Разработчики анонимной сети Tor представили первый выпуск проекта sandboxed-tor-browser (выпуск 0.0.1 был пропущен, поэтому сразу сформирован 0.0.2), в рамках которого подготовлена прослойка для запуска Tor Browser в изолированном окружении, не позволяющем получить информацию о системе и параметрах сетевого подключения в случае успешной эксплуатации уязвимостей в браузере и выполнении кода атакующих. Разработка пока имеет статус экспериментальной альфа-версии.

Изоляция обеспечивается при помощи контейнера, сформированного через инструментарий bubblewrap с использованием технологии seccomp-bpf и пространств имён ядра Linux. Контейнер генерируется динамически при запуске sandboxed-tor-browser и используется один раз (при следующем запуске создаётся новый контейнер). Cетевое окружение внутри контейнера допускает только работу через Tor, а перенаправление трафика в Tor осуществляется вне контейнера.

Обращение к сетевым ресурсам напрямую и изменение настроек Tor из контейнера невозможно, что исключает определение реального IP через отправку проверочного запроса к внешнему хосту - если создаётся обычная виртуальная машина c фиктивным адресом внутри, то для определения реального адреса можно отправить ping-запрос к подконтрольному атакующему хосту. От решения, предлагаемого дистрибутивом Whonix, метод sandboxed-tor-browser отличается значительной экономией дискового пространства и системных ресурсов (в Whonix нужно запускать две полноценные виртуальные машины), ценой снижения надёжности (в контейнере используется единое с основной системой ядро Linux, что открывает дополнительные возможности для атак и утечек информации).

Для упрощения загрузки, установки, обновления, настройки и запуска Tor Browser в контейнере подготовлен специальный интерфейс на GTK+. Директории ~/Desktop и ~/Downloads внутри контейнера отражаются на внешние директории ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Desktop и ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Downloads. Для вывода звука опционально может использоваться PulseAudio. В настоящее время поддерживается только сборка из исходных текстов для Linux, бинарные пакеты обещают сформировать на этой неделе. Поддерживается только установка на 64-разрядных системах.

Из временных ограничений, которые скоро будут устранены отмечаются: невозможность многоязычного ввода с использованием сервисов, подобных I-Bus, отсутствие поддержки подключаемого транспорта meek, неработоспособность службы уведомлений о наличии обновлений (обновления устанавливаются отдельной утилитой). Из ограничений, которые из соображений безопасности скорее всего останутся нереализованными, выделяются: транспорт FTE, ускорение 3D-графики (доступен программный рендеринг, но аппаратный запрещён из-за достаточно опасных обращений к драйверам), вывод на принтер (поддерживается печать в файл), использование Tor Browser для обращений к чему-либо, кроме сети Tor.

Источник: http://www.opennet.ru/opennews/art.shtml?num=45667