— unknown (07/01/2014 01:25)   
Новые оценки снижения затрат на корреляционные атаки против пользователей Tor^[link1], /comment69862^[link2].

— Гость (07/01/2014 01:37)   
Поставить на сервере скрытый сервис тора, и пусть атакующие гадают про порты. Но желательно использовать опцию HiddenServiceAuthorizeClient с типом авторизации stealth.

— Гость (07/01/2014 14:50)   
@Гость (07/01/2014 01:37)

Для HS не требуется открывать порты. Можно всё закрыть. Порты нужны для Dir, Exit, etc.

Также, где-то уже в девелоперской ветке обсуждается о нежелательности совмещать HS и ноду.

Два случая:

1. HS и нода вместе. Тогда тайминг атака на HS усложняется? Может и нет.
2. HS отдельно, HS для человека по середине выглядит как обычный клиент. Хотя будь я глобальным наблюдателем, это был бы худший способ спрятать от меня HS.

4,000,000 юзеров. https://metrics.torproject.org/users.html
Слушаем всех на IXP (Internet eXchange Points), с сигнатурой по времени, посылаем запрос HS, смотрим на каком из пользователях сигнатура повторяется. Месяц долбить с сигнатурой, silkroad ещё бы зашумил, своим роем юзеров, а какая нибудь второстепенная викия выявит себя. Мне так кажется.

— unknown (07/01/2014 16:37, исправлен 07/01/2014 16:38)   

HS отдельно, HS для человека по середине выглядит как обычный клиент. Хотя будь я глобальным наблюдателем, это был бы худший способ спрятать от меня HS.

Появление глобального наблюдателя для Tor — примерно тоже самое, что появление квантового компьютера, способного взламывать современную асимметрику. При таком событии можно только накрываться простынёй и ползти в известном направлении.

Вам коментом выше посоветовали открыть частный скрытый сервис, видимый только для своих участников проекта и только по предварительной аутентификации. На него не могут долбиться посторонние.

— Арсений (09/01/2014 03:01)   
ребят я так и не понял, задам вопрос по другому:
если я полезу через сокс тора 127.0.0.1:9150 на 22, 465, 995 порты я сильно привлеку к себе внимание?

практическая реализация такая:
шаг 1: ставлю freecap и настраиваю соксификацию всех програм
шаг 2: пишу в качестве сокс5 127.0.0.1:9150
шаг 3: запускаю sftp клиента и подключаюсь к рабочему хосту по 22 порту

основная задача заключается в том что я не хочу чтобы заказчик деанонимизировал меня. но при этом боюсь что походами на 22 порт накличу на себя серьезных дядек в погонах.

— Гость (09/01/2014 05:04)   

Во-во. Уже пробую, тестирую. Пока снег, чтоб на его фоне не выделяться. Уже три рейда сделал, полёт нормальный. В случае чего, отработано до автоматизма. Главное, чтобы нештатка не случилась летом. Хотя на этот случай можно зелёные простыни цвета хаки прикупить.

gamer199 Арсений, домой)
Про дядяк в погонах думаете? Вас уже пасут? Уже палили? На карандаше?


Думаю, не много. На общем фоне локальной гео (город, например) единицы или только вы. Учитавая тайминги и сессии... Привлечь автоматом, вряд ли. В ходе ОРМ могут быть подняты логи вашего прова, с детальным анализом трафика.
На вашем месте я бы не стал какие-то опыты ставить на своей заднице, если бы не был уверен в вИне и профите. Описанную вами схему опробовал бы сначала на локальной сетке, где я глобальный наблюдатель. Утечек не боитесь, помимо волнения за засветы портов? Фаер хоть настройте. Комод (ага).


А он может? А он будет?
Организовать работу с заказчиком иными путями нельзя? Боитесь деанона? А оплату вы как принимать будете? А прошедшие контакты были анонимны? Можете не отвечать, чтобы не палиться.
Если обязательно нужна работа с удаленным хостом по вашей схеме, попробуйте подрубаться по воздуху (общественный Wi-Fi, левый 3g), не светя свои данные. Вообще, конечно, нужно владеть информацией, желательно полной, чтобы понять, можно ли что-то сделать иначе, чем вы хотите в оппосте. Tor'ом давно пользуетесь, чтобы всплеск активности, да еще нестандартный, не вызывал вопросов? Если бы вы по описанной схеме работали давно и часто, то без вопросов. В сочетании... в общем чего полный курс молодого бойца описывать? Я думаю, конкретно риски есть. Степень зависит от того, что вы вкоите.
По-моему вы, наверно, пересмотрели и перечитали статей и кина про охоту на хакиров/кодеров. Если же реально сомнительное мероприятие, перестрахуйтесь и не пользуйтесь тором. Мог бы рассказать, как укуртелеком в сотрудничестве с фсб взял дурачка, который ддосил фотомаг через тор, но не буду, жалко труЪ онанимусов.

— unknown (09/01/2014 10:16, исправлен 09/01/2014 10:43)   

Так вы ещё и от заказчика прячетесь, которому не доверяете?

Ваш 22-ой порт будут видеть только исходящие узлы Tor. Местный провайдер не знает не только адресов, но и номеров портов, по которым вы ходите: соединения с самой сетью Tor на входе будет происходить по портам, на которых работают сторожевые узлы. Они никак не связаны с портом, который вы выпускаете на выходе цепочки.

Другое дело, что исходящих узлов, которые выпускают наружу трафик с 22 порта, м.б. немного.

— Гость (09/01/2014 10:30)   

Как же вы собрались получить вознаграждение за результат? Какие тут порты когда все ходы с вознаграждением будут записаны, даже подключение через астрал от этого не спасёт.

— Гость (09/01/2014 14:22)   


А биткоины? А все лаундри для биткоинов? А альт-коины? А Tor?


D-Wave уже анонсирует 1024 кубитный, если бы он факторизовал, RSA чуть меньше 1024 уже крякнули бы, а это как раз Tor's HS. То что Сноуден притащил документы про квантовый компьютер NSA, который якобы в зародыше, ничего не говорит. Он был обычным гасторбайтером, он даже не офицер.


А пост-квантовая криптография?


Какова вероятность существования socks puppets of NSA среди этих участников?

Какова вероятность того, что этот форум читает ГБ? 100%?

— unknown (09/01/2014 14:28)   

Зато Гость разбирается в квантовых вычислениях, может подробно разъяснить на основании анонсов D-wave, какие там кубиты — логические или физические, пригодны ли они вообще для факторизации, по обе стороны мясного сэндвича он уже побывал и пр.


Вы так говорите, как будто это что-то плохое.

— Гость (09/01/2014 14:47)   


В Канаде холодно, а при чём тут мясо, я не врубаю, честно.


Сноуден как раз притащил доки, там ничего такого злого, но Вы это парировали так, как будто Вы и есть такая кукла.

http://www.computerra.ru/upload/uletel/sez1.jpg

— Гость (09/01/2014 17:51)   

Рога себе спили^[link3].

— Гость (09/01/2014 19:09)   
Заголовок прочитай, если знаешь, что такое буквы, и зачем они нужны.

— Арсений (09/01/2014 21:08)   

Про дядяк в погонах думаете? Вас уже пасут? Уже палили? На карандаше?

вообще тайны нет: попросили сделать обменник bitcoin/litecoin и подобных валют. учитывая специфику биткойна в виде безвозвратных платежей.. в общем я, как и любой кодер, не уверен на 100% что обменник не поимеют. с заказчиком общаюсь через TOR.
В моем случае хочется не получить известно чего от заказчика обменника, если случится непоправимое (безвозвратное).
А про "дядек в погонах" я думаю только потому, что:
.. по 22 порту кто может ходить? явно не журналист голоса америки
.. придут ко мне для профилактики посмотреть что за активность
.. изымут комп со всем оборудованием для ясно дело понятных мероприятий

— Отдел_К (09/01/2014 21:32)   
Уведомляю, что все отметившиеся в этом топике занесены в базу ГИЦ по категории оперативного учета подозрительных лиц (предположительно, в составе преступной группы, совершают преступления в сфере компьютерной информации). Случись что, вы теперь мигом окажетесь в разработке.
Топикстартеру советую совершить явку с повинной и оказывать содействие следствию.

— Гость (09/01/2014 21:59)   
Мусоротролленг вопасносте, всем в укрытие!!!

— Гость (09/01/2014 22:36)   

Уверены в корректной реализации?


Не уверены. И никто не будет уверен на 100%.
Оговорите возможные риски с заказчиком. Предложите ваши условия.


Может ходить кто угодно. И журналист голоса америки может подключаться на 22 порт удаленного хоста, где его блог висит.
Если вы их (представителей провайдера, органов, заказчика) заранее проинформируете, что ходите на 22 порт, а также время, продолжительность, и цепочку, облегчите им работу.


Активность, они если бы и установили, то не по портам, а по иному косвенному анализу трафика, где учитывается очень много факторов.
Вам утечек стоит опасаться, если, как вы пишите, городите там целую систему с прогами, фрикэпами, торификацией в Винде (в Винде ведь?). Проги могут в обход тора посылать запросы.
Чисто через тор, торовский траф, прову бессмысленно снифать на наличие IP, имен и портов, все же в зашифрованном виде идет по торовской цепочке до экзита. Подымать логи и анализировать только если по таймингам, корреляции, всплескам и типу/объему трафика. В купе с возможными утечками, например, они уже смогут кое-что узнать. И это просто пример! Нельзя сказать как ваш софт поведет себя. После настройки, даже если кажется, что все как надо, надо проанализировать, что уходит с вашей машины и в каком виде, если ранее подобные сочетании вами не были использованы и проанализированы.
Вообще на практике там, в органах, репу будт чесать и друг друга гонять, если крупное ЧП (слили деньги с банка, эпс, терминала). А если какая-то мелочь, то плюнут, пусть хоть эти битки в пересчете на баксы будут миллионами исчисляться. Хотя, если крупный клиент сможет заинтересовать органы и будет перспектива раскрытия дела, то все может быть.
Заказчики кидают кодеров, кодеры тоже бывают кидают. Форумы пестрят черными списками. До реальных разборок редко доходит. Т. к. никто друг дргуа не знает и работают через гаранта или рекомендации/репутации за впнами, соксами и торами.


Полнодисковое шифрования, LiveCD, съемные носители.


Отдел К, за что, гражданин начальник, поймите, мы тут просто чефир чаи гоняем, контроллируем друг друга, всегда готовы сотрудничать все путем. Хотите карманы выверну? Хотите Винду покажу? Вот, под админом, каспер стоит, МАгент, Хром, все акки на свои данные, никакого шифрования, пороли в блокнотике. Ня

— ФСБ_России (09/01/2014 22:55)   
Отдел_К (09/01/2014 21:32), вы там попутали что ли? Законов вообще не читаете? Это теперь наша поляна^[link4], и мы её будем стричь, так что давай до свидания, пока у тебя наркоту в кабинете случайно не нашли.

— Гость (10/01/2014 02:09)   

А Эрик, а Росс, а вендоры? А студент с мылом?