Компьютер для Tor
Собираюсь использовать Tor, скорее всего в составе Tails.
В связи с этим возникает вопрос – может ли как-то повлиять на идентификацию компьютера недружественынми службами то обстоятельство, что на нем прежде уже выходили в Интернет на обычной ОС?
Мысль такая: если на нем уже выходили в Интернет на Виндовс, и та "слила" хардверные данные компьютера "куда следует", то компьютер получается уже как бы "засвеченым", т.е. известна его страна, IP и в конечном счете его владелец.
И теперь, если выходить в Интернет с того же компьютера даже через Tails, и последняя тоже нечаянно сольет (например, из-за просчетов разработчика) эти же данные в конечном узле Tor на сайты, которые посещаем, то достаточно их сопоставить – и вуаля, анонимщик, сидящий за цепочкой луковиц, изобличен и извлечен за ушко да на солнышко.
Иными словами – есть разница в анонимности/безопасности между совершенно новым компьютером с Tails, и тем, которым уже ходили в Интернет через обычную ОС?
Прочитайте эту статью http://www.xakep.ru/post/60795/ Onion Pi: портативный Tor-прокси на базе Raspberry Pi //17.06.2013
Как Вариант, рядом с рутером распологается размером с кредитку Tor Onion Pi нода, на рутере просто открыты порты DirPort и ORPort с перенапровлением на MiniPC.
Дальше весь трафик проходит через raspberrypi, если нужна анонимность, иначе – как обычно. Такой децельный свитч закручивается прямо на рутере или на машине через Iptables.
Что касается железных маркеров, это MAC адреса https://en.wikipedia.org/wiki/MAC_address
Да, если сначала стоял Масдай, и с него выходили в сеть, на стороне провайдера очень легко по отпечаткам понять, что это был Масдай. Дальше, если поставили линукс или просто загрузились в Tails, то на стороне провайдера опять же видно, что та же самая сетевушка с тем же самым мак адресом, но уже с Линуксом, ломится на Tor-ноды для коннекта.
Кроме мак адреса, в хорошем и обычно случае, ничего из железных маркеров на сторону провайдера не улетит.
В случае с мидл-нодой, на стороне провайдера будет видна лишь Raspberry Pi, а всё что прозрачно проксифируеца в Tor внутри локальной сети, никакие мак адресы провайдеру не сольёт, и тем более не сольёт в Tor сеть. Лишь Raspberry Pi будет видить железо, то есть канальный(data link) и физический(physical) уровни.
См. https://ru.wikipedia.org/wiki/Сетевая_модель_OSI
Другие железяки размером с кредитку:
http://www.adlinktech.com/PD/m.....R_Datasheet_en_2.pdf
При наличии опыта и достаточных знаний, все эти маркеры можно перебить на стороне операционной системы, и делать это при каждой новой загрузке. См. https://calomel.org/mac_random.html
Так же, их можно *стирать*/*менять* на стороне файрвола(firewall) используя современные активные сетевые системы обнаружения вторжений, как например Suricata. См. https://en.wikipedia.org/wiki/Suricata_(software)
короче, варианты есть.
"Нужно подключить Onion Pi через Ethernet-кабель к модему или прочему оборудованию интернет-провайдера, который обеспечивает связь в вашем доме, на работе, в гостинице и т.д."
Кто интересно даст ковырять свой модем/роутер в гостях, на работе, гостинице?
Другое дело, если бы можно прикрутить к 3G модему/роутеру или у этого устройства был бы еще 1 wifi адаптер для соединения с free wifi сетью той же гостиницы, работы, кафе и т.д.
Это всё фантазии, можно хоть как крутить.
Конечно, в гостиннице никто тебе порты не пробросит, и в гостях врядли у тебя желание будет из кредитной карты вдруг неожиданно поднимать Tor-Exit-ноду.
Это когда любая нода – узел.
Любой кто в сети – участник луковой маршрутизации.
Глядя на FreeNet и I2P с их скрытыми сервисами хочецца плакать. Такая же картинка сейчас в Tor. Но я верю, что всё исправится, благодаря тому, что Tor – это в первую очередь surfing platform, а HS там закручен, просто ради забавы, и находится в пре-пре-альфа тестировании.
Агресивный клон Tor мог бы выглядеть так:
* полное следование за исходниками Tor, во избежания путаницы в будующем.
* каждый участник становится Dir нодой – автоматически, даже не имея внешнего IP.
* голосование и спид-тест вычеркнут медленные ноды позже, умолчанные настройки можно переправить и превратить свою ноду в клиент.
* Небольшой патч закручивает каждого клиента за NAT-ом в мидл-ноду.
* Exit – тоже по умолчанию.
Сколько пользователей в Internet-е? 5 Миллиардов?.....
Сколько пользователей у Tor-a? – Миллионы?....
Сколько Tor нод? – 5 тыщь.
Сколько Tor Exit-ов? – 1 тыщща.
Клон дал бы реальную возможность показать всю мощь этой луковой маршрутизации. Никаких публичных Шар не делать для гуглов, что бы Exit-ы не банили. Захотят, сами станут нодой.
Лимитку для дефолтной конфигурации подсчитать, каждый клиент может владеть лишь 80% информации о сети, и не давать ему больше. Так гугл – будет сасать, никто нас не забанит.
Общался с разработчиками Tor-а, такие слова "Bandwidth the King", ну и голосовалку потюнить, она повычёркивает все медленные ноды автоматом.
Пока твоя нода здаёт экзамены от X% сети на скорость, ты сёрфишь спокойно, как экзамен пройдёт – ты уже мидл, и экзит. Кофе допил, валишь из Кафе, отключаешься – нода своё отпахала. И никакие порты не надо пробрасывать и никакие настройки не нужны – ДЕФОЛТ.
Уверен, что bandwidth перестанет быть King-ом спустя лет 5-10, учитывая что мы проскочили ложбинку закона Мура, и уже давно летим по отвесной стене.
То, что видно на стороне провайдера, не напрягает, видит он, что кто-то ходит Тором непонятно куда – ну и ладно, крамолы в этом нет.
Страшнее там, куда тайно поступают хардверные данные, именно там производится анализ и идентификация железа и юзера.
Имхо, всякие эксклюзивные желязяки легко приводят к идентификации, надо что-ниубдь массовое, "как у всех".
комментариев: 9796 документов: 488 редакций: 5664
Если всех сделать нодами, то анонимность будет даже падать, она не зависит тупо от количества узлов. Пропускная способность и стабильность каждого узла, в числе прочего, важна не только для скорости сети, но и для анонимности.
Плюс, по мере роста становится невозможным эффективно объединять, заверять, раздавать и сохранять одинаковой для всех пользователей статистику сети. А также выявлять все попытки злоупотреблений над статистикой со стороны заверителей по подписанным логам того, что они раздавали. А это легко позволит разделять пользователей путём подмены узлов и изоляции от них, вбрасыванию подконтрольных или виртуально-фиктивных узлов и искажению статистики таким образом, чтобы трафик пользователя шёл только через злонамеренный набор узлов.
Любая виртуализация, VMware / VirtualBox (Oracle) / Parallels (Mac), даже аппаратная Xen, ничем не отличаются от обычного chroot, в плане безопасности.
Из названия "chroot" можно увидеть, что это не инструмент информационной безопасности, это "change root".
Изолируя платформу для сёрфинга таким програмным решением Вы не спасёте хост систему и свою анонимность от атакующего.
Сценарий:
* FBI в рамках программы по борьбе с детской порнографией находит в FreedomHosting-e удалённую уязвимость, эксплуатирует её и заражает все сайты этого хостинга сплойт паками, заранее против платформ Firefox, Chrome, IE, любых других, используя неизвестную общественности уязвимость в интерпретаторе javascript-а.
* Вы заходите на ничем не примечательный onion сайт, используя VMware и Tails внутри.
* Сплойт пак пробивает Firefox, видит VMWare, подкачивает с сервера FBI дополнительный сплойт, пробивает VMWare, выходит на localhost и заражает его, отправляя отчёт на сервера FBI.
Если для сёрфинга использовать отдельный компьютер, только для Tor, безопасность Вашей анонимности повышается в разы.
Этот компьютер может не иметь соединения с сетью, а быть подключенным лишь к TorBox. Как я описал выше, RaspberryPi, на ethernet интерфейсе этому отдельному компьютеру открывает один лишь порт 9050(socks5). Все остальные порты закрыты. Nat для этого интерфейса отключен.
Т.е. с отдельного компьютера для Tor, кроме одного лишь порта 9050, не видно вообще ничего, лишь закрытый файрволл RaspberryPi.
В этом случае, для FBI, что бы разрушить Вашу анонимность, необходимо иметь дополнительно сетевой эксплойт против iptables, например, против сетевого стэка последнего обновлённого ядра Debian, который будет установлен на вашем FreedomBox-е – RaspberryPi.
Безопасность это борьба компромиссов. В данном случае, я думаю многие со мной согласятся, уязвимость в iptables (который можно хорошенечко затюнить) гораздо дороже, чем уязвимость в VMware. Т.е. её сложнее найти. Для примера, можно рассмотрить браузер lynx и бразуер от Microsoft, Internet Explorer. В данном случае, iptables – это lynx. Найти сплойт против Microsoft гораздно легче, чем против lynx.
Дополнительные плюсы таких решений в их уникальности и нестандартности. Если в случае с VMware и Tails, FBI может заранее предвидеть сценарий, такая конфигурация вероятно очень популярна. То вываливаясь из пробитого через js Firefox-а на bare hardware, в локальной сети, где всё фильтруется и работают Network-IDS-ы в ожидании такого события, врядли FBI-сплойт-пак будет знать что делать.
В данном случае, FBI можно заменять на NSA/ФСБ/злых хакеров растущих на дрожжах сегодняшнего Metasploit-а.