— Гость_ (01/10/2017 21:21)   
Зависит от места откуда вы подключаетесь. Живой пример из РФ: https://meduza.io/feature/2017.....nye-sayty-cherez-tor^[link1]. В сети много сомневающихся в правдивости, но статья хорошо вписывается в российскую действительность. И похоже это не первый и не последний случай, а скоро пойдёт вал таких дел.

Органы следствия не будут напрягать имеющиеся у них мозги в случае чего, а будут действовать прямо. Виновным объявят оператора узла, если же тот недоступен, тогда всех кто подключался к этому узлу. Органам не нужно знать как на самом деле работает инструмент, и вообще зачем им нужно какие-либо доказательства.

Вам даже не нужно быть пользователем чего либо, и вообще быть в сознании, ибо в РФ награждают непричастных, а наказывают невиновных. Это аксиома.

— grgeh (01/10/2017 23:07, исправлен 01/10/2017 23:14)   

А что видит провайдер, когда заходим через бридж? Что-то типа ВПН соединение?

Из статьи немного не ясно как смогли "сдеанонить" юзера. Там написанно, что IP 163.172.21.117 с которого писали есть одним из активных выходных узлов сети Tor. Тогда как они смогли установить входную и промежуточную ноду и привязать их к этому юзеру? Тайминг атака?
Про "просто повесили всех собак" умолчим.

— Гость_ (01/10/2017 23:50)   

Узел в тот момент был одновременно экситом и гвардом. Факт подключения к этому узлу — 99% алиби, ибо тор клиент в то/настоящее время использует на постоянной основе 1 гвард для всех цепочек, и не может построить чепочку через один и тот же узел дважды. Этот пользователь не мог использовать этот узел как эксит, только как гвард.


Именно это и сделали, хотя формально пользователь на момент публикации был свидетелем, но без техники и своего пленочного фотоаппарата. Спасибо, что ~живой~не в сизо.

— grgeh (02/10/2017 00:09)   
Спасибо, а что на счет первой части вопроса – что провайдер видит, когда подключение идет через бридж?

— Гость_ (02/10/2017 00:19)   
Это зависит от траспорта, на англ. https://trac.torproject.org/pr.....fPluggableTransports^[link2] примеры с визуализацией потока.

— grgeh (02/10/2017 00:39)   
Спасибо :)

— cypherpunks (02/10/2017 22:15)   

Точно был экситом? Откуда инфа? "Медуза", при всём уважении, не слишком-то надёжный источник в технических вопросах. Сейчас^[link3] он не эксит.
Есть мнение, что силовики взяли того, кто вообще коннектился к Тору в том городе и в тот момент. 163.172.21.117 — лишь входная нода, которую по ошибке или по лукавству называют выходной.
То есть свершилось то, чего все боялись — наказание просто за использование Тора.

— Гость_ (02/10/2017 23:02, исправлен 02/10/2017 23:03)   

Все документы, которые публикуют узлы, архивируются, можно скачать архив с дескрипторами или консенсус-документами^[link4]. Последнее не даст точный ответ по портам, но более доступно по размеру. В тот момент управляющие директории назначили узлу помимо Guard еще и Exit, то есть как минимум 80 или 443 порт в эксит полиси.

И кстати, немного оффтопа, судя по дате изъятия техники, и изменения полиси тем узлом, данные по подключениям предоставил фр.провайдер, а совсем даже не всесильный сорм. Потому и яровая, что сорм без машины времени бесполезен.

— Гость_ (02/10/2017 23:06)   

Ещё за регистрацию эл.ящика, которую может кто-то где-то случайно вбить без подтверждений и смс.

— Гость_ (03/10/2017 08:30)   

Точно^[link5]


Он был экситом все те дни с октября и вплоть до, минимум, 10 января 2017^[link6]. Потом был длительный период даунтайма, после которого он воскрес с новым полиси без exit.

— cypherpunks (03/10/2017 09:34)   

Спасибо большое, всё никак не мог найти историю нод.


Распаковал consensuses-2016-10.tar.xz и выполняю (в папке consensuses-2016-10):
$grep -rA1 'dLiyKvlQsL4R2KIo+wnS9Seft1c' * | grep consensus-s | sort | grep -m1 -B1 -v Exit 19/2016-10-19-15-00-00-consensus-s Exit Fast Guard Running Stable V2Dir Valid 19/2016-10-19-16-00-00-consensus-s Fast Guard Running Stable V2Dir Valid
То есть в октябре 2016-го он экзитом быть переставал.

В общем получается особенно рискованно иметь в роли входной ноды ту, что работает ещё и выходной. Логика у силовиков типа: "с этого IP набедокурили, а ты как раз тогда к нему подключался".

— cypherpunks (03/10/2017 10:56)   

Давно известно, что если у какого-то «злодея» (говоря на полицайском жаргоне) в изъятом компьютере или мобильном будут ваши контакты (даже если они взяты из отрытых источников, например с вашего сайта), даже если «злодей» ими и не пользовался и вы про его существование вообще не знаете, то у вас могут быть БОЛЬШИЕ проблемы.
Или например потому, что «на сайте админом был и тот чувак из автобуса этот сайт посещал»^[link7].

— cypherpunks (03/10/2017 13:12)   
Самый важный вывод, что следует из последних и более ранних событий и обвинений, подтверждает, что в настоящее время тор обеспечивает очень высокий уровень защиты конечного пользователя. Об этом свидетельствует полное отсутствие среди обвиняемых действительных преступников. Система пытается продемонстрировать активистам и обществу невозможность спрятаться за тором, но предъявляет лишь случайно выхваченных совершенно невиновных людей. Их расчет сейчас только на запугивание. Это большой плюс. Тором можно и нужно пользоваться. Главное делать это умно и взвешенно. А именно так и советуют его разработчики. И мосты использовать нужно. И лучше всего собственные, чтобы не попадать в ситуацию когда входной и выходной узел совпадут. (Кстати считаю недопустимым разрешать узлу одновремено быть входным и выходным)

— Гость_ (04/10/2017 09:14, исправлен 04/10/2017 09:18)   

Странно. По этому^[link8] списку не видно.

2016-10-19 15:00:00 163.172.21.117 74B8B22AF950B0BE11D8A228FB09D2F5279FB757 tiflin Yes
2016-10-19 16:00:00 163.172.21.117 74B8B22AF950B0BE11D8A228FB09D2F5279FB757 tiflin Yes

Может, часовые пояса? Не везде UTC?

— Гость_ (04/10/2017 10:20)   

Посмотрел консенсус. Там помимо эксит-флага есть список принимаемых портов, котрый указывается и тогда, когда эксит-флага уже нет. Такой узел точно не эксит?

Ключевых изменений за октябрь 2016-го было два:

1. С начала месяца и до 2016-10-18-20-00-00 среди принимаемых портов числилось 79-81, а узел имел эксит-флаг. В 2016-10-18-21-00-00 диапазон 79-81 заменён на "79,81", т.е. 80-ый порт (HTTP по умолчанию) исключён. Эксит-флаг оставлен.
2. На следующий день, в то самое 2016-10-19-16-00-00, среди accept-портов дополнительно отключен порт 443 (HTTPS по умолчанию) и снят эксит-флаг.

Проверять примерно так:

$ cd consensuses-2016-10 $ for F in $(find . -type f | sort); do echo $F ; grep -A4 163.172.21.117 $F | sed "s/2016-10-.\{11\}//;s/dLiyKvlQsL4R2KIo+wnS9Seft1c .*163.172.21.117/dLiyKvlQsL4R2KIo+wnS9Seft1c 163.172.21.117/" | grep -v Bandwidth= ; done

После убирания временных меток и незначимых параметров, таких как Bandwidth, добавляем в конец | sha1sum и смотрим на изменения хэшей. Например, анализ изменения принимаемых портов:

$ for F in $(find . -type f | sort); do echo $F ; grep -A4 163.172.21.117 $F | sed "s/2016-10-.\{11\}//;s/dLiyKvlQsL4R2KIo+wnS9Seft1c .*163.172.21.117/dLiyKvlQsL4R2KIo+wnS9Seft1c 163.172.21.117/" | grep -v Bandwidth= | grep accept | sha1sum ; done

— cypherpunks (15/10/2017 10:44, исправлен 15/10/2017 13:50)   

Сообразил себе one-liner для просмотра данных своих гардов (проверить не являются ли они ещё и экзитами):
С CookieAuthentication:#echo -en 'AUTHENTICATE '`hexdump -e '32/1 "%02x""\n"' /var/lib/tor/control_auth_cookie`'\r\nGETINFO circuit-status\r\nQUIT\r\n' | nc 127.0.0.1 9051 | grep -Po '(?<=BUILT \$)\w{40}' | sort -u | while read g;do fgrep -A5 `echo $g | xxd -r -p | base64 | tr -d =` /var/lib/tor/*;done
С HashedControlPassword:#echo -en 'AUTHENTICATE "YourPasswordGoesHere"\r\nGETINFO circuit-status\r\nQUIT\r\n' | nc 127.0.0.1 9051 | grep -Po '(?<=BUILT \$)\w{40}' | sort -u | while read g;do fgrep -A5 `echo $g | xxd -r -p | base64 | tr -d =` /var/lib/tor/*;done
Для не системного Tor'а встроенного в TBB, выполнять в папке tor-browser_en-US/Browser:$echo -en 'AUTHENTICATE '`hexdump -e '32/1 "%02x""\n"' TorBrowser/Data/Tor/control_auth_cookie`'\r\nGETINFO circuit-status\r\nQUIT\r\n' | nc 127.0.0.1 9151 | grep -Po '(?<=BUILT \$)\w{40}' | sort -u | while read g;do fgrep -A5 `echo $g | xxd -r -p | base64 | tr -d =` TorBrowser/Data/Tor/*;done