Как НЕ СТОИТ использовать I2P и TOR

Recovery Mode

Или, сказ о неожиданных способах раскрытия пользователей распределенных сетей-анонимайзеров.

Пользователи анонимных сетей и браузеров, вероятно, используют их для посещения преимущественно заблокированных/защищенных сайтов. При этом, далеко не все из них ожидают, что факт данного посещения останется анонимным. Если анонимность вас не беспокоит, то, дальнейшее содержимое статьи, скорее всего, вас не заинтересует.

Остальных же пользователей прошу под кат, где вы сможете ознакомиться с абстрактными рассуждениями начинающего параноика о том, как же пользователей анонимных браузеров можно раскрыть.

Заявление

Автор не несет никакой ответственности за приступы паранойи, которые могут возникнуть у вас в процессе чтения данной публикации. Ну, и, за достоверность сведений содержащихся в ней.

Векторы атаки

Мы не будем в наших рассуждениях вдаваться в тонкости функционирования перечисленных сетей и пытаться их взломать. Как известно, даже в самом совершенном средстве защиты узким местом является человек. Потому, мы поговорим о способах, которые работают в обход распределенных протоколов, эксплуатируют типичные ошибки пользователей, настроек или самого ПО.

Под деанонимизацией мы будем понимать раскрытие настоящего IP адреса пользователя.

Фингерпринтинг

Если пользователь использует один и тот же браузер для серфинга в обычной и "анонимной" сети, то его можно элементарно вычислить через отпечаток. Отпечаток сохраняется из "анонимной" сессии браузера, а, потом находится в базах данных отпечатков которые хранят миллиардами Google, Facebook и другие, в том числе, государственные, учреждения разных стран.

Способов снятия отпечатков много, и, все они известны, потому, не буду их здесь перечислять. Стоит использовать отдельный браузер для серфинга по "закрытому" интернету. И, даже там, желательно затирать историю после каждого использования.

Возможность доступа в обычную сеть

Пусть, вы используете отдельный браузер для серфинга в "закрытой" сети. Но, если из этого браузера сохраняется принципиальная возможность доступа в обычный интернет в обход "защищенной сети", то, сайт из onion/i2p домена может использовать эту возможность для вашей деанонимизации отправив запрос куда нужно. Это можно сделать через HTTP, DNS,WebRTC и т.п.

Чтобы этого избежать, - как минимум, запретите этому браузеру на Firewall все входящие и исходящие соединения на все IP кроме localhost и порта, на котором работает ваш анонимизирующий прокси.

Вы не сможете этого сделать, если ваш анонимайзер встроен в браузер и работает с ним в одном процессе.

Помимо этого, надо как-то убедиться, что ваш браузер, ни при каких обстоятельствах, не будет использовать API операционной системы для разрешения имен DNS и т.п..

Проверить последнее можно сформировав запрос через адресную строку параллельно просматривая трафик через wireshark или tcpdump.

Нестандартные протоколы

Ну, помимо http:// и https:// есть другие протоколы, в которых могут быть свои дыры. Например file:// и smb://, при помощи которых можно попытаться заставить ваш браузер/ОС отправить запрос по нужному адресу.

Все протоколы, кроме http:// https:// должны быть отключены в браузере намертво.

GPS координаты/микрофон/камера в браузере

Очевидно, но, можно очень просто и глупо спалиться.

Дыры в браузере

Это достаточно очевидная вещь, но, браузеры, это решето. Их надо регулярно обновлять. Но, и это вас не особо спасет. Рано или поздно появится новая дыра.

Браузерные плагины

Да. Будьте осторожны с плагинами к браузерам. В них могут быть уязвимости. Они могут видеть всё, что вы делаете, и, в некоторых случаях, могут отправлять данные на сторону.

Антивирусы

Ваш антивирус может вас деанонимизировать. Как?

Сайт в onion/i2p домене просто даст вам скачать уникальную страничку/файл. Браузер сохранит её на диске. Ваш антивирус, прежде чем сканировать ваш файл на "миллиард" существующих вирусов, может сначала поискать хэш этого файла в базе данных антивирусной компании, или, распределенной сети объединяющей всех пользователей. Тем самым, вы будете деанонимизированы.

Телеметрия ОС

Да. Возможно, ваша ОС имеет встроенный антивирус или средства телеметрии, которые тоже не гнушаются коллекционированием и отправкой хэшей ваших файлов в "облака".

Как быть

Рекомендую использовать изолированную от сети виртуальную машину, которая автоматом останавливается при обнаружении неожиданного трафика (отличного от tor|i2p) с её IP адреса.

Контроль должен быть внешним. Средствами другой ВМ или, лучше, другого физического хоста.

Рекомендую подход на основе трех видов трафика от виртуальной машины:

Зеленый - только доступ к I2P/TOR прокси, запущенном на ДРУГОЙ виртуальной машине. Сама ВМ принципиально не должна иметь возможности доступа в открытый интернет, и знать внешний IP пользователя.
Желтый - ранее проанализированный сторонний трафик, признанный допустимым. Он должен быть полностью заблокирован. Его "допустимость" означает, что мы не будем останавливать ВМ при его обнаружении, а просто заблокируем. Это, например, попытки Windows достучаться до Windows Update или отправить телеметрию.
(На всякий случай уточню, что упоминание тут ОС Windows в качестве гостя, скорее, шутка, нежели рекомендация.)
Красный - все остальное. Заблокировано полностью. Помимо этого, при обнаружении ВМ немедленно останавливается, а, запись трафика (которая непрерывно ведется средствами контроля) и состояния ВМ, - анализируется. По результатам, трафик либо признается "желтым", либо определяется его источник/дыра в системе. В последнем случае, если трафик не может быть гарантировано признан "желтым", рекомендую откатить ВМ к "заводским настройкам". Вообще, рекомендую откатывать к "заводским настройкам" после каждого использования.

Эту ВМ не стоит использовать для чего-либо, кроме серфинга в защищенных сетях. И, будьте осторожны с ключами лицензионного ПО, MAC адресами и серийными номерами железа, которые видит ОС этой ВМ. Ибо, все это можно успешно слить и через защищенную сеть не запустив механизмов автоматической остановки ВМ. По этой причине, крайне не рекомендую делать всё это на реальном железе.

Камеры/микрофоны в зоне досягаемости

Камеры - достаточно очевидная штука. Надеюсь, никто не догадается лазить по закрытым сайтам на камеру. Про микрофоны на других устройствах, - это не совсем очевидно, но.

Когда вы печатаете сообщение на "защищенный" сайт, - этот сайт (или вставленный туда скрипт) может замерять интервалы между нажатиями кнопок на клавиатуре.

Интересно, что эту информацию можно извлекать даже из защищенной/зашифрованной TCP/HTTPS сессии пользователя замеряя интервалы между IP пакетами.

Микрофон (например, в вашем мобильнике) в зоне досягаемости может делать то же самое. На основе этого можно составить специальный индекс, который, по аналогии с сервисом определения названия играющей в фоне музыкальной композиции, сможет определить, что печатаете сообщение именно вы.

Частично спасает отключение JS, но, клики мышкой при переходе по страницам никуда не исчезают, так что, держите микрофоны подальше от вашего рабочего места.

П.С. Хорошей вам паранойи, товарищи!

Теги:

Хабы:

Комментарии 67

andyN вчера в 07:39
+7
Ну как-то очень слабо. Есть же тор браузер, который большую часть этой статьи делает неактуальной. А коннектить обычный браузер к тору, ещё сложнее (для обычного юзера) чем скачать тор браузер. В общем, я не знаю на кого рассчитана эта статья — рядовой юзер просто пойдёт и скачает тор браузер, а продвинутые пользователи и так в курсе фингерпринтов и всего остального
- akrupa вчера в 07:46
  +3
  Я думаю, что статья рассчитана на, преимущественно, обычных пользователей которые качают ТорБраузер, дабы немного развеять иллюзию безопасности, которую он создает.
  Ибо ТорБраузер не защищает от «антивирусов», «телеметрии» и т.п. тока от первых 2х-3х пунктов.
  - Admaer вчера в 10:37
    
    0
    А у вас есть факты, подтверждающие опасность "«антивирусов»" и "«телеметрии»"? Просто эти два пункта уже смахивают на паранойю. Да и в целом статья описывает не просто «анонимный» доступ в интернет, а, скорее, способы скрыться от спецслужб, в пересказе для читателей АиФ.
    Все эти упражнения с ВМ не спасут, если за вами уже идут, а играть в Нео каждый раз, когда хочешь зайти на сайт библиотеке в даркнете вам быстро надоест.
    - akrupa вчера в 10:51
      
      +2
      
      Ну, кажется, вы правильно поняли посыл статьи. Тор и I2P от спецслужб не спасут. Нужна огромная куча всего кроме. И, да. Быстро надоест.
      Про антивирусы есть косвенные признаки. А именно, факты обнаружения и ареста авторов вирусов, которых отследили «через сигнатуры», «детали не распространяются».
      Про телеметрию и «облака», — нет достоверных сведений. Это экстраполяция основанная на том, что все необходимое, чтобы сделать «аналогично» там есть.
      Если за вами уже следят/вас обнаружили, — вас ничего не спасет. Это аксиома.
      Я сфокусировался на способе, что повышает шансы быть не обнаруженным. Вовремя определить направленное внимание к вашей персоне и, возможно, вовремя почистить хвосты/залечь на дно. И то, без гарантии.
      Гарантий в этом деле вам никто никогда не даст. Скорее всего, гарантирую, что, рано или поздно, вы попадетесь.
      И, да. В заголовке статьи же ясно написано, что это просто записки начинающего параноика.
      - Zangasta вчера в 11:32
        
        +4
        
        Тор и I2P от спецслужб не спасут.
        Еще как спасут. Если ты не Навальный, то перед спецслужбами не стоит задача посадить именно тебя. Им нужно просто показать видимость работы — посадить хоть кого-то. А поскольку работать они не умеют и не любят, то пойдут по пути наименьшего сопротивления.
        
        Если у тебя тор, I2P и ты шифруешь трафик через ВПН, то они арестуют не тебя, а твоего ленивого соседа.
        
        cr0nk вчера в 14:11
        
        +1
        
        Удачи вам с вашей уверенностью!
        
        Vort123 вчера в 17:44
        
        0
        
        Похоже на усовершенствованный вариант принципа Неуловимого Джо. "Не обязательно бежать быстрее медведя, главное бежать быстрее самого медленного."
        
        TheCluster вчера в 17:52
        
        +2
        
        Возможно арестуют все-таки вас, а не соседа. По принципу «честному человеку скрывать не чего». Ведь у вас шифрованный трафик, туннель vpn до иностранного сервера, а потом еще выяснится что и TOR с I2P — точно террорист. Это тоже путь наименьшего сопротивления — арестовать самого подозрительного и выбить из него нужные признания.
        
        sumanai вчера в 23:35
        
        0
        
        VPN сейчас у многих, спасибо блокировкам за это.
        
        Zangasta вчера в 23:53
        
        0
        
        Это тоже путь наименьшего сопротивления — арестовать самого подозрительного и выбить из него нужные признания.
        А как это приблизит сотрудника к его цели? Быстрее и без проблем спихнуть дело в суд и заняться наконец, нормальными мужскими делами — поездить по городу на гелике или заняться обналичкой?
        
        Выбирают тех кто попроще, чтоб меньше возиться.
        
        endoftime вчера в 23:37
        
        0
        
        Сорм 3 на оконечном Вашем провайдера отлично пасет применение и vpn и tor и т.д. А дальше все зависит от плана… Толи к вам нагрянут менты с резиновыми дубинками и вы сознанием не только в том что через vpn порнушку качали, но и во всех нераскрытых делах по линии ИТ. Или дверь вынесут тяжёлые спецназа ФСБ и тут хорошо если у Вас и тех кто с вами живёт не случится инфаркта… А вероятнее всего, просто покрутится около вас парочка оперов и найдут и сделают найти от наркоты до растления малолетних....
        
        powerman сегодня в 01:50
        
        0
        
        Нельзя жить в страхе!
        
        Да, всё это может случиться. Но если вести образ жизни покорной овцы и не делать ничего, что потенциально может расстроить ближайшего хищника — Вас всё-равно сожрут, потому что для этого им и нужны послушные овцы — чтобы кушать без проблем и напрягов. "Ты виноват уж тем, что хочется мне кушать" — помните? С тех пор ничего не изменилось, это всё ещё актуально.
        
        Использование VPN пока что не нарушает никаких законов, а примут такие законы — найдутся другие способы их обходить. Так что вы имеете полное право скрывать свой трафик от любопытных соседей, провайдера и СОРМ — и глупо этого не делать из страха, что кому-то это может не понравиться.
      - Admaer вчера в 14:39
        
        0
        
        Если вы не доверяете Windows и антивирусам, то нем смысла рисковать с ВМ. Если уж вы сделали что-то такое, что вас вычисляют по паузам между нажатиями клавиш, то и ВМ их не остановит. Покупаем Raspberry Pi, ломаем там Wi-Fi (чтобы SSID не видела), качаем процессоры только через неё. Приятным бонусом будет то, что, когда в двери постучат, SD карту можно разгрызть и проглотить.
        
        tester12 вчера в 17:24
        
        0
        
        Где гарантия отсутствия закладок в линухе, браузере, Raspberry Pi или клавиатуре? Мало ли…
        
        Вот тут говорят, что Linux Mint вместо пароля букву ё принимает и рабочий стол разблокирует.
    - endoftime вчера в 23:31
      
      0
      
      Не сказал бы что это паранойя. Прочитайте про отечественный сорм 3 и что он собирает.
      Про нажатие клавиш и микрофон ещё пару лет назад была статья. Израильские кажется студенты сделали продукт позволяющий с любой клавиатуры по звуку восстанавливать текст.
      Практически все описанное было представлено на различных конференциях в виде готовых продуктов… Конечно сразу все вместе никто не применял, но я например не очень уверен, что так не делали.
  - DGN сегодня в 01:31
    
    0
    А разве ТорБраузер пишет на диск содержимое страниц?
    
    Если через тор не просто на рутрекер ходить, то логично иметь отдельный ноут + роутер, на роутере поднимается тор и что бы не делал ноут он не попадает в сеть напрямую. Ноут должен писать только на рамдиск, если вдруг маскишоу — щелк батарейкой и всем спасибо.
    
    Атака через мобильник и его микрофон уж слишком целенаправленная получается.
    - akrupa сегодня в 01:51
      
      0
      
      Пример. Гугл получает 63,000 запросов в секунду. Всего пользователей 4 миллиарда.
      Пусть погрешность определения клика на телефоне — 1 секунда (это не принципиально, просто чуть больше или меньше кликов понадобится).
      По одному клику — выделяется 63000 пользователей.
      По корреляции двух кликов — круг сужается примерно до тысячи пользователей.
      По корреляции трех кликов — вас можно идентифицировать среди 4х миллиардов пользователей Гугла.
      Все ещё думаете что атака специфична, и, верите, что ей до сих пор никто не пользуется?
      
      Сразу предупрежу, что эти расчеты — сферический конь в вакууме. Работает только если вы априори знаете, что пользователь кликает на Гугле. В реальности нужно выделять пользователя среди всего трафика в сети, а не только Гугла, и, для этого потребуется где-то 10 кликов.
      - powerman сегодня в 01:56
        
        0
        
        Вариант что микрофон на телефоне заблокирован через XPrivacy не рассматривается?
        
        Вообще, если допускать использование рядом с собой шпионящих микрофонов, то спалишься намного раньше, чем сделаешь что-то "анонимно" в интернете — ещё на этапе продумывания и обсуждения планов это сделать. :)
        
        akrupa сегодня в 02:01
        
        0
        
        Первое — это вопрос доверия к XPrivacy и т.п. Оно автоматически подразумевает доверие к ОС Андроид, которого нет.
        
        Во-втором, — вы правы. Я указал это здесь исключительно для того, чтобы пользователи помнили об этом и не допускали)
      - DGN сегодня в 04:08
        
        0
        
        Если честно, я не понимаю вообще алгоритм такой атаки.
        
        Типа я через тор иду зачем то в гугл и набираю в поисковой строке «вам меня не поймать».
        
        В это время, мой телефон рядом, слушает микрофоном все шумы и посылает их в гугл чтобы гугл смог распознать «окей гугл» (он этого не делает, я знаю, но теоретически может).
        
        Гугл как то соотносит этот поисковый запрос (да пусть даже 10 запросов) и пощелкивание клавиатуры (неизвестной ему) и привязывает этот запрос к гугл аккаунту, так?
        
        Как такая атака, даже ЕСЛИ она возможна, способна соотнести меня с русским хакером взломавшим пентагон?
        
        akrupa сегодня в 04:42
        
        0
        
        Пользователь делает в среднем около 500 кликов мышкой в день. Это около 0,005 кликов в секунду от одного пользователя.
        Корреляция одного клика с точностью до секунды дает вам примерно 7 бит информации необходимой для идентификации пользователя.
        
        Предположим, хакер совершил 32 запроса с интервалом больше секунды при попытке взлома. Предположим, что 10 из них были инициированы кликом мышки.
        
        Предположим, телефоны всех пользователей лежа на столе, помимо ОК Гугл еще и пассивно собирают информацию о кликах мышкой. Предположим, в Гугл отправляется только отчет с таймстампами кликов за день в виде телеметрии. Предположим, что этим может заниматься не сам Гугл, а установленный на телефоне мессенджер/другое приложение.
        
        Из глобального потока информации о кликах выделяются участки соответствующие по времени всем 32-м запросам, которые были частью атаки.
        
        Находится устройство, которое встречается максимальное количество раз в этих диапазонах.
        
        Если количество найденных кликов 5 или больше — у нас есть подозреваемый. Если 10, — то, это почти гарантия того, что телефон находился рядом со злоумышленником в момент атаки. Это след, который дальше надо раскручивать другими методами.
        
        Все это, конечно, надо еще нормировать на общее количество событий с конкретного устройства. На случай, если, вдруг, несчастный владелец найденного телефона играл во время взлома в Диабло II за паладина.
- DrVooDoo вчера в 08:45
  0
  да там всё просто, ставишь тор браузер, ставишь видалию, прописываешь пути, ставишь в браузер расширение для прокси, добавляешь в это расширение 127.0.0.1:9050 и сайты, которые должны ходить через тор, и всё работает
- unsignedchar вчера в 09:39
  0
  TOR браузер вполне оставляет достаточно уникальный фингерпринт :(
  - polar_yogi вчера в 11:21
    
    +1
    Если не ошибаюсь нюанс в том, что все браузеры Tor оставляют одинаковый фингерпринт.
    - sumanai вчера в 23:36
      
      0
      
      Он это старается делать, но не факт, что у него это получится. Надо будет на досуге проверить.
    - unsignedchar вчера в 23:37
      
      0
      
      Пару лет назад из под этого самого whonix на одном форуме спалили мой мультиаккаунт. Возможно, современный tor более продвинут.
      - dvrpd сегодня в 02:50
        
        +1
        
        Что за форум? Могли спалить и по каким-то более очевидным признакам, вроде паттернов речи и подобного.
    - gorgona45 сегодня в 01:07
      
      0
      
      А как в этом можно убедиться?
- Balling вчера в 17:58
  0
  коннектить обычный браузер к тору, ещё сложнее
  Я так делаю, Proxy Switch Omega и Tor console.
  - Vort123 вчера в 18:06
    
    +1
    Console — то есть окошко постоянно видно? Если да, то лучше запускать как демона/службу.
- NTHub сегодня в 00:35
  0
  У TOR браузера — включена телеметрия — которая отправляет её в мозилу. Можете сами проверить. почему по это не пишут специалисты по безопасности и в обзорах ТОР непонятно.
  Вот пример статей про телеметрию в FF
  spy-soft.net/firefox-anonymity
  optimakomp.ru/kak-otklyuchit-vsyu-telemetriyu-v-brauzere-mozilla-firefox
inqus вчера в 08:05
+6
Хотите анонимности? Тогда используйте специализированные OS. На Windows анонимности нет и не будет.
- Greg-Mac вчера в 10:18
  0
  А вы уверены что в линуксе она есть?
  - Shaman_RSHU вчера в 10:50
    
    +1
    А вы уверены, что кроме Ubuntu нет других дистрибутивов Linux, в т.ч. заточенных для решения проблем статьи (Subgraph OS, Tails, etc)?
  - polar_yogi вчера в 11:17
    
    +1
    Линукс — гораздо более управляемый, при необходимости найти кто что куда шлет и отключить, это не слишком большая проблема.
    У меня был такой опыт в этом плане. Не слишком давно мне случилось зимовать на крайнем юге, где на 20 человек интернет был 64 килобита через два прокси-сервера, доступен с шести компов — у начальника станции, радиста, сисадмина (меня) и трёх «общественных».
    Несколько человек просили меня раз в месяц подключиться с телефона к сбербанк-онлайн, чтобы убедиться в своевременности платежей, для этого я поднимал точку доступа на своем ноуте с линуксом.
    Ситуация с обычным телефоном — человек подключается, пошел трафик — гугл, амазон, яндекс и т.п., приложение сбербанка просто висит, минуты через 3-4 появляются пакеты на сервера сбербанка и приложение начинает реагировать на ввод.
    На моем телефоне — Lineageos + firewall — GoogleServices — после подключения к wifi на интерфейсе тишина. На ноуте — такая-же картина.
    Похожая ситуация была в порту после месяца в открытом океане без интернета. Люди покупают местные симкарты с пакетом интернета на 100-200-500Г и не успевают отправить письмо потому что все сжирает телефон/винда на ноуте.
    На ноуте с debian — тишина на интерфейсе.
    - Massacre вчера в 12:27
      
      0
      
      Так в windows тоже можно, в 7ке, по крайней мере. Достаточно фаервола с возможностью блокировать доступ приложений… А на обычном андроиде можно adguard.
densss2 вчера в 08:27
+1
Несколько страно и глупо использовать Windows для таких целей. Ещё более странно, использовать виртуалку с Windows для таких целей.
- akrupa вчера в 08:51
  0
  Думаю, что по прозрачным намекам про телеметрию и встроенные антивирусы, понятно, что использование Windows на ВМ показано чисто как пример запуска «недоверенного софта в песочнице» который, тем не менее, не приведет к печальным последствиям. Ну, и, немного стёба и тонкого юмора.
  Очевидно что, Windows, MacOS, Android и iOS для таких целей лучше вообще не использовать.
roverseti вчера в 08:47
0
Есть сборки Линух на виртуальную машину под сервер и клиента, с которого серфят. Для виртуал бох. Интересно это решит проблему? Работает это пол виндой.
- polar_yogi вчера в 11:31
  0
  На линуксе с иксами есть еще варинат собрать образ для докер.
NeoCode вчера в 09:43
+2
Tails в виртуалке возможно будет чуть надежнее чем Tor Browser.
tmpnick вчера в 10:42
+2
Фингерпринтинг
Интересно, каким образом? Большинство людей используют tor-браузер, где по умолчанию отключен javascript. А те кто установил тор вручную и самостоятельно настроил браузер на работу с ним — таких людей не много и они сами должны отдавать себе отчёт в том, что они делают.

Это можно сделать через HTTP, DNS,WebRTC и т.п
Ну и каким-же образом?
HTTP — только если сам автор onion-сайта олень и встроил в хтмл гугл-аналитикс (или не стал удалять из готового движка).
DNS — sock5 протокол имеет фичу ресолва через саму проксю которая в тор-браузере включена по умолчанию.
WebRTC — без js не работает.

Я могу по каждому пункту расписать в чём не прав автор. Такое чувство, что статью писал человек не знающий как работает тор, как принято делать сайты в торе, да и вообще не знающий как обычный (не анонимный) браузер обеспечивает безопасность.

Единственные два нормальные аргумента это «Дыры в браузере» и «Браузерные плагины». Вот это действительно проблема.

Вообще в последние годы вокруг тора я замечаю большое количество конспирологии произрастающей на невежестве людей. Много раз встречал мнение что «tor это ловушка для преступников», «tor весь палёный», «tor дырявый». И каждый раз когда я распрашиваю человека о конкретных уязвимостях тора, прошу описать его технические проблемы, оказывается что человек не разбирается в торе от слова совсем а его мнение сформировано какими-то слухами в интернете.

Причина деанонов в торе не в том что он «дырявый» а в человеческом факторе. Статья плохая и годится в лучшем случае на пикабу. На хабре нужны технические подробности каждой уязвимости. И важен контекст в котором рассматривается проблема: использование дефолтного тор-браузера в голой линуксовой виртуалке или использование яндекс-браузера под виндой с касперским.
- Shvatov вчера в 10:55
  0
  Полгода назад каждый четвертый выходной узел Tor был вредоносным.
  
  На управляемых серверах было включено перенаправление с https to http. Сейчас вероятность попасть на вредоносный узел около 10%.
  
  Прочитать об этом можете здесь https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac
- unsignedchar вчера в 11:10
  +2
  Большинство людей используют tor-браузер, где по умолчанию отключен javascript.
  
  А большинство сайтов без javascript не работают.
  - tmpnick вчера в 12:17
    
    0
    А большинство сайтов без javascript не работают.
    
    И требуют телефон для авторизации :)
    Тут уже всё зависит от контекста. От того зачем в отдельно взятом случае нужна анонимность.
    Но вообще даже с включенным js можно настроить браузер так, чтобы утекало как можно меньше информации. С помощью noscript можно разрешить подгрузку контента и яваскриптов только с посещаемого домена. А всякие гугл-аналитикс и прочие трекеры будут отсекаться.
    
    Вообще посещать сайты в открытом интернете через тор нежелательно. Тор-браузер больше предназначен для посещения onion-сайтов а они без js работают нормально.
- Teomit вчера в 13:27
  +2
  Большинство людей используют tor-браузер, где по умолчанию отключен javascript.
  
  По умолчанию javascript включен в tor: 2019.www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled
- qw1 вчера в 13:27
  0
  HTTP — только если сам автор onion-сайта олень и встроил в хтмл гугл-аналитикс (или не стал удалять из готового движка)
  Не стоит забывать, что FBI взламывает tor-сайты заражает их троянами, чтобы деанонимизировать посетителей. Поэтому tor-сайту нельзя доверять.
- endoftime вчера в 23:42
  0
  А отпечаток работает не по начинке, а по вашим действиям… Последите в какой последовательности и какие сайты вы посещаете, и каковы паузы между ними…
vilgeforce вчера в 11:18
0
Автор забыл упомянуть корреляционные атаки на TOR и иже с ним
- Vort123 вчера в 17:21
  0
  Есть ли примеры использования Яровой для таких целей? Не "увидели один IP -> поискали, кто ещё к нему подключался", а именно корреляции.
  Теоретически, с помощью дополнительных серверов эту проблему можно решить, создав канал связи, потребляющий фиксированное количество трафика. Допустим, мегабит туда и мегабит обратно. Постоянно. Затем перед выходом из этого канала извлекать полезную информацию, отбрасывая шум. Встречал ли кто-нибудь такое готовое решение? Такой канал сам по себе будет подозрителен, но если создать его зараннее, то догадаться, с какими событиями он связан, будет сложно.
  - qw1 вчера в 18:08
    
    0
    Готовое решение — торрент клиент. Стабильно кушает 100 мегабит в обе стороны, позволяя в фоне браузить и смотреть видео. Если трафик завернуть в VPN, который не подключен к Яровой, от меня будет видно стабильные 100 МБит в обе стороны, а как уже дальше расходится трафик, понять невозможно.
    - Vort123 вчера в 18:15
      
      0
      
      По размерам пакетов словить не выйдет? К примеру, печать в терминале — это группа коротких пакетов. Торрент же может гнать пакеты, преимущественно заполненные по максимуму. Надо, правда, смотреть, занимается ли VPN склейкой пакетов.
      - unsignedchar вчера в 18:20
        
        0
        
        obfsproxy например
qyix7z вчера в 15:00
0
Использую следующую схему:
Тор браузер на хосте дополнительно слушает порт на IP виртуального адаптера от ВМ. В ВМ в тор браузере отключен тор-ланчер (получается тор браузер без тора), а в качестве прокси указан IP виртуального адаптера. Винда в ВМ никакого доступа к сети не имеет, кроме вышеуказанного прокси.
Хотелось бы знать недостатки/уязвимости данной схемы.
- akrupa вчера в 19:25
  +2
  Это очень хорошая схема. Гораздо лучше простого использования ТОР браузера.
  Однако, есть риск использования дыры браузере. В этом случае, из-за того, что вы можете вовремя не определить, что это произошло, и не остановить ВМ, злоумышленник успеет проанализировать окружение и скачать эксплойт для вашего гипервизора. Внешний контроль трафика с остановкой ВМ нужен именно для предотвращения этого сценария. Но, даже он не дает гарантии. Просто повышает шансы.
  - akrupa вчера в 22:33
    
    +1
    Ну, и, на всякий случай, помните, что ваши клики мышкой могут оказаться в телеметрии не только гостевой ОС, но и хоста.
    - qyix7z сегодня в 06:33
      
      0
      
      Я правильно понимаю, что некто может сопоставить клики хоста с гостевой и таким образом связать их?
      Вот только на гостевой ОС ничего не настраивалось на прокси, кроме тор браузера. Если только телеметрия такая умная, что может сама обнаружить прокси и начать через него передавать…
      - akrupa сегодня в 06:35
        
        0
        
        Можно сопоставить клики хоста с запросами на взломанный onion-сайт. Будет не важно, что у вас настроено на гостевой ОС.
Vort123 вчера в 15:50
0
Для обхода блокировок есть смысл поднять сервер Tor и через SwitchyOmega перенаправить нужные домены в Tor через обычный браузер.
Для обеспечения анонимности — установить Whonix и делать анонимные дела там. Есть небольшой риск из-за уязвимостей спекулятивного выполнения, дырок в виртуальных машинах и потенциальных ошибок авторов Whonix. Но, насколько я понимаю, всё описанное в статье такой вариант покрывает.
- akrupa вчера в 23:03
  0
  Whonix, это очень хороший вариант, если работает в связке из двух компов. Риск вы совершенно правильно описали. При прорыве изоляции ВМ может утечь ID оборудования. Ему не хватает именно механизма оперативного реагирования на вторжение/паразитный трафик.
  Ну, и, по кликам все равно отследить можно, если телефон рядом лежит. Встроенная рандомизация тайминга событий клавиатуры/мыши сильно затрудняет, но, не предотвращает это. Просто, нужно будет дольше собирать данные.
Adny вчера в 20:47
–3
Автор ты под дурака не коси! Закон есть закон!
Мысли у меня не от паранойи а от твоих высказываний! Ты не в педносии! Твои комментарии типа вы сами придурки! И надумали, что то не прокатят! Я сразу в прокуратуру напишу! И будем разбираться! Дебил я или нет!
- akrupa вчера в 20:51
  0
  Сожалею, если моя публикация вас чем-то обидела или расстроила. Я, честно, старался никого нигде не оскорбить, и, не обидеть. Буду рад видеть то же в ответ от комментаторов.
  Насчет прокуратуры… Я бы, вот, был бы даже рад, если бы «прокуратура» провела проверку и подтвердила/опровергла предположения про антивирусы, телеметрию, и деанонимизацию через телефон. Ведь так можно отслеживать пользователей не только в анонимных сетях, а вообще везде, и, если это правда, это большая проблема для безопасности.
gosdep вчера в 23:41
0
Нужен роутер с нормальным фаерволом (MikroTik), локальная виртуалка и зарубежная виртуалка, на которой поднят Tor bridge, обёрнутый в obfs4
На роутере создаём новый бридж, вешаем на него отдельную сеть и фаерволом блочим всё, кроме IP-адреса зарубежной виртуалки
Подключаемся в созданный бридж, запускаем локальную виртуалку, ставим Tor и коннектимся к Tor bridge на зарубежной виртуалке

В данной схеме никакие включённые антивирусы, телеметрии, плагины и уязвимости не страшны.
- akrupa вчера в 23:41
  0
  Вас просто спалят по MAC адресу вашего MicroTik.
  - gosdep вчера в 23:47
    
    0
    В MikroTik очень легко изменить MAC-адрес на любом интерфейсе. Делается одной командой в консоли.
    - akrupa вчера в 23:56
      
      0
      
      Как и многое другое, что придется скрыть/изменить в этой схеме, чтобы она работала.
      Идея понятна, но, на самом деле просто аналогична схеме из двух виртуалок — контроллера/хоста вроде Whonix, только вы еще зачем-то воткнули посередине лишнюю деталь в виде MicroTik'a создав тем самым новый вектор для атаки, и, купили левый хостинг у левой конторы, к которой тоже доверия нет, создав тем самым угрозу.
      Можно просто из WhoNix купить хостинг за криптовалюту и использовать его как личный VPN сервер подключаясь только через VPN поверх TOR. При этом, к хостингу должно быть нулевое доверие.
Fed0r_Sumkin сегодня в 02:10
0
Так, а что там с Tails, который тупо ставится на флешку и запускается только с неё? В паре с Тором.