Читаем топик.


В тред картинки не встроить, но ссылку на картинку на другом сайте дать можно.


В этом комментарии есть все нужные ссылки по вопросу видалии. Открывайте их и читайте (новостный анонс в Tor-блоге, баг-тикет и обсуждение в баг-тикете).


Это стандартное предупреждение, которое Tor выдаёт в логах, когда приложение обращается в сеть не по DNS-имени, а по IP-адресу. Не всегда, но часто это сигнал об утечках через DNS-резволинг.

Так Вы его не пускайте! Правило создали и закрыли все порты на вход.
Что вам до того, что кто-то сканирует ваши порты?
А как в инет выходите? rg45 напрямую воткнут в комп или роутер?

> мне нужен не сам файрвол, а "сигнализатор" вторжения или утечки.
Читаем топик.

Кстати долго гуглил касательно утилит для Linux, которые умеют показывать процессы использующие сетевые подключения, и единственное что нашел – это nethogs. Теперь пытаюсь понять, как заставить его писать все в лог)

Читаем топик.

Прочел с интересом, топик оказался интересным потому что топикстартер озвучил теже самые проблемы которые нужно решить мне. Но готовых решений в дискуссии не нашлось, вместо этого грызня от начала до конца и хотя автор чегото там нашел, но что??

В этом комментарии есть все нужные ссылки по вопросу видалии

Старательно прочел все, но то ли мой гуглопереводчик неправильный так ничего там и не понял. Вы можете в нескольких словах объяснить их отказ от продолжения Vidalia?

Что вам до того, что кто-то сканирует ваши порты?

Меня действительно заботит совсем другое: попытки выхода программ наружу. Придется привести практический пример, иначе чуствую вы меня не поймете.

Винда 7. NOD32 в котором файрволл настроен на диалоговый режим, при котором любая программа или процесс сначала сообщает о своих намерениях выйти наружу, а я решаю дать эту возможность или заблокировать.
Так вот когда я запустил обычный Firefox сколько я узнал о нем интересного!! :)
Оказывается после запуска он начинает устнавливать соединения не только с mozilla.org что вполне объяснимо, проверяет апдейты, но и рвется в Гугл, Amazon и т.д.- что он там забыл???
И когда я заблокировал все подозриельные попытки коннектов, этот негодяй вообще перестал ходить в интернет :(
Вот видите в какого трояна превратили разработчики Фарфокс: он за вас решает куда ему ходить, а если вы запрещаете то он бастует. Не будь такого детектора утечки я никогда бы не узнал об этом.
То же самое многие инсталляторы Setup.exe: после запуска перед тем как приступить к работе, они обшаривают пол-интернета пытаясь установить соединения со всякими сомнительными IP о которых нет никаких внятных сведений – наверняка идет слив какой-то инофрмации!
И многое подобное. Отмечу что все эти попытки вырватся наружу я вижу сразу во всплывающем окошке с именем програмым, процесса и адреса куда они рвутся и этого вполне достаточно, и как только они проявляются и тут же блокирую. И если это же пытаться делать с помощью логов, то вопервых это крайне трудоемко и неудобно во вторых непонятно к какому приложению будет относться попытка.

А как в инет выходите? rg45 напрямую воткнут в комп или роутер?

Тут по разному: дома через роутер, дедики напрямую как голый Вася :)
И в том и другом случае удобного инструмента утечки нет.

Это стандартное предупреждение, которое Tor выдаёт в логах, когда приложение обращается в сеть не по DNS-имени, а по IP-адресу.

Вот видите! Vidalia меня мгновенно предупредила об расности в риалтайме! А TBB был нем как рыба :( И поэтому откада мне знать что надо лезть в его логи и чтото там выяснять.

Какие-то были (якобы в CentOS или SUSE). Читайте внимательней.

Т.е. так и не поняли, что это не нужно, а вы хотите неправильного?

Когда-то давно был firefox, к которому было расширение torbutton. Позже прикрутили Vidalia для старта Tor и firefox. Потом firefox стал обрастать специальными патчами и форкнулся в тор-браузер. Зоопарк из связки тор-браузер+тор-буттон+видалия был оверкилом, и разработчики хотели свести всё к одному цельному проекту. Видалия была нужна только для того, чтобы запускать Tor, а если он запустился, запускать Tor-браузер. Этот функционал реализовали без видалии с помощью так называемого тор-ланчера — ещё одного расширения в тор-браузере. Контроль Tor-а спрятали в луквицу в окне браузера, больше не нужно лезть в другие окна. Т.е. из зоопарка разных тулов слепили один монолитный комбайнер, попутно кое-что упростив. Решили, что поддерживать один комбайнер для всех проще, чем зоопарк разных программ в связке. Карта (атлас) при этом потерялась, остался только список стран и IP, через которые идёт соединение. Судя по дискуссии в баг-тикете, карту ещё могут вернуть каким-то образом, но, наверно, у тор-проекта это не в приоритете.

Вы пытаетесь в линуксе мыслить и работать как в винде, а это другая система с другим устройством и другой идеологией. Во-первых, разделение по программам ненадёжное, оно обходится, надёжное — только по пользователям. Т.е., отлавливать такой "сигнализатор" может только нарочные утечки, а не целенаправленные трояны, сделанные с учётом этого сигнализатора и маскирующиеся под другие программы. Во-вторых, детальный сигнализатор быстро приучает пользователя тупо тыкать на "разрешить", потому что список программ, IP и хостов, которые нужно разрешить для нормальной работы, огромен и динамически меняется. Понятно и то, что целенаправленный троян весь этот контроль обойдёт. В-третьих, если вы пользуетесь нормальными программами, там и так известно заранее, какие порты им нужны, какие соединения следует разрешить — вы их разрешаете в правилах фаервола, а остальной минимум сыпется в логи, которые периодически просматриваются. Можно прикрутить сигналку на появление новых сообщений в логах, если кому-то хочется. Можно сделать и блокиратор в реальном времени, который задерживает пакеты и ждёт реакции пользователя — разрешать их или нет, но в силу сказанного, такое ручное управление трафиком в линуксе мало кому нужно.

Фильтрация трафика идёт по политикам: таким юзерам по таким протоколам на такие-то порты — можно, другим — нет. Вы заранее описываете политики и больше не лезете внутрь. Всё, что не подпадает под политики, сыпается в логи заблокированных пакетов, которые можно просматривать и изучать на предмет того, что попыталось сделать утечку и почему. Однако, в логах будет только UID пользователя, но не название программы, которая породила эти пакеты. Почему так — описано выше, названия программ ненадёжны, и фильтрацию по ним убрали из ядра линукс. Наверно, можно сделать детальный лог всех запускаемых под каждым юзером процессов, а потом сличать этот лог с логами блокированных пакетов, но это будет громоздко. Такие системы аудита должны быть, но интуиция мне подсказывает, что они используются для отладки системы, а не для рутинного повседневного анализа возможных проблем и утечек.

Чем вам netstat не понравился? Можно воспользоваться снифером

Вот отсюда и далее, что касается ОС, программ, сетей, вопрос о доверии можете опустить. Ну или создаете сами себе свой интернет и ресурсы в нем, пишите программы и наслаждаетесь полным осутствием утечек. Если скучно будет и потянет к народу, придется изучить код всего чем привыкли пользоваться, до кучи провести аудит интернета (ну вдруг кто там из-за угла за вами смотрит) Да да.. а по-другому никак.

100500 раз сказано уже. Нечего браузеру голову глумить.
Для таких забав есть системный Tor. Ставьте и учитесь настраивать. А чтобы фенечки всякие наблюдать ставьте свою vidalia.
Отстаньте вы от ТВ. Он скоро пожалуется на вас разработчикам.

Т.е. из зоопарка разных тулов слепили один монолитный комбайнер, попутно кое-что упростив. Решили, что поддерживать один комбайнер для всех проще, чем зоопарк разных программ в связке.

Понятно. Спасибо за столь понятное объяснение.
Ключевая фраза здесь: поддерживать один комбайнер для всех проще
Т.е, сделали проще для себя, любимых, а интеерсы пользователй пошли лесом. Как и атлас.

Что ж, придется начать затяжную баталию с этит ленивыми разрабами.
Жаль, как Чапаев, языками не владею, а гугл в этом деле плохой помощник. Он порой противоречит сам себе и порой выдает такие перлы что хоть стой хоть падай :(

Можно прикрутить сигналку

Можно сделать и блокиратор в реальном времени,

Да, можно, и многое еще "можно" в этом линуксе, только вот где оно?
Или вы предлагаете делать это мне, обычному пользователю?

Дальнейшее изложенное вами весьма познавательно, спасибо. Только не со всем из него согласен, и не уверен, стоит ли затевать дискуссию еще и по этому поводу.
Ведь будете считать, что я не прав, а у меня другая точка зрения на это. Не это же не лишает меня прав искать то, что мне нужно?

Чем вам netstat не понравился? Можно воспользоваться снифером

Мне он ничем не понравился. Как и снифер, оба решают совсем другие задачи, и их их использвание в качестве только детектора утечек как из пушки по воробьям: и избыточно, и утомительно.
Все что ниже, уважаемый гыук, контпродуктивно и отвечать в такоем же духе не стану.

«чтобы понять рекурсию, нужно сначала понять рекурсию»

Детектируется тупиковая ситуация :-)

... как и лёгкость привязки TB к системному тору, как и удобство включения/выключения JS, как и простота смена дефолтных портов тора. Атлас на фоне этих проблем — рюшечка и мелочь.


Лучше не отвлекайте разработчиков от важных дел. Те, кто могут написать мотивированный тикет, с английским проблем не имеют. Если есть проблемы с английским, есть проблемы и с пониманием IT и всего остального – не вешайте на других свои проблемы.


Да, выбирать из существующего или делать самому из тех инструментов, которые есть.


Ищите на здоровье, на чужих ошибках всё равно мало кто учится. Если вам нужно нечто, что не нужно другим, это повод задуматься, почему так, но некоторых этот повод не убеждает.


Запустил под рутом команду netstat -apn |less – получил вывод текущих соединений, используемых портов, IP и имён программ, которые их используют. Что ещё нужно?

На гиктаймс интересные новости пишут в тему топика:

Команда Tor Project, занимающаяся разработкой одноименной системы для анонимной работы в Сети, заявила о том, что бывший сотрудник проекта создал «ключ» для спецслужб. Это специальное программное обеспечение, помогающее спецслужбам идентифицировать пользователей системы. «Мы узнали, что Мэтт Эдман (Matt Edman), работавший в Tor Project до 2009 года, получил работу от ФБР, его задачей было создать анти-Tor malware», сообщили представители команды проекта онлайн-СМИ Dalily Dot.

Эдман начал работу в команде в 2008 году, он принял участие в разработке проекта Vidalia. Команда проекта занималась созданием нового пользовательского интерфейса, который был успешно внедрен и использовался вплоть до 2013 года. В 2009 году Эдман ушел из организации, а уже в 2012 стал работать на позиции старшего инженера по кибербезопасности в Mitre Corporation. Одна из его задач — работа с сотрудниками ФБР, из подразделения Remote Operations Unit.

Еще один пример того, что нет абсолютно доверенных источников, которые наш ТС ищет на информационных просторах.
Сегодня нет дыр, а на завтра вылезло решето. А тем паче, скрытые закладки.
"То что вы на свободе не ваша заслуга, а наша недоработка".

Запустил под рутом команду netstat -apn |less – получил вывод текущих соединений, используемых портов, IP и имён программ, которые их используют. Что ещё нужно?

Ничего. Ничего и этого не нужно. Вы так и не поняли о чем я говорю, и предлагаете вместо детектора утечек варианты совсем на другую тему. Может вы не понимаете что такое тревожный детектор? Хотя вряд ли.

Но вы все-таки помогли мне понять, что раз вы ничего из того, что я ищу, ничего путевого не предложили, а предлагали различные фалоимитаторы типа netstat и иму подобные, даже более того: предложили использовать NOD32 под Wine, значит в линуксе его не сущетствует.
Что ж, спасибо и на этом.

"- Чего тебе привезти, Доченька?
– Привези мне цветочек Аленький!" ©

Да это вы никак понять не можете.
О каких вы утечках и тревогах все время ведете речь? Откуда они?
Один раз провели анализ что и куда. Завинтили гайки. Отрубили особо желающим приложениям желания лезть куда не следует. И все.
Что вы там порываетесь все детектировать? %-)

А у вас так: Не орет – значит все нормально!?
Лежим на печи, плюем в потолок. Детектор на страже.

Даже в Винде, при настройке файервола, рекомендуется что сделать первым делом? Правильно! Заблокировать весь трафик, а потом вдумчиво разрешать каждому приложению.
Вот так должно быть по хорошему.
А вы хотите жить по следующему принципу: "Заорало что то там. Ахтунг! Утечка. Разбираться."
А может уже поздно? И все данные покоцаны криптолокером?
Вы хотите реагировать на тревоги постфактум. Вам предлагают настроить изначально. Чувствуете разницу?

Зы: Кажется формируется кружок по интересам. "Моя твоя не понимай!"

Пожалуй, не понимаю, объясните. Я написал для вас тревожный детектор, но, может быть, это не совсем то, что вам нужно? Могу добавить туда лечение через удаление компрометирующих файлов.


А вам нужен не фаллоимитатор, а самый что ни на есть настоящий Х&Й?


Почему нет? Ставьте родной NOD32 под Linux. Я просто не знаю, надёжно ли он снимает тревогу и какого рода у вас тревога, что именно нужно детектировать. Кроме того, тревогу можно снимать и без тревожного детектора, даже компьютер для этого не нужен.

Не понял. Тема о Vidalia, а обсуждается антвирус.
Интересная ситуация.