Чета у меня волосы на голове зашевелились от понимания того, что безопасность и работоспособность 235ти миллионов сайтов в интернете зависит от двух кусочков железа установленных не совсем ясно кем, «где-то», и, даже, без геораспределенного резервирования.
Страшно жить… даже если это работает на EPYC.
Никаких предпосылок названных вами нет. От сценария поведения пользователя зависит только количество корреляций которые нужны для идентификации. Конечно, чем сильнее разбросаны во времени события тем больше бит информации мы можем получить от каждого. Чем больше событий приходит с устройства, — тем меньше. Но, какую-то информацию, по 1-3 бита за событие можно получить даже в плохих случаях.
Если просто забыть про возможные закладки в ОС или Firmware, чего на самом деле делать не стоит, и, сфокусироваться только на приложениях, то надо смотреть в сторону фрэймворков для интеграции рекламы или in-app покупок в приложения для сторонних разработчиков.
Вы, судя по всему, не слышали про Whonix. Я просто хотел намекнуть, что даже его может оказаться недостаточно. Ну, и, про то, что если вы не являетесь экспертом в некоторых областях, рассчитывать на анонимность просто потому, что вы используете «тор браузер», — не стоит.
Вы, судя по всему, мало путешествуете, если считаете, что можете наделать дел через зарубежный хостинг, оставить там след, и, вам за это ничего не будет.
Как только вы окажетесь в юрисдикции этого хостинга, сразу поймете, где тут ошибка.
Пользователь делает в среднем около 500 кликов мышкой в день. Это около 0,005 кликов в секунду от одного пользователя.
Корреляция одного клика с точностью до секунды дает вам примерно 7 бит информации необходимой для идентификации пользователя.
Предположим, хакер совершил 32 запроса с интервалом больше секунды при попытке взлома. Предположим, что 10 из них были инициированы кликом мышки.
Предположим, телефоны всех пользователей лежа на столе, помимо ОК Гугл еще и пассивно собирают информацию о кликах мышкой. Предположим, в Гугл отправляется только отчет с таймстампами кликов за день в виде телеметрии. Предположим, что этим может заниматься не сам Гугл, а установленный на телефоне мессенджер/другое приложение.
Из глобального потока информации о кликах выделяются участки соответствующие по времени всем 32-м запросам, которые были частью атаки.
Находится устройство, которое встречается максимальное количество раз в этих диапазонах.
Если количество найденных кликов 5 или больше — у нас есть подозреваемый. Если 10, — то, это почти гарантия того, что телефон находился рядом со злоумышленником в момент атаки. Это след, который дальше надо раскручивать другими методами.
Все это, конечно, надо еще нормировать на общее количество событий с конкретного устройства. На случай, если, вдруг, несчастный владелец найденного телефона играл во время взлома в Диабло II за паладина.
Держать три десятка снапшотов на тонком томе LVM, — это действительно не очень быстро. Я для решения этой проблемы придумал схему, при которой на рабочем массиве держится только один снапшот на каждый тонкий том, который служит для отслеживания изменений с последнего бэкапа. Вот на бэкап устройстве уже действительно много снимков.
Рабочие и резервные LVM группы отличаются и расположены на различных RAID группах. Если интересны подробности, у меня статья про «LVM и Матрешки» в профиле.
Пример. Гугл получает 63,000 запросов в секунду. Всего пользователей 4 миллиарда.
Пусть погрешность определения клика на телефоне — 1 секунда (это не принципиально, просто чуть больше или меньше кликов понадобится).
По одному клику — выделяется 63000 пользователей.
По корреляции двух кликов — круг сужается примерно до тысячи пользователей.
По корреляции трех кликов — вас можно идентифицировать среди 4х миллиардов пользователей Гугла.
Все ещё думаете что атака специфична, и, верите, что ей до сих пор никто не пользуется?
Сразу предупрежу, что эти расчеты — сферический конь в вакууме. Работает только если вы априори знаете, что пользователь кликает на Гугле. В реальности нужно выделять пользователя среди всего трафика в сети, а не только Гугла, и, для этого потребуется где-то 10 кликов.
Как и многое другое, что придется скрыть/изменить в этой схеме, чтобы она работала.
Идея понятна, но, на самом деле просто аналогична схеме из двух виртуалок — контроллера/хоста вроде Whonix, только вы еще зачем-то воткнули посередине лишнюю деталь в виде MicroTik'a создав тем самым новый вектор для атаки, и, купили левый хостинг у левой конторы, к которой тоже доверия нет, создав тем самым угрозу.
Можно просто из WhoNix купить хостинг за криптовалюту и использовать его как личный VPN сервер подключаясь только через VPN поверх TOR. При этом, к хостингу должно быть нулевое доверие.
Whonix, это очень хороший вариант, если работает в связке из двух компов. Риск вы совершенно правильно описали. При прорыве изоляции ВМ может утечь ID оборудования. Ему не хватает именно механизма оперативного реагирования на вторжение/паразитный трафик.
Ну, и, по кликам все равно отследить можно, если телефон рядом лежит. Встроенная рандомизация тайминга событий клавиатуры/мыши сильно затрудняет, но, не предотвращает это. Просто, нужно будет дольше собирать данные.
Забыли сказать, что самая большая проблема современных сетевых хранилищ для дома, — это скорость сети. Чтобы сравниться в скорости с банальным NVM-E SSD нужен сетевой адаптер на 40 Гигабит/c, который стоит космических денег. И то, задержки, все равно, будут больше.
Так что, NAS на жестких дисках, — это ещё и медленно.
Сожалею, если моя публикация вас чем-то обидела или расстроила. Я, честно, старался никого нигде не оскорбить, и, не обидеть. Буду рад видеть то же в ответ от комментаторов.
Насчет прокуратуры… Я бы, вот, был бы даже рад, если бы «прокуратура» провела проверку и подтвердила/опровергла предположения про антивирусы, телеметрию, и деанонимизацию через телефон. Ведь так можно отслеживать пользователей не только в анонимных сетях, а вообще везде, и, если это правда, это большая проблема для безопасности.
Это очень хорошая схема. Гораздо лучше простого использования ТОР браузера.
Однако, есть риск использования дыры браузере. В этом случае, из-за того, что вы можете вовремя не определить, что это произошло, и не остановить ВМ, злоумышленник успеет проанализировать окружение и скачать эксплойт для вашего гипервизора. Внешний контроль трафика с остановкой ВМ нужен именно для предотвращения этого сценария. Но, даже он не дает гарантии. Просто повышает шансы.
Ну, кажется, вы правильно поняли посыл статьи. Тор и I2P от спецслужб не спасут. Нужна огромная куча всего кроме. И, да. Быстро надоест.
Про антивирусы есть косвенные признаки. А именно, факты обнаружения и ареста авторов вирусов, которых отследили «через сигнатуры», «детали не распространяются».
Про телеметрию и «облака», — нет достоверных сведений. Это экстраполяция основанная на том, что все необходимое, чтобы сделать «аналогично» там есть.
Если за вами уже следят/вас обнаружили, — вас ничего не спасет. Это аксиома.
Я сфокусировался на способе, что повышает шансы быть не обнаруженным. Вовремя определить направленное внимание к вашей персоне и, возможно, вовремя почистить хвосты/залечь на дно. И то, без гарантии.
Гарантий в этом деле вам никто никогда не даст. Скорее всего, гарантирую, что, рано или поздно, вы попадетесь.
И, да. В заголовке статьи же ясно написано, что это просто записки начинающего параноика.
Думаю, что по прозрачным намекам про телеметрию и встроенные антивирусы, понятно, что использование Windows на ВМ показано чисто как пример запуска «недоверенного софта в песочнице» который, тем не менее, не приведет к печальным последствиям. Ну, и, немного стёба и тонкого юмора.
Очевидно что, Windows, MacOS, Android и iOS для таких целей лучше вообще не использовать.
Я думаю, что статья рассчитана на, преимущественно, обычных пользователей которые качают ТорБраузер, дабы немного развеять иллюзию безопасности, которую он создает.
Ибо ТорБраузер не защищает от «антивирусов», «телеметрии» и т.п. тока от первых 2х-3х пунктов.
Страшно жить… даже если это работает на EPYC.
Если просто забыть про возможные закладки в ОС или Firmware, чего на самом деле делать не стоит, и, сфокусироваться только на приложениях, то надо смотреть в сторону фрэймворков для интеграции рекламы или in-app покупок в приложения для сторонних разработчиков.
Как только вы окажетесь в юрисдикции этого хостинга, сразу поймете, где тут ошибка.
Зарубежный хостер в данном случае не только знает, что вы юзаете тор, но и может вас деанонимизировать. Это на порядки хуже.
Корреляция одного клика с точностью до секунды дает вам примерно 7 бит информации необходимой для идентификации пользователя.
Предположим, хакер совершил 32 запроса с интервалом больше секунды при попытке взлома. Предположим, что 10 из них были инициированы кликом мышки.
Предположим, телефоны всех пользователей лежа на столе, помимо ОК Гугл еще и пассивно собирают информацию о кликах мышкой. Предположим, в Гугл отправляется только отчет с таймстампами кликов за день в виде телеметрии. Предположим, что этим может заниматься не сам Гугл, а установленный на телефоне мессенджер/другое приложение.
Из глобального потока информации о кликах выделяются участки соответствующие по времени всем 32-м запросам, которые были частью атаки.
Находится устройство, которое встречается максимальное количество раз в этих диапазонах.
Если количество найденных кликов 5 или больше — у нас есть подозреваемый. Если 10, — то, это почти гарантия того, что телефон находился рядом со злоумышленником в момент атаки. Это след, который дальше надо раскручивать другими методами.
Все это, конечно, надо еще нормировать на общее количество событий с конкретного устройства. На случай, если, вдруг, несчастный владелец найденного телефона играл во время взлома в Диабло II за паладина.
Рабочие и резервные LVM группы отличаются и расположены на различных RAID группах. Если интересны подробности, у меня статья про «LVM и Матрешки» в профиле.
Во-втором, — вы правы. Я указал это здесь исключительно для того, чтобы пользователи помнили об этом и не допускали)
Пусть погрешность определения клика на телефоне — 1 секунда (это не принципиально, просто чуть больше или меньше кликов понадобится).
По одному клику — выделяется 63000 пользователей.
По корреляции двух кликов — круг сужается примерно до тысячи пользователей.
По корреляции трех кликов — вас можно идентифицировать среди 4х миллиардов пользователей Гугла.
Все ещё думаете что атака специфична, и, верите, что ей до сих пор никто не пользуется?
Сразу предупрежу, что эти расчеты — сферический конь в вакууме. Работает только если вы априори знаете, что пользователь кликает на Гугле. В реальности нужно выделять пользователя среди всего трафика в сети, а не только Гугла, и, для этого потребуется где-то 10 кликов.
Идея понятна, но, на самом деле просто аналогична схеме из двух виртуалок — контроллера/хоста вроде Whonix, только вы еще зачем-то воткнули посередине лишнюю деталь в виде MicroTik'a создав тем самым новый вектор для атаки, и, купили левый хостинг у левой конторы, к которой тоже доверия нет, создав тем самым угрозу.
Можно просто из WhoNix купить хостинг за криптовалюту и использовать его как личный VPN сервер подключаясь только через VPN поверх TOR. При этом, к хостингу должно быть нулевое доверие.
Ну, и, по кликам все равно отследить можно, если телефон рядом лежит. Встроенная рандомизация тайминга событий клавиатуры/мыши сильно затрудняет, но, не предотвращает это. Просто, нужно будет дольше собирать данные.
Так что, NAS на жестких дисках, — это ещё и медленно.
Насчет прокуратуры… Я бы, вот, был бы даже рад, если бы «прокуратура» провела проверку и подтвердила/опровергла предположения про антивирусы, телеметрию, и деанонимизацию через телефон. Ведь так можно отслеживать пользователей не только в анонимных сетях, а вообще везде, и, если это правда, это большая проблема для безопасности.
Однако, есть риск использования дыры браузере. В этом случае, из-за того, что вы можете вовремя не определить, что это произошло, и не остановить ВМ, злоумышленник успеет проанализировать окружение и скачать эксплойт для вашего гипервизора. Внешний контроль трафика с остановкой ВМ нужен именно для предотвращения этого сценария. Но, даже он не дает гарантии. Просто повышает шансы.
Про антивирусы есть косвенные признаки. А именно, факты обнаружения и ареста авторов вирусов, которых отследили «через сигнатуры», «детали не распространяются».
Про телеметрию и «облака», — нет достоверных сведений. Это экстраполяция основанная на том, что все необходимое, чтобы сделать «аналогично» там есть.
Если за вами уже следят/вас обнаружили, — вас ничего не спасет. Это аксиома.
Я сфокусировался на способе, что повышает шансы быть не обнаруженным. Вовремя определить направленное внимание к вашей персоне и, возможно, вовремя почистить хвосты/залечь на дно. И то, без гарантии.
Гарантий в этом деле вам никто никогда не даст. Скорее всего, гарантирую, что, рано или поздно, вы попадетесь.
И, да. В заголовке статьи же ясно написано, что это просто записки начинающего параноика.
Очевидно что, Windows, MacOS, Android и iOS для таких целей лучше вообще не использовать.
Ибо ТорБраузер не защищает от «антивирусов», «телеметрии» и т.п. тока от первых 2х-3х пунктов.