Какой бы ОС вы доверили свой Tor ?
[i]Вроде бы такого обсуждения в явном виде на форуме еще не было, поэтому просьба к администрации организовать опрос на эту тему. Или если не получится, то просто обсудить эту тему в этом топике.[/i]
Итак, если вы всерьез хотите использовать Tor для своей деятельности и при этом не напороться на уязвимости и бреши в виде множества неизвестных факторов, как то Java-скрипты, куки, хистори и многое другое, то какой бы ОС вы доверили свой Tor?
Сразу хочу исключить из обсуждения "форточки", которые, как известно, представляют одну собой одну сплошную дыру и предназначены для слежения за пользователями, и Android при всех его прелестях.
Также исключу Ubuntu и прочие скороспелки, в которых не уделяется должного внимания информационной защищенности.
И поскольку мы русские люди, то в избранной ОС должны быть решены проблемы с кирилизацией (или по крайней мере, легко решаться пользователем).
Также любопытно было бы обсудить какой браузер, почтовый клиент (или почтовый сервис) и мессенжер вы сочли бы самым подходящим в рамках выбранной ОС (с точки зрения максимальной безопасности, разумеется).
PS. ОС, разумеется, устанавливается на отдельный компьютер с минимальным набором прикладных программ, т.е. только тех, которые вам действительно необходимы для информационного обмена с Intenet.
Рискну "огласить не весь список" ОС, которые могли бы претендовать на роль самой безопасной ОС в тандеме с Tor. Порядок перечисления произволен и ни о чем не говорит.
FreeBSD
OpenBSD
Debian
Slackware
Anonym.OS
CentOS
Scientific Linux
Gentoo
......
[link2] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
[link3] http://www.pgpru.com/comment43392
[link4] https://www.linux.org.ru/news/bsd/8354980?cid=8407429
[link5] http://www.pgpru.com/comment48145
[link6] http://www.pgpru.com/oprosy
[link7] http://www.pgpru.com/comment53513
[link8] http://www.pgpru.com/forum/politikapravorealjnyjjmir/zhukvnoutbukah
[link9] http://www.pgpru.com/comment54151
[link10] http://www.pgpru.com/forum/prakticheskajabezopasnostj/vmvnutrivm
[link11] http://www.pgpru.com/comment50109
[link12] http://www.pgpru.com/comment10717
[link13] http://www.pgpru.com/comment31177
[link14] http://www.pgpru.com/comment53184
[link15] http://www.pgpru.com/comment38597
[link16] http://www.pgpru.com/novosti/2011/vtorbrowserpomeschenaeksperimentaljnajazaschitaotserjjoznojjstatisticheskojjataki
[link17] http://www.pgpru.com/comment36703
[link18] https://threatpost.com/en_us/blogs/side-channel-attack-steals-crypto-key-co-located-virtual-machines-110512
[link19] http://www.cs.unc.edu/~reiter/papers/2012/CCS.pdf
[link20] http://www.pgpru.com/comment51610
[link21] https://en.wikipedia.org/wiki/Comparison_of_platform_virtual_machines
[link22] https://www.linux.com/news/enterprise/systems-management/327628-kvm-or-xen-choosing-a-virtualization-platform
[link23] http://iopscience.iop.org/1742-6596/219/4/042005/pdf/1742-6596_219_4_042005.pdf
[link24] http://lurkmore.to/Русские_физики_выбирают_Slackware
[link25] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija
[link26] https://blog.torproject.org/blog/new-tor-browser-bundles-and-tor-0247-alpha-packages-available#comments
[link27] https://trac.torproject.org/projects/tor/ticket/5261
[i]Вроде бы такого обсуждения в явном виде на форуме еще не было, поэтому просьба к администрации организовать опрос на эту тему. Или если не получится, то просто обсудить эту тему в этом топике.[/i]
Итак, если вы всерьез хотите использовать Tor для своей деятельности и при этом не напороться на уязвимости и бреши в виде множества неизвестных факторов, как то Java-скрипты, куки, хистори и многое другое, то какой бы ОС вы доверили свой Tor?
Сразу хочу исключить из обсуждения "форточки", которые, как известно, представляют одну собой одну сплошную дыру и предназначены для слежения за пользователями, и Android при всех его прелестях.
Также исключу Ubuntu и прочие скороспелки, в которых не уделяется должного внимания информационной защищенности.
И поскольку мы русские люди, то в избранной ОС должны быть решены проблемы с кирилизацией (или по крайней мере, легко решаться пользователем).
Также любопытно было бы обсудить какой браузер, почтовый клиент (или почтовый сервис) и мессенжер вы сочли бы самым подходящим в рамках выбранной ОС (с точки зрения максимальной безопасности, разумеется).
PS. ОС, разумеется, устанавливается на отдельный компьютер с минимальным набором прикладных программ, т.е. только тех, которые вам действительно необходимы для информационного обмена с Intenet.
Рискну "огласить не весь список" ОС, которые могли бы претендовать на роль самой безопасной ОС в тандеме с Tor. Порядок перечисления произволен и ни о чем не говорит.
FreeBSD
OpenBSD
Debian
Slackware
Anonym.OS
CentOS
Scientific Linux
Gentoo
......
Ссылки
[link1] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix
[link2] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
[link3] http://www.pgpru.com/comment43392
[link4] https://www.linux.org.ru/news/bsd/8354980?cid=8407429
[link5] http://www.pgpru.com/comment48145
[link6] http://www.pgpru.com/oprosy
[link7] http://www.pgpru.com/comment53513
[link8] http://www.pgpru.com/forum/politikapravorealjnyjjmir/zhukvnoutbukah
[link9] http://www.pgpru.com/comment54151
[link10] http://www.pgpru.com/forum/prakticheskajabezopasnostj/vmvnutrivm
[link11] http://www.pgpru.com/comment50109
[link12] http://www.pgpru.com/comment10717
[link13] http://www.pgpru.com/comment31177
[link14] http://www.pgpru.com/comment53184
[link15] http://www.pgpru.com/comment38597
[link16] http://www.pgpru.com/novosti/2011/vtorbrowserpomeschenaeksperimentaljnajazaschitaotserjjoznojjstatisticheskojjataki
[link17] http://www.pgpru.com/comment36703
[link18] https://threatpost.com/en_us/blogs/side-channel-attack-steals-crypto-key-co-located-virtual-machines-110512
[link19] http://www.cs.unc.edu/~reiter/papers/2012/CCS.pdf
[link20] http://www.pgpru.com/comment51610
[link21] https://en.wikipedia.org/wiki/Comparison_of_platform_virtual_machines
[link22] https://www.linux.com/news/enterprise/systems-management/327628-kvm-or-xen-choosing-a-virtualization-platform
[link23] http://iopscience.iop.org/1742-6596/219/4/042005/pdf/1742-6596_219_4_042005.pdf
[link24] http://lurkmore.to/Русские_физики_выбирают_Slackware
[link25] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija
[link26] https://blog.torproject.org/blog/new-tor-browser-bundles-and-tor-0247-alpha-packages-available#comments
[link27] https://trac.torproject.org/projects/tor/ticket/5261
Всё зависит не от ОС, а от знаний, умений и степени параноидальности её пользователя:)
Блин, ну зачем же сразу гадить в тему, распыляя её на другие? Вопрос задан специалистам, которые без лишних напоминаний подразумевают условие "При всех прочих равных условиях".
Если единственное требование — надёжная/безопасная ОС и на функционал пофиг, то:
В смысле, в какой системе запускать сам демон Tor'а? В OpenBSD. Замечу, она не обязана совпадать с ОС, из-под которой этот Tor будет использоваться. Кириллизируется (хотя зачем вам там это?) OpenBSD на ура.
TBBTBBЛюбой, который нормально работает под Tor и держит HTTPSJabber в HS Tor или torchat.
Это всё про «с точки зрения максимальной безопасности». Топик ни о чём, т.к. есть много разных задач, начиная от тех, которые требуют идентификации и ФИО, и кончая анонимностью разных градаций. Под каждую задачу можно было бы выделить свой компьютер или виртуалку со своими настройками.
Ответ выше — про максимальный уровень безопасности, причём и так уже самого защищённого звена. Подробнее раскрывалось здесь[link1] и здесь[link2].
Это понятно, но в целях экономии своих финансов (домашнее использование) хотелось бы иметь "Все в одном", т.е. и Tor-демон, и пользовательская среда с Иксами, браузером, почтой и прочим коммуникационным зоопарком – всё на одном компьютере (если, конечно, это хотение не противоречит и не уменьшает безопасность).
Про OpenBSD знаю, лет 10 тому назад один раз даже устанавливал поиграться, но потом охладел – уже тогда тогдашний Линукс для моих предпочтений оказался дружественнее :)
А потом еще наткнулся наткнулся на этот обесураживающий обзор http://www.xakep.ru/post/54331/default.asp и охладел еще больше.
Кстати, это не первая подобная статья на эту тему, но верить ей или нет – до сих пор непонятно, поэтому хотелось бы услышать оценки и другим возможным кандидатам на роль безопасной ОС для Tor.
Наивные уловки Гугла и Мейл.ру типа "Укажите свой номер тилефона, чтобы случайно не потерять ваш драгоценный акаунт" ничего, кроме ухмылки не вызывает :)
Вы правы, поэтому уточню – для задач «с точки зрения максимальной безопасности», т.е. не требующих какой-либо идентификации и раскрываемости себя (номер сотового телефона, ФИО и т.д.).
Сорри, ошибся при отправке: предложение "Наивные уловки..." должно идти за предложением "... ФИО и т.д.).
Тогда виртуализация: Tor на host OS или какой-то из гостевых + отдельная гостевая для его использования.
Эта новость и здесь обсуждалась[link3]. Скорее всего, это обычный вброс. Про OpenBSD имелось в виду, что лично я, субъективно, оцениваю вероятность найти в ней 0day local root меньше, чем в ядре Linux и других BSD. По крайней мере, я видел вживую штуки 3-4 рабочих local root для ядра Linux, и ни одного для OpenBSD.
Сравнение не совсем корректное, т.к. более популярные ОС привлекают большее внимание и хакеров, желающих покопаться в их коде, и мотивацию для этого. С другой стороны, более популярные ОС быстро развиваются, туда коммитится масса кода, и приоритет — не безопасность, а фичи. Где-то Linus даже явно сказал, что «у нас никогда не было цели сделать Linux самой безопасной ОС, мы лишь хотели сделать систему, которая будет достаточно безопасной», т.е. за нишу «самых безопасных» они даже не борятся. Можно говорить и о процессе разработки, аудите патчей, подписи базы данных (коммиты в ядро OpenBSD поди до сих пор не подписываются?). Выборка ОСей очень мала, чтобы о чём-то говорить: все ОС находятся в сильно разном положении, из-за чего их прямое сравнение становится бессмысленным. Ну, и сравнивать между собой дистрибутивы Linux — это уже совсем глупость, ядра-то везде одни и те же, а всё остальное — как настроите под себя (монстров типа «Linux для домохозяек» пока оставим в стороне).
Если вести речь об ОС, где Tor будет использоваться, то тут все ОС (Linux/BSD) достаточно хороши при нормальном подходе. В итоге всё будет определяться конкретными пожеланиями пользователя (т.е. какой функционал ему нужен) и тем, в чём у него уже есть опыт. Linux'оиды и сами придерживаются примерно такого же[link4] мнения:
© CRUX vs NetBSD
Виртуализация? Ну что вы! Достаточно начитался ужасов о ней вроде этого – http://www.xakep.ru/post/59334/
Если даже эта или иная оценка безопасности виртуальных систем некорректна, то все равно лучше от нее держаться подальше, имхо.
Поэтому давайте дальше уж придерживаться начальной концепции – "Tor на отдельном настоящей физическом компьютере".
А что там говорят линуксоиды... но не о применимости же ОСей к Тору они примеряются?
Уже в третий раз, что ли, повторюсь: функционал – минимальный: браузер, почта, мессенжер – всё! Т.е. – "Всё для фронта, всё для победы", т.е. – для безопасности.
Хорошо, пусть так. Тогда для ясности приведу такой: на старте находятся Формула-1, Мерседес, Москвич, Запорожец и гусеничный трактор ХТЗ. Они разные и сравнивать их нельзя? Оооооо... Но все равно, несмотря на такую их "разность", к финишу кто придет кто-то первый, а кто-то последний. Понимаете, к чему я? :)
Там уловки из-за юзерофильности, не имеющие никакого отношения к ошибкам в виртуалке. Вы почитайте сами-то свою же ссылку:
Т.е. за такое надо убивать сразу. Какое ещё «управление виртуалкой из браузера»?! Это для секретуток делают в фирмах, которые принимают заказы «клиентов», а мозги куринные. Управление всем — только с консоли.
Поставьте себе Xen. Или Qubes — вроде неплохой выбор для параноика без особой квалификации :)
Даже в этом случае виртуалки лучше, из-за вот этого[link5]. Понимаете, виртуалка — это очень удобно, можно ни о чём не думать. Легко откатывать конфигурацию к чистой предыдущей, создавать новые машины под новые задачи... А если у вас на отдельной машине уязвимость и инфа о железе утекла, то она утекла. Т.е. противник, знающий информацию о вашем железе, прийдя к вам по обратному адресу легко докажет, что железо — именно то. А в виртуалке (и на шифрованной файловой системе) такого не было бы. Заметьте, что хороший дизайн системы безопасности подразумевает, что там должны быть предусмотрены страховки на случай, если не попрёт, аудит происходящего, обнаружение попыток взлома и т.д.
Чисто гипотетически можно себе вообразить, что за несколько миллиардов $ и n лет работы коллектив из тысяч человек скурпулёзно проверит каждую строку кода в каждой из ОС и сделает выводы, где ошибок больше, но даже в этом случае остаётся вероятность что-то упустить. Более того, даже формальное число уязвимостей в системе само по себе мало что даст: на защищённость в реале, а не в теории, влияют и другие факторы, как типа «захочет ли противник ради вас одного искать ошибки в какой-то экзотической ОС?». Если вы — не цель, противнику проще разработать решение и подключить массовый взлом или деанон юзеров Linux, чем изучать, допустим, код OpenBSD, чтобы отловить 0.000009% пользователей. И нападение, и защита — прежде всего экономика, а потом уже всё остальное. Короче, «нет гарантий, есть одни вероятности».
Обычно ломают через браузер или другой прикладной софт, вот его и надо подпирать костылями типа запихиваний в виртуалки, настроек firewall'а и т.п.
Создайте[link6] сами, только вопрос сформулируйте корректно. Но, как верно отметили в первых комментариях, дело столько в ОС, сколько в навыках и наличии мозга у пользователя.
Спасибо за убедительные доводы. По крайней мере, благодаря виртуализации необходимость в отдельном физическом компьютере ради пущей безопасности отпадает – правильно я понял?
Если да, то вы мне экономите целый компьютер :)
Сам, кстати, подумывал, что в физическом компьютере есть множество деанонимизирующих признаков – характеристики системы в целом, серийный номер винчестера, серийные номера материнки и даже памяти.
Не говоря уже за серийник процессора, из-за которого в своё время был вселенский шкандаль, и потом в BIOS ввели фичу отключения его отсылки, но кто его знает, работает ли она везде как заявлено, или это бутафория для доверчивых юзеров. И кстати, если даже отключает, то видимо, нелья исключать, что какая-то скрытая фича, встроенная в некую ОС, считывает его напрямую, минуя BIOS.
Виртуалками пользуюсь давно. На серверах – Xen, правда, недавно Red Hat уже "забила" на него в пользу KVM. На домашнем компьютере – VirtualBox для всяких экспериментов ввиду удобства его пользовательского интерфейса.
Что скажете насчет VirtualBox с точки зрения безопасности – стоит или ему довериться для рассматриваемой задачи или лучше использовать Xen/KVM? Поскольку на домашнем компьютере и так используется VirtualBox, поэтому не хотелось бы городить зоопарк виртуалок.
Иными словами, нет смысла заморачиваться с OpenBSD и ограничиться, скажем, привычным для меня ЦентОСом?
Если он для Вас привычней, то при его настройке (отключении лишних служб, конфигурации требуемых) допустите меньше ошибок. Несомненно, это плюс.
Не совсем понял, в чем плюс – в ЦентОСе?
В навыках. Перечитайте диалог.
Хорошо. Еще вопрос: какую среду порекомендуете для этой задачи как наиболее безопасную – Gnome, XFCE и мн.др.?
И почему-то никто не обратил внимание на Anonym.OS LiveCD, которая специально создана для целей использования Tor, "прикидывается" как XP и т.д.. К тому же основана на той же OpenBSD.
Сугубо теоретически, ОС, запущенная в виртуализации на другой машине, будет безопасней (а вдруг[link7] ошибока в гипервизоре?). Но, чтобы отлавливать такие крохи в системе, нужно быть с UNIX уже совсем на ты. Впрочем, ошибка в гипервизоре — это очень жестоко :)
Почитайте комменты к этой[link8] страшилке. Кстати, это ещё один аргумент в пользу того, чтобы процессы, требующие анонимности, были запущены на отдельной физической машине — исходящий трафик можно будет контролировать на внешнем рутере.
KVM — не настоящий[link9].
Только Xen. Только паравиртуализация.Кто поддерживает KVM кроме Linux'а? Если захочется поменять какую-то из гостевых ОС, прийдётся мигрировать на Xen? Всё-таки domU-ядра уже есть под многие UNIX'ы, да и dom0 имеется не только для Linux.Я считаю оптимальной стратегию выбрать один универсальный мощный виртуализатор, возможностей которого хватит для решения всех задач, изучить его, настроить и пользоваться, а не держать у себя зоопарк, в каждом животном которого понимаешь мало. Лично я предпочитаю Xen в силу его малого оверхеда (последнее жаркое обсуждение было тут[link10]), наличия паравиртуализации и domU-ядер для мне интересных ОС. OpenBSD вы под Xen запустите, только если процессор поддерживает виртуализацию хардварно (domU-ядра под OpenBSD нет), но таких процов сейчас не мало.
Всё остальное — вообще не гипервизоры, а так... поиграться. Если хочется крутить под виртуалкой что-то нагруженное и серьёзное, надо и инструмент выбирать соответствующий (всё, что не Xen/KVM отметается сразу [личное имхо]).
+1
Любой удобный легковесный оконный менеджер. Пусть хоть OpenBox или другой подобный. Тайловые (ion3 и т.п.) лучше не использовать, т.к. противник под TBB утянет разрешение экрана (а так — только разрешение окна, которое в нетайловых WM не совпадает с разрешением экрана). Точнее, дело не в совпадении разрешений, а в тесной взаимосвязи. В общем, окно TBB надо время от времени рескейлить как-то :)
Когда будете настраивать $HOME для анонимного юзера, учтите, что совпадение настроек оконного менеджера, шелла и все остального между вашим анонимным и неанонимным пользователем — одна из утечек; и зловредный код, получивший привелегии вашего анонимного пользователя, может слить их и сопоставить с настройками неанонимного (есть масса способов слить настройки с неанонимного и незащищённого профиля). Если вы где-то публиковали свои конфиги в сети неанонимно, учтите это.
Разве она ещё поддерживается? Если обращаться к LiveCD-решениям, лучше брать те, которые поддерживаются самим Tor Project'ом (например, Tails). Впрочем, виртуалки, настроенные со знанием дела, будут получше Tails (как он защитит вас от утечек инфы о железе, например?).
А почему вы так хорошо разбираетесь в этих вопросах и всего лишь гость? :)
Насчет страшилок... я еще и не такие читал, как, например, наш человек игрался с китайскими материнками и ТАКОГО ТАМ ПОНАХОДИЛ ЗАГАДОЧНОГО, ЧТО ВОЛОСЫ ДЫБОМ ВСТАЛИ! (жаль, ссылку потерял)
Кстати, Intel вроде такой фигней как встраивание жуков в биосы и чипы не занимается, по крайней мере за этим пока не поймана.
Но лично я не верю в благородство производителей, потому что иметь в руках такие коллосальные и труднозамечаемые возможности вшивать шпионские модули как в кремний, так и софт, еще даже на уровне компиляторов и не использовать их – надо быть круглым идиотом.
Поэтому да, пытаюсь тут изобразить из себя искателя оптимальной среды для Tor, но иногда посмотришь на себя со стороны с учетом вышесказанного – и самому смешно становится :)
Вернее, становится не до смеха.
Насчет VirtualBox, как я понял, это несерьезно?
С KVM еще не работал, хватало Xen. Но если придерживаться использования CentOS, то нехотя приходится учитывать, что RH надоело заниматься трудоемкой адаптацией ванильного кода Xen под свою RHEL, и она взяла курс на более удобную для нее KVM.
Насколько понял, ей так удобнее, но это в ущерб полноценному виртуализатору?
Anonym.OS LiveCD, конечно, едва родившись, заглохла по неизвестным причинам (будем надеяться, что только из-за банальной лени, а не наезда "Больших Братьев"). Но нацеленность самого проекта довольно любопытна, и поскольку аналогов вроде нет, то может ее возможности и до сих пор удовлетворяют запросам неискушенного торовца?
Не расстраивайтесь, тов. майор :)
Не переживайте, всё запротоколировано и отвечено[link11].
Хотя по последней ссылке и написановсё же есть мнение, что не всё так просто[link12]. Надо понимать, что чем массовее закладка, тем больше вероятность её обнаружения.
/comment31177[link13] :)
Я не работал с VB. Мне достаточно знать того, что он не удовлетворяет условию на минимальный оверхед (а если я HD-видео захочу в VB смотреть или тяжёлые расчёты вести?). Как лучше вам — решать вам, критерии выбора выше уже озвучены.
Ничего не могу сказать. Смотрите, что поддерживается в той версии Xen, которая в RH есть. Если вам этого функционала хватает, то почему бы и нет. Xen был изначально «полноценным», вопрос лишь в количестве поддерживаемых фич в разных его версиях.
Аналогов куча. Самый известный и рекомендуемый — Tails. На любителей есть ещё Liberté (нарекания см. здесь[link14]; и я уже не помню, LiveCD ли он).
Гм! Так если такие есть и даже достаточно юзабельны, то чего я вам всем морочу голову самосборной средой? :)
Пошел знакомиться. Но чувствую, еще вернусь ;)
Выше же написаноСуществующие LiveCD искаропки — другой класс решений, они ряд уязвимостей принципиально выносят за рамки учёта. LiveCD для анонимности, поддерживающих виртуализацию, я не видел ни одного (хотя их можно при желании сделать самому).
Если брать что-то из готового, скорее ближе к цели будет не Tails, а Qubes (см. выше):Он не LiveCD, но построен на основе Xen. Впрочем, говорят, самому Qubes вряд ли собрать[link15].
Да, тоже об этом же подумал, как только увидел всякие там USB-ключики с Tails, и вернулся обратно ;)
Еще подумал, что неплохо бы при каждом сеансе работы автоматически восстанавливать заново ОС из первоначального образа. В этом случае все накопленные в предыдущем сеансе какие-либо изменения в системе или прикладных программах будут отсутствовать.
Еще вспомнился Elinks, Dillo и прочие простые консольные браузеры, которые тем нее менее умеют работать с графикой, если запускать их в Иксах – может для Tor они будут получше, чем FF?
Абсолютно верно. Именно так и надо делать.
Ни в коем случае, это прямая дорога в
адполнейшее профилирование пользователя. TBB и был специально создан из-за того (это форк firefox), что нужен был унифицированный браузер, который ещё бы и имел некие необходимые для анонимности фичи. Когда-то ранее его не было, и firefox работал с расширением torbutton, и это было рекомендуемым. Ещё ранее на это вообще внимания не обращали, лишь бы торифицировалось удачно. Но это всё — история, современность началась с этой[link16] новости (ещё можете про panopticlick[link17] почитать).Блин, и в самом деле, как же это я о нем не подумал. Вроде чтойто соображаю в этой теме, а такие ляпы допускаю :(
Буду повторять про себя как в песне "Надо быть таким как все, как все, как все..." ;)
Не вы ли выше писали, что держите серваки на Xen? Подозреваю, у вас хороший опыт, не новичок, поди.
До момента эксплуатации уязвимости — да, после — наоборот. Если зловред вышел за пределы браузера, подстроиться под «всех» не получится (у каждого свой $HOME и ОС); тут остаётся только следить за «последней милей» — страховкой утечки IP.
Вернее, когда-то держал серваки с Xen, из-за экономии, сейчас уже смог позволить себе физический дедик, с ним все же попроще управляться.
Кстати, небольшой офтоп, сорри – может, кто поделится инвайтом для создания сайтика в onion? Буду премного благодарен :)
Одно дело — получить в управление от хостера готовую ОС в виртуалке (будь то Xen или что иное), и другое дело — настраивать гипервизор, хост ОС и пр. самому.
На freedom hosting? Если создаёте на своей машине onion-сайт, инвайт не нужен.
Да, не на своей, а на freedom.
Свою не хочу светить, мало ли чего...
Именно так и делал :)
А потом оно всё дружно сгорело на одесском дата-центре в марте 2010 года, кажись, после чего я забил и на их дата-центр, и на паравиртуальность и купил нормальный дедик.
так и Tails "прикидывается". причем есть ссылка на оффсайте Тор.
VMWare тоже ерунда?
то скатываемся к банальным вещам: покупаем одноразовый нетбук с одноразовым инетом через подставного бомжа.
запуск в вирт машине. все гениальное просто.
запускайте LiveCD в виртуалке, вот и будет вас каждый раз с 0.
Я даже забеспокоился: 2 страницы обсуждений и ещё ни один кулхацкер не набежал. Иди пасись в другом месте, почитай хакер.ру там или античат, до pgpru ты ещё не дорос.
Конечно. Только идиот будет использовать проприетарный продукт с закрытыми исходниками для критичных к безопасности вещей.
И сам процесс Tor будет под той же виртуалкой. Очень умно, да.
купи себе профи шапку невидимку и спрячься в пещерах на глубине не менее 100 метров, чтобы по излучению твоих мозгов тебя не нашли. там и разовьешь телепатию. пгпру читать научишься без инета.
Не слышали про смену ID железа?
Вообще всего? Так, чтобы имея root-доступ в ОС было нельзя сказать ничего про железо, на котором эта ОС запущена? Нет, не слышал.
И даже если статически сменить параметры, что это даст? Возьмём, к примеру, мак-адрес сетевой — что с ним делать? Перепрошить сетевую? От статической смены одного мака на другой толку мало. Надо, чтобы мак с точки зрения ОС не имел никакого отношения к маку обесточенной машины, и чтобы это жёстко контролировалось. А то забыл чего-то там сменить после загрузки ОС или ОС глюканула — и мак утёк. Т.е. ОС должна сразу грузиться с предустановленным программно маком, но это возможно только в виртуалках. Кстати, подлинный мак зачастую светится в том же dmesg, так что хоть меняй его на лету, хоть не меняй, толку мало.
Бытует расхожее мнение, что сложные схемы в бизнесе не работают. Я бы добавил сюда ещё и загогулины с различными комбинациями при попытке анонимизации.
Может попроще, но понадёжней, не?
А если Вы чего-то не слышали, или не видели, ну погуглите Гугл, например, или пояшите Яндекс.
Как правило, аноним играет белыми и всегда делает ход первым. Остальное зависит от самого анонима.
Литературы, манов и практического опыта на сегодняшний день более чем достаточно, чтобы успешно применять анонимизацию пользователя при выходе в Сеть.
Я не понял, что вы хотели сказать. Уязвимость в firefox ⇒ выполнение произвольного кода с правами пользователя ⇒ скачиваем dmesg и всё остальное ⇒ получаем уникальную информацию о железе или ОС ⇒ отсылаем её себе на подконтрольный сервер. Если потом прийдём в гости к анониму, то изымаем технику и сраниваем её параметры (не только хардварные, но и софтварные, если не шифровалось всё должны образом) с записанными. Во всяком случае, для любого подозреваемого анонима станет возможным доказать, с него ли слили всю ту инфу или нет.
Как раз бизнес из-за этого и придумал всякие голубые, красные и ораньжевые книги, классы защищённости систем и т.п. Как один из основополагающих принципов таких защищённых систем — солома на случай фейла и аудит происходящего. В идеале аудит должен показать атаку уже на уровне одних попыток сломать или деанонимизировать систему. Нормальные бизнес-решения такой аудит и систему реагирования (причём вовремя, а не когда уже поздно) имеют, как и страховки на случай уязвимости. Всегда должен быть "пожарный" план отхода. Собственно, такой системный подход как раз противоположен кулхацкерскому, сплошь состоящему из грязных хаков на лету вида "здесь подалатли, там хакнули, тут вроде заработало, а потом бац и былинный фейл".
Не исключая справедливость эшелонированного подхода к организации защиты, но что если закрыть dmesg для непривилегированных пользователей средствами ядра?
SeLinux? Если не он, то я всегда могу написать код на С, использующий системные вызовы (syscall), чтобы получить нужную мне информацию. Хотя доступно её столько (да ещё и в кучу каталогов пишется), что всё проконтролировать едва ли реально. Кто-то уже написал правила SeLinux для анонимной работы в Linux?
Практические результаты[link18] утечек криптографических ключей в виртуальных средах. Исследование[link19].
Роджер из торпроджекта предлагал заняться написанием таких правил даже с возможностью оплаты от заинтересованных спонсоров, но никого не нашлось.
SELinux — это такая смешная штука. Правила для него написать
невозможносложно, но даже простейшая активация некоторых настроек по умолчанию творит всевозможное малопонятное, недокументированное и плохо описанное волшебство. Полагаться в таком случае на него не стоит, разве что по принципу "лучше, чем ничего", но иногда он показывает нечто забавное и интересное для параноиков.Например, внезапно, все графические программы (запущенные из юзерской гуёвой оболочки, даже если для них не предусмотрено спец. правил SELinux) и порождённые ими процессы видят только свой каталог с настройками /home/username/.prog_name и не могут ничего прочитать из /home/username/another_dir_name, ни записать туда, поскольку весь /home/username кроме своих каталогов для них выглядит пустым. Можно только создать свой каталог в /home/username и туда записывать. Но этот каталог не будет виден другим таким же программам. Или можно видеть только смонтированные в /home/username каталоги с непроставленным или отличающимся от ограничительных значений SELinux контекстом. При этом графические файловые менеджеры как-то успешно работают по всем каталогам. А всякие Торбраузеры, кроме каталога, откуда были запущены, ничего не видят. Как SELinux их различает — непонятно. Магия. Про невозможность выполнить dmesg, ping, sudo, посмотреть /proc я уже и не говорю. Также как и получение привилегий рута ничего из вышеперечисленного не меняет. Рут не может сменить свой контекст и следовательно поменять свои ограничения или отключить SELinux. Он даже ребут выполнить не сможет и будет мало отличаться от простого пользователя.
Чтобы SELinux был анонимным, запрета на чтение каталогов мало. Чтобы всё графически гуйно работало, щёлкало и мышками выделялось, программа должна иметь доступ к иксам.
Например, запускать от себя кейлоггеры событий[link20] для всех окон.Самому TBB, чтобы работать, тоже нужно знать некоторую информацию об ОС и иметь интерфейс взаимодействия с ней. Как много об ОС знает сам TBB? Если в нём будет ошибка, его можно заставить всё это слить. А под той же ОС может работать и неанонимный пользователь. Вот тут и происходит связывание анонимного и неанонимного профилей.Как раз, ввидуя предпочитаю на текущем уровне развития технологий виртуальные машины. По крайней мере, они неломаемы, если нет локальных рутов в используемых системах. Впрочем, одним из самых узких мест остаётся сам Tor: уязвимость в его коде может быть совершенно незаметна; червь, заражающий один Tor-клиент/сервер через другой, может расползтись по всей сети и при этом быть незаметным, никак себя не проявлять, но сливать информацию обо всех посещениях пользователей (через тот же Tor, естественно). Знакомые с дизассемблером люди утверждают, что червь такого рода может очень эффективно скрывать себя, для обычных методов наблюдения за процессом он будет совершенно невидим.
Спасибо. Работа интересная, но атака слишком лабораторная. Они там требуют постоянного выполнения шифровальных операций и говорят, что это не очень реалистичный сценарий для gpg. Тем не менее, при работе с шифрованными протоколами это как раз именно так, но обсуждения применимость их атаки к расшифровке VPN/Tor/SSH-трафика я нигде не нашёл. В качестве ключевой контрмеры можно посоветовать просто не держать одновременно запущенными разные виртуальные машины, смешение контекстов которых действительно критично.
> we would expect it to be mounted only by a sophisticated attack organization such as a nation-state
Вброс от авторов.Сейчас объединения сильных хакеров могут сделать такие атаки, какиеэтим исследователям даже не снилисьпод силу разве что США.Можно еще вопросик в продолжение темы?
Как понял, знатоки здесь в качестве надежного гипервизора для Tor рекомендуют в основном XEN.
Ок, но возникла дилемма – в случае выбора нового CentOS 6.x, Xen уже забросили, вместо него взяли курс на KVM.
И наоборот, в старом CentOS 5.x еще поддерживается XEN. Но эта версия ОС уже несколько старовата, и как в ней обстоит с самим Тором,
непонятно, может оказаться, что для 5.x уже его не поддерживают, и есть только старые версии Tor.
Плиз, дайте толковый совет, какое из двух зол выбрать меньшее для Tor под виртуалкой –
– или CentOS 5.x/XEN,
– или CentOS 6.x/KVM
Толковый совет опирался бы на массу дополнительной информации, которая уже содержала бы в себе однозначный ответ. Например, будет ли в виртуалках жить что-то нелинуксовое? Почему выбор происходит только среди этих двух версий CentOSа, а не чего-либо другого? Тут можно миллион вопросов задать. Концептуальных отличий Xen от KVM скорее нет, чем есть, т.е. при грамотной настройке это всё будет примерно одинаково, но изкоробки Xen предлагает больше свободы и он более универсален, как гипервизор.
Не надо миллион вопросов задавать, иначе запутаемся окончательно.
Давайте вести обсуждение в рамках сказанного, и не более того.
Например, не будет НЕлинуксовое, иначе было бы сказано отдельно.
Система будет исключительно для работы под Tor и ни для чего другого.
Потому что кроме CentOS, ничего не знаю (и тратить время на другие ОС недосуг).
Гость, вы противоречите тому, что сказали другие знатоки в этом топике.
Итак, вопрос остается открытым.
Я противоречу сам себе?Покажите, чему это противоречит. Я kvm лично не гонял, потому не знаю, сколько информации о железе доступно оттуда из-под гостевой ОС и насколько надёжна изоляция гостевых ОС между собой и от host ОС.Насчет противоречий. На первой странице "Гость" написал:
Отсюда я и сделал вывод, что Xen – единственный и неповторимый, и со всякими KVM и другими "поиграться" лучше не связываться.
Только Xen. Только паравиртуализация.В википедии пишут[link21], что
Ещё пишут, что KVM не работает без хардварной поддержки виртуализации. Чтобы сказать точно, какая там виртуализация, и какие тонкости её отличия от Xen могут сказаться на анонимности, надо основательно рыть тему. Обычно изучается отличие с точки зрения юзабилити и производительности[link22], а не анонимности.
Вопрос чисто юзабилити.
Универсальный совет, но у каждого свой YMMV.
Личные предпочтения, юзабилити.
Юзабилити и личные требования.
Вопрос юзабилити.
А там ведь в лоб написаноЕсли фраза непонятна, имелось в виду
С точки зрения фич для анонимности сравнения Xen vs KVM приведено не было (это я вам говорю как автор поста, который вы цитируете). Понятно, что виртуализацию лучшего типа, чем у Xen, уже не сделать, но вот насколько KVM к этому приблизился — это вопрос.
P.ک: «A quantitative comparison between xen and kvm[link23]», 17th International Conference on Computing in High Energy and Nuclear Physics (CHEP09), абстракт:Заключение:Для тех, кто не понял: HEP — high energy physics, LHC — БАК.
РусскиеФизики выбираютслак[link24]Xen.Если учесть, что еще не на всех десктопных материнках встречается Intel-VT / AMD-V, то с этой точки зрения Xen да, предпочительнее.
А это еще сильнее подталкивает к Xen. И тогда остается одно – как долго торовцы будут поддерживать свой порт для EL5 ?
(повторюсь – "пятый" – тот самый, в котором остался Xen, в "шестерке" основной уже KVM).
Пока еще версии Tor и там, и там идут нос к носу:
http://deb.torproject.org/torproject.org/rpm/el/5/i386/
http://deb.torproject.org/torproject.org/rpm/el/6/i686/
Вот волей-неволей в таких случаях вспоминается Linux vs BSD. Кто вам мешает поставить/скомпилировать Xen под CentOS 6.x? Отсутствие портов, да? :) А, тем временем, в «отсталой» NetBSD из pkgsrc парой команд компилится как 3ий, так и 4ый Xen (причём под любой релиз ОС), и оба из них мне удавалось успешно запустить. При компиляции был один незначительный баг (уже забыл какой; кажется, что-то с дефолтной длиной int), но мне удалось его легко пофиксить.
Понимаете, я уж несколько лет, как "забил" на всякого рода компиляции, и возращаться к этому занятию не могу.
Если есть пакет – использую, если нет – компиляциями и сборкой пакетов заниматься больше не буду.
Конечно, с точки зрения специалистов и гуру я неправ, но поймите и меня, обыкновенного пользователя -
– Tor для меня – лишь один программный инструмент из многих, и чем он проще, тем лучше, и разбираться в его дебрях ой как недосуг.
Теми более заново осваивать BSD (когда-то немного юзал FreeDSD, и забросил – Linux гораздо юзабельнее, хотя и не столь отшлифован).
Просто есть масса других занятий, и на все фатально нехватает времени.
Видимо, Linux заставил вас забыть, что такое порты. Порт подразумевает автоматизированную сборку пакета из исходников, где все нужные зависимости ставятся на лету, а линковка происходит с теми библиотеками, которые уже установлены в системе (и не важно, установлены они с портов или с пакетов).
Я без понятия, как устроены сырцы Tor'а и как его компилить вручную, я просто иду cd /usr/pkgsrc/net/tor и выполняю команду make. Затем, если всё удачно скомпилилось, сношу старый пакет (pkg_delete -vf tor[TAB]), после чего выполняю make install, make clean и make cleandepends. Всё.
Описанная процедура занимает несколько минут (в основном из-за времени компиляции). Если в порте ничего не поломано, всё именно так и должно работать, причём для всего софта. По счастью, большая часть софта так и собирается, особенно простого. Тяжёлые вещи типа firefox можно поставить и с пакетов.
Гентушнег негодуэ.
Друзья, не подскажите, почему при запуске стартового скрипта от свежайшего TBB tor-browser-gnu-linux-i686-2.3.25-2-dev-ru.tar.fz возникает такая бяка?
dev как бы символизирует.
dev как бы и надо ставить, это считается текущей условно стабильной версией, в отличие от альфы.
.tar.gz только опечатка.
По поводу ошибки пока не в курсе. УМВР, правда по продвинутой схеме с раздельным запуском[link25].
Вношу поправку:
– если запускать этот стартовый скрипт в Linux, который находится в среде VirtualBox, то FireFox не запускается;
– но если запускать стартовый скрипт в "чистом" Linux, то FireFox все-таки запускается!
но все равно эта непонятная ошибка в консоли возникает по-прежнему.
И поэтому непонятно, как относиться к работе такого Тора – безопасен ли он или нет...
Аналогично.
В блоге вроде жалуются в комментах[link26] на повышенную глючность версии, но ничего конкретно подходящего. Если похожая ошибка всплывёт ещё у кого-то, логично будет ожидать жалоб в блоге, рассылке, трекере.
Но из-за запуска в виртуальной среде ошибка м.б. какой-то узкоспецифической.
Сорри, некоторое время отсутствал.
Так вот, добавлю еще некоторые (уточненные) результаты тестирования.
Во первых, на всякий случай напомню, что пытаюсь наладить работоспособность в среде CentOS 5.8.
Т.е. в "пятерке" – той ветке, в которой еще приоритетно подерживается Xen, на котором хочется запустить виртуалку (тоже на CentOS 5.8.),
и уже в ней – Tor.
Как уже говорил, при запуске стартового скрипта Vidalia запускается нормально и без проблем входит в Tor-сеть.
Но при этом в консоли возникает Qt-ная ошибка:
Firefox не стартует. Запустил его принудительно, и тогда он выдал "откровение":
Это что же получается – этот сборка Tor уже не в состоянии работать в среде CentOS 5.x?
И нужно переходить в 6.x?
Но там с Xen´ом уже не так шоколадно, да и в 6-м Центосе нагорожено столько излишеств (для использовани Tor), что может пострадать безопасность затеи.
Какие будут мнения?
Странно это всё. 10.0.12 — это версия чего? Ещё бы я погуглил, что значит «host-based authentication», и зачем она нужна.
Ну как чего, это Firefox, который запускаю вручную, без Видалии, и он видать ругается, что ему среда (5.8) не нравится
Браузер не стартует не из-за Qt-ной ошибки, а по какой-то иной причине. Для проверки можете избавиться от Qt-ной ошибки, как указано здесь[link27], исправив стартовый скрипт start-tor-browser.
Версия firefox? Firefox ругается сам не себя? Он сам несовместим с собою? Очень странно.
Разве интерфейс в firefox не на gtk написан? Зачем ему вообще qt? Может, конечно, я упустил чего.
А обычный firefox из их rpm центоса стартует нормально, не ругается?
Извиняюсь за банальщину, но у вас вообще графические приложения запускаются там, откуда запускаете стартовый скрипт?
Афтор_топика, CentOS 5.8 32-битная?
Qt имеет некоторое отношение к Vidalia.
Отвечаю на ваши вопросы:
– Какая версия Firefox? Ахз, ведь он не запускается, как еще можно ее выяснить?
– Обычный Firefox из Центоса – да, запускается, версия Firefox ESR 10.0.11
– Обычные графические приложения из места, откуда запускаю стартовый скрипт – да, запускаются: Vidalia 0.2.21, Firefox ESR 10.0.11, GEdit 2.16.0, Nautilus 2.16.2 и т.п.
– Битность CentOS 5.8 – да, 32-битная.
В-общем, безрезультатная возня с новейшим TBB 2.3.25-2 вкупе с CentOS 5.8 порядком надоела, тем более, что отсутствие результатов обязано разработчикам данной сборки TBB, имхо.
Но хато у меня родилась новая, более креативная идея, к которой обращусь к форумчанину unknown в отдельном топике.
Это сообщение формируется кодом из libxul, при сравнении версии из библиотеки и содержимого ini файла из рабочей директории.
Судя по всему, динамически подгрузилась системная, а не TBB'шная libxul.so. Неправильно запускали, без стартого скрипта.
Что значит без стартового скрипта? Как раз его и запускал – start-tor-browser, с правильными правами – 755, и он реально запускался и запускал видалию
FreeBSD