Как анонимизировать J, JS?
Известно, что при работе через сеть Tor реальную угрозу представляют атаки через J, JS. В связи с этим рекомендуется отличать их при работе. Однако же, многие ресурсы неработоспособны при работе без JS, некоторые требуют J.
Как сделать так, чтобы можно было использовать J, JS без угрозы деанонимизации?! (читал, что можно "завернуть" весь трафик на прокси через фаервол, даже получил от техподдержки юзаемого мною фаервола как сконфигурировать для этого правила, однако на практике получился разрыв соединения с инетом, ничего более умного они мне сообщить не смогли, сообщили, что отправили проблему разработчикам, только уже больше месяца никакого ответа нет).
И еще. Нашел такой тест http://www.proxyblind.org/javaip.shtml, достаточно интересный. Показал следующие результаты при работе через Tor:
1) Атака через J, моделируемая этим тестом, полностью меня деанонимизировала. Был показан мой реальный IP, наименование провайдера etc. Полный пепец!
2) Атака через J, моделируемая этим тестом, при включенном JS и выключенном J не дала результата, т.е. анонимность была сохранена.
При включенных и J, и JS, показала внутренний IP типа 168.192.1.1. Такой IP пусть воруют, скручивают в трубочку бумажку с его распечаткой и засовывают себе в одно место.
3) Другие тесты, надо сказать, при включенных J и JS не выявили использование прокси, написали, что или вы ее не используете, или юзаете высокоанонимную прокси. Обнадеживающая характеристика Tor+Privoxy, конечно, однако последние информации о деанонимизации посредством разных атак конечно напрягают. Может ложь, но кто его знает? Кругом враги и шпионы!
В связи с результатами этого теста возникают также следующие вопросы:
1) обеспечение анонимости при использовании J представляется очень актуальным. как это обеспечить?
2) возможно ли при других атаках получение внешнего IP при атаках через JS? Если нет, то получается, что при выходе в инет через маршрутизатор из ЛВС JS угрозы не представляет.
3) обязательно ли для получения ip при атаке через JS чтобы был включен также J? если да, то получается что включенный JS при выключенном J вроде бы не должен деанонимизировать.
И еще такой вопрос. Когда проходил тесты, смотрел на соединения в журнале фаервола. Там отмечалась сетевая активность только tor, privoxy и браузера. Активность J и JS в журнале не отражалась. Как тогда соединяются J и JS, не только в обход Tor и Privoxy, но и в обход фаервола?
"J" и "JS" разные вещи.
Один на стороне браузера, другой на сервере.
Как вам удалось выключить "J"? ("J" на стороне сервера.)
Или что такое "J" ?
Java Runtime Environment? Java Virtual Machine (JVM)? Может быть и на стороне клиента
Они относятся к контексту браузера.
А теоретически в браузере может быть дыра например при обработке картинок, или ссылок какого-то специально кривого вида, которая даёт возможность запуска исполняемого кода. Тогда отключать что-либо бесполезно, пока дыру не пофиксят.
Виртуалка + Tor снаружи.
А почему тогда не отражались соединения браузера непосредственно с какими-то другими ip, кроме 127.0.0.1?
Значит узнавание IP происходит не через коннект в обход proxy вообще, а путём выполнения комманд, например отображающих настройки сетевого соединения на машине пользователя непосредственно, и отсылки этих данных через Tor.
Разве внешний ip известен моей машине? Или она ява как через машину в маршрутизатор тоже залазит?!
traceroute через java?
Можно, но сложно. Для этого понадобятся тонкие глубокие настройки и понимание того как оно всё работает. Поднимается файерволл с извращённым правилами и извращённым рутингом на Linux. Организуется чрут для запуска браузера. Включается запрет на уровне ядра на выполнение всех команд которые могут позволить юзеру, из подкоторого запускается браузер, узнать ip типа ifconfig и прочих. На файерволле принудительно весь трафик от нужно юзера рутится в тор.
Наиболее просто это организовать когда есть две машины: одна – рабочая, у которой есть только виртуальный IP, и которая выходит в сеть через сервер, где стоит файерволл, силком заворачивающий трафик в тор. Соединение между локальной машиной и таким сервером должно быть по VPN и всё остальное резаться.
При желании на продвинутых системах можно организовать всё и на одной машине, но мне совершенно не очевидно что это можно будет сделать где-либо кроме Linux. Возможно, прийдётся поиметь секс с политиками мандатного доступа на Linux типа SeLinux'а.
Задача эта, хоть и интересная, вроде бы не описана в стандартных руководствах.
P. S.: джаву по самом деле запрещают не только потому что "она позволяет выполнить код на стороне колиента легитимным образом" но и нелегитимным. Когда мне всё-таки пришлось поставить JRE все существующие версии были дырявы. Вот и сейчас, далеко ходить на надо:
Именно поэтому в open-source-коммунити java'у не любят, не уважают, не инсталлируют и если и держат, то только далеко/глубоко в чруте/песочнице. На джаве пишут только ублюдки. Если угодно, отказ от джавы – скорее более политическое решение в силу всего этого, а не технические сложности, как это некоторым кажется.
Ну может и не ублюдки, но упёртые *** точно. Именно привязка разработчиков к java-клиенту мешает использовать такие анонимные сети как I2P, Freedom.
Вопрос действительно политический.
Восемь лет кажется от компании Sun непрерывно требовали отдать Java под GPL.
До того момента её нельзя было включать в свободные дистрибутивы и самомостоятельно фиксить баги кому-либо кроме Sun.
Когда они в 2006-2007 году постепенно и с неохотой после многочисленный отнекиваний перевели весь java-код под GPL, было уже слишком поздно. Коммьюнити вокруг этого стандарта не было сформировано, ковырять код написанный когда-то закрытым образом и развивать это стандарт особо желающих нет.
В свободных системах java пока не приживается.
Да, как раз хотел сказать о том что фринет написан на джаве.
У меня один из инет-банкингов без говноjava не работает
Хм. А о какой безопасности может идти речь, если вы хотите выполнять на своей системе загружаемый из сети код?
Вместо всяких извратов проще будет настроить виртуальную машину, поставить в нее ОС не содержащую никаких конфиденциальных данных, и пустить ее через виртуальную сеть только в TOR. На этой ВМ вы можете запускать практически что угодно без вреда для безопасности и анонимности.
А может ли ява код выполняемый под виртуальной машиной составить фингерпринт системы (серийные номера проца или другово железа)?
Стыдно признаваться в собственном ламеризме, но не подскажете, где что-то можно почитать о том, как устанавливать и юзать ВМ?
Погуглите по словам qemu и vmware.
В интересном докладе 24C3 – DNS Rebinding And More Packet Tricks[link1] помимо прочего, упоминается что в java можно получить прямой доступ к сокетам (через баги в JVM)
Люди, давно уже есть специализированные системы типа JanusVM. Такая виртуальная машина действует как локальный сетевой шлюз (имеющий выход только в Tor), за которым можно использовать практически любое ПО без риска раскрытия IP (ибо его ваша система просто не знает).
Серийного номера у проца нет с времен pentium 3, а у p3 он отключается программно, настройкой в bios. Максимум что можно узнать изнутри вм – это модель проца и его частоту. Железо у вм свое, виртуальное.
Выбирая BitTorrent клиент наткнулся в блоге blog.torproject.org на такую информацию:
А на Википедии:
Чувствуется какое-то противоречие, но не могу понять какое.
Противоречия здесь нет. Одно дело — опасаться java-приложений, исполняемых в браузере как внедрённые объекты веб-страницы (фиг знает, как такое приложение реализовано и с какими целями), и совсем другое — как относиться к самостоятельной программе, языком реализации которой является java. Java сама по себе угрозы не несёт. Проблемы возникают в контексте конкретного применения.
Лучше бы ссылку на всю информацию кинули, целиком.
https://blog.torproject.org/bl.....-is-slow#comment-831[link2]
Анонимус друг человеков. Его главая мысль была:
Все что дальше это полумеры, или использование более прочных (i2p) костылей к торрент-клиенту.
Ну а через тор пойдет (Vuze оберегает нервы пользователей) только связь с треккером, п2п будет прямой хоть и шифрованный.
лучше вообще джаву отключить)
А если оно пошлёт запрос на ShowMyIP.com?
Кто "оно"?
Оно – "практически любое ПО ПО". Если подключение через Tор, то раскрыть IP таким образом не получится – ShowMyIP.com покажет адрес последнего в цепочке tor-сервера, а не ваш.