Подозрительная информация о деанонимизации тор
По ряду каналов пришла следующая инфа (реконструирую диалог и убираю несущественные детали):
СВИДЕТЕЛЬ: Я так понял – подсоединялся он прямо у провайдера, не со стороны (приходил к прову со своим лэптопом)
СВИДЕТЕЛЬ: Видели следующее. Человек пришел к провайдеру, подсоединился со своего ноута через тор к нему, и
в течение пары секунд программа выдала всю цепочку нод и конечный айпи
СПРАШИВАЮЩИЙ: Нужно хотя бы точно сказать что он видел, что конкретно?
СВИДЕТЕЛЬ: Ну а подтверждений кроме голословных заявлений тоже нет
СВИДЕТЕЛЬ: Тор сломала прога которая предназначена для слежки на пиринговыми сетями
СВИДЕТЕЛЬ: При чем тут пиринговые сети – я не смог выяснить. Человек утверждал – на его глазах тор был пробит за секунды!!!!
СВИДЕТЕЛЬ: То есть – если ты под тором зашел на какой то форум, или сайт – программа отследит всю цепочку и выйдет на твой айпи
СВИДЕТЕЛЬ: Эта программа за считанные секунды отследила цепочку нод и конечный айпи
СВИДЕТЕЛЬ: У провайдера стоит программа – по отслеживанию пиринговых сетей
СВИДЕТЕЛЬ: И то ли оттуда через тор на сайт какой то подсоединились, то ли отслеживали соединение со стороны – я так и не понял толком
СВИДЕТЕЛЬ: Приходит человек к провайдеру
СВИДЕТЕЛЬ: А вот обычный прокси-элит – не пробивает якобы
СВИДЕТЕЛЬ: Пробовали анонимизер в конце ставить – тоже пробило
СВИДЕТЕЛЬ: Провайдер сказал – фигня твой тор – пойдем покажу как он пробивается!
СВИДЕТЕЛЬ: И тот – провайдер (он работает на узле провайдерском (сори за дилетантизм. но я не знаю как это называется))
СПРАШИВАЮЩИЙ: У кого ?
СВИДЕТЕЛЬ: Это мой приятель – а пров – его хороший знакомый. Вот они о торе о спорили
СВИДЕТЕЛЬ: Я так понял – у них перед этм разговор о торе был
Я сам отношусь к подобному довольно скептически, и осознаю ряд потенциальных дыр,
испольузя которые можно деанонимизировать тор (трояны, неверная настройка, и т.п.),
но всё же меня гложат сомнения. есть ли ещё какая-либо информация по этому поводу,
которая помогла бы разобраться в вопросе?
комментариев: 11558 документов: 1036 редакций: 4118
Да. Или этот узел сидит на двух IP, один из которых используется для входящих соединений (и опубликован в консенсусе), а другой — для исходящего трафика.
В текущем протоколе тор эта атака много менее практична чем альтернативы (afair).
Да, только это очень большое число ключей, которыми в общей сложности владеют много независимых людей. Если они все сговорятся, то да (как раз параллели с цитатой из соседней ветки).
Ну или звездолёт-телепортатор. Вероятность того и того примерно одинакова на текущий момент.
комментариев: 9796 документов: 488 редакций: 5664
Достаточно сговориться владельцам четырёх из шести DA-узлов, что неоднократно признавал сам Роджер. Иерархия доверия ко всем остальным ключам строится от них.
Верно, если ещё учесть что сейчас только двое владельцев корневых узла "не зависимы". Это одиночка шифропанк и группа ССС.
Вариант, при котором клиент вынужден запускаться с пустым кешем, очевидно выполним. Это один из наиболее верных и быстрых способов атаковать по unknown'у. На форуме уже бились за эту тему, и доказали что обнуления кеша возможно, даже при постоянном использовании тора.
Известно, что для для ДНС резолва ТОР поддерживает протокол Socks 4A, который отличается от Socks 4 тем, что для соединения можно указывать не только IP адрес, но и имя хоста, которое в таком случае резолвится уже сокс сервером (в данном контексте ТОРом) "на его стороне".
Но не все программы и соксификаторы поддерживают эту подверсию протокола, некоторые только Socks 4 и Socks 5, поэтому в таком случае приходится пользоваться версией 4. (т.к. 5-ю ТОР не поддерживает).
И мне самому приходилось делать таким образом, прекрасно понимая, что в этом случае провайдер знает какие сайты я посещаю, т.к. все хосты резолвятся ДНС сервером провайдера. Естессно, в таком случае, пров только знает адреса сайтов, но не знает передаваемую информацию.
комментариев: 9796 документов: 488 редакций: 5664
Tor может подерживать полное заворачивание всего исходящего трафика для TCP и UDP-DNS, если в системе есть фильтр пакетов, который может это сделать. По крайней мере в Unix это есть. Возможно и для Win есть такие программы.
Я давно не пользовался ТОРом (тормозит), поэтому может что-то уже изменилось.
Я к тому, что в случае ТС мог быть именно такой случай, когда пров по ДНС запросам видит кто куда ходит...
С чего бы это? Даже привокси ранее не поддерживающая сокс5, научилась. В то время как тор изначально (с самого начала своего существования) поддерживает все версии сокс протокола динамически, как пожелает вопрошающий сокс-клиент так и будет.
Плюс сейчас имеет днс-прокси, и транспарентные прокси в системах где это умеют. Трудно в настоящее время чему-либо утечь мимо тор.
Вы что-то путаете, та версия, которой я пользовался не поддерживала Socks 5
Возьмите исходники и поглядите, или пройдитесь по истории изменения кода. Покажите, где тор, зная сокс4а, не поддерживал или только начал поддерживать сокс5?
Вот что было найдено мною, подходящее хоть немного под описание "не поддерживает" сокс5:
Единственный раз когда была сломана поддержка (и значит не работал) сокс5 пришелся на релиз кандидат 0.0.9rc1, было это в 2004 году, но выпущенная буквально днем позже версия это исправила.
Однако вплоть до 2006 года тор имел проблемы при общении с кривыми реализациями сокс-клиентов. Вот запись:
Проблема кривых реализаций сокс-клиентов это ошибка тора?
Мысль моя в том, что не повод перекладывать проблему утечек на тор, из-за "неподдерживаемости" им сокс5.
Кроме того, в данном форуме (если пропарсить архив), много раз указывалось что желательно в сокс-клиенте наличие именно 4а, потому как 5ый может реализован в свободном стиле — "где хочу там и выясняю ip-адреса для хостов".
комментариев: 11558 документов: 1036 редакций: 4118
Да, обычно это сделано в следующем виде:
- Клиент обращается к DNS напрямую.
- Если удалось — получает IP-адрес, который отдаёт в Tor.
- Если не удалось, запрашивает DNS-resolve через сокс-прокси (т.е. через Tor).
Ну, и, как следствие, в подавляющем большинстве случаев получаем утечку запросов. Хотя технически ничто не мешает делать их все через Tor, как делает Firefox с включенной опцией network.proxy.socks_remote_dns.Чем подтвердите?