The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Browser

12.12.2016 23:58

Разработчики анонимной сети Tor представили первый выпуск проекта sandboxed-tor-browser (выпуск 0.0.1 был пропущен, поэтому сразу сформирован 0.0.2), в рамках которого подготовлена прослойка для запуска Tor Browser в изолированном окружении, не позволяющем получить информацию о системе и параметрах сетевого подключения в случае успешной эксплуатации уязвимостей в браузере и выполнении кода атакующих. Разработка пока имеет статус экспериментальной альфа-версии.

Изоляция обеспечивается при помощи контейнера, сформированного через инструментарий bubblewrap с использованием технологии seccomp-bpf и пространств имён ядра Linux. Контейнер генерируется динамически при запуске sandboxed-tor-browser и используется один раз (при следующем запуске создаётся новый контейнер). Cетевое окружение внутри контейнера допускает только работу через Tor, а перенаправление трафика в Tor осуществляется вне контейнера.

Обращение к сетевым ресурсам напрямую и изменение настроек Tor из контейнера невозможно, что исключает определение реального IP через отправку проверочного запроса к внешнему хосту - если создаётся обычная виртуальная машина c фиктивным адресом внутри, то для определения реального адреса можно отправить ping-запрос к подконтрольному атакующему хосту. От решения, предлагаемого дистрибутивом Whonix, метод sandboxed-tor-browser отличается значительной экономией дискового пространства и системных ресурсов (в Whonix нужно запускать две полноценные виртуальные машины), ценой снижения надёжности (в контейнере используется единое с основной системой ядро Linux, что открывает дополнительные возможности для атак и утечек информации).

Для упрощения загрузки, установки, обновления, настройки и запуска Tor Browser в контейнере подготовлен специальный интерфейс на GTK+. Директории ~/Desktop и ~/Downloads внутри контейнера отражаются на внешние директории ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Desktop и ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Downloads. Для вывода звука опционально может использоваться PulseAudio. В настоящее время поддерживается только сборка из исходных текстов для Linux, бинарные пакеты обещают сформировать на этой неделе. Поддерживается только установка на 64-разрядных системах.

Из временных ограничений, которые скоро будут устранены отмечаются: невозможность многоязычного ввода с использованием сервисов, подобных I-Bus, отсутствие поддержки подключаемого транспорта meek, неработоспособность службы уведомлений о наличии обновлений (обновления устанавливаются отдельной утилитой). Из ограничений, которые из соображений безопасности скорее всего останутся нереализованными, выделяются: транспорт FTE, ускорение 3D-графики (доступен программный рендеринг, но аппаратный запрещён из-за достаточно опасных обращений к драйверам), вывод на принтер (поддерживается печать в файл), использование Tor Browser для обращений к чему-либо, кроме сети Tor.

  1. Главная ссылка к новости (https://lists.torproject.org/p...)
  2. OpenNews: Выпуск Whonix 10, дистрибутива для обеспечения анонимных коммуникаций
  3. OpenNews: Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости
  4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  5. OpenNews: Выпуск Tor Browser 6.0
  6. OpenNews: Выпуск дистрибутива Tails 2.7 и web-браузера Tor Browser 6.0.6
Лицензия: CC-BY
Тип: Программы
Ключевые слова: tor, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, SpiritOfStallman (ok), 00:30, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему бы не использовать виртуалку, а не новую прослойку, у которой свои баги и заморочки в подарок?
    Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
     
     
  • 2.2, Гентушник (ok), 01:01, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Виртуалку можно использовать и сейчас, но у неё большие накладные расходы.

    Если виртуалку каждый раз не пересоздавать при запуске тор-браузера, то если браузер взломают и понапихают в гостевую ОС бекдоров, то они будут жить там долгое время.
    Т.е. даже если секьюрити баг в тор-браузере в обновлении закроют, то зараза всё равно останется в системе.

    bubblewrap насколько я понял каждый раз пересоздаёт контейнер, так что время жизни потенциальной заразы ограничено временем работы тор-браузера. А при обновлении с исправлениями уязвимостей зараза уже не переедет в новый контейнер.

    Насчёт безопасности прослоек - bubblewrap использует ядерные namespaces, так что безопасность по большей степени зависит от них, а не от этой утилиты (хотя в ней конечно тоже могут быть баги).

     
     
  • 3.3, AnotherReality (ok), 01:34, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а это хорошая идея. С пересозданием виртуалки
     
     
  • 4.12, Гентушник (ok), 07:46, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > а это хорошая идея. С пересозданием виртуалки

    Только после пересоздания нужно не забывать обновлять тор-браузер, ставить обновления ОС и прочее... Слишком много возни.

     
     
  • 5.28, PnDx (ok), 12:35, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1. Снапшот.
    2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед каждым запуском.
    3. Запускаем из основного контейнера, обновляем, новый снапшот.

    Как-то так, с поправкой на возможности любимой среды виртуализации.
    Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…

     
     
  • 6.45, Аноним (-), 10:18, 10/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Снапшот.
    > 2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед
    > каждым запуском.
    > 3. Запускаем из основного контейнера, обновляем, новый снапшот.
    > Как-то так, с поправкой на возможности любимой среды виртуализации.
    > Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…

    — Вторая свежесть — вот что вздор! Свежесть бывает только одна — первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая!»

     
     
  • 7.48, Ilya Ryabinin (?), 00:16, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае, аналогия не верна.
     
  • 3.4, leap42 (ok), 03:23, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> но у неё большие накладные расходы

    ну сколько можно эту чушь с грязношвабра повторять как мантру? вы сами то хоть тесты делали? 5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).

     
     
  • 4.5, Аноним (-), 04:32, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы в студию, ссылки на проведенные тесты, графики, и прочее... Газификацией луж занимаетесь товарищ...
     
     
  • 5.7, leap42 (ok), 05:52, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в гугле забанили? вот результаты из топа выдачи:

    https://habrahabr.ru/company/cloud4y/blog/282918/
    https://major.io/2014/06/22/performance-benchmarks-kvm-vs-xen/

     
     
  • 6.10, Аноним (-), 07:03, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чушь, товарищ leap42, вы несёте. Чтобы накладные расходы были 2-3% нужно иметь топовые железяки.
     
     
  • 7.26, leap42 (ok), 11:36, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    с какого уровня начинаются топовые железки? на каком заканчиваются нетоповые? на каком основании сделаны выводы? ссылки на подтверждающие тесты будут?
     
  • 6.29, Мишко (?), 13:15, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, да... Только кто учитывает, сколько затратится ОЗУ, сколько места на хранилище для виртуалки? Да и кому это интересно, если 1 гиг только на запуск (не забыть время загрузки), если 3-4 гига жестяка уходит под виртуалку? Все эти отчеты хороши только пока у тебя до пса ресурсов.
     
  • 5.8, leap42 (ok), 05:57, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    я в состоянии сам потестировать, чай не на винде сижу
    а газификацией луж, дорогой аноним, занимаются апологеты докера
     
  • 5.9, leap42 (ok), 06:07, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    вот ещё:
    http://openstack-in-production.blogspot.ru/2015/08/kvm-and-hyper-v-comparison
    для тех, кто не осилит, кратко:
    оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после тюнинга меньше)
    оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8%
     
     
  • 6.30, Мишко (?), 13:16, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > вот ещё:
    > http://openstack-in-production.blogspot.ru/2015/08/kvm-and-hyper-v-comparison
    > для тех, кто не осилит, кратко:
    > оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после
    > тюнинга меньше)
    > оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8%

    Сколько оверхед по занятой памяти и жесткому диску?

     
     
  • 7.32, Аноним (-), 17:59, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Сколько оверхед по занятой памяти и жесткому диску?

    Ты бы ещё износ клавиатуры посчитал и пробег мыши, ей-богу. Даже если контейнеру для запуска понадобится 32Гб жёсткого диска и 8Гб RAM, какая разница? В каких реальных случаях тебе понадобится больше одного такого контейнера? А учитывая, что реально ему нужно будет 5-7 Гб HDD и 1-1,5 Гб RAM, говорить вообще не о чем.

     
  • 3.22, Аноним (-), 10:23, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем пересоздавать, если можно откатить до снимка на начало работы. Обновить систему и обновить снимок.
     
  • 2.14, Аноним (-), 08:47, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?

    Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло нужно городить хитрый проброс всего трафика через tor proxy.

     
     
  • 3.15, Аноним (-), 09:24, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вас отрезали от ВПН?
    Что там пинговать собираетесь?
     
     
  • 4.25, Аноним (-), 11:19, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вас отрезали от ВПН?

    Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать реальный IP клиента. Как выход можно весь трафик заворачивать в Tor, но это скорее исключение из правил. Обычно не парятся и запускают Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.

    > Что там пинговать собираетесь?

    свой внешний хост, на котором высветится не интранет адрес виртуальной машины, а уже оттранслированный IP клиента или адрес VPN (см. ответ выше).

     
     
  • 5.46, Аноним (-), 10:33, 10/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вас отрезали от ВПН?
    > Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать
    > реальный IP клиента. Как выход можно весь трафик заворачивать в Tor,
    > но это скорее исключение из правил. Обычно не парятся и запускают
    > Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих
    > владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.

    Вся эта возня с законами о https://www.opennet.ru/opennews/art.shtml?num=46944 нужна по многим причинам, но одна из них ИМХО, государство в лице всей вертикали, и прочие присосавшиеся, да простые работники (и создание новых рабочих мест), что бы не ударить лицом в грязь должно осваивать больше средств, чем крутится на том рынке с которым пытаются бороться. А то как то несолидно выглядит ;)

    Вот бы посмотреть статистику как именно попадаются.
    Там ведь специалисты работают. У них уже наверняка наработаны методы.
    Максимум ИМХО при передаче бабла.

     
  • 3.20, Нанобот (ok), 10:07, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а это только если пользоваться конфигурацией по-умолчанию (заточеную под удобство использования)
     
  • 3.31, vi (ok), 17:46, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хитрый, говорите Add group and user groupadd -g 17500 whowho useradd ... текст свёрнут, показать
     
     
  • 4.33, vi (ok), 18:31, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/

    ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
    ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
    It's a shame! One line is lost.
    + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"


     
     
  • 5.47, Аноним (-), 10:51, 10/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination
    > "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
    > ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination
    > "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
    > It's a shame! One line is lost.
    > + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"

    Выше вот интересные комменты.

     
  • 2.18, Аноним (-), 09:57, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А ты новость прочитай еще раз, там прямо даже ответ есть.
     
  • 2.41, Аноним (-), 07:01, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Меньше требует памяти.
    Но вм лучше. Лучше использовать вм
     

  • 1.6, Аноним (-), 05:41, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Таненбаум уж 30 лет назад говорил, и Minix спроектирован так, что всё должно быть изначально в песочницах. Ядро следит за тем - какой песочнице какие права выдаются.

    Обновления независимые и обратимые.

    А теперь:
    - Андроид права и jail
    - IOS права и jail
    - Systemd jail
    - FreeBSD
    - Docker
    - LXC
    - RKT
    - OpenVZ
    - Snaps
    - Flatpack
    ...
    Я знаю что это разного применения утилы.
    Но Вам не кажется, что изоляция/песочница - вполне может быть одна?
    Они все используют Cgroups/Namespaces. Все работают от рута.
    Так может уже пора что-то одно написать?

    In Minix everything but the micro-kernel is a user process.

    Я о том, что он показал, что нам надо - ещё 30 лет назад. А мы пропустили сквозь уши, пишем разные велосипеды но в итоге идём к тому-же самому. Только с полным бардаком.

    Как и команда ядра теперь думает как в монолитном ядре отделить от него драйвера.

     
     
  • 2.11, Аноним (-), 07:08, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чего одно? Вы предлагаете для разных платформ одно писать? Нет, я понимаю ещё объединить flatpack и snaps. Я могу понять, что надо перенести из FreeBSD jail. Но что вы предлагаете на ведройде делать? Там и так всё анально разграничено и тогда им придётся архитектуру полностью менять. iOS туда же, да ещё и закрытое.

    Docker нужен не для визуализации а для быстрого развёртывания софта в контейнере. Что-то типа chroot, но защищённый.

    Одна утилита для одной цели, давайте будем придерживаться этого золотого правила, ок?

     
  • 2.19, Аноним (-), 10:00, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А каждая команда пилит свой путь, истиннее, чем путь других команд. И недопиливает по чуть-чуть, что заставляет еще кого-то уже "свое" делать.

    Таненбаум дядька легендарный, но систему свою кроме как пиарить как предтечу Линукса, особо не смог к делу пристроить. Этак можно и Ивана Грозного приплести, что он велел нехристям жить опричь российских людей - тоже песочница, да еще с firewall-ом, тьфу, заставой!

    Сказать-то каждый может. Сделать - нет.

     
  • 2.21, ANISEND (?), 10:09, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется. Нужно уходить с линуксов вообще. Только использовать прослойку для работы с оборудыванием на первое время. Вон Genode куда-то туда и идет.
     
     
  • 3.27, Аноним (-), 11:44, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > оборудыванием?

    адназначна!

     

  • 1.13, Меломан1 (?), 08:09, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Tor Browser в изолированном окружении

    Socks proxy работать не будет и придется запускать еще один Tor. Почему все разработчики ПО считают, что компьютеры резиновые?

    >5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).

    Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.

     
     
  • 2.35, DR94 (ok), 21:08, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно та же ситуация, по ощущениям накладные расходы все 20-30% да и держать ось в коробке ради браузера, изврат как по мне...
     
  • 2.37, Аноним (-), 22:46, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.

    Ноут. Жрёт память и проц. Бардак в голове ничего не жрёт?

     
     
  • 3.40, DR94 (ok), 01:17, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Типичный ответ типичного анонима...
     
  • 2.39, Аноним (-), 23:36, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Socks proxy работать не будет и придется запускать еще один Tor.

    Где это написано?

     

  • 1.16, Аноним (-), 09:29, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тема не новая:

    https://blog.torproject.org/blog/q-and-yawning-angel
    https://wiki.mozilla.org/Security/Sandbox

     
     
  • 2.23, Аноним (-), 10:25, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    По первой ссылке интервью с автором sandboxed-tor-browser, первый релиз которого описан в обсуждаемой новости. Планировали создать уже давно, но пригодный для использования альфа-выпуск сделали только сейчас.

    По второй ссылке никакой защиты от определения реального IP, в то время, как главной задачей sandboxed-tor-browse является защита от утечки IP в случае взлома браузера.

     

  • 1.17, Ващенаглухо (ok), 09:54, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Возможно ли для этих целей использовать Linux Containers (LXC) ?
     
  • 1.24, Аноним (-), 10:51, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем это отличается от других контейнеров? Контейнер системд или просто chroot, например.
     
  • 1.34, Аноним (-), 19:00, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Запускаю фф в firejail, а тор не нужен.
     
     
  • 2.36, Аноним (-), 21:16, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Запускай в астрале,
    там даже инета не надо
     

  • 1.38, Аноним (-), 23:09, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А можно ли sandboxed-tor-browser запустить внутри firejail, запущенного внутри docker?
    И насколько скажется на производительности?
     
     
  • 2.42, Аноним (-), 12:45, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мальчик: Дяденька, а можно я прыгну с 10 этажа?
    Дяденька: Можно мальчик, но только 1 раз.
     

  • 1.43, Тот_Самый_Анонимус (?), 13:08, 14/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Раскрутка тора ведётся весьма активно. Кому-то это сильно нужно.
     
  • 1.44, Аноним (-), 00:20, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >bubblewrap

    Но... ведь... флатпак...

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру