Надежность TOR

Logs, sometimes as big as 2 Gigabyte, were created over a lengthy period of time.

Слабенько как-то, писавшие видимо хотели удивить цифрой, но промахнулись.

The information above is anonymously shared. When you get this, please spread it. The source is unknown and all parties involved will deny the information. This is done to prevent Tor developers to take action against this threat. Spread the word! Spread this report!

Интригию. Скандалы. Расследования. Новости в 11, в программе Время, не пропустите.

They logged sniffed traffic from a large number of exit nodes by gaining access to the web servers from the involved internet service providers.

Какой-то бред. Либо уж веб-сервера, куда идёт саспект, либо exit-ноды, которые не веб-сервера.

Слабенько как-то, писавшие видимо хотели удивить цифрой, но промахнулись.

2 гига информативных логов — это не мало. Это же не 2 гига сырого подампленного трафика. Впрочем, детали не приводятся.

In it's conclusion, the study reports that the entire Tor project should be terminated.

Слабо верится.

to answer questions from my PM box: The documents have been send to Wikileaks. To protect the source, myself and others, it is not possible to enclose the source here at this board at this time.

Подождём пока wikileaks подоспеет, если то правда :)

А так, в целом, унылая копипаста унылого говнотреда, с унылыми, набивщими уже оскомину аргументами, которые перетираются уже лет 10 и одно да потому. Сам тред-то откуда? С очередной педоборды, судя по коментам? И нахрена это сюда тащить?

2 гига информативных логов — это не мало.

Мало всё равно, для их способа нужно фиксировать факт каждого пакета. Впрочем вилами по воде тут всё абсолютно писано, можно представить так что файлов с логами было много, а по 2 гига это отдельные рекордсмены (может там просто фс не позволяла писать больше :)

И нахрена это сюда тащить?

Надо оценивать непосредственно содержимое, а не место его находки. Близкий пример, самая первая новость про оперу с обходом прокси для "локальных" адресов. Изначально сообщение появилось примерно в таком же месте как источник этой копипасты, а уже чуть позже был скопирован на популярный онион форум где и был замечен местными. Это было конечно не так явно, но легко обнаруживалось при выяснении оригинального источника.

Мало всё равно, для их способа нужно фиксировать факт каждого пакета.

Насчёт "каждого", это может быть преувеличением, ИМХО.

уже чуть позже был скопирован на популярный онион форум где и был замечен местными

Да, только, если уж рассказывать до конца, то перед тем, как закопипастить на pgpru.com, валидность содержимого была независимо проверена. Вы уже нашли пресловутый отчёт и независимо проверили? :)

Прикинем на пальцах. Допустим провайдер каждую секунду пишет в лог сколоко байт трафика отправлено/получено абонентом (итого 64 бит). Это будет 8*3600*24=675кб логов в сутки. Пусть у провайдера 10000 абонентов и логи надо хранить два года. Это будет 4699гб логов. 5 винтов по терабайту. Еще 5 добавим для зеркалирования. Смешные ресурсы.
А такие логи дают нам возможность вычислять качальщиков запрещенного видео. Для этого подставной сайт должен модулировать скорость отдачи контента создавая сигнатуры, которые можно будет найти в логах.

Ага, а теперь прикиньте сколько в мире провайдеров, и от каждого надо получить терабайты, собрать в одном месте для анализа, то же касается и числа подставных сайтов. Оценив ресурсы, подумайте каков будет "улов", и стоит ли он того.

И сферическую математику в вакууме тоже стоит пересчитать. Причем начать с начала. Ибо провайдеру после таких логов, для ответов на вопросы кто? и когда? придётся усложнять софт для парсинга библиотекой libastral.so, что сильно увеличит затрачиваемые ресурсы.

Сам тред-то откуда? С очередной педоборды, судя по коментам?

скорее по знакомым никам!
Ладно Вам, не скромничайте, "судья". У самого то поди, рыльце тоже в пушку? :)
и на "сранчах", люди трутся(кстати весьма не глупые). Чтож поделать если 85% Torкнутых – это "наш брат" :)

[offtop]

скорее по знакомым никам!

Не стоит по себе о других судить.

кстати весьма не глупые

Сам факт пользования onion'ом уже выделяет из массы, но не более того.

То, что, возможно, стоило бы обсуждения, укладывается в пару абзацев. Не вижу смысла собирать весь тред с этими глупыми ответами для предоставления широкой публике (видно, что люди писали весьма глупые). Случись что, вы бы, наверное, с ЛОРа тоже все коменты к новостям про анонимность копировали.
[/offtop]

Ага, а теперь прикиньте сколько в мире провайдеров, и от каждого надо получить терабайты, собрать в одном месте для анализа, то же касается и числа подставных сайтов. Оценив ресурсы, подумайте каков будет "улов", и стоит ли он того.

Зачем собирать в одном месте? Поставим у каждого провайдера сервачек с десятком винтов, пусть он занимается и сбором и анализом логов. Оплатить оборудование и его эксплуатацию заставим самих провайдеров, еще и себе в карман денежку положим. Вы не вкурсе что наш СОРМ оплачивается не гебнёй, а провайдерами? Прикрутить к нему такой функционал плевое дело, если его там еще нет.

Зачем собирать в одном месте?

собрать в одном месте для анализа

собрать в одном месте для анализа

Балда, ты распределенный анализ не представляешь?

Балда, ты распределенный анализ не представляешь?

Форумом не ошиблись?

Всё равно надо иметь точку доступа ко всем этим данным из одного места, причём высокоскоростной доступ. Насколько мне известно, каналы связи оборудования СОРМ с ПУ не обладают пропускной способностью, позволяющей одновременно писать трафик большого числа пользователей. Так или иначе, всё это сродни попыткам создать глобального наблюдателя (что довольно-таки не просто), да ещё и в интернациональном маштабе.

Если бы у меня была задача деанонимизировать Tor на уровне протокола, я бы шёл попорядку по следующей схеме:

1. Модельная сеть из десятка компьютеров. Исследуются атаки, оттчаиваются, подмечаются основные закономерности. Попытка досконально понять как работает сеть на такой свехупрощённой модели.
2. Когда 1 понятно, переходим к модельной сети из десятков компьютеров. Задача сразу усложняется, цели — те же. Смотим как меняется эффективность атак из-за увеличения числа нод, какие атаки становятся теперь малоприменимыми, а какие не теряют своей эффективности (теоретически и новые могут появиться).
3. Когда всё более-менее понятно с 2, переходим к модельной сети из сотен нод. Делаем всё то же, что в 2, т.е. сраниваем как поменялись свойства сети при увеличении её на порядок.
4. Когда с 3 всё стало понятно, и мы научились более-менее успешно ловить модельных пользователей в модельной сети на сотни компьютеров, идём к реальным провайдерам, ставим у них свой софт и оборудование, и только теперь начинаем ловить.

Я не видел много работ по пунктам 1-3, т.е., имхо, ни один из шагов 1,2,3 полностью не завершён. Всё остальное — это, по большей части, смешные попытки решить проблему одним махом, не понимая что происходит внутри вообще.

Форумом не ошиблись?

Не ошибся. Просто меня бесит, когда кто-то не понимает столь очевидных вещей. Объясняю для тех кто в танке: нужно слить сигнатуры интересующих нас потоков трафика на все СОРМ сервера. Это смешной трафик. Каждый сервер самостоятельно просеивает свои базы и сливает в центр только отчеты о совпадениях.

Насколько мне известно, каналы связи оборудования СОРМ с ПУ не обладают пропускной способностью, позволяющей одновременно писать трафик большого числа пользователей.

Вы читать умеете? Из моего первого поста должно быть понятно, что оборудованию СОРМ для такой цели даже не нужно получать трафик пользователей. Достаточно получать статистику по переданным объемам информации через netflow, или любым другим способом. Маршрутизаторы используемые провайдерами умеют выдавать такую статистику. Впрочем, в центр не понадобится передавать даже ее.

Если бы у меня была задача деанонимизировать Tor на уровне протокола, я бы шёл попорядку по следующей схеме:

А а бы обобщил задачу: деанонимизировать не Tor, а любой способ анонимизации без покрывающего трафика, при условии наличия контроля над источником контента или его каналом связи. И алгоритмы будут элементарными.

Объясняю для тех кто в танке: нужно слить сигнатуры интересующих нас потоков трафика на все СОРМ сервера.

Что именно вы называете сигнатурами? Сколько байт было передано в такой-то момент? Так Tor может одновременно работать через несколько цепочек (насколько я знаю), а на выходе из Tor-сети вы будете видеть только одну из них, а, значит, число байт на наблюдаемом вами входе и выходе в общем случае не совпадут. Стоит заметить, что задача обычно стоит не так: "есть сайт, который посещается пользователем X, и надо это подтвердить" (это решается сравнительно просто), а иначе: "есть пользователь X — найти какие сайты он посещал", либо "есть сайт Y — найти какие пользователи его посещали за Tor'ом". К всему тому: число байтов на входе в Tor и выходе из него не будет однозначно и предсказуемо связано из-за невозможности сказать сколько точно добавится байт из-за шифрования трафика. Кроме трафика качается статистика время от времени, вы её вычесть тоже не сможете.

Не так давно писалось на pgpru.com про работу, позволяющую деанонимизировать пользователя... обратите внимание на пукнты 1-3 в /comment43576. Вот нафига все эти сложности, если можно просто и тупо сигнатуры сравнить, как вы предлагаете, и дело в шляпе?