AntiPrism – это инструментальная платформа для анонимного просмотра веб-страниц, скрытного веб-хостинга и обмена информацией. Она реализована в виде набора расширений программного обеспечения медиацентра OpenELEC, обеспечивающего универсальное и эффективно интегрированное решение для Интернет-конфиденциальности в условиях домашнего офиса или небольшой фирмы. AntiPrism запускается из защищённой файловой системы в безопасной операционной среде Linux, загрузка осуществляется с USB-накопителя, SD-карты или путем установки на HDD/SSD. AntiPrism активизируется паролем, используемым в качестве ключа шифрования к скрытой файловой системе. После деактивации, она не оставляет никаких следов своих действий. В любое время устройство, на котором запущена AntiPrism, может выполнять функции медиацентра для просмотра кинофильмов, запуска игр и музыки, поддерживая при этом функциональность существующих плагинов XBMC/Kodi, и одновременно работая как анонимизирующий инструмент в фоновом режиме. Основные отличия между AntiPrism и другими существующими анонимизирующими производными Linux (Tails, Whonix, Liberte,, и т.д.) продиктованы её задачами. AntiPrism обеспечивает “безопасный анонимизирующий медиацентр”, бытовое устройство, наделённое новыми скрытыми свойствами. Например, Вы можете искать, скачивать и просматривать свои анонимные торренты без необходимости копировать их с помощью USB-накопителя или по домашней сети. В то же время, система может работать как промежуточное звено или входной узел анонимных сетей, повышая их устойчивость против глобального наблюдения и улучшая доступность. AntiPrism обладает высокой производительностью благодаря оптимизированному бэкэнду Linux Systemd с низкой латентностью обработки аппаратных прерываний и незначительными потерями сетевых пакетов. Текущая версия AntiPrism поддерживает i386, x86_64 и ARM-совместимые процессоры, запускаясь практически на любом современном ПК и Raspberry Pi. В данном руководстве затронута основная функциональность AntiPrism - зашифрованная файловая система, обмен ключами и контактами, анонимный просмотр веб-страниц, хостинг скрытых веб-сайтов, луковый маршрутизатор, настройки.
AntiPrism реализована как набор встроенных плагинов медиацентра OpenELEC. Это обеспечивает анонимное нахождение в сети с помощью популярных программ Tor, I2P и Privoxy. AntiPrism реализует систему обеспечения безопасных коммуникаций web_of_trust , используя ПО GnuPG для обмена ключами и контактами. Зашифрованный файловый контейнер сохраняет ключи, секретные идентификационные и т.п. уязвимые данные. Приватные ключи и идентификационные данные не станут доступны посторонним лицам, даже если устройство будет украдено, или Ваш компьютер заразится вирусами или троянами. Полностью поддерживаются Cryptsetup (собственная система шифрования дисков Linux) и (опциональный) TrueCrypt 7.1a. Предварительно сконфигурированные правила AppArmor контролируют доступ к защищенным файлам. Tor – это бесплатная программное обеспечение для поддержки онлайновой анонимности и сопротивления цензуре. Оно было разработано с целью позволить пользоваться Интернетом анонимно, чтобы действия и местоположение индивидов не могли быть обнаружены правительственными учреждениями, корпорациями или кем-либо еще. Tor направляет Интернет-трафик через бесплатную всемирную добровольную сеть, состоящую из тысяч узлов, для того, чтобы скрыть местоположение пользователя и его действия в сети от любых лиц и организаций, осуществляющих слежку за сетью или анализ трафика. Использование Tor затрудняет слежку за действиями пользователя, включающими в себя посещение веб-сайтов, отправку онлайновых сообщений, мгновенных сообщений и других форм коммуникации. I2P (Проект Невидимый Интернет) это анонимизирующая сеть, которая позволяет приложениям отправлять сообщения друг другу псевдонимно и безопасно. Это включает в себя анонимный веб, форумы, блоггинг, передачу файлов и прочие сервисы. Программное обеспечение бесплатно, его исходный код открыт. Встроенный в AntiPrism просмотр веб-страниц, веб-хостинг, обмен сообщениями и службы совместного доступа к файлам защищены с помощью Tor и I2P. Приватные ключи, используемые Tor, I2P, SSH, OpenVPN и другими сервисами, хранятся в зашифрованной файловой системе и защищены модулем безопасности ядра AppArmor. Внешние браузеры могут использовать AntiPrism в качестве безопасного анонимизирующего прокси или лукового маршрутизатора. Соединение между браузером и AntiPrism может быть дополнительно зашифровано “point-to-point” VPN-туннелем, что позволит устранить риски интранет-наблюдения. AntiPrism
можно бесплатно
скачать из
репозитория
релизов на
ГитХабе. Вы можете следовать инструкциям OpenELEC WiKi о том, как установить образ системы на USB-накопитель с некоторыми незначительными поправками:
Начальная загрузка с USB-накопителя
Создание контейнера является важным шагом, который не может быть пропущен.
Как только контейнер будет создан, или введен его правильный пароль, на экран будет выведено Главное меню.
Если необходимо, Вы можете запускать программы из командной строки, щёлкнув на “Шелл”. Вы можете переключаться назад и вперед между XBMC и командной строкой или веб-браузером путем нажатия Alt+Tab. Истории ввода команд и просмотра веб-страниц отключены, а параметры браузера и закладки сохраняются внутри зашифрованного контейнера. Вы можете выйти из AntiPrism, оставив её работающей в фоновом режиме, нажав "OK", или деактивировать её при щелчке на кнопке “Отмена”. Эта опция активирует встроенный веб-браузер Links, анонимизированный с помощью Privoxy, Tor и I2P (в зависимости от того, какие службы включены). Начальная страница по умолчанию выводит на экран ряд популярных ссылок. Информацию о горячих клавишах и функциях браузера Вы можете получить здесь. Версия для Raspberry Pi использует WebViewer-аддон. Эта опция запускает пользовательский интерфейс плагина I2PSnark XBMC. Отсюда можно управлять и получать доступ к торрентам. Также, существует стандартный веб-интерфейс I2PSnark, доступный в I2P, но более удобным может оказаться управление им через XBMC. Данная опция запускает пользовательский интерфейс плагина GnuPG XBMC. При открытии его через AntiPrism, он получает доступ к ключам, сохраненным в зашифрованном контейнере. GnuPG – это базовый компонент, используемый для создания web-of-trust. Прежде, чем обмениваться зашифрованными контактами и другими данными, стороны должны обменяться свои публичными ключами и проверить их. Для этого каждый из них должен сначала создать свой собственный ключ. Публичные ключи можно посылать и обмениваться ими с помощью обычной электронной почты, USB-накопителя или через сервер ключей. После получения, цифровой отпечаток каждого ключа должен быть проверен по надежному каналу передачи (личная встреча, телефонный разговор). Не проверяйте цифровые отпечатки по обычной электронной почте, поскольку этот канал обмена данными потенциально ненадёжен. После проверки ключи становятся достоверными (trusted) и могут использоваться для обмена и проверки зашифрованных данных. Связь с серверами ключей анонимизирована с помощью Tor. Эта опция запускает пользовательский интерфейс Адресной Книги плагина I2P-Bote. Отсюда можно надежно обмениваться контактами и идентификационной информацией. Контакты могут быть экспортированы для получателей, ключи которых доступны в GnuPG. При экспорте информация будет подписана и зашифрована, и получатель, используя свой приватный и Ваш публичный ключи, сможет дешифровать и проверить полученные данные. Экспортируемые контакты могут быть отправлены как файлы, используя любую обычную электронную почту или службы передачи файлов (это безопасно, поскольку только обладатели ключей могут дешифровать их), или через серверы служб “тайников” (dead-drops). Такие службы получают зашифрованные при помощи GnuPG контакты и сохраняют их в течение нескольких дней связанными с уникальным “drop ID”. Этот drop ID может использоваться получателями для извлечения данных. Этот метод довольно удобен и эффективен, поскольку drop ID могут быть переданы через любые средства коммуникации (телефон, электронная почта, чат и т.д.). URL тайника AntiPrism по умолчанию встроен в программное обеспечение. Cвязь c тайниками анонимизирована с помощью Tor. Как только произошел обмен контактами, обмен сообщениями I2P-Bote между сторонами может быть абсолютно безопасно начат. Вы можете получить доступ к Настройкам, нажав кнопку “Конфиг” на экране AntiPrism. Автоматический запуск: AntiPrism будет запускаться одновременно с загрузкой системы. При отключенном автостарте, Вы можете запускать AntiPrism вручную из меню “ПРОГРАММЫ”. Контейнер профиля: путь к файлу контейнера. Вы можете создать несколько контейнеров; каждый из них может содержать отдельные наборы почтовых контактов и идентификационных данных. Точка монтирования: каталог, в котором будет смонтирован наш контейнер. Хранитель экрана с паролем: Вы можете выбрать, будет ли Ваш экран заблокирован после определенного периода времени (Вы должны будете использовать свой контейнерный пароль, чтобы разблокировать его). Тип файловой системы: значение по умолчанию - ext4. Вы можете выбрать другой тип файловой системы, если Вы хотите смонтировать свой контейнер на другом компьютере, где не поддерживается ext4. Другие опции - ext2, ext3, NTFS. Выбор должен быть сделан перед созданием контейнера и сохранен. Проверять файловую систему при активации: перед запуском, AntiPrism проверит файловую систему контейнера. В случае обнаружения ошибок, AntiPrism попытается исправить их. Создавать резервную копию при активизации: AntiPrism будет осуществлять копирование критических данных Вашего контейнера при запуске. При включении данной опции необходимо определить путь для создания резервной копии (он должен быть доступен для записи и содержать достаточно свободного пространства). Использовать TrueCrypt: выберите эту опцию, если Вы действительно хотите использовать TrueCrypt (рекомендуется только для опытных пользователей). Должна быть включена перед созданием контейнера. Запускать X-терминал для командного интерфейса (нужна клавиатура): активируя эту опцию, Вы получаете полный терминал командной строки при нажатии кнопки “Шелл”. Для использования этой опции необходимо наличие клавиатуры, поэтому начальное состояние этой опции - выключено (off) , что позволяет выполнять только единичные команды. Отладочный лог: дополнительная информация будет выводиться в логи. В данном разделе настроек Вы можете сконфигурировать анонимизирующие службы: I2P, Tor, Privoxy; включить веб-доступ, SSH и VPN сервисы. Держать данные анонимайзеров в ОЗУ (новая идентичность при каждой загрузке): при включении, сохраняет файлы Tor и I2P не в контейнере, а в RAM-диске. Анонимайзеры выполняют полную инициализацию при каждом старте, создавая новую идентичность, что несколько замедляет запуск. После инициализации производительность возрастает, так как не осуществляется записи данных во флеш-память. Хостинг скрытых вебсайтов при этом отключается. По умолчанию выключено. Включить I2P: это включит службу I2P и доступ к его портам через брандмауэр. Запускать I2P через Tor (требует Privoxy): данная опция позволяет запускать I2P в местах, которые блокируют сервера загрузки I2P. Китай - хороший пример. Такое блокирование можно обойти, загружая I2P через Tor. Опция по умолчанию выключена. Включить Tor: эта опция включает службу Tor и доступ к его портам через брандмауэр. Включить скрытый вебсайт: вктивизирует встроенный анонимный вебсайт под управлением Hiawatha или Jetty (включён в I2P) или оба их. Скрытые вебсайты становятся доступными под случайно сгенерированными именами с расширениями onion и .i2p в сетях Tor и I2P соответственно. Имя .onion сайта можно получить из системы через SSH-доступ, а имя .i2p сайта доступно через веб-интерфейс I2P. По умолчанию выключено. Порт SOCKS: номер порта TCP для использования соединений SOCKS. Значение по умолчанию 1080. Использовать мосты: в случае, если, если Ваша среда блокирует начальную загрузку Tor, используйте Tor-мосты, чтобы обойти это. По умолчанию выключено. При включении, введите 2-3 моста в строку Список мостов. Мосты могут быть получены в https://bridges.torproject.org/options или путем отправки запроса в bridges@torproject .org , и должны быть введены в том же формате, разделенные запятыми. Цифровые отпечатки (fingerprints) после каждой комбинации address:port не являются обязательными, но очень рекомендованы для проверки аутентичности моста. Запустить Tor relay node: включение этой опции помещает Ваше устройство в сеть Tor в качестве промежуточного или входного (но не выходного) узла. Значение по умолчанию - выключено. Активизировать мост-ретранслятор Tor: включение этой опции скрывает Ваш релейный узел из узлов списка и делает его доступным только через запросы мостов. Зарегистрированный порт сервиса: номер порта TCP Вашего узла зарегистрированный в сети Tor. Может быть полезен при работе за шлюзом NAT с перенаправлением портов, когда требуется другой номер порта, чтобы быть видимым со стороны внешней сети. Значение по умолчанию 9050. Порт для принятия соединений: номер порта TCP, который слушает Tor. Значение по умолчанию 9050. Включить Fteproxy: запускаться как мост-обфускатор. Включить obfs3/obfs4, Порт obfs3/obfs4: определяет, должен ли быть включен протокол obfs2 или (предпочтительнее) obfs3 и obfs4, и их порты (назначенные случайным образом, но это может быть изменено). Предоставление бриджа obfs3 и obfs4 чрезвычайно полезно для доступа к сетям Tor/I2P для пользователей из Китая, Ирана и других стран, которые используют блокирование трафика и анализирующие технологии DPI. Входные/Выходные/Запрещённые/Запрещённые выходные ноды: определяет наборы узлов Tor для составления списков allow/deny. Страны могут быть определены c помощью кодов стран, указанных в фигурных скобках и разделенных запятой, пример: {de},{ca},{nl} Включить луковый маршрутизатор: активизирует «прозрачную» анонимизацию в дополнение к прокси-анонимизации. Позволяет анонимизировать запросы клиентов, не поддерживающих или игнорирующих прокси-установки. Включено по умолчанию. Включить Privoxy (требуется Tor): запускает фильтрующий прокси-сервис, который добавляет еще больше конфиденциальности и удаляет много раздражающего контента. Privoxy сконфигурирован таким образом, чтобы передавать все внешние сетевые запросы, исключая .i2p домены и интранет-адреса, через Tor. Запросы I2P перенаправляются в I2P, а запросы к интранет/localhost обрабатываются напрямую. Кэширование отключено. Разрешить веб-доступ: включает веб-интерфейс (по умолчанию XBMC). Включить SSH: включает службу SSH. Включить сервер OpenVPN: включает peer-to-peer режим сервера OpenVPN. Связь установливается с совместно используемым (shared) ключом, который может быть получен удалённо с помощью SSH из каталога .openvpn Вашего контейнера. Разрешить доступ с любого IP адреса: Вы можете ограничить доступ к компьютеру AntiPrism с других устройств по IP-адресу. Когда эта опция выключена, Вы должны указать доверяемый IP-адрес, с которого доступ будет разрешен. Внимание! Необходимо повторно активировать AntiPrism после того, как параметры настройки управления доступом были изменены. AntiPrism можно использовать как автономную систему, как систему с единственным безопасно подключенным клиентом и как систему с несколькими VPN-клиентами. При таком использовании, медиацентр AntiPrism закрыт для внешних клиентских соединений (установка по умолчанию). Опция ”Разрешить доступ с любого IP адреса” запрещена, а ”Доверяемый IP-адрес” содержит ”127.0.0.1”. Сервисы AntiPrism доступны только через пользовательский интерфейс XBMC. Ваши торренты можно открыть при помощи файлового менеджера из директория /storage/.Profile/i2p/i2psnark (установка по умолчанию). Система с единственным клиентом, подключённым через кроссовер-кабель
При таком использовании, медиацентр AntiPrism выступает в качестве анонимизирующего прокси для единственного клиентского компьютера, подключённого посредством кроссовер-кабеля Ethernet. AntiPrism использует WiFi для соединения с раутером. При такой конфигурации не требуется дополнительной защиты связи при помощи VPN, так как кроссовер-кабель может рассматриваться, как безопасное соединение. Если включены и луковый маршрутизатор, и Ethernet tethering, анонимизирующее соединение конфигурируется автоматически, без надобности настраивать установки прокси. Иначе, установки TCP/IP конфигурируются при помощи ZeroConf. Установки прокси-сервера внешнего веб-браузера должны содержать IP адрес Ethernet-интерфейса медиацентра AntiPrism (его можно найти в разделе конфигурации XBMC под названием “Соединения”). Тип протокола и номер порта зависят от того, какие сервисы AntiPrism активизированы. Используйте протоколы HTTP/HTTPS с номером порта 8118 по умолчанию. Сервисы сети I2P доступны через веб-браузер с IP адресом AntiPrism и номером порта 7657. ”Доверяемый IP-адрес” в установках контроля доступа AntiPrism должен содержать IP адрес Ethernet-интерфейса клиентского компьютера. Луковый Маршрутизатор При таком использовании, медиацентр AntiPrism выступает в качестве анонимизирующего маршрутизатора, перенаправляющего все исходящие соединения клиентов из локальной сети и с локального хоста через сеть Tor. Это весьма востребованная функциональность, позволяющая анонимизировать соединения клиентов, не поддерживающих или игнорирующих установки прокси. Убедитесь, что WiFi или Ethernet tethering включены в сетевой конфигурации OpenELEC, чтобы это работало для внешних устройств. ВНИМАНИЕ: Ethernet tethering не должен использоваться в корпоративных сетях, так как это может нарушить их устойчивую работу! Так как дополнительное VPN-шифрование соединений отстутствует на LAN-сегменте сетевого маршрута, этот режим работы может использоваться только в закрытых доверяемых сетях. Система с несколькими VPN-клиентами При таком использовании, медиацентр AntiPrism выступает в качестве анонимизирующего прокси для группы компьютеров в открытых сетях WiFi или Ethernet. Так как гарантировать отсутствие прослушки в сети невозможно, настоятельно рекомендуется использование VPN-доступа. AntiPrism поддерживает протокол OpenVPN with a shared static key. Ключ может быть скопирован из директория /storage/.Profile/.openvpn активизированной системы AntiPrism посредством SSH. Для обновления ключей OpenVPN или SSH в случае необходимости достаточно запретить сервис в Контроле Доступа, активировать и деактивировать AntiPrism, и снова разрешить сервис и активировать AntiPrism. Анонимный веб-хостинг скрытых сайтов AntiPrism поддерживает анониммный веб-хостинг скрытых сайтов .onion и .i2p. Касаемо веб-сервера, на выбор предлагаются встроенный в I2P Jetty и независимый Hiawatha. Поддержка веб-приложений включает CGI на Python, shell-скриптах или Java. Это неплохой способ расширить функциональность AntiPrism веб-камерой, онлайн-магазином, порталом домашней автоматизации и чем-либо ещё, доступным анонимно, без возможности легко вычислить физическое месторасположение сайта. Веб-приложения могут быть установлены из ZIP-архивов со следуюшей структурой: / cgi-bin – CGI-программы / data – все данные приложения должны быть здесь / docroot – статические веб-файлы, включая index.html README.txt – информация о веб-приложении. Архив должен быть распакован из SSH-сессии в корневой каталог веб-сервера в зашифрованном контейнере. Для Jetty, это i2p/eepsite/ ; для Hiawatha, это .hiawatha/ . Примеры веб-приложений доступны на сайте AntiPrism.. Имена .onion и .i2p сайтов могут быть получены у Tor и I2P после активизации скрытого вебсайта. Tor сохраняет имя .onion сайта в файле hostname в корневом каталоге веб-сервера. I2P позволяет получить имя скрытого i2p-сайта через свой веб-интерфейс. Лицензия AntiPrism распространяется со смешанной лицензией. Основанная на OpenELEC платформа распространяется в соответствии с лицензией GNU GPLv2. Связанные с AntiPrism дополнения (AntiPrism, I2P и GnuPG адд-оны) распространяются в соответствии с лицензией BSD-типа: Copyright (c) 2014-2017, AntiPrism.ca Все права защишены. Разрешается повторное распространение и использование как в виде исходного кода, так и в двоичной форме, с изменениями или без, при соблюдении следующих условий:
ЭТА ПРОГРАММА ПРЕДОСТАВЛЕНА ВЛАДЕЛЬЦАМИ АВТОРСКИХ ПРАВ И/ИЛИ ДРУГИМИ СТОРОНАМИ «КАК ОНА ЕСТЬ» БЕЗ КАКОГО-ЛИБО ВИДА ГАРАНТИЙ, ВЫРАЖЕННЫХ ЯВНО ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ИМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ И ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ. НИ В КОЕМ СЛУЧАЕ НИ ОДИН ВЛАДЕЛЕЦ АВТОРСКИХ ПРАВ И НИ ОДНО ДРУГОЕ ЛИЦО, КОТОРОЕ МОЖЕТ ИЗМЕНЯТЬ И/ИЛИ ПОВТОРНО РАСПРОСТРАНЯТЬ ПРОГРАММУ, КАК БЫЛО СКАЗАНО ВЫШЕ, НЕ НЕСЁТ ОТВЕТСТВЕННОСТИ, ВКЛЮЧАЯ ЛЮБЫЕ ОБЩИЕ, СЛУЧАЙНЫЕ, СПЕЦИАЛЬНЫЕ ИЛИ ПОСЛЕДОВАВШИЕ УБЫТКИ, ВСЛЕДСТВИЕ ИСПОЛЬЗОВАНИЯ ИЛИ НЕВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ ПРОГРАММЫ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ПОТЕРЕЙ ДАННЫХ, ИЛИ ДАННЫМИ, СТАВШИМИ НЕПРАВИЛЬНЫМИ, ИЛИ ПОТЕРЯМИ ПРИНЕСЕННЫМИ ИЗ-ЗА ВАС ИЛИ ТРЕТЬИХ ЛИЦ, ИЛИ ОТКАЗОМ ПРОГРАММЫ РАБОТАТЬ СОВМЕСТНО С ДРУГИМИ ПРОГРАММАМИ), ДАЖЕ ЕСЛИ ТАКОЙ ВЛАДЕЛЕЦ ИЛИ ДРУГОЕ ЛИЦО БЫЛИ ИЗВЕЩЕНЫ О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ.
|
