21.03 // Лёгкость блокирования Tor-соединений вызывает беспокойство пользователей
Наряду с различными СМИ и сетевыми изданиями, британское агентство The Telegraph опубликовало статью "Иран взломал технологию вэб-диссидентов". В ней (и аналогичных статьях) рассказывается о том, что иранские власти смогли вычислить всех пользователей сети Tor в своей стране, а позднее и полностью заблокировать их соединения с сетью.
Разработчики Tor ранее предполагали проблемы такого рода, но старались не устраивать "гонку вооружений" с цензорами, возможно понимая её второстепенность и тупиковость. Tor позиционировался в первую очередь как средство анонимности, и лишь во-вторую (и в слабой степени) — как средство защиты от цензуры.
Для этого были разработаны соединения через так называемые "бридж-узлы", специально предназначенные для маскировки трафика под SSL-соединение и обхода цензуры. Предполагалось, что блокирование SSL-трафика от непубличных узлов будет трудной задачей для противника:
- Собрать список всех узлов сложно (он раздаётся пользователям по запросам или через персональные контакты-знакомства)
- Блокировать все SSL-соединения без разбора невозможно (нарушение работы многих сервисов интернета)
- Проводить анализ трафика на различение от стандартного SSL-соединения накладно (потребует глубокой инспекции пакетов).
В последнем пункте разработчики ошиблись или умолчали о слабости своих предпосылок. Когда появились сведения из Ирана, было высказано предположение, что там действительно используется какая-то сложная технология. Но такие технологии сложными можно назвать с натяжкой даже для полноценной имитации SSL-соединений.
Для старых версий Tor (до 2008 года) все попытки соединения с сетью Tor можно было заблокировать и внести в лог двумя строчками файрволла:
Эта возможность частично исправлена и работы над улучшением имитации правдоподобности SSL-соединения ведутся. Но реализовать её полностью вероятно не удасться никогда по принципиальным соображениям.
Можно выделить несколько отличительных признаков, по-которым иранское правительство могло блокировать соединения с бридж-узлами Tor:
- Все сертификаты самоподписанные.
- Они имели вид www.s4ku5skci.net (между www и net — набор случайных символов).
- Они не соответствовали никакому доменному имени — команда вида nslookup www.s4ku5skci.net будет выявлять отсутствие реального домена.
- Использовалось согласование параметров Диффи-Хеллмана, специфичное для Tor. В новой версии это исправлено для имитации соединения с сервером Apache.
Разработчики не скрывают таких вещей, хотя многое и не афишируют, но интересующиеся Tor-протоколом могут найти достаточно полные описания его слабостей в документах разработки. При их анализе становится ясно, что цель средств преодоления интернет-цензуры — сделать её массовое введение слишком накладным, но против прицельных и изощрённых атак все такие средства бессильны.
Однако, внезапно, такое лёгкое обнаружение и блокирование Tor-соединений вызвало подозрение пользователей: не касается ли это и главной цели проекта — анонимности и не является ли этом своеобразным бэкдором? Спекуляции на эту тему подогреваются историей создания проекта Tor военными ведомствами США.
Пол Сайверсон опубликовал по этому поводу в рассылке следующее:
Люди периодически поднимают эту тему. Я могу лишь подтвердить давно и широко известные факты. Можете интерпретировать их как хотите. Больше подробностей можете прочитать на http://www.onion-router.net/History.html, но краткое изложение такое:Я изобрёл луковичную маршрутизацию в исследовательской лаборатории ВМФ совместно с Дэвидом Голдшлагом и Майком Ридом в 1995-96 годах, как проект этой лаборатории с начальным получением финансирования от ONR (Исследовательский отдел ВМФ). Все из нас в то время были сотрудниками лаборатории ВМФ. Первая система была развёрнута в 1996 году и исходный код для этой системы был распространён годом позже (код был полностью работой американских служащих, нанятых правительственными организациями, но не объектом копирайта).
Как часть позднего проекта лаборатории ВМФ я создал версию луковичной маршрутизации, которая стала известна как Tor вместе с Роджером Динглдайном и Ником Мэтьюсоном в начале 2002. В то время я продолжал быть служащим лаборатории ВМФ. Роджер и Ник были работниками по контракту над моим проектом. Проект исследовательской лаборатории ВМФ, финансируемый офисом морских исследований и агентством перспективных оборонных исследований (DARPA) был под таким финансированием только до 2004 года. Первая публично развёрнутая Tor-сеть была в 2003 году, тогда же был открыт исходный код под лицензией MIT. Первичное финансирование работы Роджера и Ника над Тором было другой частью проекта (в отличие от NRL), когда финансирование начал осуществлять EFF.
Тор получает финансирование от множества источников помимо этого, включая различные проекты правительства США, как до, так и с момента US 501 ©(3), так и не от профессионалов. Подробнее можно посмотреть на: https://torproject.org/about/sponsors.html.en
Источник: https://www.torpoject.org
по палате. Впрочем, это зависит от профилябольницыфирмы.комментариев: 11558 документов: 1036 редакций: 4118
Без мониторинга и аудита любые превентивные меры будут малоэффективны. Предусмотреть всё невозможно, снабжённый творческим мышлением подопечный всегда сможет найти обходной путь. Но воспользуется ли он им, зависит то того, возможно ли эту деятельность выявить постфактум и справедливо покарать.
Нет, вопрос от фирмы, вызван ростом несанкционированного трафика (оплаченного). Бриджи как средство обхода блокировки не рассматриваем исходя из уровня пользователей. Если перефразировать вопрос – можно ли ожидать, что блокировка 9 + 806 отсечет порядка 90-95% имеющегося Tor-трафика? Процедура карания тоже не рассматривается (хлопотно), достаточно значительно снизить валовый расход по основной массе и не переплачивать за их личный серфинг.
комментариев: 11558 документов: 1036 редакций: 4118
Любой узел с точки зрения настроек клиента может использоваться как бридж. Выкачивайте список всех узлов периодически и обновляйте свои стоп-листы. От использования "настоящими" бриджами не спасёт впрочем, и зря надеетесь что пользование ими требует значительных знаний. В Vidalia всё наглядно и просто. Поэтому не забудьте заблокировать еще сайт(ы) и почту где бриджы раздают.
комментариев: 11558 документов: 1036 редакций: 4118
В том числе дома у сотрудников и их знакомых.
комментариев: 9796 документов: 488 редакций: 5664
Квоты (дневные, месячные) с логированием по объёмам трафика поставьте и пусть хоть порнуху смотрят. А если квот не будет хватать — пусть отчитываются по логам (на что тратили) или сидят без инета. И никакой цензуры не надо. Хотя, конечно, хозяин — барин. Можно и с
ветровымивиртуальными мельницами сражаться.И конечно ограничить порты по которым можно коннектить через прокси.
Клиенту без разницы что считать бриджем, главное это настройки у клиента. Во всяком случае для альфа версии бага с отваливанием "бриджа" после приёма дескриптора для него где он числится совсем не бриджем — практически исправлена. Бридж это функционально релей. Релей это бридж, бридж это релей.
Поэтому если вести блек листы, то вписывать туда надо все узлы, иначе пользователю и искать ничего не надо будет.