Криптодиск+VMware+TOR=безопасность?
VMware Workstation – программа эмулятор простого компьютера, работающая под управлением вашей ОС. На этот, хотя и виртуальный, компьютер можно установить вполне реальную операционную систему и получить одну ОС работающую в окне другой. При этом жестким диском виртуального компьютера является просто файл на диске вашего реального PC.
1. Если поместить этот файл на криптодиск и ходить в инет только из "виртуальной" ОС, то в момент, когда в квартире погаснет свет и люди в черном с нашивками "ОМОН" нежно постучат в вашу дверь кувалдой, можно особо не беспокоиться о том, что кто-то сможет узнать историю ваших похождений в сети по "кукишам", "журналу", "избранному" или временным файлам тырнета т.к. все это, как и сама ОС, находжится на криптодиске.
2. Можно создать несколько виртуальных машин с разными ОС, браузерами и т.д., что в сочетании со скрытием IP затруднит вашу идентификацию в сети.
3. Надеюсь существует решение, которое позволит предотвратить вскрытие реального IP активным содержимым (Java, JS, ActiveX), которое, как известно, может просто проигнорировать настройки прокси и идти в инет напрямую. Сможет ли оно сделать это с виртуальной машины, думаю зависит от нас.
Вот собственно в связи с этим и возникает вопрос: как пустить интернет-трафик виртуальной машины через TOR?
Виртуальная машина (VM) взаимодействует с вашим реальным PC (host) по виртуальной сети. Т.е. на host'е при установке VMware Workstation появляется виртуальный сетевой адаптер, связывающий его с VM.
Ситуацию можно представлять так, что есть два компьютера, один из которых (host) имеет выход в интернет и на котором по уму надо бы поднять SOCKS сервер предоставляющий доступ в сеть другому (VM) компу сети. Как все это настроить и может ли в роли такого SOCKS сервера выступать TOR я и хотел бы знать.
ставишь тор на геста. всё.
Если под "гестом" имеется ввиду "host", то да, где-то так оно и есть. В общем все у меня получилось вот как:
1. Ставим Vmware Workstation.
2. Делаем криптотом.
3. Создаем на криптотоме виртуальную машину Vmware.
4. При этом выбираем тип сети: "Host only: A private network shared with the host".
5. Вешаем на виртуальную машину операционную систему.
6. Настраиваем сеть (на хосте появится пара виртуальных сетевых подключений. Нас интересует только VMnet1) так, чтобы хост и виртуальная машина имели доступ друг к другу по этой виртуальной сети.
6. Ставим TOR на хост.
7. В torrc добавляем строку: SocksListenAddress 192.168.184.1:9100, где 192.168.184.1 – адрес вашего VMnet1 интерфейса (может быть другим). Теперь TOR позволяет подключиться к нему по сети на порт 9100.
8. Ставим на виртуальной машине Mozilla Firefox и настраиваем как сказано тут: http://www.imperialviolet.org/deerpark.html только адрес SOCKS'а и порт ставим наши 192.168.184.1:9100
ВСЕ.
Теперь что получилось по порядку:
Есть два компьютера соединенные по сети. Один из них (host) имеет выход в интернет, но никакого NAT'а нету и следовательно второй (виртуальная машина) в интернет попасть не может никак кроме как через запущенный на host'е TOR. В силу этого никакое активное содержимое типа Java-апплетов, JS, ActiveX не может настучать на вас с виртуальной машины.
В качестве бонуса все содержимое жесткого диска виртуальной машины со всеми следами вашего пребывания в интернет находится на криптотоме.[/url]
гест=guest->rtfm vmware
поэтому
ну еще NAT, до кучи;)
что то не понял сути противопоставления хост – VMnet1. TOR как программа (исполняемый модуль) установлен на хосте, а как сервис слушает в числе прочего и 9100 порт на интерфейсе VMnet1 (192.168.184.1 в моем примере). Т.е. можно сказать, что он и там и там поставлен, смотря что под этим "поставлен" понимать.
Наверное нужно поставить на виртуалхост тор, прогу для соксификации(freecap, sockscap), на которой вписать торовский соксервер 127.0.0.1 порт 9050 и запускать нужные проги(браузеры, почтовики и т.д.) через эту прогу для соксификации. Все
Можно для страдающих параноей еще фаерволом разрешить выход в инет только тору.
TrueCrypt умеет шифровать кэш. А ещё его можно просто отключть.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 20 документов: 2 редакций: 0
Короче, зачем загромождать... Тот уровень защиты который ты хочешь получить, достигается много проще:
Ставишь себе Линукс, делаешь себе криптофс. Маунтишь криптофс к себе в хоум. Ставишь тор и прайвокси не под рутом, а под юзером, себе в хоум на криптофс. Следишь в конфиге за тем, чтобы не создавались файлы за пределами криптофс. Вот всё. Далее задача уже будет решаться только о том, как скрыть в системе существование самого криптофс как такового. Этот вопрос уже довольно сложный, я бы сказал, политический более. Для отсутствия подозрений возможность работы со скрытыми на фс файлами или скрытыми разделами на диске сама ОС должна включать в себя данные возможнорсти именно ПО УМОЛЧАНИЮ. Как уже справедливо отмечал народ, пожалуй, в данное время единственным наиболее удачным выходом из ситуации является использование трукрипт: ты создаёшь верхний контейнёр и пихаешь туда дезу, которая должна быть правдоподобной для укрывательства (обнажённые фотоснимки жены, медицинские данные, езё что-нить такое...). Само наличие трукрипта тебе при этом скрывать не надо как и тот факт, что ты что-то прячешь. В критической ситуации ты нехотя дашь спецслужбам доступ в верхний контейнер :) И вот тогда они окажутся в вилке: доказать ни математически, ни по здравому смыслу то, что у тебя есть более глубокие контейнеры, в которых и хранится та самая целевая информация, они не смогут. В целом понял? Идея реализовывается как под виндой, так и под линуксом. Но линукс предпочтительнее, так как закрывает другие дыры ещё в безопасности... А то если к тебе прийдёт омон с вещдоками что ты – это ты, и ты хранишь.... То у них уже будут веские основания счиать, что более глубокие контейнеры существуют. (P. S: не удачно где-то употребил терминологию, но, думаю, меня поняли ).
комментариев: 20 документов: 2 редакций: 0
]>
А разве CGD и dmcrypt не решили эту проблему? Насколько я помню, есть ещё соль пароля, которая может храниться отдельно, и тогда информации, хранящейся на диске, вместе со знанием пассфразы, не будет достаточно для декодирования.
Я не слишком разбираюсь в токостях что это за атака, но мне казалось что чуть ли не ради защиты от неё и написали CGD. Вскоре после разработчик CGD устроил разбор полётов по остальным криптосистемам, и сейчас и в остальных многих криптосистемах эту дыру закрыли. Ещё есть 2ступенчатая аутентификация – она разве не спасает? Также: если это не линукс и не экзотика, то полноценной userland cryptofs вроде как не реализовано. В смысле, всё делается только с правами рута.
комментариев: 9796 документов: 488 редакций: 5664
Можете поискать предыдущие обсуждения этой темы в http://www.pgpru.com/search/ по слову "watermarking"