Вопрос по Тор мостам
Подскажите имеет ли смысл настраивать в целях дополнительной безопасности Тор-мосты, если провайдер не блокирует сам Тор? И нет проблем с конектом по дефолту через стандартные ноды. Будет ли это иметь дополнительный эффект в безопасности?
Ссылки
[link1] https://meduza.io/feature/2017/08/15/rossiyanin-stal-figurantom-ugolovnogo-dela-za-soobscheniya-o-teraktah-on-govorit-chto-prosto-zahodil-na-zablokirovannye-sayty-cherez-tor
[link2] https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports
[link3] https://torstatus.blutmagie.de/router_detail.php?FP=74b8b22af950b0be11d8a228fb09d2f5279fb757
[link4] https://collector.torproject.org/archive/relay-descriptors/consensuses/
[link5] https://exonerator.torproject.org/?ip=163.172.21.117×tamp=2016-10-17&lang=en
[link6] https://exonerator.torproject.org/?ip=163.172.21.117×tamp=2017-01-10&lang=en
[link7] https://exploders.info/forum/7/27935.html
[link8] https://exonerator.torproject.org/?ip=163.172.21.117×tamp=2016-10-19&lang=en
Зависит от места откуда вы подключаетесь. Живой пример из РФ: https://meduza.io/feature/2017.....nye-sayty-cherez-tor[link1]. В сети много сомневающихся в правдивости, но статья хорошо вписывается в российскую действительность. И похоже это не первый и не последний случай, а скоро пойдёт вал таких дел.
Органы следствия не будут напрягать имеющиеся у них мозги в случае чего, а будут действовать прямо. Виновным объявят оператора узла, если же тот недоступен, тогда всех кто подключался к этому узлу. Органам не нужно знать как на самом деле работает инструмент, и вообще зачем им нужно какие-либо доказательства.
Вам даже не нужно быть пользователем чего либо, и вообще быть в сознании, ибо в РФ награждают непричастных, а наказывают невиновных. Это аксиома.
А что видит провайдер, когда заходим через бридж? Что-то типа ВПН соединение?
Из статьи немного не ясно как смогли "сдеанонить" юзера. Там написанно, что IP 163.172.21.117 с которого писали есть одним из активных выходных узлов сети Tor. Тогда как они смогли установить входную и промежуточную ноду и привязать их к этому юзеру? Тайминг атака?
Про "просто повесили всех собак" умолчим.
Узел в тот момент был одновременно экситом и гвардом. Факт подключения к этому узлу — 99% алиби, ибо тор клиент в то/настоящее время использует на постоянной основе 1 гвард для всех цепочек, и не может построить чепочку через один и тот же узел дважды. Этот пользователь не мог использовать этот узел как эксит, только как гвард.
Именно это и сделали, хотя формально пользователь на момент публикации был свидетелем, но без техники и своего пленочного фотоаппарата. Спасибо, что ~живой~не в сизо.
Спасибо, а что на счет первой части вопроса – что провайдер видит, когда подключение идет через бридж?
Это зависит от траспорта, на англ. https://trac.torproject.org/pr.....fPluggableTransports[link2] примеры с визуализацией потока.
Спасибо :)
Точно был экситом? Откуда инфа? "Медуза", при всём уважении, не слишком-то надёжный источник в технических вопросах. Сейчас[link3] он не эксит.
Есть мнение, что силовики взяли того, кто вообще коннектился к Тору в том городе и в тот момент. 163.172.21.117 — лишь входная нода, которую по ошибке или по лукавству называют выходной.
То есть свершилось то, чего все боялись — наказание просто за использование Тора.
Все документы, которые публикуют узлы, архивируются, можно скачать архив с дескрипторами или консенсус-документами[link4]. Последнее не даст точный ответ по портам, но более доступно по размеру. В тот момент управляющие директории назначили узлу помимо Guard еще и Exit, то есть как минимум 80 или 443 порт в эксит полиси.
И кстати, немного оффтопа, судя по дате изъятия техники, и изменения полиси тем узлом, данные по подключениям предоставил фр.провайдер, а совсем даже не всесильный сорм. Потому и яровая, что сорм без машины времени бесполезен.
Ещё за регистрацию эл.ящика, которую может кто-то где-то случайно вбить без подтверждений и смс.
Точно[link5]
Он был экситом все те дни с октября и вплоть до, минимум, 10 января 2017[link6]. Потом был длительный период даунтайма, после которого он воскрес с новым полиси без exit.
Спасибо большое, всё никак не мог найти историю нод.
Распаковал consensuses-2016-10.tar.xz и выполняю (в папке consensuses-2016-10):
То есть в октябре 2016-го он экзитом быть переставал.
В общем получается особенно рискованно иметь в роли входной ноды ту, что работает ещё и выходной. Логика у силовиков типа: "с этого IP набедокурили, а ты как раз тогда к нему подключался".
Давно известно, что если у какого-то «злодея» (говоря на полицайском жаргоне) в изъятом компьютере или мобильном будут ваши контакты (даже если они взяты из отрытых источников, например с вашего сайта), даже если «злодей» ими и не пользовался и вы про его существование вообще не знаете, то у вас могут быть БОЛЬШИЕ проблемы.
Или например потому, что «на сайте админом был и тот чувак из автобуса этот сайт посещал»[link7].
Самый важный вывод, что следует из последних и более ранних событий и обвинений, подтверждает, что в настоящее время тор обеспечивает очень высокий уровень защиты конечного пользователя. Об этом свидетельствует полное отсутствие среди обвиняемых действительных преступников. Система пытается продемонстрировать активистам и обществу невозможность спрятаться за тором, но предъявляет лишь случайно выхваченных совершенно невиновных людей. Их расчет сейчас только на запугивание. Это большой плюс. Тором можно и нужно пользоваться. Главное делать это умно и взвешенно. А именно так и советуют его разработчики. И мосты использовать нужно. И лучше всего собственные, чтобы не попадать в ситуацию когда входной и выходной узел совпадут. (Кстати считаю недопустимым разрешать узлу одновремено быть входным и выходным)
Странно. По этому[link8] списку не видно.
Может, часовые пояса? Не везде UTC?
Посмотрел консенсус. Там помимо эксит-флага есть список принимаемых портов, котрый указывается и тогда, когда эксит-флага уже нет. Такой узел точно не эксит?
Ключевых изменений за октябрь 2016-го было два:
Проверять примерно так:
После убирания временных меток и незначимых параметров, таких как Bandwidth, добавляем в конец | sha1sum и смотрим на изменения хэшей. Например, анализ изменения принимаемых портов:
Сообразил себе one-liner для просмотра данных своих гардов (проверить не являются ли они ещё и экзитами):
С CookieAuthentication:
С HashedControlPassword:
Для не системного Tor'а встроенного в TBB, выполнять в папке tor-browser_en-US/Browser: