3

Анонимная операционная система (TAILS) 

Tails — наверное самая популярная анонимная операционная система, основной задачей которой предоставить пользователю максимально возможный уровень анонимности при работе, сохраняя простоту использования системы. В этом видео речь пойдет о том, как установить данную ОС на флешку.

Дубликаты не найдены

+5

Вообще забавляют такие видео. Те, кому действительно нужна анонимность, уж точно без ютуб-гайдов разберутся, как с помощью GUI установить операционку.
Использование подобных инструментов без глубокого понимания дает лишь ложное чувство анонимности, которое с треском будет разбито первым же оставленным сетевым отпечатком.

раскрыть ветку 1
0

Что может быть проще в поимке вора, если он сам бежит в ловушку.

+1

Она не единственная кто анонимная и может стартануть с флэхи.

И по мне она не очь удобная, есть на Debian поудобней с тем же уровнем заточки на секретность.

Смена днс, впн, прокся, тор всё в одном флаконе и стартует чуть ли не в автозапуске)

раскрыть ветку 1
+1

Согласен с Вами. Давно еще, во времена хайпа о Сноудене, пользовался флешкой с Tails. В итоге сменил на Debian, с ним удобней.

0
Ееее! Мамкины ксакепы одобряют!
Удивительно, что не про калолинус. Или он в рейтинге любимых школьных дистров потерял позиции?
-1

поздняк потсаны, сейчас поколение аппаратных бекдуров, с ними какой бы мега анонимной ОС ни была - не поспоришь.

раскрыть ветку 2
+1

Спаяй свой комп, браузер помурыжить потянут многие контроллеры. И линь на них часто запиливается не сложно.

раскрыть ветку 1
0

pi3 кстати норм вариант говорят, по крайней мере тот же хром без проблем сёрфить позволяет

-2
Зачем извращаться когда есть вот такое https://pikabu.ru/story/u_protsessorov_intel_obnaruzhili_uya...
раскрыть ветку 1
-1

Ебать ты прошаренный

Похожие посты
746

Реверс-прокси на службе человечества

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Ранее я уже выкладывал на Пикабу статьи про личные VPN, личные хранилища файлов и прочие штуки для защиты личной информации. Планирую несколько статей по полезным для личного использования OpenSorce сервисам. Если эта статья не улетит в минус, выложу сюда и другие.

И для начала статья про реверс-прокси. Используя его, можно создать зеркало любого сайта, в том числе не доступного в вашей стране пребывания, и спокойно пользоваться им без всяких VPN. А можно поставить реверс-прокси как защитный барьер перед каким-то web-сервисом. В общем вот Вам инструмент, пользуйтесь. На одном копеечном сервере Вы можете поднять хоть сотню зеркал дл личного пользования.

Примечание 1: это статья рассчитана на нулевой или начальный уровень читающего. Очень подробно и просто, без занудства.

Примечание 2: Всё описанное в этой статье приведено только в обучающих целях и не должно быть использовано для противоправных действий. Администрация сайта не несёт ответственность за действия третьих лиц, использующих инструкции из данной статьи. Все скриншоты и адреса сайтов в этой статье являются художественным вымыслом, совпадения с реальными адресами и сайтами случайно.

Примечание 3: статья может и будет дорабатываться. Наиболее актуальный вариант как всегда в первоисточнике. Да и конфиги там выглядят как надо.

Nginx это не только web-сервер, но и кое что получше. Его можно использовать в качестве обратного прокси или реверс-прокси. Что это значит? Реверс-прокси это посредник между пользователем и реальным web-сервером. Это значит, мы можем скрыть от пользователя (или от того, сто фильтрует наш трафик ) настоящий адрес web-сервера, обеспечить доступ по https к серверу, который умеет только http, можем подменить домен web-сервера, можем фильтровать содержимое трафика как с целью подмены содержимого сайта, так и для защиты web-сервера от атак злодеев, можем кэшировать сайт для ускорения, можем балансировать нагрузку, можем… Да очень много можем! Например, сделать своё собственное зеркало RuTracker или любого другого сайта, к которому нет доступа обычным способом.


Лучше всего показывать на реальных примерах. Нам понадобится VPS с минимальными характеристиками. Nginx не требователен к ресурсам. Главное, чтобы хватило лимитов трафика под Вашу задачу. В данной статье для скриншотов будет использоваться VPS с операционной системой CentOS 7. Для других операционных систем конфиги абсолютно аналогичны. Старайтесь использовать минимальную конфигурацию операционной системы без дополнительных пакетов.

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Также нам понадобится домен. Можете использовать домен третьего уровня у какого-то своего домена, но лучше для таких дел арендовать отдельный новый платный домен, или арендовать бесплатный домен где-нибудь на freenom.com. Вы должны быть готовы к тому, что ваш домен добавят в реестр запрещенных сайтов. Это не должно затронуть какие-либо другие Ваши сервисы, кроме реверс-прокси. Для этого домена нужно добавить A запись с IP адресом нашего VPS. Как арендовать домен и настраивать DNS записи можно почитать здесь. Для примера в статье будет использоваться домен mydomain.com


Как арендовать и первично настроить VPS описано здесь, здесь и здесь. Должен быть разрешён доступ к серверу по портам tcp/22, tcp/80 и tcp/443. Если вы используете эту статью для настройки файрволла, то конфиг ipt-set будет выглядеть так:


#!/bin/sh

IF_EXT="venet0"

IPT="/sbin/iptables"

IPT6="/sbin/ip6tables"

# flush

$IPT --flush

$IPT -t nat --flush

$IPT -t mangle --flush

$IPT -X

$IPT6 --flush

# loopback

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT

# default

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

$IPT6 -P INPUT DROP

$IPT6 -P OUTPUT DROP

$IPT6 -P FORWARD DROP

# allow forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# NAT

# #########################################

# SNAT - local users to out internet

$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

# INPUT chain

# #########################################

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ssh

$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT

# WEB

$IPT -A INPUT -i $IF_EXT -p tcp --dport 80 -j ACCEPT

$IPT -A INPUT -i $IF_EXT -p tcp --dport 443 -j ACCEPT

# OUTPUT chain

# #########################################

$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Обновим сервер:

yum -y update

yum -y install epel-release

Ставим собственно Nginx

yum -y install nginx

Пробуем запустить

systemctl start nginx

Теперь, если мы попробуем в браузере перейти по адресу нашего домена http://mydomain.com (вы, соответсвенно вводите своё имя домена), то должны увидеть страницу-заглушку. Типа такой:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Также можно проверить работоспособность службы командой:

systemctl status -l nginx

Вывод команды должен выглядеть так:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Если возникли проблемы и служба не запускается, то скорее всего вы используете не минимальный дистрибутив операционной системы и в системе уже установлен какой-то web-сервер, который занимает порт. Чтобы проверить это, установим сетевые утилиты

yum install net-tools -y

И проверим, кто занимает порт

netstat -tulnp | grep 80

В выводе команды вы можете увидеть, например:

tcp 0 0 :::80 :::* LISTEN 104/httpd

Это значит, что установлен Apache и запущен его демон httpd. Убираем это командами:

systemctl stop httpd

systemctl disable httpd

А потом пробуем запустить службу Nginx как описано выше. Если всё хорошо, добавляем её в автозагрузку:

systemctl enable nginx

Переходим к конфигу Nginx. Откройте файл /etc/nginx/nginx.conf

Напомню, все манипуляции с фалами я делаю с помощью программ WinSCP, как это описано в этой статье. В качестве редактора рекомендую использовать программу Notepad++. Установите её на свой компьютер и укажите в настройках WinSCP путь к редактору в меню Options->Preferences->Editors. Он должен быть первым в списке для использования по умолчанию.

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

В конфиге уже есть секция

server {

listen 80 default_server;

listen [::]:80 default_server;

server_name _;

root /usr/share/nginx/html;


# Load configuration files for the default server block.

include /etc/nginx/default.d/*.conf;


location / {

}


error_page 404 /404.html;

location = /40x.html {

}


error_page 500 502 503 504 /50x.html;

location = /50x.html {

}

}

Именно эта секция выводит страницу-заглушку. А вот ниже есть закоментированный пример секции https (порт 443) страницы-заглушки. Крайне желательно эту секцию сделать работающей. Нам понадобятся сертификаты. Установим certbot и получим сертификат командами:

yum -y install certbot python2-certbot-nginx

certbot certonly

На запрос:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Вводим 1


На запрос:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Вводим свой действующий e-mail. На него будут приходить в уведомления. Например, если срок сертификата истекает и его необходимо продлить.


Напомню: Let’s Encrypt выдаёт сертифакты со сроком действия три месяца.

Далее принимаем соглашение и отказываемся от рассылок, вводим, соответственно, A и N

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность
Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Дальше нужно ввести имя Вашего домена. В моём случае это mydomain.com. И нажать Enter. Если у Вас настроена A запись, как указано в начале статьи, и прошло достаточно времени (запись должна прореплицироваться на все DNS-сервера, это можета занимать до 24-х часов, дожен пинговаться адрес домена), то будет получен сертификат и мы получим вывод в консоли:

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

/etc/letsencrypt/live/mydomain.com/fullchain.pem

Your key file has been saved at:

/etc/letsencrypt/live/mydomain.com/privkey.pem

Your cert will expire on 2020-02-26. To obtain a new or tweaked

version of this certificate in the future, simply run certbot

again. To non-interactively renew *all* of your certificates, run

"certbot renew"

Заметьте, тут сразу есть пути к файлам сертификата и их можно очень удобно скопировать в конфиг. Возвращаемся к файлу /etc/nginx/nginx.conf, раскоментируем секцию для https и исправим пути на сертификат. Получится так:

# Settings for a TLS enabled server.


server {

listen 443 ssl http2 default_server;

listen [::]:443 ssl http2 default_server;

server_name _;

root /usr/share/nginx/html;


ssl_certificate "/etc/letsencrypt/live/mydomain.com/fullchain.pem";

ssl_certificate_key "/etc/letsencrypt/live/mydomain.com/privkey.pem";

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 10m;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;


# Load configuration files for the default server block.

include /etc/nginx/default.d/*.conf;


location / {

}


error_page 404 /404.html;

location = /40x.html {

}


error_page 500 502 503 504 /50x.html;

location = /50x.html {

}

}

Сохраним файл и перезапустим службу Nginx. Перезапускать службу нужно каждый раз, когда вы меняете конфиги Nginx.

systemctl restart nginx

И проверяем, что старница-заглушка доступна в браузере по адресу https://mydomain.com (вы вводите своё имя домена).


В конфиге /etc/nginx/nginx.conf обратите внимание на строчку

include /etc/nginx/conf.d/*.conf;

Это значит, что если мы в папке /etc/nginx/conf.d/ разместим файл с расширением .conf, то он будет включен в основной конфиг и выполнен вместе с ним. Так и будем делать. Файл /etc/nginx/nginx.conf закрываем и больше не трогаем.


Теперь определим, к чему мы будем проксировать трафик. Например, я хочу чтоб при переходе по адресу test.mydomain.com, во-первых, происходила переадресация на адрес https://test.mydomain.com (мы за безопасность и шифрование), а во-вторых, открывался сайт eng.rkn.gov.ru.


Сначала создадим домен третьего уровня вида test.mydomain.com


Категорически рекомендую использовать для проксирования только домены третьего уровня. Если какому-то регулятору не понравится то, что у вас по этому адресу расположено, он забанит именно домен третьего уровня и не забанит домен второго уровня. По крайней мере, скорее всего не забанит :).

Т.е. создадим на DNS-сервере А запись test (вы подставляете своё имя) с тем же IP-адресом, что и основной домен mydomain.com (вы подставляете своё имя). Дождитесь, чтобы запись прореплицировалась по DNS-серверам. Можно проверить, что домен пингуется командой на VPS:

ping test.mydomain.com -c 3

Должны корректно пройти три пинга

PING test.mydomain.com (185.nnn.nnn.nnn) 56(84) bytes of data.

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=1 ttl=64 time=0.031 ms

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=2 ttl=64 time=0.019 ms

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=3 ttl=64 time=0.019 ms


--- test.secfall.com ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2000ms

rtt min/avg/max/mdev = 0.019/0.023/0.031/0.005 ms

В папке /etc/nginx/conf.d/ создаём файл с именем вида test.mydomain.com.conf следующего содержания:

server {

listen 80;

server_name test.mydomain.com;

location /.well-known/acme-challenge {

alias /usr/share/nginx/html/.well-known/acme-challenge;

}

location / {

return 301 https://$server_name$request_uri;

}

}

Перезапускаем службу Nginx и, с помощью команды certbot certonly, делаем сертификат для нашего домена третьего уровня test.mydomain.com (подставляете свои имена).


Если сертификат получен, дописываем (т.е. добавляем с новой строчки в конце) в файл /etc/nginx/conf.d/test.mydomain.com.conf секцию для https:

server {

listen 443 ssl;

server_name test.mydomain.com;


access_log /var/log/nginx/test.mydomain.com.access.log;

error_log /var/log/nginx/test.mydomain.com.error.log;


client_max_body_size 0;

underscores_in_headers on;


ssl_certificate /etc/letsencrypt/live/test.mydomain.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/test.mydomain.com/privkey.pem;


ssl_stapling on;

ssl_stapling_verify on;

location /.well-known/acme-challenge {

alias /usr/share/nginx/html/.well-known/acme-challenge;

}


location / {

proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

}

Рассмотрите внимательно конфиг. В нём test.mydomain.com вы заменяете на своё имя домена, а eng.rkn.gov.ru на имя того сервера, который будете проксировать. И обратите внимание, что в данном конфиге к eng.rkn.gov.ru сервер обращается по http, а нам отдаёт по https. Такое полезно, когда web-сервер расположен где-то во внутренней инфраструктуре и нет необходимости или возможности прикрутить к нему https.


Например, есть некий сервис который вообще не умеет в https. Мы устанавливаем его на сервер, привязываем к адресу localhost и к порту, например, 8080. Теперь к сервису нельзя обратится извне, а только «изнутри» сервера по адресу http://localhost:8080. На этот же сервер ставим реверс-прокси, как написано выше, и указываем


proxy_pass http://localhost:8080;


Т.е. Nginx будет обращаться к этому же серверу на localhost к нашему сервису по порту 8080. А нам будет отдавать нормальный https. Да ещё всякой фильтрации для безопасности можно навесить, чтобы помешать злодеям ломать наш сервис. Но об этом ниже.

Сохраняем файл, перезапускаем службу Nginx. Возможно вы где-то накосячили и ошиблись. Тогда командой

systemctl status -l nginx

смотрим, в чём ошибка. Обычно Nginx достаточно внятно пишет, что ему не нравиться, и даже укавает номер строки конфига, где есть ошибка.


Если служба запустилась без ошибок, то в браузере открываем адрес test.mydomain.com Получится как-то так:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Обратите внимание, что хотя мы не писали в адресе https, сервер сам перевёл нас на зашифрованный трафик. Всё, мы сделали зеркало сайта! Дальше можно дорабатывать конфиг. Например добавить строчку


proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

Это позволит обеспечить корректную работу куков и нормальную авторизацию на проксируемом сайте. Получится так (показан кусок конфига, только с параметрами проксирования):

location / {

proxy_cookie_domain eng.rkn.gov.ru $host;

proxy_pass_header Set-Cookie;


proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

Можно включить фильтрацию текста. Например заменять слово «Roskomnadzor» на «Roskompozor». Нужно дописать пару строчек (показан кусок конфига, только с параметрами проксирования):

location / {

proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

sub_filter "Roskomnadzor" "Roskompozor";

sub_filter_once off;

}

Директива

sub_filter «Roskomnadzor» «Roskompozor»;

показывает что на что менять.

Директива

sub_filter_once off;

говорит серверу, что заменить нужно все найденные вхождения. Если не указать, заменит только первое совпадение.

Сохряняем конфиг, перезапускаем службу Nginx и с помощью комбинации Ctrl+F5 (чтобы игнорировать кэш браузера) обновляем страницу в браузере. Получится как-то так :)

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Теперь про фильтрацию заголовков. Это нужно делать, если проксируете трафик к какому-то своему сервису и нужно его дополнительно защитить. Я покажу часть конфига с проксированием со всеми основными примочками безопасности (кусок с ними выделен линиями). Я не буду расписывать — для чего они. Это тема отдельной статьи. Если интересно — легко сможете нагуглить.

location / {

proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

proxy_set_header Host eng.rkn.gov.ru;

#------------------------------------------------------------------------------------------------------------------------------------------

proxy_headers_hash_max_size 512;

proxy_headers_hash_bucket_size 64;

proxy_set_header Accept-Encoding "";

proxy_set_header X-Forwarded-Proto $scheme;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self';

frame-ancestors https://framer.mozilla.org;

form-action 'self';

base-uri 'self';

script-src 'self' https://mc.yandex.ru https://ssl.google-analytics.com;

img-src 'self' https://mc.yandex.ru https://ssl.google-analytics.com;

style-src 'self' 'unsafe-inline' https://mc.yandex.ru https://fonts.googleapis.com;

font-src 'self' https://mc.yandex.ru https://themes.googleusercontent.com;

frame-src https://mc.yandex.ru;

object-src 'none'

";

add_header X-Frame-Options "DENY";

proxy_cookie_path / "/; HTTPOnly; Secure";

#------------------------------------------------------------------------------------------------------------------------------------------

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

Если Вам нужно добавить ещё одно зеркало, то порядок действий такой:


1. Добавляет новую A запись с доменом третьего уровня на DNS-сервере. Ждем, пока не начнёт пинговаться с нашего VPS.

2. Создаем ещё один файл конфига в папке /etc/nginx/conf.d/ с секцией для 80 порта (для http) и перезапускаем Nginx.

3. Делаем сертификаты с помощью certbot.

Дописываем секцию для https в конфиг. Указывем пути на сертификаты. Перезапускаем Nginx.


Еще можно добавить ключ для алгоритма Диффи-Хелмана. Настроить автообновлене сертификатов. Как сделать, описано в этой статье.


P.S. Всё, что описано в статье - может сделать каждый! Это не сложно. Повышая свою грамотность в современных технологиях вы делаете мир лучше.

P.P.S. Да, это можно сделать парой команд в докере. Но докер не доступен на виртуалках нижнего ценового диапазона, да и статься, чтобы руки научить.

Показать полностью 10
852

Роскомнадзор проиграл: VPN-сервису HideMy.name удалось добиться отмены блокировки сайта

Сегодня стало известно о том, что VPN-сервису HideMy.name удалось добиться отмены решения о блокировке своего сайта. Отменил предыдущее постановление суд Марий Эл.


Ресурс был заблокирован в июле прошлого года по решению районного суда Йошкар-Олы. Автор обращения в суд с иском о блокировке — местный прокурор. Ответчиком вместо владельца выступил Роскомнадзор.


В решении суда было указано, что пользователи при помощи сервиса могут получить неограниченный доступ к экстремистским материалам, включая Mein Kampf Адольфа Гитлера.


23 мая компания вместе с юристами «Роскомсвободы» и «Центра цифровых прав» оспорила решение суда в республиканском суде Марий Эл, который отменил решение о блокировке, направив дело на новое рассмотрение.


Сейчас ресурс работает на «зеркале» — hidemyna.me, после снятия блокировки будет возобновлена работа на основном домене. Роскомнадзор на момент публикации новости еще не разблокировал сайт. Кроме того, страница по адресу HideMy.name все еще находится в реестре запрещенных сайтов.


В 2017 году Роскомнадзор уже блокировал сайт VPN-сервиса, поскольку тогда на ресурсе была размещена форма для быстрого анонимного посещения любого сайта. В компании исправили нарушения и Роскомнадзор разблокировал сайт.


«Иск парадоксален и возмутителен всем: тем, как изначально прокурор в Марий Эл обратился в суд с обвинением о наличии у нас анонимайзера и скриншотом нашего сайта, на котором нет анонимайзера. И суд это устроило.


Тем, что мы вообще не были привлечены к этому судебному процессу, а ответчиком выставили Роскомнадзор, чтобы никто им не мешал побыстрее завершить дело в отсутствии реального ответчика, владельца сайта.


Тем, как Роскомнадзор впоследствии отвечал на все наши письма строго по максимальному сроку своего регламента: на 30-й день и никак не раньше. Это невероятно затянуло процесс, так еще и не привело ни к каким результатам.


Тем, что на первое заседание, где должны были рассматривать восстановление срока обжалования, прокурор принёс WHOIS выписку про какой-то чужой домен третьего уровня “hidemy.name.ru”, в то время, как наш домен второго уровня “hidemy.name”. Суд это снова устроило. Нам отказали в восстановлении срока обжалования в первой инстанции.


Добиться правосудного решения удалось только в республиканском суде, где прокурор признал свою ошибку со справкой, и незаконное решение суда Килемарского района было отменено с направлением на пересмотр.


Наш прецедент доказывает, что сегодня любой сайт или бизнес в рунете можно по надуманному предлогу заблокировать практически на год. При этом снять блокировку будет возможно только после нескольких кругов бюрократического ада.», — прокомментировал CEO HideMy.name Маркус Саар.

Показать полностью
149

Тесты заплатки для CPU Intel: производительность в играх не затронута

Источник 3DNews


В настоящее время в СМИ распространяется информация о не опубликованной ещё в полной мере уязвимости процессоров Intel, которая требует программной заплатки на уровне ядра всех популярных ОС и в теории может привести к значительному снижению производительности в самых разных задачах. Каковы же потенциальные потери от внедрения исправлений, получивших общее имя KPTI [Kernel Page Table Isolation]?

Ресурс Phoronix, освещающий связанные с развитием дистрибутивов Linux темы, решил провести ранние тесты различных задач на двух системах с ядром Linux 4.15-rc6, главным новшеством которого являются KPTI-заплатки. Уровень падения производительности ожидается в диапазоне от одной до двух цифр — в зависимости от того, как часто задача или приложение взаимодействует с изолированным в отдельной области адресного пространства ядром операционной системы. Если это простые пользовательские приложения, KTPI-обновления не должны сильно повлиять, особенно на более новых процессорах Intel с поддержкой функции PCID (Process Context Identifiers — идентификаторы контекста процесса, используемые процессором для определения закешированной информации, относящейся к различным адресным пространствам).

Тестированию в синтетических пакетах подверглись две системы: на базе Core i7 8700K Coffee Lake с Ubuntu 16.04.3 LTS и Core i7 6800K Broadwell E с Ubuntu 17.10. Компоненты тоже отличались, так что корректнее сравнивать результаты отдельного процессора с активированной заплаткой и без неё.

Например, бенчмарк файловой системы FS-Mark демонстрирует замедление на последнем ядре с Linux при активации KPTI. На системе с высокоскоростным накопителем Samsung 950 PRO NVMe SSD и i7-8700K провал оказывается чудовищным — почти двукратным. В то время как результаты системы с i7-6800K и обычным SSD Toshiba TR150 с интерфейсом SATA 3.0 проседают куда скромнее.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Производительность обеих систем в тесте Compile Bench тоже пострадала. Если это не вызвано x86-заплатками, то в свежее ядро должны были быть внесены другие существенные регрессивные изменения (что весьма сомнительно).
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Работа открытой объектно-реляционной системы управления базами данных PostgreSQL стала тоже заметно медленнее:

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация с замедлением наблюдается и в работе открытого сетевого журналируемого хранилища данных Redis на базе нереляционной высокопроизводительной СУБД:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
В то же время скорость работы приложений, ограниченных при работе преимущественно активностью в области пользовательского пространства, будет затронута, по-видимому, минимально, если судить по тестам кодирования видео в формат H.264, задаче компиляции и декодирования видео через FFmpeg:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация касается и игровых задач. Судя по ранним тестам, их проблема почти не коснётся. По крайней мере, с переходом на новое ядро в Linux с заплаткам KPTI падение производительности не выходит за рамки статистической погрешности. На системе с Radeon RX Vega 64 и Intel Core i7 8700K Coffee Lake наблюдается следующая ситуация (верхняя полоска — до заплатки, нижняя — после):
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Таким образом, в самых разных играх для Linux, использующих API Vulkan и OpenGL, не наблюдается сколько-нибудь заметного падения частоты кадров в результате использования ядра с обходом уязвимости чипов Intel. Как и в случае с рядом других пользовательских приложений вроде FFmpeg. В то же время ряд синтетических тестовых пакетов или специфические задачи вроде СУБД страдают порой весьма серьёзно. Похоже, рядовым пользователям беспокоиться особенно не о чем, тогда как владельцев облачных серверов на базе чипов Intel проблема, возможно, серьёзно затронет.

Между тем AMD в лице Томаса Лендаки (Thomas Lendacky) официально подтвердила, что её чипы не подвержены уязвимости: «Процессоры AMD не являются объектом тех типов атак, против которых направлены меры защиты KTPI. Микроархитектура AMD не разрешает ссылки на ячейки памяти, в том числе спекулятивные, которые дают доступ к высокопривилегированным данным в менее привилегированном режиме, когда такой доступ может приводить к ошибке страницы. Поэтому следует по стандарту отключать KPTI на процессорах AMD». Обсуждение новости уже привело к падению курса акций Intel и росту AMD.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Показать полностью 7
182

Опрос. Анонимность, безопасность или что вам ещё интересно.

Опрос конечно же для моих подписчиков (уже без малого 3 килоподписчика) и для всех остальных.

Ранее я опубликовал ряд статей о анонимности, защите трафика и безопасном хранении данных. (1, 2, 3, 4, 5, 7, 8, 9, 10, 11, 12, 13, 14).  Мои читатели (по крайней мере большая их часть) научились настраивать собственные VPN сети (OpenVPN, SoftEther), хранить свои данные в облачных хранилищах (ownCloud, Cozy Cloud). Попутно познакомились с linux и прочими сопуствующими штуками. Сатьи читаются и расползаются по интернеты. Чему я весьма рад. О своей философии и поставленных целях я писал ранее. И без ложной сромности могу сказать,что целей этих достигаю. В среднем в день я получаю от 20 писем с вопросами по статьям. Т.е. люди не просто читаю, а делают.

Пикабу конечно же не Хабр и GT, поэтому я стараюсь писать подробные, пошаговые инструкции. А решения предлагаю проверенные и надёжные.

В целом, того что я уже осветил в статьях, достаточно для повседневной жизни. Но возможно, что-то я упустил из виду.


Поэтому предлагаю всем интересующимся пройти опрос.


Ссылка на мой бложек не рекламы ради, а исключительно ввиду удобства обработки результатов. Собирать обратную связь из комментариев на Пикабу не очень удобно (при всем уважении к Пикабу и отличнейшей юзабельности его интерфейса).

Всем бобра.

Опрос. Анонимность, безопасность или что вам ещё интересно. Опрос, Анонимность, Информационная безопасность, VPN, Облачное хранилище
352

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload

Аррр, приветствую вас опять в нашем пиратском путешествии, в предыдущих статьях, посвященных поисковику, меня неоднократно спрашивали: опасны ли сайты наподобии iknowwhatyoudownload, и вообще как защититься от подобных вещей? Откуда они узнают какие торренты я качал? Могут ли другие подобные сайты узнать, что я качаю и сделать на основе этого какие-либо весомые выводы? ( #comment_80687552 )

Давайте же погрузимся в глубины океана и узнаем: так ли опасны его обитатели.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост

В первую очередь стоит разобрать вопрос принципа работы поисковика (крысок), а также сайта iknowyourdownload. Я приведу несколько способов, как защититься от подобных вещей, или попросту свести их эффективность на нет. Ближе к концу статьи вы, скорее всего, поймете, почему этот проект не просто неэффективен, но еще и малоперспективный на уровне финансирования государства (да-да, эти ребята планировали/планируют заручиться инвестициями государства https://geektimes.ru/post/284194/ ).

Начнем с принципов. Для поиска контента в сети используется протокол DHT - распределенная таблица торрентов у каждого из торрентов-клиентов поддерживающего этот протокол. Как вы уже могли догадаться, принцип работы протокола сильно отличается от обычных торрент-трекеров. Источником информации о торрентах являются не сервера, а каждый из участников торрент-сети, включая нас с вами. И это ведь прекрасно! Каждый из клиентов участвует в поиске определенных торрентов, пополняет обширную базу поиска, а также сокращает время нахождения торрентов и закачку!

Однако несмотря на такие “правильные” принципы, которые были построены исключительно для улучшения поиска и нахождении пиров, информацию могут использовать и против вас: ваш клиент вынужден не только использоваться как промежуточное звено поиска, но еще и сообщать другим звеньям о том, какие торренты есть у вас. И вот тут вступает в игру сайты наподобии iknowwhatyoudownload. Они аккумулируют эту информацию и предоставляет ее публике.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост

Но так ли все печально? На самом деле не очень. Давайте же разберем все способы как свести эффективность подобных ресурсов на нет.

1 способ - отключение DHT в торрент-клиенте

Вот и все, довольно грубый способ, который разрушает весь принцип работы подобного рода сайтов. Но ведь это не очень удобно, вы сами лишаете себя возможности скачивать по магнет-ссылкам, поэтому давайте размышлять дальше.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост

Если вы думаете, что подобные сайты сохраняют информацию о вас очень быстро, вы очень ошибаетесь, они не направлены конкретно на вас и собирают общую информацию из сети, поэтому ваш торрент попросту рискует не попасть в этот список спустя час, день, даже неделю или месяц при активной его раздаче. Эта одна из причин, почему информация на сайте обновляется так редко; я уже приводил аналогию подобного вида поиска с индексацией обычного поисковика наподобии гуглом - она просто идеально подходит в нашем случае.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост

Итак, мы перешли к более простому, элегантному, и не менее эффективному способу:

2 способ - остановить определенный торрент после скачки (или пауза в qBittorrent).

Умудриться попасть в индексацию подобным проектом и так довольно сложная задача, а при остановке после закачки она и вообще близка к нулю. (пр. qBittorrent оключает анонсирование через DHT торрента после паузы)


Вы уже должны были чуточку понять насколько плох подобный “сервис” по отношению к сбору информации. Но это еще не все, в торрент-протоколе (включая DHT) используется обычная IPv4,IPv6 адресация, поэтому:

3 способ - VPN, proxy, NAT, динамический IP и другие виды программ скрывающие конечный адрес так же эффективны.

Ну после этого способа можно вообще загромождать крест на подобном сервисе: информация может обновляться месяцами, так, помимо этого, еще и адресация может быть недействительной на текущий момент (да, да, именно из-за этого у многих кто заходил на сайт отображается 50% того, что он не качал).


Однако есть некоторое опасение, что если они все таки заручатся поддержкой государства, и смогут сопоставить свою информацию (торрент-IP-время обнаружения) с информацией правительства (физическое лицо-IP-время нахождения в сети) то сервис может стать уже чуть более эффективным и грозным. Но это не делает 1 и 2 способ менее юзабельным.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост

Ну и наконец самый эффективный способ, к сожалению почти нигде из клиентов не реализованный:

4 способ - отключение DHT анонсирования для всех торрентов/выборочных торрентов. Игнорирования исключительно этой функции в DHT протоколе.

К сожалению в таком варианте вы уже не сможете называться полноценным участником DHT сети, однако возможность использовать всех функции скачивания по magnet-ссылкам сохраняется, и вообще конечный пользователь не заметит разницы, только будет чувствовать себя в безопасности, а его торренты не будут доступны публике.

Не знаю, если кому-то вдруг понадобится последняя функция, я бы мог сделать небольшую модификацию клиента qBittorrent.

Вот и все, надеюсь эта статья помогла вам узнать что-то новое об анонимности в сети. Лично меня очень печалит, что светлые идеи заложенные в работу BitTorrent, сайты, наподобии iknowyourdownload, используют против пользователей, и я очень надеюсь, что подобная инициатива окажется в пролете в связи с огромным процентом ошибок обнаружения и весьма спорной перспектиностью идеи.

Безопасно ли скачивать торренты в интернете, или как защититься от сайтов наподобии iknowyourdownload Торрент, Информационная безопасность, Анонимность, Длиннопост
Показать полностью 5
143

Псевдо защита от "плаксы"

На волне шумихи вокруг WannaCry появились "доброхоты" якобы помогающие защититься от новомодного вируса.
Сейчас как раз восстанавливаю последствия "паранои" и "псевдо-защиты" от "плаксы".....
Девочке рекламный баннер написал, что нужно защититься от вируса и она согласилась - ей поставили некую "чистилку" и "аваст" - после этого доступ к сетевым папкам пропал как класс...
Откатился на предыдущую точку восстановления и все снова заработало! ;)

Псевдо защита от "плаксы" Wannacry, Linux и Windows, Linux, Windows, Информационная безопасность, Сисадмин, Взлом, Компьютерные сети

Заодно решил проверить всю Сервисную сеть на уязвимости и к сожалению нашёл несколько Windows Server 2000 и 2003 с рядом уязвимостей, среди которых был сервер отвечающий за телефонию, на котором "админ" VoIP додумался в качестве Админской учётки использовать связку логин/пароль 1111, а на других серверах его зоны ответственности был чуть более секьюрный логин "Администратор" и пароль "12345678". Разговоры с этим недо-админом и нашим начальством ни к чему хорошему не привели, кроме того, что мне сделали выговор, что я полез в чужие сервера и оклеветал классного специалиста, гордость конторы и семьянина воспитывающего маленького ребёнка...

Псевдо защита от "плаксы" Wannacry, Linux и Windows, Linux, Windows, Информационная безопасность, Сисадмин, Взлом, Компьютерные сети
Показать полностью 1
506

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Когда мы говорим об анонимности в интернете, то чаще всего подразумеваем такие проекты, как Tor, I2P, Tor Browser, DNSCrypt и Live CD TAILS, включающий в себя все перечисленное. Однако существует менее известная, но очень интересная система Whonix, использующая виртуализацию в качестве средства изоляции рабочей станции от глобальной сети и способная защитить твою анонимность даже после взлома.

ВМЕСТО ВВЕДЕНИЯ


Чтобы обеспечить анонимность своего пребывания в Сети, мало установить Tor и завернуть в него весь исходящий трафик. Необходимо позаботиться о таких вещах, как утечки DNS, обнаружение твоего географического положения на основе настроек часового пояса, утечки имени пользователя (через SSH, например), утечки IP-адреса, свойственные некоторым сетевым протоколам, побороть проблему идентификации машины на выходных узлах Tor путем сравнения типов трафика. Ну и в целом придется серьезно повозиться, чтобы заставить все установленные сетевые приложения использовать Tor и не выдавать данных о твоей машине.


Ты можешь сделать все это сам, но лучше взять проверенное готовое решение, а именно дистрибутив TAILS. Он включает в себя множество преднастроенных приложений, корректно настроенный Tor и брандмауэр, так что в целом это достаточно надежная в плане сохранения анонимности и приватности система, которой не гнушался пользоваться сам Эдвард Сноуден.


Однако у TAILS есть два серьезных ограничения. Во-первых, это Live CD, изначально позиционируемый как «одноразовый»: TAILS не умеет запоминать свое состояние между выключениями и не оставляет никаких следов на машине. Как средство для слива секретных документов АНБ несколько раз за всю жизнь это превосходный инструмент, как повседневно используемая система — ужасный. Во-вторых, запуская TAILS на голом железе, юзер автоматически открывает серьезную дыру в своей анонимности. Ведь конфигурация ПК тоже позволяет идентифицировать человека.


Плюс TAILS никак не защищена от компрометации системы. Любой взломавший твою машину сразу деанонимизирует и твой IP, и тебя самого. Чтобы этого избежать, запланировано размещать ключевые системные сервисы в песочницах — но только в версии 3.0, которая непонятно когда выйдет, да это и не даст стопроцентной защиты. А самое печальное, что «благодаря» необновляемости системы ты не сможешь быстро залатать дыру, с помощью которой тебя взломали, придется ждать официальный релиз свежей версии TAILS (при условии, что информация о дыре находится в открытом доступе).


Для решения всех этих проблем как раз и предназначен Linux-дистрибутив Whonix, преследующий те же цели, но достигающий их несколько иным путем.

СИЛА ВИРТУАЛИЗАЦИИ


TAILS распространяется в форме немодифицируемого Live CD не только для защиты от троянов и от возможных утечек конфиденциальных данных при получении физического доступа к машине, но и для банальной «защиты от дурака». Разработчики не могут быть уверены, что пользователь корректно настроит каждое установленное им приложение и не спровоцирует утечку данных или раскрытие своего IP. А если систему нельзя менять, то и проблема пропадает сама собой.


Whonix, с другой стороны, изначально разрабатывался с оглядкой на возможность модификации системы и «настройки под себя», поэтому, кроме используемых в TAILS методов защиты от утечек и фингерпринтинга, здесь реализована довольно интересная архитектура с применением виртуализации. Whonix распространяется в двух образах VirtualBox: один играет роль шлюза в глобальную сеть через Tor, а второй — это рабочая машина с браузером, чат-, email-клиентами и другим софтом, в том числе тем, что можно установить из репозиториев. Оба образа основаны на Debian.


Единственный способ выйти во внешний мир для рабочей машины — это шлюз, единственный путь трафика во внешний мир из шлюза и обратно — через сеть Tor. Неважно, насколько протекающий софт ты установишь на рабочую машину, он все равно тебя не выдаст. Получить доступ к интернету в обход Tor приложение не сможет, IP-адрес увидит только локальный, именем пользователя для него будет просто user (разработчики не рекомендуют его менять), а информацией о железе — стандартная конфигурация VirtualBox. Тебя не удастся отследить даже по временной зоне, часы здесь настроены на UTC, а для синхронизации времени используются time stamp’ы HTTP-заголовков, отдаваемых случайно выбранными веб-серверами.


Самая же интересная черта системы в том, что она вовсе не требует, чтобы ты использовал именно рабочую машину Whonix. Главный компонент здесь — это шлюз, к которому можно подцепить любую другую запущенную в виртуалке ОС, будь то Ubuntu, Windows или OS X, и получить почти такой же уровень защиты от отслеживания (см. официальную документацию). «Почти такой же» потому, что, кроме графического окружения и набора приложений, рабочая машина Whonix включает набор инструментов и настроек, позволяющих защитить тебя от отслеживания с помощью сравнения типов трафика на выходных узлах Tor (identity correlation through Tor circuit sharing) и определения настроек твоих часов и uptime’а через NTP и метки времени TCP/ICMP (все это подробно описано на wiki-странице Whonix).


Первая задача здесь решается с помощью изоляции потоков (stream isolation), все поставляемое в комплекте рабочей машины ПО заранее настроено на использование разных портов Tor (SocksPort) и враппера uwt, перенаправляющего трафик на разные Tor-порты, если приложение само не предоставляет такой возможности (используется для apt-get, cURL, Git и других консольных инструментов). Поэтому трафик всех приложений идет через разные цепочки Tor-узлов на разные выходные узлы. Вторая проблема решается с использованием утилиты sdwdate, которая синхронизирует часы не через NTP, а обращаясь к случайно выбранным серверам.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Концепция stream isolation


Whonix поддерживает любые виды туннелирования трафика Tor через VPN/SSH (или наоборот). Эта функция может очень пригодиться, если твой провайдер блокирует Tor (в этом случае VPN-клиент устанавливается на шлюз и Tor использует его для связи с другими узлами), или для скрытия трафика уже после того, как он покинул выходной узел Tor (VPN-клиент устанавливается на рабочую машину, так что Tor роутит уже зашифрованный трафик).

ПРОБУЕМ


Итак, Whonix — это два преднастроенных образа для VirtualBox или Linux KVM. Поэтому систему можно запустить в любой операционке, для которой есть официальная версия VirtualBox, а это Linux, Windows, OS X и Solaris. Все, что для этого требуется сделать, — это скачать оба образа (суммарный объем 3,5 Гбайт) и затем импортировать их в VirtualBox с помощью меню File -> Import Appliance.


Далее запускаем Whonix-Gateway и дожидаемся его загрузки. После появления рабочего стола (да, у шлюза есть графический интерфейс, так что разберутся даже самые маленькие) система предложит согласиться с дисклеймером, запустить Tor и обновить пакеты, затем запустится утилита whonixcheck, которая проверит подключение к Tor и корректность настроек системы, одновременно с ней отработает служба синхронизации времени sdwdate.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Whonixcheck предупреждает о наличии новых версий пакетов


Сразу скажу о двух неочевидных моментах. Шлюз и рабочая станция Whonix никогда не подключаются к интернету напрямую и используют Tor даже для обновления пакетов из сетевых репозиториев. Поэтому сразу приготовься к довольно значительному проседанию скорости (я получил невероятно медленные по нынешним меркам 500 Кбайт/с).


Второй момент — шлюз совсем не обязательно запускать с графическим интерфейсом, который будет понапрасну жрать оперативку. Более того, здесь есть механизм, автоматически загружающий шлюз в текстовом режиме, если в настройках виртуалки выделить машине 192 Мбайт. Чтобы сделать это, достаточно кликнуть правой кнопкой на Whonix-Gateway, выбрать Settings и на вкладке System сдвинуть ползунок до значения 192. В итоге ты ничего не потеряешь, так как все, что позволяет сделать графический интерфейс, — это перезапустить Tor кликом мыши, отредактировать настройки брандмауэра и запустить интерфейс мониторинга Tor под названием arm (и он текстовый).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Отключаем графику на шлюзе

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Текстовая утилита arm


После окончания загрузки шлюза можно запускать десктоп. Последовательность действий тут почти такая же: запускаем виртуалку, соглашаемся с дисклеймером, соглашаемся обновить пакеты, ждем окончания проверки соединения с Tor и синхронизации времени. Далее можно начать работать. Правда, предустановленных приложений тут кот наплакал. Из повседневно необходимых только Tor Browser, IRC-клиент XChat и KGpg. Причем первый даже не установлен; после клика по иконке запускается инсталлятор, который предлагает выкачать браузер через Tor.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост
Tor Browser


Остальной необходимый софт ты волен ставить из репозиториев с помощью стандартной команды «sudo apt-get install приложение». В ответ на запрос пароля вводим changeme и, конечно же, меняем пароль с помощью команды passwd.

STREAM ISOLATION


Устанавливая сторонний софт в Whonix, ты сразу столкнешься с проблемой, называемой identity correlation through Tor circuit sharing. Не решусь перевести этот термин, просто скажу, что по умолчанию левый софт использует системные настройки SOCKS-прокси, а это единый стандартный порт Tor (TransPort). Проблема такой настройки в том, что, просто сравнивая типы трафика и их временную связь (например, ты можешь использовать Telegram одновременно с WhatsApp), выходной узел может установить связь между разными сеансами использования приложений и идентифицировать тебя (но не твой IP или географическое положение).


Для борьбы с данным типом атаки в Tor есть механизм, названный stream isolation, он позволяет разделить трафик разных приложений, направив его в разные цепочки узлов Tor. Использовать его довольно просто — надо всего лишь создать в настройках Tor несколько дополнительных портов SOCKS и настроить сами приложения так, чтобы они использовали разные порты. Whonix уже имеет такие настройки: предустановленный софт использует порты 9100–9149. Также в нем есть набор свободных портов для стороннего софта:

• 9153–9159 — свободные;

• 9160–9169 — свободные с опцией IsolateDestAddress;

• 9170–7179 — свободные с опцией IsolateDestPort;

• 9180–9189 — с обеими опциями.


Все, что остается, — это настроить софт на использование адреса 10.152.152.10 и любого из этих портов в качестве адреса SOCKS-сервера. Причем использовать порты с опциями IsolateDestPort и/или IsolateDestAddr я бы не рекомендовал. Они разделяют даже трафик одного приложения на основе адреса удаленного порта или адреса. В большинстве случаев это избыточно и очень накладно (представь, если торрент-клиент или веб-браузер будет использовать разные цепочки узлов Tor для всех соединений).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Настройки портов для предустановленного софта


ВЫВОДЫ


Whonix, при всех своих странностях и неоднозначностях, определенно стоитвнимания любого, кто хочет обеспечить свою анонимность в Сети. По умолчанию это всего лишь система для запуска Tor Browser, однако при наличии рук и свободного времени из Whonix можно сделать полноценную рабочую систему, и необходимость запуска системы в виртуалке этому нисколько не мешает. Ну и конечно же, стоит помнить, что абсолютной анонимности не существует. Если надо — тебя найдут. Следи за собой, будь осторожен.

Показать полностью 6
365

I2P на C++, состоялся релиз i2pd 2.3.0!

I2P на C++, состоялся релиз i2pd 2.3.0! I2p, Айтупи, Проект невидимый интернет, Децентрализованные сети, Анонимность, Информационная безопасность

На пикабу незамеченным прошло событие - релиз I2P клиента, на C++


Для тех, кто не знает, что такое i2p, краткая справка:

I2P - анонимная распределенная сеть, которая работает поверх обычного интернета, без использования привычной технологии dns. Сеть обеспечивает

анонимность пользователя и приватность его деятельности, за счет активного использования шифрования при передаче данных между узлами сети.


Значительно более подробно о I2P:

Википедия https://ru.wikipedia.org/wiki/I2P

Лурк https://lurkmore.to/I2P


Проект i2pd:

Исходный код проекта открыт (BSD License), ну а для тех, кто не умеет собирать из исходников, или просто не хочет - есть готовые бинарные сборки под все популярные ОС: Windows, OS X, Linux (Debian, Ubuntu)


Перевод официального сайта сообщает следующее:

i2pd - самостоятельные проект, а не попытка переписать i2p(java) на С++.

Заявлена поддержка работы, в качестве полноценного I2P маршрутизатора, Floodfill-узлов https://en.wikipedia.org/wiki/Flood_fill, http и socks прокси. Кроме того, поддерживаются SAM и BOB интерфейсы и создание клиентских и серверных туннелей.


А для тех, кто ничего не понял...

Событие - значимое, так как главной проблемой I2P, кроме, конечно малой популярности и сложности в настройке (спорно), называли её реализацию на java. Споров вокруг java VS C++ я касаться не хочу, но по заявлению разработчиков - реализация будет быстрее, а ресурсов для её работы потребуется меньше.

Если оно так и будет - конечный пользователь будет только в плюсе. Если же нет... здоровая конкуренция и внимание со стороны сообщества - однозначно пойдут на пользу проектам.


Ссылка на проект:

http://i2pd.website

Показать полностью
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: