id: Гость   вход   регистрация
текущее время 17:14 18/12/2018
Автор темы: jack3d, тема открыта 31/05/2016 21:42 Печать
Категории: софт, анонимность, приватность, инфобезопасность, уязвимости, операционные системы
http://www.pgpru.com/Форум/ПрактическаяБезопасность/КакиеДанныеОМоемРеальномЖелезеЗнаетVirtualBox
создать
просмотр
ссылки

Какие данные о моем реальном железе знает VirtualBox?


Всем привет. Касательно своего вопроса я много информации прочитал, много мнений послушал + с разрабами тоже пообщался, но все же решил послушать спецов в этом деле. Лишним не будет точно!


Есть ноутбук. На котором стоит в качестве хоста kali linux. В качестве гостевой стоит whonix на virtualbox.


Вопрос следующий:


Может ли какой сайт или софт, определить уникальные идентификаторы моего реального железа, если я сижу с whonix и соответственно как-то связать хост с whonix тем самым установить что это один компьютер.


(про мак-адресс можно не писать)


 
На страницу: 1, 2, 3 След.
Комментарии
— гыук (31/05/2016 22:58, исправлен 31/05/2016 23:45)   профиль/связь   <#>
комментариев: 269   документов: 0   редакций: 0

Так эмпирическим способом не пробовали? В Whonix как и в Tails два браузера. Вы чем любите пользоваться? Если ТВ, то зайдите на сайт типа whoer.net c отключенным noscript, и посмотрите что определится. Есть в инете ресурсы со сканерами, есть wireshark (с последним конечно нужно уметь обращаться).


А можно прочитать здесь и на сайте whonix, что вирт машина не дает 100% защиты.


Warning


# Информация о железе
$ lspci


# Расширенная информация не предоставляется
$ sudo lshw


# Ежели совсем скучно, то
$ dmesg

— jack3d (01/06/2016 11:32)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
whoer и другие чекеры информацию о железе не предоставляют... в том и дело.

100% защиты ничего не дает, но интересно, есть ли какие данные по которым можно связать два "якобы" разных пк..
— jack3d (01/06/2016 11:43)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
ВБ видит мой процессор, это вроде не критично. но всё же, не приятно.
— jack3d (01/06/2016 15:08)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
возможно стоит сменить virtualbox на аналоги
— Гость_ (01/06/2016 18:26, исправлен 01/06/2016 18:27)   профиль/связь   <#>
комментариев: 440   документов: 7   редакций: 13

Кстати, чтоб выудить всё, что можно, нужно запускать такие тулзы от рута с максимальным уровнем вербосити. Если PCI-карточка проброшена в гостевую систему как есть, на этом уровне вербосити пишется марка, прозиводитель и даже название фирмы, производившей ноутбук (видимо, PCI-карта делалась специально под это железо). Теоретически некоторые PCI-карты могут содержать уникальные ID, поэтому с каждым железом надо разбираться отдельно. Однако, без рута в гостевой системе даже эту информацию о железе не получить. Ещё на hdparm рекомендую посмотреть.



Вообще ничто не даёт 100%-ой защиты, даже air gap (тем более, виртуалки).



Социнжиниринг, коррреляция по трафику, корреляция по отклонению в системном времени, по загрузке процессора и его типу, по схожим конфигурациям обеих систем, схожим их настройкам и конфигам... теоретический список длинный, но к делу его обычно не пришьёшь. Самый реальный способ – ошибки в настройках и конфигурировании, когда, к примеру, в гостевую систему может утекать реальный IP или MAC хостовой системы.



Придётся смириться. Процессор – единственное, что гостевым ОС, как правило, известно. Уникального ID у них нет (после скандальной истории с Pentium III побоялись возвращать серийник процессору). Некоторые VM скрывают тип проца в том смысле, что его не посмотреть в настройках, однако, по косвенным наблюдениям марка процессора всё равно может быть выяснена.



Если скрыть процессор – единственная цель такой смены, то, имхо, не стоит.

— jack3d (01/06/2016 19:21)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
А почему не стоит? Ведь процессор это самый явный идентификатор. Так как остальное подменено на виртуальное...
— гыук (01/06/2016 23:31, исправлен 01/06/2016 23:32)   профиль/связь   <#>
комментариев: 269   документов: 0   редакций: 0

Так вы на один и тот же ресурс заходите одновременно с хоста и с гостя?



Что за программы вы используете в Whonix, что они могут передавать на сторону индентификационные данные?



Может на большую часть ваших вопросов вы можете найти по вышеуказанной ссылке "Warning"?
Здесь есть 6-я строчка:
"none advanced x86 compatible"
Суть описана здесь
Ну или Qubes. Правда приготовте пачку денег на железо.



"root@host:/home/user# lshw
Could not find the database of available applications, run update-command-not-found as root to fix this
lshw: command not found
root@host:/home/user#"


Я ж и говорю:


Что там в Whonix нагородили не в курсе.



Так какое же приложение должно передать такие данные в сеть?

— Гость_ (01/06/2016 23:43, исправлен 01/06/2016 23:44)   профиль/связь   <#>
комментариев: 440   документов: 7   редакций: 13

Изменение CPUID для виртуальных машин под управлением VirtualBox
Virtualbox, how to force a specific CPU to the guest.
Помимо CPUID, VirtualBox по умолчанию передает (можно отключить) гостевой системе ACPI хоста, в этом случае, к примеру, уровень заряда батареи можно будет читать из гостевого браузера.

— гыук (02/06/2016 00:54, исправлен 02/06/2016 00:58)   профиль/связь   <#>
комментариев: 269   документов: 0   редакций: 0

ТВ имеет такие уязвимости? Каждое приложение в Whonix ходит через свой порт, что видно из torrc. Даже если будет возможность влезть в ТВ, то информация о системе будет очень скудной и однобокой. И да конечно нужно отдавать себе отчет, что эта система не "Амнезия" как Tails (о чем есть предупреждение на оф сайте).

— Гость_ (02/06/2016 10:04)   профиль/связь   <#>
комментариев: 440   документов: 7   редакций: 13

ФБРовский троян с встроенным локальным рутом, подцепляемым из бразуера при заходе на нужную страницу – так сойдёт?


Явный, но не уникальный. Ну увидит противник, что у вас Intel i5 или Intel i7. Дальше-то что? Таких процессоров миллион, стоят на самом разном железе, на самых разных ноутбуках. Насколько эта информация уникальна?


Это в Whonix так? Возможно, дело в AppArmor. УМВР.


TB имеет обширный список уязвимостей, как и любой firefox. Виртуалка используется для нейтрализации этих уязвимостей. Смотреть надо не на то, что TB может, а на то, что сможет сделать исполнение произвольного кода с правами того пользователя, от которого запускается TB (а там ещё и локальный рут может быть).


Аменизийность всегда можно настроить сторонними средствами, которые будут запускать систему каждый раз с одного и того же чистого образа (время от времени обновляемого безопасным образом).
— гыук (02/06/2016 11:59, исправлен 02/06/2016 12:08)   профиль/связь   <#>
комментариев: 269   документов: 0   редакций: 0

И этот код в браузере будет исполнен на 100%? Или речь все-таки о целевой атаке?



Ну да. Так ведь ТС упоминает о Whonix.



Так то оно так, но "предохраняться" нужно и никто не отменял NoScript.



С 13 версии идет контроль установленных сторонних приложений в систему. Но это конечно не значит что ничего устанавливать туда нельзя. Каждый сам себе пусть определит что ему нужно.

— jack3d (02/06/2016 12:14)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1


У меня еще при исполнении LSHW выдает какой то номер непонятный, serial: 0002-0652-0000-0000-0000-0000. Якобы какой то сериал, хотя это не серийник моего corei5. И интел вообще не знают ничего про этот номер, и говорят что к процу он не имеет отношения. Тогда почему в whonix я его вижу? а на хосте например нет.
— jack3d (02/06/2016 12:15)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
Это у меня баг какой? Или в чем соль? Может кто пояснит, уже у кого только можно узнавал. Никто не вкурсе что это такое.
— jack3d (02/06/2016 12:31)   профиль/связь   <#>
комментариев: 18   документов: 2   редакций: 1
Вот подобное в гугле у многих:

product: Intel® Core™ i3 CPU 540 @ 3.07GHz
vendor: Intel Corp.
physical id: 4
bus info: cpu@0
version: 6.5.2
serial: 0002-0652-0000-0000-0000-0000
slot: LGA1156
size: 3066MHz
capacity: 3800MHz
width: 64 bits
clock: 133MHz
— гыук (02/06/2016 14:16)   профиль/связь   <#>
комментариев: 269   документов: 0   редакций: 0
jack3d (02/06/2016 12:14)

В Whonix эта команда не запускается в штатных условиях
А вы на хосте для какой цели ее запускали? Для интереса? )
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3