«Чистый» интернет-банкинг со свободным ПО: VirtualBox + Debian + Iceweasel + Vuurmuur + Squid + KeePassX 11

Реализация «чистой» (безопасной) работы с интернет-банкингом на основе Linux-дистрибутива Debian и программного обеспечения VirtualBox, Iceweasel, Vuurmuur, Squid, LightSquid, Squidview, KeePassX.

Для «чистой» работы с интернет-банкингом предлагается использовать визуальный контроль и полный запрет на явно не разрешенные соединения в сети и управление ими.

Преамбула
Безопасности много-мало быть не может. Она или есть, или её… уже вообще не было.

Специализированные сборки Linux-дистрибутивов: такие как Tails, Liberte, Whynix, (!)LPS(!), Privatix, IprediaOS, — о которых говорится, что они могут обеспечить безопасные интернет-соединения… Можно не сомневаться, они предназначены для того, чтобы облегчить кому-то жизнь. Но в свете последних и не очень разоблачений (разговоры об узлах TOR’a, а на основе этой сети работают почти все эти сборки; слухи об АНБ, которое может забраться… куда оно только не хочет и не может не забраться?), возникает уверенность, что рассчитывать надо только на себя и на близких тебе людей. Это относится и к медицине, и к продуктам, и к лекарствам, и… ко всему. Кто может сейчас гарантировать на полные 100%, что, взяв котлеты, где написано «говядина», там не обнаружится при внимательном рассмотрении нечто раньше не мычащего, а мяукающего?..

Для многих становятся жизненно важными проблемы информационной безопасности. Пусть решает каждый сам по поводу сборок, но учитывайте: собираясь взять готовый, бесплатный, сыр, будьте готовы к тому, что это может довести до неожиданности — вплоть до детской. Смысл вышесказанного в том, что с бОльшим доверием можно отнестись только к тому, что собрано собственноручно из стандартного продукта, проверенного тысячами людей. Или, если не хватает знаний, с приглашением квалифицированного специалиста, но под неусыпным контролем. С записью и получением объяснений по всем производимым изменениям от установок по умолчанию, для возможности последующей проверки у других специалистов. Для параноидального уменьшения рисков во время настройки — без использования внешних носителей и без связи с интернетом.

В моём примере система (Debian) ставится из набора CD и DVD, образы для которых получены из надёжных источников с проверкой контрольных сумм в режиме offline — система не подключается к интернету до окончания конфигурации хотя бы брандмауэра. Остаются риски, связанные со стандартным продуктом. Но они гораздо меньше, чем получение сборок из чужих рук. Была сделана попытка сделать продукт, который сможет с бОльшей вероятностью защитить пользователей от неприятностей на самом уязвимом участке — у них дома, у них же самих, чем просто советы-предупреждения от уважаемых организаций, которые стараются блюсти строгие нормы только на своей стороне. Надо понимать, что всех участников интернет-взаимодействия соблюдать нормы на третьей стороне научить невозможно. Как невозможно влезть к каждому пользователю в компьютер или заставить даже ради его пользы придерживаться и обеспечивать требования специфических стандартов. Поэтому организации стараются обеспечить безопасность на двух из трёх участках: у себя и на канале передачи данных. Третий участник, ради которого и из-за которого создаются эти блага быстрого взаимодействия, остаётся, по бОльшей мере, один-на-один с этими благами и со своими проблемами из-за вероятности подцепить и хранить у себя на ПК какую-либо зловредность, которая из блага может сделать неприятность. Описываемая в статье система, по-моему, уменьшает шансы на это.

Описание технической части сделано быстро, немного сумбурно и без подробностей. Приступим.

Основные компоненты и схема их применения

ОС устанавливается в виртуальной машине VirtualBox. Основная задача — сохранить первосозданный вид ещё «чистой», настроенной, системы и гарантированно возвратиться к нему после хождений по интернету. В процессе наладки можно делать точки возврата для ликвидации непродуманных действий. Рекомендуемый снимок — после установки системы, настройки брандмауэра, ввода паролей в базу KeePassX и получения-установки вышедших обновлений операционной системы. На случай прозрения, что что-то «сделалось не так», и для беспроблемного возврата к исходному снимку, после возможного неправильной конфигурации программ.

Операционная система — Debian GNU/Linux, в минимально нужной для банкинга и возможности настроек конфигурации. По слухам, одна из самых надёжных и безопасных ОС. Веб-браузер — Iceweasel. В него заранее устанавливаются ссылки на необходимые сайты, а также он переводится на работу с прокси-сервером.

Vuurmuur — GUI-надстройка для iptables. Настраивается для того, чтобы обеспечить соединения только с определёнными портами и отбиваться от возможных напастей. В большинстве случаев достаточно трёх правил: предоставить доступ к DNS, HTTP и HTTPS. Остальные входы-выходы блокируются.

В качестве прокси-сервера — Squid. Он занимается управлением соединений, обеспечивает доступ к сайту по его доменному имени, а не по IP-адресу, который может меняться. Кроме прочего, имеет замечательную способность — несколькими строками исключает из общения все адреса и порты, кроме отдельно указанных, т.е. вносятся только нужные значения, по которым возможно общение, а все остальные — игнорируются.

Правила для Squid:

1. Запретить доступ ко всем адресам:

acl BAD dst 0.0.0.0/0.0.0.0
http_access deny BAD

2. Запретить доступ ко всем портам, кроме помеченных как безопасные:

http_access deny !Safe_ports

3. Добавить нужные адреса и порты — это можно сделать прописыванием наглядных отдельных правил:

http_access allow GOOD
acl GOOD dst online.sberbank.ru
acl Safe_ports port 443 80

Иллюстрация связи с разрешённым сайтом:

И вот попытка связи с сайтом, имени которого нет в списке разрешённых:

Для анализа логов Squid используется решение LightSquid. Оно необходимо для понимания, всё ли делается так, как хотелось, посещались ли только необходимые сайты.

Для быстрого просмотра запрашиваемых соединений — Squidview. Применяется для настройки и корректировки правил доступа к нужным сайтам. Например, для правильного доступа к pgu.mos.ru (портал городских услуг г. Москвы) надо разрешить доступ ещё к нескольким вспомогательным службам по дополнительным адресам — их имена можно узнать из окна этой программы.

Менеджер паролей — KeePassX. Среди прочих достоинств — вставка логина-пароля без ввода их на клавиатуре, что является защитой от кейлоггеров на хост-машине.

Примечания по работе с виртуальной машиной

После работы с интернет-банкингом можно в веб-браузере исключить соединение через прокси-сервер, перейти на обычный режим и просматривать интересующие страницы, предварительно очистив историю. Тут важно не забывать о разрешённых портах (только 53, 80, 443).

Для возврата к первоначальному состоянию виртуальная машина закрывается с установкой флажка в окне «Восстановить текущий снимок». Выбирается тот снимок, который зафиксировал состояние системы после её полной настройки. После перезагрузки имеем систему с удалёнными изменениями, возникшими после последнего входа. Размер созданной и настроенной машины в Virtualbox — около 3 Гб.

Виртуальную машину можно тиражировать и раздавать в пользование тому, кому это надо. Естественно, у других также должен быть установлен VirtualBox.

Контроль исходящих соединений из VirtualBox на хосте вёлся Windows-брандмауэром, который позволяет получить наглядную информацию по связи с интернетом.

Послесловие

Не по себе становится, понимая, сколько у нас пожилых людей и тех, кто по жизни не может и не хочет влазить в тонкости «дебрей» сегодняшнего интернета. Можно только догадаться, что они испытывают, когда остаются один на один со всеми его прелестями.
Не по себе становится, узнавая о новых фактах подлости и мошенничества в интернете. Кто может сказать о точной статистике по потерям из-за незнания и неумения?
Кто-нибудь видел эти глаза, полные недоумения и тоски из-за бессилия и безнадёжности вернуть потерянное? Да ещё сколько времени и нервов надо потратить на разборки…
А можно ли сделать по описанному образу и подобию систему именно для таких? В виде стандартного набора общеупотребительных ссылок на сайты госорганов, банков и необходимых служб? Ссылок, которые работают в достаточно безопасной среде.
И предоставить нуждающимся такую систему. Предоставить такую среду по принципу as is.
Чтобы всё-таки гарантии были, пригласить квалифицированных и уважаемых в этой области людей для её оценки.
Я, не будучи специалистом в области информационной безопасности, слепил вышеописанное за одну неделю. С поверхностными знаниями этой темы и руководствуясь только здравым смыслом. Начитавшись особо грустных новостей по проблемам взаимодействия за последнее время и находясь за тысячи верст от России. Этот риск также подтолкнул к попытке обезопасить среду на стороне пользователя.

Вопросы ко всем

1. В самом ли деле возможно с помощью подобной системы повысить уровень безопасного взаимодействия с уже жизненно необходимыми сайтами? Или это мои фантазии?
2. В случае подтверждаемой пользы и жизнеспособности подобного, могут ли найтись квалифицированные энтузиасты для её оценки и улучшения?

P.S.

К размышлениям о возможности (призрачного) защищённого стандарта общения с госорганами. Получил такой комментарий: «Это явно не для меня, мне лень было бы все это делать. Не хватает защиты от man-in-middle. Можно добавить какой-нибудь удаленный vpn».

Действительно, изоляция будет более серъёзной, но понадобятся дополнительные настройки: VPN — разные, и большинство, как я слышал, с оплатой, а российского VPN для работы только с госструктурами (для граждан) нет. Единообразие расплывается. Да и насколько глубоко ведётся логирование в VPN…