Всё о TBB (Tor Browser Bundle)

вдруг там какая хитрая активность, которая пробрасывается сквозь сброс кукисов. Раньше была подцветка ранее посещённых страниц (уже пофиксили), но есть много других способов поставить скрытые куки, даже ничего не сохраняя в браузере

Для этого наверное нужен включённый javascript?

Понятно, что самое надёжное перезапуск торбраузера, но имитировать "New Identity" из консоли никак нельзя? Наверняка где-то в браузере запрятан скрипт, который связан с кнопкой. Если его найти, то можно было бы его модифицировать с учётом отдельного тора, и посадить на новую кнопку.


Чтобы смотреть в реальном времени куда ходит торбраузер (много интересного можно найти). Пробовал arm, но в нём нет статистики посещаемых ресурсов. Только узлы цепочек и адреса/порты соседних процессов. Насколько понял, arm предназначен в первую очередь для операторов тор-нод.

Чем плох privoxy, только тем что нет pipelining? Резку рекламы не рассматриваю как минус, т.к. у меня и так для сокс-порта флаг IsolateDestAddr, поэтому для каждого хоста своя цепочка.

Не думаю.


А в чём смысл? New Identity закрывала все вкладки и перезапускала браузер — ровно то же, что вы можете сделать: закрыть браузер (Ctrl+Q) и открыть снова.


Этого мало?


Режете рекламу ценой профилирования, что позволяет легко выделять вас на фоне остальной массы Tor-пользователей. Достаточно администратору ресурса (или кому-то на пути между Tor-экситами и веб-сайтами) встроить определённые элементы в веб-страницу, чтобы таких как вы отлавливать со 100%-й вероятностью. Для не слишком популярных сайтов легко может оказаться, что вы один такой.

Смысл в том, чтобы выполнять все три действия одним нажатием кнопки.


Если дело дошло до анализа трафика конкретного пользователя, это фактически означает свершившуюся деанонимизацию.


Приведите пожалуйста пример, как это легко можно сделать.

Обкатают методику, потом применят к анализу ранее записанного трафика, что сложного? По-моему, если помню правильно, предыдущая атака такое позволяла [1]. Ну или можно вспомнить уязвимости RSA-ключей [2], [3], что тоже фантастикой смотрелось, а потом взяли всю БД открытых ключей, проанализировали и нашли.


Вставляем в вебстраницу загрузку пиксела с дополнительного домена, который вашей резкой рекламы будет блочится. Все обычные посетители сайта при заходе на страницу будут этот пиксел загружать, а вы нет.

Гость (12/03/2015 22:29), pgpru ≠ udaff.

Чтобы визуализировать трафик, нужно записывать его полностью. По слухам, такого нет и вряд ли это реально делать для всех пользователей, ещё и длительное время. А если пользователь под пристальным наблюдением, то pipelining не поможет.


Как установить соответствие между пользователем, скачавшим пиксел и пользователем, зашедшим на сайт, по времени обращения что ли? Рекламные сервера обычно нагружены и вероятность установить такую корреляцию мала. А если пиксел разместить на подставном сервере, то его не будет в списке фильтра и прокси его пропустит.

АНБ призналась, что пишет весь шифрованный трафик на будущее в надежде расшифровать его потом. Utah-центр и всё такое.


Вы принимаете эту спекуляцию как максиму, а я в этом с вами не согласен. Степень пристальности тоже бывает разной.


Да + и там (на рекламном сайте) и тут (на целевом) будет один IP в логах (IP должны быть разными при IsolateDestAddr, но если мы верим, что противник сильный, то для него сделать махинации с доменами — раз плюнуть, если он даже MoTS не брезгует). Ко всему прочему есть куки, чтобы отслеживать, кто куда и с каких страниц ходил, как тыкал и т.д. Отключите их — тоже будет дополнительное профилирование.


Я бы на такие вещи серьёзно не полагался.

IsolateDestAddr выделяет не меньше чем резка рекламы. Но без него пока никак, сбор статистики на экситах при хождении на разные ресурсы по одной цепочке считаю намного опасней небольшого и труднодетектируемого отличия от основной массы из-за IsolateDestAddr. Вроде есть патч, позволяющий для каждого HTTP-запроса с новым хостом в URL подставлять уникальные user:password для Tor (для встроенного контента веб-страницы подставляются те же самые), но до самостоятельной сборки торбраузера пока не дошёл.


Сайт может получать только свои куки, принадлежащие другим сайтам ему недоступны.

Что лучше? Наличие "почерка" или утечка информации?

С каждой веб-страницы все запрашивают весь контент с одного Tor-эксита, а вы разные домены выкачиваете с разных экстов — уникальный маркер. Была бы эта опция включенной по умолчанию — был бы другой разговор.


Профилирование будет меньше, но всё равно останется (к сведению, цепочка по умолчанию живёт минут 10-15, кажется, так что в среднем через одну цепочку вы получаете доступ больше, чем к одному сайту, и из-за кукисов будет видно, что вы есть вы). Снова повторяю: такие вещи хороши, только когда они включены по умолчанию для всех.


Хочется запрофилироваться по самое нехочу? Идёте путём Eridan'а? У него там много было полезных настроек для улучшения профилирования, недавно снесли с сайта. Не надо пытаться улучшать то, что есть в TBB — это сродни вытаскивания самого себя из болота за волосы, заведомо проигрышное занятие.


Кто мешает сайтам обмениваться куками, рекламными ссылками и прочим? Всё это обходится. Несколько лет назад (вроде на хабре) была статья на тему простановки невидимых кукисов, там показывали много хаков с конкретными примерами, как это делается. Защититься можно только полным сбросом всего кэша и всех видов кукисов (чем пользователи вне TBB никогда не страдают). Я уже сам не помню детали, мне это не так интересно было, но общие выводы для себя сделал.


Наличие почерка — тоже утечка информации, странно их противопоставлять.

Откуда они узнают, что одновременно посещаются другие сайты по другим цепочкам? Может я только одним этим сайтом и пользуюсь в данный момент.


Разработчики торпроджекта рекомендуют самостоятельно собирать торбраузер. Майк Перри несколько месяцев потратил чтобы облегчить эту задачу для желающих, наверное запрофилировать всех хочет.

Причём здесь Эридан, его инструкции относятся к фаирфоксу, а не торбраузеру. И зря на него набросились, он полезную информацию тут накапливал.


Даже если обмениваются, браузер всё-равно не выдаст сайту чужие куки, поэтому толку от обмена никакого. Может через яваскрипт как-то можно, не знаю. Но без него выявить корреляцию возможно только сравнением логов, по-другому никак.

Предположим, зашли вы на сайт и оставили комментарий. А в это время крон запустил почтовый клиент для проверки ящика. Запрос пошёл по той же цепочке, пусть даже поверх SSL. Эксит оказался способным подменить сертификат и устроить MITM, этим уже не удивишь. Имя почтового ящика и пароль к нему стали известны, и теперь почтовая переписка комментатора контролируется. А почта это намного более профилирущая активность, в сравнении с посещением сайтов, можно реальные ФИО получить и многое другое.

Он призывает собирать TBB, чтобы у всех независимо получался бинарник с одинаковой хэш-суммой (детерминистично). Для этого исходники и методика сборки адаптированы с целью такой детерминистичности.

Нельзя же так откровенно передёргивать приводить ссылки без разбору.

Например, оттуда, что ссылки на одни и те же рекламные домены будут висеть на обоих вами посещаемых сайтах. Есть некоторое количество особо зловредных, таких как google analytics, которыми опутан почти каждый сайт.

Кроме того, эксит ассоциирует вас с вашей цепочкой и может заметить, что никогда через одну цепочку не качается больше одного домена с его содержимым. Это тоже профилирует вас на фоне среднего. Как это удобно проэксплуатировать на практике — уже вопрос третий, главное — что различитель есть.

Профилирование приводит к сужению группы поиска, а в конечном счёте — к полному деанону. Есть best practise, гласящая о том, что профилирования надо всеми силами избегать. В каждом конкретном случае пользователь сам решает, стоит ли ему нарушать эту максиму в пользу того-то или того-то. С моей точки зрения IsolateDestAddr — просто костыль для слишком страждущих видеть такой функционал, а на самом деле разделять трафик надо по профилям (по юзерам, привязанным к определённому профилю активности в сети), а не по доменам.

При использовании вышеупомянутого патча поведение торбраузера ничем не отличается от стандартной сборки, за исключением того, что каждый сайт со встроенным контентом, включая рекламу, имеет отдельную цепочку.


IsolateDestAddr и IsolateDestPort это тупой и достаточно надёжный способ избежать той опасности, которую описал в предыдущем посте, хотя и имеет побочные эффекты. В идеале нужно поведение реализуемое в патче, надеюсь оно в будущем будет доступно в стандартной сборке. Пока для рядового использования это адекватный компромисс. В случаях когда нужна более надёжная анонимность – отдельный сокс порт со стандартными флагами по умолчанию, без HTTP-прокси, почта через веб-интерфейс. В менее критичных случаях можно пожертвовать защитой от гипотетических атак в пользу практического удобства. Когда и какой случай ближе, каждый сам для себя решает.

Как показывает практика, чем больше наворотов в безопасности, тем с меньшей вероятностью они используются, оставаясь в итоге вообще без защиты и анонимности. Многие ли используют почту, gpg, пакетный менеджер и вообще все сетевые приложения через Tor? Если следовать этому, то появляются угрозы, не решаемые стандартными средствами при сохранении практического удобства.

Это и будет выдавать отличие.


Пока оно не у всех по умолчанию, оно закрывает одну дырку ценой открытия другой.


Боюсь, у разработчиков могут возникнуть претензии к производительности, на основании которых фичу могут не принять. Например, скажут, что это чувствительно ухудшит производительность ценой сомнительного улучшения анонимности (как пример).

Обещают что появится в будущей версии

Patch Firefox to allow addons to set SOCKS username+password per request