Как стать автором
Обновить

Комментарии 155

Ну как-то очень слабо. Есть же тор браузер, который большую часть этой статьи делает неактуальной. А коннектить обычный браузер к тору, ещё сложнее (для обычного юзера) чем скачать тор браузер. В общем, я не знаю на кого рассчитана эта статья — рядовой юзер просто пойдёт и скачает тор браузер, а продвинутые пользователи и так в курсе фингерпринтов и всего остального

Я думаю, что статья рассчитана на, преимущественно, обычных пользователей которые качают ТорБраузер, дабы немного развеять иллюзию безопасности, которую он создает.
Ибо ТорБраузер не защищает от «антивирусов», «телеметрии» и т.п. тока от первых 2х-3х пунктов.
А у вас есть факты, подтверждающие опасность "«антивирусов»" и "«телеметрии»"? Просто эти два пункта уже смахивают на паранойю. Да и в целом статья описывает не просто «анонимный» доступ в интернет, а, скорее, способы скрыться от спецслужб, в пересказе для читателей АиФ.
Все эти упражнения с ВМ не спасут, если за вами уже идут, а играть в Нео каждый раз, когда хочешь зайти на сайт библиотеке в даркнете вам быстро надоест.
Ну, кажется, вы правильно поняли посыл статьи. Тор и I2P от спецслужб не спасут. Нужна огромная куча всего кроме. И, да. Быстро надоест.
Про антивирусы есть косвенные признаки. А именно, факты обнаружения и ареста авторов вирусов, которых отследили «через сигнатуры», «детали не распространяются».
Про телеметрию и «облака», — нет достоверных сведений. Это экстраполяция основанная на том, что все необходимое, чтобы сделать «аналогично» там есть.
Если за вами уже следят/вас обнаружили, — вас ничего не спасет. Это аксиома.
Я сфокусировался на способе, что повышает шансы быть не обнаруженным. Вовремя определить направленное внимание к вашей персоне и, возможно, вовремя почистить хвосты/залечь на дно. И то, без гарантии.
Гарантий в этом деле вам никто никогда не даст. Скорее всего, гарантирую, что, рано или поздно, вы попадетесь.
И, да. В заголовке статьи же ясно написано, что это просто записки начинающего параноика.
Тор и I2P от спецслужб не спасут.

Еще как спасут. Если ты не Навальный, то перед спецслужбами не стоит задача посадить именно тебя. Им нужно просто показать видимость работы — посадить хоть кого-то. А поскольку работать они не умеют и не любят, то пойдут по пути наименьшего сопротивления.


Если у тебя тор, I2P и ты шифруешь трафик через ВПН, то они арестуют не тебя, а твоего ленивого соседа.

Удачи вам с вашей уверенностью!

Похоже на усовершенствованный вариант принципа Неуловимого Джо. "Не обязательно бежать быстрее медведя, главное бежать быстрее самого медленного."

Возможно арестуют все-таки вас, а не соседа. По принципу «честному человеку скрывать не чего». Ведь у вас шифрованный трафик, туннель vpn до иностранного сервера, а потом еще выяснится что и TOR с I2P — точно террорист. Это тоже путь наименьшего сопротивления — арестовать самого подозрительного и выбить из него нужные признания.
НЛО прилетело и опубликовало эту надпись здесь
Вообще нет.
Гораздо проще прописать прокси на определённые домены (мой вариант), а кто не разбирается в сетях, поставить бесплатное расширение в браузер.
Это тоже путь наименьшего сопротивления — арестовать самого подозрительного и выбить из него нужные признания.

А как это приблизит сотрудника к его цели? Быстрее и без проблем спихнуть дело в суд и заняться наконец, нормальными мужскими делами — поездить по городу на гелике или заняться обналичкой?


Выбирают тех кто попроще, чтоб меньше возиться.

shadowsocks или softether ssl vpn вам в помощь

Сорм 3 на оконечном Вашем провайдера отлично пасет применение и vpn и tor и т.д. А дальше все зависит от плана… Толи к вам нагрянут менты с резиновыми дубинками и вы сознанием не только в том что через vpn порнушку качали, но и во всех нераскрытых делах по линии ИТ. Или дверь вынесут тяжёлые спецназа ФСБ и тут хорошо если у Вас и тех кто с вами живёт не случится инфаркта… А вероятнее всего, просто покрутится около вас парочка оперов и найдут и сделают найти от наркоты до растления малолетних....

Нельзя жить в страхе!


Да, всё это может случиться. Но если вести образ жизни покорной овцы и не делать ничего, что потенциально может расстроить ближайшего хищника — Вас всё-равно сожрут, потому что для этого им и нужны послушные овцы — чтобы кушать без проблем и напрягов. "Ты виноват уж тем, что хочется мне кушать" — помните? С тех пор ничего не изменилось, это всё ещё актуально.


Использование VPN пока что не нарушает никаких законов, а примут такие законы — найдутся другие способы их обходить. Так что вы имеете полное право скрывать свой трафик от любопытных соседей, провайдера и СОРМ — и глупо этого не делать из страха, что кому-то это может не понравиться.

Ну если вы считаете себя овечкой и пытаетесь прикрываться фиговым листом мне вас жалко…
При чем тут способы обхода. Проходя сорм 3 вы однозначно себя идентифицирует… Глупо скрывать свой трафик из страха перед соседями и т.д.
Мне проще завалить огромным объемом трафика контролирующие органы и спать спокойно отлично осознавая что перебрать столько говна будет трудно при любых условиях…
«А поскольку работать они не умеют и не любят,» — некоторые, далеко не все.
Я сталкивался со всеми четырьмя вариантами: с теми, кто работать и умеет, и любит, кто любит, но не умеет, кто умеет, но не любит, и кто и не умеет, и не любит. какой человек будет заниматься расследованием в твоём случае — непредсказуемо.
Если вы не доверяете Windows и антивирусам, то нем смысла рисковать с ВМ. Если уж вы сделали что-то такое, что вас вычисляют по паузам между нажатиями клавиш, то и ВМ их не остановит. Покупаем Raspberry Pi, ломаем там Wi-Fi (чтобы SSID не видела), качаем процессоры только через неё. Приятным бонусом будет то, что, когда в двери постучат, SD карту можно разгрызть и проглотить.
Где гарантия отсутствия закладок в линухе, браузере, Raspberry Pi или клавиатуре? Мало ли…

Вот тут говорят, что Linux Mint вместо пароля букву ё принимает и рабочий стол разблокирует.

Не сказал бы что это паранойя. Прочитайте про отечественный сорм 3 и что он собирает.
Про нажатие клавиш и микрофон ещё пару лет назад была статья. Израильские кажется студенты сделали продукт позволяющий с любой клавиатуры по звуку восстанавливать текст.
Практически все описанное было представлено на различных конференциях в виде готовых продуктов… Конечно сразу все вместе никто не применял, но я например не очень уверен, что так не делали.

Прочитайте про отечественный сорм 3 и что он собирает.

Собирать они могут что угодно. Как уже выше писали — сам факт использования IPSec, SSL, TOR или I2P не является незаконным и не приводит ни к каким «последствиям». Мой друг, например, использует TOR чтобы качать тупые ситкомы с русским переводом с заблокированных сайтов. Купить VPN ему мешает жаба, вот и играет в хакера. Т.е. TOR — это не признак чего-то прямо уж совсем незаконного, а довольно распространённое явление, особенно в России.

Про нажатие клавиш и микрофон ещё пару лет назад была статья. Израильские кажется студенты сделали продукт позволяющий с любой клавиатуры по звуку восстанавливать текст.


Все представленные в этой статье способы деанонимизации можно поделить на три вида:
1. Очевидные. Про них можно почитать в советах того же тор-браузера. Там, например, не рекомендуют разворачивать окно браузера на весь экран, чтобы атакующий не узнал разрешение вашего монитора.
2. Эззотерические. Например, эта вот про микрофон и клавиатуру. В большинстве случаев такие атаки хорошо работают только когда атакуемый компьютер стоит в лаборатории атакующего. Устройство, переводящее звук нажатия клавиш в текст, нужно как-то разместить в комнате у подозреваемого. А если в вашей комнате стоит микрофон спецслужб, то уже поздно играть в Нео.
3. Параноидальные. Про антивирус (Зачем-то в кавычках.), телеметрию и прочие городские легенды, вроде «постоянно включенного микрофона телефона, через который гугл тебя слушает».

В качестве противодействия автор предлагает стать экспертом в нескольких дисциплинах. Вместо вполне логичной покупки левого ноута для «хакерства» и других разумных советов, автор предлагает безошибочно настроить ВМ, файрволл, написать пару скриптов, которые будут следить за приближением людей в чёрном и т.п. Лично у меня сложилось впечатление, что автор просто не понимает, о чём он пишет.
Вы, судя по всему, не слышали про Whonix. Я просто хотел намекнуть, что даже его может оказаться недостаточно. Ну, и, про то, что если вы не являетесь экспертом в некоторых областях, рассчитывать на анонимность просто потому, что вы используете «тор браузер», — не стоит.
Про советы…
1. Очевидные. Про них можно почитать в советах того же тор-браузера. Там, например, не рекомендуют разворачивать окно браузера на весь экран, чтобы атакующий не узнал разрешение вашего монитора.

И получаем уникальный ид на основе разрешения, если мониторов типа 1024х768 миллионы, то 1047х668 — уже единицы. Или при каждом запуске СНАЧАЛА нужно менять разрешение на какое-то рандомное. Но опять же, никто не будет делать окно 1600х1500, когда монитор 1024х768, вполне себе анализ.

Про слив инфы с микрофонов и контекстной рекламы по ключевым словам которое просто обсуждали — уже много лет пишут. И да, микрофоны у всяких алис включены постоянно, и даже было что яндекс писал этот поток на диск (с попыткой отмазаться багой и режимом отладки, попавшим в прод)

И вообще. Если у вас нет паранои, это ещё не значит что за вами не следят. Как мнимум те, для кого вы источник монетизации. Корпорации уже давно лучше спецслужб умеют в слежку, потому что тут КАЖДЫЙ клиент это деньги. Клиент — это товар, который надо продать.
И получаем уникальный ид на основе разрешения, если мониторов типа 1024х768 миллионы, то 1047х668 — уже единицы. Или при каждом запуске СНАЧАЛА нужно менять разрешение на какое-то рандомное. Но опять же, никто не будет делать окно 1600х1500, когда монитор 1024х768, вполне себе анализ.
Tor Browser при старте открывается в окне примерно 1000x600, и просто не надо трогать его размер, и ты не будешь отличаться от всех других пользователей этого браузера.

Он ещё и округляет размеры до 200x100, чтобы уменьшить энтропию: support.torproject.org/tbb/maximized-torbrowser-window
Про слив инфы с микрофонов и контекстной рекламы по ключевым словам которое просто обсуждали — уже много лет пишут.

Про инопланетян тоже много лет пишут, и что? Нет НИКАКИХ доказательств этим слухам. Унылые журналистские «эксперименты» типа «мы весь день разговаривали про котов и к вечеру увидели рекламу кошачьего корма» — это не доказательство.

И да, микрофоны у всяких алис включены постоянно, и даже было что яндекс писал этот поток на диск (с попыткой отмазаться багой и режимом отладки, попавшим в прод)

Про алисы не знаю, но читал, что у андроида он ничего не пишет, а ждёт «Ок, гугл» и только после этого начинает записывать и отправлять запись на анализ.

Как мнимум те, для кого вы источник монетизации.

Есть разница между ведением профайла и деанонимизацией. Гугл может знать, туалетную бумагу какой фирмы предпочитает юзер #654918967, но зачем ему знать, как его зовут? Тем более, что сбор таки сведений противозаконен.
но зачем ему знать, как его зовут?
Затем, что когда он залогинится на другом устройстве под своим гугл-аккаунтом, или фейсбук-аккаунтом, или войдёт в учётку на хабре, продолжить его историю, а не начать с нуля. Для этого гуглу нужно знать, что abcd123 на хабре, и sergrey.ivanov@gmail.com и Ivanov1234@mail.ru — одно и то же лицо.
да, деанонимизация тут просто побочный эффект. А вообще я вот смотрел свой профиль, который на меня гугл сформировал… весьма точно получилось.
А вообще я вот смотрел свой профиль, который на меня гугл сформировал


Подскажите, а как его можно посмотреть?

Спасибо! Почитал свой рабочий профиль — мне, оказывается, лет на 15..20 больше, я люблю фильмы и сериалы (терпеть ненавижу), интересуюсь пляжами и островами (не — не был), SEO (ни разу), Ж/Д перевозками (откуда?), танцевальной и электронной музыкой (внезапно), ну и далее — про ИТ (это по работе). Вероятно, это из-за того, что на работе я залогинен в "служебную" учётку, на которой постоянно сидит 2-3 человека, но вот с возрастом совсем мимо — у нас не работают пенсионеры.

Думаю, что я не сильно ошибусь, если скажу, что из-за того что учеткой пользуется несколько человек имеет место быть некое разнообразие интересов, которое характерно для людей более старшего возраста, у которых больше свободного времени.
Недавно на хабре же был перевод статьи одного из журналистов правозащитного издания. Автор оригинального текста запросил у АНБ США досье на свой идентификатор и выяснил, что его качественно деанонимизировали с нарушением нескольких норм уголовного права нескольких государств. На запросы «WTF» адресованные виновникам, получил отписки или игнор.
Вы видимо не осилили прочитать что такое сорм 3. Он не отделяет законного от незаконного, и не проверяет какой у вас софт…
Основная задача получение фингерпринта. И я очень сомневаюсь что у вас все железо ходит только через рандомный vpn…
Основная задача получение фингерпринта.

Но как? Зашифрованный трафик вскрыть они не могут. За моим роутером — шесть компов, несколько телефонов, телевизор и пара консолей. И от трёх до пяти пользователей. Фингерпинт чего они получат?

И я очень сомневаюсь что у вас все железо ходит только через рандомный vpn…

А зачем «рандомный»? У меня куплен коммерческий VPN с серверами по всему миру, но я, чаще всего, пользуюсь тремя странами. В них, насколько я помню, сервера выбираются по уровню загрузки.
ну это уже смахивает на наивность
А разве ТорБраузер пишет на диск содержимое страниц?

Если через тор не просто на рутрекер ходить, то логично иметь отдельный ноут + роутер, на роутере поднимается тор и что бы не делал ноут он не попадает в сеть напрямую. Ноут должен писать только на рамдиск, если вдруг маскишоу — щелк батарейкой и всем спасибо.

Атака через мобильник и его микрофон уж слишком целенаправленная получается.
Пример. Гугл получает 63,000 запросов в секунду. Всего пользователей 4 миллиарда.
Пусть погрешность определения клика на телефоне — 1 секунда (это не принципиально, просто чуть больше или меньше кликов понадобится).
По одному клику — выделяется 63000 пользователей.
По корреляции двух кликов — круг сужается примерно до тысячи пользователей.
По корреляции трех кликов — вас можно идентифицировать среди 4х миллиардов пользователей Гугла.
Все ещё думаете что атака специфична, и, верите, что ей до сих пор никто не пользуется?

Сразу предупрежу, что эти расчеты — сферический конь в вакууме. Работает только если вы априори знаете, что пользователь кликает на Гугле. В реальности нужно выделять пользователя среди всего трафика в сети, а не только Гугла, и, для этого потребуется где-то 10 кликов.

Вариант что микрофон на телефоне заблокирован через XPrivacy не рассматривается?


Вообще, если допускать использование рядом с собой шпионящих микрофонов, то спалишься намного раньше, чем сделаешь что-то "анонимно" в интернете — ещё на этапе продумывания и обсуждения планов это сделать. :)

Первое — это вопрос доверия к XPrivacy и т.п. Оно автоматически подразумевает доверие к ОС Андроид, которого нет.

Во-втором, — вы правы. Я указал это здесь исключительно для того, чтобы пользователи помнили об этом и не допускали)
К Android есть доверие, ядро собирается из исходников, в framework.jar нет ничего подозрительного, потому что оно хорошо декомпилируется и моддеры его излазили вдоль и поперёк.

К сожалению, нет доверия к firmware и процессору модема. Там своя закрытая ось, имеющая полный доступ к железу, и в неё вообще никак не заглянуть — ни логов, ни отладочного доступа. Известно только, что весит она сотню-две мегабайт, это видно из модулей прошивки.

Но тут получается атака слишком специфичная. У одного юзера Samsung, у другого Honor. Если в firmware есть бекдоры, полной базы всех бэкдоров нет ни у кого.
Ядро это просто привосходно. Попробуйте как нибудь на досуге поработать с голым ядром linux… Без модулей, без репозитория и заметьте без сети и других глупостей… В Андроиде также.
Модули устройств в большинстве проприетарные, а многие даже с закрытой документацией. Софт google тоже не особо открытый (голый android не особо съедобная зверушка).
HTC выкладывает исходники, всё с них нормально собирается с модулями. Там есть какой-то 'magic', из-за которого собранное тобой ядро не сможет работать с чужими модулями, поэтому исходники модулей вынуждены тоже выкладывать.
Htc выкладывают исходники своих надстроек и открытой части андроида. Но все абсолютно драйверы например для qualcomm пропиретарны. Как и все что связано с графической системой, модемами и т.д. аналогично у большинства производителей. Те же АМД и нвидиа открытых исходников не имеют…
Я посмотрел дерево исходников и дерево файлов прошивки.
Большие закрытые модули это WiFi и exFAT от tuxera.
Есть ещё какие-то мелкие квалкомовские *.ko, но буквально на 20-30KB.

Работа с модемом это /system/vendor/lib/libril-qc-*.so, закрытый компонент, но в userspace.
Если честно, я не понимаю вообще алгоритм такой атаки.

Типа я через тор иду зачем то в гугл и набираю в поисковой строке «вам меня не поймать».

В это время, мой телефон рядом, слушает микрофоном все шумы и посылает их в гугл чтобы гугл смог распознать «окей гугл» (он этого не делает, я знаю, но теоретически может).

Гугл как то соотносит этот поисковый запрос (да пусть даже 10 запросов) и пощелкивание клавиатуры (неизвестной ему) и привязывает этот запрос к гугл аккаунту, так?

Как такая атака, даже ЕСЛИ она возможна, способна соотнести меня с русским хакером взломавшим пентагон?
Пользователь делает в среднем около 500 кликов мышкой в день. Это около 0,005 кликов в секунду от одного пользователя.
Корреляция одного клика с точностью до секунды дает вам примерно 7 бит информации необходимой для идентификации пользователя.

Предположим, хакер совершил 32 запроса с интервалом больше секунды при попытке взлома. Предположим, что 10 из них были инициированы кликом мышки.

Предположим, телефоны всех пользователей лежа на столе, помимо ОК Гугл еще и пассивно собирают информацию о кликах мышкой. Предположим, в Гугл отправляется только отчет с таймстампами кликов за день в виде телеметрии. Предположим, что этим может заниматься не сам Гугл, а установленный на телефоне мессенджер/другое приложение.

Из глобального потока информации о кликах выделяются участки соответствующие по времени всем 32-м запросам, которые были частью атаки.

Находится устройство, которое встречается максимальное количество раз в этих диапазонах.

Если количество найденных кликов 5 или больше — у нас есть подозреваемый. Если 10, — то, это почти гарантия того, что телефон находился рядом со злоумышленником в момент атаки. Это след, который дальше надо раскручивать другими методами.

Все это, конечно, надо еще нормировать на общее количество событий с конкретного устройства. На случай, если, вдруг, несчастный владелец найденного телефона играл во время взлома в Диабло II за паладина.
Вы исходите из предпосылки о том что злоумышленник за компом рядом с телефоном занят только взломом и закончив его прекращает активность за компом. Для этого нет оснований. Вот если у нас есть множество фактов активности, в разные дни, тогда сопоставить можно попробовать. Но нужно быть точно уверенным в том, что вся эта активность вызвана одним человеком. И мне сложно прикинуть, как много нужно фактов активности.

Далее, приложений не бесконечное количество. И если условная алиса работает на фсб, то этой базой в итоге будут пользоваться все желающие (смотрим услуги пробива). Если же «стучит» какой то никому неизвестный фонарик, то встает проблема охвата аудитории этим приложением. По этой причине, мне крайне подозрительны сервисы, в которых смотреть/скачать можно только через конкретный видеоплеер или приложение, заботливо выложенное.
Никаких предпосылок названных вами нет. От сценария поведения пользователя зависит только количество корреляций которые нужны для идентификации. Конечно, чем сильнее разбросаны во времени события тем больше бит информации мы можем получить от каждого. Чем больше событий приходит с устройства, — тем меньше. Но, какую-то информацию, по 1-3 бита за событие можно получить даже в плохих случаях.

Если просто забыть про возможные закладки в ОС или Firmware, чего на самом деле делать не стоит, и, сфокусироваться только на приложениях, то надо смотреть в сторону фрэймворков для интеграции рекламы или in-app покупок в приложения для сторонних разработчиков.
Выше писал, что задача восстановления текста по звуку нажатия клавиш клавиатуры была решена и в виде готового изделия представлена на одной из конференций в виде работающего программного изделия, не прототипа.
Там нужно обучать алгоритм на конкретную клавиатуру и конкретное окружение (стол, комнату), или оно вот так сразу в любых условиях заработает? Если надо обучать, сколько нужно данных для обучения и откуда они появятся у атакующего?
Не нужно обучать… В основе что-то построенное на выявлении биграмм и триграмм
Всмысле, программа прислушивается не к особенностям звучания конкретных кнопок, а к манере набора определённых слов определённым человеком? Тогда её надо обучать не по железу, а по человеку.
да там всё просто, ставишь тор браузер, ставишь видалию, прописываешь пути, ставишь в браузер расширение для прокси, добавляешь в это расширение 127.0.0.1:9050 и сайты, которые должны ходить через тор, и всё работает
Если не ошибаюсь нюанс в том, что все браузеры Tor оставляют одинаковый фингерпринт.
НЛО прилетело и опубликовало эту надпись здесь
Пару лет назад из под этого самого whonix на одном форуме спалили мой мультиаккаунт. Возможно, современный tor более продвинут.
Что за форум? Могли спалить и по каким-то более очевидным признакам, вроде паттернов речи и подобного.

4пда ;)
Возможно. Просто я забыл пароль от первого аккаунта, и почта была одноразовая, и спалили на втором сообщении. То ли там великий психолог в модераторах, то ли что-то все же утекало.

Возможно, вы единственный пользователь, который за последний месяц заходил на форум через TOR. Тогда понятно — если новый акк снова пришёл через TOR, значит, это опять вы.
А как в этом можно убедиться?
Я натыкался на сайты, которые анализировали мой браузер и говорили, насколько он уникален. Можно поискать их. Но тут уже придётся поверить создателям этих сайтов. А вдруг они — это они и их задача — создать у вас иллюзию безопасности?
А есть средства сделать этот самый fingerprint менее уникальным?
Было бы неплохо, если бы такие сайты давали советы на основе статистики.

Например, ваш user-agent: Firefox/83.0 встречается у 2% пользователей, рекомендуется обновиться до Firefox 85, чтобы повысить это число до 7%.
НЛО прилетело и опубликовало эту надпись здесь
Можно посмотреть, например, здесь: coveryourtracks.eff.org
Поазаны примерно два десятка параметров, которые используются для фингерпринтинга. Для того чтобы убедиться едва ли достаточно, но какое-то предствление можно получить.
коннектить обычный браузер к тору, ещё сложнее

Я так делаю, Proxy Switch Omega и Tor console.

Console — то есть окошко постоянно видно? Если да, то лучше запускать как демона/службу.

У TOR браузера — включена телеметрия — которая отправляет её в мозилу. Можете сами проверить. почему по это не пишут специалисты по безопасности и в обзорах ТОР непонятно.
Вот пример статей про телеметрию в FF
spy-soft.net/firefox-anonymity
optimakomp.ru/kak-otklyuchit-vsyu-telemetriyu-v-brauzere-mozilla-firefox
Я даже специально скачал актуальный TOR-браузер и посмотрел, включена ли там телеметрия. Так вот, она выключена и даже включить её нельзя — опция заблокирована на false.

наберите просто telemetry — там ещё около 20 пунктов было включено
у меня с каким то последним обновлением появилась
devtools.onboarding.telemetry.logged — была включена
а что конкретно делает эта настройка? судя по названию, телеметрия developer tools. а вы пользуетесь дебагером в ТОРе?
И, кстати, включенные опции ничего не значат сами по себе.
Возможность, функциональность убрали, а опции из settings нет, чтобы минимизировать патч, накладываемый на основную ветку при подготовке Tor Browser.
Хотите анонимности? Тогда используйте специализированные OS. На Windows анонимности нет и не будет.
А вы уверены что в линуксе она есть?
А вы уверены, что кроме Ubuntu нет других дистрибутивов Linux, в т.ч. заточенных для решения проблем статьи (Subgraph OS, Tails, etc)?
Линукс — гораздо более управляемый, при необходимости найти кто что куда шлет и отключить, это не слишком большая проблема.
У меня был такой опыт в этом плане. Не слишком давно мне случилось зимовать на крайнем юге, где на 20 человек интернет был 64 килобита через два прокси-сервера, доступен с шести компов — у начальника станции, радиста, сисадмина (меня) и трёх «общественных».
Несколько человек просили меня раз в месяц подключиться с телефона к сбербанк-онлайн, чтобы убедиться в своевременности платежей, для этого я поднимал точку доступа на своем ноуте с линуксом.
Ситуация с обычным телефоном — человек подключается, пошел трафик — гугл, амазон, яндекс и т.п., приложение сбербанка просто висит, минуты через 3-4 появляются пакеты на сервера сбербанка и приложение начинает реагировать на ввод.
На моем телефоне — Lineageos + firewall — GoogleServices — после подключения к wifi на интерфейсе тишина. На ноуте — такая-же картина.
Похожая ситуация была в порту после месяца в открытом океане без интернета. Люди покупают местные симкарты с пакетом интернета на 100-200-500Г и не успевают отправить письмо потому что все сжирает телефон/винда на ноуте.
На ноуте с debian — тишина на интерфейсе.
Так в windows тоже можно, в 7ке, по крайней мере. Достаточно фаервола с возможностью блокировать доступ приложений… А на обычном андроиде можно adguard.
В Windows телеметрия не на уровне приложений. Посмотрите исходящий трафик при настроенном firewall (даже не встроенном, а стороннего производителя).
Adguard без root тоже мало полезен.
В Windows телеметрия не на уровне приложений. Посмотрите исходящий трафик при настроенном firewall

Т.е. телеметрия обходит файрвол? Где можно про это прочитать? Я не смог найти ничего по этому вопросу, наоборот нашёл мануалы о том, как заблокировать телеметрию средствами виндового же файрвола.

а стороннего производителя

Многие «сторонние» файрволы являются просто красивым интерфейсом к виндовому. О каких именно программах мы говорим? Что это за сторонний файрвол, что не может заблокировать телеметрию?
Более-менее удобная надстройка над встроенным виндовым файерволом — . Знаю, что сторонний Comodo не блокирует телеметрию (смотрели трафик на периметре). Однозначно спасёт firewall на периметре, но нужно быть аккуратнее, т.к. может ограничиться функциональность всяких Skype.
Comodo её не блокирует потому, что по дефолту он считает доверенным всё, подписанное сертификатом Microsoft. Но это можно поменять в настройках.
НЛО прилетело и опубликовало эту надпись здесь
Несколько страно и глупо использовать Windows для таких целей. Ещё более странно, использовать виртуалку с Windows для таких целей.
Думаю, что по прозрачным намекам про телеметрию и встроенные антивирусы, понятно, что использование Windows на ВМ показано чисто как пример запуска «недоверенного софта в песочнице» который, тем не менее, не приведет к печальным последствиям. Ну, и, немного стёба и тонкого юмора.
Очевидно что, Windows, MacOS, Android и iOS для таких целей лучше вообще не использовать.
Автор тонко намекнул про windows, прочитайте внимательно по слову «шутка».
Тут я должен заметить, что ремарку про «шутку» я добавил в статью уже после того комментария про Windows, ибо стало понятно, что юмор оказался «слишком тонкий».

Есть сборки Линух на виртуальную машину под сервер и клиента, с которого серфят. Для виртуал бох. Интересно это решит проблему? Работает это пол виндой.

На линуксе с иксами есть еще варинат собрать образ для докер.
Tails в виртуалке возможно будет чуть надежнее чем Tor Browser.
Фингерпринтинг
Интересно, каким образом? Большинство людей используют tor-браузер, где по умолчанию отключен javascript. А те кто установил тор вручную и самостоятельно настроил браузер на работу с ним — таких людей не много и они сами должны отдавать себе отчёт в том, что они делают.

Это можно сделать через HTTP, DNS,WebRTC и т.п
Ну и каким-же образом?
HTTP — только если сам автор onion-сайта олень и встроил в хтмл гугл-аналитикс (или не стал удалять из готового движка).
DNS — sock5 протокол имеет фичу ресолва через саму проксю которая в тор-браузере включена по умолчанию.
WebRTC — без js не работает.

Я могу по каждому пункту расписать в чём не прав автор. Такое чувство, что статью писал человек не знающий как работает тор, как принято делать сайты в торе, да и вообще не знающий как обычный (не анонимный) браузер обеспечивает безопасность.

Единственные два нормальные аргумента это «Дыры в браузере» и «Браузерные плагины». Вот это действительно проблема.

Вообще в последние годы вокруг тора я замечаю большое количество конспирологии произрастающей на невежестве людей. Много раз встречал мнение что «tor это ловушка для преступников», «tor весь палёный», «tor дырявый». И каждый раз когда я распрашиваю человека о конкретных уязвимостях тора, прошу описать его технические проблемы, оказывается что человек не разбирается в торе от слова совсем а его мнение сформировано какими-то слухами в интернете.

Причина деанонов в торе не в том что он «дырявый» а в человеческом факторе. Статья плохая и годится в лучшем случае на пикабу. На хабре нужны технические подробности каждой уязвимости. И важен контекст в котором рассматривается проблема: использование дефолтного тор-браузера в голой линуксовой виртуалке или использование яндекс-браузера под виндой с касперским.

Полгода назад каждый четвертый выходной узел Tor был вредоносным.


На управляемых серверах было включено перенаправление с https to http. Сейчас вероятность попасть на вредоносный узел около 10%.


Прочитать об этом можете здесь https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac

Большинство людей используют tor-браузер, где по умолчанию отключен javascript.


А большинство сайтов без javascript не работают.
А большинство сайтов без javascript не работают.

И требуют телефон для авторизации :)
Тут уже всё зависит от контекста. От того зачем в отдельно взятом случае нужна анонимность.
Но вообще даже с включенным js можно настроить браузер так, чтобы утекало как можно меньше информации. С помощью noscript можно разрешить подгрузку контента и яваскриптов только с посещаемого домена. А всякие гугл-аналитикс и прочие трекеры будут отсекаться.

Вообще посещать сайты в открытом интернете через тор нежелательно. Тор-браузер больше предназначен для посещения onion-сайтов а они без js работают нормально.
С помощью noscript можно разрешить подгрузку контента и яваскриптов только с посещаемого домена.

на половине сайтов JS библиотеки типа Bootstrap, jQuery и прочего грузятся из CDN, чтобы ускорить отображение страницы

Вообще посещать сайты в открытом интернете через тор нежелательно. Тор-браузер больше предназначен для посещения onion-сайтов а они без js работают нормально.

кто сказал? тор как раз больше используется для обычных сайтов и он хорошо с ними работает, вот i2p больше под скрытые ресурсы заточен
HTTP — только если сам автор onion-сайта олень и встроил в хтмл гугл-аналитикс (или не стал удалять из готового движка)
Не стоит забывать, что FBI взламывает tor-сайты заражает их троянами, чтобы деанонимизировать посетителей. Поэтому tor-сайту нельзя доверять.

А отпечаток работает не по начинке, а по вашим действиям… Последите в какой последовательности и какие сайты вы посещаете, и каковы паузы между ними…

js-скрипты (например, самый популярный fingerprintjs), формирующие отпечаток, не имеют доступа к истории страниц, а уж тем более к таймингам их посещений.
НЛО прилетело и опубликовало эту надпись здесь
Кто-то из параноиков не выпилиывает гугл-аналитику на всех уровнях? (etc/hosts, uBlock, uMatrix)
НЛО прилетело и опубликовало эту надпись здесь
Уникальный заход, и что дальше? Закрываешь браузер — куки стираются.
То есть для выполнения атаки нужно, чтобы пользователь в одном сеансе заходил на два разных подпольных сайта, на обоих сайтах была установлена гугл-аналитика, после чего админы этих сайтов смогут связать этого пользователя в одного?
В последней версии, куки, кстати, по умолчанию не сохраняются. Вообще. Даже в пределах одного сеанса. Надо сайты руками вносить в белый список…
НЛО прилетело и опубликовало эту надпись здесь
Да я сам удивился. Зашёл на habr.com, ya.ru, google.com, затем в about:preferences → Privacy → Manage Data, и там нет ничего…

Также там есть сообщение: In permanent private browsing mode, cookies and site data will always be cleared when Tor Browser is closed.
НЛО прилетело и опубликовало эту надпись здесь
Нет, я не предлагаю ставить uMatrix в tor browser.
Я говорю, что выпиливаю домены типа
www.google-analytics.com
www.googletagservices.com
pagead2.googlesyndication.com
an.yandex.ru
mc.yandex.ru
counter.yadro.ru
...

всеми возможными способами, начиная от etc/hosts, заканчивая расширениями. Конкретно в tor browser их можно зарезать файлом proxy.pac
поставив туда расширение не из комплекта поставки
кстати, как сайт может узнать список установленных расширений?
НЛО прилетело и опубликовало эту надпись здесь
Вот тут то как говорится вы и спалились
Зарезаны домены аналитики = спалились? Или появился 1 бит энтропии в обмен на потерю 10 бит, которые соберут скрипты аналитики?
НЛО прилетело и опубликовало эту надпись здесь
Так со своего домена и не жалко, пусть собирает повторные входы.
Важно, чтобы не связали со входами на других доменах, а это могут сделать только глобальные системы, вроде гугл и яндекс-аналитики.
запускайте «new identity» между переходами на разные сайты и ничего не свяжут
НЛО прилетело и опубликовало эту надпись здесь
1. Отпечаток это не атака.
2. Что на вашей стороне с точки зрения технологий вообще не влияет ни на что.
3. Отпечаток он потому и отпечаток, что это уникальное свойство субъекта, а не его компьютера и браузера…
4. Абсолютно все люди имеют совершенно разные способы построения оборотов речи, разные ассоциативные действия, а с точки зрения интернета посещают разные сайты в определенной последовательности это и есть отпечаток. Избавится можно только полностью перестроив свои мозги и став другим человеком…
1. Отпечаток — не атака, а снятие отпечатка — атака, от которой можно защищаться (успешно или нет — другой вопрос, но можно). Например, подкладывание камушка в ботинок, чтобы изменить «отпечаток» походки.

2,3,4. Речь тут не об «отпечатке» личности, а об отпечатке браузера/ОС. Зачем вы отвечаете в эту ветку, если хотите поговорить по другой теме.
Автор забыл упомянуть корреляционные атаки на TOR и иже с ним

Есть ли примеры использования Яровой для таких целей? Не "увидели один IP -> поискали, кто ещё к нему подключался", а именно корреляции.
Теоретически, с помощью дополнительных серверов эту проблему можно решить, создав канал связи, потребляющий фиксированное количество трафика. Допустим, мегабит туда и мегабит обратно. Постоянно. Затем перед выходом из этого канала извлекать полезную информацию, отбрасывая шум. Встречал ли кто-нибудь такое готовое решение? Такой канал сам по себе будет подозрителен, но если создать его зараннее, то догадаться, с какими событиями он связан, будет сложно.

Готовое решение — торрент клиент. Стабильно кушает 100 мегабит в обе стороны, позволяя в фоне браузить и смотреть видео. Если трафик завернуть в VPN, который не подключен к Яровой, от меня будет видно стабильные 100 МБит в обе стороны, а как уже дальше расходится трафик, понять невозможно.

По размерам пакетов словить не выйдет? К примеру, печать в терминале — это группа коротких пакетов. Торрент же может гнать пакеты, преимущественно заполненные по максимуму. Надо, правда, смотреть, занимается ли VPN склейкой пакетов.

obfsproxy например
I2P fullfeed
Использую следующую схему:
Тор браузер на хосте дополнительно слушает порт на IP виртуального адаптера от ВМ. В ВМ в тор браузере отключен тор-ланчер (получается тор браузер без тора), а в качестве прокси указан IP виртуального адаптера. Винда в ВМ никакого доступа к сети не имеет, кроме вышеуказанного прокси.
Хотелось бы знать недостатки/уязвимости данной схемы.
Это очень хорошая схема. Гораздо лучше простого использования ТОР браузера.
Однако, есть риск использования дыры браузере. В этом случае, из-за того, что вы можете вовремя не определить, что это произошло, и не остановить ВМ, злоумышленник успеет проанализировать окружение и скачать эксплойт для вашего гипервизора. Внешний контроль трафика с остановкой ВМ нужен именно для предотвращения этого сценария. Но, даже он не дает гарантии. Просто повышает шансы.
Ну, и, на всякий случай, помните, что ваши клики мышкой могут оказаться в телеметрии не только гостевой ОС, но и хоста.
Я правильно понимаю, что некто может сопоставить клики хоста с гостевой и таким образом связать их?
Вот только на гостевой ОС ничего не настраивалось на прокси, кроме тор браузера. Если только телеметрия такая умная, что может сама обнаружить прокси и начать через него передавать…
Можно сопоставить клики хоста с запросами на взломанный onion-сайт. Будет не важно, что у вас настроено на гостевой ОС.
Следовательно на хосте надо использовать ОС без телеметрии? Мне же по большому счету все равно, что там за ОС, лишь бы прокси в тор поднимала. Что там у ОС на базе Линукс с этим?

И я понимаю, что мы тут за максимум паранойи, но этот некто должен иметь доступ одновременно к телеметрии (в данном случае иметь картбланш от Майкрософта) и к сайту? Это должен быть кто-то очень могущественный, я для него — Неуловимый Джо.
Я считаю, что у ОС хоста не должно быть доступа в сеть. И, эта ОС должна откатываться на начальное состояние после каждого использования. В идеале, — грузиться с устройства «только для чтения».
Тор надо поднять на соседней физической железке или ВМ работающей там.
Эта схема предотвращает не только утечку телеметрии хоста, но и дает дополнительную защиту против эксплойтов гипервизора ВМ.

Это, кстати, рекомендованная схема использования Whonix.
Как именно порекомендуете осуществить этот внешний контроль трафика?

Для обхода блокировок есть смысл поднять сервер Tor и через SwitchyOmega перенаправить нужные домены в Tor через обычный браузер.
Для обеспечения анонимности — установить Whonix и делать анонимные дела там. Есть небольшой риск из-за уязвимостей спекулятивного выполнения, дырок в виртуальных машинах и потенциальных ошибок авторов Whonix. Но, насколько я понимаю, всё описанное в статье такой вариант покрывает.

Whonix, это очень хороший вариант, если работает в связке из двух компов. Риск вы совершенно правильно описали. При прорыве изоляции ВМ может утечь ID оборудования. Ему не хватает именно механизма оперативного реагирования на вторжение/паразитный трафик.
Ну, и, по кликам все равно отследить можно, если телефон рядом лежит. Встроенная рандомизация тайминга событий клавиатуры/мыши сильно затрудняет, но, не предотвращает это. Просто, нужно будет дольше собирать данные.
Хорошо, что есть ноутбуки с сенсорным экраном и экранная клавиатура.
НЛО прилетело и опубликовало эту надпись здесь
Сожалею, если моя публикация вас чем-то обидела или расстроила. Я, честно, старался никого нигде не оскорбить, и, не обидеть. Буду рад видеть то же в ответ от комментаторов.
Насчет прокуратуры… Я бы, вот, был бы даже рад, если бы «прокуратура» провела проверку и подтвердила/опровергла предположения про антивирусы, телеметрию, и деанонимизацию через телефон. Ведь так можно отслеживать пользователей не только в анонимных сетях, а вообще везде, и, если это правда, это большая проблема для безопасности.
Нужен роутер с нормальным фаерволом (MikroTik), локальная виртуалка и зарубежная виртуалка, на которой поднят Tor bridge, обёрнутый в obfs4
На роутере создаём новый бридж, вешаем на него отдельную сеть и фаерволом блочим всё, кроме IP-адреса зарубежной виртуалки
Подключаемся в созданный бридж, запускаем локальную виртуалку, ставим Tor и коннектимся к Tor bridge на зарубежной виртуалке

В данной схеме никакие включённые антивирусы, телеметрии, плагины и уязвимости не страшны.
Вас просто спалят по MAC адресу вашего MicroTik.
В MikroTik очень легко изменить MAC-адрес на любом интерфейсе. Делается одной командой в консоли.
Как и многое другое, что придется скрыть/изменить в этой схеме, чтобы она работала.
Идея понятна, но, на самом деле просто аналогична схеме из двух виртуалок — контроллера/хоста вроде Whonix, только вы еще зачем-то воткнули посередине лишнюю деталь в виде MicroTik'a создав тем самым новый вектор для атаки, и, купили левый хостинг у левой конторы, к которой тоже доверия нет, создав тем самым угрозу.
Можно просто из WhoNix купить хостинг за криптовалюту и использовать его как личный VPN сервер подключаясь только через VPN поверх TOR. При этом, к хостингу должно быть нулевое доверие.
Моя схема с MikroTik'ом и зарубежной виртуалкой даёт возможность юзать вообще любую удобную операционку, а не только WhoNix, и при этом не раскрывать свой настоящий IP-адрес
MikroTik выполняет только одну функцию — дропает все пакеты, кроме тех, которые льются на зарубежную виртуалку. Никакого нового вектора для атаки тут не создано.
При Вашей схеме с WhoNix Ваш же интернет-провайдер уже в курсе, что Вы юзаете Tor. При моей же схеме никто, кроме хостера зарубежной виртуалки, не в курсе.
Что лучше: когда знает Ваш интернет-провайдер об этом или когда знает зарубежный хостер? :)
Также я не вижу ничего такого в покупке зарубежной виртуалки через клирнет от своего имени, ибо страна, из которой Вы получаете доступ в Tor, не знает, что Вы получаете доступ в Tor.
кроме хостера зарубежной виртуалки

Зарубежный хостер в данном случае не только знает, что вы юзаете тор, но и может вас деанонимизировать. Это на порядки хуже.
Зарубежный хостер знает мой настоящий IP-адрес и то, что я юзаю Tor через его виртуалку.
Интернет-провайдер знает то же самое, но и ещё гораздо много чего: MAC-адрес, паспортные данные (указанные при заключении договора), физический адрес и видит вообще весь трафик.

Вероятность, что зарубежный хостер начнёт сам писать российскому товарищу майору, очень мала, нежели вероятность, что интернет-провайдер будет это делать.
Также нужно учитывать СОРМ, на который зеркалится весь трафик абонентов российского интернет-провайдера, который, возможно, сохраняет всю инфу о тех, кто юзает «плохие» программы.
Вы, судя по всему, мало путешествуете, если считаете, что можете наделать дел через зарубежный хостинг, оставить там след, и, вам за это ничего не будет.
Как только вы окажетесь в юрисдикции этого хостинга, сразу поймете, где тут ошибка.

Так, а что там с Tails, который тупо ставится на флешку и запускается только с неё? В паре с Тором.

Знаете, зачастую фигуранты сами себя выдают. К примеру, зайти на свою страничку в Фейсбуке через защищённое соединение, одновременно где-то "гуляя" ещё.
Но я не специалист, чисто рассуждаю с точки зрения обывателя. :)))

Стоит использовать отдельный браузер для серфинга по «закрытому» интернету

В случае фигнерпрингинга использование «обычного» (то есть без дополнительной защиты) браузера вам никак не поможет. И даже использование виртуальной машины не поможет, потому что как минимум часть (canvas, например) фингерпрининга идет на хардварном уровне. Протестировать можно где-нибудь тут.
Решение — использовать что-то, что умеет предотвращать фингерпринтинг (Tor Browser, расширения, которые перехватывают и подменяют айди через js, антидетекты и так далее).

Это можно сделать через HTTP, DNS,WebRTC и т.п.

Поэтому WebRTC и прочее не особо нужное лучше отключить, совсем.

А вообще все уже давно придумано, есть Whonix, есть другие инструменты, в которых большинство векторов описанных в статье предусмотрено.
В случае фигнерпрингинга использование «обычного» (то есть без дополнительной защиты) браузера вам никак не поможет. И даже использование виртуальной машины не поможет, потому что как минимум часть (canvas, например) фингерпрининга идет на хардварном уровне. Протестировать можно где-нибудь тут.
Не понял. Я открыл эту страницу с 3 браузеров (ff, edge, chrome) без каких-либо защит и получил в разделе hashes вообще всё разное! Открыл tor browser, и ни один хеш не совпал с этими тремя. Это что, для тёмных делишек достаточно держать другой браузер, типа оперы, и всё, никакой фингерпринтинг не работает?

Делаю вывод, всё эти хеши — неработающие страшилки.
Смотрите не на хэши (которые уберкуки и так далее, это как бы суммарное значение всего вместе), а на значение canvas, audio и fonts. Первые две метрики аппаратные, третья — это шрифты установленные в системе. Более точные данные можно получить если прогнать advanced test.
Возможно у вас стоит какая-то защита, которая подменяет canvas и прочее, тогда при полном тесте оно определит подмену и будет написано про «fake canvas detected».

Единственное где эти фингерпринтинги судя по всему не работают — это маки. Там почему-то с разных браузеров разные значения всюду, включая аппаратные метрики.

Tor Browser действительно имеет защиту от трекинга через canvas и прочее. Но есть другие фигнерпринты, которые в тесте не представлены, есть ли от них защита в Tor я не знаю.
НЛО прилетело и опубликовало эту надпись здесь
Странно, у меня как минимум canvas совпадает, если его отдельно не подменять.
НЛО прилетело и опубликовало эту надпись здесь
Смотрите не на хэши (которые уберкуки и так далее, это как бы суммарное значение всего вместе), а на значение canvas, audio и fonts
Что я должен там увидеть? На Canvas какая-то картинка нарисована, а внизу надпись «hash», которая не совпадает во всех браузерах. В Audio есть только 2 значения hash и summary, которые также не совпадают в разных браузерах.
А в fonts вообще смешно. Firefox показывает: Fonts(182), Chrome: Fonts(328). И какой вывод можно сделать?
Возможно у вас стоит какая-то защита, которая подменяет canvas и прочее
Нет, штатные браузеры. Расширениями я не увлекаюсь, только uBlock/uMatrix. На Edge и Chrome и того нет — эти браузеры у меня только посмотреть, как страница в них работает.
Странно что у вас не работает, у меня хэши совпадают, как минимум fonts между хромиумными браузерами и canvas, который совпадает даже между хостом и виртуальной машиной (правда я не проверял между Chrome и FF). Audio совпадает между хромиумными браузерами (например, Vivaldi и Chrome), но с FF действительно не совпадает.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории