Обезличивание шифрованного трафика: Jabber и SSL
Какую уникальную информацию несёт в себе трафик, зашифрованный SSL'ем? Может быть, противник может узнать текущее время не машине пользователя, ведь при шифровании проставляется время (в GnuPG точно так)? Или время всегда идёт в UTC, а потому "уязвимость" актуальна только для протоколов обмена шифрованными сообщениями в реальном времени? Если под браузеры есть какое-никакое решение firefox+torbutton, то что можно сказать о других приложениях, работающих с SSL/TLS, например, jabber-клиентах? Если в jabber-клиенте также включено end-to-end PGP-шиврование сообщений, пишутся ли служебные поля типа версии gpg, операционной системы, времени шифрования? Смутно пропоминается обсуждение на форуме того, что при посещении скрытых сервисов Tor следует избегать https и, якобы, лучше его вообще запретить в браузере под Tor'ом — не из этих же ли соображений?
Насчёт ручного использования GnuPG: если используется опция --no-emit-version, то противник не может узнать ничего в лоб об использованном софте, но по ряду косвенных признаков формата (PGP-пакетов?) может оценить версию gpg. Поправьте, если не прав. Как опцию --no-emit-version прописать статически в конфиге gpg?
Безотносительно проблем, пораждаемых шифрованием, сами jabber-клиенты сообщают о себе слишком много: большая часть – точную версию клиента, часть из них – также и ОС. Есть ли такие клиенты, которые позволяют не афишировать свой тип и среду в которой они работают, или, ещё лучше, предоставлять фейковую информацию, выдавая себя за самый распространённый jabber-клиент в самой распространённой конфигурации и ОС?
Помню, что эти вопросы уже вскольз затрагивались, но давно и без конкретики. Может быть, теперь появились подвижки в сторону решения?
Во-первых, tkabber был приведён для примера, во-вторых, он не самый популярный клиент. Думаю, что с поправкой на то, что язык известен противнику, самым популярным среди stand-alone клиентов будет какой-нить QIP (из-за принудительной трансляции трафика QIP2QIP через jabber) или Miranda, потом – Gaim, Psi, Gajim, но официальную статистику я не видел.
Эти caps'ы уникальные в каком смысле? Два только что установленных клиента одинаковой версии поидее должны иметь одинаковые caps'ы при совпадающих ОС'ях.
Больше ничего, насколько мне известно, tkabber не передает. Некоторые клиенты могут передавать geolocation, например. http://xmpp.org/extensions/xep-0080.html
Ну, тут, как уже выше сказали — брать сниффер и смотреть.
По-моему излишняя паранойя, но если так хочется, можно взять открытый клиент популярнее ткаббера и пропатчить как надо. Патчить ткаббер чтобы он выглядел как другой клиент, по-моему сложнее будет, чем просто взять и поставить этот клиент.
Не для конкретной инсталляции, а для конкретного клиента. Т.е. у gajim, tkabber, qip, etc. свои.
Тоже не так сложно обойти.
Не помню, но там настройка есть, показывать/не показывать.
http://xmpp.org/extensions/xep-0202.html. Anyway, надо смотреть какой метод используется в конкретном клиенте, в ткаббире это вроде xep-0090.
Сам когда-то о подобной проблеме думал, попробую подытожить:
1. Использовать разные клиенты для анонимного и неанонимного аккаунов.
2. Поменять jabber:iq:version/os на анонимном клиенте.
3. Поменять jabber:iq:time на анонимном клиенте.
4. Проверить, не отправляет ли клиент User Location (http://xmpp.org/extensions/xep-0080.html).
5. Актуально для гаджима (а также adium и еще какого-то): при включенном форматировании злоумышленник может отправить станзу с ссылкой на картинку (xhtml-im), которую клиент загрузит и соответственно может спалить айпи.
6. Не принимать файлы, т.к. оно p2p.
7. Ну и дополнительно проверить сниффером/в xml-консоли не отправляет ли чего лишнего (хотя для открытых популярных клиентов это маловероятно).
Может что-то забыл.
Pidgin, кстати, запихивают в расширенный торбраузервупаковке (TBB) с IM, что как-бы намекает (если они не проверяли всё лишь снифером) на отсутствие (все)возможных информационных утечек из im-клиента или как минимум попытку их проанализировать.
Pidgin поддерживает тележку расширений. Список явно устаревший, документированно не полный, но всё же.
Как обычно клиент узнаёт своё местоположение? Пользователь сам его вводит в настройках jabber-клиента мануально или как?
5,6 – автоматически неактуальны, если firewall режет все соединения анонимного пользователя не через Tor.
Там в качестве логотипа используется, кажется, петух. Ещё мне говорили, что пиджин – редкостное гавно как джаббер :( Не хотелось бы в нём ковыряться, ICQ для меня тоже почти не актуален.
Все вышеприведённые пункты можно сделать без ковыряния сорса, если работать из-под отдельной ОС в виртуалке (время в ней можно задать не равное системному, так?).
комментариев: 9796 документов: 488 редакций: 5664
Предостережения касались только скрытых сервисов, но скрытый сервис сам по себе заменяет SSL, поскольку работает через оконечное шифрование (tor-клиент пользователя — сеть Tor — tor-сервер скрытого сервиса). Это в отличие от связи с внешними серверами интернета, где исходящий узел видит нешифрованный трафик (без SSL).
А поскольку некоторые сайты имели как открытый адрес, так и закрытый (т.е. скрытые сервисы были не для того, чтобы прятаться), то в сертификате они прописывали обычное имя сайта, а не onion, что выдавало массу вопросов в браузере при коннекте через Tor именно к onion.
При поднятии скрытых сервисов к тому же есть смысл использовать только самоподписанные сертификаты и т.д.
комментариев: 9796 документов: 488 редакций: 5664
Нет, onion-адрес — это 160-битный хэш сертификата скрытого сервиса, его вы узнаёте сами и по нему сверяется подлинность скрытого сервиса. В консенсусе DA они никак не отображаются. Это тоже аналог самоподписанных сертификатов, без CA.