Компьютер для Tor

+----------------+ | | | Tor on Bare | | | +----------------+ | | v Internet

Вот что в итоге родилось:

http://slexy.org/view/s2lLf4Vmt8

* Ultra-HIDS – Ultra rugged Host-based intrusion detection system

* Tor VM – Virtual Machine with guest For Tor usage.

* NIDS #1 – Network intrusion detection system #1 ( Active )
Detect any abnormal activity of Host except 9050 port.

* NIDS #2 – Network intrusion detection system #2 ( Active )
Followed the Tor Box. Detect any abnormal activity of Tor Box

* Fire Wall – Extra rugged FireWall.

* Network Tap – Full logging of connection with round robin
for critical period, say 1 month. ( 5-10 TB of data )

* NIDS #3 – Network intrusion detection system #3
Detect any attack against network ( Passive )


7 – различных железяк. Все нужны. Все важны. И идеал не достижим, можно наращивать.

Такая система, при хорошей настройке может свести к очень маленькому проценту вероятности утечки внешнего IP адреса.

Это конечно интересно, но к этому уже нужно иметь штат круглосуточных админов, оперативно анализирующих все логи, настройки и пр.

@unknown, вовсе нет.

* Достаточно элементарны задачи для NIDS #1, рубить любые коннекты кроме порта 9050, первые дни можно почистить хост и виртульную машину, что бы не засоряли логи NIDS #1, дальше она лишь следить за шумом, если что не так – аллерт, офлайн.

* NIDS #2 – тоже достаточно проста, первые дни можно составить профиль Tor-клиента/Tor-ноды, дальше все откланения категарезуются, при какие-то действительно мрачных досах, хорошие веб-формы к snort-у и suricat-е помогут в анализе.

* Network Tap – ничего из себя не представляет как обычную бабину, которая логирует, лишь в случае тревоги, эти логи имеет смысл поднимать.

* Firewall – каждый из нас и так его имеет и в одиночку легко ведёт.

* NIDS #3 – В большинстве случаев это белый шум сети.


Любой, даже самый децельный веб-хостинг выглядит на порядки сложнее.

Если какая-то неведомая malware пробьёт Tor VM, доберётся до хоста, обойдёт HIDS, и начнёт поражать сеть, IDS#1 просто тушит коннект, увидев любой пакет не на 9050 port tcp.

Если же последний iptables окажется дырявым, и пропустит какой нибудь dccp. Задача IDS#2 увидеть пакеты не принадлежащие к Tor-сети и так же, потушить сеть.

Дальше любая внешняя атака на FireWall делает нас сильнее, потому что всё пишется на Network Tap.

Любая атака из сети Tor на TorVM и Tor Browser Bundle, делает сильнее Host-IDS, потому что опять же, всё логируется.

Хорошим тоном считается держать полный дубль систем, при инфицировании рабочей станции, сравнивается её содержимое с клоном, любые отклонения – опять же в копилку.


Как говорится, "The more, the merrier" на вопрос, стоит ли приобретать отдельный компьютер для Tor.

По-моему, это старые слайды от АНБ про Tor. Картинка в бэкграунде та же самая. Перепроверять лень.

Типа того. АНБ кормит TorBrowser эксплоитом, эксплоит узнаёт локальный IP, MAC и прочую инфу о железе, передавая её (пусть даже через Tor) противнику. Потом, когда на этом же железе запускается нейтральная ОС без особых предостережений в плане безопасности, противнику ничего не стоит слить данные о железе повторно (про тот же Skype и Webmoney Keeper Classic писали, что заведомо известно, что они собирают и передают инфу о железе). Сопоставление даёт полный деанон. С учётом возможностей АНБ делать поиск в любом типе трафика на любом сервере угроза более, чем реальна. Я здесь писал об этом раз пятьдесят. До уток начало доходить.


Как всё запущено... особенно в плане матчасти.


Да, на bare. Вопрос про «улетел» не в тему. Мы обсуждаем, что могло бы быть, если бы АНБ нашло очередную дыру в TorBrowser.


Инфа о железе. Кроме MAC-адреса, думаете, ничего другого нет? А как же содержимое /proc? Тип проца? Объём памяти? Как же вывод blkid, рассказывающий все серийники? Как же вывод lspci, дающий исчерпывающую информацию обо всех PCI-устройствах? Как же размер жёсткого диска? Набор присутствующего железа? Этих данных хватит с лихвой, чтобы точно установить, например, модель ноутбука, а это уже не мало. Подумайте, сколько бит информации при этом утекает. Защиты от этого нет. Можно закрыть доступ к исполнению файлов, но атакующий, получивший права юзера, от которого в Tails запущен TorBrowser, может запустить свой код, скачанный из сети (через Tor, ага), с тем же функционалом. Это всегда сделать можно, потому что ядро позволяет, есть соответствующие sysctl, достаточно сделать к ним запрос. Эти интерфейсы ядра всем доступны. Надёжно запретить исполнение чужого кода тоже никак, это только если с SELinux'ом играться, но это могила по вполне понятным причинам. Noexec не для того, да. В чрут TorBrowser тоже не засунешь, хотя чрут тоже не для того.


Надо менять MAC не для провайдера, естественно (да и не всякий пров это позволяет). Надо менять тот MAC, который виден внутри анонимной ОС для прикладных (а лучше и системных) программ, которые работают внутри этой ОС. В рамках виртуалок это делается, без них — нет. Внутри гостевой анонимной ОС можно зафиксировать конкретный IP или каждый раз выбирать его рандомно — уже не суть важно, главное — чтобы он не был связан с тем, какой MAC/IP видит провайдер.


Интернет-кафе — это несколько другой сценарий, а мы пока обсуждаем, что делать из дома, когда надо использовать одновременно как анонимный, так и неанонимный интернет, причём самих непересекающихся анонимных профилей может требоваться несколько.

Получается, что DPI, как и антивирус, всегда срабатывает постфактум: только когда подозрительные пакеты уже пропущены, с какой-то задержкой DPI сообщит, что они подозрительны. Это, конечно, лучше, чем ничего, но обычные файерволлы работают не так — там если пакет не удовлетворяет политике/правилам, он никуда дальше не идёт.

Нет, это не так.

Тогда как достигается синхронизация? На точке зеркалирования трафика пакеты останавливются, и рутер ждёт инструкции от сервера-арбитра по каждому пакету? Я-то думал, что DPI не вносит задержек в трафик.

Как работает DPI/IDS? Если оно действительно вносит задержки, то это может привести к профилированию. С учётом того, что такая система будет стоять у единиц, это может означать полный деанон, если напишут специфический тест под конкретно такую конфигурацию.

Просто наставить дополнительных файерволлов (пусть даже железных или просто работающих под другой ОС) — это одно, но IDS — это же не совсем файерволл:

Важно вынести точку наблюдения с источника трафика потому что у host-based IDS есть большое количество ограничений.
...
В любом случае для постоянного (а непостоянный он особого практического смысла в плане безопасности не имеет) полноценного анализа трафика (пакетов) без отдельного сервера в качестве арбитра не обойтись.

При гипотетической ситуации, когда у АНБ набор задних дверок в ядро линукс и, в том числе, в Tails / TorBrowser – утекает всё. Почему тут отделение информации о железе от персональных/приватных данных?

И самое главное, о чём мне кажется заботятся в основном разработчики, это – реальный, внешний IP-адрес.



Виртуалка / Смена всех серийников программно, Linux это позволяет, и даже Windows.


Дальше, "АНБ <s>нашло</s> имеет <s>очередную дыру</s> постоянно обновляющийся набор эксплойтов ко всем Виртуалкам".

HIDS / NIDS / Bastion host.

Можно пример как сменить серийник у диска?

Я вообще ничего особенного не вижу в этом дистрибутиве.

достойная оценка чужого труда ). ждем от вас шедевром. дохозяйки-кухарки замерли в ожидании..

https://www.google.ru/search?q.....sk.com+serial+number

About 3,150,000 results (0.28 seconds)

Windows:

* http://hard-disk-serial-number-changer.en.softonic.com/
* http://www.softpedia.com/get/S.....Number-Changer.shtml
* http://www.xboxharddrive.com/freeware.html
* https://www.youtube.com/watch?v=JffgBmh6Iec

Linux:
Мне понравилось: http://tlvps.tomvanleeuwen.nl/~tom/wordpress/?p=7

Сам я не менял ни разу. Но мне кажется шить firmware – это брутальный путь. Легче собрать кастомное ядро, которое будет снифать запросы на серийный номер и подставлять что-нибудь заранее за-хард-код-енное.

Проведу такую аналогию, технологии DRM заранее обречены на провал.
Никакие девайсы, гаджеты, программы не защитят правообладателя от пиратства, лишь потому, что экран элементарно можно снимать на камеру.

Единственное что им остаётся, это оставлять отпечатки, для отслеживания пирата (tracing).

Учите теорию.

– утекает всё.

Когда приводится такой (крайний) аргумент, на ум приходит следующий контраргумент – кто все это будет анализировать?

Запрос не правильный оставил. Правильно так:

https://www.google.ru/search?q.....e+disk+serial+number

killdisk похоже не умеет менять S/N.

Робот.

grep 's/pattern/' /personal_data/

Ну да, а ссылки на смену Volume serial number.
Ни один капиталистический производитель не позволит копаться в своей фирмваре.
Проще сразу как кул хакер, сходил на сайт и сразу выбрасываешь железо

Очевидно, что скорость обработки будет обратно пропорциональна количеству заданных параметров фильтрации.
А что ищем, если не секрет? Только mac или серийный номер ж.д. или, вдобавок, IP и пользователя, который им пользовался в заданное время?