Конкретный пример

не знаю


Потому что я своими яйцами не поручусь за то что они в этот бинарнуик насували. Файерволл – это да. Объясните тогда правила, по которым файерволл будет определять, кто лезет в сеть: нормальная программа или WM Classic. Я серьёзно не думал над этим вопросом, но с ходу таких критериев
дифференциации траффика не вижу.


Нужно читать документацию на FreeCap. В конечном счёте, поскольку вы сидите на винде с массой дыр и уязвимостей (да поди ещё и под администратором), нужно держать в голове простую схему: вы ставите стороннюю программу, которая использует какую-либо из этих уязвимостей, после чего вообще не важно какие там у вас проксификторы стоят – зловредная программа получает полный контроль над системой. Поэтому настоятельно рекомендуется какой-нибудь дистриб Linux....


Для нормального ядерного файерволла овтет "нет". Для осуществления данной задачи потребуется критическая уязвимость, фактически уровня local root. Это катастрофические ошибки, если такое находят. + К таким ошибкам нужно писать эксплоит для их использования на практике. Зачастую когда говорят о локальном руте, подразумевают потенциальную техническую возможность написать эксплоит. Эксплоит не ко всем дырам пишут, его порой написать очень не просто. Вот, за последнее время могу припомнить 2 локальных рута в новейших ядрах Linux с эксплоитами + несколько без эксплоитов (баг в иксах, например). Ещё недавно в BSD нашли local root, но эксплоита не было.

Для поделок, которые пишут коммерческие конторки под винду, ответ не знаю. Но доверия у меня к ним нет.


Когда я не знаю, что находится в исходных кодах WM Keeper Light, я могу ожидать от производителей всего что угодно.
Они наверняка вделали механизмы проверки существования других WM Keeper Light.


Нет. Возможно, оно требует Java Script.


Не... лайту проломиться будет сложнее. Фактически Light – это просто авторизация на сайте, которая идёт через стандартный указанный в браузере прокси. Ставьте файефокс поновее, следите за рассылкой об ошибках в нём, везде ставите localhost:8118, запускаете privoxy+tor, настроив их, и вперёд. Я думаю, что здесь как раз не опасно.

И ещё обязательно: (!!!!)
Не забудьте, что лазить на WM через tor и privoxy можно только из под специального браузера под специальным юзером, который для других целей не используется. Иначе первый же посторонний сайт (открываемый вами не через тор), и подкупленный WM, получив ваши кукисы, с которыми вы лазили на WM, поймёт кто вы.


Вообще, я плохо в компьютерах разбираюсь... Но насколько я себе представлял, wmvare осуществляет полную виртуализацию – это не эмулятор. Фактически, это 2 разных машины физически на одной сетевой. Может быть, теоретически и можно... определить. Я просто не знаю, можно ли под wmvare съэмулировать отличный от запущенного на основной машине мак-адрес.


Вы видели как показательно устраивают облавы для травли народа? О какой здесь честности может идти речь, если приедут мусора и скрутят ему лапы... [После этого они сами могут получить уже контроль за сервером и начать вести логи :)].


А с каких это пор у нас выход с телефона стал более анонимным? :)))


Эх.. ссылочку бы... И подробности о том, как они технически снимают данные оперативки, а также стоимость этого эксперимента...

Даже не пытайтесь так же сделать с WM Keeper Classic, т.к. как он раскроет ваш реальный IP

FreeCap не умеет его соксифицировать? Слышал, что у ProxyCap хорошо получается. Попытатся почему нельзя? Можно файерволломом запретить напрямую лезть.

Дело может быть не в определении источника запроса при обращении программы к серверу. Любое ПО, исполняемое на стороне клиента, в нашем случае WM-клиент, может непосредственно определить текущий IP-адрес машины и передать его в протоколе связи с сервером WM. К слову, протокол WM где-нибудь опубликован?

Любое ПО, исполняемое на стороне клиента, в нашем случае WM-клиент, может непосредственно определить текущий IP-адрес машины и передать его в протоколе связи с сервером WM

А если WM-клиент запустить на виртуальной машине, которую пускать в сеть только через Tor?

Логично предположить, что клиент получит IP виртуального сетевого интерфейса. Не представляю, каким образом он может определить, что запущен в среде виртуальной машины. Никаких доводов в пользу этого предположения пока не было приведено.

Как правильно сказал SATtva, клиент просто определяет локальный IP и передает на сервер. Даже при попытке соксифицировать, он лезет напрямую.

))) И он не будет работать.

См. выше.

Теоретически нет, т.к. работа происходит через браузер. Естесственно необходимо чистить cookies, и т.д. Хотя полностью полагаться я бы не стал.


Скорее всего, он вычисляет что-то вроде аппаратного идентификатора. К слову, писал одну прогу с привязкой к серийнику харда. Прога считывала из HDD этот серийник, не номер тома, а идентификатор, который прошивается в девайс при изготовлении и указан на его этикетке. У обычных винтов он выглядит примерно так 3JXAAK88. Ради интереса запустил на VMWare, там серийник 00000000000000000001, т.е. специфический.
С остальным железом, скорее всего также.


Поставь свой VPN сервер. Даже видел в сети подробные мануалы.
Конечно, логи может вести датацентр, но полной безопасности и не бывает...

Видел на одном форуме сотруднегов правоохранительных органов обсуждение следующего инцендента. СБ одной фирмы не могла поймать человека, который их шантажировал через Интернет. Подробности СБ не раскрывала, в органы обращаться не стала, хотела поймать своими силами. У них был выход на сотовых операторов, все необходимое оборудование. Человек выходил с левого мобильника, периодически менял симки, из разных мест и на короткое время.

Нет, у них закрытый протокол, даже алгоритм шифрования свой, как ими утверждается, подобный RSA.


Если нет перс. аттестата, то счет скорее всего, залочат, когда сумма превысит 300$. Бывали случаи, когда лочили и с меньшими суммами. С аттестатом ситуация лучше, но все равно залочат при малейшем подозрении или по желанию левой пятки... Логика саппорта при этом железная: если человеку нечего скрывать, зачем ему юзать кипер под виртуальной машиной? Еще раз говорю, они 100% знают, когда Keeper Classic запущен под виртуалкой. Вобще, вебмани испортилось в последнее время.

Есть ли устойчивые виртуалки с открытыми исходниками?

Для переписки хорошо использовать не подключённую к сети машину + gnupg + ramdrive – swap.

особенно сильные оппоненты помещают быстро вынутую оперативную память в криостат с жидким азотом

Значит надо ставить сервер с автономным питанием в отдельное помещение и подключать к нему детектор присутствия/движения, который будет запускать программу многократного стирания памяти. ;-)

А ещё лучше приводить в действие взрывное устройство... ;-))

...который будет запускать программу многократного стирания памяти. ;-)

Это не поможет. Не надо изначально допускать появления в аппаратуре таких остаточных явлений.

А ещё лучше приводить в действие взрывное устройство... ;-))

И это скорее всего не поможет: Вы уверены, что взрыв распылит микросхему? Разумнее сжигать её сильной кислотой.

Вообще, не верю что это нельзя обойти.
Конечно, стравнивать BSD с виндой как-то коряво... но тем не менее:

Пользуясь выводом dmesg:
wd0 at atabus0 drive 0: <WDC AC24300L>
я получу серийник? AC24300L – это он?
На крайняк можно запретить смотреть dmesg.
Схожие механизмы должны быть и в винде.
А напрямую обращаться к аппаратуре ни у какой сторонней программы прав нет.
В любом случае, я не вижу принципиальных причин как можно отличить виртуалку.

+ все эти разговоры крайне бессмысленны, ибо доверять в таких вещах какому-то там бинарю – последнее дело. Чем стандартная процедура работы через Keeper Light не устравивает?! (В случае Keeper Light они уж точно ничего не смогут левого определить – здесь всё настраивается через браузер). Или тот факт, что юзер не юзает винду, а потому не может использовать keeper classic – тоже подозрителен и достаточен для заморозки счёта?

ввиду отсутствия дополнительных средств можно и такой, облегчённой версией защиты пользоваться: хранить ключ для расшифровки раздела на флэшке, а флэшку хранить где-нибудь очень далеко, например, дома у друзей... Вы принесли флэшку, смонтировали разделы, и залочили экран. Всё. Можете месяцами не откоючать питание и не перезагружать машину (обычно этого и не требуется). А флэшку отнесёте обратно друзьям. Рспараллеливание в содержании носителей информации существенно усложняет дело для "оппонента".

Это эквивалентно хранению всей информации на домашнем компьютере. А поднятие сервиса для всех, в надежде что это запутает дело, ничего существенного не даст в плане безопасности. И кто вообще сказал, что VPN-сервер можно зарегать без паспорта? Или создавать поддельную фирму, основной целью которой будет <...>

Имхо это всё не тот подход. Это запутывание, которое лишь линейно усложняет процесс распутывания. Серьёзно возьмутся – найдут. А если не будут искать, то зачем вообще всё это нужно.

Я вот недавно пришёл к выводу, что уязвимость плана тайминг атак реальна по техсредствам в наше время, а особенно она реальна, если за вами следят (например, как вы выходите на нужный почтовый сервер). Отсюда мораль: единственной приемлемой схемой является тор-мыло, с гейтом в обычную сеть, и посыл на этот тор-мэйл через maxonion какой-нибудь... В частности, обдумывая процесс поимки того чела, который банк москвы взрывами шантажировал (сам он из кисловодска был, что ли...), реально предположить что его вычислили по тайминг-атакам. На что-то похожее наводит мысль и новости по поводу убийства Козлова: там некто опечалился по поводу "утечки" того как ловят – регистрируют все телефонные звонки с места происшествия в окрестности времени происшествия... а потом очерчивают круг подозреваемых. Интересно, они по умолчанию только логи кто куда звонил пишут, или и содержание всех разговоров? :)

Нет, не так. Для того, чтобы узнать локальный айпи-адрес, в сеть вообще не нужно ходить :)
Нужно, чтобы прграмме были доступны для чтения соответствующие настройки. Локальный айпи можно узнать по выводу ifconfig или почитав конфиги типа /etc/rc.conf, что по умолчанию всем пользователям доступно. А потом узнанный айпи можно по всем правила через соксифицированный протокол передать на сервер webmoney. Стоит, правда, заметить, что сама по себе информация о локальном айпи мало что даст, ибо почти у всех он не реальный. С другой стороны, оппонент, вычисляя пользователя, и отрабатывая уже конкретные организации, которые потенциально могли бы предоставлять ему доступ в сеть, может существенно упростить себе задачу, зная локальный айпи (в каждой организации можно будет проверить только один компьютер, если вообще имеется таковой с указанным локальным айпи-адресом).

вроде бы есть.