14.01 // Как я поймал хулигана использующего сеть Tor
Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.
Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.
Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.
Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.
В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.
Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.
Источник: http://community.livejournal.com/ru_root/1942338.html
комментариев: 11558 документов: 1036 редакций: 4118
Втрое меньше даже на Линуксе с выключенным Torbutton.
Вот именно это я и хочу. Проблема в том, что по мнению https://panopticlick.eff.org моё разрешение экрана в TorВrowser – уникально, то есть я совпадаю даже не с меньшинством, а только с самим собой! И мне хочется понять, этому я причина, или у них глюк?
Пожалуйста, отпишитесь те, у кого TorBrowser и получается неуникальное разрешение (то есть число в таблице на пересечении строки Screen Size and Color Depth и столбца one in x browsers have this value меньше (в разы) общего числа протестировавшихся, которое можно узнать, взглянув на строчку Your browser fingerprint appears to be unique among the nnn,nnn tested so far вверху страницы)
Техническая инфа: tb-1.2.4, 2ой ff, глубина цвета 16, разрешение:
Когда появится на днях возможность, отпишусь касаемо теста под ff 3.5 (сейчас его нет под рукой).
Зачем было делать без скриптов?
Касаемо разрешения экрана, задумка была: все переменные о размерах сравнять, будь то внутренний (пространство доступное целиком для отображения), внешний (с учетом тулбаров скролбаров и что там еще бывает), разрешение всего экрана (техническая информация, однако. странно, что это вообще понадобилось вносить в стандарты, как будто от экрана на 1280 или 1920 что-то зависит при отображении с окном браузера 100x100. сайту оно вроде как и не зачем).
Такая уравниловка конечно вносит свои особенности, когда вместо размера экрана выдает внутренние размеры окна это выглядит просто чудесно, но если размеры экрана не трогать может быть ещё чудеснее (хотя тут надо еще поразмышлять как много бы в таком состоянии утекло бит информации).
После это решают что полученный единый размер, надо бы округлять (x50) и используя полученное значение, менять размеры браузерного окошка (читать доки на тобаттон, почему это важно и почему единый размер — внутренний). Округлили, но распахнутое на максимум окно решили не округлять, потому что в теории (чей?) оно должно быть одинаковое у всех кто распахнул (при одинаковых технических характеристиках экрана), и главное, а где смысл менять размер если пользователь выбрал максимум.
И в этом месте подкрался как всегда неожиданный и запоздалый лис, но не рыжий, а белый и северный. Внутренние размеры окна на самом деле оказывают очень разными (это видно на демо ссылке, высота будет чутка "гулять" у разных пользователей), потому что внутреннее расположение и отображение тулбаров немного, но расстраиваемо (взять хотя-бы скины).
P. S. Вроде как суть событий выразил (IMHO). Но реальность чуть хуже если даже поправить "странное разрешение" с окном на максимуме, но это уже другая тема.
P. P. S Труъ анонимность, нам только снится...
Поэтому вопрос:
Риторический. Только без них и работать.
комментариев: 9796 документов: 488 редакций: 5664
Ну кто нибудь! Ну зайдите туда через TorBrowser и если у вас при этом будет разрешение экрана неуникальное, напишите его тут (всё равно его Sattva знает), я себе буду такое-же хотеть. :)
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1 документов: 0 редакций: 0
комментариев: 9796 документов: 488 редакций: 5664
защиты Торбатоном от паноптикликовских методик.