Tor и безопасность

Провайдер фиксирует ip-адреса tcp сеанса, время, объем информации. Это стандартная информация которую пишут практически все операторы. Раньше это было важно для билинга, а сейчас для оперативных мероприятий (хотя закона в РФ про логи нет, но оператор не хочет быть крайним при наличии вопросов со стороны органов).

Если использовали прямой коннект в тор сеть, или адреса бриджей, то выяснить кто пользовался тором в опеределеное время возможно. Но нужен механизм обработки всего массива данных с нетфлоу, то есть орган должен озаботиться указанием всех известных им адресов тора, ну или как-то уговорить админов оператора выполнить дополнительную работу. Однако, проще считать что такой информацией, как контакт с сетью тор, атакующий владеет, и действовать исходя из этих данных.

Даже при использовании бриджей, в том числе с обфускацией, не следует забывать что есть парадокс бриджей: любую связку адрес+порт из логов можно постфактум перепроверить на понимание тор протокола.

/Новости/2007/05-28-КонцепцияГлобальногоНаблюдателяПодлежитПересмотру
Если пользователь заходит на сайт, висящий на хостинг-площадке его собственного провайдера, то деанонимизация тривиальна.

Exit-ноды Tor не скрываются. Их список публично известен. Есть даже автоматизированные бан-системы тех, кто соединяется под Tor-ом.


Как вам выше уже отписали, и провайдер и сайт знают, что вы используете Tor, но одновременно с вами Tor используют и десятки тысяч людей по всему миру.

Другое дело — особенности сайта (читай, социнженерия). Если заранее известно, что сайт может быть интересен только узкому кругу лиц (деревне, селу), а туда всего 2 человека, к примеру, заходят через Tor, при этом только два человека в селе в принципе пользуются Tor'ом, то, сопоставляя с логи, всё получим.

Только дело здесь не в Tor'е, а в том, что иногда можно существенно сузить круг поиска. Это как если пропали секретные документы, то искать будут не у каждого встречного, а среди тех, кто имел к ним доступ. Для деанона в Tor проще всего начинать поиск с технически подкованных лиц. Их список получить на уровне провайдера не сложно — достаточно обрисовать социальный портрет по посещаемым сайтам.

Их список получить на уровне провайдера не сложно — достаточно обрисовать социальный портрет по посещаемым сайтам.

Самое время включит аддон (забыл название, тот что ходит по рандомным сайтам) в лисе, и превратить ваш социальный профиль в трэш.

Для деанона в Tor проще всего начинать поиск с технически подкованных лиц. Их список получить на уровне провайдера не сложно — достаточно обрисовать социальный портрет по посещаемым сайтам.

Можно поподробнее, что это значит?
Посещаемые сайты можно узнать исходя из логов провайдера конкретного пользователя. Но как мы узнаем у какого провайдера кого надо искать, исходя из сообщений на сайте, если сайт не узкоспециализирован?

Самое время включит аддон (забыл название, тот что ходит по рандомным сайтам) в лисе, и превратить ваш социальный профиль в трэш.

Да, да, рандомные запросы будут вызывать особенное внимание, потому будут браться на карандаш сразу :)

Посещаемые сайты можно узнать исходя из логов провайдера конкретного пользователя. Но как мы узнаем у какого провайдера кого надо искать, исходя из сообщений на сайте, если сайт не узкоспециализирован?

Кто нам мешает проверить всех провайдеров в данном селе/городе и их пользователей? Разве это много? Вот, будет исчерпывающий список. Напишем фильтр, который сразу напишет, кто посещает pgpru.com, допустим. И т.д.

Самое время включит аддон

/comment37624. Ещё раньше у нас обсуждалось. Суть в том, что поскольку посещение сайтов будет рандомным, оно с некоторой вероятностью будет ходить и по всем абсолютно нелегальным сайтам, т.е. в итоге даже по формальным признакам привлечёт к себе больше внимания, чем профиль среднестатистический пользователя. Ну или будут у вас в поиск запрашиваться в т.ч. слова, нежелательные для поиска.

Ещё раньше у нас обсуждалось. Суть в том, что поскольку посещение сайтов будет рандомным, оно с некоторой вероятностью будет ходить и по всем абсолютно нелегальным сайтам, т.е. в итоге даже по формальным признакам привлечёт к себе больше внимания, чем профиль среднестатистический пользователя. Ну или будут у вас в поиск запрашиваться в т.ч. слова, нежелательные для поиска.

Одно чье-то мнение, это обсуждение? Или стоит почитать весь тред, и найти что не всё так однозначно. Откуда взяться нелегальным сайтам?

И кто вообще заставляет весь ваш социализирующий трафик запускать напрямую, что мешает новостные, развлекательные, сайты с котиками смотреть напрямую, туда же одноклассников с вконтактами, а все лоры строго зашифровать торами и впнами?

Или стоит почитать весь тред, и найти что не всё так однозначно. Откуда взяться нелегальным сайтам?

Ссылка ведёт не на тот тред. Была ещё одна ссылка, на эту же тему, ломает искать, потому передал своими словами. Может как-то проблема обходится, но, боюсь, это нереально. Нормальный браузинг может делать разве что реальная человекообезьяна с вашего же компьютера.

И кто вообще заставляет весь ваш социализирующий трафик запускать напрямую, что мешает новостные, развлекательные, сайты с котиками смотреть напрямую, туда же одноклассников с вконтактами, а все лоры строго зашифровать торами и впнами?

Это только если сильно заморачиваться. Да и если не хочется котиков смотреть, слишком высок будет процент того, что шифруется в трафике.

реальная человекообезьяна с вашего же компьютера

Дать другу прокси погонять. Или, что интереснее, ходить в сеть с одного и того же роутера, что и родители (родственники, знакомые), но весь свой трафик шифровать. Получится много обычного трафика и немного шифрованного. Почти в самый раз.

Выгуглен в тему (случайно не в тот тред отправил).

Дать другу прокси погонять. Или, что интереснее, ходить в сеть с одного и того же роутера, что и родители (родственники, знакомые), но весь свой трафик шифровать. Получится много обычного трафика и немного шифрованного. Почти в самый раз.

Или расшарить точку доступа. И как-то сказать об этом соседям. При умелой настройке уровня сигнала, и выборе антенны, и некоторых познаниях о моральном облике соседей, можно будет спать спокойно, и сделать "свой" профиль наконец.

Соседи плохо подходят, т.к. легко спалятся и деанонимизируются и станет ясно, что вы предоставляете свою точку доступа посторонним (договор у провайдера заключается на одно лицо), что немного подозрительно. В случае с родственниками возможен факт совместного проживания в одной квартире, так спрятать свой трафик проще и естественнее. Но если живёшь отдельно, то плохой вариант, т.к. прокидывать туннель до них подозрительно, нужна жена другой сожитель, за которым можно спрятаться.
Так появляется другая проблема — вашего трафика не будет видно, только чужой. И если известно что вы проживаете в данной квартире, то подозрительно, что вас не видно в логах. Но в случае атаки «тупого» фильтра это не существенно.

А можно вопрос: складывается такое ощущение, когда скачиваешь файл через Tor, что качаешь напрямую, а не через три посредника (подозрительно быстро), можно ли как то проверить IP во время скачки, может есть сервис какой-нибудь ?

https://check.torproject.org. Если цепочка быстрая, то ничего удивительного. Тем не менее, большие файлы качать для анонимности не рекомендуется.

Упоминаемый плагин к FF предназначен скорее для того, чтобы затроллить правоохранительные органы заведомо большим числом запросов, многие из которых выглядят как умышленно незаконные. Это что-то типа виртуального пикета протеста или некоей акции, когда формально не нарушая закон, хотят показать своё несогласие или неповиновение по отношению к установленным порядкам.

Цитата одного из комментаторов Шнайера, вынесенная им прямо в оригинальный авторский постинг, по поводу плагина к FF доставляет:

Imagine a cop pulls you over for speeding. As he approaches, you realize you left your wallet at home. Without your driver's license, you could be in a lot of trouble. When he approaches, you roll down your window and shout. "Hello Officer! I don't have insurance on this vehicle! This car is stolen! I have weed in my glovebox! I don't have my driver's license! I just hit an old lady minutes ago! I've been running stop lights all morning! I have a dead body in my trunk! This car doesn't pass the emissions tests! I'm not allowed to drive because I am under house arrest! My gas tank runs on the blood of children!" You stop to catch a breath, confident you have supplied so much information to the cop that you can't possibly be caught for not having your license now.

Представьте, что полицейский останавливает вас за превышение скорости. Пока он приближается, до вас доходит, что вы забыли дома свой бумажник. У вас будут серьёзные проблемы из-за отсутствия водительских прав. Когда он подходит, вы опускаете стекло и кричите: "Эй, офицер! У меня нет страховки на эту машину! Эта машина украдена! В моём бардачке лежит травка! У меня нет с собой водительских прав! Я сбил пожилую женщину пару минут назад! Я проезжаю на запрещающий сигнал каждым утром! В моём багажнике — труп! Моя машина не прошла тесты на уровень безопасных выбросов! Я не допущен к вождению, потому что нахожусь под домашним арестом! Мой бензобак работает на крови младенцев!" Вы останавливаетесь, чтобы перевести дыхание, увереренный в том, что нагрузили копа таким большим количеством информации, что теперь он скорее всего не сможет поймать вас на том, что у вас нет с собой водительских прав.