Какие данные о моем реальном железе знает VirtualBox?
Всем привет. Касательно своего вопроса я много информации прочитал, много мнений послушал + с разрабами тоже пообщался, но все же решил послушать спецов в этом деле. Лишним не будет точно!
Есть ноутбук. На котором стоит в качестве хоста kali linux. В качестве гостевой стоит whonix на virtualbox.
Вопрос следующий:
Может ли какой сайт или софт, определить уникальные идентификаторы моего реального железа, если я сижу с whonix и соответственно как-то связать хост с whonix тем самым установить что это один компьютер.
(про мак-адресс можно не писать)
комментариев: 271 документов: 0 редакций: 0
Так эмпирическим способом не пробовали? В Whonix как и в Tails два браузера. Вы чем любите пользоваться? Если ТВ, то зайдите на сайт типа whoer.net c отключенным noscript, и посмотрите что определится. Есть в инете ресурсы со сканерами, есть wireshark (с последним конечно нужно уметь обращаться).
А можно прочитать здесь и на сайте whonix, что вирт машина не дает 100% защиты.
Warning
# Информация о железе
$ lspci
# Расширенная информация не предоставляется
$ sudo lshw
# Ежели совсем скучно, то
$ dmesg
комментариев: 18 документов: 2 редакций: 1
100% защиты ничего не дает, но интересно, есть ли какие данные по которым можно связать два "якобы" разных пк..
комментариев: 18 документов: 2 редакций: 1
комментариев: 18 документов: 2 редакций: 1
комментариев: 450 документов: 10 редакций: 13
Кстати, чтоб выудить всё, что можно, нужно запускать такие тулзы от рута с максимальным уровнем вербосити. Если PCI-карточка проброшена в гостевую систему как есть, на этом уровне вербосити пишется марка, прозиводитель и даже название фирмы, производившей ноутбук (видимо, PCI-карта делалась специально под это железо). Теоретически некоторые PCI-карты могут содержать уникальные ID, поэтому с каждым железом надо разбираться отдельно. Однако, без рута в гостевой системе даже эту информацию о железе не получить. Ещё на hdparm рекомендую посмотреть.
Вообще ничто не даёт 100%-ой защиты, даже air gap (тем более, виртуалки).
Социнжиниринг, коррреляция по трафику, корреляция по отклонению в системном времени, по загрузке процессора и его типу, по схожим конфигурациям обеих систем, схожим их настройкам и конфигам... теоретический список длинный, но к делу его обычно не пришьёшь. Самый реальный способ – ошибки в настройках и конфигурировании, когда, к примеру, в гостевую систему может утекать реальный IP или MAC хостовой системы.
Придётся смириться. Процессор – единственное, что гостевым ОС, как правило, известно. Уникального ID у них нет (после скандальной истории с Pentium III побоялись возвращать серийник процессору). Некоторые VM скрывают тип проца в том смысле, что его не посмотреть в настройках, однако, по косвенным наблюдениям марка процессора всё равно может быть выяснена.
Если скрыть процессор – единственная цель такой смены, то, имхо, не стоит.
комментариев: 18 документов: 2 редакций: 1
комментариев: 271 документов: 0 редакций: 0
Так вы на один и тот же ресурс заходите одновременно с хоста и с гостя?
Что за программы вы используете в Whonix, что они могут передавать на сторону индентификационные данные?
Может на большую часть ваших вопросов вы можете найти по вышеуказанной ссылке "Warning"?
Здесь есть 6-я строчка:
"none advanced x86 compatible"
Суть описана здесь
Ну или Qubes. Правда приготовте пачку денег на железо.
"root@host:/home/user# lshw
Could not find the database of available applications, run update-command-not-found as root to fix this
lshw: command not found
root@host:/home/user#"
Я ж и говорю:
Что там в Whonix нагородили не в курсе.
Так какое же приложение должно передать такие данные в сеть?
комментариев: 450 документов: 10 редакций: 13
Изменение CPUID для виртуальных машин под управлением VirtualBox
Virtualbox, how to force a specific CPU to the guest.
Помимо CPUID, VirtualBox по умолчанию передает (можно отключить) гостевой системе ACPI хоста, в этом случае, к примеру, уровень заряда батареи можно будет читать из гостевого браузера.
комментариев: 271 документов: 0 редакций: 0
ТВ имеет такие уязвимости? Каждое приложение в Whonix ходит через свой порт, что видно из torrc. Даже если будет возможность влезть в ТВ, то информация о системе будет очень скудной и однобокой. И да конечно нужно отдавать себе отчет, что эта система не "Амнезия" как Tails (о чем есть предупреждение на оф сайте).
комментариев: 450 документов: 10 редакций: 13
ФБРовский троян с встроенным локальным рутом, подцепляемым из бразуера при заходе на нужную страницу – так сойдёт?
Явный, но не уникальный. Ну увидит противник, что у вас Intel i5 или Intel i7. Дальше-то что? Таких процессоров миллион, стоят на самом разном железе, на самых разных ноутбуках. Насколько эта информация уникальна?
Это в Whonix так? Возможно, дело в AppArmor. УМВР.
TB имеет обширный список уязвимостей, как и любой firefox. Виртуалка используется для нейтрализации этих уязвимостей. Смотреть надо не на то, что TB может, а на то, что сможет сделать исполнение произвольного кода с правами того пользователя, от которого запускается TB (а там ещё и локальный рут может быть).
Аменизийность всегда можно настроить сторонними средствами, которые будут запускать систему каждый раз с одного и того же чистого образа (время от времени обновляемого безопасным образом).
комментариев: 271 документов: 0 редакций: 0
И этот код в браузере будет исполнен на 100%? Или речь все-таки о целевой атаке?
Ну да. Так ведь ТС упоминает о Whonix.
Так то оно так, но "предохраняться" нужно и никто не отменял NoScript.
С 13 версии идет контроль установленных сторонних приложений в систему. Но это конечно не значит что ничего устанавливать туда нельзя. Каждый сам себе пусть определит что ему нужно.
комментариев: 18 документов: 2 редакций: 1
У меня еще при исполнении LSHW выдает какой то номер непонятный, serial: 0002-0652-0000-0000-0000-0000. Якобы какой то сериал, хотя это не серийник моего corei5. И интел вообще не знают ничего про этот номер, и говорят что к процу он не имеет отношения. Тогда почему в whonix я его вижу? а на хосте например нет.
комментариев: 18 документов: 2 редакций: 1
комментариев: 18 документов: 2 редакций: 1
product: Intel® Core i3 CPU 540 @ 3.07GHz
vendor: Intel Corp.
physical id: 4
bus info: cpu@0
version: 6.5.2
serial: 0002-0652-0000-0000-0000-0000
slot: LGA1156
size: 3066MHz
capacity: 3800MHz
width: 64 bits
clock: 133MHz
комментариев: 271 документов: 0 редакций: 0
В Whonix эта команда не запускается в штатных условиях
А вы на хосте для какой цели ее запускали? Для интереса? )