Года 3 назад наступило. Вы были в Северной Кореи ?)
Onion Pi

А можете купить Raspberry Pi 3 и установить сами туда Tor. Вот и инструкция

TOR роутер на базе Raspberry с поддержкой VPN

Спасибо большое, изучаю!
Хотя жаль, всего один Ethetnet, а вместо второго небезопасный WiFi, хотя виновата в этом сама малинка.

Почитал внимательно. Конечно, формуле "Купил – Воткнул – Работает" эта самоделка не соответствует, но хоть что-то приближенное.
А кто-то из наших уже собирал такую, есть отзывы?
И оно точно туннелирует через Tor весь трафик, или только http?

И есть ли еще подобные аналоги?

Господа криптологи, пожалуйста, не бросайте эту тему!
Я всерьез настроился купить что-то подобное, но поскольку других вариантов не предлагаете, то опишите хотя бы подробнее эту самоделку

Время таких самоделок ушло, даже толком не прийдя. Раньше бытовало мнение, что для полного счастья достаточно завернуть весь трафик в тор, и больше ничего не нужно. На этой волне стали популярны разные тор-шлюзы начиная от заброшенного JanusVM и кончая современными аналогами.

А потом оказалось, что завернуть трафик в тор – это только часть проблемы, и, возможно, даже меньшая её часть. Стало понятно, что заворачивать надо разных пользователей и софт в разные цепочки, приложения должны быть достаточно очищены от ненужных метаданных, должно быть разделение между разными анонимными профилями и, тем более, они должны быть отделены от неанонимных. Так от эры "прописал SOCKS в браузере" люди постепенно перешли к эре специализированного софта под задачу анонимности: специальный браузер, специальный mail-клиент (torbirdy?), специальный IM-клиент (tor-messenger). Чтоб это органично работало, понадобились специализированные ОС со своими настройками: Tails, Qubes TorVM, Whonix и т.п. Начался развиваться свой анонимный интернет со своей адресацией и, возможно, заточенными под эти цели протоколами. На следующем этапе окажется, что софта, операционных систем и сети мало, чтобы быть анонимным – нужно специальное анонимное железо, свободное от закладок, недокментированных возможностей и не светящее всюду свои уникальные серийники и другие характеристики. Хотели просто анонимности – оказалось, нужен целый альтернативный анонимный мир.

В анонимном мире на данном этапе, раз приходится лезть так глубоко, отдельный хардварный тор-шлюз не так существенен. Если делаете виртуалки и специализированные ОС, с достаточной надёжностью можно завернуть трафик средствами того же ПК. А заворачивание в тор-шлюз чего попало и как попало может оказаться ещё хуже, чем не заворачивание.

Печальную картину вы нарисовали..... Я-то надеялся, что Tor-шлюз – панацея от всех утечек. По логике казалось бы что пусть они утекают на здоровье, но только через Tor-шлюз, и тогда не произойдет никакой деаномизации.
А по вашему мета-данные и прочая умная терминология, которую я не понимаю, разрушит всю ожидаемую анонимную идиллию.

К примеру, который день ломаю голову как решить такую задачку:
– есть дитрибутив, которому не доверяю, но приходится им пользоваться;
– более того, не хочу, чтобы знали, что я его использую, с этой целью скачивал через TorBrowser;
– соответственно к Интернет его не подключаю даже физически, использую его чисто локально/автономно;
– но вот незадача – его все-таки надо периодически обновлять, только вот как?

Надеялся, что эта волшебная коробочка из малинки поможет в этом, деаномизируя трафик обновления, но увы, по-вашему это не получится, насколько вас понял

А если через Tor пойдёт трафик, котрый элементарно связывается с вашим ФИО, и пойдёт он через те же цепочки, что и тот, который анонимизируете, что выйдет? А если про фингерпринтинг вспомнить? Тор решает одну единственную задачу – подмену IP. Анонимность – более сложный вопрос, он на подмену IP опирается, но к ней не сводится.

Сейчас у тор-браузера 4 положения для слайдера, 2 варианта с JS (включен/выключен), около 20 языков (дефолтных отдаваемых локалей) и около того же – разных размеров окон по умолчанию, ещё fullscreen-режим вроде как палит размер экрана, при включенном JS определяется ОС. Все варианты и комбинации (штатные, заметим!) торбраузера посчитать – их будут сотни. Значит, среди анонимных юзеров почти все разные. Даже если какой-то сверхпопулярный сайт посещает десятка два анонимов через тор, этих уникальных характеристик, скорей всего, хватит, чтобы сайт смог достоверно различать всех из них. Всё тот же паноптиклик, но внутри тора.

Настроить программы обновления на работу с сетью через тор, прикрыв другие возможности выхода в сеть фаерволлом. Самое простое – ставить вспомогательные ОС в качестве гостевых, трафик к которым фильтруется и настраивается на хосте, там же можно и в тор завернуть.

А если через Tor пойдёт трафик, котрый элементарно связывается с вашим ФИО, и пойдёт он через те же цепочки, что и тот, который анонимизируете, что выйдет?

Еще раз подчеркну, что компьютер, через который проворачиваю свои анонимные дела – это совсем не офисный компьютер!
На нем нет ФИО, адресов, паролей, явок. На нем нет документов и офисных программ.
Софт макимально упрощен и служит единственной вышеуказанной задаче – стащил что надо из тырнета – перебросил на десктоп – и уж затем спокойно рассматриваем и обрабатываем полученные данные.
Поэтому так негативно отношусь к KDE. Кстати, не я один, вот наткнулся на новость, в которой умная девушка Йоанна Рутковская тоже пришла к аналогичному выводу по KDE для своей Qubes:

По умолчанию предложен рабочий стол Xfce, который теперь предлагается вместо KDE. В качестве опции предложены KDE 5 и мозаичные оконные менеджеры awesome и i3. Из причин перехода на Xfce упоминаются низкий уровень стабильности (частые крахи plasma/kwin), тяжеловесность, высокое потребление ресурсов, низкая скорость работы, перегруженность интерфейса и неоднородность при отображении приложений на GTK+. В Qubes 4.0 использование Xfce4 будет продолжено, но будет проведён эксперимент по портированию GNOME, от успехов которого будет зависеть выбор окружения в дальнейших релизах Qubes.

Так что лучше не будем в данной теме рассматривать такие детские проблемы, как утечки ФИО и пр. – их попросту нет, поскольку анонимный компьютер изначально специально подготовлен – минимум софта и никких персональных данных.

Тор решает одну единственную задачу – подмену IP. Анонимность – более сложный вопрос, он на подмену IP опирается, но к ней не сводится.

Все это прекрасно понимаю, и на последующие проблемы

Сейчас у тор-браузера 4 положения для слайдера, 2 варианта с JS (включен/выключен), около 20 языков (дефолтных отдаваемых локалей) и около того же – разных размеров окон по умолчанию, ещё fullscreen-режим вроде как палит размер экрана, при включенном JS определяется ОС. Все варианты и комбинации (штатные, заметим!) торбраузера посчитать – их будут сотни. Значит, среди анонимных юзеров почти все разные. Даже если какой-то сверхпопулярный сайт посещает десятка два анонимов через тор, этих уникальных характеристик, скорей всего, хватит, чтобы сайт смог достоверно различать всех из них. Всё тот же паноптиклик, но внутри тора.

спрошу – ну и что? Что такого, если узнают, что у меня общая с кем-то локаль, экран и т.п.? Из этого будет понятно, каким инструментарием я поьзуюсь – да на здоровье! IP то все равно им неизвестен.

Самое простое – ставить вспомогательные ОС в качестве гостевых, трафик к которым фильтруется и настраивается на хосте, там же можно и в тор завернуть.

Растолкуйте, пожалуйста, подробнее об этом самом простом :)

PS. Кстати, термин "завернуть через Tor" меня всякий раз ставит в тупик, создавая впечатление, что этот трафик сначала вырывается в открытый Интернет, потом его, негодника, ловят, заворачивают и выпускают уже через Tor :)
Может, уместнее употреблять термин "пропустить", "пробросить"?

Растолкуйте, пожалуйста, подробнее об этом самом простом :)

Посмотрите Whonix. Там настройка для домохозяек.

Разве Whonix удовлетворяет требованию "Купил – Воткнул – Работает" и помещается в маленькую коробочку??
Похоже, что вы еще не прочли начальные пожелания, изложенные в стартовом посте.

А так, какое-то время его использовал, свои впечатление о нем изложил в
соседнем топике, но в любом случае он для этой задачи не подходит.

Ну вы спросили про вспомогательную ОС, а тут в Хуниксе такая уже есть, это gateway, вот и используйте его для дальнейшей настройки, заворачивайте туда все, что Вам нужно. Когда Вам говорили про "Самое простое – ставить вспомогательные ОС в качестве гостевых, трафик к которым фильтруется и настраивается на хосте, там же можно и в тор завернуть" это тоже не предполагает "Купил – Воткнул – Работает и помещается в маленькую коробочку", но тем не менее Вас это заинтересовало, вот я Вам и ответил.

Я не специалист по этим криптопремудростям, а только любитель-рыболов, поэтому ориентируюсь, что здесь говорят гуру, пытаясь выудить осуществимый практически результат.
Чуть выше Гость_ так разгромил "малиновую коробочку", что у меня создалось впечатление, что на ней можно ставить крест. Дальше по "малине" больше никто не распространяется, поэтому вынужден интересоваться параллельно всем, что поможет обрести решение, в том числе и вспомогательными ОС.
И раз вы порекомендовали использовать шлюз от Хуникса, то какое, по вашему, у него будет преимущество по сравнению с "малиновым шлюзом"?

Речь не о конкретно вашем случае, а о среднестатистическом. Обсуждается, почему время тор-шлюзов ушло в прошлое, почему они не стали популярными среди широких масс.

Что мешает для этой цели использовать Tails, запускаемый в виртуалке?

Если общая – ничего, а если локали разные (речь не только о локалях, а о всех подобных параметрах в их совокупности)? Значит, можно различать разных анонимов, отделять активность одного из них на сайте от активности другого. Это уже не анонимность, а псевдонимность получается. От псевдонимности до полной идентификации – один шаг. Вектор движения вам должен быть понятен.

Вообще, людей вычисляют не только по IP. В тяжёлых случаях – в основном не по IP, как мне кажется. Достаточно соотнести вашу активность в онлайне и в оффлайне, чтобы сузить поиск до настолько малого количества людей, чтоб всех претендентов можно было проверить вручную.

В простейшем случае: есть виртуальная машина, которая запускается на "хостовой" ОС. В виртуальной машине запускается "гостевая" ОС. Гостевых можно быть несколько, и они могут работать параллельно. Всю предметную активность можно вынести в гостевые ОС, а в хостовой оставить только сетевые настройки и управление трафиком, фактически она будет играть роль шлюза во внешнюю сеть. Как вариант, можно на хостовой сети заворачивать в тор сетевые пакеты из гостевых ОС, направляющиеся в интернет.

Фраза "завернуть в тор" означает, что трафик (поток сетевых пакетов), покидающий сетевой адаптер (инетрфейс), перенаправляется в локальный тор-клиент вместо того, чтобы отправляться в сеть напрямую – буквально так происходит с прозрачным проксированием ("прозрачной торификацией"). В случае соксов приложения сами заворачивают свои данные в пакеты сокс-протокола и сами отправляют их на порты, на которых слушает локально запущенный тор. В обоих случаях некоторое "заворачивание" имеет место.

Там есть вариант инсталляции на физически разные машины. На Raspberry ставите Whonix gateway, на основной компьютер – Whonix station (или как там это у них называется?). После некоторой доводки и указания правильных настроек должно заработать. Основная проблема – то, что в Raspberry только одна сетевая, поэтому локальная сеть (между gateway и station) будет на Wi-Fi. Не знаю, ширфуется ли это соединение по умолчанию. Читайте документацию. Если вы ничего не знаете, настроить Whonix под ваш вариант будет, по моему мнению, проще, чем создать аналогичное решение со своим кастомным софтом.

PS: Вам "шашечки" или "ехать"? Отделяйте важные требования к софту от рюшечек. В вашем случае KDE там будет или ещё что – рюшечка. Дареному коню (готовому программному решению для масс) в зубы не смотрят. Если же считаете, что вы достаточно грамотен, то прекращайте критиковать готовые сборки и собирайте целиком всё под себя.

Да Workstation


Ну тут возможны варианты:
1. Ethernet – локалка, wifi/usb-модем интернет
2. Ethernet – инет, wifi – локалка
3. USB-модем инет, wifi – локалка

Тут умельцы смартфон собирают на Raspberry

Whonix интересен для меня своей концепцией безопасности, но огорчает реализацией (использование KDE, любимая жена Сухова среда создателя Whonix).
Если я правильно догадываюсь, то можно использовать шлюз от Whonix, а десктоп к нему замутить самому, только как это сделать пока не знаю.

А пока конкретная просьба к вам: подскажите, плиз, как настроить файрволл в Debian-8, чтобы запретить выход в Internet любых приложений по любым адресам и портам? (ну и самом собой по дефолту запрет входа в компьютер снаружи).

Но оставить при этом возможность выхода приложений в Интернет ТОЛЬКО ЧЕРЕЗ Socks, создаваемого с помощью TBB, установленного на этом же компьютере.
Т.е. "запереть" компьютер в програмной ловушке, оставив только узкий выход через TBB.

А то надоело таскать софт на комп на флешке ;)
Тем более, что зависимости в таком "флешечном" режиме порой приходится разрешать очень долго, за множество итераций.