Tor и безопасность
Если я буду пользоваться Тором, и понаделаю каких-нибудь делов, после которых, допустим, мною могут заинтересоваться органы: то, возможен ли такой ход событий, город, в котором я нахожусь, фактически известен, и могут ли эти органы выйти на предполагаемого подозремаевого таким путем :увидеть в логах посещений сайта, что человек заходил с помощью Тора (возможно ли это ?) и сопоставив это, узнать у провайдера выходил ли кто-нибудь из пользователей в конкретное время через Tor (вопрос – видит ли провайдер, что пользователь выходит именно через Тор или соединяется с его серверами ?, т.к. часто в названии торовских серверов содержится "tor") ?
Ссылки
[link1] https://www.pgpru.com/novosti/2007/0528koncepcijaglobaljnogonabljudateljapodlezhitperesmotru
[link2] https://www.pgpru.com/comment37624
[link3] http://flibusta.net/b/199927/read
[link4] https://www.schneier.com/blog/archives/2006/08/trackmenot_1.html
[link5] https://www.pgpru.com/comment53266
[link6] https://www.pgpru.com/comment41506
[link7] https://www.pgpru.com/comment54034
[link8] https://www.pgpru.com/comment51567
[link9] https://www.pgpru.com/comment23399
[link10] https://www.pgpru.com/razrabotki/dvizhok/pererabotkaprogrammy
Провайдер фиксирует ip-адреса tcp сеанса, время, объем информации. Это стандартная информация которую пишут практически все операторы. Раньше это было важно для билинга, а сейчас для оперативных мероприятий (хотя закона в РФ про логи нет, но оператор не хочет быть крайним при наличии вопросов со стороны органов).
Если использовали прямой коннект в тор сеть, или адреса бриджей, то выяснить кто пользовался тором в опеределеное время возможно. Но нужен механизм обработки всего массива данных с нетфлоу, то есть орган должен озаботиться указанием всех известных им адресов тора, ну или как-то уговорить админов оператора выполнить дополнительную работу. Однако, проще считать что такой информацией, как контакт с сетью тор, атакующий владеет, и действовать исходя из этих данных.
Даже при использовании бриджей, в том числе с обфускацией, не следует забывать что есть парадокс бриджей: любую связку адрес+порт из логов можно постфактум перепроверить на понимание тор протокола.
/Новости/2007/05-28-КонцепцияГлобальногоНаблюдателяПодлежитПересмотру[link1]
Если пользователь заходит на сайт, висящий на хостинг-площадке его собственного провайдера, то деанонимизация тривиальна.
Exit-ноды Tor не скрываются. Их список публично известен. Есть даже автоматизированные бан-системы тех, кто соединяется под Tor-ом.
Как вам выше уже отписали, и провайдер и сайт знают, что вы используете Tor, но одновременно с вами Tor используют и десятки тысяч людей по всему миру.
Другое дело — особенности сайта (читай, социнженерия). Если заранее известно, что сайт может быть интересен только узкому кругу лиц (деревне, селу), а туда всего 2 человека, к примеру, заходят через Tor, при этом только два человека в селе в принципе пользуются Tor'ом, то, сопоставляя с логи, всё получим.
Только дело здесь не в Tor'е, а в том, что иногда можно существенно сузить круг поиска. Это как если пропали секретные документы, то искать будут не у каждого встречного, а среди тех, кто имел к ним доступ. Для деанона в Tor проще всего начинать поиск с технически подкованных лиц. Их список получить на уровне провайдера не сложно — достаточно обрисовать социальный портрет по посещаемым сайтам.
Самое время включит аддон (забыл название, тот что ходит по рандомным сайтам) в лисе, и превратить ваш социальный профиль в трэш.
Можно поподробнее, что это значит?
Посещаемые сайты можно узнать исходя из логов провайдера конкретного пользователя. Но как мы узнаем у какого провайдера кого надо искать, исходя из сообщений на сайте, если сайт не узкоспециализирован?
Да, да, рандомные запросы будут вызывать особенное внимание, потому будут браться на карандаш сразу :)
Кто нам мешает проверить всех провайдеров в данном селе/городе и их пользователей? Разве это много? Вот, будет исчерпывающий список. Напишем фильтр, который сразу напишет, кто посещает pgpru.com, допустим. И т.д.
/comment37624[link2]. Ещё раньше у нас обсуждалось. Суть в том, что поскольку посещение сайтов будет рандомным, оно с некоторой вероятностью будет ходить и по всем абсолютно нелегальным сайтам, т.е. в итоге даже по формальным признакам привлечёт к себе больше внимания, чем профиль среднестатистический пользователя. Ну или будут у вас в поиск запрашиваться в т.ч. слова, нежелательные для поиска.
Одно чье-то мнение, это обсуждение? Или стоит почитать весь тред, и найти что не всё так однозначно. Откуда взяться нелегальным сайтам?
И кто вообще заставляет весь ваш социализирующий трафик запускать напрямую, что мешает новостные, развлекательные, сайты с котиками смотреть напрямую, туда же одноклассников с вконтактами, а все лоры строго зашифровать торами и впнами?
Ссылка ведёт не на тот тред. Была ещё одна ссылка, на эту же тему, ломает искать, потому передал своими словами. Может как-то проблема обходится, но, боюсь, это нереально. Нормальный браузинг может делать разве что реальная человекообезьяна с вашего же компьютера.
Это только если сильно заморачиваться. Да и если не хочется котиков смотреть, слишком высок будет процент того, что шифруется в трафике.
Дать другу прокси погонять. Или, что интереснее, ходить в сеть с одного и того же роутера, что и родители (родственники, знакомые), но весь свой трафик шифровать. Получится много обычного трафика и немного шифрованного. Почти в самый раз.
Выгуглен[link3] в тему (случайно не в тот тред отправил).
Или расшарить точку доступа. И как-то сказать об этом соседям. При умелой настройке уровня сигнала, и выборе антенны, и некоторых познаниях о моральном облике соседей, можно будет спать спокойно, и сделать "свой" профиль наконец.
Соседи плохо подходят, т.к. легко спалятся и деанонимизируются и станет ясно, что вы предоставляете свою точку доступа посторонним (договор у провайдера заключается на одно лицо), что немного подозрительно. В случае с родственниками возможен факт совместного проживания в одной квартире, так спрятать свой трафик проще и естественнее. Но если живёшь отдельно, то плохой вариант, т.к. прокидывать туннель до них подозрительно, нужна
женадругой сожитель, за которым можно спрятаться.Так появляется другая проблема — вашего трафика не будет видно, только чужой. И если известно что вы проживаете в данной квартире, то подозрительно, что вас не видно в логах. Но в случае атаки «тупого» фильтра это не существенно.
А можно вопрос: складывается такое ощущение, когда скачиваешь файл через Tor, что качаешь напрямую, а не через три посредника (подозрительно быстро), можно ли как то проверить IP во время скачки, может есть сервис какой-нибудь ?
https://check.torproject.org. Если цепочка быстрая, то ничего удивительного. Тем не менее, большие файлы качать для анонимности не рекомендуется.
Упоминаемый плагин к FF предназначен скорее для того, чтобы затроллить правоохранительные органы заведомо большим числом запросов, многие из которых выглядят как умышленно незаконные. Это что-то типа виртуального пикета протеста или некоей акции, когда формально не нарушая закон, хотят показать своё несогласие или неповиновение по отношению к установленным порядкам.
Цитата одного из комментаторов Шнайера, вынесенная им прямо в оригинальный авторский постинг[link4], по поводу плагина к FF доставляет:
сам по себе tor мало полезен, так как сеть tor создаёт весьма характерный трафик. Нужен доступ к Сети, который затрудняет определение устройства. Например вполне пойдёт одноразовый китайский модем с одноразовой сим картой, но Вас легко могут запомнить при покупке ;) Встроенный WiFi плох тем, что видно производителя карты, меняй ты mac, не меняй, но в airmon-ng+ wireshark прекрасно видно, что wifi карта та же самая. Хотя наверняка есть какие нибудь китайские карты, в которых можно настроить любое имя производителя.
Что имелось в виду?
Определение устройства кем, wifi-точкой провайдера?
Тема анонимности через одноразовые устройства (типа /comment53266[link5] и /comment41506[link6]) уже давно требует своего ответа в FAQ. Unknown недавно писал на эту тему, но пост нагуглить не смог (анонимность для широких масс vs анонимность при высоких вложениях и стоимости для узкого круга лиц).
Всё это напоминает следующее: есть масса народных кустарей-умельцев, которые матчасть не изучали никогда, но пытаются своими силами типа изобрести метод «как добиться анонимности». Естественно, они считают, что условный ZOG всё может, потому якобы самый простой и самый надёжный способ достичь анонимности — интернет-кафе с одноразовыми устройствами, одноразовые ноутбуки, одноразовые телефоны с одноразовыми симками и т.д. Кулхацкерство изо всех щелей. То, что это — разовые и рискованные методы, которые в один неожиданный момент могут не пройти, задумываться не принято. Это такая же анонимность, как доказательство высочайшей анонимности с пеной у рта для способа «убил, труп вывез ночью, тело закопал, не найдут 100%, гарантия». Уже нет сил комментировать это дешёвое ребячество с интернет-кафе, ssh-тунелями до амазона, разовые сим-карты и т.д.
а зачем комментировать? нужно один раз аргументированно сказать, что никакой анонимности нет. и в перспективе достичь ее невозможно, если только вы никому не нужны и не совершаете, с точки зрения закона, никаких противоправных действий. все! протокол, подпись и печать...
в противном случае, эта тема будет всплывать бесконечно.
Ps есть еще выражение:"Горе от ума". врагу не даешь шанс на ошибку, по определению считая, что он в курсе всего и все может. недооценивать противника глупо, но и считать его всемогущим – загнать себя в угол!
Имелось в виду, что на практике Китай блокирует TOR, что очевидно означает, что факт использования tor обнаружить можно.
Если ставить вопрос, пишется ли вендор-mac в логах или нет, то лучше предпологать, что пишется. Написать скрипт, который будет с бука писать соответствия mac-vendor можно за 5-15 мин, если помнить фильтры сниффера. Лично мне смотря в сниффер куда проще ориентироваться по вендорам, нежели по mac адресам, потому опять же моё скромное мнение – смена mac при оставлении того же вендора дают мало толку в достижении анонимности.
Да, я так и написал же. При покупке модема легко могут запомнить ;)
Одноразовый скорее правильнее понимать не физически одноразовое устройство, а логически одноразовое. Т.е. не работающее с 2мя одинаковыми паттернами дважды(хотя бы на канальном уровне представления. Физического паттерна устройства избежать гораздо труднее ). Почему речь шла про китайские модемы? В них не редко есть возможность поменять любые названия и идентификаторы.
Итак, возвращаясь к данному топику, на практике мы имеем ситуацию, когда применение tor в небольшом городке можем привести к двум событиям. 1 – три пользователя из 15 тыс использовали TOR и произошло событие X. и 2- событие X произошло из-за воздействия exit node Tor. В итоге может оказаться, что использование Tor в среде, где его пользователей пренебрежимо мало только ухудшает анонимность. Логично, что если бы данной сетью пользовалось бы большое количество людей, то я бы рассуждал совсем иначе. Но в контексте данной задачи
получается, что всё зависит от того способен ли провайдер распознать TOR.
Далее пути решения для данного случая, если известно, что факт использования TOR обнаруживается, то его либо нельзя использовать с персонального аккаунта, либо нужно использовать с анонимного аккаунта просто перенося угрозу потери анонимности в сферу купли продажи о чём я и написал. Это тоже плохо, но всё же лучше, чем ничего(т.е. у провайдера один клиент подключенный к TOR и атака тоже пришла из TOR. Что почти эквивалентно атаке прямо так, напрямую )
Вернёмя к ssh тоннелям. Их использование я предлагал в контексте задачи, в которой он подходил вместо tor, просто потому, что меньше угроз, и если анонимность не сильно критична, то ssh лучшее решение в том случае. Т.е. если пользователь хочет получать смс, но уверен, что к облачному провайдеру не придут люди в штатском, то ssh тоннель(или любой другой, который висит каждый день весь аптайм компьютера) отлично подходит, так как хотя есть факт деанонимизации, но для её проведения нужно прослушивать интернет там, где, его прослушивание не предполагается.
Такая защита достаточна и не привлекает внимания, именно поэтому выбран ssh и амазон и именно поэтому ssh over tor не лучшая идея. Постоянно подключенный ssh к серверу отнюдь не уникальное явление, а прослушать оный всё равно не могут. Также ssh надёжнее защищён от MiM, чем tls/ssl без сертификата у пользователя, если конечно ssh ключики были получены надёжным путём. а поднять exit ноду TOR не скомпрометировав её для проведения таких атак и прочих атак на пользователей сети tor просто некрасиво по отношению к этим самым пользователям. Если же известно, что tor в городе, где находится пользователь, используется у каждого, то именно tor будет очевидным выбором, только нужно более внимательно следить за адресной строкой браузера, впрочем всё можно настроить.
Всё верно говорите, у людей очень развита способность находить так много раз упоминавшиеся паттерны, что сводит на нет многие методы защиты.
p.s.
на практике из Китая почти 100% можно выйти в интернет через ssh, более сложно через I2P( нужны файлики для маршрутизатора, так как reseed заблокирован, но если их скачать вручную из другого места, то i2p работает, впрочем и с SSH ключи тоже желательно привезти с собой ), VPN как повезёт, TOR хуже всех, бриджи не работали (информация несколько устарела, но в принципе можно снова арендовать сервер в Китае и протестить всё и вся). Т.е. на практике сеть обеспечивающую анонимность лучше всех просто заблокировали и теперь она не обеспечивает анонимность потому что не работает. Как только будут подвижки с этими сетями в реальном мире, можно будет поменять мнение в пользу более анонимного TOR, но пока увы и ах.
Как раз с персективе достичь её возможно, если правильно использовать правильные средства и не лезть на рожон, привлекая к себе излишнее внимание. Если никакой анонимности нет, то о чём весь этот сайт?
Ну да, mac неслучаен.
Наверно. Но и выставление абсолютно случайного mac можно легко детектировать и подпасть под простое профилирование по этому признаку.
Действие с exit-ноды автоматически говорит о том, что это сделал именно кто-то из проживающих в этом городе? Ну тогда да.
Тогда чем хуже[link7] User PC → ssh-server → Tor-network → ресурс? Провайдер не будет видеть, есть ли Tor после ssh. Впрочем, подозреваю, ssh-протокол, как и все VPN, элементарно профилируется на предмет того, для чего он используется: просто для переброса файлов, для удалённого администрирования или web-браузинга. В Tor-протоколе такая защита (хоть на каком-то уровне) есть, а в VPN-протоколах — нет.
Во-первых, /comment51567[link8]. Во-вторых, цель Tor — анонимный транспортный протокол из точки A в точку B. Как обойти цензуру или скрыть пользование этим транспортом, сам Tor по сути не решает (бриджи — ad hoc решение на уровне затычки). Вот для этого и можно использовать остальные инструменты: ssh-тунели, VPN-тунели, прокси и т.п., только не вместо Tor, а как часть маршрута между точкой исхода трафика и entry-нодой Tor.
хороша формула успеха и никакой конкретики.
а я так себе понимаю, если я говорю что это возможно, то называю четкие(!!!) условия:
1.
2.
3....
в противном случае – все слова. равно как ненадежность левой сим, паленость wifi точек, одноразовые ноуты(неты) и т.д.
конечно надежнее подключится к инету по своему паспорту через кабель и пытаться анонимизировать свое присутствие путем тотальной фильтрации и распределенного пользования (профилирования) ресурсами компа и ПО.
Для анонимности чёткие условия невозможны, даже теоретически — только общие аргументы, за и против (качественный язык, а не количественный). Всегда есть ненулевая вероятность, хоть и достаточно малая, что не повезёт, но это не значит, что стоит отказаться даже от тех мер, что уже существуют для использования.
Единственное, что чётко известно — доказанная стойкость одноразового блокнота в идеальных условиях. Даже безопасность асимметричной криптографии включает в себя «нечёткую» вероятность нахождения быстрого алгоритма факторизации, не говоря уже про симметричные алгоритмы. С ИБ в целом всё во много раз хуже. Ну а с анонимностью... в общем, вы поняли.
Кажется, нашёлся кто-то, кто может уесть spinore по длине постинга. Ну, держитесь.
Без специального спрея для троллей никак?
Троллинг стал тоньше? Вот ты мужик или как? Конкретика есть? Нужна чёткая конкретика, когда тебя можно считать мужиком. Вот если одно яйцо обрезать, ты будешь мужиком? А если два? А если одно яйцо лишнее, ты мутант или мужик? А начиная с какого уровня тестостерона в крови можно тебя считать мужиком? А если предстательной у тебя нет, то как? А если накачать женскими гормонами так, что соловьём запоёшь, ты будешь мужик или кастрат? Или гермафродит? Никакой конкретики. Совсем. Всё пустые слова. Раз нет конкретики, определить пол невозможно.
так это понятно, но не все принимают такую точку зрения. нет абсолютных понятий. все относительно, в том числе и анонимность. но стоит ли таким способом реагировать на практические способы решения:
есть теория, а есть практика. что является критерием истины?
Эти "практические" способы решения, особенно используемые на регулярной основе, Как в своё время unknown написал про цепочки прокси и VPNы, так и про это нужно.
Проблема в том, что у многих пользователей такие модели угрозы, которые не было интересно рассматривать. Например, для них онлайновая анонимность — это приложение к некоему нелегальному действию в реальной жизни, причём не разовому, а регулярному.
Методы анонимности для тех, кому органично заниматься всевозможными обналичками, закладками, стрелками, действительно отличаются от тех, кому например нужно анонимно и безвозмездно единоразово слить документы о каких-либо злоупотреблениях.
понятно что методы решения задач различаются в зависимости от целей. но разве здесь обсуждаются решения для исключительно праведных задач? и как определить задача, которую требуется решить, ведет к праведным или неправедным целям? вот защита от действий полиционеров, можно считать по определению неправедной?
если самоцель состоит в использовании tor (это весьма благая цель), то почему нет. А так между сервером и google не предполагалось угроз. Зачем их создавать пуская соединение через tor?
зачем случайный? Выставлять надо mac адрес другого клиента, который почти не шлёт пакеты и которых находится подальше от точки доступа. Но... mac адрес мы скрыли, а vendor не скрыли и он у нас уникален скорее всего в радиусе действия точки доступа
Это говорит с кого надо начать проверять.
Конечно если нужна анонимность, то жертвуем угрозами создаваемыми сетью TOR( MiM на exit node ), если нужно обойти цензуру, то используем tor внутри ssh. Насчёт профилируемости – защита от профилирования скорость в несколько кб и качать в фоне /dev/urandom в обе стороны. Вообще вопрос с профилированием ssh очень интересен. Собственных средств у ssh нет для защиты от оной напасти.
Так о чём и речь! А в той задаче была цель отправлять и получать смс через web сервис и задача, чтобы номер не был известен в РФ и не был связан с ip адресом. В данной задаче tor необязателен, т.е. создаёт оверхед. tor нужен если нужны дополнительные требования к анонимности иначе в случае нам не нужна защита от определения факта соединения с своим сервером использование tor создаёт дополнительную угрозу MiM. Если цель – больше анонимности, то мы готовы променять безопасный не анонимный маршрут, на более анонимный маршрут с MiM
согласен, если цена анонимности для пользователя ниже опасности скомпрометированной exit node, то есть ли смысл менять меньшие риски на большие. Те, кто делает что либо нелегальное скорее всего будет пойман по следам оставленным в реальном мире. Те, кто создал ботнет сети итак имеют свою армию замаскированных серверов, всё итд. Все модели угроз разные и tor не панацея от каждой из них.
вся анонимность TOR заключается в числе узлов сети. Чем их больше, тем выгоднее юзать TOR для анонимизации. Если узел один на город и если очевиден факт обнаружения этого транспорта, то использование этой сети скажем чтобы послать письмо с разоблачениями в тот же самый город не самая лучшая идея. Тут скорее надо как-то сильно разносить во времени между отправкой письма и получением, т.е. искать другие пути для увеличения анонимности.
для того, чтобы знать как скажем защитить сервер полезней всё таки предполагать, что люди действуют из плохих побуждений
Здесь не обсуждаются решения для явно противозаконных задач (и по духу и по букве закона): мошенничество, кардерство, кража денег, рассылка спама, взлом и т.п. Скорее, цель сайта — правозащитная[link9] направленность. Об этом же и здесь[link10] пишется.
unknown, по-моему, позиция разработчиков тора несколько другая чем защита «единоразового слива документов». В том видео про блокировку правительствами они как раз показали сильную озабоченность цензурой в тоталитарных странах типо Китая и способами её решения. На единоразовое нарушение желание свободно общаться и посещать ресурсы не тянет, согласитесь?
Хотя они там же огласили позицию, что они не борются конкретно с Китаем, а улучшают продукт согласно обстоятельствам и нуждам пользователей.
А закон сам себе частенько противоречит, в том числе и в России. С одной стороны свобода слова и доступа к информации, с другой запрет к так называемым экстремистким ресурсам и всяческие прелести типо 282. Не всё наказывается, но многое является незаконным.
Для слива же вроде Freenet как раз лучше подходит? Там ни выход в сеть, ни скорость особо не критичны, тогда как анонимность на первом месте, что позволяет использовать покрывающий трафик и другие способы дополнительной защиты.
Это не сценарий сокрытия факта использования тора в рамках маленького города. Более того, они предупреждают, что цензурозащищённость не имеет ничего общего со стеганографией или отрицаемостью. Это временное сокрытие, чтобы можно было пользоваться, пока не перекроют канал, а сам факт этого использования не является критичным в случае определения.