Tails OS: обезьяна с гранатой или полезный инструмент в умелых руках

Codefather

Member
Сообщения
44
Оценка реакций
8
Прежде всего нужно сказать, что все что здесь будет мной сказано, является сугубо моей субъективной точкой зрения. Сегодня я попробую объяснить почему "многообещающая и суперзащищенная" ось Tails не такая уж безопасная, по крайней мере в 2017 году.

1. Плюсы и минусы Tails.
2. Разрушение мифов.
3. Область применения.​
---------------------------------


Плюсы и минусы Tails.
Начнем с плюсов. Первое о чем хочется сказать, это удобство использования загрузочного носителя, который в принципе можно сравнить с виртуальной машиной. Сделал загрузочную флешку, зашифровал пользовательские данные, провел минимальные пользовательские настройки и можно выходить в интернет. Одним из самых больших на мой взгляд плюсов, которые предлагают разработчики, это функция подмены/скрытия Mac адреса нажатием одной кнопки. К сожалению большинство стационарных провайдеров просто не пустят вас в интернет при несанкционированной смене Mac адреса, но кто вообще использует Tails в домашних условиях, тот обречен на неуспех.

Это значит, что используя usb модем в связке с Tails скорей всего можно благополучно осуществить скрытие Mac адреса. По крайней мере шанс доступа в интернет возрастет.

Во вторых из плюсов хочется отметить безкомпромиссное шифрование пользовательских данных после присваивания рутом ключа шифрования. Это значит, что в экстренной ситуации достаточно вытащить флешку из ноутбука или перекрыть ему питание, и любые изменения, которые проводились внутри файловой системы Tails скипнутся на 0 или другими словами произойдет вайп. Нужно добавить, что такой исход обстоятельств возможен только при использовании файловой системы в режиме Read only. В иных случаях, если вы использовали в экстренной ситуации рут вход, где любые изменения сохраняются, то если так получится, что после проведенной экспертизы с последующим успешным расшифрованием данных на вашей флешке окажется, что там есть что прятать - тут уже не отвертитесь.

Поэтому рекомендуется не менять никакие дефолтные настройки при использовании (кроме шифрования), а так же рекомендуется после каждого использования форматировать флешку и заливать ос заново. Не нужно скачивать никакие пакеты даже с официальных репозиториев! Даже какую-нибудь выпадающую консоль типа Guake / Yakuake. Не имейте привычки гадить там где не надо.

Это желательно делать по ряду причин, но все они сходятся в одном - сохранение тех или иных настроек, отпечатков браузера, куков, и прочих ваших следов. Ничего из этого не должно выходить в интернет два раза. Это просто не профессионально. Поэтому, один инсталл - один лог.

Третьим очень большим плюсом является достаточная оптимизация средств безопасностей из коробки. Мало просто скачать тор, его еще желательно настроить под свои нужны, ведь они у всех разные. Кому-то достаточно просто серфить по любимым сайтам без логирования и прочих возможных следов, а кому-то по роду деятельности например нужно работать с Bitcoin wallet. В Tails все настройки безопасности (исходя из возможностей линукс ядра) выстроены таким образом, что вам придется постараться сделать себе больно (речь только о работе внутри файловой системы). Для безопасного серфинга Tails является одним из лучших на сегодняшний день решений, и придумать что-то лучше просто не представляется возможным. Однако для многих простого серфинга не достаточно и многие пользователи теней так или иначе оставляют отпечатки в сети. Иногда достаточно отличимые. Даже используя Tor в связке с OpenVPN и DNSCrypt можно очень просто самому себе нагадить. И теперь я плавно перешел к одному самому большому и на мой взгляд крайне неприятному минусу Tails os. А именно: выход всего трафика через цепочку Tor.

Здесь начинается самое интересное :) Почему-то принято считать, что Tor сам по себе является универсальной волшебной палочкой. Безусловно в безобидном использовании (онли серфинг) одного тора достаточно, но если вам нужен просто серфинг, проще установить тор на вашу рабочую машинку и не заморачиваться. Однако если вести какую-либо не очень белую деятельность внутри сети используя Тор, можно нарваться на неприятности. И сейчас речь даже о не о деанонимизации, хотя и с ней тоже не все так гладко. Речь сейчас больше о перехвате пакетов на выходной ноде. Здесь не нужны инсайдерские объяснения - любой школьник начитавшись хабра или насмотревшись туба может самостоятельно развернуть выходную ноду на удаленном забугорном сервере и снифить весь исходящий трафик. И ВОТ ЗДЕСЬ!!! Хочется отметить, что крайне не благоразумно использование тора в работе с Биткоин кошельками. Здесь не благозарумно использовать тор вообще! Особенно внутри onion или http!

Разрушение мифов.
В упреждение скажу, если кто не знает, что с использованием тора ваш трафик шифруется лишь внутри цепи маршрутизации, а на выходе весь трафик прежде чем попасть на указанный сервер расшифровывается и этот расшифрованный трафик проходит через третью ноду!

И кстати, перехват трафика на выходной ноде это еще не самая страшная трагедия которая ждёт неумелого пользователя. В одной из статей на хабре были развернуты какие-то забугорные исследования под наблюдением ФБР и каких-то институтов (сорянчик не помню) - суть которой очень понятная и проста в применении. Кругу умелых лиц удалось деанонимизировать внутри сети тор порядка 100 преступников, информация о которых была передана в ФБР. А сделано всё было очень просто:

Они развернули 5+ рабочих нод (вход/ выход) и просто сопоставляли по таймингу расшифрованные пакеты с третьей ноды с пакетами отправителя с первой. ВСЁ! ВОТ И ВЕСЬ ВАШ ТОР! Достаточно просто развернуть парочку удаленных машин и просто снифить трафик на каком-нибудь говношарке, ну и если есть желание сопоставлять пакеты по адресату. Цепочка Тора устроена примерно так:

Первая(входная) нода знает кто отправитель, но не знает что именно он отправляет так как трафик зашифрован.
Вторая нода не знает кто отправитель и не распознает зашифрованные пакеты - её задача передать пакеты по цепочке к третьей.
Третья нода не знает кто отправитель, но видит весь трафик в расшифрованном виде и потом передаёт на конечный ресурс.

Развернул 5+ нод и сопоставляй по тайминку одни и теже пакеты. Нужно лишь дождаться, когда появится такой пакет, для которого первая и третья нода станут ваши машины.

Сложно? Нихуя сложного! А теперь вспомните на секундочку, что в Tails Os весь, абсолютно весь ваш трафик проходит через эту цепочку, в том числе трафик из кастомного пакета Bitcoin Wallet. И получается, что большинство людей не знающих, что именно позволительно делать внутри сети тор а что нет - Tails Os является гранатой для обезьяны. Поэтому помните мои дорогие шизоиды, что как только у вас появляется ощущение безопасности и вседозволенности внутри любой OS, знайте, либо вы глупец которого уже ввели в заблуждение - обезьяна с гранатой, либо вы хоть чуть-чуть понимаете принцип работы этой связки и решительно не делаете глупых действий. Tails Os даже в умелых руках не является достаточно надежной рабочей станцией. Не в 2017 году господа, не в 2017...

Кроме того, есть по меньшей мере 6 достаточно весомых попыток заражения цепочки теми или иными способами описанные в книгах /Browser-Based Attacks on Tor/ и /Recent Attacks On Tor/ .
Книги на инглише и переводов нет, если хотите - почитайте. Из этих шести попыток реально признанной разработчиками тора только одна. Принцип объяснять не буду, но как мне кажется, кто-то что-то не договаривает.

Теперь немного поговорим о дополнительных примочках типа VPN/OpenVPN/IPSec.
Все это хорошо и прекрасно, главное чтоб ваша цепочка помогла вам не только увеличить вашу анонимность в контексте отправителя, но и шифровала ваш трафик. Представим ситуацию: вы используете OpenVPN + Tor. Пляшете вы такой по форумам разным, постите посты, радуетесь плюшечкам и в какой-то момент вами заинтересовались. Рассмотрим два случая:

1. Сниферы
2. Три буквы
///////////////////////////

В первом случае, если вы не суёте в поток лишнего, вам скорей всего ничего не грозит. Главное придерживаться простейших правил использования Тора.
Второй случай уже по интересней, допустим вы матёрый кардер или хакерок или еще какой-нибудь темный писюн с базой клиентов и вы постоянно юзаете темные форумы, логинетесь, юзаете зашифрованный джаббер , возможно PGP если используете почтовые сервисы и так далее.
Вот сидит по ту сторону дядя, и на рабочей (третьей ноде) видит ахуенно интересный трафик - далее сохраняет куки если такие есть логины пароли и тп. Далее в переписках узнает например ваш джаббер и возможно рабочую электронную почту. Далее уже смотрит по вашим действиям - если тафик крайне интересен - то он сделает всё, чтоб получить доступ и к джабберу и к почте и ко всему остальному. Тут даже шифрование не поможет. Не думайте что там сидят дураки, которые станут расшифровывать ваши PGP каракули - всё намного проще.

Дальше о ждёт , когда на этот же форум зайдет человек под этим же логином и паролем и рано или поздно получится так, что вы подключитесь к этому форуму когда первая входная нода окажется зараженной(трёхбуквенной).

Теперь они знают айпи адрес вашего Vpn сервера. Чувствуете как потихоньку приближается пиздец?

:)

Они уже на шаг ближе к вам, далее вопрос разговорчивости вашего VPN поставщика. Если вы используете какие-нибудь бесплатные сервера, то вам уже жопа. Даже не думайте, что вашу задницу за бесплатно кто-то будет защищать. Используя бесплатные серверы вы можете максимум серфить и не более. не надо думать, что припаяв любой впн у вас всё замечательно с кибербезопасностью. - на это и расчитано.

Если VPN бесплатен - админ сервера выдаёт инфу фсб или фбр или анб просто по запросу по электронной почте. Если Сервер хороший и абузоустойчивый - тут есть шанс, что беда вас минует. Однако нельзя забывать о ряде других ваших следов которые могут привести именно к вам.

Суть всей мысли в том, что даже если вы запретесь в краеугольный бункер, запасетесь продуктами, водой, кокаином и шлюхами на 10 лет вперед, через 10 лет и один день у вас просто кончится воздух. - В умелых руках Tails может быть очень не плохой переносной станцией в полевых условиях, когда вам крайне не желательно пользоваться чужой ос и оставлять там какие либо следы. Ведь в ней банально может по умолчанию стоять какой-нибудь keyloger и вся ваша цепочка скатится к чертям собачьим. - Вот для чего можно и нужно благополучно использовать Tails.

Область применения.
Собственно она очень узкая. По мимо белого и пушистого сёрфинга без запуска флеш/шмеш/хуяваскрипт и тп, чтоб посмотреть видосик например - Tails реально идеальная среда для ведения какой-нибудь шпионской деятельности - собственно таким образом её и использовал Эдичка Сноудер. Тем не менее, такую флешку с развернутой и достаточно безопасной системой на базе Debian иметь вполне полезно. Иной раз зайти в инет, иной раз винда слетела. Так же это может быть полезной переносной станцией для девелоперов, если дополнительно скачать на неё нужную среду разработки и работать в ней например в путешествии с маленьким нетбуком. И в инетике можно посерфить безопасно (тор снимает локальные ограничения просмотра) да и фильмец можно посмотреть если вы "ничего такого" обычно не делаете.


В заключении хочется сказать. а точнее обратить внимание читателя на такую тенденцию, что к темному интернету с каждым годом все больше повышается внимание. Не только по соображениям цензуры и анонимности но и в качестве новой площадки для работы. Однако следует помнить, что свято место пусто не бывает и на каждую акулку всегда наёдется акулка по больше.

P.s я не нашел на форуме темы обсуждения Tails, поэтому развернул свою. Если что-то забыл - дополню либо напишу ниже.
 

Codefather

Member
Сообщения
44
Оценка реакций
8
И да забыл сказать, если кое-кто вдруг надумает спиздить тему и снять на неё видосик для ютуба, пусть оставляет копирайт. В ином случае нарушителя ждёт моральный паяльник меж ягодиц и пожизненная скидка в блогерские котлы.

И еще забыл сказать. Одна фундаментально важная вещь, которую обязательно нужно делать перед использованием Tails. Проверяйте цифровые подписи скачанных образов. Сигны должны полностью совпадать с указанными на сайте. Лично мне дважды попадались архивы подписанные третьей стороной, хотя качал я с оф. источника. Те кому интересно порыбачить - делают свою работу оперативно.
Последний образ который я проверял разнился не только недостоверной подписью с авторской, так еще и время подписи было с разницей в 3 часа. Скажу так, 3 часа достаточно для того, чтоб пересобрать архив и внедрить в него всё что необходимо. А позже подменять трафик всем кто пытается скачать этот архив. / инструкция по проверке цифровых подписей есть на оф. сайте. рекомендую этим не пренебрегать. и в случае если сигна скачанного вами архива не совпадает с ключем авторов - удаляйте этот архив не вздумайте его нигде разворачивать, даже на виртуалках.
 
Последнее редактирование модератором:

elliot_alder

Member
Сообщения
4
Оценка реакций
0
Codefather, посоветуй еще книг про тор и расскажи какаю связку анонимности используешь сам и спс за статью очень очкодробительно
 

Codefather

Member
Сообщения
44
Оценка реакций
8
Codefather, посоветуй еще книг про тор и расскажи какаю связку анонимности используешь сам и спс за статью очень очкодробительно
Книг не много, лучше почитать научные доклады всяких институтов. Всё это есть в википедии и всё на инглише. Даже контента на такой мусорке как вики хватит, чтобы сделать выводы. Просто многие вообще ничего не читают.

Сейчас я не веду никакой деятельности и дома использую обычный (платный) openvpn с шифрованием трафика. Прошил свой асус падаваном, припаял пару плюшек и пустил весь трафик через openvpn. Для дома этого достаточно

Насчет безопасности для работы - смотря на каком уровне опасности вы работаете. Всё зависит от нужд. Скажу одно - если вы не можете назвать себя специалистом в кибербезопаснсоти то не рекомендую спешить делать глупости. Есть такое правило - на каждое действие есть противодействие, и чем действие или метод популярней, тем больше шансов, что к этому методу уже заранее приготовлен противометод.

Короче - если вы не сис.админ - сидите дома.
 

elliot_alder

Member
Сообщения
4
Оценка реакций
0
Хотелось бы узнать ваше мнение если просто серфить даркнет open vpn and tor это нормально или просто застрелиться:)?
 

Codefather

Member
Сообщения
44
Оценка реакций
8
Хотелось бы узнать ваше мнение если просто серфить даркнет open vpn and tor это нормально или просто застрелиться:)?
Чтоб серфить и не проявлять никакой деятельности ( в том числе на безобидных форумах) - достаточно.