id: Гость   вход   регистрация
текущее время 18:18 29/03/2024
Автор темы: Гость, тема открыта 04/03/2008 23:43 Печать
Категории: анонимность, атаки
создать
просмотр
ссылки

Как анонимизировать J, JS?


Известно, что при работе через сеть Tor реальную угрозу представляют атаки через J, JS. В связи с этим рекомендуется отличать их при работе. Однако же, многие ресурсы неработоспособны при работе без JS, некоторые требуют J.
Как сделать так, чтобы можно было использовать J, JS без угрозы деанонимизации?! (читал, что можно "завернуть" весь трафик на прокси через фаервол, даже получил от техподдержки юзаемого мною фаервола как сконфигурировать для этого правила, однако на практике получился разрыв соединения с инетом, ничего более умного они мне сообщить не смогли, сообщили, что отправили проблему разработчикам, только уже больше месяца никакого ответа нет).
И еще. Нашел такой тест http://www.proxyblind.org/javaip.shtml, достаточно интересный. Показал следующие результаты при работе через Tor:
1) Атака через J, моделируемая этим тестом, полностью меня деанонимизировала. Был показан мой реальный IP, наименование провайдера etc. Полный пепец!
2) Атака через J, моделируемая этим тестом, при включенном JS и выключенном J не дала результата, т.е. анонимность была сохранена.
При включенных и J, и JS, показала внутренний IP типа 168.192.1.1. Такой IP пусть воруют, скручивают в трубочку бумажку с его распечаткой и засовывают себе в одно место.
3) Другие тесты, надо сказать, при включенных J и JS не выявили использование прокси, написали, что или вы ее не используете, или юзаете высокоанонимную прокси. Обнадеживающая характеристика Tor+Privoxy, конечно, однако последние информации о деанонимизации посредством разных атак конечно напрягают. Может ложь, но кто его знает? Кругом враги и шпионы!


В связи с результатами этого теста возникают также следующие вопросы:
1) обеспечение анонимости при использовании J представляется очень актуальным. как это обеспечить?
2) возможно ли при других атаках получение внешнего IP при атаках через JS? Если нет, то получается, что при выходе в инет через маршрутизатор из ЛВС JS угрозы не представляет.
3) обязательно ли для получения ip при атаке через JS чтобы был включен также J? Если да, то получается что включенный JS при выключенном J вроде бы не должен деанонимизировать.


И еще такой вопрос. Когда проходил тесты, смотрел на соединения в журнале фаервола. Там отмечалась сетевая активность только tor, privoxy и браузера. Активность J и JS в журнале не отражалась. Как тогда соединяются J и JS, не только в обход Tor и Privoxy, но и в обход фаервола?


 
На страницу: 1, 2 След.
Комментарии
— Гость (05/03/2008 10:14)   <#>
"J" и "JS" разные вещи.
Один на стороне браузера, другой на сервере.


Как вам удалось выключить "J"? ("J" на стороне сервера.)

Или что такое "J" ?
— unknown (05/03/2008 12:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Java Runtime Environment? Java Virtual Machine (JVM)? Может быть и на стороне клиента


Активность J и JS в журнале не отражалась.


Они относятся к контексту браузера.

А теоретически в браузере может быть дыра например при обработке картинок, или ссылок какого-то специально кривого вида, которая даёт возможность запуска исполняемого кода. Тогда отключать что-либо бесполезно, пока дыру не пофиксят.
— Гость (05/03/2008 12:27)   <#>
Виртуалка + Tor снаружи.
— Гость (05/03/2008 13:01)   <#>
Активность J и JS в журнале не отражалась.
Они относятся к контексту браузера.


А почему тогда не отражались соединения браузера непосредственно с какими-то другими ip, кроме 127.0.0.1?
— unknown (05/03/2008 13:47, исправлен 05/03/2008 13:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Значит узнавание IP происходит не через коннект в обход proxy вообще, а путём выполнения комманд, например отображающих настройки сетевого соединения на машине пользователя непосредственно, и отсылки этих данных через Tor.
— Гость (05/03/2008 14:19)   <#>
Значит узнавание IP происходит не через коннект в обход proxy вообще, а путём выполнения комманд, например отображающих настройки сетевого соединения на машине пользователя непосредственно, и отсылки этих данных через Tor.


Разве внешний ip известен моей машине? Или она ява как через машину в маршрутизатор тоже залазит?!
— unknown (05/03/2008 15:14, исправлен 05/03/2008 15:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
traceroute через java?
— Гость (05/03/2008 15:54)   <#>
обеспечение анонимости при использовании J представляется очень актуальным. как это обеспечить?

Можно, но сложно. Для этого понадобятся тонкие глубокие настройки и понимание того как оно всё работает. Поднимается файерволл с извращённым правилами и извращённым рутингом на Linux. Организуется чрут для запуска браузера. Включается запрет на уровне ядра на выполнение всех команд которые могут позволить юзеру, из подкоторого запускается браузер, узнать ip типа ifconfig и прочих. На файерволле принудительно весь трафик от нужно юзера рутится в тор.

Наиболее просто это организовать когда есть две машины: одна – рабочая, у которой есть только виртуальный IP, и которая выходит в сеть через сервер, где стоит файерволл, силком заворачивающий трафик в тор. Соединение между локальной машиной и таким сервером должно быть по VPN и всё остальное резаться.

При желании на продвинутых системах можно организовать всё и на одной машине, но мне совершенно не очевидно что это можно будет сделать где-либо кроме Linux. Возможно, прийдётся поиметь секс с политиками мандатного доступа на Linux типа SeLinux'а.

Задача эта, хоть и интересная, вроде бы не описана в стандартных руководствах.

P. S.: джаву по самом деле запрещают не только потому что "она позволяет выполнить код на стороне колиента легитимным образом" но и нелегитимным. Когда мне всё-таки пришлось поставить JRE все существующие версии были дырявы. Вот и сейчас, далеко ходить на надо:

Именно поэтому в open-source-коммунити java'у не любят, не уважают, не инсталлируют и если и держат, то только далеко/глубоко в чруте/песочнице. На джаве пишут только ублюдки. Если угодно, отказ от джавы – скорее более политическое решение в силу всего этого, а не технические сложности, как это некоторым кажется.
— unknown (05/03/2008 16:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
На джаве пишут только ублюдки. Если угодно, отказ от джавы – скорее более политическое решение в силу всего этого, а не технические сложности, как это некоторым кажется

Ну может и не ублюдки, но упёртые *** точно. Именно привязка разработчиков к java-клиенту мешает использовать такие анонимные сети как I2P, Freedom.

Вопрос действительно политический.

Восемь лет кажется от компании Sun непрерывно требовали отдать Java под GPL.

До того момента её нельзя было включать в свободные дистрибутивы и самомостоятельно фиксить баги кому-либо кроме Sun.

Когда они в 2006-2007 году постепенно и с неохотой после многочисленный отнекиваний перевели весь java-код под GPL, было уже слишком поздно. Коммьюнити вокруг этого стандарта не было сформировано, ковырять код написанный когда-то закрытым образом и развивать это стандарт особо желающих нет.

В свободных системах java пока не приживается.
— Гость (05/03/2008 20:00)   <#>
Именно привязка разработчиков к java-клиенту мешает использовать такие анонимные сети как I2P, Freedom.

Да, как раз хотел сказать о том что фринет написан на джаве.
— Гость (05/03/2008 20:24)   <#>
Именно поэтому в open-source-коммунити java'у не любят, не уважают, не инсталлируют и если и держат, то только далеко/глубоко в чруте/песочнице. На джаве пишут только ублюдки. Если угодно, отказ от джавы – скорее более политическое решение в силу всего этого, а не технические сложности, как это некоторым кажется.


У меня один из инет-банкингов без говноjava не работает
— sentaus (05/03/2008 21:05, исправлен 05/03/2008 21:05)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Хм. А о какой безопасности может идти речь, если вы хотите выполнять на своей системе загружаемый из сети код?
— ntldr (05/03/2008 22:02)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Вместо всяких извратов проще будет настроить виртуальную машину, поставить в нее ОС не содержащую никаких конфиденциальных данных, и пустить ее через виртуальную сеть только в TOR. На этой ВМ вы можете запускать практически что угодно без вреда для безопасности и анонимности.
— Гость (05/03/2008 22:25)   <#>
настроить виртуальную машину, поставить в нее ОС не содержащую никаких конфиденциальных данных, и пустить ее через виртуальную сеть только в TOR. На этой ВМ вы можете запускать практически что угодно без вреда для безопасности и анонимности.

А может ли ява код выполняемый под виртуальной машиной составить фингерпринт системы (серийные номера проца или другово железа)?
— Гость (05/03/2008 22:29)   <#>
Вместо всяких извратов проще будет настроить виртуальную машину, поставить в нее ОС не содержащую никаких конфиденциальных данных, и пустить ее через виртуальную сеть только в TOR. На этой ВМ вы можете запускать практически что угодно без вреда для безопасности и анонимности.


Стыдно признаваться в собственном ламеризме, но не подскажете, где что-то можно почитать о том, как устанавливать и юзать ВМ?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3