wiki/src/news/spoof-mac.mdwn

   1 [[!meta title="Call for testing: MAC address spoofing"]]
   2
   3 [[!meta date="2013-12-29 12:00:00"]]
   4
   5 You can help Tails! The
   6 [[MAC address spoofing|contribute/design/MAC_address]] feature is
   7 ready for testing. This feature prevents geographical tracking of your
   8 network devices (and by extension, you) by randomising their
   9 [[!wikipedia MAC addresses]].
  10
  11 If you have security auditing skills you are more than welcome to
  12 review our [[design|contribute/design/MAC_address]] and
  13 [[implementation|contribute/design/MAC_address#implementation]].
  14
  15 [[!toc levels=2]]
  16
  17 # Background
  18
  19 Every network device (wired, Wi-Fi/wireless, 3G/mobile) has a
  20 [[!wikipedia MAC address]], which is a unique identifier used to
  21 address them on the local network. Broadcasting a unique identifier in
  22 this manner introduce a couple of potential privacy issues for Tails
  23 users. Geographical location tracking is the main one: observing a MAC
  24 address at a particular location and time ties the corresponding
  25 device to the same location and time. If the real identity of the
  26 device's owner is known, their movements can be determined. To prevent
  27 this one can temporarily change the MAC address to something random at
  28 each boot, which is referred to as "MAC address spoofing".
  29
  30 # How to download the test image
  31
  32 Download the latest test ISO from
  33 [build_Tails_ISO_devel](http://nightly.tails.boum.org/build_Tails_ISO_devel/). **Keep
  34 in mind that this is a test image.** Do not use it for anything else
  35 than testing this feature.
  36
  37 To verify the download, use the `.shasum` file. It is signed with
  38 OpenPGP key
  39 [0xD83A438B2F916605](http://keys.indymedia.org/pks/lookup?op=get&fingerprint=on&search=0xD83A438B2F916605).
  40
  41 # How to use MAC spoofing in Tails
  42
  43 MAC spoofing is enabled by default in this test ISO. You can change
  44 this with a
  45 [[startup option|doc/first_steps/startup_options#greeter]]. The
  46 (preliminary) MAC spoofing documentation tries to explain situations
  47 where it actually may be a bad idea to keep this option
  48 enabled. However, as this is just a test version we of course urge you
  49 to not use it for anything serious, and if possible, to test both to
  50 enable and disable the option.
  51
  52 # What to test
  53
  54 For any MAC spoofing-related issues you experience using this test
  55 ISO, please include the output from the following commands when
  56 reporting it to us (note: it requires setting an
  57 [[doc/first_steps/startup_options/administration_password]]):
  58
  59     sudo grep spoof-mac /var/log/syslog
  60     sudo grep unblock-network /var/log/syslog
  61
  62 In particular, we would like you to pay extra attention to the
  63 following things:
  64
  65 ## Verify that the MAC spoofing setting is enforced
  66
  67 Please verify that the MAC spoofing setting you select actually is
  68 enforced by issuing the following commands:
  69
  70     . /usr/local/lib/tails-shell-library/hardware.sh
  71     for i in $(get_all_ethernet_nics); do
  72       echo "Interface $i"
  73       macchanger $i
  74     done
  75
  76 For each network device you'll get an entry looking something like
  77 this:
  78
  79     Interface eth0
  80     Permanent MAC: 12:34:56:78:90:ab (unknown)
  81     Current   MAC: 12:34:56:f4:fb:22 (unknown)
  82
  83 The "Permanent MAC" is the network device's "real", unique MAC
  84 address; the "Current MAC" is whatever it is set to at the moment,
  85 spoofed or not. In other words:
  86
  87 * if they are *different*, then MAC spoofing is *enabled*;
  88
  89 * if they are *the* *same*, then MAC spoofing is *disabled*.
  90
  91 Please report if you ever get unexpected results.
  92
  93 ## MAC address whitelisting problems
  94
  95 Some wireless networks are configured to only allow connections for
  96 devices with certain MAC addresses, called MAC address
  97 whitelisting. MAC address spoofing will cause issues on networks like
  98 these. Therefore Tails has a crude mechanism for detecting this, and
  99 will show an informative notification about what to do about it.
 100
 101 If you have access to a wireless network that employs MAC address
 102 whitelisting, then connect to it with MAC spoofing enabled and verify
 103 that Tails shows a notification with the headline: "Network connection
 104 blocked?".
 105
 106 Note: Tails detection mechanism for MAC address whitelisting only
 107 works for wireless (Wi-Fi) networks.
 108
 109 ## Network problems
 110
 111 Please report all network device and connection issues, e.g. if any of
 112 your network devices do not get detected by Tails at all, if the
 113 network connection fails, or if the network connection succeeds but
 114 actually does not work. Also check whether you experience the same
 115 issues using Tails 0.22.
 116
 117 # Known issues
 118
 119 ## No fail-safe for hotplugged devices after logging in
 120
 121 In order to prevent the real MAC address from leaking when MAC
 122 spoofing fails for some network device, Tails has a fail-safe that
 123 simply disables the device. At the moment this only works for network
 124 devices present before logging in with Tails Greeter; the fail-safe
 125 does *not* work for e.g. Wi-Fi USB dongles hotplugged *after* that.