Názory k článku Bezpečný Tor klient ve virtualizovaném prostředí

Nevím, zda jsem přesně pochopil princip, ale pokud bude mít virtuální počítač možnost posílání DNS dotazů na přímo (nikoli přes TOR), tak v kompromitovaném virtuálním počítači stačí provést nějaký unikátní DNS dotaz a ten se dostane spolu s reálnou IP adresou mimo bezpečnou zónu. Nebo se pletu?

Nedělají se v článku DNS dotazy taky přes Tor?

Btw. ještě lepší mi přijde úplně eliminovat potřebu SOCKS proxy - virtualizovaný počítač pak nepotřebuje vůbec žádná nastavení. Pokud se nepletu, mělo by to být popsáno v https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#LocalRedirectionandAnonymizingMiddlebox

Tor daemon vie otvorit nejaky port a na nom bude pocuvat dns poziadavky.

Da sa este na to cele pouzit nastroj badvpn-tun2socks https://code.google.com/p/badvpn/wiki/tun2socks. Na jednej strane vystupuje ako router nad tun interfacom a na druhej sa pripoji na socks proxy. Teda je mozne pomocou normalneho linuxoveho routovania pouzit socks proxy v systeme. Na stranke badvpn projektu sa ale pise ze sa neda pouzit s torom, kedze nie je mozne zistit s akymi servermi je tor daemon spojeny a nastavit pre ne staticke routy ktore pojdu mimo tun2socks. To ale nie je pravda, ide to celkom pekne cez iptables a iproute2 a oznacovania packetov ktore odchadzaju/prichad­zaju uzivatelovi ktory spustil tor daemon.

Je sice pravda, ze z virtualu sa aj nakazeny firefox dozvie menej, ale je to trochu neprakticke spustat virtual a v nom firefox na browsovanie. Ak je ale zabezpecenie kernelu dostatocne dobre da sa pouzit podla mna aj vyssie uvedene riesenie, ktore nastavi defaultnu routu rovno na tor. Takze kadza aplikacia pojde tiez iba cez tor. A kazda aplikacia, ktora nema prava na zistenie a menenie routovacich tabuliek, tak nesposobi ziadne problemy.

Ano, presne tak, je to vazna bezpecnostna slabina. Da sa to vyriesit ale velmi jednoducho - firefox sa da nastavit tak, aby aj DNS resolovval cez socks proxy - staci v about:config nastavit network.proxy­.socks_remote_dns na true.

Podobne je slabinou aj ignorovanie IPv6 (ako uz stihol poznamenat kolega nizsie). Tam je tiez niekolko jednoduchych rieseni.

...a samozrejme potom vyhodit z toho firewallu povolenie UDP 53 resp. zrusenie DNS v dnsmasq na hoste.

Toto a dalsi je uz v TAILS dafaultne nastaveno. Doporucuji pouzivat a zaroven poustet jako live = po rebootu se vymaze kompletni historie apod. Take je doporuceno pravidelne menit MAC adresu virtualu a dale na sitove karte virtualu nastavit NAT namisto bridge.

Nevieš či nie je niekde návod k inštalácii Tails v češtine?

nejjednodussi je tady:
Stahnout ISO image "tails"
Vypalit na DVD
Nabootovat z DVD
:-)

A nezkonfiguruje ten hostitelský (host) Linux na tap1 také automaticky lokální adresu IPv6? Ta se ve firewallu neřeší...

Taky bych doporučil si na to dát pozor :)

ze je porad tak nejak ... pomaly

Proc se bojite napsat ze to byli americke trojpismenkove organizace, kvuli kterym nefunguji nektere servery?
Dikybohu jsou servery TORu jako PirateBay - odseknutim jednoho se vyroji plejada zrcadel...

Aha, zatýkání a exploit odhalující identity připojených uživatelů spolu vůbec nesouvisí:)

Hele, prosímtě, a co u správně používaného klienta ten exploit konkrétně odhalí? Když to budeš připojovat přes mobil s předplacenkou, přičemž předtím vypneš svůj skutečný telefon a projedeš se 5 minut MHD, tak neodhalí ani prd.

No tý kráso, to je dneska ultradementní captcha.

Vymyslet vlastní bezpečností řešení a cpát ho lidem jako to pravé řešení většinou nefunguje.

Vždy je tam nějaká slabina.

Chvalihodne, nicmene jeden rychly nod nezachrani sit z ADSL s 512kbit uploadem...nechtel by si k tomu udelat exit nod? Pak by videl o dost vetsi toky si myslim...

Mam jednu relay, ma nastaveno jen 2mbity ... a ani na ty se defakto nikdy nedostane ... traffic je tak na 1/4.

Problém není v nedostatku relayí, nýbrž v nedostatku (a tedy omezené propustnosti) exit-nodů. A s exit-nody je problém ten, že pokud nejsou na předplacené anonymní SIMce, je známa identita jejich provozovatele a lze vyvíjet tlak na jeho kompromitaci, například u fyzických osob s domácím tarifem poukazem na porušování smluvních podmínek ISP, u právnických osob ještě daleko snáze například zvýšenou frekvencí účetních kontrol, zabavováním zařízení s odkazem na důvodné podezření na podílnictví na páchané trestné činnosti, a podobně. Je toho dost, co se dá vymyslet.

Neviem, či by som práve teraz riešil tor server, keď len pred pár dňami zatkli človeka, ktorý si ho vedel určite zabezpečiť lepšie, ako by som to dokázal ja po preítaní desiatich takýchto návodov.
Navyše, celkom pekne to ukázalo, koľko ľudí vie/chce/môže prevádzkovať vlastný tor server...

Tak prave pomoci napadnuty sluzby doslo ke kompromitaci klientu.

Osobne vidim jako zasadni problem html5 a jeho vsemozny ficury, o kterych spousta useru vubec netusi a ktery do jedny delaj prohlizec deravej jak reseto.

Uvedom si, ze pokud si pres tor otevres uzasne anonymne nejakej web, na kterym se ti spusti script, kterej si otevre vlastni session naprimo, tak ses s celou anonymitou doslova vprdeli. A to i v pripade, ze prohlizec jinou konektivitu nez pres tor tunel nema. Js si umi zcela bezne zjistit IP adresy tvyho stroje .... A tech moznosti jak zjistit spoustu dalsich informaci bude cim dal vic (vsemozny uloziste, moznosti ukladat obsah primo na disk ...).

Spousta lidi si trebas vypne cookie, ale kolik % z nich si vypne taky html5 uloziste?

Pleteš páté přes deváté. Můžeš svoje tvrzení o děravosti nějak podložit? Speciálně mě pobavilo to html5, to klidně rozveď víc dopodrobna ...

Just for fun: http://davidwalsh.name/demo/battery-api.php (funguje mi ve FF 17).

Rozvedeny je to dost, ze o tom nic nevis neznamena ze to nefuguje, takze si to dohledej. Fakt me bavi, kdyz nekdo plkne ze placam, aniz by tusil o cem je rec.

Hledám koncové uzly. Dobře známé, pro hodně uživatelů, napojené na veřejné proxy (ideálně takové které jsou málo blokované). Nejlépe Evropa (ne Německo, Francie), Kanada. Ne USA, Čína, Afrika,...

No a co jako? Prostě si nějaký vyber, seznam je veřejný (Torstatus).

Zrovna ten který naznačuješ občas používají lidé s divnými názory (nenarážím teď na tvůj příspěvek ale lidi různě diskutující). Doposud jsem měl za to, že ho používá jen ta vaše skupina pro své členy a je neveřejný.

Pokud by tomu tak bylo, skrze tento uzel bych rozhodně nekomunikoval. Jsem totiž s názory některých z těch lidí v zásadním rozporu.

P.S.
Uzel nesmí být v Česku, na Slovensku a nově nejlépe ani v Anglii.

Nechápu. Narážíš na to, že mám reverz nat.brmlab.cz? To není Tor exit, to je prostě vnitřní síť natovaná do netu. A kromě toho, že jsem odtamtud ten komentář poslal, to nemá žádnou souvislost, Root prostě zobrazuje reverzy.

podle navodu jsem si pripravil vsechno potrebne
a zasekl jsem se na bode:

Poté (stále na hostiteli) nastavíme Tor klienta. To se provádí v souboru /etc/tor/torrc

protoze aadresar /etc/tor neexistuje na mem systemu, ale v navodu neni zminka o tom ze je treba neco jineho instalovat ;(
Muze to autor doplnit, tak aby to zvladl podle jeho clanku zprovoznit i zacatecnik?

Nežli se namáhat s výše uvedeným návodem řekl bych, že je snazší využít distribuci Whonix, která podporuje fungování ve VM, kde veškerý provoz směřuje skrze Tor Network.
http://sourceforge.net/projects/whonix/