id: Гость   вход   регистрация
текущее время 18:27 29/03/2024
Автор темы: Гость, тема открыта 20/01/2010 18:49 Печать
Категории: анонимность
создать
просмотр
ссылки

Надежность TOR


Насколько надежен TOR? В плане анонимности, и следовательно безопасности? Проживаю в стране с диктаторским режимом, монополия на доступ в интернет, полный контроль....
Для меня ОЧЕНЬ важна анонимность.
Использую последнюю версию vidalia tor, firefox и torbutton. Провайдер и удаленный ресурс – потенциально ВРАЖДЕБНЫ (так как АБСОЛЮТНО подконтрольны гос. органам). JavaScript необходим (как и везде сейчас, почти). Насколько анонимно заполнение форм, оставление комен-тов, пересылка со своего PC различных файлов (например изображений) на враждебный ресурс?
https://www.whoer.net/ext – мой IP, и другую важную информацию не светит, значит ли это, что я в "полной" безопасности?


 
На страницу: 1, ... , 27, 28, 29, 30, 31, ... , 55 След.
Комментарии
— Гость (28/04/2013 20:11, исправлен 29/04/2013 07:46)   <#>
Вот я и спрашиваю, почему этого нет?

потому что ответ на поверхности и странно что вам это в голову не приходит. первый день такой торговли будет последним днем Тор.

— unknown (28/04/2013 20:27, исправлен 28/04/2013 20:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вообще-то, данные с экситов выкладывали в паблик ещё в середине двухтысячных. И какой-то поисковик по этим данным был. Тогда там засветилось множество паролей к почтовым ящикам посольств. Казалось бы, совсем не так давно, а SSL для почты ещё не считали нужным широко использовать. Некоторые даже бездумно использовали пароли через нешифрованные соединения после экситов.


Ну да, были крики наподобие "тор поломали", "последний день тор" и т.д.

— астана (28/04/2013 21:40)   <#>
Тогда там засветилось множество паролей к почтовым ящикам посольств


Да, и одно из этих посольств – посольство Казахстана (не знаю где). Я еще удивился – какие наши дипломаты прогрессивные всё-таки!)

Кстати, этого человека потом еще арестовали. Но почему? Разве вся информация, обрабатываемая на моем компьютере не становится автоматические моей? Разве доступ к ней незаконен?
— Гость (28/04/2013 21:47)   <#>
потому что ответ на поверхности и странно что вам это в голову не приходит. первый день такой торговли будет последним днем Тор.
Вы думаете сообщество будет на это смотреть и плакать крокодиловыми слезами? Имхо сразу попытаются что-то сделать, например добавят в софт генерацию левых соединений с записью в логи левого ип, сведя эффективность усилий скупщиков в глубокий минус.
— Гость (28/04/2013 21:48)   <#>
к почтовым ящикам посольств
что показательно!!! а то все Тор пользуются жулики! ну а хотя.. ))) кто самый главный жулик? )
— unknown (28/04/2013 23:53, исправлен 28/04/2013 23:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Разве вся информация, обрабатываемая на моем компьютере не становится автоматические моей? Разве доступ к ней незаконен?

По каким-то казусам, например в законах США — незаконен. Если вы — нелицензированный оператор связи, то пропускать чужой трафик можно, а подглядывать в него нельзя. Как и всякие законы против прослушивания, эта мера неэффективна до того момента, пока прослушивающая сторона делает это втайне, а не начинает делать демонстративно.


Опять же, в том давнем (но не единичном случае) раздавался просто загнанный в базу дамп исходящего трафика (анонимизированные обрывки данных), но не лог со списком цепочек.


При попытке раздать полный лог (со списком цепочек), такую ноду можно вычислить. Даже если к ней ничего применить нельзя, можно заблочить или как-то затруднить работу нод, которые делают шаринг логов. А если это тайное прослушивание, то всё укладывается в тривиальную модель разделения интересов множества неглобальных противников и принципа "узел может запустить каждый".


Теорией всемирного заговора можно конечно всё объяснить, как и чайником Рассела, поскольку такие теории описывают желаемые какими-то сторонами цели, а не их возможности, ресурсы и особенности реализации.


к почтовым ящикам посольств
Я еще удивился – какие наши дипломаты прогрессивные всё-таки!)

Неясен вопрос, были ли это сами дипломаты и законные пользователи этих ящиков или это взломщики и читатели чужой почты, скрывавшиеся в Tor.

— Гость (28/04/2013 23:57)   <#>
Скупать логи можно выборочно, у операторы конкретного сервера, конкретные контакты – например по IP и времени. Предложение о покупке помещать на специальный сервис, требующий доказательства владения сервером – все остальные о предложении ничего и не узнают.

Узнают. Цепочки имеют случайную природу, след. предложения будут также иметь случайный характер. Когда таких предложений станет много, то об этом узнают. Гораздо проще устроить фишинговую подсеть экзитов, где и ловить.
— Гость (29/04/2013 00:53)   <#>

А как же: "трафик пропускается через 3 случайно выбранных узла сети, и при этом шифруется таким образом, что каждый из этих узлов знает только адрес предыдущего и следующего узла в цепочке. Получается, что ваш адрес известен только первому узлу, адрес сайта, к которому вы обращаетесь, известен только третьему узлу, а второй узел в цепочке знает только адрес первого и третьего узлов, но не знает ваш адрес и сайт, к которому вы обращаетесь".
— астана (29/04/2013 03:52)   <#>
По каким-то казусам, например в законах США — незаконен

А как с этим состоит в России?
Tor+SSLstrip+SSLeay..

трафик пропускается через 3 случайно выбранных узла сети...

тут кто то где то приводил исследование/статью/мысли, что если запустить N узлов, то какова вероятность того, что попадется соединение через 3 ноды из N исходя из размера сети M и количества подключений к сети в час.
— Гость (29/04/2013 07:13)   <#>

Извиняюсь, но с такой глупостью на этот форум лучше вообще не писать. Какие логи? Наслушались на кулхацкерских форумах про "слив логов"? Троллепублика хотя бы примерно представляет, как работает Tor? Что сливать-то будем? Весь трафик? Сеансовые ключи, которые постоянно меняются и для разных цепочек разные (а там DH, напоминаю)? Что делать с 99% цепочек, ключи для которых и траф которых можно отправить лишь в урну, т.к. минимум одного ключа не будет хватать? А если и хватает, то как это выяснить? Делать online-протокол для коммуникации между нодами? Синхронизировать их состояния, чтобы они хотя б знали, какой трафик сохранять, а какой выбрасывать? А как потом весь этот расшифрованный траф собрать в одном месте? Да это протокол посложнее чем Tor будет, даже если вынести за рамки тот факт, что операторы хостинга моментально смогут определить такие подозрительные ноды, а другие смогут срывать протокол антиTor'а. Разработчики бундестроянца тоже думали, что всё просто, ага.


О чём было заявлено в теме с двумя-тремя страницами отборной бесплодной толстоты. Троллинг почти в каждом топике. На скрытых ресурсах, там, где модерация есть, тоже злоупотреблений не видно. Дело не в IP, а в том, что вовремя вычищают.
— unknown (29/04/2013 09:34, исправлен 29/04/2013 09:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Ну, гость вбрасывает наугад, надеясь вероятно, что за него самого додумают технические детали. Если предположить что-то более-менее гипотетически вероятное (например, сотрудничество нод, на которых установлена одинаковая версия пропатченного Tor, который дампит все ключи и параметры цепочек, а затем узлы, сливающие эти данные в некую общую базу, чтобы что-то оттуда выцепить, да ещё и за деньги этим обмениваться между собой — при небольшом числе подконтрольных нод потребуется нехилый оптимизационный алгоритм), то гость может утверждать, что именно это он и имел ввиду.


Если из его высказываний ничего разумного не вытащить, то он может переходить к следующим голословным (по крайней мере, необоснованным) утверждениям. Думая, что это на кого-то произведёт впечатление, кто не хочет (не может) сам хоть как-то разбираться в теме.


Tor+SSLstrip+SSLeay..

На экситах, хотя и изредка, но периодически практикуется всё, что можно, в т.ч. и модифицирование трафика с вбрасыванием троянов. Этим может заниматься не обязательно сам эксит, но и его провайдер (или ещё кто-то на линии после эксита), если у него есть карт-бланш на нарушение или обход закона.


если запустить N узлов, то какова вероятность того, что попадется соединение через 3 ноды из N исходя из размера сети M и количества подключений к сети в час.

Ещё факторы: стабильность и пропускная способность узлов.


То, что часть узлов, их провайдеров, точек обмена трафиком, может быть злонамеренной, подразумевается изначально в проекте системы. Никто не рассчитывает на то, что все должны быть честными. Расчёт на то, что какая-то часть — честные, какая-то часть — подконтрольна лишь одному противнику, а не другому. А все противники, или их существенное большинство, договориться не могут. Т.е. глобального наблюдателя нет.


Если хотите параноить по поводу Tor, можно пред(по)ложить более тонкие идеи. И если идут какие-то разработки по датамайнингу Tor со стороны сильных противников, то совсем не по таким наивным методам, которые вы описываете.

— Гость (29/04/2013 14:26)   <#>
О какой стабильности, о каких логах и атаках говорить, если современный код тора багнутый. Баг на баге и багом погоняет. Самый яркий пример это ответы экситов новых стабильных и альфа версий. То ответит на ровном месте ресет коннекта, то ответит коннект есть, а данные не идут. И точно известно, что проблем у ресурса к которому конекчусь нет. Выбираем узлы старых версий и всё как раньше, стабильность и покой. И такой бардак во всём, но девам похер, страдают непонятно чем. Может специально такой код пишут?
— unknown (29/04/2013 14:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот это более значимо. Разработка Tor во многом ведётся по принципу ad hoc-security вместо provable security. В прочим, в других проектах с этим ещё хуже.
— Гость (29/04/2013 18:05)   <#>

В голову пришла мысль. Пусть одна нода злонамеренная, и хочет сделать ключ таким, чтобы его знали все (т.е. чтобы он всегда был один и тот же), а другая нода честная. При DH может ли одна сторона повлиять на случайность вырабатываемого ключа? Ну, т.е. так, чтобы ключ всегда вырабатывался идентичный и его не надо было каждый раз кому-то сообщать.
— Гость (29/04/2013 18:37)   <#>
При DH может ли одна сторона повлиять на случайность вырабатываемого ключа?
Может, но самые явные случае клиент тора детектирует и отсеивает. Раньше детектировали и не самые явные, но потом решили, что дорого и отменили. Только не уверен, что ключ в результате можно сделать совсем одинаковым.
На страницу: 1, ... , 27, 28, 29, 30, 31, ... , 55 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3