Надежность TOR

"There's not a magic way to trace people [through Tor], so we typically capitalize on human error, looking for whatever clues people leave in their wake"

Law-enforcement officials are reluctant to talk about specific techniques they use to identify Tor users, but researchers and court documents provide some clues.

Примеры:

1. Чьи-то действия в оффлайне вызвали подозрение. Проверили плотнее, провели обыск, изъяли технику, нашли логи, получили доказательства.
2. Tor не анонимизирует сам контент. Кто-то спалился на фотографиях или иных документах — той информации, которая собственно передавалась через Tor.
3. Кто-то по ошибке залогинился в свой фейковый аккаунт фейсбука без Tor'а или каких-либо других средств анонимности.

Выводы в статье:

1. Среднестатическому человеку несвойственно и очень трудно никогда ни в чём не ошибаться. Люди делают ошибки, и их на этом ловят.
2. США требуют экстрадиции подозреваемых к себе, чтоб судить по своим законам. В иных FVEY-стрнах от США не спрятаться. Наверно, не спрятаться и в 9 eyes, не знаю как про 14 eyes.

Если кто забыл:

The NSA operates in close co-operation with four other English-speaking countries – the UK, Canada, Australia and New Zealand – sharing raw intelligence, funding, technical systems and personnel. Their top level collective is known as the '5-Eyes'.

Beyond that, the NSA has other coalitions, although intelligence-sharing is more restricted for the additional partners: the 9-Eyes, which adds Denmark, France, the Netherlands and Norway; the 14-Eyes, including Germany, Belgium, Italy, Spain and Sweden; and 41-Eyes, adding in others in the allied coalition in Afghanistan.

The exclusivity of the various coalitions grates with some, such as Germany, which is using the present controversy to seek an upgrade. Germany has long protested at its exclusion, not just from the elite 5-Eyes but even from 9-Eyes. Minutes from the UK intelligence agency GCHQ note: "The NSA's relationship with the French was not as advanced as GCHQ's … the Germans were a little grumpy at not being invited to join the 9-Eyes group".

Significantly, amid the German protestations of outrage over US eavesdropping on Merkel and other Germans, Berlin is using the controversy as leverage for an upgrade to 5-Eyes.

The Guardian. Очень смешно. Страны борятся за повышение своего ранга, чтобы стать как можно ближе к ядру Intelligence Network — США. Готовы Меркель продать, лишь бы их включили в список. В это время народу льётся проганадос о том, как Германия озабочена прослушкой. Озабочена не тем, что слушают, а тем, что плохо деляться с ней результатами.

Числа Кармайкла Числа Фибоначчи Числа АНБ: 1,5,9,14,41,... Найдите закономерность, продолжите ряд.

1488?

Referring to Five Eyes, French President François Hollande has said that his country is "not within that framework and we don't intend to join." According to a former top U.S. official, "Germany joining would be a possibility, but not France – France itself spies on the US far too aggressively for that."

UKUSA Agreement. Вот тут ещё статья с разбором классификаций.

According to documents Der Spiegel acquired from Snowden, the German intelligence agencies BND (foreign intelligence) and BfV (domestic intelligence) were also allowed to use the XKeyscore system. In those documents the BND agency was described as the NSA's most prolific partner in information gathering. This led to political confrontations, after which the directors of the German intelligence agencies briefed members of the German parliamentary intelligence oversight committee on July 25, 2013. They declared that XKeyscore has been used by the BND since 2007 and that the BfV uses a test version since 2012. The directors also explained that this program is not for collecting data, but only for analyzing them.

XKeyscore. Германию и так ублажили, а ей всё равно не имётся.


Если все страны пересчитать (включая мало кем признанные), больше 206 не наберётся.

Дополнительная фильтрация на строне squid будет только хуже, т.к. приведёт к профилированию. Зачем тогда squid вообще нужен?

Если squid работает как прозрачный прокси с отключенным кешированием, на профилирование он не влияет. Но даёт дополнительные возможности контроля: пропускает только HTTP-запросы, даёт детальную статистику на уровне протокола (пути к ресурсам, рефереры и т.п.), фильтрует рекламные сайты. Хотя этих целей лучше использовать более лёгкий privoxy, который дополнительно имеет функции для противодействия профилированию (для сайтов без SSL).

Опрос какой-то мутный. Чем отличается chroot от тюрьмы (jail)? По-моему это реализация одного и того же, только в разных ОС. Направлять в Тор с хоста VPS это вообще глупость, т.к. нет физического контроля за машиной с Тор-клиентом. Да и смысла никакого, VPN и Тор-клиенты хорошо уживаются на одной машине. SELinux – безопасность от анб – может это шутка? Видимо имеется в виду защита браузера, но она относительно просто реализуется с помощью chroot или виртуальной машины. Ну а прозрачная торификация, как уже отмечалось на форуме, может и навредить, никакая это не страховка.

Среднестатическому человеку

ошибки допускают все без исключения и тому масса примеров. то на фото коды, то коды в пиджаке в химчистке, то на столе забыли пароль и т.д.

в свой фейковый аккаунт фейсбука без Tor'а

а кто-то через tor в свой реальный акк вошел. как этих будем классифицировать?

Кнопки фейсбука "висят" по всему интернету, значит кто-то привяжет весь свой последний сеанс серфинга (с момента старта, или после "новой личины" в браузере, или как минимум чистки куков и кеша) к реальному профилю.

Выводы в статье

В советской россии то, что преступник на свободе –- это недоработка режима, а не магическая заслуга преступника.
В штатах то, что преступник в тюрьме — это недоработка преступника, а не магическая заслуга режима.

Ведёт к профилированию, а профилирование — к деанону.


Уже обсуждалось [1], [2].


ОС, использующая Tor, ближе к компрометации, чем та, которая просто транслирует её трафик. В частности, чтобы полностью деанонимизировать пользователя, достаточно иметь local root exploit, если Tor запущен локально, но нужно иметь remote root exploit, чтобы скомпрометировать анонимность через взлом роутера. Найти ошибку второго рода значительно труднее. Кроме того, из-за паразитного inter process communication любой процесс, запущенный в ОС, имеет множество способов прямого и косвенного воздействия на другие процессы, запущенные в этой же ОС. По этой причине то, что не должно пересекаться, лучше разносить по разным ОС в виртуалках. В простейшем случае есть хостовая ОС и одна гостевая. Использовать Tor под хостовой ОС плохо, например, из-за утечки информации о железе (предполагаем эксплоит на браузер), поэтому остаётся вариант гостевой ОС. Следовательно, Tor придётся запускать на хосте, других вариантов нет.


Как же вы задрали все [3]! Уже третий вброс за последнюю неделю-две.


Прочитайте оригинал. Там говорилось, что по ошибке он зашёл одновременно как в свой реальный (зарегистрированный на реальные данные), так и в фейковый аккаунт.

> фильтрует рекламные сайты.
Ведёт к профилированию, а профилирование — к деанону.

Теоретически это верно, но предполагает два условия

1. Централизованная база данных, позволяющая собирать статистику с рекламных сайтов.

2. Почти во все браузерах есть плагины для вырезания рекламы, и многие этим пользуются. Поэтому блокирование рекламы не является уникальным явлением.

Не всегда есть возможность пользоваться ТББ с javascript. Снижение анонимности из-за нестандартных настроек браузера (или вообще другого) скорей всего выше, чем от рекламного фильтра. Т.е. если не используется стандартный ТББ, то рекламный фильтр – слабая поправка к уровню анонимности.

Отключеный javascript вместе с рекламным фильтром значительно повышает удобство, т.к. страницы намного быстрей загружаются. Хотя к анонимности это не относится.

> Чем отличается chroot от тюрьмы (jail)? По-моему это реализация одного и того же, только в разных ОС.
Уже обсуждалось

Не нахожу противоречия. Разные реализации могут давать разный эффект. Но реализуют один и тот же принцип. Тем более что в конкретной системе (Linux или BSD) обычна доступна только одна из них.

ОС, использующая Tor, ближе к компрометации, чем та, которая просто транслирует её трафик. В частности, чтобы полностью деанонимизировать пользователя, достаточно иметь local root exploit, если Tor запущен локально, но нужно иметь remote root exploit, чтобы скомпрометировать анонимность через взлом роутера. Найти ошибку второго рода значительно труднее. Кроме того, из-за паразитного inter process communication любой процесс, запущенный в ОС, имеет множество способов прямого и косвенного воздействия на другие процессы, запущенные в этой же ОС. По этой причине то, что не должно пересекаться, лучше разносить по разным ОС в виртуалках.

Пункт опроса сформулирован так, что Тор-клиент подразумевается за VPN-сервером, т.е. не контролируется физически. Написанное выше вроде понял. Чтобы браузерному эксплойту было труднее взломать Тор, последний нужно поместить в другой ОС – виртуально или физически. В общем, наиболее безопасный вариант – это последовательность: машина с браузером (в chroot или виртуалке) – Тор-роутер – VPN-роутер.

Нет. Есть разные технологии, которые могут быть смешаны друг с другом самым причудливым образом. Нет возможность перечислять все mⁿ комбинаций того, что может быть. Я перечислил технологии. Например, пункт — «Использование VPN»: это ничего не говорит о виртуалках и всём остальном. Это только означает, используется ли где-либо в схеме анонимности VPN, и не более того.


Не наиболее, наверно (нет тут максимума, всегда можно наворачивать до бесконечнеости), но один из рекомендуемых. В зависимости от потребностей пользователя может быть множество вариаций. Могут понадобиться неанонимные каналы или несколько анонимных, критичных к смешиванию, и т.д. На мой взгляд, главное:

1. Не запускать браузер в ОС, которая крутится на голом железе (утечёт уникальная информация, которую потом можно будет восстановить при осмотре оборудования, случись что).
2. Не запускать те профили, которые нельзя смешивать, в одной и той же (гостевой) ОС.

Выполнение остальных требований/рекомендаций — уровень субъективной паранои/удобства.

Недавно прочем на одном форуме один совет для повышения своей анонимности при работе через Tor.
Форум, как ни смешно, по Android'ам, но тем не менее: человек рекомендует при работе на десктопе запускать Tor не клиентом, как обычно это делается, а мостом, мотивируя, что при этом через десктоп будет идти масса трафика других торовцев, которая будет замечательно маскировать ваш собственный трафик, и стороннему наблюдателю на этом общем фоне будет затруднительно анализировать вашу активность и другие демаскирующие факторы.

Do I get better anonymity if I run a relay?.
Против продвинутого локального наблюдателя, уровня интернет-провайдера, это может не повышать анонимность, если у него стоит продвинутое следящее оборудование, разбирающее входящий и исходящий трафик по корреляциям пакетов и отфильтровывающего на фоне этих корреляций пакеты самого пользователя.