Outils d'utilisateurs
nsa
Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
| — |
nsa [2017/11/05 02:31] (Version actuelle) Xylitol créée |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | La National Security Agency, ou plus exactement, la National Spying Agency est une agence du gouvernement américain qui collecte des données pour garder une trace de, eh bien, tout ce qu'il peut. | ||
| + | Si la NSA veut vous espionner et recueillir des renseignements sur vous, ils le feront. | ||
| + | |||
| + | Voir aussi: [[Anonymisation]] | ||
| + | |||
| + | ===== Rendre leur travail plus difficile ===== | ||
| + | * http://nsa.motherboard.tv/ | ||
| + | {{NSAcollaborators.jpg}} | ||
| + | |||
| + | ==== Windows hardening ==== | ||
| + | |||
| + | Vous aimé peut être Windows et votre gouvernement (pourquoi pas?), mais ce n’est pas pour autant que vous leur faite confiance.\\ | ||
| + | [[Windows 10]] envoi beaucoup de télémétrie a ses serveurs, vous pouvez aussi compté sur [[Google Chrome|Chrome]] les applications d'Oracle, et une multitude d'autres applications de tierces personnes, qui en tache de fond, envoye vos données pour qu'ils puissent faire leurs statistiques d'utilisation ou autres.\\ | ||
| + | Vos donnés transite donc sur le réseau, a ce niveau la vous pouvez aussi compté sur votre gouvernement (c'est le cas en France) pour filtré, et éventuellement censuré vos requêtes (The pirate bay et Sankaku Complex sont par exemple bloqué en France).\\ | ||
| + | Et simplement aussi pour se protéger des applications malveillantes, vous voudriez renforcer votre politique de sécurité. | ||
| + | |||
| + | === Reprendre le contrôle sur la machine === | ||
| + | |||
| + | Dans cet article nous allons voir comment réalisé une infrastructure pour surveiller les données sortantes, et entrantes. | ||
| + | |||
| + | == Les recommandations de bases == | ||
| + | |||
| + | Mettre un mot de passe sur votre ordinateur quand celui ci et inactif.\\ | ||
| + | {{Software_TScreenLock.png?48}} **Transparent Screen Lock PRO** | ||
| + | |||
| + | [[http://www.e-motional.com/TScreenLock.htm|Transparent Screen Lock]] *shareware* est un bloqueur de session hautement configurable, il permet par exemple de changer le fond d'écran quand l'ordinateur est inactif, cacher les icônes du bureau ou bien de bloqué le poste et d'être invisible jusqu'a ce que l'administrateur fasse une certaine combinaison de touche pour afficher la boite de dialogue pour déverrouiller le poste.\\ | ||
| + | Il est possible d'éteindre automatiquement l'ordinateur après x mauvais mots de passe entrés, et il y a aussi une fonctionnalité de journal pour archiver les verrouillages/déverrouillages/mauvais mots de passe.\\ | ||
| + | D'autres versions sont disponibles sur leur site qui peuvent fonctionné en 2FA avec carte RFID, biométrie et smartcard. | ||
| + | |||
| + | |||
| + | {{Software_usbflashdrivecontrol.png?48}} **USB Flash Drives Control** | ||
| + | |||
| + | [[https://www.binisoft.org/usbc.php|USB Flash Drives Control]] et un utilitaire gratuit permettant de contrôler ses ports USBs, il permet de bloquer la montée de média amovible, ou de bloquer la lecture/écriture/exécution de celui-ci.\\ | ||
| + | |||
| + | |||
| + | {{Sandboxie.jpg?48}} **Sandboxie**\\ | ||
| + | [[Liste de logiciels recommandés pour Windows#Sandbox]] | ||
| + | \\ | ||
| + | \\ | ||
| + | |||
| + | {{windows.firewall.control.png?48}} **Windows Firewall Control**\\ | ||
| + | [[Liste de logiciels recommandés pour Windows#Logiciels_pare-feu]] | ||
| + | \\ | ||
| + | \\ | ||
| + | {{wire_logo.png?48}} **Wire**\\ | ||
| + | [[https://app.wire.com/|Wire]] et un logiciel de messagerie sécurisée open source, chiffrée de bout en bout pour les appels, discussion, partage de photos, vidéos, fichiers, GIF, esquisses, etc.\\ | ||
| + | Il fonctionne sur iOS,Android,OSX,Windows, une version 'online' existe aussi depuis le web, contrairement a Telegram vous n'avez pas besoin d'avoir un téléphone pour créé un compte. | ||
| + | \\ | ||
| + | \\ | ||
| + | {{Telegramsoft.png?48}} **Telegram**\\ | ||
| + | [[https://telegram.org/|Telegram]], La même chose que Wire, mais la création de compte nécessite un téléphone portable, a noté qu'il et possible de se créé un compte depuis un portable 'anonyme' ils fournissent aussi une API pour les développeurs.\\ | ||
| + | Il existe aussi un groupe de discussion Hackgyver sur Telegram.\\ | ||
| + | |||
| + | == Réseau == | ||
| + | Pour le filtrage, une bonne pratique consiste a mettre en place un subnet qui va s'occuper de tout le réseau.\\ | ||
| + | Pour cela il faut désactivé les cartes réseau, mettre le wifi en mode avion, etc.. de manière a ce que Windows ne puisse pas obtenir d'adresse IP au démarrage.\\ | ||
| + | Pour le firewall, un PfSense en Shared VM avec démarrage automatique a l'ouverture de session s'occupera du filtrage, il s’occupera aussi d’être le seul service actif permettant a Windows de sortir en lui fournissant une adresse IP.\\ | ||
| + | Grâce a ça, il et aussi possible de sniffé le réseau pour mieux comprendre ce qui si passe.\\ | ||
| + | |||
| + | {{2017-03-19_15-47-35.png?200|ipconfig}} | ||
| + | {{2017-03-19_16-35-01.png?200|pfSense au boot}} | ||
| + | {{2017-03-19_18-26-28.png?200|Interface web pfSense}} | ||
| + | {{2017-03-19_16-26-29.png?200|Filtrage}} | ||
| + | |||
| + | On utilisera l'option PfBlockerNG pour filtré par AS et établir une liste blanche ainsi que DNSfilter (unbound) pour filtré tout ce qui est DNS.\\ | ||
| + | On a également Squid comme proxy en fond, configurer de manière a ce que chaque application souhaitant sortir, ai besoin de s'authentifier.\\ | ||
| + | Cela a l'avantage aussi de rendre la lecture des logs plus claire.\\ | ||
| + | |||
| + | {{2017-03-19_17-14-13.png?200|Table d'utilisateurs}} | ||
| + | {{2017-03-19_15-42-47.png?200|Paramètre LAN}} | ||
| + | {{2017-03-19_15-31-09.png?200|Firefox veut aller sur internet}} | ||
| + | {{2017-03-19_17-16-45.png?200|Journal d'accès Squid}} | ||
| + | |||
| + | |||
| + | == Sauvegarde de journaux et triage == | ||
| + | Un attaquant peut très bien altéré les logs, voilà pourquoi mettre en place une vault pour stocké les journaux est une bonne idée.\\ | ||
| + | Une seconde VM en shared (comme PfSense) a faire également démarrer avec windows peut gérer ça, par exemple un Debian avec [[http://www.syslogserver.com/syslogagent.html|SyslogAgent]] en parallèle pour lui transmettre les syslogs.\\ | ||
| + | Comme ça, on a tous les évents, logs d'AS, logs DNS, logs firewall, tous les apps qui ouvre un port, Pas de bullshit cette méthode et fiable.\\ | ||
| + | Cela peut être également utile pour faire une analyse forensique de sont système pour voir ce qu'il se passe.\\ | ||
| + | |||
| + | {{2017-03-19_20-27-06.png?200|SyslogAgent}} | ||
| + | {{2017-03-19_20-20-01.png?200|Debian en VM}} | ||
| + | {{2017-03-19_20-42-57.png?200|logs filterdns}} | ||
| + | {{2017-03-19_20-32-18.png?200|logs nginx}} | ||
| + | |||
| + | == Matériel / Protection physique == | ||
| + | Point important a prendre en compte, concernant "Réseau" et "Sauvegarde de journaux et triage" les méthodes exposées ici, propose de faire tourné deux VM pour s'occuper de la tache, si votre configuration matérielle n'est pas très bonne (eg: dualcore, 4gm de ram) cette méthode risque de très fortement ralentir votre système. | ||
| + | |||
| + | Le portable que j'utilise est un Thinkpad W520, aka "la grosse bertha", ou encore "le pc super lourd".\\ | ||
| + | Écran 15.6", 32Gb de RAM, Core i7 et un SSD 480GB, donc je peut faire tourné des VM assez facilement dessus, côté protection physique, 3M commercialise des filtres de confidentialités, un filtre de confidentialité est une protection qui se place devant un écran et qui restreint la vision des données affichées de part et d’autre de l’axe de vision.\\ | ||
| + | Il s’utilise pour protéger son écran des regards indiscrets et lutter contre la tentation naturelle de regarder un écran allumé.\\ | ||
| + | {{2017-01-22_00-23-07.jpg?200|Thinkpad avec un filtre de confidentialité or}} | ||
| + | Pour un écran de Thinkpad W520 la référence 3M est: 60635, il existe deux types de filtres, les filtres noirs, et les filtres or, les deux font la même chose, le filtre or rend juste l'écran un peut plus claire comparé au filtre noir. \\ | ||
| + | À propos de clarté d'écran, plus votre luminosité sera basse, plus ça va être difficile pour une autre personne d'observer ce qui se passe sur votre écran, donc éventuellement, baissé la luminosité de l'écran aide aussi dans les lieux publique. | ||
| + | |||
| + | ==== Wikipedia hors-ligne ==== | ||
| + | Pour une raison quelconque vous souhaiter rechercher des informations à propos d'un sujet controverser, mais vous vous demandé également si cela et bien judicieux de rechercher ça sur internet.\\ | ||
| + | Si vous craignez une oppression, ou simplement que quelqu'un intercepte ce que vous rechercher, une solution pourrait être d'avoir une copie de [[https://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Wikip%C3%A9dia_hors-connexion|wikipedia hors-ligne]] | ||
| + | |||
| + | {{Logo_wikitaxi.png?48}} **Wikitaxi** | ||
| + | |||
| + | [[https://www.yunqa.de/delphi/products/wikitaxi/index|Wikitaxi]] est un outil qui représente l’équivalent de Wikipédia. \\ | ||
| + | Il vous permet de lire les publications du site de Wikipédia hors connexion.\\ | ||
| + | Les dumps pour la France sont téléchargeables ici: [[https://dumps.wikimedia.org/frwiki/|https://dumps.wikimedia.org/frwiki/]] | ||
| + | |||
nsa.txt · Dernière modification: 2017/11/05 02:31 par Xylitol
Outils de la Page
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
