Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Petr Mráček 06. 08. 2015, 14:56:23
-
Předpokládejme, že bych chtěl být na internetu co jen to jde anonymní. Řekněme, že si proto koupím SIMku na kredit a budu se přes ní připojovat k internetu. Jenže.
O2 má síť udělanou pomocí několika menších stanic, díky tomu se dá i určit, z jakého místa se dotyčný připojuje. Obzvláště pokud se nachází mezi signálem více stanic, dá se jeho pozice vytipovat relativně snadno.
Nicméně slyšel jsem, a nevím co je na tom pravdy a jestli to byl Tmobile nebo Vodafone, že ti mají síť udělanou pomocí výkonějších vysílačů, které pokrývají větší část území. V tom případě by byla lokalizace méně přesná, ale nevím jak moc.
Další věc je OS a počítač. Nevím přesně co všechno se vysílají za data - nevysílají se i nějaké hw údaje? Jak minimalizovat šanci, že by někdo dokázal identifikovat počítač podle jeho hw? Třeba MAC adresy, OS, konfigurace.Z toho by plynulo, že takový počítač by musel být určen pouze k jedinému účelu a tj. k anonymnímu surfování, ani jednou přes něj tedy nevystupovat pod svou identitou.
Tedy v případě, že použiji Tor a SIMku s kreditem, se někdo může dopracovat maximálně k přibližné poloze. Jak toto minimalizovat?
A ještě jedna možnost. Pokud používám Tor, doporučuje se přihlásit se ještě předtím do VPN sítě, která nedělá žádné logy. Takže v tomto případě se může někdo dopracovat prostřednictvím ISP až k VPN, na které se připojím, a od nich pak zjistit odkud se připojuju. Nešlo by to ještě více zašmudrchat připojováním se k síti CZFree? Přecejen přidá se k tomu všemu několik dalších uzlů, které by se musely překonat v příppadě, že by mě chtěl někdo odhalit.
A poslední věc, šifrování disku v případě odhalení. Jakým způsobem nejlépe zašifrovat disk tak, aby to nikdo nebyl schopen dešifrovat bez hesla?
-
Co sa chystas vykradnut? Ktoru banku? Ake data?
-
Mám pocit, že při komunikaci se sítí se odesílá IMEI telefonu (výrobní číslo). Předpokládám, že u 3G modemů (nebo podobného HW) se bude taky něco odesílat. Buď teda ochcat HW tak, aby říkal síti něco jinýho (něco jako spoof MAC adresy) nebo jinej způsob.
I kdybys měnil prohlížeče a user-agenty, věřím, že půjde vysledovat nějakej vzorek, podle kterýho budeš relativně identifikovatelnej (pokud jsi teda až tak extrémně paranoidní).
-
Co se týče toru, tam je důležité provozovat vlastní relay (prvek sítě, přes který tečou data) a ten používat pro připojení k síti tor. Někteří se připojují již na nějaký "připravený" relay, tam se o bezpečnosti vůbec nedá hovořit. Každý klient musí mít svůj (a klidně několik).
Dále, nepoužívat tor pro přístup na běžný internet, ale jen pro návštěvu tzv. hidden services. Dále používat klienta, který je dostatečně anonymizován (balíček tor něco obsahuje).
Dále je potřeba zabránit únikům dat jiným kanálem, vůbec není vhodné například používat veřejné DNS, pokud už se rozhodneme použít tor exit node.
Také je dobré se podívat po dalších sítích (FreeNet), kde jsou data uložena šifrovaně u jednotlivých uživatelů (s dalšími podmínkami) a nikoliv na "obyčejných serverech" jako v případě tor hidden service (což je de facto normální webserver akorát připojený do tor sítě).
Co se týče šifrování disku, tak v linuxu luks. Jenže tady je problém, že pro policii bude zcela jasné, že je disk zašifrovaný a potom to z vás mohou chtít vymlátit. I existence zašifrovaného disku je třeba chránit (nevím, zda to umí luks, ale true crypt uměl udělat hidden volumes).
Ale pokud na disku skladujete xGB soubory, tak jeden z nich můžete mít šifrovaný a v něm mít umístěnou virtuálku s torem.
Co se týče operatérů, tak tam je to všechno na jedno brdo. Logují všichni. Jestli někdo má hustější síť celkem nic neznamená, při troše snahy vás stejně zaměří.
V přihlášením do VPN, která nedělá žádné logy je to asi stejné jako s anonymizačními proxy. Nedávno kdosi provedl nějaký test, polovina proxy upravuje data, která skrz ně proudí. Sice to není odpověď na otázku o logování, ale to je mnohem jednodušší, než úprava přenášených dat. Takže tady pozor.
-
Tor ee ... tor byl prolomený. Sice to nikdy nebylo vystaveno na oficiální stránce toru, ale tor je zrada. Jdou o tom najít informace na netu, třeba anonymous o tom měli pěkný článek. Takže pokud chceš anonymně serfovat po netu, máš to blbý dneska.
A to jsou ještě hardwarový backdoory ... nikde není bezpečno, na to dneska zapomeň.
-
> Nicméně slyšel jsem, a nevím co je na tom pravdy a jestli to byl Tmobile nebo Vodafone, že ti mají síť udělanou pomocí výkonějších vysílačů, které pokrývají větší část území. V tom případě by byla lokalizace méně přesná, ale nevím jak moc.
gsmweb.cz
> Nevím přesně co všechno se vysílají za data - nevysílají se i nějaké hw údaje?
https://brmlab.cz/user/jenda/linux-insecurity#privacy_leakage
https://brmlab.cz/user/jenda/et (výčet úmyslně není úplný, největší špek se aktivně používá jako 0day)
A pro extrémní paranoiky: https://brmlab.cz/user/jenda/intel
> Jakým způsobem nejlépe zašifrovat disk tak, aby to nikdo nebyl schopen dešifrovat bez hesla?
dm-crypt/LUKS. Ale dnes se šifrování neprolamuje, dnes se obchází. Třeba tak že ti infikují počítač a data si prostě přečtou.
Co se týče toru, tam je důležité provozovat vlastní relay (prvek sítě, přes který tečou data) a ten používat pro připojení k síti tor. Někteří se připojují již na nějaký "připravený" relay, tam se o bezpečnosti vůbec nedá hovořit. Každý klient musí mít svůj (a klidně několik).
Jako že si mám nastavit tuto relay jako první hop? Nebo jak to myslíš? V čem je to lepší než připojovat se přímo někam? Naopak takhle jsou v cestě už jenom dvě relaye (první je ta moje) místo normálních tří.
-
VPN (která nebude chtít znát vaši identitu - pozor na placení) přez tor (spousta služeb má přez tor omezený přístup+další úroveň bezpečnosti)+NoScript a pod.
tu je pár tipů https://wiki.installgentoo.com/index.php/Anonymising_Yourself
-
Tor ee ... tor byl prolomený. Sice to nikdy nebylo vystaveno na oficiální stránce toru, ale tor je zrada. Jdou o tom najít informace na netu, třeba anonymous o tom měli pěkný článek. Takže pokud chceš anonymně serfovat po netu, máš to blbý dneska.
A to jsou ještě hardwarový backdoory ... nikde není bezpečno, na to dneska zapomeň.
A radu od někoho kdo se odkazuje na "anonymous" aniž by pořádně věděl co to je, bych radu moc vážně nebral.
-
Jako že si mám nastavit tuto relay jako první hop? Nebo jak to myslíš? V čem je to lepší než připojovat se přímo někam? Naopak takhle jsou v cestě už jenom dvě relaye (první je ta moje) místo normálních tří.
Je to lepší v tom, že přes tu relay potečou data sítě + tvoje vlastní data. Tedy na výstupu z relaye nepůjde zjistit, co je od tebe a co je průchozí. Pokud se připojuješ na veřejnou relay, tak je celkem jasné jaký datový tok pochází od tebe (což usnadňuje korelaci, pokud už se rovnou neoznačkuje).
No celkově jsou tři relaye (ještě si můžeš zvolit 5, ale to by bylo ještě pomalejší). To, že ta první relay je ve tvé území snad nevadí.
-
A co teda ta síť CZFree, v ní se nejde nějak schovat? Je tam uvnitř přece dost uzlů, těžo si představit, že by policajti lezli za každým jedním soukromníkem co má AP u CZFree a chtěli mu prolézat počítač. To by potřebovali za každého nějaké soudní povolení k prohlídce, ne? Já bych to třeba policajtům jen tak neumožnil.
-
To máte: síť od Toru kompromitovatelná jen přes hromadnou akci za spolupráce policie a ISP + soudní povolení na VPN ( nemluvě o tom, že si nemusí vézt logy) + soudní povolení za každé jedno AP, přes které by v CZFree putovaly data.
-
Tak z te mapy na gsmweb.cz je patrné, že není šance se jakkoliv schovat, ISP beztak loguje všechno co jde a vsadím se, že zaměřit polohu domu z kterého to jde by bylo s přesností na pár metrů jak vidím tu hustotu vysílačů.
-
A co teda ta síť CZFree, v ní se nejde nějak schovat? Je tam uvnitř přece dost uzlů, těžo si představit, že by policajti lezli za každým jedním soukromníkem co má AP u CZFree a chtěli mu prolézat počítač. To by potřebovali za každého nějaké soudní povolení k prohlídce, ne? Já bych to třeba policajtům jen tak neumožnil.
Jenže je spousta lidí, která jim to na požádání umožní. Buď proto, že neznají právo, nevědí, jaké jsou jejich povinnosti, nebo taky proto, že si myslí, že pomáhají spravedlosti, nebo také proto, že se chtějí někomu pomstít. (Ono když vám někdo zabaví na půl roku všechny kompy co máte doma, i když jste nic neprovedl, tedy vám je možná v pořádku vrátí, tak i toto celkem naštve.)
Navíc to taky trochu záleží, co na tom netu chcete dělat. Pokud jen pasivně získávat informace (které si potom necháte pro vlastní potřebu), tak to se dá celkem skrýt. Pokud ale to jednání na netu má obraz ve fyzickém světě (pokud si někdo objednává drogy nebo zbraně, tak je asi taky chce mít nakonec fyzicky v ruce), tak je mnohem jednodušší nalezení ve fyzickém světě. No a poslední varianta je, že něco sám chcete distribuovat (fyzického) a tam už se prostě neskryjete vůbec.
-
Dále, nepoužívat tor pro přístup na běžný internet, ale jen pro návštěvu tzv. hidden services.
A dale prestan psat dristy...
A poster at se podiva na projekt "TAILS" 8)
-
Přesně zaleží jenom na tom co chcete dělat, nejlepší na pasivní prohližení je live cd tails bez HDD vpn(mě se nejvíc libí vpnbook.com) +tor a dá se stáhnout i script MACchanger a do sítě budete posílat pakety se změněnou MAC adresou.
Jinak bych řekl že anonymita na internetu už umíra (nebo nikdy nebyla, tak internet stvořen nebyl) a když budete mít za pr**** inteligentní agentury tak dřív nebo pozdějí vás stejně najdou
-
Pokud bych se chtel pokusit zustat anonymni tak pouzivam cizi bezdratove spojeni... pak to vrstvim skrz ssh, tor, proxy.... nepouzivam flash, javu, javascript
Lehky OT:
Tenhle clovek co operuje pres internet je FBI vysetrovanej cca od roku 2008 https://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev
Porad se jim nepodarilo nic moc udelat, tak na nej aspon vypsali odmenu $3 000 000 a porad nic...
-
...a když budete mít za pr**** inteligentní agentury tak dřív nebo pozdějí vás stejně najdou...
Takove dristy pisou jen ti, kteri neznaji vsechny moznosti anebo maji omezen at uz $ rozpocet nebo nemohou z urcitych duvodu vyuzit vsechny moznosti.
Ale jelikoz si zacatecnik, tak pro tebe vys citovany drist asi bude platit :P
-
Takove dristy pisou jen ti, kteri neznaji vsechny moznosti anebo maji omezen at uz $ rozpocet nebo nemohou z urcitych duvodu vyuzit vsechny moznosti.
Samozřejmě s opravdu neomezeným rozpočtem se dá udělat leccos. Ale málokdo do toho může nalít $100M. Takže máš nějaké řešení které si můžu dovolit i jako průměrný jednotlivec?
-
Napadlo mě, že by se ještě daly použít takové nějaké dva přídavné uzly před připojením k internetu.
1. Uzel Alfa: předplacená SIM + Linux + solární panel + vysílač/přijímač. Slouží k připojení na naši pevnou IP adresu z domu. (ISP v ČR neumožňují aby se na 3G někdo přímo připojil)
2. Uzel Bravo: předplacená SIM + Linux + solární panel + vysílač/přijímač. Umístění co nejdál od uzlu Alfa, komuikace mezi nimi je bezdrátová ale ne za pomocí Internetu (to je důležité, zahladí to veškeré stopy).
-----------------------------
Smysl je ten, aby byl v případě vysledování nalezen uzel Alfa, ale nebyl nalezen uzel Bravo - z něj už by vedly přímo údaje k nám domů. Komunikace mezi Dům-uzel Alfa musí být navíc šifrovaná a to tak, aby nešla najít žádná spojitost mezi daty proudícími mezi internetem a uzlem Alfa, a mezi Internetem a uzlem Bravo.
Tímto způsobem se dá získat úplná kontrola a je už pak jen a jen na nás, jak zajistit, aby nebyl po nalezení uzlu Alfa nalezen i uzel Bravo.
Eventuálně by šel přidat ještě meziuzel Theta, který by neměl připojení k internetu, který zvýší přenosovou vzdálenost a sebedestrukce na uzel Bravo v případě prozrazení uzlu Alfa, tak aby nezbyly vůbec ale Vůbec žádné informace. 8)
;D ;D ;D
-
Pardon, spletl jsem se prohodil uzly Alfa a Bravo a to několikrát, musíte se tím prokousat ;D ;D ;D
-
Mráček: To je blbost. Zjistit odkud se jeden uzel připojuje k druhému, když u jednoho fyzicky stojím je neskutečně triviální. Navíc mrcasení se s anonymní koupí SIM a dobíjením kreditu... Mnohem jednoduší možnost je připojit se přes veřejnou/hacknutou wifi třeba na další hacknutý stroj a tak dál.
Jenda: Co je ten 0day špek?
-
No ty vole asi .... silk route 3.0 či co ... :-D
-
Jenda: Co je ten 0day špek?
To ti neřeknu, protože by to někdo mohl opravit a už by se to nedalo využívat v můj prospěch. Je to leak podobný těm co jich je na té odkazované stránce hromada.