Компьютер для Tor
Собираюсь использовать Tor, скорее всего в составе Tails.
В связи с этим возникает вопрос – может ли как-то повлиять на идентификацию компьютера недружественынми службами то обстоятельство, что на нем прежде уже выходили в Интернет на обычной ОС?
Мысль такая: если на нем уже выходили в Интернет на Виндовс, и та "слила" хардверные данные компьютера "куда следует", то компьютер получается уже как бы "засвеченым", т.е. известна его страна, IP и в конечном счете его владелец.
И теперь, если выходить в Интернет с того же компьютера даже через Tails, и последняя тоже нечаянно сольет (например, из-за просчетов разработчика) эти же данные в конечном узле Tor на сайты, которые посещаем, то достаточно их сопоставить – и вуаля, анонимщик, сидящий за цепочкой луковиц, изобличен и извлечен за ушко да на солнышко.
Иными словами – есть разница в анонимности/безопасности между совершенно новым компьютером с Tails, и тем, которым уже ходили в Интернет через обычную ОС?
http://slexy.org/view/s2lLf4Vmt8
* Ultra-HIDS – Ultra rugged Host-based intrusion detection system
* Tor VM – Virtual Machine with guest For Tor usage.
* NIDS #1 – Network intrusion detection system #1 ( Active )
Detect any abnormal activity of Host except 9050 port.
* NIDS #2 – Network intrusion detection system #2 ( Active )
Followed the Tor Box. Detect any abnormal activity of Tor Box
* Fire Wall – Extra rugged FireWall.
* Network Tap – Full logging of connection with round robin
for critical period, say 1 month. ( 5-10 TB of data )
* NIDS #3 – Network intrusion detection system #3
Detect any attack against network ( Passive )
7 – различных железяк. Все нужны. Все важны. И идеал не достижим, можно наращивать.
Такая система, при хорошей настройке может свести к очень маленькому проценту вероятности утечки внешнего IP адреса.
комментариев: 9796 документов: 488 редакций: 5664
* Достаточно элементарны задачи для NIDS #1, рубить любые коннекты кроме порта 9050, первые дни можно почистить хост и виртульную машину, что бы не засоряли логи NIDS #1, дальше она лишь следить за шумом, если что не так – аллерт, офлайн.
* NIDS #2 – тоже достаточно проста, первые дни можно составить профиль Tor-клиента/Tor-ноды, дальше все откланения категарезуются, при какие-то действительно мрачных досах, хорошие веб-формы к snort-у и suricat-е помогут в анализе.
* Network Tap – ничего из себя не представляет как обычную бабину, которая логирует, лишь в случае тревоги, эти логи имеет смысл поднимать.
* Firewall – каждый из нас и так его имеет и в одиночку легко ведёт.
* NIDS #3 – В большинстве случаев это белый шум сети.
Любой, даже самый децельный веб-хостинг выглядит на порядки сложнее.
Если какая-то неведомая malware пробьёт Tor VM, доберётся до хоста, обойдёт HIDS, и начнёт поражать сеть, IDS#1 просто тушит коннект, увидев любой пакет не на 9050 port tcp.
Если же последний iptables окажется дырявым, и пропустит какой нибудь dccp. Задача IDS#2 увидеть пакеты не принадлежащие к Tor-сети и так же, потушить сеть.
Дальше любая внешняя атака на FireWall делает нас сильнее, потому что всё пишется на Network Tap.
Любая атака из сети Tor на TorVM и Tor Browser Bundle, делает сильнее Host-IDS, потому что опять же, всё логируется.
Хорошим тоном считается держать полный дубль систем, при инфицировании рабочей станции, сравнивается её содержимое с клоном, любые отклонения – опять же в копилку.
Как говорится, "The more, the merrier" на вопрос, стоит ли приобретать отдельный компьютер для Tor.
По-моему, это старые слайды от АНБ про Tor. Картинка в бэкграунде та же самая. Перепроверять лень.
Типа того. АНБ кормит TorBrowser эксплоитом, эксплоит узнаёт локальный IP, MAC и прочую инфу о железе, передавая её (пусть даже через Tor) противнику. Потом, когда на этом же железе запускается нейтральная ОС без особых предостережений в плане безопасности, противнику ничего не стоит слить данные о железе повторно (про тот же Skype и Webmoney Keeper Classic писали, что заведомо известно, что они собирают и передают инфу о железе). Сопоставление даёт полный деанон. С учётом возможностей АНБ делать поиск в любом типе трафика на любом сервере угроза более, чем реальна. Я здесь писал об этом раз пятьдесят. До уток начало доходить.
Как всё запущено... особенно в плане матчасти.
Да, на bare. Вопрос про «улетел» не в тему. Мы обсуждаем, что могло бы быть, если бы АНБ нашло очередную дыру в TorBrowser.
Инфа о железе. Кроме MAC-адреса, думаете, ничего другого нет? А как же содержимое /proc? Тип проца? Объём памяти? Как же вывод blkid, рассказывающий все серийники? Как же вывод lspci, дающий исчерпывающую информацию обо всех PCI-устройствах? Как же размер жёсткого диска? Набор присутствующего железа? Этих данных хватит с лихвой, чтобы точно установить, например, модель ноутбука, а это уже не мало. Подумайте, сколько бит информации при этом утекает. Защиты от этого нет. Можно закрыть доступ к исполнению файлов, но атакующий, получивший права юзера, от которого в Tails запущен TorBrowser, может запустить свой код, скачанный из сети (через Tor, ага), с тем же функционалом. Это всегда сделать можно, потому что ядро позволяет, есть соответствующие sysctl, достаточно сделать к ним запрос. Эти интерфейсы ядра всем доступны. Надёжно запретить исполнение чужого кода тоже никак, это только если с SELinux'ом играться, но это могила по вполне понятным причинам. Noexec не для того, да. В чрут TorBrowser тоже не засунешь, хотя чрут тоже не для того.
Надо менять MAC не для провайдера, естественно (да и не всякий пров это позволяет). Надо менять тот MAC, который виден внутри анонимной ОС для прикладных (а лучше и системных) программ, которые работают внутри этой ОС. В рамках виртуалок это делается, без них — нет. Внутри гостевой анонимной ОС можно зафиксировать конкретный IP или каждый раз выбирать его рандомно — уже не суть важно, главное — чтобы он не был связан с тем, какой MAC/IP видит провайдер.
Интернет-кафе — это несколько другой сценарий, а мы пока обсуждаем, что делать из дома, когда надо использовать одновременно как анонимный, так и неанонимный интернет, причём самих непересекающихся анонимных профилей может требоваться несколько.
Как работает DPI/IDS? Если оно действительно вносит задержки, то это может привести к профилированию. С учётом того, что такая система будет стоять у единиц, это может означать полный деанон, если напишут специфический тест под конкретно такую конфигурацию.
Просто наставить дополнительных файерволлов (пусть даже железных или просто работающих под другой ОС) — это одно, но IDS — это же не совсем файерволл:
При гипотетической ситуации, когда у АНБ набор задних дверок в ядро линукс и, в том числе, в Tails / TorBrowser – утекает всё. Почему тут отделение информации о железе от персональных/приватных данных?
И самое главное, о чём мне кажется заботятся в основном разработчики, это – реальный, внешний IP-адрес.
Виртуалка / Смена всех серийников программно, Linux это позволяет, и даже Windows.
Дальше, "АНБ <s>нашло</s> имеет <s>очередную дыру</s> постоянно обновляющийся набор эксплойтов ко всем Виртуалкам".
HIDS / NIDS / Bastion host.
Можно пример как сменить серийник у диска?
About 3,150,000 results (0.28 seconds)
Windows:
* http://hard-disk-serial-number-changer.en.softonic.com/
* http://www.softpedia.com/get/S.....Number-Changer.shtml
* http://www.xboxharddrive.com/freeware.html
* https://www.youtube.com/watch?v=JffgBmh6Iec
Linux:
Мне понравилось: http://tlvps.tomvanleeuwen.nl/~tom/wordpress/?p=7
Сам я не менял ни разу. Но мне кажется шить firmware – это брутальный путь. Легче собрать кастомное ядро, которое будет снифать запросы на серийный номер и подставлять что-нибудь заранее за-хард-код-енное.
Проведу такую аналогию, технологии DRM заранее обречены на провал.
Никакие девайсы, гаджеты, программы не защитят правообладателя от пиратства, лишь потому, что экран элементарно можно снимать на камеру.
Единственное что им остаётся, это оставлять отпечатки, для отслеживания пирата (tracing).
Учите теорию.
https://www.google.ru/search?q.....e+disk+serial+number
killdisk похоже не умеет менять S/N.
Робот.
grep 's/pattern/' /personal_data/
Ну да, а ссылки на смену Volume serial number.
Ни один капиталистический производитель не позволит копаться в своей фирмваре.
Проще сразу как кул хакер, сходил на сайт и сразу выбрасываешь железо
А что ищем, если не секрет? Только mac или серийный номер ж.д. или, вдобавок, IP и пользователя, который им пользовался в заданное время?