21.03 // Лёгкость блокирования Tor-соединений вызывает беспокойство пользователей
Наряду с различными СМИ и сетевыми изданиями, британское агентство The Telegraph опубликовало статью "Иран взломал технологию вэб-диссидентов". В ней (и аналогичных статьях) рассказывается о том, что иранские власти смогли вычислить всех пользователей сети Tor в своей стране, а позднее и полностью заблокировать их соединения с сетью.
Разработчики Tor ранее предполагали проблемы такого рода, но старались не устраивать "гонку вооружений" с цензорами, возможно понимая её второстепенность и тупиковость. Tor позиционировался в первую очередь как средство анонимности, и лишь во-вторую (и в слабой степени) — как средство защиты от цензуры.
Для этого были разработаны соединения через так называемые "бридж-узлы", специально предназначенные для маскировки трафика под SSL-соединение и обхода цензуры. Предполагалось, что блокирование SSL-трафика от непубличных узлов будет трудной задачей для противника:
- Собрать список всех узлов сложно (он раздаётся пользователям по запросам или через персональные контакты-знакомства)
- Блокировать все SSL-соединения без разбора невозможно (нарушение работы многих сервисов интернета)
- Проводить анализ трафика на различение от стандартного SSL-соединения накладно (потребует глубокой инспекции пакетов).
В последнем пункте разработчики ошиблись или умолчали о слабости своих предпосылок. Когда появились сведения из Ирана, было высказано предположение, что там действительно используется какая-то сложная технология. Но такие технологии сложными можно назвать с натяжкой даже для полноценной имитации SSL-соединений.
Для старых версий Tor (до 2008 года) все попытки соединения с сетью Tor можно было заблокировать и внести в лог двумя строчками файрволла:
Эта возможность частично исправлена и работы над улучшением имитации правдоподобности SSL-соединения ведутся. Но реализовать её полностью вероятно не удасться никогда по принципиальным соображениям.
Можно выделить несколько отличительных признаков, по-которым иранское правительство могло блокировать соединения с бридж-узлами Tor:
- Все сертификаты самоподписанные.
- Они имели вид www.s4ku5skci.net (между www и net — набор случайных символов).
- Они не соответствовали никакому доменному имени — команда вида nslookup www.s4ku5skci.net будет выявлять отсутствие реального домена.
- Использовалось согласование параметров Диффи-Хеллмана, специфичное для Tor. В новой версии это исправлено для имитации соединения с сервером Apache.
Разработчики не скрывают таких вещей, хотя многое и не афишируют, но интересующиеся Tor-протоколом могут найти достаточно полные описания его слабостей в документах разработки. При их анализе становится ясно, что цель средств преодоления интернет-цензуры — сделать её массовое введение слишком накладным, но против прицельных и изощрённых атак все такие средства бессильны.
Однако, внезапно, такое лёгкое обнаружение и блокирование Tor-соединений вызвало подозрение пользователей: не касается ли это и главной цели проекта — анонимности и не является ли этом своеобразным бэкдором? Спекуляции на эту тему подогреваются историей создания проекта Tor военными ведомствами США.
Пол Сайверсон опубликовал по этому поводу в рассылке следующее:
Люди периодически поднимают эту тему. Я могу лишь подтвердить давно и широко известные факты. Можете интерпретировать их как хотите. Больше подробностей можете прочитать на http://www.onion-router.net/History.html, но краткое изложение такое:Я изобрёл луковичную маршрутизацию в исследовательской лаборатории ВМФ совместно с Дэвидом Голдшлагом и Майком Ридом в 1995-96 годах, как проект этой лаборатории с начальным получением финансирования от ONR (Исследовательский отдел ВМФ). Все из нас в то время были сотрудниками лаборатории ВМФ. Первая система была развёрнута в 1996 году и исходный код для этой системы был распространён годом позже (код был полностью работой американских служащих, нанятых правительственными организациями, но не объектом копирайта).
Как часть позднего проекта лаборатории ВМФ я создал версию луковичной маршрутизации, которая стала известна как Tor вместе с Роджером Динглдайном и Ником Мэтьюсоном в начале 2002. В то время я продолжал быть служащим лаборатории ВМФ. Роджер и Ник были работниками по контракту над моим проектом. Проект исследовательской лаборатории ВМФ, финансируемый офисом морских исследований и агентством перспективных оборонных исследований (DARPA) был под таким финансированием только до 2004 года. Первая публично развёрнутая Tor-сеть была в 2003 году, тогда же был открыт исходный код под лицензией MIT. Первичное финансирование работы Роджера и Ника над Тором было другой частью проекта (в отличие от NRL), когда финансирование начал осуществлять EFF.
Тор получает финансирование от множества источников помимо этого, включая различные проекты правительства США, как до, так и с момента US 501 ©(3), так и не от профессионалов. Подробнее можно посмотреть на: https://torproject.org/about/sponsors.html.en
Источник: https://www.torpoject.org
Если контролируется содержимое рабочих станций, тогда до директорий и бриджей дело даже не дойдёт. Работники просто не смогут использовать не разрешенные бинарники тор, впнов, и прочих безобразий. Так стоило ли сооружать супер-дупер файрволл.
забыли выборы в белоруссии? любой https блокировался полностью, не работали gmail итп
Вот например
http://webground.su/topic/2010/12/19/t295
Вывод (ИМХО): видимо блокировали, но незначительно или неграмотно. Блокировка вызвана, возможно, паникой правительства.
Если кто знает больше поделитесь, плз.
комментариев: 9796 документов: 488 редакций: 5664
Новость по поводу Ирана послужила лишь поводом для бурления в рассылке и никакого серьёзного смысла не имеет. Зато в рассылке Tor много лулзов и конспирологического троллинга разработчиков.
Вероятно, сам изобретатель протокола (один из трёх), тот самый Майкл Рид дал интересный ответ. В духе того, что изначально "Onion Routing" (но ещё не Tor, а неполноценный протокол-предшественник) не разрабатывался ни ради там каких-то "диссидентов в репрессивных режимах", ни ради сетевой свободы от копирайта, ни ради обхода фильтров, ни ради того, чтобы уравнять в предоставляемой анонимности порядочных граждан вместе с возможными преступниками. Это всё побочные эффекты, как негативные, так и позитивные. Основная задача была создать сеть для министерства обороны США для сбора открытых разведданных, прикрытия ресурсов внутренней связи и пр. И какой-то части властей это и сейчас возможно нужнее "слежки за сетью" и т.д.
Ну и был чисто теоретический аспект начальных исследований — возможно ли вообще создать сеть поверх интернета, в которой двусторонние коммуникации соединяющихся сторон неотслеживаемы.
Помимо конспирологической части нашего варианта Tor-FAQ, можно будет отсылать особо интересующихся и к этой дискуссии с ответами создателей и разработчиков Onion Routing и Tor на вполне заковыристые и провокационные вопросы, которые им задавали.
dannenberg.ccc.de [193.23.244.244]
tor.dizum.com [194.109.206.212]
ipx61061.ipxserver.de [212.112.245.170]
ides.fscked.org [216.224.124.114]
ehlo.4711.se [213.115.239.118]
moria.csail.mit.edu [128.31.0.34]
test-203.cypherpunks.to [82.94.251.203]
tor.noreply.org [86.59.21.38]
rgnx.net [208.83.223.34]
или надо еще закрыть порты 53, 8118, 9040, 9050, 9051?
комментариев: 9796 документов: 488 редакций: 5664
недостаточно
бесполезно
Ваш список отрежет только новичков в этом спортивном состязании. Подойдите творчески, ибо угодать наперед где ещё нарисуется очередной узел через который просочится сотрудник — невозможно.
Total Number of 'Guard' Routers: 806
1) Заблокировать то, что очевидно. Т.е. ip неугодных серверов, порты ненужных служб, и.т.д.
2) Все компы предприятия должны входить в домен, и без входа в домен интернет недоступен.
3) Установить на компы средства мониторинга действий пользователя с централизованным анализом логов.
4) Ввести приказом гендиректора запрет на всё неугодное и ознакомить сотрудников под расписку.
Это минимальный комплекс мер. Блокировка по пункту 1 служит для предотвращения случайного доступа куда не следует, тогда обнаружение запрещенных действий в логах будет означать злонамеренные действия сотрудника. После чего следует предупреждение, лишение премии, увольнение, судебное преследование, и.т.д., в зависимости от тяжести проступка.
Если против вас ожидается серьезный промышленный шпионаж, то этих мер недостаточно, вам нужна собственная служба безопасности, которая разработает и внедрит комплекс мер соответствующих вашему случаю.
комментариев: 9796 документов: 488 редакций: 5664
Этих тоже недостаточно, даже не считая бриджей. А бриджи вы не увидите ни в каком актуальном списке.
комментариев: 9796 документов: 488 редакций: 5664
Т.е. всё-таки вопрос исходит от корпуса стражей иранской революции, а не из
быдлоконторымелкой фирмы? :-)