21.03 // Лёгкость блокирования Tor-соединений вызывает беспокойство пользователей
Наряду с различными СМИ и сетевыми изданиями, британское агентство The Telegraph опубликовало статью "Иран взломал технологию вэб-диссидентов". В ней (и аналогичных статьях) рассказывается о том, что иранские власти смогли вычислить всех пользователей сети Tor в своей стране, а позднее и полностью заблокировать их соединения с сетью.
Разработчики Tor ранее предполагали проблемы такого рода, но старались не устраивать "гонку вооружений" с цензорами, возможно понимая её второстепенность и тупиковость. Tor позиционировался в первую очередь как средство анонимности, и лишь во-вторую (и в слабой степени) — как средство защиты от цензуры.
Для этого были разработаны соединения через так называемые "бридж-узлы", специально предназначенные для маскировки трафика под SSL-соединение и обхода цензуры. Предполагалось, что блокирование SSL-трафика от непубличных узлов будет трудной задачей для противника:
- Собрать список всех узлов сложно (он раздаётся пользователям по запросам или через персональные контакты-знакомства)
- Блокировать все SSL-соединения без разбора невозможно (нарушение работы многих сервисов интернета)
- Проводить анализ трафика на различение от стандартного SSL-соединения накладно (потребует глубокой инспекции пакетов).
В последнем пункте разработчики ошиблись или умолчали о слабости своих предпосылок. Когда появились сведения из Ирана, было высказано предположение, что там действительно используется какая-то сложная технология. Но такие технологии сложными можно назвать с натяжкой даже для полноценной имитации SSL-соединений.
Для старых версий Tor (до 2008 года) все попытки соединения с сетью Tor можно было заблокировать и внести в лог двумя строчками файрволла:
Эта возможность частично исправлена и работы над улучшением имитации правдоподобности SSL-соединения ведутся. Но реализовать её полностью вероятно не удасться никогда по принципиальным соображениям.
Можно выделить несколько отличительных признаков, по-которым иранское правительство могло блокировать соединения с бридж-узлами Tor:
- Все сертификаты самоподписанные.
- Они имели вид www.s4ku5skci.net (между www и net — набор случайных символов).
- Они не соответствовали никакому доменному имени — команда вида nslookup www.s4ku5skci.net будет выявлять отсутствие реального домена.
- Использовалось согласование параметров Диффи-Хеллмана, специфичное для Tor. В новой версии это исправлено для имитации соединения с сервером Apache.
Разработчики не скрывают таких вещей, хотя многое и не афишируют, но интересующиеся Tor-протоколом могут найти достаточно полные описания его слабостей в документах разработки. При их анализе становится ясно, что цель средств преодоления интернет-цензуры — сделать её массовое введение слишком накладным, но против прицельных и изощрённых атак все такие средства бессильны.
Однако, внезапно, такое лёгкое обнаружение и блокирование Tor-соединений вызвало подозрение пользователей: не касается ли это и главной цели проекта — анонимности и не является ли этом своеобразным бэкдором? Спекуляции на эту тему подогреваются историей создания проекта Tor военными ведомствами США.
Пол Сайверсон опубликовал по этому поводу в рассылке следующее:
Люди периодически поднимают эту тему. Я могу лишь подтвердить давно и широко известные факты. Можете интерпретировать их как хотите. Больше подробностей можете прочитать на http://www.onion-router.net/History.html, но краткое изложение такое:Я изобрёл луковичную маршрутизацию в исследовательской лаборатории ВМФ совместно с Дэвидом Голдшлагом и Майком Ридом в 1995-96 годах, как проект этой лаборатории с начальным получением финансирования от ONR (Исследовательский отдел ВМФ). Все из нас в то время были сотрудниками лаборатории ВМФ. Первая система была развёрнута в 1996 году и исходный код для этой системы был распространён годом позже (код был полностью работой американских служащих, нанятых правительственными организациями, но не объектом копирайта).
Как часть позднего проекта лаборатории ВМФ я создал версию луковичной маршрутизации, которая стала известна как Tor вместе с Роджером Динглдайном и Ником Мэтьюсоном в начале 2002. В то время я продолжал быть служащим лаборатории ВМФ. Роджер и Ник были работниками по контракту над моим проектом. Проект исследовательской лаборатории ВМФ, финансируемый офисом морских исследований и агентством перспективных оборонных исследований (DARPA) был под таким финансированием только до 2004 года. Первая публично развёрнутая Tor-сеть была в 2003 году, тогда же был открыт исходный код под лицензией MIT. Первичное финансирование работы Роджера и Ника над Тором было другой частью проекта (в отличие от NRL), когда финансирование начал осуществлять EFF.
Тор получает финансирование от множества источников помимо этого, включая различные проекты правительства США, как до, так и с момента US 501 ©(3), так и не от профессионалов. Подробнее можно посмотреть на: https://torproject.org/about/sponsors.html.en
Источник: https://www.torpoject.org
Так уж и всех? Вряд ли тех,кто юзал tor-клинт запущенный на удаленном сервере через ssh.
Или вот такоерешение.
Представляю что случится если будут банить (выделять особым образом) сервера на основании самоподписанных сертификатов. Ссл мафия будет счастлива. Лопнет от жадности.
С Ираном всё намного проще и одновременно сложней. Там используют полный досмотр пакетов (DPI), с использованием высокопроизводительных решений от крупной западной фирмы. Тор использовал хорошо распознаваемый модуль § для DH при SSL согласовании, посылаемый сервером. Новые версии тора (касается прежде всего серверной части) используют "Apache'евское" p. (Если будет работать https то будет и тор. Иран обычно банит сразу всё и ссл, ссх, впны разные, тор.).
комментариев: 9796 документов: 488 редакций: 5664
Никогда нельзя употреблять слово "всех". И слово "никогда" тоже ;-) Категоричные обобщения в реальном мире конечно выглядят логическими ошибками. Речь об обычных пользователях и о слухах, и статьх в СМИ "Tor взломали". По-крайней мере число пользователей непосредственно из Ирана упало почти до нуля. Тех, кто хитро випиэнился и эсэсашился через забугорные узлы не посчитать, но за ними и службы безопасности могут найти ресурсы присмотреть. Массовость упала — в этом фэйл.
Да, там строка стандартной длины из рэндомных символов в качестве названия сайта. Изначально и не было слишком правдоподобно. И проверка существования вида nslookup http://www.s4ku5skci.net даст ответ о сертификате на несуществующее доменное имя.
А волшебная строка — "Tor", но это было до 2008 года (fixed).
© `Design of a blocking-resistant anonymity system,'' dated November 2006, compiled by Roger Dingledine and Nick Mathewson, head developers of Tor.
Всё-таки DPI (глубокая инспекция пакетов). Поправлю новость.
комментариев: 9796 документов: 488 редакций: 5664
Остальное — панические статьи в "Телеграфах".
Согласен. Ну как бы давно новостей не было, все уже жаловались, вот пришлось наскрести ;-)
А клиент может в расширениях к тлс посылать что угодно, виртуальный хост это дело сервера. Нельзя же серьезно полагать что существующий днс к интернету прирос намертво и имеет серьезное отношение к тлс протоколу.
P.S. текст новости меняется очень быстро.
P.P.S практикой доказано что смены параметров для DH оказалось достаточно на сегодня.
В действительности есть proposal где выдивнуты несколько направлений по обходу и этого: регистрация доменов, покупка сертификатов. Это для особых случаев, никто в массовом порядке для релеев такого делать не станет. А вот особо не публичные бриджы могли-бы на добровольных началах. Главное теперь предоставить опции для таких действий.
комментариев: 11558 документов: 1036 редакций: 4118
Может, но всё зависит от того, много ли таких в реальной жизни. Пока цензор может банить по эвристическим признакам, не сильно мешая жизни обычных незаторенных пользователей, он и будет это делать.
комментариев: 9796 документов: 488 редакций: 5664
Может не мучать её и снести? Ну или пусть в назидание потомкам останется ;-)
Да, Роджер сообщал об этом. Как и о том, что это временный шаг в "гонке вооружений".
Собственно, новость только ради иллюстрации того, что: