Tor Browser Bundle и пакетный Tor
Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!
комментариев: 9796 документов: 488 редакций: 5664
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!
P.S. Они там похоже помешались на виндоуз-юзерах, вместо того, чтобы пропагандировать переход на *nix и прозрачную торификацию...
комментариев: 9796 документов: 488 редакций: 5664
Текущий протокол плохо масштабируется на большое число узлов. DA не смогут справиться со статистикой, если узлов будет больше, кажется, 10000. Возможно, узлы будут записываться рэндомно в какие-нибудь свободные (в смысле неперегруженные под завязку на данный момент) DA, образовывая иерархические кластеры. А пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.
Это общие предположения, на основании того, какие проекты анонимных сетей существует и того, что проскакивает в рассылке, полностью "дорожные карты" не читал.
Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще? Например почту. Пускай в таком случае не до конца даже вырезаются деанонимизирующие заголовки, может кому-то нужно соединиться со скрытым сервисом ремейлера или со своим скрытым сервисом.
Насчёт, "а если они не умеют Tor-proxy вообще" см. выше. Другой аспект, то что если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла. Уязвимость в самом слабом звене — браузере будет компрометирвать всю анонимность.
И если обычный пользователь будет считаться в любом случае проигравшим, то более продвинутым пользователям будет труднее защищаться файрволлом, виртуализацией и пр.
С другой стороны, какая альтернатива? Это GnuPG можно использовать как угодно. На свой страх и риск. Хоть из консоли с пайпами, хоть с любой из глючных графических оболочек, хоть плагином к почтовику.
С Тором так не очень хорошо, потому что все должны иметь одинаковый отпечаток-профиль. Анонимность сложнее, чем просто безопасность (приватность, секретность). Нужно всем иметь способ согласования анонимизирующих программ, дающий одинаковый профиль на выходе. Проще сделать его приспособленным для массового пользователя. Иначе большая масса вразнобой настроенных систем позволит отфильтровать "продвинутое меньшинство" правильно настроенных.
Плюс для анонимной системы вообще критична массовость, без таких трудностей в понимании, как для GnuPG. Чтобы не было необходимости знания кучи наворотов.
Как раз таки закладка по всем канонам OpenSource — это когда её можно выдать за случайную ошибку. Теперь некоторые баги файрфокса могут играть роль закладки, к которой разработчики Тора формально не будут иметь никакого отношения: "не виноватые мы — это браузер глючный!"
комментариев: 9796 документов: 488 редакций: 5664
Роджер (arma) конечно молодец и всё правильно сказал. Почти примерно как и предполагалось или как хотели от него услышать (может они наш форум читают?). Хотя, если отбросить паранойю, скорее мы читаем достаточно много информации от них, поэтому можем составить картину ситуации.
Надо придумывать конструктивные предложения и мягко, вежливо, но настойчиво продвигать их в проект, понимая, что разработчики сами многое хотели бы изменить, но у них не хватает времени/человеко-ресурсов.
И это плохо. Чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).
Вот потому я и сказал, что вопрос удобства и/или вынужденная мера. Есть ещё проксификаторы.
Я имел в виду "классический" случай — где есть только Tor, TorButton и браузер.
комментариев: 9796 документов: 488 редакций: 5664
Ну 2000 узлов сейчас и вроде насыщение есть. Если так, то действительно не то. Может там что-то другое в масштабировании.
И разработчики это понимают. Они сразу указывали на опасность атак разделения при различающейся статистике, доступной разным пользователям. М.б. разработают какой-то особо хитрый алгоритм, по крайней мере они такой вариант рассматривали. Кстати, в "полностью распределённых" сетях в этом плане всё ещё хуже. Но это уже совсем не по топику.
Теперь часть защит (от статистических атак за трафиком на вебсайты) встроена в сам браузер. Который гвоздями прибит к связке.
Сначала видалия орет, что не может установить соединение с Tor, и падает, и запускается только со второго раза.
Что за ппц?!
комментариев: 9796 документов: 488 редакций: 5664
Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.
Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.
комментариев: 9796 документов: 488 редакций: 5664
Нет, идея в том, чтобы завести системную группу, например "tbb-tor".
Только первый нюанс. Группы с паролем редко используются (проще говоря, на них давно забили), поэтому по умолчанию стоит древний юниксовый DES, который обрезает пароли до восьми символов (и по ряду особенностей он ещё хуже). По крайней мере, так по умолчанию в Debian. Так что сначала нужно поправить /etc/login.defs на На последующие пароли юзеров это (кажется) не повлияет — они сверяются по методу, определяемому в PAM. Только на группы.
После этого можно добавить группу:
После чего проверить размер хэша пароля группы (чтобы не был короткий, как у DES-хэш) в /etc/gshadow.
Пользователь "debian-tor" — системный tor.
Пользователь "tornet-user" — анонимный "заториваемый" пользователь.
Группа "tbb-tor" — для локального тора из TBB.
После этого из-под юзера можно запустить скрипт видалии с помощью команды
Терминалы, значки, горячие клавиши и гуёвые запускалки привязать по вкусу.
Только знающий пароль группы сможет запустить видалию-tor-FF с GID этой группы.
Ну а файрволл будет выглядеть вот-так:
Но и видалия и тор, который она запускает в связке и файрфокс и всё что будет запущено из-под него, любые порождённые процессы будут иметь GID tbb-tor и выходить наружу. Вся надежда только на то, что сборщики TBB не накосячили и вовремя исправляют дыры безопасности, т.к. файрволл теперь от утечек неанонимного трафика не прикрывает.
Всё остальное из-под пользователя, то что запускается отдельно от TBB (ssh, wget, почта) можно запускать как обычно и оно будет гарантировано заворачиваться в системный Tor. Немного плохо при этом ещё то, что у пользователя будет два параллельных набора сторожевых узлов — для системного Тора и для тора из TBB.
Разумеется, OpenBSD PF тоже умеет делать так.
Использовать группу без пароля, привязанную к пользователю смысла нет. Иначе вообще любая программа с правами этого пользователя может обходить файрволл.
Было бы здорово, если бы кто-то предложил что-нибудь лучше.
Подождите, так были же /comment48573 и /comment48584, из которых я (ошибочно?) сделал вывод о том, что проблема если не полностью, то, по крайней мере, почти решена, прозрачная торификация работает, а всё лишнее можно отрезать iptables'ом.
комментариев: 9796 документов: 488 редакций: 5664
Первоначальные методы, предлагаемые в этой теме, проваливались один за другим.
Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают.
В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.
Так что теперь даже не выждать старта через "двойной" tor перед тем, как переключиться на системный.
Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TBB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя (не TBB процессы).
Понятно, что выполнение произвольного кода, злонамеренные плагины, которые могли бы создать утечку данных в обход tor и пр. сценарии теперь не блокируются файрволлом. Но это хоть какой-то рабочий компромисс.
Попытки подружить видалию из TBB с системным тором у меня ни к чему хорошему не привели — не работает вообще и подозреваю, может даже из-за этих попыток слетели права на конфиг системного тора перед обновлением, что привело к специфическим глюкам.
Обсуждение решения очень приветствуется. Есть смысл оформить как proposal или как черновик-"idea" (такой формат они тоже негласно принимают).
Была ещё идея, В tor.conf есть опция UID, но это актуально для системного Torа, который может менять UID перед запуском демона, читая первоначально конфиг от рута. Можно было бы сделать просто патч, чтобы менялся и GID, но пользовательский tor — это вам не root. Если группу сделать беспарольной, то любой процесс пользователя может запуститься с таким же GID, а если спрашивать пароль на группу, то как его вводить в tor? Это можно было бы сделать через окно в видалии и некий аутентификационный меанизм (кстати также можно было бы дополнить и UID), но разрабы сейчас не будут этого делать. У них проблема в том, что по их данным только 20% инсталляций tor сконфигурировано безопасно (по самым минимальын критериям), остальные пользователи — феерические сами понимаете кто... Вот эта проблема в приоритете проекта, а не душевные страдания гиков-параноиков, которых призывают самим помочь себе, а проекту нести только почти готовые подходящие решения.
А так, чисто теоретически, при наличии таких патчей, хотя бы только локальный tor можно было бы выпускать наружу, но уже не FF и всё остальное.
P.S. Поправил кое-что в опциях в предыдущем сообщении. Это очень черновой вариант. Критика и идеи приветствуются.