id: Гость   вход   регистрация
текущее время 09:46 29/03/2024
Автор темы: poptalk, тема открыта 17/08/2008 18:13 Печать
Категории: анонимность, инфобезопасность, сеть доверия
http://www.pgpru.com/Форум/АнонимностьВИнтернет/вопросыновичкапоорганизацииTor
создать
просмотр
ссылки

Дело в том, что в материалах, которые мне посчастливилось обнаружить, обсуждается техническое устройство. Обсуждение организации можно встретить на форумах (в частности, на вашем), но и там требуется некоторый объём начальных знаний, чтобы понять смысл обсуждаемого. Конечно, я человек догадливый и сам могу догадаться, но хотелось бы знать точно. Вопросы:

  • анонимность обеспечивается таким образом, что клиенты используют чужие IP-адреса (чужие имена)?
  • требуется ли от каждого клиента, чтобы он представлял свой IP-адрес другим клиентам, то есть был exit-node? (догадываюсь, что нет)
  • если клиент не является exit-node, считается это личерством, как в file-sharing сетях? (то есть клиент использует ресурсы сети, но сам ресурсов не предоставляет, за что все неличеры его дружно ненавидят)
  • может ли стать exit-node любой клиент, или это привилегия?
  • если я exit-node, как мне защититься от противозаконных действий, выполняемых другими клиентами под моим именем?
  • могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?

Спасибо за внимание.


 
На страницу: 1, 2 След.
Комментарии
— Гость (17/08/2008 20:29)   <#>
анонимность обеспечивается таким образом, что клиенты используют чужие IP-адреса (чужие имена)?

Да.

требуется ли от каждого клиента, чтобы он представлял свой IP-адрес другим клиентам, то есть был exit-node?

Нет.

если клиент не является exit-node, считается это личерством, как в file-sharing сетях?

Нет.

может ли стать exit-node любой клиент, или это привилегия?

Может любой желающий.

если я exit-node, как мне защититься от противозаконных действий, выполняемых другими клиентами под моим именем?

Вы можете редактировать ExitPolicy своей ноды, запрещая соединения по потенциально опасным протоколам, но это не гарантирует вашей безопасности. Ставя exit-node вы рискуете пострадать по чужой вине.

могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?

Если бы такое было возможно, то это было бы нарушением анонимности. Вы не можете знать какой клиент устанавливает через вас соединение.
— poptalk (17/08/2008 20:35)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4

Нет, я имел в виду не первого клиента в цепочке, а предыдущего в цепочке.
— Гость (17/08/2008 20:35)   <#>
анонимность обеспечивается таким образом, что клиенты используют чужие IP-адреса (чужие имена)?

Не только, под этот уровень подойдёт и любой высоко анонимный прокси. Анонимность обеспечивается за счёт луковичности сети (эксит знает только что вы передаёте и какова была промежуточная тор-нода; промежуточная тор-нода знает только то, что она передаёт какой-то трафик от входной ноды на эксит ноду, а входная нода знает только вас и промежуточную ноду, но не знает что вы передаёте; длина цепочки = 3), таким образом, для раскрытия анонимности потребуется либо наткнуться на цепочку где все 3 ноды в сговоре (а выбираются они случайно самим клиентом), либо подпасть под так называемые атаки на корреляцию потоков трафика. Кроме того, некоторые механизмы в privoxy могут вырезать опасное содержимое страниц, а вещи типа TorButton ещё и обезличивать вас в среде тор-пользователей (скрывать какая у вас на самом деле ОС и браузер). Так что анонимность посредством стандартной тор-связки – вещь комплексная, там есть много факторов.

Кстати, я сам не знаю, может ли нода определить (если она рабоатет и как входная, и как промежуточная, и как эксит), является ли она входной нодой для трафика или промежуточной (допустим, она получает трафик с другой тор-ноды, но там есть трафик админа тор-ноды, и транслируемый – вопрос об их различении). Я ответил в предположении что может, а елси не может, то анонимность ещё выше в ряде случаев.

требуется ли от каждого клиента, чтобы он представлял свой IP-адрес другим клиентам, то есть был exit-node? (догадываюсь, что нет)

Ваш IP знает лишь входная нода, промежуточная и выходная – не знают. Просиходит что-то в роде "разделения секрета" между нодами, образующими цепочку. Кто-то ваш IP всё ранво знать должен, ибо таков TCP/IP.

если клиент не является exit-node, считается это личерством, как в file-sharing сетях? (то есть клиент использует ресурсы сети, но сам ресурсов не предоставляет, за что все неличеры его дружно ненавидят)

Нет, не является. Все прекрасно понимают, что не всем под силу быть экситами и отвечать за последствия. Если вы поднимите хотя бы промежуточную ноду у себя – это уже считается достаточно серьёзным вкладом в организацию тор-сети.

может ли стать exit-node любой клиент, или это привилегия?

Да, может любой. Правда, в руководствах не рекомендуется поднимать у себя ноду если ваша скорость соединения с инетом достаточно низка... ибо толку от такой ноды будет маловато. Будет просто лишний гемор – и вам, и юзерам, кто будет юзать вашу ноду. Я к тому, что это не для модемов :-D))

если я exit-node, как мне защититься от противозаконных действий, выполняемых другими клиентами под моим именем?

Никак. Конечно, вы можете забанить коннект к ряду сайтов от вас, как-то попытаться влиять на передаваемый трафик, но скорее любое вмешательство будет воспринято как ваша злонамеренность (некоторые экситы вставляют, допустим, веб-уязвимости в транслируемый трафик...). Единственное что рекомендуется делать официально – банить 25ый порт (кажется такое число :)), чтобы не потворствовать спамерам. В целом, что бы вы не предпринимали, риск того, что через вас будет совершено что-то противозаконное чрезвычайно велик. Экситы держат люди в странах с таким законодательством, где можно отстоять своё право в суде, что это не ваш трафик, а трафик транслируемый. В РФ, в меру моей юридической грамотности, всем будет пофиг – ваш или транслируемый, тем более что транслируемый сознательно. Сейчас готовятся законы в мире, запрещающие транслировать чужой трафик, а порой и вообще запрещающие анонимные сети, но вот пока ещё живём... неизвестно сколько это ещё продлится. Разработчики советуют поднимать у себя промежуточную ноду, чтобы не нести ответственность за подобные вещи (в этом случае риск что вам что либо предъявят будет минимальным). Если вы чуть посмелее – можно и входной нодой себя сделать, но эксит ... это уже слишком. Многие экситы принадлежат университетам, спецслужбам, специальным организациям ... где исследование анонимности не преследуется... не всем иметь эксит под силу, и не в каждом государстве.

могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?

Не можете. Вы можете ограничить круг нод, с которыми будете работать, но это не ограничит трафик, который передаётся через них на вас, и вы ничего не будете знать о клиентах, котоырые будут пользоваться вашей нодой (иначе какая бы это была анонимность?). Если вы входная нода – вы можете забанить какие-то подсети или кого-то персонально, чтобы он не смог использовать вашу ноду.. но если вы промежуточная нода или эксит (т.е. выходная) – вы уже не знаете чей этот трафик, и от кого изначально он идёт.

Все эти вопросы описаны в стандартном tor FAQ, и даже, кажется, переведены на русский..
— poptalk (17/08/2008 21:19)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4

Буду благодарен, если отошлют на конкретную страницу.

Вот этого нигде не встречал. :-)
То, что exit-node принадлежат «ответственным людям» и «специальным организациям», звучит очень подозрительно. ;-) Хотя захват только exit-node-ов не нарушает анонимности. Но разве быть промежуточным node не означает выполнять ту же трансляцию трафика, которой занимается exit-node? Допустим такой сценарий. Некто совершает противозаконные действия, спецслужба надавливает на exit-node, exit-node, как вы говорите, по закону может спихнуть ответственность. Разумеется, он обязан открыть логи, чтобы было на кого спихнуть. А в этих логах стою я, как node, стоящий сразу перед exit-node. И спихнёт он на меня. Разве exit-node и промежуточный node не подвергаются равной опасности?
Или вы подразумеваете, что при распутывании этой цепочки на одном этапе произойдёт сбой, например, node покончит жизнь самоубийством, и до меня расследование не дойдёт?

Та же поправка, я имел в виду предыдущего клиента в цепочке, а не первого клиента.

Ну, сейчас в городах домашние пользователи используют выделенки в несколько раз шире модема. Игры по интернет, видео это всё давно доступно для домашних пользователей. И чем дальше, тем широкополоснее. Так что это реально…

А как неспамеры почту отправляют?

И ещё вопрос: какие гарантии, что список node не подставной?
— unknown (18/08/2008 11:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Кстати, я сам не знаю, может ли нода определить (если она рабоатет и как входная, и как промежуточная, и как эксит), является ли она входной нодой для трафика или промежуточной (допустим, она получает трафик с другой тор-ноды, но там есть трафик админа тор-ноды, и транслируемый – вопрос об их различении). Я ответил в предположении что может, а елси не может, то анонимность ещё выше в ряде случаев.


соединения по списку сертификатов из сети Tor и временных пользовательских сертификатов раньше по крайней мере различались.


А как неспамеры почту отправляют?


Именно через tor? Через веб-интерфейс или через SSL-порты для SMTP (они часто тоже заблокированы или оставлены только для Гугла, т.к. у него антиспам на отправку). Но лучше использовать римэйлеры.


Некто совершает противозаконные действия, спецслужба надавливает на exit-node, exit-node, как вы говорите, по закону может спихнуть ответственность. Разумеется, он обязан открыть логи, чтобы было на кого спихнуть. А в этих логах стою я, как node, стоящий сразу перед exit-node. И спихнёт он на меня. Разве exit-node и промежуточный node не подвергаются равной опасности?


Случаи преследования владельцев экситов уже были, мидлманов пока ещё нет.


могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?


Если только запустить т.н. бридж – частный входной узел, неотображающийся в статистике, но от несения ответственности это никак не защитит.


И ещё вопрос: какие гарантии, что список node не подставной?


Список корневых узлов, раздающих статистику с подробным описанием всех узлов сети Tor, вшит в программу вместе с их сертификатами. Смена сертификатов – смена исходников и выход новой версии. Поэтому узлов, собирающих статистику мало.
Остальные узлы сети могут зеркалить эту статистику, а tor-клиент примет список (или его части) только если все подписи сопадают.

Между корневыми узлами, собирающими статистику, происходит голосование, в результате которого возникает консенсус, который и подписывается как текущий статус сети Tor с интервалом ~ 10 минут. Это предусмотрено для того, чтобы между корневыми серверами статистики не было сговора для создания ложных списков (формально они находятся в разных странах).

Даже если кто-то сможет склонить все эти узлы к выдаче ложных списков (или похитить их ключи), атака на подмену списка будет достаточно сложной и должна подстраиваться под конкретного пользователя.
— SATtva (18/08/2008 15:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если вы чуть посмелее – можно и входной нодой себя сделать... <...> Если вы входная нода – вы можете забанить какие-то подсети

Такого разделения не предусмотрено. Есть exit-узлы и есть middleman-узлы. При этом экзиты также являются middleman'ами (т.е. могут транслировать трафик и к другим узлам сети, а не только в интернет), а middleman'ы могут находиться как в середине, так и в начале цепочки.

Если под "входным" узлом Вы имели в виду guard-узел, то чтобы стать таковым нужно отвечать особым требованиям (которые контролируются самой сетью): быть высоко стабильным и иметь широкий канал.
— Гость (19/08/2008 01:12)   <#>
Буду благодарен, если отошлют на конкретную страницу.

Здесь находите ссылки в названии которых есть слово FAQ и вперёд. Правда, на агглицком....

Вот этого нигде не встречал. :-)

Ну вот хотя бы даже... SATtva(2005), unknown(2005), лыжи_асфальт(2007), я(2008), Гость(2007). Видимо, вы мало и редко читаете pgpru, либо пришли совсем недавно. Там были подробные, развёрнутые комментарии как от SATtva'ы так и от unknown'а, жалко что они до сих пор не в FAQ'е у нас :( Просто не могут люди по 100 раз повторять овтеты на одни и те же вопросы, так что чтобы быть в теме – нужно хотя бы ознакомиться с содержимым веток о tor'е уже имеющихся на pgpru, хотя бы бегло...

То, что exit-node принадлежат «ответственным людям» и «специальным организациям», звучит очень подозрительно. ;-)

Вот как раз по ссылкам выше есть ответ на этот стандартный вопрос.

Но разве быть промежуточным node не означает выполнять ту же трансляцию трафика, которой занимается exit-node?

Знания эксита и промежуточной ноды о трафике совершенно разные, прочитайте внимательно о том что я написал выше в предыдущем посте.

Допустим такой сценарий. Некто совершает противозаконные действия, спецслужба надавливает на exit-node, exit-node, как вы говорите, по закону может спихнуть ответственность. Разумеется, он обязан открыть логи, чтобы было на кого спихнуть. А в этих логах стою я, как node, стоящий сразу перед exit-node. И спихнёт он на меня. Разве exit-node и промежуточный node не подвергаются равной опасности?

Во-первых, по умолчанию, сервера тор не ведут логов. Даже если они ведут логи, они всё равно не столь подробные, чтобы показать на кого спихнуть в каждом конкретном случае, и предъявить зашифрованный трафик. Проще говоря, для этого нужно писать вообще весь передаваемый трафик. Иначе зная вас не найти миддлман (промежуточная нода) для любого наперёд заданного пакета. Итак, чтобы целенаправленно следить нужно писать свой клиент тора под известный протокол, либо нагородить большую кучу настроек.

Ну, сейчас в городах домашние пользователи используют выделенки в несколько раз шире модема. Игры по интернет, видео это всё давно доступно для домашних пользователей. И чем дальше, тем широкополоснее. Так что это реально…

В целом, да, но эксит-ноду лично я бы вам поднимать не советовал :-)

И ещё вопрос: какие гарантии, что список node не подставной?

+ к тому, что уже ответили: проверяйте хэш скачанного дистрибутива тора, попытайтесь загрузить сам хэш через разные прокси, попросите друзей/знакомых.. Чтобы иметь гарантии того, что файл с хэшем вам не подменили в процессе загрузки.

PS: читайте архивные топики по тору, хотя бы по одноу в день – это снимет массу вопросов, в т.ч. тех, которые у вас всё равно возникнут в будущем + думайте сами.

PPS: "интернеты", вы знаете, тоже от военных служб пошли... это в тему про спецслужб :) Tor здесь явно не одинок.
— Гость (19/08/2008 01:15)   <#>
Такого разделения не предусмотрено. Есть exit-узлы и есть middleman-узлы. При этом экзиты также являются middleman'ами (т.е. могут транслировать трафик и к другим узлам сети, а не только в интернет), а middleman'ы могут находиться как в середине, так и в начале цепочки.

Я имел в виду, что тор-нода может закрыть с помощью самого обычного файерволла трафик от не тор-нод, исходящий из определённых сегментов сети. Например, я могу транслировать трафик всех тор-нод кто ко мне обращается, но не принимать входящий трафик обычных пользователей (не операторов узлов тора) с Эмиратов.
— poptalk (24/08/2008 08:18)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4

Вот про это хотелось бы и подробнее, как я понимаю, это и есть критичное звено.

Конечно, самый надёжный список это список, полученный от знакомых, но тогда знакомые должны добавлять в список себя и своих знакомых, а для этого грубо говоря каждый второй должен быть middleman или exit-node, а не просто личер. Поскольку такого нет и не предвидится, список это слабое звено.

То есть я должен доверять узлам, «собирающим статистику». А можно ли узнать, что за узлы, кому принадлежат?

А где происходит голосование? Вот я опросил разные узлы и собрал много подписанных файлов со списками узлов… И где здесь голосование? О чём собственно они голосуют? Или файл всё-таки один, но подписан всеми узлами, «собирающими статистику»?

***

Я тоже имел в виду именно это, но с добавлением, что по вроде node имеют сертификаты, можно ведь фильтровать и по сертификату.

И в свете вышесказанного: так спихивает exit-node ответственность или нет? Кто-то ведь будет обвинён в конечном счёте. Теперь вроде меня пытаются убедить, что спихнуть ответственность невозможно. Значит, exit-node берёт на себя? Каков обычный итог преследования exit-node?

Замечание анониму (сколько бы вас ни было): если мои вопросы вам кажутся повторяющимися или бессмысленными, просто не отвечайте. Указанные вами посты (с моей точки зрения) отвечают на другие вопросы. Повторюсь, обсуждения рассчитаны на тех, кто в теме. В Legal FAQ ничего полезного, типо «позвоните своему адвокату», «вы имеете право хранить молчание». :-) Про преследование exit-node я читал одну тему на pgpru.com, так и не понятно, что это было и чем закончилось.
— SATtva (24/08/2008 11:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Каков обычный итог преследования exit-node?

Изъятое оборудование и штраф в несколько сот евро. Так было в Германии.
— unknown (25/08/2008 09:38, исправлен 25/08/2008 10:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По поводу преследований экситов, были несколько единичных случаев и в Америке. Если верить владельцам экситов, отписавшихся в рассылке и блогах – утренний обыск с конфискацией, вызов в полицейский участок. Предъявление обвинений по разным статьям (хакерство, распространение ДП, ни одного доказано не было), все компьютеры вернули, но операторы распродали всё изымавшееся оборудование и не стали больше запускать exit-узлы.



Вот про это хотелось бы и подробнее, как я понимаю, это и есть критичное звено.

...

То есть я должен доверять узлам, «собирающим статистику». А можно ли узнать, что за узлы, кому принадлежат?


вот наша доморощенная попытка исследования этой темы

Только для того случая, если будете задавать вопросы, то задавайте их в той теме и, если есть ну ооочень много времени и какой-то особый интерес, осильте прочитать всю тему.

Она огромна, абсолютно не расчитана "на новичка", как вы сами себя обозначили по отношению к этой теме, мы сто раз меняли своё мнение пока обсуждали иногда на прямо противоположное, путались неоднократно, вступали в переписку с разработчиками.

То утверждали, что легко статистику подменить, то думали, что это практически невозможно. Все возможные варианты там представлены, если никаких принципиально новых данных по этой теме не будет, то больше обсуждать нечего.

Помена в принципе возможна. В протоколе Tor стремяться сделать максимум, чтобы от этого защититься. Но из всех атак эта самая экзотическая (есть более простые способы противодействия анонимности в быстрых сетях) и разработчики не стали её включать в список рассматриваемых угроз.
— poptalk (01/09/2008 17:10)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4

Ну посмотрел тему... Атака действительно выглядит экзотически так, как вы её сформулировали: этот самый Роджер честный, больше половины DA честные, а спецслужба окучивает всего одного человека. Менее экзотично выглядит купить этого самого Роджера и положить всю сеть себе в карман. :-) То количество DA, которое там называлось, семь, выглядит просто смешно.

Что такое "атака разделения", о которой в теме упоминалось? Мне кажется, она имеет отношение.

А пока сеть выглядит так, что за мной будут следить не все кому не лень, а только определённая "группа товарищей". Ну что ж, хоть какой-то выбор есть. :-)
— unknown (02/09/2008 09:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Менее экзотично выглядит купить этого самого Роджера и положить всю сеть себе в карман

конечно, можно просто коррумпировать проект, но
тогда любой узел, независимо подключившийся к сети может заметить, что его ключи подменяют. Да и если контролировать "всю сеть" путём раздачи левой статистики направо и налево, то особо дотошные пользователи это заметят. И риск утечки информации при массовом подкупе выше. И падение репутации проекта в случае кем-то доказанных подозрений.

А в "экзотической атаке" против очень ограниченного числа разрозненных пользователей и проект, и Роджер выходят сухими из воды и при любом раскладе и ничего в своей репутации не теряют.

Ну если эти пользователи не заморачиваются аудитом сети, изучением статистики и другими способами, которые мы пытались предложить.

Под "Атакой разделения" тогда речь шла о том, что разные группы пользователей могут строить цепочки с разной вероятностью (например из-за того, что получают файлы статистики с разными данными или от разного времени), или избегают использования каких-либо узлов.
— Гость (02/09/2008 20:43)   <#>
А где происходит голосование? Вот я опросил разные узлы и собрал много подписанных файлов со списками узлов… И где здесь голосование? О чём собственно они голосуют? Или файл всё-таки один, но подписан всеми узлами, «собирающими статистику»?

Я смутно представляю протокол общения нод с DA, но в меру моего понимания, вы не можете собирать статистику (сами стать DA для самого себя). Как минимум, это потребует хака тор-клиента (писать свой код, т.е. не делается стандартными средствами), а скорее всего – просто не получится при существующем протоколе. Список DA и их временных ключей жёстко вшит в сам исходник/исполнимый_файл тора, т.е. статистику вы можете получать только от DA. Разные DA между собой голосуют, и вы уже скачиваете файл статистики после голосования, под этим файлом есть подписи всех DA. Ранее протокол был другим, и ставить вопрос о сравнении статистики было можно, а сейчас, начиная с версии 2.x – уже нет. За подробностями отсылаю к тому же топику куда и unknown вас уже послал :)

И в свете вышесказанного: так спихивает exit-node ответственность или нет? Кто-то ведь будет обвинён в конечном счёте. Теперь вроде меня пытаются убедить, что спихнуть ответственность невозможно. Значит, exit-node берёт на себя? Каков обычный итог преследования exit-node?

Вам нужен ответ "согласно действующему законодательству" или "чем вам это грозит?" (как SATtva выражался на вопрос по поводу рейда с обыском :-) ). В законодательстве ничего напрямую не оговорено на сей счёт, и почти точно ответственность возьмёте на себя, что касается российских реалий. Хотите брать – берите :-)
— poptalk (03/09/2008 10:10)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
unknown, давайте наверное перейдём в ту тему...
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3