Ловец жучков и его работа через socks-прокси

1

2

Ваш чукча регулярно, из года в год взывал по поводу - когда же линуксоиды изобретут, наконец, такой файрвол, который будет отслеживать не только входящие, но и исходящие от приложений пакеты?
Но его все не было и не было, зато он давно был в Андроиде, меня туда и отправляли.
И вот в прошлом году чисто случайно наткнулся на это чудо-чудное - OpenSnitch.
Потом его анонсировали на форуме, и теперь о нем знают многие.

Важность такого файрвола трудно переоценить, поскольку в отличие классических файрволов, которые блокируют попытки только внешнего вторжения, данный файрвол еще и обнаруживает попытки злонамеренных существ вырваться из системы наружу и позволяет запереть их в ней на надежный замок.
Вам не нужно, например, искать их, возиться с лишением приложений возможностей телеметрии - достаточно не пустить их наружу, и тогда их злонамереная деятельность резко поуменьшиться либо вообще сойдет на нет.

Первым делом запустил OpenSnitch на Debian, и он нормально работал в режиме «правила в памяти».
Но когда перевел его в режим файловой БД, жесткий диск начал постоянно дергаться каждых пару секунд.
Такое жестокое обращение с диском мне не понравилось, и я отключил его, решив вернуться у нему позже, авось пофиксят эту «фичу».

Но когда еще пользовался, запомнилось, как OpenSnith вычислял хитрые поползновения Файрфокса, который, прежде чем отправится по тому адресу, куда вы его послали, он сначала последовательно обходит больше десятка других сайтов, прилежно сливая им телеметрию и прочую информацию, которой вы точно не хотели бы делится.
Ну так уж он устроен, этот Firefox: с одной стороны - браузер, с другой - бесстыжий шпион (про хромого вообще лучше промолчать).
Ко всему прочему свою немалую лепту в слив вносят плагины. В-общем, в вашей системе всегда найдется тот, кто просигнализирует «куда следует», что тигру в клетке недокладывают мяса.

И вот тогда, в свою очередь, я вволю поиздевался над Фоксом, тоже последовательно блокируя ему сомнительные места, куда пускать его мне не хотелось.
Правда, победить их все не удалось, поскольку если заблокировать некоторые особые адреса, Firefox останавливался как вкопанный и больше никуда не ходил (а ведь должен был!), так что пришлось идти на компромиссы.

В-общем и целом, OpenSnitch - вещь годная и нужная, особенно после того, как уважаемый balbes150 рассказал мне об ужасах, которые творят с Armbian на гитхабе.

Но когда для Firefox воспользовался «туннелем» через Socks5, быстренько обнаружил, что чудесная возможность фиксировать все поползновения наружу утратилась - либо надо разрешить проход всего трафик Firefox через Socks5, либо запретить его, и тогда он вообще никуда не пойдет.

И что, действительно дифференциацию обнаружения по адресам здесь никак не восстановить?

←	ipv6 \| так и должно быть?

Как настроить sendmail как клиент почты и подружить его с gnus

→

← 1 2 →

Ответ на: комментарий от chukcha 11.03.24 16:49:16 MSK

Вот смотрите, что выловил OpenSnitch всего за какой-то 1 час наблюдения за Firefox 115.8.0esr -

location.services.mozilla.com через 192.168.10.1, UDP порт 53
www.reddit.com через 192.168.10.1, UDP порт 53
push.services.mozilla.com через 192.168.10.1, UDP порт 53
detectportal.firefox.com через 192.168.10.1, UDP порт 53
push.services.mozilla.com через TCP порт 443
r3.o.lencr.org через 192.168.10.1, UDP порт 53
r3.o.lencr.org через TCP порт 80
example.org через 192.168.10.1, UDP порт 53
contile.services.mozilla.com.lan через 192.168.10.1, UDP порт 53
contile.services.mozilla.com через 192.168.10.1, UDP порт 53
aus5.mozilla.org через 192.168.10.1, UDP порт 53
aus5.mozilla.org.lan через 192.168.10.1, UDP порт 53
firefox.settings.services.mozilla.com через 192.168.10.1, UDP порт 53
firefox.settings.services.mozilla.com через TCP порт 443
content-signature-2.cdn.mozilla.net через 192.168.10.1, UDP порт 53
content-signature-2.cdn.mozilla.net.lan через 192.168.10.1, UDP порт 53
content-signature-2.cdn.mozilla.net через TCP порт 443
firefox-settings-attachments.cdn.mozilla.net через 192.168.10.1, UDP порт 53
firefox-settings-attachments.cdn.mozilla.net.lan через 192.168.10.1, UDP порт 53
firefox-settings-attachments.cdn.mozilla.net через TCP порт 443
shavar-services.mozilla.com, UDP порт 53
safebrowsing.googleapis.com.lan через 192.168.10.1, UDP порт 53
firefox-esr-shavar-services-mozilla-com-443
location.services.mozilla.com через TCP порт 443
firefox-esr-safebrowsing-googleapis-com через TCP порт 443
www-google-com , UDP порт 53
www-wikipedia-org , UDP порт 53

Причем этот час наблюдал не непрерывно, а отлучался, потом возвращаюсь - уже была попытка(и) Firefox прорваться наружу,
Поэтому в некоторых адресах стоят точки, а потом тире, а потом мне надоело это слежение и я забросил это дело.
Потому что Firefox ведет себя хитрым и даже подлым образом - долго-долго молчит, усыпляя бдительность наблюдателя, а потом внезапно рвется наружу.
Так что если непрерывно понаблюдать с полдня, то улов будет более богатым.

А вы говорите - Интырнет, безопасность, анонимность... - да фиг там! 😜

chukcha ★★★★★
(11.03.24 22:59:11 MSK) автор топика
Последнее исправление: chukcha 11.03.24 23:00:38 MSK (всего исправлений: 2)

Ответ на: комментарий от chukcha 11.03.24 22:59:11 MSK

Интырнет, безопасность

Если хотите безопасности, то копируйте Столлмана, он умный дядька. Например вместо того чтобы пускать браузер в интернет он делает так:

1)Включает интернет

2)Скачивает нужные сайты(вроде используя wget)

3)Отключает интернет

4)Открывает эти сайты локально и читает.

vbcnthfkmnth123 ★★★★★
(12.03.24 01:31:04 MSK)

Ответ на: комментарий от chukcha 11.03.24 22:59:11 MSK

Так что если непрерывно понаблюдать с полдня…

Хорошее занятие в рамках терапии тревожных состояний, но почему бы не настроить белый список URL?

если я правильно понял, ты интересовался, куда ломится Firefox без спросу?

Пускай Firefox ломится куда хочет на здоровье, если разрешён ему только DNS и linux.org.ru то ни куда он кроме них не попадёт, не смотря на то что

ведет себя хитрым и даже подлым образом

Но когда для Firefox воспользовался «туннелем» через Socks5, быстренько обнаружил, что чудесная возможность фиксировать все поползновения наружу утратилась

Сделайте из Socks5 c помощью Tun2Socks интерфейс и продолжайте наблюдения.

Под рукой VPN нету, так что вопрос аналогичный - при его использовании тоже, как и при Sock5,

Нет, VPN добавляет виртуальный интерфейс, это не прокси-сервер.

теряется возможность видеть, по каким адресам рвутся наружу приложения?

Она не теряется. В логах Sock5 прокси это можно увидеть.

sinaps ★
(12.03.24 03:54:31 MSK)

Ответ на: комментарий от sinaps 12.03.24 03:54:31 MSK

Сделайте из Socks5 c помощью Tun2Socks интерфейс и продолжайте наблюдения.

Соксификатор? И в какой точке этой системы он должен быть установлен? Можно ли подробнее об этой схеме?

Она не теряется. В логах Sock5 прокси это можно увидеть.

Вообще молчаливым логам, как таковым, уже больше 60 лет, только удобства их использования по сравнению с диалоговым OpenSnitch - никакого.

chukcha ★★★★★
(12.03.24 21:36:51 MSK) автор топика

Ответ на: комментарий от chukcha 11.03.24 22:59:11 MSK

Вот смотрите, что выловил OpenSnitch всего за какой-то 1 час наблюдения за Firefox 115.8.0esr

3-й закон Кларка: «Любая достаточно развитая технология неотличима от магии».

Очень плохо, что в твоём случае даже простые технологии неотличимы от магии.

Dimez ★★★★★
(12.03.24 21:53:05 MSK)

Ответ на: комментарий от anonymous 08.03.24 08:24:06 MSK

разупорись, my fellow онаним: монструозный OSI отменил не какой-то хер с горы, а его величество TCP/IP.

anonymous
(12.03.24 22:04:10 MSK)

Ответ на: комментарий от chukcha 12.03.24 21:36:51 MSK

Соксификатор?

Нет. Соксификатор (например tsocks) перехватывает соедиения от запущеного в нём приложения и перенаправляет на указанный ip:port.

И в какой точке этой системы он должен быть установлен?

Это как удобнее. На роутере, в локальной сети на компьютере.

Можно ли подробнее об этой схеме?

Пожалуйста.

sinaps ★
(13.03.24 00:09:47 MSK)

Ответ на: комментарий от vbcnthfkmnth123 12.03.24 01:31:04 MSK

vbcnthfkmnth123
Вообще классная идея, частично скрывающая свои пользовательские интересы.
Предлагаете LOR скачать? 😂

chukcha ★★★★★
(13.03.24 17:08:42 MSK) автор топика

Ответ на: комментарий от sinaps 13.03.24 00:09:47 MSK

sinaps
Спасибо, это уже читал и пытался понять, но пока не въеду, как это всё будет выглядеть в конечном итоге для моего случая 😳

chukcha ★★★★★
(13.03.24 17:11:47 MSK) автор топика

Ответ на: комментарий от chukcha 13.03.24 17:08:42 MSK

Ну вы же хотите безопасность, правильно? Это обеспечит вам 100-процентную безопасность.

vbcnthfkmnth123 ★★★★★
(13.03.24 17:13:29 MSK)

Ответ на: комментарий от vbcnthfkmnth123 13.03.24 17:13:29 MSK

Вообще-то 100%-й безопасности, как вы сами знаете, не существует.
Но все равно интересно, что вы имели в виду под ней в данном случае?

chukcha ★★★★★
(13.03.24 17:19:38 MSK) автор топика

Ответ на: комментарий от anonymous 21.01.24 08:11:21 MSK

В-общем

правильно писать «вообщем» (так же как и «вкрации») 😛

в общем.

hbars ★★★★★
(13.03.24 17:26:45 MSK)

Ответ на: комментарий от chukcha 29.02.24 23:33:56 MSK

Всего 45 (!) адресов.

Данные хоть и устаревшие, но общая тенденция, надеюсь, понятна.

Ты проверь это на пустом профиле фокса. Без вкладок. Вот тогда и напиши куда он ходит сам по себе.

hbars ★★★★★
(13.03.24 17:30:50 MSK)

Ответ на: комментарий от chukcha 13.03.24 17:19:38 MSK

Ну технически. Вас же не могут взломать через интернет в браузере, если у вас отключен интернет для браузера. Суть в этом же. Аналогия понятна?

vbcnthfkmnth123 ★★★★★
(13.03.24 17:44:43 MSK)

Не gentoo пока пакет не стабилизирован, значит пользоваться не рекомендуют.
К тому же он в оверлеях…

Shushundr ★★★★
(13.03.24 17:55:28 MSK)

Ответ на: комментарий от sinaps 12.03.24 03:54:31 MSK

Очень похоже на правду. Пытался я с помощью ВПН на 2айпиточкару через анонимайзер провериться.. нифига 70-75%… Через сокс5 прокси захожу - бинго!

anonymous
(13.03.24 18:01:47 MSK)

Ответ на: комментарий от hbars 13.03.24 17:30:50 MSK

Ну как же, именно так и сделал - создал чистейший новый профиль, никаких расширений, и сразу начал мониторить.

Насчет правописания не совсем понял - я где-то ошибаюсь?

chukcha ★★★★★
(13.03.24 18:05:28 MSK) автор топика

Ответ на: комментарий от vbcnthfkmnth123 13.03.24 17:44:43 MSK

Если вы имеете в виду браузер, например, его взлом, то да, понятно.
А если взломают wget? 😂

chukcha ★★★★★
(13.03.24 18:07:55 MSK) автор топика

Ответ на: комментарий от anonymous 13.03.24 18:01:47 MSK

А что похоже на правду? Можно изложить этот пост более понятно, сам по себе он интересен

chukcha ★★★★★
(13.03.24 18:10:02 MSK) автор топика

Ответ на: комментарий от chukcha 13.03.24 18:10:02 MSK

С тех пор как СС* заблочили по ip начал интересоваться в различиях между впн и прокси практическими методами. На антиананомийзерах. Прокси не определяется… правда там все не статично, постоянно автоматизировать надо.

*CC - Сибирские Сети, провайдер такой

anonymous
(13.03.24 18:14:20 MSK)

Ответ на: комментарий от chukcha 13.03.24 18:07:55 MSK

Каким образом? У вас есть на руках реальная работающая уязвимость? Тут суть в чем: В браузере вы запускаете джаваскрипты, которые по сути представляют собой программы. Причем программы от недоверенного источника. Во wget ничего такого нет.

vbcnthfkmnth123 ★★★★★
(13.03.24 18:20:04 MSK)
Последнее исправление: vbcnthfkmnth123 13.03.24 18:22:26 MSK (всего исправлений: 2)

Ответ на: комментарий от vbcnthfkmnth123 13.03.24 18:20:04 MSK

Насчет wget, который прост, невелик и в нем вылизано все или почти все, конечно же, я пошутил 😊
Его безопасность, конечно же намного выше любого браузера.
Для полного счастия здесь лишь не хватает анонимности, но тут Tor нам помощь.

chukcha ★★★★★
(13.03.24 18:33:59 MSK) автор топика

Ответ на: комментарий от chukcha 13.03.24 18:05:28 MSK

Ну как же, именно так и сделал - создал чистейший новый профиль, никаких расширений, и сразу начал мониторить.

Просто ты показал результаты того, другого юзера и я очень сомневаюсь что у него пустой профиль.

Насчет правописания не совсем понял - я где-то ошибаюсь?

Ты писал

В-общем:

Человек написал:

правильно писать «вообщем» (так же как и «вкрации») 😛

Правильно: в общем.

hbars ★★★★★
(13.03.24 18:38:24 MSK)

Ответ на: комментарий от chukcha 13.03.24 18:33:59 MSK

Тор это не про анонимность. У вас все равно сохраняется фингерпринт. Вы продолжаете использовать тот же самый браузер, то же разрешение экрана, тот же User-Agent, конфигурация TCP/IP, настройки IEEE 802.11 (WiFi) и смещение времени и так далее. Вся эта комбинация остается уникальной для вашего компьютера и ни о какой анонимности речи не идет.

vbcnthfkmnth123 ★★★★★
(13.03.24 18:41:04 MSK)

Ответ на: комментарий от anonymous 13.03.24 18:14:20 MSK

После смены роутера, упала скорость интернета. Пробившись через ботов вызвал мастера. Оказалась какой то гад «выше по течению» поставил свой роутер на проводе, а у меня настройки автоматические были. С тех пор калийцев и прочих добрых людей как то не перевариваю. Зато осваиваю ДоХ и ВПН на практических заданиях😀️

anonymous
(13.03.24 18:45:34 MSK)

Ответ на: комментарий от hbars 13.03.24 18:38:24 MSK

Насчет того «другого юзера» еще раз почитал -

Ну да, может, вот давайте на примере любимого всеми апологетами опенсорса браузера Mozilla Firefox посмотрим, что там с кодом, телеметрией и этим всем, что мы не любим в закрытом коде. Примером у нас будет Firefox последней на сегодня стабильной версии 67.0.4, 32-х битная редакция, русская локализация, установленная в ОС Windows 10.

Для начала мы правильно установим браузер, т.е. выберем тип установки «Выборочная» и откажемся от установки «Службы поддержки», единственное назначение которой – постоянно висеть в фоне, лазить на сайт Mozilla за обновлениями, скачивать и устанавливать обновления в фоне, не требуя от вас нажимать «да» в диалоговом окне Контроля учётных записей. В переводе на разговорный русский – хозяйничать на нашем компьютере, будто на своем.

Думается, с такой его дотошностью насчет пустого профиля у него тоже все в порядке.

Значит, «в общем» надо писать без тире? Значит, прогулял в школе урок русского языка и теперь всегда пишу с тире. Капец моей анонимности....😅
И что обидно, FF соглашается с любым вариантом этого написания.

chukcha ★★★★★
(13.03.24 18:53:23 MSK) автор топика

Ответ на: комментарий от chukcha 13.03.24 18:53:23 MSK

А Вы в курсе, что большинство взломов не имеет технического характера, в силу того, шта человек не умеет врать). Социальную инженерию продажники со своей AI пока не могут победить. 😋️

anonymous
(13.03.24 19:14:19 MSK)

Ответ на: комментарий от anonymous 13.03.24 19:14:19 MSK

Кому как не мне, некогда постоянному завсегдатаю pgpru, об этом не знать?
Эх, какой классный форум был, какие профи на нем собирались... загубили ресурс 😥

chukcha ★★★★★
(13.03.24 19:36:30 MSK) автор топика

Ответ на: комментарий от vbcnthfkmnth123 13.03.24 18:41:04 MSK

Ну что вы, дружище! Зайдите, например, на
https://whoer.net/ и
https://webbrowsertools.com/canvas-fingerprint/
и посмотрите на себя со стороны.
Уверен, вы себя не узнаете 😃

chukcha ★★★★★
(13.03.24 20:46:19 MSK) автор топика

И что тебе дала эта фильтрация? Ради чего это всё? Эти запросы (в которых много важных вещей, типа проверки CRL, обнаружения Captive Portal, обновление списков блокировки) тебе как-то мешали?

nebularia ★★★
(13.03.24 21:05:36 MSK)

Ответ на: комментарий от nebularia 13.03.24 21:05:36 MSK

Не буду оригинален, просто повторю ответ т. О.Бендера -

(c) Из принципа! 😜

Кроме того, после того, как загнал в /hosts около 10,000 срок вредных адресов, реально заметил, что отклики полезных сайтов стали существенно быстрее.
Полагаю, что и OpenSnitch дает такой же результат.

chukcha ★★★★★
(13.03.24 23:43:09 MSK) автор топика
Последнее исправление: chukcha 13.03.24 23:43:25 MSK (всего исправлений: 1)

Ответ на: комментарий от chukcha 13.03.24 23:43:09 MSK

Firefox ESR пытается разрешить publicsuffix.org через 192.168.10.1, UDP порт 53 
avahi-daemon подключается к 224.0.0.251 через UDP порт 5353
cups-browsed пытается разрешить 70.1.168.192.in-addr.arpa через 192.168.1.1, UDP порт 53

Что эта аваховская сцука с капсом хочет за пределами моего компьютера?? 😡

chukcha ★★★★★
(14.03.24 00:26:30 MSK) автор топика
Последнее исправление: chukcha 14.03.24 00:28:35 MSK (всего исправлений: 2)

Ответ на: комментарий от sinaps 13.03.24 00:09:47 MSK

Можно ли подробнее об этой схеме?
Пожалуйста.

В этой статье мне понравилась фраза -

Всё может показаться ясным с первого взгляда только бывалому админу, либо тому, кто ничего на самом деле не понял.

Класс! 😂
Я пока отношусь ко вторым 😃

chukcha ★★★★★
(14.03.24 00:48:14 MSK) автор топика

Ответ на: комментарий от chukcha 14.03.24 00:26:30 MSK

avahi-daemon подключается к 224.0.0.251 через UDP порт 5353

Многоадресный DNS

cups-browsed пытается разрешить 70.1.168.192.in-addr.arpa через 192.168.1.1, UDP порт 53

Обратный просмотр DNS

хочет за пределами моего компьютера?? 😡

Но… это сетевые службы… Вероятнее всего пытаются узнать как зовут компьютер c IP 192.168.1.70 в вашей локальной сети и выяснить не принтер ли это.

Я пока отношусь ко вторым 😃

Читайте про маршрутизацию TCP/IP и её настройку в Linux.

sinaps ★
(14.03.24 02:40:18 MSK)
Последнее исправление: sinaps 14.03.24 03:06:21 MSK (всего исправлений: 1)

Ответ на: комментарий от chukcha 14.03.24 00:26:30 MSK

Firefox ESR пытается разрешить publicsuffix.org через 192.168.10.1, UDP порт 53

https://publicsuffix.org/

Остальное уже объяснили популярно.

Блин, ну ответы же на расстоянии нескольких нажатий на клавиатуру + пары кликов мышкой. Зачем себя настолько непроходимым дуболомом то выставлять? :(

Dimez ★★★★★
(14.03.24 14:32:28 MSK)
Последнее исправление: Dimez 14.03.24 14:33:40 MSK (всего исправлений: 1)

Ответ на: комментарий от chukcha 13.03.24 20:46:19 MSK

Ну и чо? 👇️



Detect Canvas Fingerprint
Do I have a canvas fingerprint spoofer installed in my browser





Advertisement
About
This page uses different techniques to recognize whether a browser extension is installed to spoof the canvas fingerprint result or not. Sometimes to protect browser identity, a browser extension adds random noise to the canvas and this noise alters the fingerprint result (hash code). Although the actual identity might be protected, there are still methods to detect whether the canvas result is manipulated or not. For instance, if manipulation is identified, the server may decide to ignore the canvas identity and uses a different approach to identify the browser session.

Fingerprint Spoofed
Is browser canvas fingerprint spoofed
Loading...
Canvas Support in Your Browser
Canvas (basic support)
"Loading..."
Text API for Canvas
"Loading..."
Canvas toDataURL
"Loading..."
Fingerprint Results
Fingerprint ID
Method: red solid box

"Loading..."
Is fingerprint spoofed by persistent noise
"Loading..."
Fingerprint ID
When: before DOM load
Method: random image with color mixing

"Loading..."
Fingerprint ID
When: after DOM load
Method: random image with color mixing

"Loading..."
Is fingerprint spoofed by random noise
"Loading..."

Description
What is canvas fingerprinting?

anonymous
(14.03.24 15:10:29 MSK)

Ответ на: комментарий от anonymous 14.03.24 15:10:29 MSK

Я не знаю «чо» :-), но специально зашел на этот сайт Файрфоксом напрямую -

Fingerprint ID
Method: red solid box
	2d096a403e93b8235cb6c3e004d0dab0b2b0a25e32ace3f14cb191d31eddd6b2
Is fingerprint spoofed by persistent noise	true
Fingerprint ID
When: before DOM load
Method: random image with color mixing
	6f0a3cef1b9c7c9512121f01b8efbdf4f3a945937dfd12a2f35dd61a5831ca15
Fingerprint ID
When: after DOM load
Method: random image with color mixing
	c4c1cb91f97ac43c2487c22e83daf7f2d84b1574457f7f8dd08ee816ea0562fe

и через Tor -

Fingerprint Results
Fingerprint ID
Method: red solid box
	f57e92e8151f86038c9e91453aa9bfece6512f304762849590c6a24eed695cf6
Is fingerprint spoofed by persistent noise	true
Fingerprint ID
When: before DOM load
Method: random image with color mixing
	7a6be49e5e8e0a6db8faaf2f1db02bacdfab1307d038ebaf0e64a21182d1cdae
Fingerprint ID
When: after DOM load
Method: random image with color mixing
	7ea28a3a9ffbeba75d85877d3ba7d7f5625a1933bc76f4587418bcd4c45cf1d2

Разница есть? 😏

chukcha ★★★★★
(14.03.24 17:08:59 MSK) автор топика

← 1 2 →

←	ipv6 \| так и должно быть?

Admin

Как настроить sendmail как клиент почты и подружить его с gnus

→

Похожие темы