Tor-шпион?
Сколько бы раз не подключался к Тор,в списке роутеров сотни серверов, но мой Тор клиент всегда подключается к одним и тем же серверам первого уровня с небольшой скоростью соединения – Castellan, n0trace и несколько других. С чем это связано? М.б. вся анонимность в этой системе ложь и все сервера первого уровня принадлежат структурам вроде ФБР и ЦРУ? Какое Ваше мнение на этот счет. У Вас всегда разные сервера первого уровня или одни и те же?
Ссылки
[link1] http://www.pgpru.com/Форум/АнонимностьВИнтернет/ПростойСпособАтакивОбходTor
[link2] https://www.pgpru.com/proekt/wiki/ssylkiklastery
[link3] https://www.pgpru.com/proekt/wiki/pesochnica
[link4] https://www.pgpru.com/forum/anonimnostjvinternet/prostojjsposobatakivobhodtor
[link5] http://wiki.noreply.org/noreply/TheOnionRouter/TorFAQ#OutboundFirewalledPorts
[link6] http://wiki.noreply.org/noreply/TheOnionRouter/TorFAQ#ServerForFirewalledClients
[link7] http://wiki.noreply.org/noreply/TheOnionRouter/TorFAQ#LimitBandwidth
[link8] http://tor.eff.org/svn/trunk/doc/spec/control-spec.txt
Вот прямо сейчас цепочки начинаются с: BinaryMIXER, stinky, whistlermother.
Первые сервера в цепочке не могут увидеть ни КУДА вы обращаетесь, ни передаваемые данные. Последние (exit-nodes) не видят КТО запросил соединение. В общем курите доки.
В новых версиях tor введена концепция entry-guard node. По исследованиям авторов это повышает уровень анонимности: случайным образом при первом запуске tor выбираются два предпочтительных сервера для постоянного входа в сеть через них. Если они недоступны, то тогда идёт переход на случайный режим.
То что они в самом начале выбираются именно случайно и у всех разные (хотя с большой вероятностью выбираются самые быстрые), а не навязываются кем-то злоумышленно можно проверить изучив исходники программы и текущую спецификацию протокола tor.
Если сеть tor контролируется или содержит закладки, то можете быть спокойны, Вы их не найдёте такими примитивными способами. Иначе бы это уже сделали до Вас.
Если рассуждать параноидально:
В худшем случае это может быть просто отсталой "песочницой с игрушками для детей", в которой отрабатываются технологии анонимности выявляются всевозможные уязвимости (о которых могут слегка умалчивать), а реально они используются в другом месте на более высоком уровне. А сам протокол и исходники чистые.
Если Вам не нравится концепция Entry-guard, то можете отключить эту опцию в конфиге:
Если Вам интересна конспирология, то можете почитать:
http://www.pgpru.com/%D4%EE%F0..... E2%CE%E1%F5%EE%E4Tor[link1]
(Не умею я красивые ссылки ставить)
[offtopic]
unknown, учитесь[link2] и тренируйтесь[link3]. ;-) Название каждого документа указано в самом верху страницы — это путь от корня сайта: например /Форум/АнонимностьВИнтернет/Tor-шпион.
[/offtopic]
"Простой способ атаки в обход tor"[link4]
Исправляюсь ;-)
"Пятёрка". Где Ваш дневник? ;-)
Спасибо, Господа, за разъяснения. Но есть еще два вопроса. 1) Тор-клиент постоянно пытается коннектится по различным цепочкам к ip адресу 128.213.48.13 на порт 80 когда у меня никаких соединений с сайтами вообще.(whois -pasiphae.cs.rpi.edu – Rennselaer Polytechnic Institute, Troy, NY, US). Куда это он лезет? 2) Есть ли способ сделать цепочку прокси или сокс до тор и после тор соединения. (pc-isp-proxy-tor-proxy-site). Спасибо.
Некоторые серверы Tor работают на этом порту[link5], или зеркалят директории (OrPort, DirPort могут быть любыми). Это сделано дял того, чтобы пользователи Tor находящиеся за сильно блокирующими фаерволлами (например пропускающие только HTTP) могли пользоваться сетью[link6]. На второй ворпос – вроде можно ;) По крайней мере если у вас соединение через http прокси – это делает опция HttpProxy в файле torrc.
Действительно, есть такой параметр.
Насчёт использования целой цепочки прокси до, а тем более после tor, то можете попробовать программу proxychains (но только из последних версий с поодержкой socks4a). Один из участников нашего форума (spinore), кажется, с такой конструкцией экспериментировал.
В альфа-версиях tor включена также опция:
которая позволяет получать всю статистику не в открытом виде, а через саму сеть tor, по цепочке. Это затрудняет анализ траффика.
Правда придётся применить некоторый трюк – сначала загрузить первоначальную статистику обычным образом, а затем переключиться на получение её сквозь цепочки tor и всё время поддерживать в актуальном состоянии. Это можно делать не меняя конфиг и не перезапуская tor, если разрешить сервису tor получать комманды через контрольный порт с локалхоста.
Но думаю, особого смысла прибегать к таким сложностям нет.
Учтите, что tor для своей работы регулярно должен скачивать статистику и делать пробные построения цепочек, даже если Вы не генерите траффик. Это делает его идеальным средством утечки информации с Вашего компьютера, если Вы его используете в недоверенном окружении без серьёзного разделенияя доступа (наличие троянов, уязвимости или несанкционированное изменение самого бинарника tor). Поэтому традиционный антивирус или обычный персональный файрволл на исходящие соединения бесполезны в случае с tor.
Строго говоря, основное что включили в последних версиях тора – это разрешение dns-имён через тор через явно задаваемый dns-сервер в сети (есть дефолтный и он работает). Соксы я не всовывал ни до ни после..., так как слаб в поиске соксов в сети. Вообще, поиск бесплатных анонимных проксей в инете есть отдельное искусство, соксы же найти ещё сложнее. Тем более, найденный сокс может работать только сейчас, а через 5 минут отвалиться и больше не заработать никогда. К тому же, пропускная способность бесплатных проксей может оставлять желать лучшего по сравнению с тором. Правда, proxychains позволяет теперь задать список проксей, траффик через которые будет пропускаться случайным образом (то есть если какие-то прокси в списке окажутся не рабочими это будет не критично).
Если написать в конфиге Tor
HttpProxy 127.0.0.1:8118
а в конфиге Privoxy написано по умолчанию
listen-address 127.0.0.1:8118
то это будет работать на любых версиях.
Pазрешать сервису tor получать комманды через контрольный порт с локалхоста при этом не обязательно.
Однако, если при такой конфигурации не запускать Tor где-то околотрёх дней, то он уже не сможет самостоятельно построить цепочку из за устаревшей статистики.
Исправить это можно, временно поменяв
HttpProxy 127.0.0.1:8118
на строку
HttpProxy <внешний прокси>
перезапустить Tor, дождаться, пока Tor скачает через этот прокси актуальную статистику и построит цепочку, а затем вернуть всё к исходному состоянию и опять перезапустить Tor.
Смысл в этих действиях – затруднить внесения вас в списки пользователей Tor со стороны анализирующих траффик у серверов центральных директорий.
Я имел ввиду немного другое. Tor регулярно скачивает статистику и её фрагмента в виде Begin RSA message: и т.д. по умолчанию с сервера директории с порта чаще всего 9030.
Но можно скачивать статистику в зашифрованном ввиде через уже построенную TOR-цепочку (прокси тут вообще не причём).
Не знаю правда, не понизит ли это реальный уровень безопасности, если exit node будет пытаться подсовывать устаревшую статистику.
Еще раз Всем спасибо за помощь и внимание. Вроде разобрался.
Теперь еще по серверу вопросы есть. Можно ли через тор сделать разделение на общий канал и свой. Т.е. выделить всем тор-клиентам 2 мегабита от канала, а себе дать 1 мегабит, но постоянно. 2. Можно ли через тор-систему пересылать файлы шифрованные альтернативным способом. Тор ругаться не будет?
1. Если я правильно понял вопрос – вы хотите ограничить трафик сервера Tor? Это делается опцией BandwidthRate[link7].
2. Tor работает на транспортном уровне – TCP. Поэтому ему асболютно всё равно какие именно байтики вы через него пересылаете ;)
1. Т.е. подключащимся к своему серверу дать один канал для тор, а себе также работающему через тор-другой канал. Если это позволяет сделать bandwidthRate, то значит это то, что нужно.
Одним словом – спасибо за помощь.
Тут я другую подобную штуку заметил. Но более меня тревожащую. Оправданы ли мои тревоги?
То, что входные сервера назначаются по умолчанию по системе entry guard, мы здесь выяснили. Но вот что я заметил, пользуясь всего несколько дней тором, но уже:
Выходных серверов – используется весьма и весьма ограниченное количество! Грубо говоря, около десятка! А это ведь уже пострашнее, а? Открытый трэффик на выходных серверах, когда их всего лишь десяток для всех соединений (пусть даже не всех людей , а только моих, или скажем, определённой группы пользователей, объединённых в группу по какому-нибудь признаку или без оного) – ведь это уже можно очень и очень легко наблюдать, составлять статистику, анализировать и вычислять. Плюс к ограниченному количеству exit-ов я наблюдаю вообще весьма ограниченный и повторяющийся набор всех серверов, составляющих цепочки! И это при том, что я перезапускал и тор, и перегружал комп, и вводил конфигурацию UseEntryGuards 0 (снимающую ограничение на выбор входных серверов). Всё равно – при списке из нескольких сот доступных – в работе всегда одни и те же! Особенно exitные! Я уже молчу о том, что 99% всех узлов – США и Германия (не самые надёжные в плане анонимности страны). Как можно всё это прокомментировать? Может быть, действительно, есть определённо выявленные "неблагонадёжные" выходные сервера, и есть смысл составлять их список, для исключения из употребления?
И ещё – когда цепочки постоянно строятся из одних и тех же серверов, зачастую находящихся в одной стране, ведь это даёт большую возможность держать эти группы серверов под контролем, скажем, одной организации (заинтересованной), и ОЧЕНЬ ЛЕГКО выстраивать корреляции траффика! Особенно по просьбе проявить внимание к определённым пользователям, и предполагаемым местам пользования.
Я у себя подобное не замечал, каждый раз разные exit'ы, не ограничены десятком это точно.
Ну не 99% в US и DE, но их там больше чем всех остальных серверов вместе взятых. Основной фактор я думаю – цена хостинга или Интернет-доступа.
https://torstat.xenobite.eu/showstatistics.php
Учите Tor control protocol[link8] и выстраивайте себе цепочки какие хотите!