности, то это решение будет уникальным под вашу конкретную ситуацию.

Давайте поговорим о некоторых виртуальных способах создания отдельных доменов безопасности и изоляции. Первое, что стоит отметить, виртуальное разделение, технология, используемая для создания виртуализации, может быть атаковано в целях обхода одного домена безопасности и проникновения в другой.

Для создания раздельных доменов вы можете использовать такие вещи, как двойная загрузка, платформы виртуализации и гипервизоры типа VMware, Virtualbox, Vagrant, Hyper-V, VPC. Также существует виртуальная машина ядра Linux KVM, есть еще Jails

или BSD Jails, Zones, LXC (Linux Containers), Docker. Можно также использовать скры-

тые операционные системы. VeraCrypt и TrueCrypt, они предоставляют подобный функционал.

Вы можете иметь отдельные разделы жесткого диска, которые зашифрованы или скрыты. Можете использовать песочницы, переносимые приложения, непостоянные операционные системы типа Tails, Knoppix, Puppy Linux, JonDo Live-CD, Tiny Core Linux. Можете настроить загрузочные флешки.

Вы можете использовать операционные системы, которые предназначены для изоляции и разделения типа Qubes OS, это очень хорошая операционная система.

Вобщем, есть множество способов создания доменов безопасности через изоляцию и разделение. Наиболее важные из них мы обсудим далее в курсе.

Если злоумышленник эксплуатирует уязвимость, то изоляция и компартментализация снижает воздействие на изолированный домен безопасности. Давайте я дам вам один простой, но очень показательный пример изоляции и компартментализации, используя виртуальную машину и гостевую систему для работы в интернете.

Если гостевой браузер на виртуальной машине оказывается скомпрометирован, благодаря изоляции и компартментализации, хостовая система остается защищенной от компрометации. Последствия снижены или, возможно, полностью погашены.

При помощи изоляции и компартментализации вы контролируете атаку. В этом разделе мы изучим несколько лучших методов реализации доменов безопасности при помощи изоляции и компартментализации.

И разные методы могут использоваться в комбинации, например, виртуальная машина с песочницей, с зашифрованными разделами, и так далее. Вам нужно определиться, какие виды доменов безопасности вам требуются. Выбор должен быть основан исходя из вашего персонального риска, последствий, модели угроз и злоумышленников.

Вам следует изолировать и разделить ваши активы. Вещи, о которых вы заботитесь. Приложения, которые взаимодействуют с недоверенными источниками типа интернета. Ваш браузер и почтовый клиент, например.

Мы не будет знакомиться со всеми существующими методами изоляции и компартментализации, поскольку их очень много, но я проведу вас через самые лучшие, а также затрону более общие методы, так чтобы вы смогли спроектировать свои собственные методы изоляции и компартментализации при необходимости.

Вы убедитесь, что многие из средств, описываемых в данном курсе, используют принципы изоляции и компартментализации.

93.Физическая и аппаратная изоляция - как изменить Mac-адрес

Вразделе о доменах безопасности мы говорили о физической безопасности в контексте использования отдельного устройства типа защищенного лэптопа, защищенной флеш-карты или карты памяти SD. Сейчас мы немного углубимся в вопросы, касающиеся приватности, анонимности и физических доменов безопасности.

Давайте начнем с устройств и серийных номеров аппаратного оборудования. Итак, в устройствах есть серийные номера оборудования, которые могут однозначно идентифицировать их. Если "железо" не было куплено анонимно, то по этим уникальным идентификаторам потенциально можно отследить вас при помощи денежного следа или других методов.

Если вы хотите оставаться недоступными для идентификации и анонимными, то тогда вам нужна изоляция уникальных аппаратных идентификаторов, так чтобы они не могли быть получены злоумышленниками. Первый уникальный аппаратный идентификатор, о котором вам нужно быть в курсе, если вы еще этого не знаете, это MAC-адрес. Злоумышленник может заполучить ваш MAC-адрес из вашей сетевой карты, он всегда представляет собой уникальный номер.

Этот метод был использован АНБ для деанонимизации пользователей сети TOR при помощи эксплойта для атаки на Firefox и Tor Browser. И вот описание того, как это произошло, если вам интересно.

nathan@debian:~$ sudo ifconfig en0 ether aa: aa: aa: aa: aa: aa

Есть и другие уникальные идентификаторы аппаратного оборудования помимо MACадресов, о которых вам нужно знать и снижать риски, связанные с ними, если вам нужны анонимность и невозможность вашей атрибуции.

Давайте начнем с процессоров. Почти все современные процессоры не имеют про- граммно-читаемых серийных номеров. Intel попытались добавлять их в середине 90-х в Pentium 3, но по причине массового недовольства общественности, они отказались от серийных номеров, что хорошо. Так что по большей части процессоров вы можете лишь идентифицировать их конкретную модель и все на этом, поскольку нет серийных номеров.

www.cpuid.com/softwares/cpu-z.html

Если вы хотите проверить свой процессор и увидеть, какого рода информацию из него можно достать, то под Windows можно использовать программу CPU-Z, скачивается на данном сайте. Она покажет вам, какая информация доступна о вашем процессоре, но как было сказано ранее, если у вас современный процессор, то ничего уникального быть не должно.

https://launchpad.net/i-nex

Под Linux есть очень похожая утилита для просмотра информации о процессоре, она называется I-Nex, скачать ее можно на этом сайте. Она выглядит также, очень похожа на

CPU-Z. https://software.intel.com/en-us/articles/download-maccpuid

На Mac, если вам нужно посмотреть информацию о процессоре, скачайте MacCPUID. В общем, это что касается процессоров. Что касается серийных номеров аппаратного оборудования, в случае с процессорами, не должно быть ничего, о чем стоит волноваться.

Переходим к материнским платам. Материнские платы часто, но не всегда, содержат уникальные идентификаторы в системном управлении BIOS, в памяти SMBIOS. И основные оригинальные производители оборудования обычно помещают эти серийные номера в SMBIOS, что означает, злоумышленники могут получить доступ к этим данным и отследить по ним путь до покупателя или вас.

Под Windows вы можете посмотреть информацию об аппаратном оборудовании при помощи Инструментария управления Windows (WMI). Вредоносные программы скорее всего смогут сделать тоже самое. В командной строке проверьте, имеет ли ваше устройство уникальный идентификатор.

Вы можете запустить команду наподобие этой. Это покажет вам текущую версию BIOS и его серийный номер, если он есть.

А эта команда покажет вам название материнской платы, номер и ее универсальный уникальный идентификатор UUID. В данный момент я использую VMware, так что вы можете увидеть UUID для этой виртуальной машины. Эта утилита работает только под

Windows.