Linux следит за пользователями

АНБ считает пользователей Linux «экстремистами»

Американские спецслужбы склонны считать всех пользователей Linux, а заодно и Tor, «экстремистами». Это следует из файлов системы тотального наблюдения за интернет-пользователями XKeyscore.

Пользователи Linux — «экстремисты»

Агентство национальной безопасности (АНБ) США называет «экстремистами» читателей журнала Linux Journal, а также пользователей Tor и Tails Linux, следует из файлов программного обеспечения XKeyscore, которое агенты используют для слежки за людьми, сообщает Techspot.

Амбициозный проект XKeyscore

О существовании XKeyscore в 2013 г. стало известно благодаря бывшему системному администратору АНБ Эдварду Сноудену (Edward Snowden). А недавно в распоряжении немецких телеканалов оказался исходный код этого решения. XKeyscore представляет собой самый амбициозный проект АНБ для слежки за интернет-пользователями. Он включает карту интернета и набор аналитических инструментов, которые позволяют «узнавать практически все, что пользователь делает в сети».

Автоматический перехват поисковых запросов

Но XKeyscore предлагает не только инструменты для проведения расследований. Ее автономные аналитические способности позволяют автоматически фиксировать пользователей, которые вводят в поисковой строке заданные слова и словосочетания. Среди них: tails, secure desktop, truecrypt, tor, linux, USB, CD, IRC и др.

В АНБ пользователей Linux объединяет одно слово — «экстремисты»

После того как пользователь вводит такой поисковый запрос, XKeyscore автоматически записывает его IP-адрес в базу данных. При этом речь идет не только об американских пользователях. Германский телеканал Das Erste после собственного расследования обнаружил два сервера в Германии, которые обслуживают систему. Авторы публикации утверждают, что XKeyscore следит за всеми пользователями интернета, во всем мире.

Помимо этого, XKeyscore контролирует все подключения к серверу, который обслуживает сервис анонимной электронной почты Лаборатории вычислительной техники и искусственного интеллекта при Массачусетском технологическом институте (CSAIL). Наконец, XKeyscore отслеживает все посещения linuxjournal.com и записывает данные об этих посещениях. В файлах системы сообщество читателей Linux Journal называется «экстремистской организацией», пишет Das Erste. Помимо linuxjournal.com, АНБ отслеживает посетителей privacy.li, FreeProxies.org, HotSpotShield, MegaProxy, FreeNet, Centurian, MixMinion и других сайтов и сервисов, которые предназначены для анонимизации, скрытия своей личности и местонахождения. У системы XKeyscore много различных триггеров.

В АНБ нарушение конституционных прав граждан как всегда опровергают. После публикации новых материалов представители организации напомнили, что они действуют в полном соответствии с законом. Они также прокомментировали информацию о XKeyscore. По их словам, данная система обладает встроенной многоуровневой технологией проверки соответствия требованиям действующих законов. Таким образом, она не может работать в обход законодательства.

Дубликаты не найдены

Собрал свой дистрибутив по LFS

Возглавил список разыскиваемых ФБР террористов

Наивный, ты уже под прицелом и если будет какой нибудь умник ломающий анализаторы, то ты будешь в списке подозреваемых благодаря этому сообщению)

@all25sgm, найти тебя всё ещё сложно?

Эх, на денёк опоздал ты)

Но ведь до полуночи многое могло измениться.

я debian поставил, на нем Apache поднял, за мной уже выехали?)

еще нет, но ты официально можешь добавить в свое ФИО слово Ибн и отращивать бороду)

я походу становлюсь террористом XD

Android — это Linux. В итоге, 80% пользователей телефонов — экстремисты. А если учесть встроенные системы, процент приблизится к сотне. Выходит, все пользователи интернета — экстремисты?

Все правильно. Честным и законопослушным гражданам скрывать нечего и им нет дела до запрещенной, их властью- информации. И попытка воспользоваться менее подконтрольными инструментами- вполне тянет на мыслепреступление.

Уффф. Вот пока не начал читать после второго предложения — чуть диван не поджёг. А так согласен.

Не по-христиански это.

«Windows — православная ОС: в ней есть иконки и службы, а в Линуксе — демоны и зомби. » (с)

Не православное это дело с демонами якшаться.

Ты не вписываешься в шаблон гражданина- принятый государством. Этого уже достаточно.

Изменится. Но только в свою пользу. Кто владеет информацией- владеет миром. А ее объемы и скорости изменений уже таковы- что она подвластна только имеющим колоссальные финансовые возможности, сравнимые с совокупными бюджетами уже даже не стран- континентов. Речами с броневика, листовками на столбах и фугасами на перекрестках уже ничего не изменить.

Надеюсь вы успеете понять о чем речь.

Автономный криптороутер своими руками

Привет, я опять выхожу на связь.

В прошлом своем посте я писал про решение для впн на Wireguard.

Вот дошли руки рассказать про практическое применение вот этого всего.

Поскольку ваергард не очень в телефонах поддерживается было решено сделать автономный криптороутер на аккумуляторе.

Я не бухал тут пару недель, сдал бутылки и в результате накопил на RPi3 c raspbian, tp-link tl-wn772n, huawei e8372, аккум на 10000 от xiaomi, немного велкро ленты. получилось вот такое:

Модем был перешит на нормальный ttl и imei номер, отвязан от оператора(и можно ставить норм тарифы).

На распбиан были поставлены модули для rtl8188(при обновлении через apt-update может отваливаться, под каждую версию ядра свой нужен), навернут hostapd, dnsmasq. поставлен сам ваергард с клиентским конфигом и написан мелкий systemd модуль который через 100 секунд после старта поднимает сессию впн, iptables с натом через wg0.

в результате при подаче питания все оживает, и раздает по вайфаю интернет с впн сразу. можно настроить аплинк не только через lte но и через лан или встроенный вайфай(для распбиана есть вебморда для быстрого переключения интерфейсов).

по автономности получилось примерно сутки, в модеме было 2 разъема на ts9, туда воткнул доп антенки, правда толку от них не очень было. вайфая хватает на участок 6 соток.

По итогу вся конструкция осела на даче у мамы, там успешно тянет Shinobi (zoneminder слишком тупорылый) для видеонаблюдения + поставил антенку побольше, поскольку в той местности плохой прием.

Всем спасибо, надеюсь, кому-то будет полезным

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть2)

Пробуем запустить dnsmasq

и смотрим состояние

Должно быть типа такого:

Если не так, то смотрим в лог /var/log/messages

Если есть ошибка «warning: interface tap_softether does not currently exist», то либо вы ошиблись где-то в настройках ранее, либо не запущен VPN-сервер. Как запустить, написано выше.

Если ошибка «failed to bind DHCP server socket: Address already in use», то смотрим вывод команды

Скорее всего увидим что-то типа:

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 19819/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 110/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 196/sendmail: accep
tcp6 0 0 . 111 . * LISTEN 15492/rpcbind
tcp6 0 0 . 80 . * LISTEN 104/httpd
tcp6 0 0 . 53 . * LISTEN 19819/dnsmasq
tcp6 0 0 . 22 . * LISTEN 110/sshd

Видим, что висит процесс dnsmasq и занимает интерфейс. Запоминаем число перед /dnsmasq (в моём случае это 19819) и используем его в команде

После этого пробуем

systemctl start dnsmasq
systemctl status dnsmasq

Всё должно стать хорошо.

Теперь открываем наш скрипт запуска VPN-сервера /etc/rc.d/init.d/sevpnserver и редактируем по образцу (можно просто очистить содержимое и вставить отсюда):

#!/bin/sh
#
# chkconfig: 2345 20 80
# description: SoftEther VPN Server
#
#
#
#
DAEMON=/etc/sevpn/vpnserver/vpnserver
LOCK=/var/lock/vpnserver/vpnserver
TAP_ADDR=10.8.0.1
test -x $DAEMON || exit 0
case «$1» in
start)
echo Starting SoftEther VPN Server.
$DAEMON start
touch $LOCK
sleep 3
/sbin/ifconfig tap_softether $TAP_ADDR
sleep 3
systemctl restart dnsmasq
;;
stop)
echo Stopping SoftEther VPN Server.
$DAEMON stop
rm $LOCK
;;
restart|reload)
echo Reloading SoftEther VPN Server.
$DAEMON stop
sleep 5
$DAEMON start
sleep 3
/sbin/ifconfig tap_softether $TAP_ADDR
sleep 3
systemctl restart dnsmasq
;;
*)
echo Usage: $0 ««
exit 1
esac
exit 0

По традиции скрипты и конфиги с нормальным форматированием здесь

Добавим скрипт в автозагрузку

Проверить, что скрипт добавился можно командой

В выводе команды должна присутствовать строчка

sevpnserver 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Теперь идём в статью про файрволл и маршрутизацию и делаем всё, как там написано, но с единственным отличием: содержимое файла ipt-set взять указанное ниже.

В переменную IP_EXT вместо 123.123.123.123 вписываем IP-адрес своего VPS.

#!/bin/sh
IF_EXT=»venet0″
IF_VPN=»tap_softether»
VPN_PORT=»443″
IPT=»/sbin/iptables»
IPT6=»/sbin/ip6tables»
IP_EXT=»123.123.123.123″
# flush
$IPT —flush
$IPT -t nat —flush
$IPT -t mangle —flush
$IPT -X
$IPT6 —flush
# loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# default
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
# allow forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
# #########################################
# SNAT — local users to out internet
$IPT -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT —to-source $IP_EXT
# INPUT chain
# #########################################
$IPT -A INPUT -p tcp ! —syn -m state —state NEW -j DROP
$IPT -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
# ssh
$IPT -A INPUT -i $IF_EXT -p tcp —dport 22 -j ACCEPT
# DNS
$IPT -A INPUT -i $IF_VPN -p udp —dport 53 -s 10.8.0.0/24 -j ACCEPT
# vpn
$IPT -A INPUT -i $IF_VPN -p icmp -s 10.8.0.0/24 -j ACCEPT
$IPT -A INPUT -i $IF_EXT -p tcp —dport $VPN_PORT -j ACCEPT
$IPT -A INPUT -p udp —dport 500 -j ACCEPT
$IPT -A INPUT -p udp —dport 4500 -j ACCEPT
$IPT -N syn_flood
$IPT -A INPUT -p tcp —syn -j syn_flood
$IPT -A syn_flood -m limit —limit 500/s —limit-burst 2000 -j RETURN
$IPT -A syn_flood -j DROP
# FORWARD chain
# #########################################
$IPT -A FORWARD -i $IF_VPN -o $IF_EXT -m state —state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_EXT -o $IF_VPN -m state —state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
# OUTPUT chain
# #########################################
$IPT -A OUTPUT -m state —state NEW,ESTABLISHED,RELATED -j ACCEPT

В Server Manager откроем «Encryption and Network»

И выставляем опции как на скриншоте (обведено красным)

Источник