id: Гость   вход   регистрация
текущее время 01:59 08/12/2022
Владелец: unknown (создано 21/03/2011 13:42), редакция от 21/03/2011 16:38 (автор: unknown) Печать
Категории: софт, анонимность, приватность, анализ трафика, прослушивание коммуникаций, tor, ошибки и баги, атаки, разное, события, сообщество, личности
https://www.pgpru.com/Новости/2011/ЛёгкостьБлокированияTor-соединенийВызываетБеспокойствоПользователей
создать
просмотр
редакции
ссылки

21.03 // Лёгкость блокирования Tor-соединений вызывает беспокойство пользователей


Наряду с различными СМИ и сетевыми изданиями, британское агентство The Telegraph опубликовало статью "Иран взломал технологию вэб-диссидентов". В ней (и аналогичных статьях) рассказывается о том, что иранские власти смогли вычислить всех пользователей сети Tor в своей стране, а позднее и полностью заблокировать их соединения с сетью.


Разработчики Tor ранее предполагали проблемы такого рода, но старались не устраивать "гонку вооружений" с цензорами, возможно понимая её второстепенность и тупиковость. Tor позиционировался в первую очередь как средство анонимности, и лишь во-вторую (и в слабой степени) — как средство защиты от цензуры.


Для этого были разработаны соединения через так называемые "бридж-узлы", специально предназначенные для маскировки трафика под SSL-соединение и обхода цензуры. Предполагалось, что блокирование SSL-трафика от непубличных узлов будет трудной задачей для противника:


  1. Собрать список всех узлов сложно (он раздаётся пользователям по запросам или через персональные контакты-знакомства)
  2. Блокировать все SSL-соединения без разбора невозможно (нарушение работы многих сервисов интернета)
  3. Проводить анализ трафика на различение от стандартного SSL-соединения накладно (потребует глубокой инспекции пакетов).

В последнем пункте разработчики ошиблись или умолчали о слабости своих предпосылок. Когда появились сведения из Ирана, было высказано предположение, что там действительно используется какая-то сложная технология. Но такие технологии сложными можно назвать с натяжкой даже для полноценной имитации SSL-соединений.


Для старых версий Tor (до 2008 года) все попытки соединения с сетью Tor можно было заблокировать и внести в лог двумя строчками файрволла:


Эта возможность частично исправлена и работы над улучшением имитации правдоподобности SSL-соединения ведутся. Но реализовать её полностью вероятно не удасться никогда по принципиальным соображениям.


Можно выделить несколько отличительных признаков, по-которым иранское правительство могло блокировать соединения с бридж-узлами Tor:


  1. Все сертификаты самоподписанные.
  2. Они имели вид www.s4ku5skci.net (между www и net — набор случайных символов).
  3. Они не соответствовали никакому доменному имени — команда вида nslookup www.s4ku5skci.net будет выявлять отсутствие реального домена.
  4. Использовалось согласование параметров Диффи-Хеллмана, специфичное для Tor. В новой версии это исправлено для имитации соединения с сервером Apache.

Разработчики не скрывают таких вещей, хотя многое и не афишируют, но интересующиеся Tor-протоколом могут найти достаточно полные описания его слабостей в документах разработки. При их анализе становится ясно, что цель средств преодоления интернет-цензуры — сделать её массовое введение слишком накладным, но против прицельных и изощрённых атак все такие средства бессильны.




Однако, внезапно, такое лёгкое обнаружение и блокирование Tor-соединений вызвало подозрение пользователей: не касается ли это и главной цели проекта — анонимности и не является ли этом своеобразным бэкдором? Спекуляции на эту тему подогреваются историей создания проекта Tor военными ведомствами США.


Пол Сайверсон опубликовал по этому поводу в рассылке следующее:



Люди периодически поднимают эту тему. Я могу лишь подтвердить давно и широко известные факты. Можете интерпретировать их как хотите. Больше подробностей можете прочитать на http://www.onion-router.net/History.html, но краткое изложение такое:

Я изобрёл луковичную маршрутизацию в исследовательской лаборатории ВМФ совместно с Дэвидом Голдшлагом и Майком Ридом в 1995-96 годах, как проект этой лаборатории с начальным получением финансирования от ONR (Исследовательский отдел ВМФ). Все из нас в то время были сотрудниками лаборатории ВМФ. Первая система была развёрнута в 1996 году и исходный код для этой системы был распространён годом позже (код был полностью работой американских служащих, нанятых правительственными организациями, но не объектом копирайта).


Как часть позднего проекта лаборатории ВМФ я создал версию луковичной маршрутизации, которая стала известна как Tor вместе с Роджером Динглдайном и Ником Мэтьюсоном в начале 2002. В то время я продолжал быть служащим лаборатории ВМФ. Роджер и Ник были работниками по контракту над моим проектом. Проект исследовательской лаборатории ВМФ, финансируемый офисом морских исследований и агентством перспективных оборонных исследований (DARPA) был под таким финансированием только до 2004 года. Первая публично развёрнутая Tor-сеть была в 2003 году, тогда же был открыт исходный код под лицензией MIT. Первичное финансирование работы Роджера и Ника над Тором было другой частью проекта (в отличие от NRL), когда финансирование начал осуществлять EFF.


Тор получает финансирование от множества источников помимо этого, включая различные проекты правительства США, как до, так и с момента US 501 ©(3), так и не от профессионалов. Подробнее можно посмотреть на: https://torproject.org/about/sponsors.html.en



Источник: https://www.torpoject.org


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (21/03/2011 15:06)   <#>
иранские власти смогли вычислить всех пользователей сети Tor в своей стране, а позднее и полностью заблокировать их соединения с сетью.

Так уж и всех? Вряд ли тех,кто юзал tor-клинт запущенный на удаленном сервере через ssh.
Или вот такоерешение.
— Гость (21/03/2011 15:11)   <#>
tor-клинт запущенный на удаленном сервере(расположенном в другой стране разумеется) через ssh.
— Гость (21/03/2011 15:45)   <#>
Предполагалось, что блокирование SSL-трафика от непубличных узлов будет трудной задачей для противника
Как бы потом не оказалось, что и деанонимизация — "не такая трудная задача для противника". Саму string-то зарилизнули on public? А то голубые по всему свету ждут-недождутся когда такую радость можно будет загружать в правила на административные рутеры.
используются самоподписанные сертификаты, которые не соответствуют никаким сайтам
Они на большинстве https-сайтов самоподписные, и что? И тоже "ничему не соответствуют". Snake & Oil так и оставляют в полях, сам видел.
— ano6 (21/03/2011 15:54)   <#>
TOR достаточно эффективно блокируется загрытием доступа к directory серверам, список которых известен. так сделано в нашей корпоративной сети.
— Гость (21/03/2011 16:01)   <#>
TOR достаточно эффективно блокируется загрытием доступа к directory серверам, список которых известен.
От бриджей не спасёт, увы :) Другое дело, что неграмотный персонал до бриджей, как правило, не дозревает, а грамотный почему-то не работает в фирмах, где блокируется Tor.
— Гость (21/03/2011 16:04)   <#>
Для текущей версии Tor все попытки соединения с сетью Tor можно было заблокировать и внести в лог двумя строчками файрволла
Это не так. Если не считать текущей версией дважды устаревшую. Впрочем повлиять на обновление сервера сложно (строчку посылали сервер и клиент), но и найти такой (который содержит сертификаты с распознаваемыми строками) узел и к тому же использовать его как вспомогательный (guard) — шансы очень малы. Часть совсем старых версий отсекается управляющими директориями в момент приема дескрипторов от узла.
В случае Tor используются самоподписанные сертификаты, которые не соответствуют никаким сайтам, что сразу позволяет выделить такое соединение. Но даже проверка такого соединения не требуется.
Представляю что случится если будут банить (выделять особым образом) сервера на основании самоподписанных сертификатов. Ссл мафия будет счастлива. Лопнет от жадности.

С Ираном всё намного проще и одновременно сложней. Там используют полный досмотр пакетов (DPI), с использованием высокопроизводительных решений от крупной западной фирмы. Тор использовал хорошо распознаваемый модуль § для DH при SSL согласовании, посылаемый сервером. Новые версии тора (касается прежде всего серверной части) используют "Apache'евское" p. (Если будет работать https то будет и тор. Иран обычно банит сразу всё и ссл, ссх, впны разные, тор.).
— unknown (21/03/2011 16:08, исправлен 21/03/2011 16:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Так уж и всех? Вряд ли тех,кто юзал tor-клинт запущенный на удаленном сервере через ssh.

Никогда нельзя употреблять слово "всех". И слово "никогда" тоже ;-) Категоричные обобщения в реальном мире конечно выглядят логическими ошибками. Речь об обычных пользователях и о слухах, и статьх в СМИ "Tor взломали". По-крайней мере число пользователей непосредственно из Ирана упало почти до нуля. Тех, кто хитро випиэнился и эсэсашился через забугорные узлы не посчитать, но за ними и службы безопасности могут найти ресурсы присмотреть. Массовость упала — в этом фэйл.


Да, там строка стандартной длины из рэндомных символов в качестве названия сайта. Изначально и не было слишком правдоподобно. И проверка существования вида nslookup http://www.s4ku5skci.net даст ответ о сертификате на несуществующее доменное имя.


А волшебная строка — "Tor", но это было до 2008 года (fixed).


``Right now Tor uses some predictable strings in its TLS handshakes. For example, it sets the X.509 organizationName field to Tor, and it puts the Tor relay's nickname in the certificate's commonName field.''

© `Design of a blocking-resistant anonymity system,'' dated November 2006, compiled by Roger Dingledine and Nick Mathewson, head developers of Tor.


Всё-таки DPI (глубокая инспекция пакетов). Поправлю новость.

— Гость (21/03/2011 16:22)   <#>
На том сайте сливают вообще что-то непотребное. Серия "сливов" от анона. Только репутацию анону портят :) Если искать подводные камни то надо это делать с не обратимыми доказательствами, а пока лишь мусор.
— unknown (21/03/2011 16:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Как-бы да. Официально только изменения в ченджлоге Tor, по-которым можно судить о ситуации и сообщения в рассылке, где утверждалось о падении числа пользователей из Ирана, рост числа пропозалов по нормализации SSL.

Остальное — панические статьи в "Телеграфах".

Согласен. Ну как бы давно новостей не было, все уже жаловались, вот пришлось наскрести ;-)
— Гость (21/03/2011 16:37)   <#>
Они не соответствовали никакому доменному имени — команда вида nslookup www.s4ku5skci.net будут выявлять отсутствие реального домена.
Лукапы требуют нечто больше чем просмотр пакетов. И тогда проще делать активное сканирование выявленного адреса и порта.
А клиент может в расширениях к тлс посылать что угодно, виртуальный хост это дело сервера. Нельзя же серьезно полагать что существующий днс к интернету прирос намертво и имеет серьезное отношение к тлс протоколу.

P.S. текст новости меняется очень быстро.
P.P.S практикой доказано что смены параметров для DH оказалось достаточно на сегодня.
— Гость (21/03/2011 16:43)   <#>
А клиент может в расширениях к тлс посылать что угодно, виртуальный хост это дело сервера. Нельзя же серьезно полагать что существующий днс к интернету прирос намертво и имеет серьезное отношение к тлс протоколу.
И сертификаты там же.
В действительности есть proposal где выдивнуты несколько направлений по обходу и этого: регистрация доменов, покупка сертификатов. Это для особых случаев, никто в массовом порядке для релеев такого делать не станет. А вот особо не публичные бриджы могли-бы на добровольных началах. Главное теперь предоставить опции для таких действий.
— SATtva (21/03/2011 16:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
А клиент может в расширениях к тлс посылать что угодно, виртуальный хост это дело сервера.

Может, но всё зависит от того, много ли таких в реальной жизни. Пока цензор может банить по эвристическим признакам, не сильно мешая жизни обычных незаторенных пользователей, он и будет это делать.
— unknown (21/03/2011 16:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Может не мучать её и снести? Ну или пусть в назидание потомкам останется ;-)
Да, Роджер сообщал об этом. Как и о том, что это временный шаг в "гонке вооружений".

Собственно, новость только ради иллюстрации того, что:

  1. Массовой стойкой цензурозащищённости не бывает.
  2. Стойкая анонимность тоже относительна (но это не имеет отношения к новости).
  3. С помощью паники по поводу пункта "1" можно вызывать панику пользователей по поводу пункта "2".
— Гость (21/03/2011 17:47)   <#>
Меня огорчает другое, вот там (ссылку из новости уже снесли) некто от имени анона (и его помощников) разоблачал "бэкдуры" и связи тора с зог, но делал это настолько в стиле статей для таблоидов, что теперь всякому доброму анониму будет сложней доказать наличие реального бэкдура злым умыслом и связями с зог, а не очередной ошибкой при разработке и написании кода.
— anon6 (21/03/2011 18:28)   <#>
добыть список работающих бриджей из-за restricted corporate firewall тот еще квест, по сему это практически тождественно равно блокированнию сети tor.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3