id: Гость   вход   регистрация
текущее время 14:26 28/03/2024
Владелец: unknown (создано 06/03/2012 17:12), редакция от 10/03/2012 00:13 (автор: spinore) Печать
Категории: софт, приватность, политика, прослушивание коммуникаций, tor, следственные мероприятия, разное, сообщество, спецслужбы, firefox
http://www.pgpru.com/Новости/2012/EFFПоказываетКакЗащищатьсяОтСетевойСлежкиНаПримереTorИHTTPSEverywhere
создать
просмотр
редакции
ссылки

06.03 // EFF показывает, как защищаться от сетевой слежки на примере Tor и HTTPS Everywhere


На этой неделе организация EFF (Фонд Электронных Границ) выпустила новую версию расширения «HTTPS Everywhere» для браузера Firefox и представила первую бета-версию расширения для Chrome. EFF часто рекомендует интернет-пользователям, заботящимся о своей сетевой приватности и анонимности, использовать расширение «HTTPS Everywhere». Последнее шифрует соединения с множеством сайтов совместно с Tor, который помогает защищать сетевую анонимность. Но лучший уровень безопасности достигается у пользователей, понимающих, как эти два средства работают вместе для защиты приватности от возможного прослушивания.


Читаете ли вы электронную почту, обновляете ли страницу в Facebook или проверяете свой банковский счёт, существуют десятки мест, с которых потенциальные противники могут прослушать ваш трафик. Используя Tor для его анонимизации и HTTPS для его шифрования, вы можете получить значительный уровень защиты, особенно против прослушивающих вашу локальную сеть или сеть между вами и посещаемым сайтом. Но у этих средств есть существенные ограничения: как ваш интернет-провайдер, так и посещаемый вами веб-сайт видят некоторую идентифицирующую вас информацию, которая может стать доступной через судебную повестку адвокату или полицейскому с ордером.


Защитить вашу безопасность и анонимность от государственного прослушивания в реальном времени значительно труднее. В стране, где провайдеры интернета контролируются правительством или уязвимы к запугиванию со стороны властей, пользователи должны быть особенно обеспокоенными по поводу того, что информация, остающаяся видимой провайдеру, может оказаться предметом правительственной слежки. Сами веб-сайты, хотя и в меньшей степени, также могут стать предметом аналогичных угроз со стороны правительства и быть принуждёнными его представителями к раскрытию информации о пользователях.


Наконец, правительственные агентства с чрезвычайно большими ресурсами, такие как Агентство Национальной Безопасности, могут обходить защиту, предоставляемую сетью Tor, за счёт известной атаки «глобального наблюдателя». Если глобальный наблюдатель контролирует как узел, через который вы входите в Tor-сеть, так и узел, через который выходите, то он может смотреть корреляции размера и времени в трафике, чтобы идентифицировать вас в Tor-сети. В таком сценарии глобальный наблюдатель знает источник и получателя вашего трафика, но при использовании HTTPS не сможет видеть его содержимое. Вы можете помочь в битве с глобальным наблюдателем, запустив свой узел Tor, что увеличит пропускную способность и разнородность (неподконтрольность) Tor-сети.


Организация EFF объединила оба типа защиты вместе, представив их в виде наглядной демонстрации — интерактивной картинки на странице «Tor and HTTPS», где показано, как Tor и HTTPS работают вместе и по отдельности. Если в вашем браузере включена поддержка Javascript, то, нажимая кнопки на картинке («Tor» и «HTTPS»), можно увидеть схематичный список сведений, доступных различным прослушивающим сторонам.


Источник: Electronic Frontier Foundation


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (09/03/2012 14:01)   <#>
Вы как хотите, а я по прежнему буду юзать localhost-vpn-socks(encr)-...-socks(encr)-targethost с ОС из криптованного (самостоятельно собранным truecryptом) контейнера и думать, что в реальных (не сферических) условиях это обеспечит анонимность и защиту моей деятельности.
— Гость (09/03/2012 16:08)   <#>
socks(encr)
Шо за сферический носок в вакуме?
— Гость (09/03/2012 18:05)   <#>
Сокс, поднятый средствами php, поддерживающий шифрование. Если быть совсем точным, то не совсем сокс (ибо сокс – вполне конкретный строго описанный протокол), просто принцип работы как у сокса, только с шифрованием (ключ вручную предустанавливается на каждый такой сокс). Реализация приватная.
По этой схеме, траффик почти везде (кроме последнего звена) шифрован. От меня до площадки, где установлено openvpn, шифруемся стандартными средствами openvpn, это делает его нечитаемым для COPM (в т.ч. назначение пакетов). Человека, держащего впн, знаю лично. Голый впн использовать никогда не надо. Далее идут несколько таких носков (у меня 5 штук, можно больше, если пинг и канал широкий у них), цепочка из которых выбирается каждый раз разным методом. В конце пакет окончательно расшифровывется на последнем носке и приходит по назначению (когда возможно, всегда используется htpps). Браузер стоит на фейковой ОС в криптоконтейнере. Скрипты не отключены, однако сделано все для того, чтобы применив сплойт к браузеру, нельзя было определить, что используется виртуализация. АВ, файервол стоят.
Как пробить схему? По очереди получив логи всех этих соксов, начиная с конца (считаем, что логи на них ведутся). Затрудняется использованием площадок для их установки в разных <недружественных> странах (Китай, Грузия, Чечня, далекий офшор). Для получения логов в данном случае приходится напрягать международные связи, ну да я в этом не силен, смысл в том, что наша ментура то тут точно не справится, прийдется задействовать кого-то выше. Так нужно сделать со всеми соксами подряд (заметьте, ключи на них компрометируются, т.к. хранятся в plaintext прямо на них). Так доходим до впн. Дальше два варианта. Логи велись, принуждаем моего друга их выдать. Логи не велись, используем логи с систем вроде СОРМ, только в др. стране, где впн. Пытаемся сопоставить по времени (слышал, это можно использовать в суде). Если это сделать, вдруг выпадет мой реальный ip.
Теперь подумайте, какое ресурсы и какое время потребуется, чтобы это провернуть. Ставка с моей стороны делается, прежде всего, на проблемы во взаимодействии правоохранительных органов разных стран. Если кому-то на самом деле потребуется, мне сообщат на этапе с попытками пробить впн. Если учесть, что логи на машине, где впн друга, не хранятся (на крайняк можно свой поднять), покупаем адвоката и уничтожаем контейнер.
Вот вся (почти) схема.
Ну и скажите мне, разве плохо?
— Гость (09/03/2012 20:20)   <#>
[сарказмъ]Илитные велосипеды в студии.[/сарказмъ] Надеюсь ваши приватные реализации поддерживают постоянные коннекты между всеми узлами этого не маленького сокснета, плюс покрывающий трафик и ещё какието сверх-секретные наработки против активного наблюдателя.
Скрипты не отключены, однако сделано все для того, чтобы применив сплойт к браузеру, нельзя было определить, что используется виртуализация.
Как?
— Гость (09/03/2012 21:03)   <#>


Насчет глобального наблюдателя, я так понимаю, речь о том, что можно сопоставить по времени пакеты в двух точках маршрута? Сопоставлять можно по времени, т.к. содержимое везде зашифровано. Пытаться так сделать для соксов тяжело, раз уж прикрываемся тем, что они в разных юрисдикциях. Другое дело, если начальный и конечный узел находятся в одной стране. Предусмотрены рандомные задержки и покрывающий трафик на соксах, через впн хожу не только я. Постоянных коннектов конкретно между всеми соксами нет.

Я, наверное, слишком сильно выразился. Имелось в виду, что закрыты известные артефакты эмулятора, по которым обычно его определяют. На мой взгляд, очень тяжело затруднить такое обнаружение. В данном случае, это не так важно, как, скажем, баги в эмуляторе, позволяющие "пробиться" наверх (ведь все эти виртуалки обычно имеют большие права в хостовой системе). То есть еще не понятно, что безопаснее – под виртуалкой или просто ОС на криптованном винте.

Приватное означало лишь то, что конкретных программ в гугле вы не найдете, писалось на заказ. Никаких секретных наработок тут нет, все это проще, чем кажется. Эта "схема", если так можно выразиться, создавалась с учетом реальных методов работы правоохранительных органов. Предвосхищая волну критики, добавлю, что с учетом известных методов.
— unknown (09/03/2012 23:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Насчет глобального наблюдателя, я так понимаю, речь о том, что можно сопоставить по времени пакеты в двух точках маршрута?

Это "обычный" наблюдатель, "полуглобальный" или "большой". Против него уже не защищает ни тор, ни описанная вами сеть. Глобальный — тот, который может контролировать всю сеть во всех точках. Такого пока нет, но всегда с некоторой вероятностью он может сложиться на маршруте вашего соединения — тогда разница между ними двумя стирается.
Что было мотивом для заказа, если не секрет? Может это изначально хорошо для каких-либо ботнетов, ломалок сайтов и пр., а не персональной анонимности, а поэтому не имеет прямого отношения к тематике сайта.
Принято исходить из того, что стОящие вещи публикуются с описанием. В секрете держат от безысходности только только то, что заведомо слабо против раскрытия. Или чтобы не давать распространения. Тогда чем оно лучше, чем то, что уже распространено и известно? Если закрытая сеть, так это вариант топологии F2F, в форуме упоминалось. Закрытые сети с доверяемыми, контролируемыми узлами однозначно указывают на их принадлежность к узкой группе. Проблема объединения доверяемых и недоверяемых узлов в общую сеть решается на основе применения оптимизационных алгоритмов и служит предметом исследований, это у нас тоже рассматривалось.

Для оценки стойкости кое-что у нас есть в FAQ, в статьях про системы для анонимных коммуникаций, принципы построения анонимных систем.

В частности, защита от выдачи логов в чистом виде — это прошлый век. Исследования давно ведутся в направлении защиты от построения статистических профилей по самым разным параметрам. И как указано ниже, даже такой "энтропистский" подход отчасти устарел.

Это кстати тоже актуально упомянуто по теме. Один из ключевых разработчиков тора, Пол Сайверсон, упомянул в связи с публикацией этой диаграммы, что глобальный наблюдатель ещё малодостижим, а пассивный наблюдатель — это бестолковая модель. Это хорошо для упрощённого вероятностного моделирования, но активный наблюдатель с достижимыми ресурсами реалистичнее глобального. Его крайне сложно моделировать и защититься от него сложно — возможен как практически неопределяемый, так и доказуемо неопределяемый активный наблюдатель.

По крайней мере теоретического интереса ваша модель не представляет :) Даже практически применяемые разработки ушли далеко вперёд, при этом так и не решив множества проблем и выявив множество слабых мест защиты.



По поводу новости и продвижения новой опции HTTPS everywhere есть некое мнение параноидального анонимуса. Не совсем свободное от натяжек и больше подходящее для тех, кто готов не разобравшись сразу поверить — "А-ааа, попались, бесплатный сыр, ловушка, скандалы, разоблачения!".

Но отчасти вопрос сформулирован верно: умышленно или "благими намерениями", EFF (или используемый им провайдер) с новыми опциями плагина могут сами взять на себя часть функций глобального наблюдателя — собирая сведения со всех исходящих узлов о сертификатах и проводя тайминг-анализ на установления SSL-соединений им будет легче деанонимизировать часть пользователей при условии запуска части подконтрольных узлов.
— Гость (09/03/2012 23:55)   <#>
unknown, со всем согласен. Правда у меня сложилось мнение, что вы меня обвиняете в том, что я рассказал про какую-то реализацию, при этом держа в секрете исходники итп (безопасность через незнание, или как там говорят). Я не считаю эту систему каким-то прорывом, тем более, вы же сами говорите, что теоретического интереса не представляет, с чем я абсолютно согласен. Наверное, вот эта фраза:
выглядит, как противопоставление новости. Ладно-ладно, не бейте по почкам, я просто рассказал.=)

Не, эта система для обеспечения анонимности владельца. Требуется большая скорость и передача большого объема информации, что хромает у тора. Я занимаюсь тем, что модно называть "аудитом безопасности веб-интерфейсов" и схожими тематиками, ну, я думаю, вы поняли, о чем речь. Как-то так сложилось, что в "наших" кругах для обеспечения анонимности всегда использовали прокси\соксы\впн\дедики\ssh-тоннели, а это, так сказать, развитие идеи. Кстати, гораздо большей проблемой является соблюдение финансовой анонимности, оно же является слабейшим звеном.
И еще, в сравнении с тором тут есть одно важное отличие. Для поднятия и использования этого, как тут назвали, сокснета, требуются знания выше среднего. То есть тор могут поставить домохозяйки (и чем больше простых смертных его поставит, тем лучше), в то время, как сам факт пользования этим сокснетом уже вызывает подозрения (хех, вы же задумывались, откуда площадки для узлов берутся). То есть некоторых преимуществ тора в рамках такой системы не реализовать, и приходится повышать безопасность другими методами.
— unknown (10/03/2012 00:24)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Да, ладно, слегка поиронизировал, понятно, что у вас там всё так несферично, что теоретические исследования изучать "если и не западло, то не по-нашему, не по-пацански" :)

Tor можно поднять приватный — поднять свои корневые узлы, вписать их IP и отпечатки в конфиг всем юзерам вместо дефолтных и отвязаться от обычного тора, получив и скорость и неподконтрольность, и отсутствие фильтрации трафика по портам на экситах.
Такой вот свой тор. Может и не стоило изобретать велосипед?

Есть и готовые решение для Friend-2-friend — сетей. У вас топологически примерно тоже самое, хотя в таком случае, наверное, лучше не доверять малоразвитым проектам, действительно проще соорудить самому, при такой модели угрозы.

Действительно, если информационное взаимодействие пересекается с оффлайном, то там и будут скорее ловить, раскручивая цепочку финансов или "дружеских" связей.
— spinore (10/03/2012 00:42)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
добавляя мощь и различие в сеть Tor.
Это было мощно! :) Прям ИБ-аналог знаменитой «овощи там, рожь, всё такое». Поправил.
— Гость (10/03/2012 01:38)   <#>

Детекция виртуализации обсуждалась в /comment17088 + см. весь тот тред.


Зачем так сложно? А как же логи у интернет-провайдера VPN? У VPN-сервера есть gateway, или он сразу трафик в астрал шлёт?


Обсуждаемая опция не включается по дефолту: у пользователя всегда спрашивают заранее — это первое, второе — есть много домохозяек, для которых Tor — не средство выживания, а просто незначительная +фича. Они вполне могут рискнуть частью своей анонимости перед EFF ради абстрактного всеобщего блага. Например, я использую Tor, чтобы не светить историю гуглопоиска или посещать посторонние сайты, не связанные с работой (совсем несекретные, но и не хочется, чтоб мой ISP имел дословный список: куда, когда я ходил, и сколько времени там провёл). Это — «стратегическая безопасность», «долговременная». В профиле TorBrowser, используемом для таких целей, вполне можно включить ту опцию. Если же раскрытие анонимности чем-то грозит более существенным, никто не запрещает завести другой профиль TorBrowser'а с отключенной опцией.

Во времена обсуждения проблемы неполноты SSL на сайте pgpru.com базовыми решениями были torbutton, privoxy, AdBlock+ и т.п. Я хочу отфильтровать некоторые http-ссылки, чтобы замок перестал биться. Поскольку установка AdBlock+ или других расширений, где можно прописать блокировку, начнёт выделять меня на фоне других пользователей Tor-сети, возникает вопрос, как это сделать правильно. Одно из решений — что-то подредактировать в конфигах polipo или попытаться завернуть TorBrowser на privoxy (она точно поддерживает фильтрацию). С другой стороны, если противник знает, что конкретные 4 http-ссылки заблокированы у продвинутых пользователей pgpru.com, он может понавставлять их на подконтрольных ему сайтах, чтобы различать/деанонимизировать пользователей. И как тогда решать эту дилемму? Согласиться с тем, что SSL фиктивен, а противник может произвольным образом изменять процент шифрованного содержимого на странице? Как подружить HTTPS Everywhere на pgpru.com с анонимностью TorBrowswer'а?
— Гость (10/03/2012 12:13)   <#>

Они и имелись в виду. СОРМ ли, либо ее европейский аналог, они же у ISP установлены.
— unknown (10/03/2012 14:45, исправлен 10/03/2012 14:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это было мощно! :) Прям ИБ-аналог знаменитой «овощи там, рожь, всё такое». Поправил.

[Йумор]
Зато Единая Россия сделала очень много достижений, они подняли экономику. Мы стали более лучше одеваться. И не было того, что сейчас... Это очень большие достижения. В сельском хозяйстве очень хорошо. Стали засеивать больше земель, овощи там, рожь, вот это все... Так как у нас страна многонациональная, у нас в Москве очень много людей, которые очень помогают нам. Из других городов. Это большое достижение, очень хорошее даже. Медицина у нас стала очень хорошая. Благоустройство в городах хорошее. С жильем никаких проблем. Людям помогают очень хорошо.


Зато Фонд Электронных Границ сделал очень много достижений, они подняли анонимность. Мы стали более лучше общаться. И не было того, что сейчас... Это очень большие достижения. С луковыми полями очень хорошо. Стали засеивать больше земель, различие там, мощь, вот это всё... Так как у нас мир глобальный, у нас в Интернете очень много людей, которые помогают нам. Из других стран. Это большое достижение, очень хорошее даже. Приватность у нас стала очень хорошая. Безопасность в странах хорошая. С цензурой никаких проблем. Людям помогают очень хорошо.
[/Йумор]


Ага, "и невинность соблюсти, и капитал приобрести". Безопасный сайт должен являться изначально чистым SSL, без смешанного контента. Блокировка баннеров решает дилемму, но анонимность — ещё один фактор. Слишком много костылей на стороне клиента, чтобы разруливать ситуацию. Придёться мириться с тем, что есть.

— Гость (10/03/2012 18:01)   <#>
Они и имелись в виду. СОРМ ли, либо ее европейский аналог, они же у ISP установлены.

Провайдеру никто не запретит вести логи по его собственному личному желанию, что не будет иметь никакого отношения к СОРМ — чёрному ящику в отдельном помещении, куда провайдер суваться права не имеет вообще.

Слишком много костылей на стороне клиента, чтобы разруливать ситуацию.

Наверняка какая-нибудь privoxy умеет фильтровать эти ссылки только тогда, когда запрашивается страница на домене pgpru.com. Лезть в потроха торбраузера не очень хорошо, но в данном случае не думаю, что будет трудно пофиксить.

Ещё лучше — два профиля торбраузера: один для всех сайтов, другой — специально под pgpru.com с AdBlock+ или RequestPolicy (последний сам фильтрует всё необходимое). Время распаковки бандла в новую директорию — секунды, то есть проблемой не является.
— unknown (10/03/2012 18:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Можно вынести иконку адблока на панель и включать его вручную только для pgpru. Главное не забывать это делать вручную, что утомительно, ненадёжно и печально.
скорее какого-нибудь плагина. Как раз privoxy/polipo не сможет точно определить, какая именно строка в браузере открыта, чтобы резать ссылки только в том случае, когда в браузере в адресной строке pgpru.com, а уже в соседнем окне или табе для другого адреса не делать этого.
— spinore (10/03/2012 21:52)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Зато Фонд Электронных Границ сделал очень много достижений, они подняли анонимность. Мы стали более лучше общаться.
Очень хорошо сказано, спасибо :D) В качестве энциклопедической заметки «Кто такой EFF» лучше и не напишешь :)
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3