Логи интернет у админа и Tor Browser
Здравствуйте. Подскажите пожалуйста.
У нас в офисе весь интернет идёт через сервер системного администратора, а он в свою очередь подаёт начальству распечатки кто на какие сайты в интернете заходил, а также блокирует доступ к некоторым сайтам.
Я скачал Tor Browser и выхожу в интернет через него, даже на заблокированные сайты.
Очень интересно видит ли системный администратор на какие сайты я захожу, ведь весь трафик всё равно через его сервер проходит, хоть я и выхожу в интернет через Tor Browser.
Ссылки
[link1] https://www.pgpru.com/soft/tor
[link2] http://www.z-oleg.com/secur/avz/
[link3] https://www.pgpru.com/forum/anonimnostjvinternet/logiinternetuadminaitorbrowser?show_comments=1&p=last#Comment
[link4] https://www.pgpru.com/biblioteka/slovarj/shifrtekst
[link5] https://www.pgpru.com/biblioteka/osnovy/vvedenievkripto/glava1/zashifrovanierasshifrovanie
[link6] https://www.pgpru.com/comment22802
[link7] http://habrahabr.ru/blogs/infosecurity/68971/
[link8] https://www.pgpru.com/forum/anonimnostjvinternet/verojatnostjdeanonimizaciivlokaljnojjseti
[link9] https://www.pgpru.com/forum/anonimnostjvinternet/chtoviditpromenjasisadmin
[link10] https://www.pgpru.com/forum/anonimnostjvinternet/logiinternetuadminaitorbrowser
[link11] https://www.pgpru.com/comment33508
[link12] https://www.torproject.org/projects/torbrowser/design/
[link13] https://www.virustotal.com/file/6718d7a2fd3a06a7d7cf168706f52351070837c298869264a59e0668fa54cc7f/analysis/#additional-info
[link14] https://www.virustotal.com/file/88201b882ead6ff7b80b3874f02f413b76d5b7572f14876075f1ea716efb37dc/analysis/1328374413/
Не видит, ибо трафик покидает Вашу машину уже в зашифрованном виде. Учим матчасть[link1], просвещаемся.
А он(системный админ) может с помощью РАдмина снести браузер или выставить запрет на установку подобного ПО...
У админа вообще куча возможностей, но мы, действуя в рамках доктрины доказуемой безопасности, не должны отвлекаться на подобные мелочи, а исходить из истинно правильного допущения, что админ ведёт только мониторинг трафика, проходящего через его машину.
Однако надо ли ТАКАЯ безопасность в ТАКОМ случае?
А почему не надо? Пока доступ через Тоr не блокируется и кейлоггеры не стоят. :)
Большое спасибо за ответы, следовательно и тексты сообщений которые я набираю на форумах тоже не видит. Так?
Кейлогеры и радмин вроде не стоят. А как можно убедиться на 100% в их отсутствии?
Запрет на установку ПО он поставить не сможет т.к. получит за это по шапке ))))
В общем случае – никак. В частном и тупом – посмотреть список запущенных процессов на предмет не относящихся к системным и подозрительным.
Ну вот теперь человек не будет работать, а прожигать время на всяких развлекательных сайтах.
Так. Если исключить из сценария "удалённое администрирование", на что Вам уже намекнули.
Большое спасибо.
Ещё парочка вопросов специалистам.
Что же тогда видит системный администратор, ведь трафик всё равно идет через его сервер, что-то же он должен видеть?
Я свой компьютер проверил утилитой AVZ[link2] с параноидальными настройками. Нет даже ложных срабатываний. Пишет, что компьютер не заражен. Могу я быть спокоен, что на моём компе нет шпионского ПО?
Шифртекст.
Нет, читайте в википедии о руткитах. Какую-то более-менее приближенную уверенность можно получить, загрузив компьютер с Linux LiveCD и проверив антивирусом с актуальной антивирусной базой. Но и это не гарантия.
Хорошо, специалист посылает нас в википедию. Допустим по этому вопросу написано что-то напоминающее действительность.
Но почему на вопрос:
Википедия к примеру отвечает:
Сноски в раздел, где должны быть ссылки, есть! Подтверждено, значит существует.
Если кто-то что-то модифицирует и крадет — значит он это видит. Вот вам и ответ, от самой википедии, на вопрос о том что видит админ.
Противоречие с мнением специалистов, которые посылают читать, в общем, википедию:
Сказочно! ROFLed.
Не читайте за обедом русских википедий. (почти ©)
Добавлено:
Взял на себя смелость вычеркнуть из полной порождений авторского гения страницы эту бредятину. Интересно, праведные бдюны чистоты русской википедии
от фактовоткатят изменение?Спасибо за ответы. А что такое шифротекст? В Википедии этого нет. Сисадмин адресов вообще никаких не видит? Вот раньше он допустим мог бы посмотреть, что я зашел на https://www.pgpru.com/forum/an.....nts=1&p=last#Comment[link3] и что я написал это сообщение. Т.е. теперь он не видит вообще никаких адресов, даже торовских узлов и даже первого торовского узла?
/Библиотека/Словарь/Шифртекст[link4]
/Библиотека/Основы/ВведениеВКрипто/Глава1/ЗашифрованиеРасшифрование[link5]
Админ видит, что Вы соединяетесь с Tor-узлами (на самих адресах это не написано, но при желании ему не составит большого труда сопоставить эти адреса со списком Tor-узлов). Но он не видит, какие данные Вы передаёте и какие сайты просматриваете.
Откатили! :-DDD
Спасибо.
Возможно Автору_темы так-же будет полезно узнать о механизме бриджей. В этом случае админу будет ещё трудней узнать о факте пользования тором (практически невозможно при пассивном наблюдении).
Там есть не менее сказочные моменты. Очень интересен абзац про механизм блокирования тора, что-то там про неминуемые тяготы отцензуренного и 3 сервера. Лучше бы вообще никак не писали, чем так.
К сожалению многие откровения не берутся просто из голов википедиров, отдельные порождены, в том числе, и здешним разумом.
А где о них можно узнать?
О бриджах?
https://www.torproject.org/bridges
Спасибо. А по русски нет? Не то, что бы я по английски совсем не понимаю, просто это сложная для меня тема и я в ней даже по русски с трудом разбираюсь, а когда по английски вообще труба. )))
Если Вы используете, как написали:
То где-то в помощи к Vidalia должно быть почти тоже самое, даже в более компактном виде и по русски.
Может кто-нибудь из тех кто пользуется видалией, сможет указать более точное направление. (В исходниках к видалии хелп на русском точно наблюдался)
Местное цитирование хелпа к видалии[link6].
Спасибо. Прочитал. Я так понял, что единственное отличие "мостов" от обычных узлов тор узлов состоит в том, что "мосты" отсутствуют в публичном списке тор узлов. Это мне не нужно. Я сомневаюсь, что сисадмин будет заниматься сравнением.
.
А как админ видит адреса по названиям или по IP ?
Вот пример конкретного узла тор:
jalopy (Работает)
Местонахождение: Washington, District of Columbia, United States
IP адрес: 149.9.0.57
Платформа: Tor 0.2.0.34 (r18423) on Linux x86_64
Трафик: 5.51 MБ/с
Время работы: 10 days 35 mins 59 secs
Обновление: 2009-09-06 04:37:48 GMT
Админ что увидит название jalopy или IP адрес: 149.9.0.57? Если IP адрес, то совсем хорошо.
А то там такие адреса есть, что на них прямо написано, что это Tor. Например TorNode35765 AmurTor23, AnonymisaTor, AnsisTor, torcow, tordienet, tordotstcimdotde, TorEnNodEA6480C1, toretfaction, TorFakedOrg, TorForFreeIran, torhammer, torhayqua, TorifyThemAll, TorJapan, TorJihell, TorkaZ, TorKServer, TorMachine, tormadynesloria, tornode, TorNode35765, tornodeviennasil, TORoid, torouter, torpfaffenederorg, torproxywebhopnet, torrelay1234, torrorist, torrrryou, TorServer.
IP-адрес.
Также минимизировано число всех возможных соединений, инициируемых тором: допускаются только сеансы с прописанными бриджами. При обычном режиме тора, для скачивания консенсус-документа и дескрипторов, инициируется множество дополнительных сеансов до зеркалирующих директорий из числа тор узлов.
Лишний тцп сеанс — лишний повод для беспокойств следяющего. Админ-параноик на почве недостатка информации:
может запросто решить что это вирусно-червячная активность и перекрыть доступ совсем.
т.е. если я использую тор в обычном режиме, то трафик от меня идёт на кучу постоянно изменяющихся IP адресов, а если через прописанный бридж, то трафик идет всегда на один IP ?
В документации сказано, что лучше добавить несколько бриджей для повышения стабильности соединения, я добавил три. Это не должно насторожить Администратора?
Адреса у серверов из этой кучи в общем не так часто и меняются, но сама куча достаточно большая, чтоб за весь рабочий день в логах админа зафиксировалась пара сотен, как-бы, несвязанных между собой адресов.
Всё зависит от того, что и как фиксируется на сервере у админа. И как он эту информацию воспримет. Например ему, наоборот, покажется подозрительными наличие только пары адресов на которых висели часами с Вашего компьютера и ничего больше. Может админ пока еще и не глядел в логи, а посмотрев (когда кончится пиво), решит, что произошла крупная атака с участием вирусов и инсайдера. И сообщив СБ или руководству об инциденте, получит премию из вашего расчета.
Всё зависит от продвинутости админа. Список бриджей, выдаваемых по официальному адресу весьма конечен и при специальном интересе не составляет труда поиметь его весь (регулярно пополняя новыми). Настоящие бриджи надо брать у знакомых или делать самому.
Большое спасибо за помощь.
Я буду пользоваться бриджами т.к. через них почему-то скорость выше примерно на 30%. Хоть более менее возможно ТорБраузером пользоваться стало. А то было почти невозможно пользоваться. Некоторые сайты открывались чуть ли не минуту, а некоторые с 3-5 попытки. На этом форуме видел, что некоторые умудряются как то через Тор онлайн видео смотреть т.е. я так понимаю у них всё нормально со скоростью, мне видео не нужно, мне нужно, что бы сайты нормально открывались, никто не подскажет, как добавить ещё хоть чуть чуть скорости? Буду очень благодарен. А то как-то напрягает когда гугл целую минуту грузится. Мне очень сильная секретность не нужна. Мне главное от любопытных глаз работодателя и сисадмина скрыть где я был и что посылал. Я вот например находясь на работе с женой или с друзьями переписываюсь о личных делах.
Особенность нынешней архитектуры Tor'а в том, что через него получается эффективнее скачивать большие файлы или смотреть видео, чем сёрфить веб-сайты — время первоначальных соединений крайне велико (из-за задержек, порождаемых сетью), тогда как по установленному каналу данные идут достаточно быстро. Разработчики сети сейчас работают над тем, чтобы изменить этот баланс как раз в пользу просмотра веб-сайтов и в ущерб "качальщикам".
Было бы просто замечательно. А когда они поменяют этот балланс неизвестно?
Боюсь, на этот вопрос не ответят даже сами разработчики. Может пара месяцев, может полгода.
Вы меня обнадежили. Спасибо.
А чем вам обычные прокси не подходят?
В таком сценарии получается слишком большая кипучая деятельность, с неизвестным выхлопом. Борьба с бриджами потребует слишком сложных телодвижений, мало совместимых с не заморочеными и чутка контужеными, как и его пользователи, админами[link7].
Если мыслить категориями блеклистов супротив упреждающего запрета неподконтрольных действий, то проще сразу запретить всё, а разрешать хождение в интернеты только по белым спискам. Не одним же тором (который, пока еще, возможно задавить более изящно, во всех возможных вариантах, и без списков) все интернеты исчерпываются.
Вы слишком далеко послали партизана из википедии, упоминанием MAC'ов в клетках, он просит разъяснить суть вещей на странице с обсуждениями статьи про тор. Однако партизан изначально имел ввиду наблюдение и правку до первого узла, а не в самом узле. Поэтому прежде чем модифицировать клетку, ему нужно будет модифицировать шифртекст TLS записи и её MAC.
Запросите "официальных" бриджей раз ...дцать, очень скоро вы ничего нового не увидите. Где-то на втором десятке запросов.
А вообще да, белые списки проще.
Если не ошибаюсь, каждому диапазону IP отдаётся только часть списка бриджей. То есть если нет доступа к куче сетей, то извлечь весь список не удастся.
И е-мылом?
Админ и его пользователь смотрят на окружающий мир вероятно через один диапазон, или админ может использовать любой из доступных пользователю. Для варианта со списком полученным через незаторенный веб, админ и клиент единое целое.
Но вообще такой доступ будет перекрыт админом сразу как он займется борьбой с бриджами, поэтому остается вариант с почтой.
Пользователю не обязательно лезть за списком бриджей через админский сервер. Помимо почты есть ещё вариант зайти в Сеть из дома (если есть) или из ближайшего (или не ближайшего) интернет-кафе.
Возможно и так. Но бриджи также должны работать в сценарии с первоначально пустым списком бриджей и наличии мега-админа контролирующего пользователя на шлюзе домашней сети, и-кафе и т.д.
мылом не пробовал.
попросить товарища, не контролируемого мега-админом, найти бриджи и прислать зашифрованными.
А если аську через тор пустить, то админ её тоже читать не сможет?
поставь асю с шифрованием)
И с кем я по ней общаться буду? ))) Ведь такая же ася должна быть и у собеседников.
И всё же
Ну очевидно же. Предвосхищаю следующий вопрос: "А если почту пустить через Tor, админ её прочитает?"
Просто я раньше думал, что Тор это что-то навроде продвинутой прокси, я даже не думал, что он ещё и шифрует всё. А достаточно ли там стойкий алгоритм?
Угадайте с трёх раз. :)
Угадайте с трёх раз! ;)
Каким линукс антивирусом советуете воспользоваться для этой цели?
Да Стойкий, Нет Нестойкий, ...!?!? Зачем три раза?
Бывает так, что закрыты все порты кроме распространённых, а многие тор-ноды работают на 9001ом порту. Спасает опция конфига наподобие:
Если дело в этом, то и бриджи надо ставить те, которые работают на разрешённых портах (как правило, 443 всегда разрешён).
в общем случае:
user -> шифрованный трафик -> Tor -> расшифрованный трафик -> сервер или другой юзер.
на выходе из Torа ваш трафик будет расшифрован, но неизвестно кому он будет принадлежать, если себя не выдадите.
Большое спасибо всем за ответы.
А если я использую Tor через бриджи, достаточно ли мне будет просто оставить те из них, которые идут через 443 порт? Или всё равно нужно куда-то прописывать ReachableAddresses *:22, accept *:21, accept *:80, accept *:443, accept *:5190, reject *:* ?
Достаточно.
Спасибо.
[troll mode]
Админа можно подловить в темном подъезде, дать ему хороших ∏-здюлей и сказать, чтобы больше так никогда не делал :)
Ну или на корпоративе, прикинуться пьяным, и хорошо отделать, потом, конечно, извиниться перед начальством, а на ушко шепнуть, за что и что он должен не делать во избежание так сказать.
[/troll mode]
комп WinXP подключён к интернету по корпоративной локалке,
установил сборку Vidalia 0.2.15 Tor 0.2.2.35 (git-b04388f9e7546a9f) Qt 4.6.2
на локалке стоит доменная система и DNS-сервер
возможно ли решение, при котором админ сети не будет видеть посещённые мной интернет-страницы?
Предположим, что такое решение есть. Если админ видит, что он ничего не видит, то он может зайти на вашу машину и посмотреть для выяснения причины. А если вы можете договориться с админом, чтобы он отвернулся и не подсматривал, то зачем такие сложности?
См. также здесь[link8], здесь[link9] и здесь[link10].
Вдруг админ не имеет админских прав на клиентских машинах корпоративной сети, или это вообще личные ноутбуки сотрудников :) Тогда не зайдёт и не посмотрит. Теоретически в этом случае "решение возможно" (хотя и ненадёжное для серьёзных дел).
второй ответ с правильным предположением, это ноутбук, но уже "компрометированный" админами сети, в частности, был обнаружен и снесён Radmin 3.0, т.к. админовские полномочия у меня
вопрос очень прост, скрывает ли Tor в обозначенной установке (и присутствует ли в этой сборке Polipo) запросы к интернет-адресам, или он бесполезен, т.е. запрашивает ли Tor у корпоративного DNS-сервера адрес ближайшего Tor-узла, с которым потом работает, или сразу адрес целевой страницы?
скрывает
оно не нужно для большинства случаев, его нет в актуальных сборках
Скорее всего. Решите сами когда поймёте, как всё работает и что из этого вам нужно.
Tor-клиент не обращается ни к каким DNS-адресам во время своей работы в принципе, а торовская сборка стремится предотвратить такую утечку и от браузера.
Это утечка DNS-запросов — возможна только при фатальных ошибках в настройке заторенных программ, которые будут пускать свои запросы в обход тора.
Только всё-равно, в такой постановке вопроса Tor может быть вам бесполезен, т.к. создаёт множество соединений с IP-адресами, которые при обратном разрешении в логах или при запуске на сервере админом чего-либо типа iptraf, выдадут феерические имена типа: "tor-perfect-privacy", "cipherpunks-tor-exit", "fuckpolice" и т.д. Tor не скрывает сам факт своего использования (за исключением подключения через бриджи) — /comment33508[link11].
спасибо
админ сети мой подчинённый, заподозрен в патологическом шпионаже, поэтому мне нужна только конфиденциальность, обнаружение использования Tor не имеет значения
Так зачем тогда Tor? Есть же VPN с шифрованием (тот же ssh).
:)
напишу в это топик
братцы-спецы, скажите так ли уж безопасно пользоваться последним tor-browser с фф v9.0.1? очень напрягает – слишком подозрительная забота о пользователях типа "все из коробки'', троянская Avrora, html5, сбор языковой статистики и прочее(( wtf!
намного ли безопаснее будет по старинке vidalia-bundle + свой фф3.5-3.6 + polipo + последний torbutton?
Если можете аргументированно оспорить пункты этого документа[link12] или на уровне реализации конкретно на чём-то подловить разработчиков, тогда вам и карты в руки.
Только помните, что анонимность это не только сокрытие IP-адреса, но и ещё множество параметров. Несвязываемость профилей, например. Поэтому всем приходится сидеть на одном браузере. Даже если он плохой и Майку Перри (разработчику TBB), кажется, самому на него (FF -> Aurora -> TBB) иногда плеваться хочется.
Torbutton и Firefox 9.0 – масло и вода
я лично считаю что Mайк Перри продался с потрохами пиарастам из Мозилы. Хотя его torbutton конечно же отличное творение.
ps хе-хе, китайская компартия против[link13] "глупцы..." ;)
pps en-US не проверял ;)
-потомственный_параноик (27/01/2012 15:36)-
-Гость (27/01/2012 16:34)-
Это я один и тот же (забыл дописать ник)
Все фиксы из новых версий он должен единолично в 3.6 бэкпортить? Или Вы ему поможете?
Это может быть из политических соображений.
en-US проверил ;) Американская компартия 'ЗА'[link14] "молодцы..." ;)
Тебе бы сборку сменить, да и ось заодно