Торификация jabber-клиента
Не могу найти, как торифицировать клиент jabber.
Я так понимаю, что в настройках надо прописать socks 5 – localhost:9050, или я не прав?
Ссылки
[link1] http://proxychains.sourceforge.net/
[link2] https://www.pgpru.com/biblioteka/statji/sekretnostjbezopasnostjnejasnostj
[link3] https://www.pgpru.com/forum/offtopik/gosudarstvokakinformacionnasistema
[link4] https://www.pgpru.com/comment32736
[link5] http://konst.org.ua/ru/cv
[link6] http://wiki.mcabber.com/index.php/RU_Main_Page
[link7] https://secure.wikimedia.org/wikipedia/en/wiki/Novichok_agent
[link8] http://mcabber.com/
[link9] https://www.pgpru.com/forum/anonimnostjvinternet/obezlichivanieshifrovannogotrafikajabberissl
[link10] http://mcabber.com/files/mcabberrc.example
[link11] https://www.pgpru.com/proekt/poljzovateli?profile=SATtva
[link12] https://torstatus.blutmagie.de/router_detail.php?FP=b8b7b41b52fa2cf2c05e19fbc47c39a27060ba48
[link13] https://trac.torproject.org/projects/tor/ticket/1676
[link14] https://blog.torproject.org/blog/tor-im-browser-bundle-discontinued-temporarily
Socks4a. Если клиент не поддерживает такую версию протокола (скорее всего) и ему нельзя указать, на какой стороне производить dns-разолвинг (скорее всего), то придётся выбрать socks5, а адрес jabber-сервера необходимо указать по IP. И желательно проверить сниффером, нет ли каких-то иных утечек dns от клиента.
Благодарю.
У меня Pidgin, там есть socks 4 и 5, я так понимаю, 4 не то же, что 4а, и надо указывать 5-й?
В настройках в его ГУЕ есть строки "домен" и "ресурс", когда в строке "домен" указываешь ip, не работает, только домен (у меня – jabber.org).
В строке ресурс я прописал ip, полученный через dig jabber.org (), правильно я сделал?
А указание домена – jabber.org, может деанонимизировать?
В UNIX ряд программ, особенно умных (тот же пинг), даже если и видят, что им даётся нечто, имеющее формат IP-адреса, всё равно отправляют запрос к DNS-серверу чтобы проверить, не доменное ли имя есть этот IP-адрес.
Да.
Должно работать. Я замечал такое: если доменное имя указано конвенционально, то логин должен/может быть указан как jid без собачки и домена:
username = username
server = jabber.domain
Если же домен указан как IP, то логин нужно писать как jid:
username = username@jabber.domain
server = SERVER_IP
Не имеет смысла. Ресурс – это некоторое "имя" проассоциированное с вашим джаббер-инстенсом. В случае, когда у вас одновременно запущены n джаббер-клиентов на одном и том же аккаунте, назначение различных "ресурсов" позволяет вашим корреспондентам отличать ваши инстэнсы и писать на тот, на какой они хотят. Полный формат таков: username@jabber.domain/resource
Потенциально да, т.к. время вашего выхода в онлайн всегда будет совпадать со временм соответствующего запроса к локальному DNS-серверу, что как минимум говорит о том какой jabber-сервер вы используете, и как максимум на основе корреляций позволяет сказать каков ваш настоящий jid.
Да. Socks4 ничего не знает о резолвинге имён, его должен выполнить клиент и передать socks-серверу IP-адрес (в случае Tor'а это означает утечку DNS-запросов к провайдеру). Socks5 может принимать как IP, так и DNS-имя, которое будет разрешено на стороне socks-сервера, но большинство реализаций не заморачиваются такими деталями и передают имя на сторону сервера только если не могут разрешить его на стороне клиента (но в некоторых случаях, как в Firefox, позволяют задать в настройках принудительное разрешение имён socks-сервером). Socks4a — это расширение протокола, которое резолвит имена только на стороне socks-сервера.
Этим Вы уже допустили утечку DNS-запроса к провайдеру. В составе Tor есть утилита tor-resolve, предназначенная для безопасного определения IP-адресов через сеть Tor.
Зависит от того, как Pidgin работает с socks5. Если по умолчанию он резолвит имена самостоятельно, а socks-серверу передаёт уже IP, то Ваш провайдер (и наблюдатель на линии связи) будет знать, что инициируемое через Tor соединение — это подключение к серверу jabber.org (а по характеру трафика будет ясно, что это jabber-сессия, а не обращение к веб-сайту jabber.org, например). В зависимости от Вашей модели угрозы такая утечка может и не представлять опасности. Решать Вам. Проверять наличие таких утечек проще всего сниффером: Вы увидете UDP-трафик на 53-й порт к DNS-серверам провайдера.
Верно, поэтому предложил в первом посте на всякий случай проверять протечки.
Долбаный pidgin не хочет так записывать, прописываешь таким образом, он вместо этого делает такую штуку:
username = username
server = @jabber.domain\SERVER_IP
Не знаю, как и бороться.
Спасибо за информацию, раньше не знал, и в некоторых случаях раздражало, что уходит запрос через провайдера. Буду пользовать!!!
А есть подобное в tor вместо whois?
По ману tor-resolve только
Например, сменой клиента на mcabber, который не страдает такой ветрянкой. Ещё можно обратиться к разработчикам pidgin или спросить на их форуме поддержки.
Или на tkabber. Правда там игрушечки, рюшечки и розовые слоники...
Вроде нет. Можно пользоваться веб-сервисами типа https://www.nic.ru/whois/. Или SSHиться на удалённую машину, а там уж пользоваться всем, чем угодно.
А чем не вариант[link1]
?
У mcabber'а тоже есть один неудобный для анонимности косяк: он не умеет скрывать то, что он mcabber (скрывать ОС умеет). Более оптимальным был бы клиент, умеющий подделываться под самый распространённый джаббер-клиент.
tcpdump|grep dns выдает такую фигню:
-это идет утечка dns-запросов моего жаббера через ipv6?
Что касается UDP (tcpdump|grep UDP), то среди них я вижу только netbios-пакеты виндовых компов и КПК, подключенных к сети, и такую гадость:
Причем только одну за длит. время (около часа)
При этом при выполнении команды ifconfig в sh-окружении роутера, ни один из интерфейсов его не поддерживает ipv6.
При таком раскладе может ли мне угрожать деанонимизацией включенное состояние моих модулей ipv6, или все-таки лучше их отключить в моей системе?
Ответ очевиден: запрещено должно быть всё, кроме того, что действительно нужно позволить. Если есть возможность, лучше отключить IPv6 всюду, включая ядро, но или хотя бы надёжно закрыть весь IPv6-трафик файерволлом.
PS: Не так давно, в 2007ом году сменилась главная страница http://www.openbsd.org на "Only two remote holes in the default install, in a heck of a long time!", в то время как было что-то типа "Only one remote hole in the default install, during more than 10 years". Ошибка была в IPv6-стэке: http://www.coresecurity.com/content/open-bsd-advisorie
[offtop]
Почему то, что считается очевидным требованием для обеспечения безопасности информационных систем вызывает у некоторых яростное неприятие при попытке применения этого же принципа для обеспечения безопасности государства?
[/offtop]
[offtop]
Потомучто люди – это не программы, которые по желанию можно изолировать в окружение jail или chroot без последствий для всей системы и их самих.
[/offtop]
[offtop]
Потому что последствия такого бездумного переноса правил работы информационных объектов на реальные и наоборот чаще оказывается плачевным как по основному, так и по побочным результатам. Например, вы как-то можете себе представить гласность("опенсорс") в работе спецслужб?
[/offtop]
[offtop]
Не очень удачный пример. Конкретные правила firewall'а конкретного узла тоже часто не обнародутся, хотя и opensource.
[/offtop]
И это уже отход от принципа открытости системы.
/Библиотека/Статьи/СекретностьБезопасностьНеясность[link2]. И закончим офф-топик на этом.
[offtop]
Продолжение оффтопика[link3]
[/offtop]
А если так – torify dig [], torify whois [] ?
Вроде бы попробовал, в tcpdump утечка не наблюдалась.
Работают ли через torify также SSH, telnet, wget, ftp, apt, vnc, nmap ?
Каков принцип редиректа коннекта через проксисерверы в данной программе?
В мане по этому поводу ничего нет. И насколько она анонимнее или неанонимнее тора?
Там нет мана: оно работает как универсальный wrapper, подробности работы пусть другие расскажут – я не в курсах.
Оно лишь внешняя прога, использующая некую прокси или их набор. В частности, может работать с тором.
Пробовал и через proроxychains, и через torify – толку никакого, tcpdump отлавливает прямой DNS-запрос.
Видимо, их как-то надо заставить делать DNS-запрос через tcp, а не через UDP, которое не торифицируется.
P. S. А как вообще торифицируются DNS-запросы в браузерах, какой-то механизм заставляет их производиться через TCP?
Использование socks5- или socks4a-прокси. См. пред. страницу.[link4]
Неверная настройка.
Емнип, тор работает только с TCP-трафиком.
Btw, настройка proxychains:
proxychains подменяет делает резолвинг через запроксированный dig (можно сделать и через tor-resolve, ковыряясь в файлах), получает IP, а после подменяет вызовы системных функций отправки пакета своими – соксифицированными. Если программа не сбрасывает при запуске флаги типа LD_PRELOAD, то должно работать. По кр. мере консольные тулзы типа ssh/wget прекрасно работают с.
Они заворачивают именно в tcp и в tor?
Тогда почему это у меня не работает с torify и с tsocks?
И еще, я прочитал тут, что многие dns-сервера блокируют tcp-запросы к ним, насколько это угрожает стабильности работы tor?
Написал конфиг, не работает:
P. S. М.б., я что-то не перезапустил? Я так понял, что proxychains не демон, следовательно перезапускать его не надо. Неужто [g, k, x]dm?!
У вас каша в голове. Tor является проксёй, его тип – socks5. Проксификатор лишь перенаправляет трафик от приложения на порт тора (localhost:9050).
Клиентская машина как правило вообще не делает dns-резолвинг сама, это проблема текущей exit-ноды. В некоторых случаях она его делает, для этого есть tor-resolve, что работает по тому же механизму, т.е. опять права дилегируются exit-ноде, которая его может делать как ей заблагорассудится.
Запускать надо в консоли вот так, для каждой программы (причём конфиг приведён для версии 3.1, другие не рекомендуются к использованию с tor):
proxychains <command>.
Абсолютно не при чём.
Ещё раз (выглядит это приблизительно так):
В контексте темы топика и mcabber. В действительности, анализ сорсов показал, что зарелизнутые версии (по крайней мере, 0.9.7-0.9.10) mcabber работают с proxy так (из анализа сорсов, ибо недокументировано):
- mcabber сам резолвит DNS jabber-сервера.
- Если в настройках указана proxy, то mcabber, если нужно, резолвит её по DNS.
- mcabber подключается к proxy по CONNECT, передавая им полученный на шаге 1 IP jabber-сервера.
Заметим, что данное поведение нарушает стандарты: © RFC 2616 по HTTP. Таким образом, если просто указать mcabber'у proxy в настройках, всегда будут идти DNS-утечки, в чём можно легко убедиться tcpdump'ом собственноручно.Теперь о том, как мы докатились до жизни такой: для поддержки proxy mcabber использует некий connwrap, скандально известный автор[link5] которого написал centericq (ныне заброшенный проект, полный костылей и вообще не очень хорошо написанный). Поскольку mcabber писался с оглядкой на уже умирающий к тому времени centericq, connwrap был взят оттуда. Впрочем, иначе connwrap работать и не мог, т.к. он подменяет собой connect (в BSD sockets API), что делает утечки по DNS неизбежными by design, ведь connect BSD-сокетов (не путать с HTTP CONNECT) делается на уже известный IP-адрес. В current'е (ещё не релизившемся ни разу) выкинули всё legacy, включая connwrap и libjabber, перейдя на loudmouth, т.е., фактически поменяли всё базовое ядро программы. Ввиду вышесказанного ожидается, что последующие версии сифонить по DNS не будут.
Уже вышедшие версии можно надёжно прокси/торифицировать с помощью proxychains. Если при этом ещё требуется работать с скрытыми сервисами Tor, в конфиг Tor'а следует добавить опцию "AutomapHostsOnResolve 1".
P. S.: OpenSource – такой OpenSource... За несколько часов времени, потраченного на выяснение сути вышеизложенной проблемы, можно было бы сделать что-то более полезное, чем рыться в говне.
Говорили, что на закате проекта его даже забанили на jabber.ru из-за нарушения стандартов. Я к тому времени им уже не пользовался.
А как на мкаббере скрывать ОС? И еще не реализовали возможность скрывать клиент?
И еще такой вопрос, он умеет socks4a? Какой прокси в его кофиге прописывать? порт 9050 или 8118?
Кстати,в настройках его конфига http://mcabber.com/files/mcabberrc.example нет разграничения на http- и socks-прокси, там есть только это:
set iq_version_hide_os = 1
Не видел такой опции, не в курсе.
Там же написанот.е. http-прокси это.
Можно проксифицировать proxychains'ом через 9050, а jabber-адрес указать по IP.
Через proxychains дружит как с socks'ом Tor'а, так и с socks'ом ssh -D.
Настройки http-прокси в конфиге с 8118 (privoxy) у меня почему-то не заработали.
Похоже, он sokcs не умеет, на порт 9050 лается, что это не http-proxy, с портом 8118 работает.
А можно ли к мкабберу прикрутить поддержку GPG и как?
Естественно, он никогда и не умел.
При меньшей параноидальности эти настройки можно ослабить.
mcabber умный, и если видит1, что статус контакта PGP-подписан2 каким-то из имеющихся в связке ключей GnuPG, он автоматически сам включает шифрование. Однако, для большего контроля лучше указать мануально.
Поддержка PGP нативная [не через плагины3], потому достаточно прописать опции в конфиге.
Кстати, полумера в виде патча сорса, указанная тут[link6], не решает проблему: mcabber перест(-аёт,-авал) рассказывать кто он есть в ответ на мануальный запрос версии (/request version), но продолжает всем рассказывать об этом при рассылке статуса при выходе в онлайн. Если серьёзно, то сымитировать чужой jabber-клиент трудно, лучше не заморачиваться4.
P.S.: Вы — новичок[link7] в консоли или просто прикалываетесь[link8]?
1Естественно, при условии указания своего ключа и set pgp = 1.
2Это почти всегда так, если контакт пользуется PGP. Проверить можно по наличию строки "PGP Encryption key id", содержащейся в выводе команды /pgp info.
3Не видел его сборок в дистрах без поддержки PGP.
4Обсуждалось здесь: "Обезличивание шифрованного трафика: Jabber и SSL"[link9].
А как правильно в конфиге мкаббера задать сервер?
Задаю:
– работает
Задаю по ip – – нет коннекта с сервером.
Вот это работает с jabber.ru (можно и на стандартном порту). Под jabber.org конфига под рукой нет, потому не скажу, но у меня работало как-то аналогично.
Иногда может быть разница в том, что указано в качества username: пробуйте варианты как с просто NAME, так и с NAME@jabber.org. Возможно, при указании сервера по IP он некорректно формирует jid, а потому нужна именно полная форма (NAME@jabber.org).
Для справки: jabber.org хоть и менее стабилен, чем jabber.ru, но хорош тем, что регистрировать аккаунт можно на их сайте, а не средствами jabber-клиента (mcabber не поддерживает регистрацию/разрегистрацию jid'ов).
С портами ещё бывают загвоздки: раньше 5223 был для случая ssl, а 5222 — если нет ssl. Последний стандарт якобы предписывает оба варианта держать на 5222, но jabber.ru работает с ssl исправно и на 5223, про org уже не помню.
1)
Вот, точно, set username надо полный jid указывать (хотя в конфиге у меня уже был еще и set jid с полным джидом, кроме того, что ты привел.
Теперь все работает, а порт у меня задан 5222 и set tls = 1
2) Так все-таки, как "правильнее" будет, set tls или set ssl?
3)
Ну, ни то, и ни другое. Просто почему-то до сих пор я тупил с консольными клиентами жаббера и почты, оказалось – зря и все просто :)
4) Единственно, что не пойму, что это за dns сниффается во время работы жаббера:
Лая на резолвинг jabber.org, правда, не видно – или это tor пытается резолвить входные ноды?
Дело в том, что в последней версии существенно поменяли названия опций, а я с ней не работал. В ответах ориентировался на предыдущие названия. Судя по образцу[link10], опция username в новом синтаксисе уже вообще не числится. Открывайте архив сорса под вашу версию, там будет mcabberrc.example-файл, вот его просто редактируете и всё.
По ссылке что дал всё же сказано:
Для jabber.ru и jabber.org работа(ло,ет) и с SSL, но если хотите, можете и с TLS попробовать. Там несколько разные протоколы, как я понимаю. Чем-то TLS, видимо, лучше.
Вы уверены, что это из-за джаббера? Дайте вывод
и
[если не eth0, подставьте ваш случай]. При DNS-резволвинге, кстати, будет писаться какой адрес разрешается. Из данной вами строчки я пока только вижу, что это вам шлёт сервер что-то по UDP, а не вы ему. Слать вы ему не запретите, так что настраивайте файерволл, если так критично (мало ли каких UDP-броадкастов по сети ходит).
Нет, Tor'у не нужен UDP вообще, и он не резволит ноды: у него адресация исключительно по IP (никак не связана с DNS).
Конечно, консоль — это всегда просто и эффективно. Жаль только, что мало кто до этого дозревает.
При запуске tkabber не из-под прозрачно торифицированного юзера, а просто настроенного на использование soks4a-прокси, он "срет" утечкой dns-адреса через пару таких пакетов:
При этом, как я понимаю, стандартный dns-запрос "уходит" через Tor.
Что это за "срач"?!
P.S. Если в клиенте ткаббера указать ip-адрес сервера (в случае с jabber.org – 208.68.163.220), то он не хочет устанавливать соединение. Выходит сообщение – "подключиться не удалось. Сервер не поддерживает tls".
Специалист по tkabber'у у нас SATtva[link11].
К сожалению, сейчас не могу найти логи, где была записана вышеописанная проблема (с пакетами по порту 53), но там, насколько я помню, инициатором соединения был комьютер, а не dns-сервер на роутере. Это был ответ сервера.
Но что резолвилось, не было видно в запросе и в ответе тоже. Уверенности, что это jabber, тоже нет. М.б. это просто dhcp было?
Но вот что я нашел, так это tor-server, работающий по порту 53!
https://torstatus.blutmagie.de.....19fbc47c39a27060ba48[link12]
Соответственно, когда снифишь утечки dns по порту 53, видишь этот трафик (он хоть и tcp, но dns же умеет tcp!)? офигеваешь, а потом оказывается такой прикол :)
Интересно, из каких они соображений Onion Router Port задали 53?!
Напугали вы менгя тут dns-утечками. Pidgin из сборок Tor Browser Bundle тоже течет? Неужели на torproject такую свинью подложили?
И как все же правильно торифицировать Pidgin под Linux без утечек?
Кошку[link13], а не свинью, и не подкладывали, а сами удивились когда нашли под дверью. И дальше всё как в опенсорсе. Читайте, вникайте.
Реакция сборщиков[link14]. Уже 2 месяца как.
А если трафик Pidgin пропустить через Privoxy, не поможет?
Не помогает Privoxy, все равно активность UDP на 53 порту. Я не понимаю, неужели разработчикам Pidgin трудно поправить GUI с тем, чтобы можно было корректно вводить IP-адрес в поле хоста? Или они специально такие дыры делают?
А они должны догадаться о Ваших потребностях? Написать им багрепорт не пробовали?
Так им уже написали: http://developer.pidgin.im/ticket/11110
Вроде что-то там происходит.
Такая же фигня с ткаббером. Но прозрачная торификация рулит!
Не знаю, как по пиджину, по ткабберу, имхо, смысла нет, учитывая, что С. Головань такой злобный противник анонимности и паранойи. Сколько раз онлайн с ним схлестывались по этим вопросам.
Народ, а что может выудить провайдер при помощи этой утечки DNS? Как я понимаю только факт обращения к jabber-серверу. Но разве информация, скажем о факте обращения к jabber.org может вскрыть всю цепочку?
У "факта обращения" есть ещё и точное время запроса. Это время выхода в онлайн. Дальше можно много чего нарыть по корреляциям.
Стоит статус "closed defect: fixed". Насколько я понял, исправили глобальные настройки прокси. Сделано это 8 месяцев назад, но почему-то на torproject не чешется совсем по поводу реанимации Tor Im Browser.