id: Гость   вход   регистрация
текущее время 18:53 08/12/2019
Автор темы: Гость, тема открыта 01/10/2011 23:27 Печать
Категории: софт, анонимность, tor
создать
просмотр
ссылки

Tor Browser Bundle и пакетный Tor


Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!


 
На страницу: 1, 2, 3, 4, 5, ... , 12, 13, 14, 15, 16 След.
Комментарии
— unknown (20/10/2011 22:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Новое сообщение в блоге от Эрин: Don't Panic. всех пересаживают на Видалию с единообразной конфигурацией. Но предложения по поводу альтернативных реализаций готовы рассмотреть. Я так понимаю, что просто вычитывать мысли из постингов в блоге и рассылке им некогда, нужен готовый грамотный proposal.
— Гость (20/10/2011 22:43)   <#>
unknown, я все-таки не понимаю, что они творя. Это же не unix- и не open source way!!!
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!
P.S. Они там похоже помешались на виндоуз-юзерах, вместо того, чтобы пропагандировать переход на *nix и прозрачную торификацию...
— Гость (20/10/2011 22:53)   <#>
часть фич они выполняют по заказу спонсоров
Там есть
Make Tor scale to 2 million concurrent users by splitting the network into multiple segments, switching to datagram-based protocols, and improving load balancing within the network (sponsor A, deliverables 7 and 13)
Что они хотят? Разделить пользователей Tor по каким-то критериям? Сделать для Ирана — свой Tor, а для Европы — другой? Чтобы проще отсеивать было who is who?
— Гость (20/10/2011 22:55)   <#>
прозрачную торификацию
Она — вопрос удобства. Безопасность сама по себе не повышает никак (скорее наоборот — под неё труднее написать правильные и безопасные правила). То, что реально повышает безопасность — сами по себе настройки fw, не позволяющие ходить юзерам в обод Tor (например, в обход Tor-прокси).
— unknown (21/10/2011 10:14, исправлен 21/10/2011 10:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Текущий протокол плохо масштабируется на большое число узлов. DA не смогут справиться со статистикой, если узлов будет больше, кажется, 10000. Возможно, узлы будут записываться рэндомно в какие-нибудь свободные (в смысле неперегруженные под завязку на данный момент) DA, образовывая иерархические кластеры. А пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.


Это общие предположения, на основании того, какие проекты анонимных сетей существует и того, что проскакивает в рассылке, полностью "дорожные карты" не читал.


прозрачную торификацию

Она — вопрос удобства. Безопасность сама по себе не повышает никак (скорее наоборот — под неё труднее написать правильные и безопасные правила).

Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще? Например почту. Пускай в таком случае не до конца даже вырезаются деанонимизирующие заголовки, может кому-то нужно соединиться со скрытым сервисом ремейлера или со своим скрытым сервисом.

То, что реально повышает безопасность — сами по себе настройки fw, не позволяющие ходить юзерам в обод Tor (например, в обход Tor-прокси).

Насчёт, "а если они не умеют Tor-proxy вообще" см. выше. Другой аспект, то что если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла. Уязвимость в самом слабом звене — браузере будет компрометирвать всю анонимность.


И если обычный пользователь будет считаться в любом случае проигравшим, то более продвинутым пользователям будет труднее защищаться файрволлом, виртуализацией и пр.


С другой стороны, какая альтернатива? Это GnuPG можно использовать как угодно. На свой страх и риск. Хоть из консоли с пайпами, хоть с любой из глючных графических оболочек, хоть плагином к почтовику.
С Тором так не очень хорошо, потому что все должны иметь одинаковый отпечаток-профиль. Анонимность сложнее, чем просто безопасность (приватность, секретность). Нужно всем иметь способ согласования анонимизирующих программ, дающий одинаковый профиль на выходе. Проще сделать его приспособленным для массового пользователя. Иначе большая масса вразнобой настроенных систем позволит отфильтровать "продвинутое меньшинство" правильно настроенных.


Плюс для анонимной системы вообще критична массовость, без таких трудностей в понимании, как для GnuPG. Чтобы не было необходимости знания кучи наворотов.


Это же не unix- и не open source way!!!
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!

Как раз таки закладка по всем канонам OpenSource — это когда её можно выдать за случайную ошибку. Теперь некоторые баги файрфокса могут играть роль закладки, к которой разработчики Тора формально не будут иметь никакого отношения: "не виноватые мы — это браузер глючный!"

— Гость (21/10/2011 10:28)   <#>
Чо-то такое даже ответили: https://blog.torproject.org/bl.....ing-oct-3-7#comments
— unknown (21/10/2011 11:27, исправлен 21/10/2011 11:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Роджер (arma) конечно молодец и всё правильно сказал. Почти примерно как и предполагалось или как хотели от него услышать (может они наш форум читают?). Хотя, если отбросить паранойю, скорее мы читаем достаточно много информации от них, поэтому можем составить картину ситуации.


Надо придумывать конструктивные предложения и мягко, вежливо, но настойчиво продвигать их в проект, понимая, что разработчики сами многое хотели бы изменить, но у них не хватает времени/человеко-ресурсов.

— Гость (21/10/2011 14:59)   <#>
если узлов будет больше, кажется, 10000
Количество узлов растёт очень медленно. Не факт, что до 10000 мы дорастём в ближайшее десятилетие... Действительно ли это настолько приоритетная задача?

пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.
И это плохо. Чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).

Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще?
Вот потому я и сказал, что вопрос удобства и/или вынужденная мера. Есть ещё проксификаторы.

если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла
Я имел в виду "классический" случай — где есть только Tor, TorButton и браузер.
— unknown (21/10/2011 15:34, исправлен 21/10/2011 15:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Ну 2000 узлов сейчас и вроде насыщение есть. Если так, то действительно не то. Может там что-то другое в масштабировании.

чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).

И разработчики это понимают. Они сразу указывали на опасность атак разделения при различающейся статистике, доступной разным пользователям. М.б. разработают какой-то особо хитрый алгоритм, по крайней мере они такой вариант рассматривали. Кстати, в "полностью распределённых" сетях в этом плане всё ещё хуже. Но это уже совсем не по топику.


Теперь часть защит (от статистических атак за трафиком на вебсайты) встроена в сам браузер. Который гвоздями прибит к связке.

— Гость (08/11/2011 00:54)   <#>
Последний TBB под прозрачно торифицированными юзерами стал стартовать через одно место.
Сначала видалия орет, что не может установить соединение с Tor, и падает, и запускается только со второго раза.
Что за ппц?!
— unknown (08/11/2011 13:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А он теперь вообще не должен с ним стартовать. Получить статистику через дважды завёрнутый Tor почти нельзя (если только не ждать по 10 мин), там есть метки ячеек.

Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.

Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.
— Гость (08/11/2011 13:42)   <#>
любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.
Разве это нельзя запретить настройками iptables?
— unknown (08/11/2011 15:55, исправлен 08/11/2011 21:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Нет, идея в том, чтобы завести системную группу, например "tbb-tor".


Только первый нюанс. Группы с паролем редко используются (проще говоря, на них давно забили), поэтому по умолчанию стоит древний юниксовый DES, который обрезает пароли до восьми символов (и по ряду особенностей он ещё хуже). По крайней мере, так по умолчанию в Debian. Так что сначала нужно поправить /etc/login.defs на На последующие пароли юзеров это (кажется) не повлияет — они сверяются по методу, определяемому в PAM. Только на группы.


После этого можно добавить группу:



После чего проверить размер хэша пароля группы (чтобы не был короткий, как у DES-хэш) в /etc/gshadow.


Пользователь "debian-tor" — системный tor.
Пользователь "tornet-user" — анонимный "заториваемый" пользователь.
Группа "tbb-tor" — для локального тора из TBB.


После этого из-под юзера можно запустить скрипт видалии с помощью команды

Терминалы, значки, горячие клавиши и гуёвые запускалки привязать по вкусу.


Только знающий пароль группы сможет запустить видалию-tor-FF с GID этой группы.


Ну а файрволл будет выглядеть вот-так:



Но и видалия и тор, который она запускает в связке и файрфокс и всё что будет запущено из-под него, любые порождённые процессы будут иметь GID tbb-tor и выходить наружу. Вся надежда только на то, что сборщики TBB не накосячили и вовремя исправляют дыры безопасности, т.к. файрволл теперь от утечек неанонимного трафика не прикрывает.


Всё остальное из-под пользователя, то что запускается отдельно от TBB (ssh, wget, почта) можно запускать как обычно и оно будет гарантировано заворачиваться в системный Tor. Немного плохо при этом ещё то, что у пользователя будет два параллельных набора сторожевых узлов — для системного Тора и для тора из TBB.


Разумеется, OpenBSD PF тоже умеет делать так.


Использовать группу без пароля, привязанную к пользователю смысла нет. Иначе вообще любая программа с правами этого пользователя может обходить файрволл.




Было бы здорово, если бы кто-то предложил что-нибудь лучше.

— Гость (08/11/2011 19:36)   <#>
Разве это нельзя запретить настройками iptables?
Нет

Было бы здорово, если бы кто-то предложил что-нибудь лучше.

Подождите, так были же /comment48573 и /comment48584, из которых я (ошибочно?) сделал вывод о том, что проблема если не полностью, то, по крайней мере, почти решена, прозрачная торификация работает, а всё лишнее можно отрезать iptables'ом.
— unknown (08/11/2011 21:24, исправлен 08/11/2011 21:35)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Первоначальные методы, предлагаемые в этой теме, проваливались один за другим.


Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают.


В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.


Так что теперь даже не выждать старта через "двойной" tor перед тем, как переключиться на системный.


Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TBB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя (не TBB процессы).


Понятно, что выполнение произвольного кода, злонамеренные плагины, которые могли бы создать утечку данных в обход tor и пр. сценарии теперь не блокируются файрволлом. Но это хоть какой-то рабочий компромисс.


Попытки подружить видалию из TBB с системным тором у меня ни к чему хорошему не привели — не работает вообще и подозреваю, может даже из-за этих попыток слетели права на конфиг системного тора перед обновлением, что привело к специфическим глюкам.


Обсуждение решения очень приветствуется. Есть смысл оформить как proposal или как черновик-"idea" (такой формат они тоже негласно принимают).


Была ещё идея, В tor.conf есть опция UID, но это актуально для системного Torа, который может менять UID перед запуском демона, читая первоначально конфиг от рута. Можно было бы сделать просто патч, чтобы менялся и GID, но пользовательский tor — это вам не root. Если группу сделать беспарольной, то любой процесс пользователя может запуститься с таким же GID, а если спрашивать пароль на группу, то как его вводить в tor? Это можно было бы сделать через окно в видалии и некий аутентификационный меанизм (кстати также можно было бы дополнить и UID), но разрабы сейчас не будут этого делать. У них проблема в том, что по их данным только 20% инсталляций tor сконфигурировано безопасно (по самым минимальын критериям), остальные пользователи — феерические сами понимаете кто... Вот эта проблема в приоритете проекта, а не душевные страдания гиков-параноиков, которых призывают самим помочь себе, а проекту нести только почти готовые подходящие решения.


А так, чисто теоретически, при наличии таких патчей, хотя бы только локальный tor можно было бы выпускать наружу, но уже не FF и всё остальное.


P.S. Поправил кое-что в опциях в предыдущем сообщении. Это очень черновой вариант. Критика и идеи приветствуются.

На страницу: 1, 2, 3, 4, 5, ... , 12, 13, 14, 15, 16 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3