id: Гость   вход   регистрация
текущее время 17:03 21/11/2017
Автор темы: grgeh, тема открыта 01/10/2017 20:22 Печать
Категории: анонимность, анализ трафика, атаки
создать
просмотр
ссылки

Вопрос по Тор мостам


Подскажите имеет ли смысл настраивать в целях дополнительной безопасности Тор-мосты, если провайдер не блокирует сам Тор? И нет проблем с конектом по дефолту через стандартные ноды. Будет ли это иметь дополнительный эффект в безопасности?


 
На страницу: 1, 2 След.
Комментарии
— Гость_ (01/10/2017 21:21)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9
Зависит от места откуда вы подключаетесь. Живой пример из РФ: https://meduza.io/feature/2017.....nye-sayty-cherez-tor. В сети много сомневающихся в правдивости, но статья хорошо вписывается в российскую действительность. И похоже это не первый и не последний случай, а скоро пойдёт вал таких дел.

Органы следствия не будут напрягать имеющиеся у них мозги в случае чего, а будут действовать прямо. Виновным объявят оператора узла, если же тот недоступен, тогда всех кто подключался к этому узлу. Органам не нужно знать как на самом деле работает инструмент, и вообще зачем им нужно какие-либо доказательства.

Вам даже не нужно быть пользователем чего либо, и вообще быть в сознании, ибо в РФ награждают непричастных, а наказывают невиновных. Это аксиома.
— grgeh (01/10/2017 23:07, исправлен 01/10/2017 23:14)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0

А что видит провайдер, когда заходим через бридж? Что-то типа ВПН соединение?


Из статьи немного не ясно как смогли "сдеанонить" юзера. Там написанно, что IP 163.172.21.117 с которого писали есть одним из активных выходных узлов сети Tor. Тогда как они смогли установить входную и промежуточную ноду и привязать их к этому юзеру? Тайминг атака?
Про "просто повесили всех собак" умолчим.

— Гость_ (01/10/2017 23:50)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Узел в тот момент был одновременно экситом и гвардом. Факт подключения к этому узлу — 99% алиби, ибо тор клиент в то/настоящее время использует на постоянной основе 1 гвард для всех цепочек, и не может построить чепочку через один и тот же узел дважды. Этот пользователь не мог использовать этот узел как эксит, только как гвард.


Именно это и сделали, хотя формально пользователь на момент публикации был свидетелем, но без техники и своего пленочного фотоаппарата. Спасибо, что ~живой~не в сизо.
— grgeh (02/10/2017 00:09)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
Спасибо, а что на счет первой части вопроса – что провайдер видит, когда подключение идет через бридж?
— Гость_ (02/10/2017 00:19)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9
Это зависит от траспорта, на англ. https://trac.torproject.org/pr.....fPluggableTransports примеры с визуализацией потока.
— grgeh (02/10/2017 00:39)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
Спасибо :)
— cypherpunks (02/10/2017 22:15)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12

Точно был экситом? Откуда инфа? "Медуза", при всём уважении, не слишком-то надёжный источник в технических вопросах. Сейчас он не эксит.
Есть мнение, что силовики взяли того, кто вообще коннектился к Тору в том городе и в тот момент. 163.172.21.117 — лишь входная нода, которую по ошибке или по лукавству называют выходной.
То есть свершилось то, чего все боялись — наказание просто за использование Тора.
— Гость_ (02/10/2017 23:02, исправлен 02/10/2017 23:03)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Все документы, которые публикуют узлы, архивируются, можно скачать архив с дескрипторами или консенсус-документами. Последнее не даст точный ответ по портам, но более доступно по размеру. В тот момент управляющие директории назначили узлу помимо Guard еще и Exit, то есть как минимум 80 или 443 порт в эксит полиси.


И кстати, немного оффтопа, судя по дате изъятия техники, и изменения полиси тем узлом, данные по подключениям предоставил фр.провайдер, а совсем даже не всесильный сорм. Потому и яровая, что сорм без машины времени бесполезен.

— Гость_ (02/10/2017 23:06)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Ещё за регистрацию эл.ящика, которую может кто-то где-то случайно вбить без подтверждений и смс.
— Гость_ (03/10/2017 08:30)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Точно


Он был экситом все те дни с октября и вплоть до, минимум, 10 января 2017. Потом был длительный период даунтайма, после которого он воскрес с новым полиси без exit.
— cypherpunks (03/10/2017 09:34)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12

Спасибо большое, всё никак не мог найти историю нод.


Распаковал consensuses-2016-10.tar.xz и выполняю (в папке consensuses-2016-10):

То есть в октябре 2016-го он экзитом быть переставал.

В общем получается особенно рискованно иметь в роли входной ноды ту, что работает ещё и выходной. Логика у силовиков типа: "с этого IP набедокурили, а ты как раз тогда к нему подключался".
— cypherpunks (03/10/2017 10:56)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12

Давно известно, что если у какого-то «злодея» (говоря на полицайском жаргоне) в изъятом компьютере или мобильном будут ваши контакты (даже если они взяты из отрытых источников, например с вашего сайта), даже если «злодей» ими и не пользовался и вы про его существование вообще не знаете, то у вас могут быть БОЛЬШИЕ проблемы.
Или например потому, что «на сайте админом был и тот чувак из автобуса этот сайт посещал».
— cypherpunks (03/10/2017 13:12)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12
Самый важный вывод, что следует из последних и более ранних событий и обвинений, подтверждает, что в настоящее время тор обеспечивает очень высокий уровень защиты конечного пользователя. Об этом свидетельствует полное отсутствие среди обвиняемых действительных преступников. Система пытается продемонстрировать активистам и обществу невозможность спрятаться за тором, но предъявляет лишь случайно выхваченных совершенно невиновных людей. Их расчет сейчас только на запугивание. Это большой плюс. Тором можно и нужно пользоваться. Главное делать это умно и взвешенно. А именно так и советуют его разработчики. И мосты использовать нужно. И лучше всего собственные, чтобы не попадать в ситуацию когда входной и выходной узел совпадут. (Кстати считаю недопустимым разрешать узлу одновремено быть входным и выходным)
— Гость_ (04/10/2017 09:14, исправлен 04/10/2017 09:18)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Странно. По этому списку не видно.


2016-10-19 15:00:00 163.172.21.117 74B8B22AF950B0BE11D8A228FB09D2F5279FB757 tiflin Yes
2016-10-19 16:00:00 163.172.21.117 74B8B22AF950B0BE11D8A228FB09D2F5279FB757 tiflin Yes

Может, часовые пояса? Не везде UTC?

— Гость_ (04/10/2017 10:20)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Посмотрел консенсус. Там помимо эксит-флага есть список принимаемых портов, котрый указывается и тогда, когда эксит-флага уже нет. Такой узел точно не эксит?

Ключевых изменений за октябрь 2016-го было два:
  1. С начала месяца и до 2016-10-18-20-00-00 среди принимаемых портов числилось 79-81, а узел имел эксит-флаг. В 2016-10-18-21-00-00 диапазон 79-81 заменён на "79,81", т.е. 80-ый порт (HTTP по умолчанию) исключён. Эксит-флаг оставлен.
  2. На следующий день, в то самое 2016-10-19-16-00-00, среди accept-портов дополнительно отключен порт 443 (HTTPS по умолчанию) и снят эксит-флаг.

Проверять примерно так:



После убирания временных меток и незначимых параметров, таких как Bandwidth, добавляем в конец | sha1sum и смотрим на изменения хэшей. Например, анализ изменения принимаемых портов:

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3