如何安全訪問暗網進行威脅研究
什麼是暗網https://medium.com/the-sleuth-sheet/how-to-safely-access-the-darknet-for-threat-research-89047bfc3cbb
暗網,也稱為深層網絡,是一種只能通過特定軟件、配置或授權才能訪問的互聯網覆蓋網絡。它採用一種獨一無二的定制通信協議,可用於多種目的,包括保護隱私權、計算機犯罪、文件共享、銷售受限制的商品、規避網絡審查和內容-過濾系統,以及繞過限制性防火牆策略。要訪問暗網,必須安裝特定軟件或進行網絡配置,例如 Tor,可以通過定制的 Vidalia 瀏覽器(又名 Tor 瀏覽器捆綁包)或通過配置為執行相同功能的代理來訪問。
不同的隱藏服務提供商
Tor網絡是最流行、使用最廣泛的暗網,允許用戶匿名訪問各種暗網服務。Tor 瀏覽器的工作原理是通過一系列代理服務器路由網頁請求,這使得 IP 地址更難追踪。其他流行的暗網包括 Freenet、I2P 和 Zeronet。Freenet 是一個去中心化網絡,專注於文件共享和審查制度抵抗。I2P 是一個匿名的點對點網絡,Zeronet 是一個去中心化的網絡,專注於抗審查的網站和內容。所有這些網絡都旨在為用戶提供匿名和隱私,並提供對隱藏服務的訪問。
專注於 Tor
本博客主要關注 Tor,因為威脅研究表明它是最常用的暗網,並且是網絡上許多網絡犯罪活動的來源。
對於那些想要更多安全性的人,請遵循 QUBES 和 WHONIX 下載說明
世界衛生組織
該路線將使用虛擬化和 Whonix 作為匿名化過程的一部分。Whonix 是一個 Linux 發行版,由兩個虛擬機組成:一個安全網關和一個安全工作站。網關充當 Tor 網絡的網關,工作站用於運行通過網關連接到互聯網的應用程序。此設置可確保所有用戶的互聯網流量都通過 Tor 網絡路由,從而提供更高級別的匿名性和隱私性。
下載 WHONIX 和 VirtualBox
為您的主機操作系統下載最新的 Virtualbox 安裝程序版本
最新的Whonix OVA 文件
為了獲得理想的安全性,您應該遵循此處為每個 Virtualbox 虛擬機提供的建議
禁用音頻
不要啟用共享文件夾。
不要啟用 2D 加速。運行以下命令即可完成此操作
VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off不要啟用 3D 加速。
不要啟用串行端口。
卸下軟盤驅動器。
卸下 CD/DVD 驅動器。
不要啟用遠程顯示服務器。
啟用 PAE/NX(NX 是一項安全功能)。
禁用高級配置和電源接口 (ACPI)。運行以下命令即可完成此操作
VBoxManage modifyvm "vm-id" --acpi on|off請勿連接 USB 設備。
禁用默認啟用的 USB 控制器。將定點設備設置為“PS/2 鼠標”,否則更改將恢復。
最後,還請遵循此建議,使虛擬機的時鐘與主機操作系統的時鐘不同步
此偏移量應在 60000 毫秒範圍內,並且對於每個 VM 都應不同,以下是一些示例(稍後可以應用於任何 VM):
VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931
另外,請考慮通過從 VirtualBox 程序目錄運行此命令來應用 VirtualBox 中的這些緩解措施來緩解 Spectre 358 /Meltdown 359漏洞。所有這些都在這裡描述: https: //www.whonix.org/wiki/Spectre_Meltdown [Archive.org](請注意,這些可能會嚴重影響虛擬機的性能,但應該這樣做以獲得最佳安全性) 。
最後,考慮 Virtualbox 的安全建議
WHONIX虛擬機
在您的主機操作系統上啟動 Virtualbox。
按照https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]上的說明將 Whonix 文件導入 Virtualbox
啟動 Whonix VM
請記住,在此階段,如果您由於審查或阻止而遇到連接到 Tor 的問題,您應該考慮使用 Bridges 進行連接,如本教程https://www.whonix.org/wiki/Bridges [Archive. org]中所述。
按照https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]上的說明更新 Whonix VM
關閉 Whonix VM
在 Virtualbox 中拍攝更新後的 Whonix VM 的快照(選擇一個 VM 並單擊“拍攝快照”按鈕)。
受到推崇的
此選項將需要主機操作系統和 Whonix 網關之間有一個額外的虛擬機來充當網橋。為此,我建議使用輕量級 Linux 發行版。任何都可以,但最簡單的是基於 Ubuntu 的發行版,我會推薦輕量級 XUbuntu,因為配置此設置將非常容易。為什麼是 XUbuntu 而不是 Ubuntu 或 KUbuntu?因為XUbuntu使用輕量級的XFCE桌面環境,並且該虛擬機僅充當代理而沒有其他作用。如果您更喜歡其他 Linux 發行版,那完全取決於您。
安裝 XUBUNTU 虛擬機
選擇 XUbuntu 是因為 XFCE 的性能。
確保您已連接到安全的 Wi-Fi 來執行此操作。
首先,您需要從https://xubuntu.org/download/下載最新的 XUbuntu Stable 發行版 ISO
下載完成後,就可以創建一個新的虛擬機了:
啟動 VirtualBox 管理器
創建一個新的虛擬機並根據需要命名,例如“XUbuntu Bridge”
選擇類型“Linux”
選擇版本“Ubuntu(64位)”
將其他選項保留為默認值,然後單擊“創建”
在下一個屏幕上,保留默認選項並單擊“創建”
選擇新創建的虛擬機,然後單擊“設置”
選擇網絡
對於適配器 1,切換到橋接模式並在名稱中選擇您的 Wi-Fi 適配器
選擇適配器2並啟用它
將其附加到“內部網絡”並將其命名為“XUbuntu Bridge”
選擇存儲
選擇空 CD 驅動器
單擊右側的 CD 圖標並選擇“選擇磁盤文件”
選擇您之前下載的 XUbuntu 的 ISO,然後單擊“確定”
啟動虛擬機
選擇啟動XUbuntu
選擇安裝XUbuntu
選擇您的鍵盤佈局並單擊繼續
安裝 XUbuntu 時選擇最小安裝並下載更新
選擇擦除磁盤並安裝 XUbuntu,然後單擊立即安裝
選擇您選擇的時區,然後單擊繼續
隨機選擇一些與您無關的名稱(我最喜歡的用戶名是“NoSuchAccount”)
選擇一個密碼並需要密碼才能登錄
點擊繼續並等待安裝完成並重新啟動
完成重啟後,登錄
點擊右上角的連接圖標(看起來像兩個旋轉的球體)
單擊編輯連接
選擇有線連接 2(之前在 VirtualBox 設置中配置的適配器 2)
選擇 IPv4 選項卡
將方法更改為“共享到其他計算機”,然後單擊“保存”
您現在已完成 XUbuntu Bridge VM 的設置
配置 WHONIX 網關
默認情況下,Whonix 網關沒有 DHCP 客戶端,需要從您之前配置的共享網絡獲取 IP:
通過VirtualBox,啟動Whonix Gateway VM
在虛擬機上啟動終端
Install a DHCP client on the Whonix Gateway VM using the following command:
sudo apt install dhcpcd5Now edit the Whonix Gateway VM network configuration using the following command:
sudo nano /etc/network/interfaces.d/30_non-qubes-whonixWithin the file change the following lines:
# auto eth0toauto eth0
# iface eth0 inet dhcptoiface eth0 inet dhcp
iface eth0 inet staticto# iface eth0 inet static
address 10.0.2.15to# address 10.0.2.15
netmask 255.255.255.0to# netmask 255.255.255.0
gateway 10.0.2.2to# gateway 10.0.2.2Save (using Ctrl+X and confirm with Y) and power off the VM from the top left menu
Go into the VirtualBox Application and select the Whonix Gateway VM
Click Settings
Click the Network Tab
For Adapter 1, change the “Attached To” value from “NAT” to “Internal Network”
As “Name”, select the internal network “XUbuntu Bridge” you created earlier and click OK
Reboot the Whonix Gateway VM
從左上方菜單中,選擇“系統”、“Tor 控制面板”,然後檢查您是否已連接(應該已連接)
您已完成 Whonix 網關 VM 的配置
主機操作系統的配置
現在,您必須阻止主機操作系統的互聯網訪問,同時仍允許 XUbuntu Bridge VM 連接。這將通過使用主機操作系統連接到 Wi-Fi 但不為其自身分配網關地址來完成。然後,虛擬機將使用您的 Wi-fi 關聯來獲取 IP 地址。
如有必要,您將能夠從 XUbuntu Bridge VM 啟動瀏覽器,將信息輸入 Wi-Fi 網絡上的任何強制/註冊門戶。
只有 XUbuntu Bridge VM 應該能夠訪問互聯網。主機操作系統將僅限於本地流量。
Windows 主機操作系統
這裡的目標是在沒有互聯網連接的情況下與 Wi-Fi 網絡關聯。您可以通過在連接後從連接中刪除網關來實現此目的:
首先,連接到您選擇的安全 Wi-Fi
打開管理命令提示符(右鍵單擊命令提示符並以管理員身份運行)
運行以下命令:(
route delete 0.0.0.0這將從您的 IP 配置中刪除網關)大功告成,您的主機操作系統現在將無法在仍連接到 Wi-Fi 的情況下訪問互聯網
請注意,這將在每次斷開/重新連接網絡時重置,並且您必須再次刪除該路由。這不是永久的。
您現在可以啟動 XUbuntu Bridge VM,它現在應該自動從 Wi-Fi 網絡獲取 IP,並且應該為後面的其他 VM(Whonix 工作站或其他)提供網絡。
如果需要,您可以使用 XUbuntu Bridge VM 瀏覽器填寫任何強制/註冊門戶信息上的任何信息
之後,您可以啟動 Whonix Gateway VM,它應該從 XUbuntu Bridge VM 獲取 Internet 連接。
最後,您可以啟動 Whonix 工作站虛擬機(或者您配置為在 Whonix 網關虛擬機後面工作的任何其他虛擬機),並且它應該通過 Tor 連接到互聯網。
Linux 主機操作系統
這裡的目標是在沒有互聯網連接的情況下與Wi-Fi網絡連接。您可以通過在連接後從連接中刪除網關來實現此目的:
首先,連接到您選擇的安全 Wi-Fi
打開終端
運行以下命令:(
sudo ip route del default這將從您的 IP 配置中刪除網關)大功告成,您的主機操作系統現在將無法在仍連接到 Wi-Fi 的情況下訪問互聯網
請注意,這將在每次斷開/重新連接網絡時重置,並且您必須再次刪除該路由。這不是永久的。
您現在可以啟動 XUbuntu Bridge VM,它現在應該自動從 Wi-Fi 網絡獲取 IP,並且應該為後面的其他 VM(Whonix 工作站或其他)提供網絡。
如有必要,您可以使用 XUbuntu Bridge VM 瀏覽器在任何強制/註冊門戶上填寫任何信息以訪問 Wi-Fi。
之後,您可以啟動 Whonix Gateway VM,它應該從 XUbuntu Bridge VM 獲取 Internet 連接。
最後,您可以啟動 Whonix 工作站虛擬機(或您配置為在 Whonix 網關虛擬機後面工作的任何其他虛擬機),並且它應該通過 Tor 連接到互聯網。
拍攝虛擬機安裝後的 VirtualBox 快照。
進一步 WHONIX 強化 - 可選
在以下指南中,(G+W) 遵循的步驟表示給定過程適用於 Whonix Gateway 和 Workstation。只是(G)和(W)我相信你會自己弄清楚。
義務免責聲明:
在沒有先花時間閱讀每個設置並熟悉
每個更改固有的隱私、安全和匿名影響的情況下,請勿盲目遵循此處的任何建議。只有您能夠根據您的獨特情況確定正確的設置。ONIONIZE APT 存儲庫 (G+W):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Onionizing_Repositories使用具有root權限的編輯器打開Debiansources.list文件。
sudo nano /etc/apt/sources.list.d/debian.list參考洋蔥化的 Debian 存儲庫。取消註釋以下 .onion 鏡像並註釋掉 (#) 相應的 https 存儲庫。
#deb https://deb.debian.org/debian bullseye 主要貢獻非免費
deb tor+ http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/debian bullseye 主要貢獻非免費#deb https://deb.debian.org/debian-security bullseye-security 主要貢獻非免費
deb tor+ http://5ajw6aqf3ep7sijnscdzw77t7xq4xjpsy335yb2wiwgouo7yfxtjlmid.onion bullseye-security 主要貢獻非免費#Optional Backports
#deb https://deb.debian.org/debian bullseye-backports 主要貢獻非免費
deb tor+ http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/debian bullseye-backports 主要貢獻非免費保存並退出。對 /etc/apt/sources.list.d 中的任何其他列表文件(例如 qubes-r4.list 和derivative.list)執行相同的操作。只需註釋掉 Clearnet URL 並取消註釋相應的洋蔥鏈接即可啟用它們。
確認洋蔥存儲庫正常運行。
sudo apt update && sudo apt full -升級安裝 AppArmor 配置文件 (G+W):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/AppArmor
Qubes-Whonix 用戶在執行以下步驟之前需要一些額外的步驟來設置 AppArmor。按照上述Whonix wiki 頁面“Qubes 用戶注意” ”部分下面的說明進行操作。之後,繼續下面的操作。更新匯總列表併升級系統
sudo apt update && sudo apt full -升級安裝apparmor-utils apparmor-profiles apparmor-profiles-extra apparmor-profiles-kicksecure 圓形。
sudo apt install --no-install-recommends apparmor-utils apparmor-profiles apparmor-profiles-extra apparmor-profiles-kicksecure將硬件信息限制為 root (G+W):
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Security-misc#Reduce_Kernel_Information_Leaks
sudo systemctl啟用隱藏硬件信息服務啟用安全重新安裝(G+W):
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Dev/remount-secure
sudo systemctl啟用重新安裝安全服務隱藏PID信息(G+W):
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Security-misc#hidepid
sudo systemctl啟用proc-hidepid.servicesudo systemctl面膜杯取消TCP SACK (G+W):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Whonix-Workstation_Security_Hardening#Disable_TCP_SACK在具有管理(根)寫入權限的編輯器中打開文件 /etc/sysctl.d/30_security-misc.conf。
sudo編輯/etc/sysctl.d/30_security-misc.conf取消註釋所有以 net.ipv4 開頭的行。
保存並退出。
阻止網絡連接,直到 SDWDATE 完成(G+W):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Network_Time_Synchronization#Block_Networking_until_sdwdate_Finishes編輯 Whonix 防火牆配置。
sudo編輯/etc/whonix_firewall.d/50_user.conf複製並粘貼以下文本。
防火牆模式=保存文件並重新啟動。
通過 ONION 下載 TOR 瀏覽器更新 (W):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Tor_Browser#Onion_Download在具有 root 權限的編輯器中打開 /etc/torbrowser.d/50_user.conf。
sudo編輯/etc/torbrowser.d/50_user.conf添加以下設置。
tb_onion = true保存並退出。
啟用 TOR 連接填充 (G):
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Whonix-Gateway_Security#Tor_Connection_Padding使用 sudoedit 在您選擇的文本編輯器中打開文件 /usr/local/etc/torrc.d/50_user.conf。
sudoedit /usr/local/etc/torrc.d/50_user.conf添加:
連接填充 1保存並退出。
請注意,了解此設置的含義以及如何啟用未預先配置為流隔離的應用程序聯網非常重要。
此修改將禁用透明代理並將 Whonix-Gateway 轉換為隔離代理。所有未通過socks代理設置配置為使用SocksPort或
通過socksifier強制使用SocksPort的應用程序將無法建立連接。這是確保使用不同的 SocksPort 以及
通過該 SocksPort 遠程解析 DNS 的唯一方法。雖然 Whonix-Workstation 中預安裝的許多軟件已預先配置為流隔離,但某些用戶安裝的軟件需要
使用socksifier進行流隔離,特別是使用torsocks,或使用應用程序的本機代理設置以及Whonix-Gateway IP地址和端口9153–9159。閱讀上
頁了解更多信息。確保 Whonix-Gateway 中存在文件夾 /usr/local/etc/whonix_firewall.d
sudo mkdir -p /usr/local/etc/whonix_firewall.d在 Whonix-Gateway™ 中,在編輯器中打開 whonix_firewall 配置文件。
sudoedit /usr/local/etc/whonix_firewall.d/50_user.conf添加:
工作站_透明_TCP = 0
工作站_透明_DNS = 0保存文件,然後重新加載 Whonix-Gateway 防火牆
須藤 whonix_firewall禁用 TCP 和 ICMP 時間戳(僅限非 QUBES)
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Disable_TCP_and_ICMP_Timestamps#Introduction_2其他一些需要閱讀的相關軟件超出了博文的範圍:
KICKSECURE 操作系統:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onionCorridor,TOR 流量白名單網關:
http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/CorridorLinux 內核運行時防護:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Linux_Kernel_Runtime_Guard_LKRGGRUB-LIVE:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Grub-live硬化-MALLOC:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Hardened_MallocSUID 禁用程序和權限強化程序:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/SUID_Disabler_and_Permission_HardenerTIRDAD TCP ISN CPU 信息洩漏保護:
https ://github.com/Kicksecure/tirdad硬化內核:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Hardened-kernelApparmor-配置文件-一切:
http://www.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion/wiki/Apparmor-profile-everything
遵循 CYPHER-SHELL-SEC 指南:為威脅研究創建假名俄羅斯檔案
特別感謝《在線匿名漫遊指南》對隱私和匿名的奉獻。
更進一步
附加硬件
用於黑客攻擊、定制和隱私的開源 DIY 筆記本電腦
Reform 沒有內置任何麥克風或攝像頭,Wi-Fi 由可拆卸 PCIe 卡提供。您甚至可以將操作系統或敏感工作數據安裝在 SD 卡上,然後在旅行前將其彈出。使用 LUKS 可以輕鬆設置全盤加密,並且該系統沒有“管理引擎”或其他可用於攻擊您的遠程控制功能。
留言
張貼留言