LINUX.ORG.RU
ФорумAdmin

Ловец жучков и его работа через socks-прокси

 ,


1

2

Ваш чукча регулярно, из года в год взывал по поводу - когда же линуксоиды изобретут, наконец, такой файрвол, который будет отслеживать не только входящие, но и исходящие от приложений пакеты?
Но его все не было и не было, зато он давно был в Андроиде, меня туда и отправляли.
И вот в прошлом году чисто случайно наткнулся на это чудо-чудное - OpenSnitch.
Потом его анонсировали на форуме, и теперь о нем знают многие.

Важность такого файрвола трудно переоценить, поскольку в отличие классических файрволов, которые блокируют попытки только внешнего вторжения, данный файрвол еще и обнаруживает попытки злонамеренных существ вырваться из системы наружу и позволяет запереть их в ней на надежный замок.
Вам не нужно, например, искать их, возиться с лишением приложений возможностей телеметрии - достаточно не пустить их наружу, и тогда их злонамереная деятельность резко поуменьшиться либо вообще сойдет на нет.

Первым делом запустил OpenSnitch на Debian, и он нормально работал в режиме «правила в памяти».
Но когда перевел его в режим файловой БД, жесткий диск начал постоянно дергаться каждых пару секунд.
Такое жестокое обращение с диском мне не понравилось, и я отключил его, решив вернуться у нему позже, авось пофиксят эту «фичу».

Но когда еще пользовался, запомнилось, как OpenSnith вычислял хитрые поползновения Файрфокса, который, прежде чем отправится по тому адресу, куда вы его послали, он сначала последовательно обходит больше десятка других сайтов, прилежно сливая им телеметрию и прочую информацию, которой вы точно не хотели бы делится.
Ну так уж он устроен, этот Firefox: с одной стороны - браузер, с другой - бесстыжий шпион (про хромого вообще лучше промолчать).
Ко всему прочему свою немалую лепту в слив вносят плагины. В-общем, в вашей системе всегда найдется тот, кто просигнализирует «куда следует», что тигру в клетке недокладывают мяса.

И вот тогда, в свою очередь, я вволю поиздевался над Фоксом, тоже последовательно блокируя ему сомнительные места, куда пускать его мне не хотелось.
Правда, победить их все не удалось, поскольку если заблокировать некоторые особые адреса, Firefox останавливался как вкопанный и больше никуда не ходил (а ведь должен был!), так что пришлось идти на компромиссы.

В-общем и целом, OpenSnitch - вещь годная и нужная, особенно после того, как уважаемый balbes150 рассказал мне об ужасах, которые творят с Armbian на гитхабе.

Но когда для Firefox воспользовался «туннелем» через Socks5, быстренько обнаружил, что чудесная возможность фиксировать все поползновения наружу утратилась - либо надо разрешить проход всего трафик Firefox через Socks5, либо запретить его, и тогда он вообще никуда не пойдет.

И что, действительно дифференциацию обнаружения по адресам здесь никак не восстановить?

★★★★★

Последнее исправление: maxcom (всего исправлений: 2)

Ваш чукча регулярно, из года в год взывал по поводу - когда же линуксоиды изобретут, наконец, такой файрвол, который будет отслеживать не только входящие, но и исходящие от приложений пакеты?

Файрволл всегда это умел, ты бы хоть немного изучил вопрос.

Правда, победить их все не удалось, поскольку если заблокировать некоторые особые адреса, Firefox останавливался как вкопанный и больше никуда не ходил (а ведь должен был!), так что пришлось идти на компромиссы.

Опять чушь, фф прекрасно работает если ему заблокировать побочные запросы.

И что, действительно дифференциацию обнаружения по адресам здесь никак не восстановить?

С твоей прогой наверно никак.

firkax ★★★★★
()

не решается эта задача таким способом. Тут нужен «фаервол» иного типа, который будет работать в браузере и анализировать яваскрипт который ему подсовывают. Это поможет только отчасти. Проблема куда глубже. Разработчики сайтов пишут програмный код который ты скачиваешь к себе на комп и он исполняется браузером. Вот как ты себе экзешник качаешь на ПК и запускаешь, точно так же и тут, просто выглядит иначе. Написать они туда могут все что угодно и это все что угодно выполнится у тебя на пк. При том «каждый дрочит как хочет»

antech
()
Ответ на: комментарий от dada

ya-betmen

Поставь тулзень на прокси-сервер.

Согласен, годное решение, тоже думал на ним.
Только получается не очень удобно, поскольку нужно сервер делать с Иксами, и держать у себя на экране 2 окна
- одно своего браузера,
- второе с видом на OpenSnitch на сервере через, например, VNC.
Но если бы разработчики согласились создать гуишного клиента для OpenSnitch, то было бы суперски - демон на удаленном сервере, а клиент на своем ПК.
Или имеющийся клиент уже умеет работать с удаленным демоном, а я еще не разобрался? :=)


dada

я чего-то не понимаю или про iptables ты не знал ?

Я тоже чего-то понимаю... разве твой iptables умеет создавать на экране в риалтайме всплывающее гуишное окошко с именами приложений, рвущихся наружу, адресами, портами, паролями и прочими явками и либо блокировать их тут же на ходу, либо разрешать, т.е. обучать его в диалоговом режиме? :-D

Если умеет, то прошу выложить скрин такого его умения.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 3)

Под рукой VPN нету, так что вопрос аналогичный - при его использовании тоже, как и при Sock5, теряется возможность видеть, по каким адресам рвутся наружу приложения?

chukcha ★★★★★
() автор топика
29 февраля 2024 г.
Ответ на: комментарий от sinaps

sinaps дружище, если я правильно понял, ты интересовался, куда ломится Firefox без спросу?

Не буду перечислять, что пеленгует мой OpenSnitch, это будет ну очень утомительно, а приведу аналогичные результаты от другого юзера -

a1089.dscd.akamai.net
a19.dscg10.akamai.net
accounts.firefox.com
aus5.mozilla.org
autopush.prod.mozaws.net
balrog-cloudfront.prod.mozaws.net
blocklists.settings.services.mozilla.com
blocklists-settings.prod.mozaws.net
ciscobinary.openh264.org
d2k03kvdk5cku0.cloudfront.net
d6wjo2hisqfy2.cloudfront.net
detectportal.firefox.com
discovery.addons.mozilla.org
drcwo519tnci7.cloudfront.net
dyna.wikimedia.org
e15316.e22.akamaiedge.net
firefox.settings.services.mozilla.com
incoming.telemetry.mozilla.org
location.services.mozilla.com
locprod1-elb-eu-west-1.prod.mozaws.net
normandy.cdn.mozilla.net
olympia.prod.mozaws.net
pipeline-edge-prod-25-561439127.us-west-2.elb.amazona...
prod-tp.sumo.mozit.cloud
push.services.mozilla.com
reddit.map.fastly.net
redirector.gvt1.com
safebrowsing.googleapis.com
services.addons.mozilla.org
shavar.prod.mozaws.net
shavar.services.mozilla.com
snippets.cdn.mozilla.net
star-mini.c10r.facebook.com
support.mozilla.org
tiles.r53-2.services.mozilla.com
tiles.services.mozilla.com
twitter.com
wide-youtube.l.google.com
www.amazon.com
www.facebook.com
www.mozilla.org
www.mozilla.org.cdn.cloudflare.net
www.reddit.com
www.wikipedia.org
www.youtube.com 

Всего 45 (!) адресов.

Данные хоть и устаревшие, но общая тенденция, надеюсь, понятна.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)

Прочитав этот пост, решил проверить DoH на ФФ и Хромиуме через wireshark. В результате: на Хромиуме инфо по днс не видно, на ФФ «всё как на ладони». Дебиан 12.5, DoH в обоих случаях настроен через «Настройки/Безопасность». Может я ошибаюсь, но.. Походу Хромиум наше всё становится ;) 🤔️

anonymous
()
Ответ на: комментарий от anonymous

Чтобы не строить догадки, можно все это понятным человеческим языком изложить?

Что значит «на ФФ «всё как на ладони»?
Кто и как именно настроен через «Настройки/Безопасность»?
В каком смысле „Походу Хромиум наше всё становится“?

А я, в свою очередь, сообщу для всех чудесную находку 😊

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от anonymous

Хоть я и дед, но таблетки надо пить тебе, чтобы не нести в массы свою чепуху.
А для начала хотя бы выучи нормальный разговорный русский язык.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 2)
Ответ на: комментарий от chukcha

Всего 45 (!) адресов

И что? Большая часть — инфраструктура. Остальные, видимо, стандартный набор предустановленных поисковых движков.

Данные хоть и устаревшие, но общая тенденция, надеюсь, понятна.

Да, интернет становится всё сложнее.

anonymous
()
Ответ на: комментарий от anonymous

что то последнее время эту шляпу активно продвигают на лоре

последнее время

А в более раннее время на ЛОРе спрашивали, есть ли для линукса интерактивный фаерволл, типа ZoneAlarm, который для винды был уже лет 20 назад. Сейчас просто есть, чем на такие вопросы отвечать, а раньше отвечали просто «нинужна». :)

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от chukcha

Не буду перечислять, что пеленгует мой OpenSnitch, это будет ну очень утомительно, а приведу аналогичные результаты от другого юзера

Стесняюсь спросить — а нет ли в этом списке сайтов, от которых браузеру разрешено получать уведомления? Может, стоит внимательно настройки уведомлений посмотреть, да и почистить заодно?

Часть адресов, как тебе выше написали — служебные. Например, detectportal.firefox.com нужен для случая, если тебе понадобится авторизация в каком-нибудь гостиничном вайфае.

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от hobbit

Сейчас просто есть, чем на такие вопросы отвечать, а раньше отвечали просто «нинужна». :)

Точно! Среди задающих эти вопросы был и я тоже 😃
Неоднократно, может даже каждый год, и напоминал, что в Андроиде такое давно есть, и справшивал, когда же у нас такое чудо появится.
И отвечали да, примерно так же - «нинужна», патамушта есть логи.
Тепрь эти «нинужники», ессно, заткнулись. Кроме самых неугомонных.

Стесняюсь спросить — а нет ли в этом списке сайтов, от которых браузеру разрешено получать уведомления? Может, стоит внимательно настройки уведомлений посмотреть, да и почистить заодно?

Раньше это так и делал - about:config и впередь! Но только это дело утомительное, а кроме того, разработчики систематически меняют «правила игры», и надо изучать новые фичи, находя ненужные.
Другое дело - интерактивный файрвол - удобно и понятно!

Часть адресов, как тебе выше написали — служебные.

Да хоть какие! В любом случае, какие бы это не были адреса, мое мнение совпадает с мнением автора статьи - браузер должен ходить только туда, куда его послали, а не туда, что в него заложили его создатели - телеметрия и пр.
В старые времена наверняка с ними так и было, а теперь распоясались, беря пример с m$.

Ну если не втыкаешь про wireshark,

Втыкал, пока не надоело. Инструмент мощный, но не для для повседневного использования.
Другое дело OpenSnitch! И теперь он занял законное место в трее, моментально сигнализируя во всплывающем окошке о любых попытках чего-либо вырваться наружу.
Так, например, с его помощью обнаружил, что мистер Дуров нас, мягко говоря, дурит.
Посколько в его Телеге есть настройка на работу через прокси, которой я воспользовался и по наивности считал, что теперь весь мой телеговский трафик ходит через эту проксю.
Ан нет! Оказалось, что в некоторых случаях он таки ходит в обход, даже если в ней запретить peer-to-peer.
Уже не помню эти случаи, кажись, при демонстрации своего экрана.

чудесную находка где?

Там же, где и твои таблетки.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

браузер должен ходить только туда, куда его послали, а не туда, что в него заложили его создатели

Это не реалистично. Почитай вот здесь комментарии внимательно, станет более понятно, зачем нужен служебный трафик: https://github.com/arkenfox/user.js/blob/master/user.js Это уже не тот интернет, где даже баннеры хостились на том же домене, где сайт, не было HTTPS и т.д.

anonymous
()
Ответ на: комментарий от anonymous

Да мне теперь совершенно пофиг на разборки, служебный он или еще какой там.
Я просто тупо, не вникая в эти дебри, блокирую все адреса, куда рвется браузер, пока он не заткнется.
А затем потихоньку методом тыка, разрешаю некоторые, пока он не начинает нормально серфить.
И тогда в сухом остатке остаются лишь те адреса, без которых браузер действительно не работает, весь остальной шлак - в топку.

Как можно понять из твоего косноязычного изложения, твой Шарк говорит, что Хром белый и пушистый?
А теперь посмотри, что рассказал OpenSnitch о свежеустановленном
Chromium Версия 122.0.6261.94 (Официальная сборка), built on Debian 12.5, running on Debian 12.5 (64 бит)

Chromium Web Browser подключается к 239.255.255.250 через UDP порт 1900
Chromium Web Browser пытается разрешить www.gstatic.com через 192.168.1.1, UDP порт 53
Chromium Web Browser подключается к 142.250.75.3 через TCP порт 443
Chromium Web Browser подключается к 216.40.34.41 через TCP порт 443
Chromium Web Browser подключается к 224.0.0.251 через UDP порт 5353
Chromium Web Browser подключается к 142.250.203.202 через TCP порт 443
Chromium Web Browser подключается к 142.250.147.84 через TCP порт 443
Chromium Web Browser подключается к 104.16.86.20 через TCP порт 443
Chromium Web Browser подключается к 185.199.110.133 через TCP порт 443
Chromium Web Browser подключается к 142.250.75.3 через TCP порт 80
Chromium Web Browser подключается к 64.233.184.84 через TCP порт 443
Chromium Web Browser подключается к 151.101.1.91 через TCP порт 443
Chromium Web Browser подключается к 104.16.87.20 через TCP порт 443
Chromium Web Browser подключается к 185.199.110.153 через TCP порт 443
Chromium Web Browser подключается к 185.199.111.133 через TCP порт 443
Chromium Web Browser подключается к 188.114.96.11 через UDP порт 443
Chromium Web Browser подключается к 185.199.111.153 через TCP порт 443
Chromium Web Browser подключается к 151.101.129.91 через TCP порт 443
Chromium Web Browser подключается к 216.58.215.74 через TCP порт 443
Chromium Web Browser подключается к 188.114.97.11 через TCP порт 443
Chromium Web Browser подключается к 142.250.75.10 через TCP порт 443
Chromium Web Browser подключается к 142.251.9.84 через UDP порт 443
Chromium Web Browser подключается к 142.250.186.202 через TCP порт 443
Chromium Web Browser подключается к 142.250.203.138 через TCP порт 443
и т.д. и т.п. При определенном терпении можно вскрыть всю сеть гугловских серверов.

Фазаны, говоришь Ххх-ха! 😂

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 3)
Ответ на: комментарий от chukcha

Я просто тупо, не вникая в эти дебри, блокирую все адреса, куда рвется браузер, пока он не заткнется. А затем потихоньку методом тыка, разрешаю некоторые, пока он не начинает нормально серфить.

А можно немного вникнуть, ознакомиться с проектом по ссылке, и получить практически полезный результат. С твоим подходом метод тыка придётся применять после каждого обновления, не говоря уже о том, что регулярно придётся гадать, не вызваны ли странные проблемы заблокированным запросом.

Как можно понять из твоего косноязычного изложения, твой Шарк говорит, что Хром белый и пушистый?

Не надо отвечать нескольким собеседникам в одном комментарии, даже если они анонимусы.

anonymous
()
Ответ на: комментарий от chukcha

Дружище, пусть он хоть к бидону ломится по айпи. Мне нужно было, что бы идиоты с кали линакс днс не видели. Современная интернет гигиена😀️

Фазаны, говоришь Ххх-ха! 😂

Павлины, ё-моё! )

anonymous
()
Ответ на: комментарий от chukcha

При определенном терпении можно вскрыть всю сеть гугловских серверов.

Сорцы хромиума и фф открыты, вскрывай сколько влезет. Все давно разобрано.

anonymous
()
Ответ на: комментарий от chukcha

Я в очередной раз возликлвал, что не поторопился регатьсяь на ЛОРе! Сиречь - все urlы под ссылкой, просто вставляй в /etc/hosts ) Не забыдь дабавить ‘‘‘127.0.0.1 ya.ry’’’, это важно. Браузер любой тока пасиб скажет.

anonymous
()
Ответ на: комментарий от anonymous

ПЫСВ Не забудь бэкап hosts сделать. Программу для бэка поспрашивай тут, можно через слои BTRFS попробовать. Короче делай чё нибудь, не стой на месте. Чё как этот то?..

anonymous
()
Ответ на: комментарий от anonymous

Темнота... я давно это уже сделал и пользуюсь.
Только не так убого как ты, и по другой, нормальной ссылке из известного проекта.
Настроил по крону обновление /hosts , а затем и бекап с помощью многократно проверенной утилитой бекапирования.

Но тебе это всё не надо, ты же у нас вроде наногения 😜

chukcha ★★★★★
() автор топика
Ответ на: комментарий от anonymous

OSI я давно знаю. Но откуда мне знать, в каком его слое находится hosts и OpenSnitch?
Собственно, это и не нужно, вы уже дали ответ, надеюсь, правильный. Спасибо.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

Постойте, OSI жеж уже давно известный блогер на ютубчике отменил! Сказал пользуйтесь TCP, а ещё лучше «Hola».. И на донаты пошел кушать фазанов рябчиков с ананасами и шампанским.

anonymous
()

Счастливые обладатели mikrotik уже давно могут настроить себе зеркалирование трафика на другой влан, где этот трафик будет слушать suricata. А оттуда логи отправлять в ElasticSearch и в Kibana смотреть красивые дашборды.

Nurmukh ★★★
()
Ответ на: комментарий от Nurmukh

Nurmukh
Счастливые обладатели OpenSnitch могли бы объединиться и создавать правила для наиболее употребимых приложений, т.е. Firefox и Chromium, пресекающих их похождения туда, куда им ходить не следует.

Эти правила можно где-то выложить, что-то вроде вики, или на ЛОРе, ессли это возможно, и регулярно обновлять.

Это пошло бы на пользу всем! 👍

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 2)