Компьютер для Tor
Собираюсь использовать Tor, скорее всего в составе Tails.
В связи с этим возникает вопрос – может ли как-то повлиять на идентификацию компьютера недружественынми службами то обстоятельство, что на нем прежде уже выходили в Интернет на обычной ОС?
Мысль такая: если на нем уже выходили в Интернет на Виндовс, и та "слила" хардверные данные компьютера "куда следует", то компьютер получается уже как бы "засвеченым", т.е. известна его страна, IP и в конечном счете его владелец.
И теперь, если выходить в Интернет с того же компьютера даже через Tails, и последняя тоже нечаянно сольет (например, из-за просчетов разработчика) эти же данные в конечном узле Tor на сайты, которые посещаем, то достаточно их сопоставить – и вуаля, анонимщик, сидящий за цепочкой луковиц, изобличен и извлечен за ушко да на солнышко.
Иными словами – есть разница в анонимности/безопасности между совершенно новым компьютером с Tails, и тем, которым уже ходили в Интернет через обычную ОС?
Проще запретить пользователю, который запускает браузер смотреть любые хардварные параметры.
Если они, эти параметры нужны, как в случае с WM Keeper-ом, то их можно перебить.
А лучше использовать Виртуалку.
нужен специалист по Xen, а точнее подробный man по запуску win7(8) в domU.
Также читаем это и это. Больше не будете ставить знак равенства между дырой в браузере и дырой в ядре ОС? Если что, то у АНБ было:
egotisticalgiraffe-wapo.pdf:
Так что даже с эксплоитами на TorBrowser есть проблемы даже у АНБ. Где-то в других слайдах было написано в лоб: против текущего стейбла у нас нет эксплоита, но мы надеемся сделать его в ближайшее время. С учётом того, что заполучить рабочий эксплоит на ядро в тысячи раз труднее, чем на Firefox/TBB, масштаб ясен?
Потому, что речь идёт о Tails. У него амнезия. Все файлы стандартны за исключением тех, что были недавно загружены из сети.
То, как это нужно сделать — нет, не позволяет. Перешивать статически через фирмварь смысла нет. Какая разница, какие именно там идентификаторы? Вы, надеюсь, не собираетесь их перешивать каждый раз перед тем, как надо загрузить Tails после загрузки неанонимной ОС или наоборот? Иначе неанонимная ОС и Tails будут видеть одни и те же идентификаторы, а это линк.
Тоже плохо. Вы идёте по тому же глупому кулхацкерскому пути, по которому я шёл лет 8 назад. И такие же кулхацкеры вокруг мне раздавали идиотские советы «как пропатчить ядро». Это как раз тот случай, когда знание, как сделать, есть, а знания, что именно надо делать, нет. Ну получите вы кастомное ядро, и что дальше? Во-первых, как вы скорете от системы тот факт, что ядро нестандартное? Иначе это будет снова уникальный маркер — с чем боролись, на то и напоролись. Я уже не говорю о технических проблемах, которые может вызвать патч, если что-то не учтено, о лишних ошибках в логах, о сложности поддержки патча для актуальных версий ядер. Здесь описана печальная история патча к jabber-клиенту, а ведь это намного проще, чем патч в ядру Linux.
Я видел несколько кустарных патчей к ядрам, которые делали интересные вещи. История показывает, что либо авторы всех этих патчей в итоге на них потом забили, и на более новых версиях они не заработают, либо «используйте на свой страх и риск, т.к. мы не проверяли даже». Единственный способ как-то противостоять этому сорту проблем — проталкивать свои патчи в официальную ветку ядра, но, судя по масштабам недопонимания между Mozilla'ой и Tor Project'ом (что для второго — баг, то для первого — фича), здесь тоже не стоит ожидать лёгких путей.
Чтобы протолкнуть в ядро Linux куда более легко обосновываемый функционал — запрет смотреть список чужих процессов — у Linux-коммунити ушло 23 года = 2014г-1991г, поэтому желаю вам успехов.
Не «лучше», а это единственный рекомендуемый способ. Всё остальное — игра в прятки с самим собой.
/Форум/UnixLike/XenИПрофилиАнонимностиприватности
Только без винды, пожалуйста. Подробные маны несколько не в тему (тем более, для винды), хотя что-то когда-то кто-то может написать, если ему захочется.
В принципе, в серьёзных виртуалках были серьёзные уязвимости.
И что, все ждали этого 2014-го года? Нет. Кому надо было, например для шаред хостинга, те патчили и не парились.
Не секрет, что в плане безопасности линукс отстаёт от таких проектов как FreeBSD, тот в свою очередь отстаёт от OpenBSD, а этот в своё очередь не может угнаться за Solaris.
Это не значит что надо переходить сразу на Solaris, или плевать на безопасность и использовать дефолтный Linux. Всё патчить, хардить, облегчать, и это бесконечный процесс, идеал опять же не достижим.
[hr]
Когда я смотрю, как сообщество жуёт этот Сноудановский вброс, мне смешно. Медленно, как скот на лугу. Завтра сена ещё подвезут.
АНБ это не шаражка с 1 уровнем доступа. Мы не можем сказать с уверенностью, что например, у них нет квантового компьютера, уже сейчас способного разрушить большинство ассимитричной криптографии.
Это не 1 отдел, который занимается лишь тихоокеанской просшукой кабелей, и профилированием каждого жителя планеты.
Как сотрудник СМЕРШ может ничего не знать об операции ГРУ, и схватив нашего, советского разведчика, пытать его лекарствами. Так же и там, всё разделено, потоки по которым распространяется информация не линейны, только вверх и потом сразу в бок.
Это как зайти в Эрмитаж, сфотографировать всё что на первом этаже, и потом сказать, что мы знаем всё, что на остальных. Остаётся только гадать.
комментариев: 11558 документов: 1036 редакций: 4118
Вы не можете, а топовые исследователи в области QC скептичны.
Мне тоже кажется, что на чердаке эрмитажа нет ни каких реальных молотов Тора и табличек, которые получил Моисей от бога.
http://wiki.apparmor.net/index.php/Documentation
Не пытайтесь перехитрить самых хитрых. Защиту критических данных нужно строить исходя из того, что ОС может слить всё, до чего сможет дотянуться, поэтому надо не искать способы перебития серийников, а попросту изолировать ОС от железа: на голом железе запускать только гипервизор, а весь прикладной софт крутить в непривелегированных гостевых ОС.
Некоторые говрили, что в какой-то виртуалке скрывается даже проц, но в полноценных эффективных виртуалках, как говорят знающие люди, такое невозможно, это принципиальная особенность: гостевой ОС для функционирования нужно знать тип процессора. Если в гостевой ОС запускать графические приложения, то также будет известен размер и разрешение экрана. Всё остальное успешно скрывается (может быть скрыто, если сами не напартачите в конфигурации).
AppArmor принципиально ущербен.
Надо читать не эту ветку, а весь сайт, и не сейчас, а последние 10 лет, тогда всё было бы понятно.
Безопасность проприеатрного проекта с закрытым исходным кодом выше, чем у OpenBSD?
Извращаться можно по-всякому, но сторонние патчи — они и есть сторонние патчи.
Когда я смотрю, сколько психов залетело на pgpru.com после сноуденовских утечек, каждый со своим особым конспиративным мнением, становится не по себе. Там и Шнайер с ними всеми заодно и журналисты, и специалисты, один только Гость (06/04/2014 13:15) упорно продолжает нести нам правду «такого не может быть, потому что такого не может быть никогда» и всё на том.
Доказать несуществование чего-либо принципиально невозможно. Это основы философии, на которой строится любое научное знание, если что.
По тому, что уже слито, пусть это и обрывочные паззлы, уже можно создать общую картину. Главная идея этой картины — у них нет «особых внеземных технологий» ни для борьбы с анонимностью, ни для борьбы с криптографией, ни для получения квантовых вычислений. Лично я ожидал от них большего. Я думал, что у них есть бэкдоры для всего серийного железа, поэтому они могут, грубо говоря, «искоробки получить доступ к любому устройству, работающему на процессоре Intel» или хотя бы взломать криптографию, которую на этом устройстве используют. Я думал, что они уже давно контролируют большую часть Tor-нод, и втайне разработали такие атаки на Tor, что позволяют его щёлкать только так, а открытое сообщество об этом даже не подозревает. Я думал, что они получают доступ к роутерам потому, что уже во всём софте и железе есть их бэкдоры, им достаточно щёлкнуть на кнопку — и вот тебе рутовый доступ ко всему, что хочешь. Пока ни одна из этих гипотез не подтверждается. Всё что мы видим — традиционные способы похищения данных через ошибки в браузере и других дырявых приложениях. С мобильными ОС у них вроде как получше, но кто им доверят серьёзную информацию?
Никто таким пользоваться не будет. Пока всё работает только за счёт того, что одни могут нести юридические риски от запуска экситов, а другие нет. И те, кто их несут, Exit'ы не дома запускают.
Почему 80, а не 10 или 39? У таких сетей нет будущего как анонимных сетей.
Можно вообще Tor не использовать, в сеть ходить напрямую, это будет ещё проще. Если возникнут проблемы, скажешь «я — не я, жопа не моя, за компьютером сосед сидел» и всё, с тебя как с гуся вода, потому что нельзя достоверно определить, кто сидел за компьютером. Школоло на pgpru — такое трололо...
Ума предлагать новые анонимные сети хватает, а ума правильно оформить ссылку с учётом того, что есть квотирование и два типа скобок для ссылок — нет?
[[https://en.wikipedia.org/wiki/Suricata_(software) Suricata]]
[[https://en.wikipedia.org/wiki/Suricata_(software)]]
Нет. Есть смысл настроить виртуалки.
АНБ писало о том, что вставляло эксплоиты техникой Man-on-The-Side на весь проходящий трафик между целевым сайтом и его клиентами. Также была информация о том, что целевым сайтом однажды выступал какой-то террористический. Наверно, там эту методику и юзали. Про FH все и так помнят, надеюсь.
Вы уже жаловались, но повторяю ещё раз: Tails = Debian + настройки. Установить можно. В крайнем случае — распаковав deb руками и добавив путь к исполнимым файлам в PATH. Люди, которые будут делать целенаправленный эксплоит под Tails, все эти нюансы учтут, не переживайте (хотя, скорее, они вообще воспользуются скрытой установкой софта и заражением уже запущенных процессов, чтобы не оставлять следов).
Если б было всё так просто, как прекрасен был бы мир.
Стр. 7.
ЛПП, если только речь не идёт о крупной компании, занимающейся хостингом чужих сайтов и создающей для этого полноценную инфраструктуру безопасности.
Нет, я про фичи и всякие научные методы защиты информации. Модель Белла Лападула и т.д.
Пока Linux туда сюда гоняет NSA-шный SELinux, прикручивает Tomoyo и apparmor, в соляре уже всё давным давно создано опытными архитекторами и учёными. И цикл производства, от железа до софта – такой native на порядок безопаснее чем, пусть даже ОпенСоурсный, но кустарный метод, состоящий из триков, хаков и во многом не отличающийся от той же "защиты через незнание".
Если параноить, то чем отличается хакер Тео де Раадт от insider-а со стороны FBI в штате Sun Microsystems?
И тот и другой могут беспрепятственно установить не обнаружаемый бэкдор в свою оську. Бик-бик. Машина моя.
Ответ один – денег таких нет, поэтому эти суммы существуют чисто символически, очевидно оплата сдельная, по каким-то другим каналам. Может human trafficking, я не знаю.
комментариев: 9796 документов: 488 редакций: 5664
На корпорацию надавить проще. Они берут деньги не для того, чтобы получить конченный миллион, а чтобы не лишиться вообще возможности продолжать бизнес и получать прибыль.
Слили документы для тренингов для студентов и семинаров от студентов для студентов. Из этого всей картины не собрать. Может КК у них и нет, но и реального уровня возможностей АНБ слитые документы не отражают.