В сети наблюдается бум проектов по созданию мини-маршрутизаторов, из коробки обеспечивающих анонимизацию трафика через сеть Tor. Первым стал проект Anonabox (https://www.kickstarter.com/projects/augustgermar/anonabox-a...), который сумел собрать на Kickstarter более 585 тысяч долларов, несмотря на то, что его автор изначально намеревался собрать $7500. После столь внушительного успеха проект был заблокирован (http://arstechnica.com/information-technology/2014/10/in-wak.../) на Kickstarter. В качестве причины блокировки называлось нарушение правил размещения кампаний на Kickstarter, запрещающих представлять чужие разработки под видом своих.
В частности, выяснилось, что преподносимое как собственная разработка аппаратное устройство представляет собой беспроводной маршрутизатор WT 3020A (http://ru.aliexpress.com/store/product/New-Arrival-WT-3020A-...) от одного из китайских производителей. Прошивка Anonabox была заявлена как свободный продукт, но на деле было опубликовано только несколько файлов конфигурации, по которым стало ясно, что она основана на существующем дистрибутиве OpenWRT, в который из репозиториев был установлен пакет с Tor (https://trac.torproject.org/projects/tor/wiki/doc/OpenWRT). Более того, исследовав предлагаемую бинарную прошивку энтузисты выявили (http://www.reddit.com/r/anonabox/comments/2ja22g/hi_im_augus...) вопиющие ошибки в плане обеспечения безопасности. В частности, в прошивке присутствовал служебный аккаунт с предустановленным паролем (пароль удалось легко подобрать по словарю).Вслед за Anonabox на различных платформах совместного финансирования стали появляться (http://arstechnica.com/information-technology/2014/10/in-wak.../) новые проекты создания маршрутизаторов с Tor. В частности, на Kickstarter был создан проект TorFi (https://www.kickstarter.com/projects/torfi/torfi), который также был почти сразу заблокирован. TorFi явно позиционировался как вариант OpenWRT со встроенной поддержкой Tor и OpenVPN для маршрутизатора TP-Link TL-WR841N. Судя по всему, Kickstarter посчитал, что проект, основанный на комбинации уже существующих программных и аппаратных компонентов, не может считаться оригинальной разработкой, тем более, что TorFi намеревался продавать аппаратное устройство на основе чужого продукта (планировалось продавать перепрошитые TP-Link TL-WR841N). Кроме того, проекты по созданию прошивок на основе связки OpenWRT и Tor выпускались ранее, в том числе на базе Raspberry Pi развивается проект Onion Pi (https://learn.adafruit.com/onion-pi/overview), для TP-Link доступен Transparent Tor Gateway (http://www.newamerica.org/oti/transparent-tor-gateway-on-ope.../), а для Netgear - Open Wireless Router (http://www.opennet.me/opennews/art.shtml?num=40236).
Также можно отметить появление на краудфаундинг-платформе indiegogo.com проекта Invizbox (https://www.indiegogo.com/projects/invizbox-privacy-made-easy), который по своей сути аналогичен Anonabox и также использует китайский маршрутизатор WT 3020A и OpenWRT, но изначально не вводит пользователей в заблуждение и сообщает об использовании данных компонентов, а также позиционируется как полностью открытый проект, позволяющий любому своими силами собрать собственный вариант Invizbox.URL: http://arstechnica.com/information-technology/2014/10/anothe.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40928
заблокировали после успеха, а потом ещё и бэкдоры нашли. вот оно чо
Всё правильно сделали.
Потзуясь случаем, прорекламирую Gl.iNet 6416A
Можно купить устройство намного мощнее и за те же деньги. Представляю, как "комфортно" будет I2P на 64 мб ОЗУ.
И настолько же портативное, с двумя ethernet?
Так делитесь же!
Портативность тут, по-моему, вообще никакой роли не играет.> с двумя ethernet
Воткул USBtoRJ45 адаптер и нет проблем.
Ясно.
Следующий!А модулей памяти не надо перепаять? А ядро пропатчить?
Для Gl.iNet 6416A было бы не плохо.
Вы хотите достичь приемлимой степени анонимности, используя игрушечный роутер и не прилагая для этого никаких усилий? Что ж, у меня для вас плохие новости...
Ну и какие же именно у вас новости относительно обсуждаемого роутера и http://www.gl-inet.com/firmware/v1/openwrt-gl-tor.bin?
Если это для вас новость, то сообщаю, что одного Tor'а для обеспечения безопасности/приватности/анонимности недостаточно. А данного девайса на что то большее и не хватит. Ну и зачем он тогда нужен? Кому действительно нужна анонимность, тот Tor настроит с полпинка.
Как же меня достали эти выражения про недостаточно. А чего достаточно-то? Что там за тайны такие вечно? Молиться может нужно, не?
https://www.torproject.org/docs/faq.html.en#AmITotallyAnonymous
> приемлимой степени анонимности
> Totally
Да, зря я так сказал. Ведь для кого то "приемлимая" - это на GMail и Facebook ходить через Tor, и таким людям уже ничего не поможет.
> Как же меня достали эти выражения про недостаточно.Понимаешь, чувак, то что ты только сменил айпи Tor'ом - не делает тебя 100% анонимным. Остап знал две дюжины относительно честных способов отслеживать юзерей независимо от смены айпи. Куки. Флеш. Local storage. Кэш браузера. А хомяк еще и залогиниться допрет - какая анонимность если вы сперва логинились с реального IP, а потом с левого? Реальный то уже засвечен.
> А чего достаточно-то?
Это очень сложный вопрос - паранои не бывает много ;). И это профессиональное заболевание всех кто имеет дело с безопасностью в IT хоть самую малость.
> Что там за тайны такие вечно?
То что достаточно сложная область. Немного не тот случай когда все делается 1 кнопкой "сделайте мне зашибись". Для хомяков есть Tor Browser Bundle, там хотя-бы часть грабель пролечена. О которых вы поди даже и не догадывались, но которые давно использовались против вас.
> Молиться может нужно, не?
Скорее RTFMать на предмет как работают компьютеры и сети + задействовать головной мозг. Технологии достаточно сложны. И это может быть (а порой и будет) использовано против вас более пронырливыми субъектами.
> А хомяк еще и залогиниться допретТут дело даже не в этом. Можно создать аккаунт типа "anon1234" и ходить на него исключительно через Tor, но личные данные пользователя всё равно будут храниться на чужих серверах. И тут Tor ничем не поможет.
>> Как же меня достали эти выражения про недостаточно.
> Понимаешь, чувак, то что ты только сменил айпи Tor'ом - не делает
> тебя 100% анонимным. Остап знал две дюжины относительно честных способов отслеживать
> юзерей независимо от смены айпи. Куки. Флеш. Local storage. Кэш браузера.
> А хомяк еще и залогиниться допрет - какая анонимность если вы
> сперва логинились с реального IP, а потом с левого? Реальный то
> уже засвечен.Да тут говорят (javascript), каждый субъект кнопки то на клавиатуре нажимает с разной скоростью (а Вы IP и прочее, пишите в edit и копируйте через clipboard, и это не спасет (от человеческой "глупости" (которая растет как энтропия ;)))
>> А чего достаточно-то?
> Это очень сложный вопрос - паранои не бывает много ;). И это
> профессиональное заболевание всех кто имеет дело с безопасностью в IT хоть
> самую малость.
>> Молиться может нужно, не?
> Скорее RTFMать на предмет как работают компьютеры и сети + задействовать головной
> мозг. Технологии достаточно сложны. И это может быть (а порой и
> будет) использовано против вас более пронырливыми субъектами.Да, хорошо, что канделябры не перестали выпускать ;)
> Да тут говорят (javascript), каждый субъект кнопки то на клавиатуре нажимает с разной скоростьюСильно сомневаюсь, что по скорости набора двух разных строк можно идентифицировать человека.
Не ну если двум индивидам дать эти строки ввести 5000 раз, то мб, а если с бумажки с корявым подчерком, раз в месяц..Версия браузера, ОС, наличие куки - все поправимо, штатными средствами, флэш это диагноз, - дырявейшая хрень с доступом в систему.
Суть в том, что технология придуманая для чего-то конкретного - плохо подходит для чего-то другого, если это не закладывалось, и даже если можно неким хаком приспособить что-то под свои нужды, то не более сложным хаком это преодолевается, есть исключения, но на то они и исключения. Если сети проектировались с учетом невозможности (аппаратной) анализа трафика крупными провами, то когда возможность появилась - безопасность села в лужу, приходится преодолевать "возможность", шифрованием и проксированием. - Костыль - костыль-антикостыль, - Когда-то давно и о NATе говорили, нафига электричество зря тратить, железо сильно умное делать, а теперь проще нат нарисовать, чем маршруты -туда-обратно.
>> Да тут говорят (javascript), каждый субъект кнопки то на клавиатуре нажимает с разной скоростью
> Сильно сомневаюсь, что по скорости набора двух разных строк можно идентифицировать человека.Сам такой статистики не имею, но здесь есть над чем подумать. Кто то одним пальчиком нажимает кнопки, кто то двумя... Кому то один язык (и переключение) ближе, кому то другой...
> Не ну если двум индивидам дать эти строки ввести 5000 раз, то
> мб, а если с бумажки с корявым подчерком, раз в месяц..Наверняка из двух легче выбрать чем из 10. Но как дополнительный метод.
А можно ведь и притворятся (нажимая одним пальчиком на кнопки).> Версия браузера, ОС, наличие куки - все поправимо, штатными средствами, флэш это
> диагноз, - дырявейшая хрень с доступом в систему.Согласен.
> Суть в том, что технология придуманая для чего-то конкретного - плохо подходит
> для чего-то другого, если это не закладывалось, и даже если можно
> неким хаком приспособить что-то под свои нужды, то не более сложным
> хаком это преодолевается, есть исключения, но на то они и исключения.
> Если сети проектировались с учетом невозможности (аппаратной) анализа трафика крупными
> провами, то когда возможность появилась - безопасность села в лужу, приходится
> преодолевать "возможность", шифрованием и проксированием. - Костыль - костыль-антикостыль,
> - Когда-то давно и о NATе говорили, нафига электричество зря тратить,
> железо сильно умное делать, а теперь проще нат нарисовать, чем маршруты
> -туда-обратно.Готов согласится в силу своего недопрофессионализма (особенно в маршрутах).
Хотя, прогресс не стоит на месте (и некоторые люди думать еще не разучились ;)
Может IPv6 чем поможет, а может новое железо должно продаваться?
>USBtoRJ45 адаптери без того дохлый проц задохнется от оверхеда из-за этой хрени
Это Quad Core ARM то задохнется?
> Это Quad Core ARM то задохнется?зависит от кол-ва pps.
для броузинга хватит, а если торренты пропустить, то да, загнется сабж
> для броузинга хватит, а если торренты пропустить, то да, загнется сабжДля торрентов можно использовать штатный Ethernet. Второй нужен лишь для раздачи интернетов рабочей машине.
> Для торрентов можно использовать штатный Ethernet. Второй нужен лишь для раздачи
> интернетов рабочей машине.Не отменяет того факта что большинство usb-эзернетов работает весьма так себе.
> Не отменяет того факта что большинство usb-эзернетов работает весьма так себе.Они отваливаются внезапно, или что с ними?
Вот здесь кто-то рекомендует использовать Gigabit Ethernet адаптер вместо integrated Fast Ethernet. http://hwswbits.blogspot.ru/2013/10/diy-nas-with-rk3188-devi...
> Портативность тут, по-моему, вообще никакой роли не играет.Не согласен. Идеальный вариант - вообще встроить нечто типа микромодуля по пути, чтоб из компа\ноута сразу файрволеный\фильтрующий и-фейс торчал. Дарю идею всем желающим, btw: нынче несложно такое сделать. Нуачо, модули уже мелкие бывают. 25х25 мм уже сделали. Напрашивается.
> Воткул USBtoRJ45 адаптер и нет проблем.
Они имеют свойство гуняво работать. Крутые профи могут попробовать чип свича прицепить и порулить вланами, побив на склько там вам надо и-фейсов, как в роутерах. Но там пока система не конфигурнет свич - может утечь MAC в WAN, а это нехорошо. Хотя любителям приваси пора бы привыкнуть MAC рандомный вешать, особенно у беспроводки..
Microtik RBmAP2n, например.
> Gl.iNet 6416A...
> CPU Atheros 9331 400MHZНу ты же понимаешь что с ним будет на работе с всякими там RSA? :)
За такую фигню более 20 баксов - жалко. Да и то для Tor - тормозить будет. Там шифрование будет тупить адски (не только RSA), ибо на все 400MHz MIPS хилый. Если уж делать фильтр траффа - лучше натурально как минимум allwinner 2-ядерный брать.
Как вариант: гигабит из allwinner -> чип свича. Получается ядреный роутер на гигабит (половину гбит, если роутить трафф в обе стороны ) с нормальным процом. Caveat: может утечь mac адреса при ребуте, пока свич не настроен. Это кстати и иных девайсов с фэйк-интерфейсами на основе vlan касается.
> энтузисты выявили вопиющие ошибкиВот так, одни энтузиасты помогают другим энтузиастам!
Надеюсь Kickstarter свои 5-ть копеек заберет ;)
А остальное вернет ;)
А что из подобного можно использовать ещё можно использовать?
ещё можно
Ну вот кто-то и собрал... Что не так-то?
вышел tor 0.2.5.10
https://gitweb.torproject.org/tor.git?a=blob_plain;hb=HEAD;f...
Интересно, как они собирались запустить ноду Tor на WR841N. У меня на более мощном 1043ND свободная оперативка мгновенно уходит в ноль при этом.
> Интересно, как они собирались запустить ноду Tor на WR841N. У меня на
> более мощном 1043ND свободная оперативка мгновенно уходит в ноль при этом.У 1043v1 такой же дохлый проц и всего 32 мега памяти. Но можно сделать своп, если нужно.
Самая лучшая, но и самая дорогая основа таких роутеров - Cubieboard 3. Там тебе и мощный процессор, и памяти вдоволь.
Дрянь китайская эти ваши кубиборды. Хотите железку на Allwinner - посмотрите OLinuxIno. С душой сделаны, в отличие от. И OSHW, опять-таки в отличие.
> OSHWНа этом все достоинства и заканчиваются.
> На этом все достоинства и заканчиваются.Да ладно тебе, олимекс нормальные кексы, делают приличные железки по адекватной цене, и географически довольно близко - Болгария. И спеки нормальные выкладывают.
А еще бывает что-то такое: https://www.olimex.com/Products/SOM/A20/A20-SOM/ - модуль, без кучи хлама. Удобно встраивать куда-нить или делать всякий мегакастом. Например подозреваю что его можно вместо phy интерфейснуть на чип свича на daughterboard (если пороху хватит таеое сделать). Правда такие модули и у других уже нынче бывают. Бывают даже с 2Gb RAM.
Вот так вот из г-на и палок можно сделать себе простой компьютер с понятным софтом. ROM у allwinner мизерный, его дизасмом расколупали. А остальное делает открытый софт - от u-boot и далее.
Возможно, я грубовато написал. Железки приличные, спеки выкладывают -- молодцы. Но для _простых пользователей_ цена на первом месте (зачастую). А здесь, к сожалению, китайцы их заруливают со своими потребительскими устройствами.
> Железки приличные, спеки выкладывают -- молодцы. Но для _простых пользователей_ цена на
> первом месте (зачастую). А здесь, к сожалению, китайцы их заруливают со
> своими потребительскими устройствами.Во первых, цена у них достаточно сравнимая. Олимекс не наглая контора.
Во вторых, такие железки - немного не для простых пользователей. Хомяки отсылают скан пальцев NSA своим ифоном...
В третьих, ну сэкономил ты 10 баксов на нонейм без документации. И проипал два дня на тыкание тестером, написание кастомного device tree или тамошних FEXов. Крутая экономия... в допущении что ты настолько лох что твое время не стоит полбакса в час.То-есть, экономия это хорошо. А вот х-вая документация и кот в мешке, что так типично для китайских товарищей - плохо.
> Во первых, цена у них достаточно сравнимая. Олимекс не наглая контора.Это смотря как сравнивать. Если "в лоб", то может и так, а если учесть, что за эти деньги китайцы предлагают приличный корпус, wi-fi с антенной, блютуз и т.д., то не всё так хорошо.
> Во вторых, такие железки - немного не для простых пользователей.
Да, собственно, ничего кроме цены их не мешает использовать простым пользователям.
>[оверквотинг удален]
>> своими потребительскими устройствами.
> Во первых, цена у них достаточно сравнимая. Олимекс не наглая контора.
> Во вторых, такие железки - немного не для простых пользователей. Хомяки отсылают
> скан пальцев NSA своим ифоном...
> В третьих, ну сэкономил ты 10 баксов на нонейм без документации. И
> проипал два дня на тыкание тестером, написание кастомного device tree или
> тамошних FEXов. Крутая экономия... в допущении что ты настолько лох что
> твое время не стоит полбакса в час.
> То-есть, экономия это хорошо. А вот х-вая документация и кот в мешке,
> что так типично для китайских товарищей - плохо.Если это про кубибоард, то есть там документация на разводку платы.
+ эта плата у многих разработчиков ядра и на ней отлаживали ряд драйверов, например, mtd.
device tree там уже весь готов и написан.
Единственная трабла, что у меня осталась на кубибоарде - какого-то фига при включении sata не работает wifi. Т.е. вообще, даже интерфейс не создается ядром. Стоит выткнуть сата - работает... В целом пофиг, повесил tp-link wn722nc через usb - отлично работает, а броадкомовский драйвер все равно гадость.
Зато полляма $ успели отхватить.
энтузисты такие энтузисты