id: Гость   вход   регистрация
текущее время 19:36 28/03/2024
Автор темы: Гость, тема открыта 11/10/2006 13:37 Печать
создать
просмотр
ссылки

Конкретный пример


Да, я читал форум и понимаю, что ответы на большинство этих вопросов были. Но они рассеяны по всему форуму, и зачастую одна тема противоречит другой...
А хотелось бы получить конкретную, работающую схему для решения задач (если можно, с ссылками на программы):
1) Анонимный веб-серфинг
2) Анонимная работа с почтой + шифрование
3) Анонимное использование ICQ + шифрование (именно ICQ, не Jabber). PGP вроде позволяет шифровать переписку по ICQ, да?
4) Анонимная работа с платёжной системой типа WebMoney или RuPay. Если использовать Web-интерфейс через броузер, завёрнутый в Tor, то этого достаточно?


Мне кажется, эта тема будет полезна многим и её можно прилепить, чтобы новичкам не пришлось долго искать информацию, если они не хотят углубляться в тонкости.


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— Гость (01/08/2007 09:02)   <#>
Извиняюсь за возможно несвоевременные ответы (я отвечаю на 4 страницу топика), но возможно они кому нибудь окажутся полезны.

В любом случае, я не вижу принципиальных причин как можно отличить виртуалку.

Отличить виртуалку можно. Вот вам два метода на выбор (для их понимания понадобиться знание x86 ассемблера и защищенного режима).

1 – выполняем следующий код:

Функция возвращает TRUE на виртуальной машине, FALSE на реальной.
2 – выполняем следующий код:

Результат такой же, как и у предыдущей функции.
Работа первого метода основана на недоработках в эмуляции таймингов во всех распостраненных вм, а второго метода – на невозможности программной эмуляции непривилегированых инструкций (вроде sidt).

Вышеуказаные методы не единственные, существует еще ряд фундаментальных отличий между виртуальной и реальной машиной.

Интересно, они по умолчанию только логи кто куда звонил пишут, или и содержание всех разговоров? :)

Есть достаточно достоверная информация, что мобильные разговоры пишуться всегда и в полном обьеме, и храняться несколько лет.
— Гость (01/08/2007 09:14)   <#>
Памяти не хватит на разговоры. Только если небольшой буфер на один-два часа, скажем (подсчёт ёмкости накопителей оставляю в качестве домашнего задания для читателя).

И так, подсчитаем.
Типичная скорость записи использующаяся для речи = 8кбс. На сутки записи уйдет соответственно (8 * 60 * 60 * 24) / 8 = 86400 килобайт = 84мб. Пусть сотовый оператор одновременно пишет 10000 разговоров (реально одновременно идет гораздо меньше разговоров), значит у него будет уходить 820гб в день.
Теперь подсчитаем доход получаемый оператором от этих разговоров. При стоимости 1 цент/мин (меньше не бывает), за сутки у него будет выходить (1 * 60 * 24 * 10000) / 100 = 144000$. Стоимость винта на терабайт около 500$. Вот и оценивайте возможность записи всех разговоров...
— spinore (02/08/2007 04:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Отличить виртуалку можно. Вот вам два метода на выбор (для их понимания понадобиться знание x86 ассемблера и защищенного режима).

Я писал о "принципиальнях причинах". Перефразируя, можно сказать так: мне неизвестно о существовании каких-либо теоретических ограничений на конструирование нераспознаваемых виртуальных машин. Речь об уже существующих конкретных реализациях, конечно же, не идёт. В добавок заметим, что программа после инсталляции не должна иметь права на выполнение любого кода в рамках виртуальной машины, хотя создатели электронных денег добиваются именно этого (код WM Keeper не открыт).
— Гость (02/08/2007 17:48)   <#>
Я писал о "принципиальнях причинах".

Ну хорошо. Могу привести принципиальную причину. Это закрытость документации по внутреней архитектуре процессоров, без знания которой невозможно абсолютно идеентично их эмулировать. Тоже самое касается почти любого железа, которое тоже должно эмулироваться в мельчайших подробностях (включая тайминги операций и их изменения при повышении температуры от активной работы).
Чтобы сделать принципиально недетектируемую виртуальную машину, необходимо произвести моделирование на физическом уровне. Для этого необходима принципиальная схема моделируемой системы, и крайне подробная математическая модель всех ее компонентов, которая бы учитывала не только электрические, но даже тепловые характеристики. Модель должна включать в себя даже такие вещи, как вентиляторы охлаждения (как известно, скорость их вращения можно измерять и изменять программно).
Моделирование системы на таком уровне возможно разве что на лучших суперкомпьютерах, ну а сложность создания такой модели я не берусь даже подсчитать, ибо она кажется неимоверной...

З. Ы. Моя работа как раз связана с программированием виртуальных машин, так что если есть вопросы по принципам и особенностям их работы, то я готов ответить.
— spinore (03/08/2007 03:01)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Ну хорошо. Могу привести принципиальную причину. Это закрытость документации по внутреней архитектуре процессоров, без знания которой невозможно абсолютно идеентично их эмулировать. Тоже самое касается почти любого железа, которое тоже должно эмулироваться в мельчайших подробностях (включая тайминги операций и их изменения при повышении температуры от активной работ0ы).

Вы имеете в виду случай, когда внутри виртуальной машины есть возможнсть выполнить произвольный код без каких-либо ограничений? Кстати, документация на процессоры AMD разве не открыта? В принципе, виртуальную машину можно сделать реальной, но близкой по своему смыслу к тому, что хотят от виртуальной, настроив соответствующим образом файерволлы и прочие характеристики на сторонней машине, контролирующей полностью доступ к внутренней (?).
— Гость (03/08/2007 05:14)   <#>
В случае, если исполняемый код ограничен ring3 уровнем привилегий, число возможных методов детекта сокращается, но нам по прежнему потребуется моделирование процессора на физическом уровне. К примеру, я без всяких привилегий могу подсчитывать графики отношение времени чтения/записи памяти к размеру данных к которым идет обращение. На реальной машине эти графики всегда будут гладкими, а на виртуальной – на них будут частые провалы, и смазаны границы процессорных кешей. Это связано с тем, что код внутри виртуальной машины исполняется на одном процессоре с реальной, и код host системы вытесняет гвеста из кеша. Это относиться только к виртуализаторам использующим исполнение кода вм в р3, либо аппаратную виртуализацию (Wmvare, Virtual PC, Parallels, Xen), ну а виртуальные машины работающие на принципе полной эмуляции (Boch, Quemu) будут показывать линейные графики скоростей памяти и различных инструкций, просто потому, что в них реализована модель процессора на уровне системы команд, а для корректной эмуляции кеша и конвеера модель должна быть на уровне логической схемы процессора.
— spinore (15/08/2007 13:08)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Вообще да, познавательно :)
По-видимому, правило это – общее. В частности, из подобных же рассуждений следует, что если компьютер сниферит (пассивно слушает пакеты) и при этом работает с интернет в online, то злоумышленник, способный слушать все исходящие пакеты в реальном времени, сможет сказать, что снифер запущен или нет (должно сказаться на задержках отправляемых пакетов и на прочих выходных характеристиках). Однако, в силу ограничений на мощность компьютера и пропускную способность канала атака может быть не всегда осуществимой – нужно учитывать реальные характеристики, то есть "эффект из-за самой конструкции" в принципе возможен (некий чёрный ящик, на который можно воздействовать, обязан менять своё состояние, а изменение его состояния можно пронаблюдать), но может быть ненаблюдаем если задавливается другими эффектами, которые оказываются более сильными.

В принципе, виртуальную машину можно сделать реальной, но близкой по своему смыслу к тому, что хотят от виртуальной, настроив соответствующим образом файерволлы и прочие характеристики на сторонней машине, контролирующей полностью доступ к внутренней (?).

На этот вопрос тоже хотелось бы получить ответ...
Перефразируя более понятными словами: устанавливаем ОС, которую хотели бы эмулировать, на отдельный компьютер, который имеет соединение с внешним через другой компьютер-файерволл. На файерволле делаем нужные сетевые настройки, из-за которых внутренний компьютер может выходить, допустим, только через сеть tor. Сможет ли зафайерволленый компьютер, если на нём выполнить произвольный код, дать программе знать об истиной топологии сети и о том, что "конструкция слишком специфична"?
P. S.: Ещё можно подправить значения пакетов TTL и прочие нужные...
— Гость (15/08/2007 14:44)   <#>
В частности, из подобных же рассуждений следует, что если компьютер сниферит (пассивно слушает пакеты) и при этом работает с интернет в online, то злоумышленник, способный слушать все исходящие пакеты в реальном времени, сможет сказать, что снифер запущен или нет

Для обнаружения снифера в сегменте локальной сети, обычно создают в нем большой трафик (который снифер обязан перехватывать), и меряют изменения времени ответа на пинги всех машин в сегменте. Работает с практически 100% надежностью.


Сможет ли зафайерволленый компьютер, если на нём выполнить произвольный код, дать программе знать об истиной топологии сети и о том, что "конструкция слишком специфична"?

Именно TOR легко детектиться по внешнему ип. Ну а если трафик к примеру через NAT на другой машине заворачивается в VPN, то конфигурация будет неотличима от самой типичной (когда инет раздается через нат в локалке).
— spinore (15/08/2007 22:33, исправлен 15/08/2007 22:37)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Для обнаружения снифера в сегменте локальной сети, обычно создают в нем большой трафик (который снифер обязан перехватывать)

Я думал даже ещё проще: большой траффик перегрузит FW, который будет вынужден его фильтровать – это и вызовет ту самую паразитную нагрузку.
Спасибо за ответы, действительно, постфактум уже очевидно. :)
У меня ещё спрашивали "что будет, если компьютер искуственно будет вставлять задержки между отправкой пакетов в сеть когда работаетс online сервисами и сниферит". Моё мнение в том, что нужно соизмерить пропускную способность канала, то время, на которое прийдётся замедлять пакеты и прочее.. но вряд ли поможет, поскольку выходные характеристики будут вида "F(x)*G(y)" где сам сниферящий может влиять только на F, а внешний DoSящий мир – на G. В итоге, даже вставляя задержки между пакетами, время отклика пропорционально растянется. Однако? Здесь есть вопрос кто раньше сломается: компьютер не сможет противодействовать DoSу и это скажется на задержках пакетов, либо канал забьётся DoSом раньше и атакующий не сможет продетектить снифер. Вопрос чисто академический: возможен ли недетектируемый снифер (?).
— Гость (25/08/2007 01:57)   <#>
код внутри виртуальной машины исполняется на одном процессоре с реальной

В последнее время получают распространение двухядерные процессоры.
— Гость (25/08/2007 06:22)   <#>
Вопрос чисто академический: возможен ли недетектируемый снифер (?).

Да запросто. Достаточно отключить на машине tcp/ip, и снифер станет недетектируемым. Тут достаточно соблюдения всего лишь одного условия – машина на которой запущен снифер не должна отправлять никаких пакетов в сеть.
— Sten (12/03/2008 20:48)   <#>
Чет всякая фигня. Что может быть дороже жизни. Расклад прост – когда тебя взяли выбора два. Либо ты откроешь злоумышленникам систему и тебя убьют, либо тебя убьют все равно ;-) А при такой степени безопасности Вас есть за что убрать. Короче вывод прост – не лезте в такие темы в которые лезть не должны.
— ntldr (12/03/2008 22:29)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Что может быть дороже жизни.

Дороже жизни может быть несколько жизней. Если ты не раскроешь тайну – тебя убьют. Если раскроешь – кроме темя убьют и других замешаных в этом деле. Что лучше выбрать?
— Гость (15/05/2009 16:26)   <#>
Гость:
(01/08/2007 09:02) Есть достаточно достоверная информация, что мобильные разговоры пишуться всегда и в полном обьеме, и храняться несколько лет.

Есть инсайдерская информация (все мы когда-то с кем-то вместе учились и кто-то где-то теперь служит), что в частности в на территоррии ЮФО расклад такой: Билайн и МТС пишут параметры каждой сесии по всем номерам, а при получении предписания спецслужб дополнительно пишут все разговоры по заявленным номерам; Мегафон Кавказ пишет и сессии и разговоры по всем номерам без предписаний и хранит звуковые файлы в течение 2 лет на случай запроса органами. Видимо Рейману в свое время выдали генеральное предписание в довесок к монополистическим льготам (ну типа как Вексельбергу привесили новые яйца от Фаберже).

Гость:
(01/08/2007 09:02) Извиняюсь за возможно несвоевременные ответы (я отвечаю на 4 страницу топика), но возможно они кому нибудь окажутся полезны.

Ну я типа тоже припоздал.
— Гость (22/05/2009 01:06)   <#>
Ну я типа тоже припоздал.

Не суть, ибо всё равно в "последних комментариях" засвеичвается и все прочитывают, в какой бы древний топик ни написали.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3