А может ли быть Tor приманкой?
Очень сказочно всё выглядит — сеть узлов совершенно бесплатно пропускает через себя совершенно ненужный им траффик. Кроме того, насколько я понимаю большинство узлов — это университетсие центры, зачем им, подведомственным структурам подвергать себя опасности обвинений в поддержке мошенников и т.д.
Есть ли аргументы, говорящие о том, зачем все это вообще надо этим энтузиастам?
Даже если это не так и действительно все чисто: может ли быть так, что, допустим, Интерполу, все равно будут выданы логи каждого узла? Ведь их не так много вроде? И можно ли тогда будет восстановить всю цепочку?
комментариев: 11558 документов: 1036 редакций: 4118
На университетских площадках в действительности действует лишь около десяти процентов узлов плюс два сервера-директории. (IP каждого можете проверить сами по базе директорий и навести справки через whois.) Все прочие узлы функционируют либо в частном секторе, либо в коммерческих учреждениях, в любом случае являясь совершенно независимыми. Широкополосные каналы на Западе повсеместны и далеко не так дороги, как у нас; подавляющем большинстве они оплачиваются по "плоскому" тарифу, а не помегабайтно. К тому же каждый оператор Tor-узла имеет возможность задавать квоты и лимиты на проходящий трафик, дабы сеть не создавала излишнюю нагрузку на его канал и бюджет.
Изначально Tor — это научно-исследовательский проект и средство поддержки приватности, а не покрывательства мошенников. Так позиционируют своё детище сами разработчкики, подкрепляя это рядом действий по предотвращению использования сети для передачи музыкальных и видеофайлов с помощью KaZaa, BitTorrent и других пиринговых систем, а также по недопущению пересылки через сеть почтового спама. Пользователями сети являются гиганты IT-индустрии, которые также поддерживают образ сети Tor как средства для защиты информации и частной жизни, а не мошенников и вандалов. Более того, оператор каждого Tor-узла волен выбирать собственную политику участия в сети, выполняя функции как посредника (middleman node), только передающего трафик другому узлу, так и выходного узла (exit node), трафик из которого выходит в большую Сеть, при этом может самостоятельно выбирать, какие порты и сервисы оставлять открытыми для выхода. Это позволяет сохранять нейтралитет тем операторам, которые работают в странах с более жёсткой гос. политикой, и обеспечивать полную функциональность тем, кто находится в правовых и информационных оффшорах. Так первые не подвергаются опасности юридического приследования и могут участвовать в работе сети, увеличивая степень даваемой анонимности.
Что касается логов. Для начала ещё раз обрисую в общих чертах протокол работы сети. Сразу после старта клиентское приложение формирует цепочку передачи с тремя (по умолчанию, но это можно корректировать) произвольно выбранными узлами. При этом команда на открытие цепи последовательно шифруется ключами этих узлов, начиная с последнего. Таким образом, первый узел не знает, какой узел будет замыкать цепочку (и сколько до него ещё звеньев), а последний не знает, кто открывал канал, т.е. ему неизвестна личность клиента. Пакеты данных передаются по цепи в таких же "луковичных" слоях шифрования (отсюда и название сети и протокола TOR — The Onion Router), а сами цепочки регулярно перестраиваются, так что каждый узел сети в итоге пропускает очень незначительный объём данных от каждого клиента. Последнее, что стоит отметить, — это согласование эфимерных симметричных шифровальных ключей по схеме Диффи-Хеллмана. Такие ключи генерируются только для одного сеанса связи для каждого из узлов цепи, а после завершения связи уничтожаются, как на узле-сервере, так и на узле-клиенте. (Аналогично присходит и при передаче данных между сегментами цепи, где канал TLS также шифруется эфимерными ключами серверов.)
Теперь вернёмся к логам. Да, каждый оператор волен выбирать, протоколировать или нет обращения к нему других узлов сети. Он может даже записывать весь трафик, проходящий через его узел. Но что это даст компетентным органам или любой злоумышленной стороне? Ничего. Ни один узел, кроме выходного, не знает содержание передаваемой информации, поскольку она зашифрована ключами других узлов. Однако выходной узел не знает, от кого получает поток для передачи в большую Сеть и кому возвращает поток от интернет-серверов. Более того, из-за перестройки цепочек каждый выходной узел обрабатывает лишь небольшую часть сессии клиента и не получает полной картины его поведения. Такая же ситуация будет и с первым узлом цепочки: хотя он знает, что получает данные от клиента (однако, не всегда; см. ниже), он не имеет представления, каковО их содержание и кому они предназначены. Промежуточные узлы бесполезны по тем же причинам: они передают только небольшую часть данных в каждой сессии клиента, более того, вся передаваемая через них информация зашифрована эфимерными ключами других узлов или клиента.
Логи также не несут практической пользы. Даже если какой-то оператор (или группа операторов) станут протоколировать запросы других узлов, это позволит выявить лишь соседние узлы каждой цепи, но не позволит восстановить всю цепь: маловероятно, что все узлы цепочки будут вести логи, чтобы последовательно отследить обращения вплоть до клиента. И, опять же, из-за постоянной перестройки цепей это позволит восстановить лишь крайне незначительный фрагмент сессии клиента. Помимо этого, клиент с удовлетворительным каналом связи (даже ADSL) может запустить своё приложение в серверном режиме. В этом случае становится невозможным дифференцировать порождаемый непосредственно им трафик и трафик, проходящий через его узел и получаемый от других узлов сети. Так что даже если вдруг в сеансе работы клиента выстроится цепочка из узлов, операторы которых ведут логи обращений, и эти логи в конечном счёте укажут непосредственно на него, он всегда может заявить, что данная сессия была порождена не на его узле, а он лишь выполнял функции посредника.
Всё это, конечно, не касается глобального наблюдателя, способного отслеживать трафик всей большой Сети или основных её сегментов и магистральных каналов (как, например, Echelon). Такой наблюдатель, тем более, если он способен производить активные вмешательства в каналы передачи данных, задерживая трафик или перенаправляя его на другие узлы, может установить корреляции между входящим в Tor трафиком и покидающим его сеть на любом из узлов. Сеть Tor не защищена от подобных глобальных атак; авторы изначально (и совершенно оправданно) выводили такого оппонента за рамки своей модели угрозы. В действительности, ни одна анонимизирующая сеть с низким лагом не имеет защиты от этих атак.
комментариев: 9796 документов: 488 редакций: 5664
И скажу свое мнение:
Все может быть. Предшественник TORа – проект JAP содержал троян, внедренный немецкой полицией.
Но это был проект с закрытыми исходниками. В Open Source программах такого не встречается
(в отличии от сомнительных троянских функций последних версий Operы или Acrobat Readera).
Идеологически TOR больше похож на сеть ремейлеров – Cipherpunk->Mixmaster->Mixminion.
Ходили слухи, что до 10 % этой сети может контролироваться спецслужбами, но это не имеет
значения, так как работает сам протокол, а количество "честных" узлов всегда будет больше.
Сети крипторемэйлеров существуют уже более 10 лет и у них вполне хорошая репутация.
Разумеется в экстренных случаях с узлов могут попросить логи, но это малоэффективная процедура.
Зачем и кому все это нужно? А почему правительство США и спецслужбы помогали проведению конкурса AES?
Почему немецкое правительство помогает разрабатывать GnuPG? Почему АНБ разрабатывает подсистему
безопасности Linux и отдает свой код в сообщество?
Наверное, потому что отчасти понимают, но не хотят говорить, что в будущем вся информация все равно
будет неотслеживаемой и неподконтрольной, не будет в традиционном виде авторских прав и мир
вообще будет другим. Возможно и управление государством будет распределенным и децентрализованным.
У спецслужб тоже есть высокая потребность в анонимной передаче данных. Для этого используют
спутники, коротковолновую связь, но у этих методов свои ограничения.
Ради экспериментов анонимной передачи данных по сети был выкуплен
(и закрыт для свободного доступа) проект "Triangle Boy" – сеть прокси с центральным исходящим сервером.
Но чисто коммерческий проект оказался нежизнеспособен.
К тому же, как ни парадоксально, нужна
сеть доступная всем, а не такая, которая бы засвечивала работу определенного ведомства.
Были описаны случаи, когда данные на работников американских спецслужб похищались у обычных
провайдеров. И наверное им было не очень приятно, если кто-то может отследить к примеру
все их запросы к google, связанные с секретной работой.
Можно еще вспомнить, что Интернет появился как часть военного проекта по созданию компьютерной
сети, устойчивой к ядерному удару. Польза от открытости была выше, чем от сомнительных выгод
засекречивания, поэтому можно говорить, что теперь американцы за счет лидерства в этой сфере контролируют значительную часть Интернета (выделение доменных имен, магистральные каналы и т.д.).
Это конечно общие рассуждения, демагогия, но взвесьте сами, что для Вас лучше. Полностью
открытые логи у провайдера, которые связаны с Вашими данными и в которые может легко заглянуть
кто-угодно (может даже знакомый вашего соседа там работает админом).
Или сеть, созданная на основе лучших научных исследований в области криптографии и "computer science".
Ну а если Вы опасаетесь Интерпола или еще каких могучих организаций, то тогда наверное в сеть
вообще не стоит передавать никаких серьезных данных.
комментариев: 11558 документов: 1036 редакций: 4118
Попробую пояснить примером. Допустим, я создаю некий сайт, с каким то безобидным контентом, который первоначально не несет никаких признаков "плохого"... Ну допустим сайт в поддерку какой-то религии (пример абсолютно абстракный, не обращайте внимание на детали + никого не хотел задеть), делаю я все это, туннелируя траффик через Tor... Проходит какое-то время, сайт я забрасываю и совершенно не обновляю его. Потом меняется отношение и начинают тотально всех преследовать, которые эту религию пропагандировали. Так вот, допустим спустя пол-года Эшелон сможет поднять результаты своего мониторинга (это ведь какой гиганский архив то хранить надо!) или он будет засекать только тех, кто будет в настоящее время пропагандировать. Ситуация конечно очень сильно надуманная, но мне важно понять принцип. Я понимаю, что всего тут конечно никто, кроме разработчиков таких систем, не знает, но все-таки интересно услышать ваши соображения.
И второе. Разработчики Tor конечно же понимают, что только позиционировать их детище исключительно для доброй анонимности — этого недостаточно. Никогда еще призывов для мира не было достаточно для оного. Неужели, если анонимность действительно столь велика, они не понимают, что разрабатываемая ими сеть может использоваться кем угодно для чего угодно — для мошенничества, в целях терроризма и т.д.?
комментариев: 11558 документов: 1036 редакций: 4118
По большому счёту, Echelon — это только сито, пропускающее через себя бОльшую часть информации в электронных и волновых канал связи, и задерживающее ту информацию, которая отвечает определённым заранее заданным критериям. Вот уже этот материал для подготовки разведпродукта записывается, обрабатывается автоматикой системы, проходит первичный анализ, систематизацию и сопоставление, чтобы затем попасть в руки людей-аналитиков из АНБ, которые возьмутся за более предметную работу над ними.
Сколь громоздким и автоматизированным бы ни был Echelon, даже он работает выборочно и целенаправленно, а не создаёт досье на каждого пользователя интернета. Кроме того, высказывались мнения, что на обработку даже этого массива разведданных не хватает аналитиков, и существенная часть этой информации остаётся без внимания специалистов.
Если вернуться к Вашему примеру с приверженцами некой религии, то отследить их черед Tor можно только в том случае, если поисковые фильтры Echelon'а будут заданы непосредственно на момент их активности. Но, вероятно, даже такая работа не сможет быть проведена в полностью автоматическом режиме и потребует участия человека.
комментариев: 9796 документов: 488 редакций: 5664
Ну для этого должно быть заведено дело, расследование, операция или хотя бы проверка по поводу доноса.
Реже бывают программы по отслеживанию группы сайтов, но они не особо эффективны.
Маловероятно что-бы все технические мероприятия для этого были бы эффективны, когда ушло много времени (сайт уже заброшен).
Большинство даже экстремистских сайтов размещаются в сети достаточно открыто и без особой конспирации.
И никто с их потоком не справляется и за владельцами просто так, от нечего делать, не следит.
Это как с криптографией. Ну используют какие-нибудь экстремисты ssh для доступа к своему серверу или pgp для шифрования, так и любой админ крупного сервера его использует.
Это уже нельзя запретить, это распространено повсеместно, также как кухонный нож или молоток. Никого ведь не волнует, что ими можно человека убить.
В конце восьмидесятых, начале девяностых XX века, разработчиков несертифицированных спеслужбами криптографических программ еще может и преследовали, но сейчас то это совсем неактуально.
И навязывание ограничений и отмычек в криптопродукты будет вредить и обществу и экономике.
Ну и действует принцип – если с чем-то бесполезно бороться (криптография, анонимность), то лучше это возглавить.
Ведь сами по себе эти вещи предназначены лишь для защиты информации. Это таки же инструменты в цифровом мире, как нож или молоток в физическом. Ну не приравнивают криптографию к оружию уже лет десять, если не больше. И анонимные сети – это из той же области криптографических протоколов.
Ну и к тому же, экстремисты для особо важных случаев возможно предпочитают контакты через курьеров и шифрование одноразовым блокнотом, а мошенники и так найдут массу способов замести следы в сети – например цепочки из взломанных компьютеров.
P. S. Один из известных криптографов – Росс Андерсон (если не ошибаюсь именно он, у меня нет под рукой этой работы) изобрел криптопротокол для неотслеживаемой продажи "запрещенных вещей".
Называется "кокаиновый аукцион". И никто его за это не порицал. Все восхищаются. Серьезная научная работа. Очередное достижение в криптографии. Почитайте на досуге, если найдете ссылки.
Заводит, только туда мало что попадает. Я недавно слушал публичную лекцию в RMC (Royal Military College of Canada — единственный военный ВУЗ в стране), где офицер (ранга не помню) из Electronic Warfare Division обьяснинл, что главная задача Echelon не копаться в трафике, а его анализ. Прежде всего, это значит составление наиблолее полного списка того, что кто с кем и как часто связывается. Для этого так много памяти не надо, и столько у них с избытком имеется.
Существует алгоритм (разработанный, кстати, в России для эпидемологических приложений — для борьбы со СПИД-ом, в первую очередь), определяющий в больших графах тн. центральные вершины, то есть те, через которые проходят короткие пути. Этот алгоритм регулярно выявляет "центры" коммуникации (начальников, важных брокеров информации, и т. д.), а те уже, при необходимости прослушиваются, хотя чаще проводится просто более тщательный анализ трафика, без особого внимания на его содержание.
SATtva, кстати, фигура достаточно центральная, я проверял. :-)
комментариев: 11558 документов: 1036 редакций: 4118
Чаще сами свои досье пишем... на собственных домашних страничках. :)
У Вас MSD меньше, так что мне внимание со стороны разведки, думаю, пока не грозит. ;)
комментариев: 9796 документов: 488 редакций: 5664
Тогда против него работает децентрализация, вбрасывание покрывающего (cover) траффика, перемешивание (mixmastering)...
Плюс у многих коммерческих фирм очень большой оборот траффика (в т.ч.) шифрованного – VPN, платежи.
Ну и еще в Инете много всякой ерунды типа вэб-камер, online-игр, которые тоже могут прикрывать чей-то траффик.
Кстати в работе Лисянской (см. новости про CRYPTO2005) была попытка построить новый протокол для анонимных сетей (с модной сейчас концепцией provable security), где упоминается, что tor-подобные сети обладают плохо обоснованной безопасностью.
В приципе tor действительно может быть чисто исследовательской игрушкой, несовершенной против очень продвинутого противника. Но это пока лучшее из всего что есть.
Да уж ......
Ну вы ДЯДИ и даёте я вам скажу, если я треть понял из написанного это будет хорошо но я сомневаюсь.
PS
Да ... почитал так почитал
Как машину с кирпичем разгрузил.
комментариев: 9796 документов: 488 редакций: 5664
Сегодня на треть, завтра наполовину. Мы поднимает уровень нашей аудитории на недосягаемую высоту.
Но нам и самим все тяжелее это осмысливать. Наверное в последнее время немного перестарались. Может стоить сбавить обороты. Но мы не сдаемся. И подаем пример всем остальным. Вот! Уфф!
Понятно конечно не все из ваших разговоров)) Но так и должно быть))
Вообще респект
комментариев: 9796 документов: 488 редакций: 5664
Как будто нам было понятно все за один день! Но по уже кем-то проTORенной дороге идти легче. Вместе разберемся и освоим новые возможности.
Стараемся. Чем больше будет сообщество пользователей хороших криптографических продуктов и open source, тем лучше будет для всех, для всего общества в целом.