АНБ может всё. Но суперкомпьютеры они понаустанавливали не для простых смертных.

сопоставить трафик от тебя до входной ноды и выходящий трафик от выходной ноды до целевого сервера

Допустим будет от выходной ноды до vk 3000 соединений, как понять, что 2665 - это мое?

А как могут определить реальный ip, если выход в интернет через tor?

Если первая и последняя нода контролируются злоумышленником.

На самом выходном узле ведь никаких логов не ведется?

Могут и вестись. Это уже смотря кто поднял.

На самом выходном узле ведь никаких логов не ведется?

Неизвестно, но по крайней мере на уровне хостинг-провайдера скорее всего журналы есть.

А как могут определить реальный ip, если выход в интернет через tor?

Способов слишком много, чтобы описать в двух словах, но скажу одно — волноваться большинству не о чем, большая часть способов предполагает либо активное вмешательство в работу сети на уровне провайдеров, либо целенаправленное(таргетированное) долговременное отслеживание конкретного пользователя в ручном режиме. Всех так мониторить ресурсов не хватит.

При использовании Tor Browser для редкого посещения небольшого количества ресурсов волноваться не о чем, если, конечно, конечный пользователь сам себя не деанонимизирует(вход в неанонимный аккаунт через Tor — самый наглядный способ деанонимизации).

АНБ может всё

АНБ слабо победить математику и физику. Любым людишкам слабо, это ведь не людские законы, а законы самой природы.

Чрезвычайно сложно без прямого контроля этих узлов, а с введением механизма сторожевых узлов вовсе неактуально — к одним и тем же входным узлам подключены одновременно тысячи пользователей.

UPD: всё ещё возможно, если пользователь и целевой ресурс расположены в одной юрисдикции(под контролем одного органа), но чрезвычайно маловероятно при эпизодическом использовании Tor исключительно со специальным браузером и короткими сеансами связи.

Слишком общий пример. Если аккаунт анонимный и не загружаются видеоролики/аудиозаписи гигабайтами — сложно, почти невозможно.

Но атаки шейпингом и т.н. «website traffic fingerprinting»(обе атаки по сути активные) вкупе с взаимодействием наблюдателя с ВК в режиме реального времени помогут отсеивать «лишних» пользователей раз за разом, постепенно.

Если пользователь не из России подключается(не к Tor, а вообще. VPN не спасёт) — вероятность подобных атак падает почти до нуля.

А как могут определить реальный ip, если выход в интернет через tor? На самом выходном узле ведь никаких логов не ведется?

в общем случае никак, но есть исключения и разного рода атаки. я тут вот недавно пост написал об этом, поспорив в товарищем SM5T001:

нубский вопрос про end-to-end encryption (комментарий)

а вообще к тору если подключен 24/7 то тем лучше. потому как если разово выходишь в сеть, то тебя и мониторить легко с точки зрения СОРМА ибо ->>>> есть конкретное временное окно и есть конкретная порция данных.

и вокруг этого можно строить гипотезы. АГА!! вон тот коммент про путена на сайте появился ровно в тот момент, когда это тип выходил в тор. 3-4 таких коммента от тебя и статистический анализ показывает, что это ты. конечно это могут юзеры из других стран, но если это произойдёт 20 раз, то тут вероятность 100%. но для таких атак всегда нужна исходная гипотеза, то бишь «от узла» и длительное изучение подозреваемого.

поэтому чтобы отсеять львиную толику timing-атак, надо вообще тор держать активным круглые сутки. таким образом ты выпадаешь из разных подмножеств и тяжело вокруг тебя строить гипотезы - а чем ты там собственно занимаешься. против такого типа юзеров нужно кооперация множеств спецслужб, чтобы собрать со всех СОРМОВ и получить данные трафика со всех BGP автономных систем, что на практике практически нереализуемо. вот когда на планете земля не останется противоборствующих стран и сетью будет руководить единое око, вот тогда и наступит конец анонимности. но до этого ещё ой как далеко, учитывая противоречия сша, россии, ирана, китая и тп.

выходящий трафик от выходной ноды

Вменяемый анон не покидает зону onion

в догонку тебе скажу, что если ты занимаешься в торе всякими дарк-делами (бабос отмываешь или пишешь на заказ малварь, крипторы) и используешь торификацию своих коннектов, то рекомендую время от времени менять свои контакты и джаббер-учётки, мыло и тп.

потому как если засветишься, то спецы просто попросят провайдера переподключить тебя принудительно или зашейпить трафик. если после этих процедур ты вывалишься из какого-нибудь psi+, пиджина, гаджима при чате с оперативником, то - поздравляю - тебя деанонимизировали. но это в том случае, если тебя уже разрабатывают. и тебе не поможет при коннектах ни OTR, ни OMEMO, ни PGP.

поэтому меняй время от времени «цифровые личности». спецслужбам ОЧЕНЬ ТЯЖЕЛО работать против таких типов, которые всегда меняют свою идентификацию. их супер-алгоритмы ИИ, диплёрнинг и социальные графы оказываются бессильными.

если чуствуешь, что «что-то не то» происходит и чтобы слезть с кручка - что меняй почту, меняй xmpp-сервера, меняй ники. и конечно используй FULL DISK ENCRYPTION, потому как если тебя деанонимизируют и придут домой, исходники и бинари твоей малвари должны быть скрыты.

ps а если ты обычный среднестатистический юзер, который тор использует для обхода блокировок, то тебе вообще можно ни о чём не парится.

короткими сеансами связи

Смотря какая атака против тебя применяется. Короткий сеанс связи может наоборот быть в некоторых случаях опасным ибо может облегчить выборку по тебе в случае если ты какой-нибудь гражданин США и не покинул при сеансе связи периметр сетей юрисдикции «5/9/14 глаз» и иже с ними. И вообще если пишутся логи по этим странам и к ним можно получить доступ, то время сеанса связи значения не имеет - тебя просто вычислят по таймстемпингу.

в общем случае никак, но есть исключения и разного рода атаки. я тут вот недавно пост написал об этом, поспорив в товарищем SM5T001:

Забыл ответить. Надо исправляться...

а вообще к тору если подключен 24/7 то тем лучше. потому как если разово выходишь в сеть, то тебя и мониторить легко с точки зрения СОРМА ибо ->>>> есть конкретное временное окно и есть конкретная порция данных.

Само по себе подключение к тору создаёт слишком мало «мусорного» шумового трафика, чтобы за ним можно было скрыться. Конечно, это немного осложняет деанонимизацию, но не сильно — ты пришёл домой с работы/учёбы и сел за настольную машину, которая 24/7/365 подключена к тору и зашёл в анонимный аккаунт куда-нибудь в ВК, начал слушать музыку и голосовые сообщения, загружать тяжёлые фото и видео...

Тут-то СОРМ сложил 2+2. В упомянутой по ссылке теме я раскрывал вопрос. Ныне система отрабатывает автоматически.

Для конечного пользователя при таком подходе гораздо важнее то, что постоянное подключение к Tor автоматом вызывает повышенный интерес спецслужб, что уже может быть чревато. Просто и ненадолго браузер запускают тысячи(как правило, в одни и те же временные промежутки — работа с девяти до семи она такая), ставят на 24/7 — единицы, ещё реже так подключаются не с целью сделать локальный ретранслятор.

К слову о ретрансляторе — вот невыходной узел как раз очень хорошо маскирует, на уровне I2P(чуть хуже), беда лишь в том, что нужен открытый порт и желательно статический IP.

Альтернативный вариант — как раз генератор «мусора». От простейших вроде Noisy на python до более сложных систем, вроде полноценных браузеров в докере. Не так эффективно как узел, но нет никакой нужды открывать порты и переплачивать за статический адрес, а главное — нет нужды светить свой IP в списке узлов сети.

Мало того, что некоторые наглухо отбитые банят все узлы Tor(даже невыходные!), что может аукнуться в будущем, так ещё это едва ли не самый быстрый способ гарантированно попасть «на карандаш» — списки мониторят далеко не только спамеры в поисках почтовых адресов.

Таким как я на это всё конечно побоку, так как слежка уже ведётся просто из-за профессиональных издержек(я-то держу всё подключённым постоянно), но вот обычным пользователям стоит задуматься.

и вокруг этого можно строить гипотезы. АГА!! вон тот коммент про путена на сайте появился ровно в тот момент, когда это тип выходил в тор. 3-4 таких коммента от тебя и статистический анализ показывает, что это ты. конечно это могут юзеры из других стран, но если это произойдёт 20 раз, то тут вероятность 100%.

Вот именно это и есть атака пересечением. Самая злая её особенность — она может проводиться постфактум, были бы только логи. Именно по этой причине одна ошибка == тотальная деанонимизация.

поэтому чтобы отсеять львиную толику timing-атак, надо вообще тор держать активным круглые сутки. таким образом ты выпадаешь из разных подмножеств и тяжело вокруг тебя строить гипотезы - а чем ты там собственно занимаешься.

Чтобы это сработало, нужно, помимо вышеописанных мер, также соблюдать предельную предосторожность. Не болтать, например. Не держать смартфон в одной комнате с физической клавиатурой(микрофоны бдят), закрыть окна плотными шторами(«случайной» камеры достаточно), а лучше вообще принять все меры предосторожности и превратить анонимный серфинг в своеобразный священный ритуал. Я говорю это как тот, кого уже однажды почти выцепили.

Одна единственная серьёзная ошибка — и твоя деанонимизация становится вопросом времени.

в догонку тебе скажу, что если ты занимаешься в торе всякими дарк-делами (бабос отмываешь или пишешь на заказ малварь, крипторы) и используешь торификацию своих коннектов, то рекомендую время от времени менять свои контакты и джаббер-учётки, мыло и тп.

Дельный совет, добавлю, что делать это нужно правильно, чтобы не вызывать лишних подозрений. Желательно «выращивать» альтернативную сетевую личность ещё при жизни старой, а старую убивать максимально плавно.

Один важный совет: почаще изучай словари, ищи в поисковике наиболее типовые ошибки в письме. Перенимай, смешивай, мимикрируй. Маскировать стиль письма не так сложно как кажется, но трудно переоценить важность подобной маскировки.

потому как если засветишься, то спецы просто попросят провайдера переподключить тебя принудительно или зашейпить трафик. если после этих процедур ты вывалишься из какого-нибудь psi+, пиджина, гаджима при чате с оперативником, то - поздравляю - тебя деанонимизировали.

В упомянутой выше теме я уже раскрывал вопрос сетей обмена сообщениями реального времени и/или с низкой задержкой. Вообще желательно наиболее важные сообщения передавать почтой через операторов в Tor, добавляя при этом анонимные ремейлеры(и желательно нормальную задержку). PGP необходим тоже, оно не для красоты.

спецслужбам ОЧЕНЬ ТЯЖЕЛО работать против таких типов, которые всегда меняют свою идентификацию. их супер-алгоритмы ИИ, диплёрнинг и социальные графы оказываются бессильными.

ЧРЕЗВЫЧАЙНО важно менять стиль письма со сменой личности, равно как и менять поведение на страницах браузера со включённым JS. JS желательно включать только в случае крайней необходимости, но увы, иногда он бывает нужен.

Движения мышью очень хорошо деанонимизируют. Не зря гуглокапча ориентируется в основном на движения мышью, а VeraCrypt так вообще использует мышь как источник энтропии. Стиль работы с мышью содержит ОЧЕНЬ много информации.

и конечно используй FULL DISK ENCRYPTION, потому как если тебя деанонимизируют и придут домой, исходники и бинари твоей малвари должны быть скрыты.

Во избежание пыток паяльником желательно шифровать диск стеганографически, создавая «двойное дно», как делает VeraCrypt. Желательно делать это НЕ с помощью VeraCrypt, а использовать инструменты, на первый взгляд для подобного не пригодные — как LUKS(cryptsetup), например.

ps а если ты обычный среднестатистический юзер, который тор использует для обхода блокировок, то тебе вообще можно ни о чём не парится.

Абсолютли. Для вахтёров-админов(модераторов), аля «вычисляторов» по IP, ты абсолютно неуязвим

Короткий сеанс связи может наоборот быть в некоторых случаях опасным ибо может облегчить выборку по тебе в случае если ты какой-нибудь гражданин США и не покинул при сеансе связи периметр сетей юрисдикции «5/9/14 глаз» и иже с ними.

Подход довольно простой на сегодня: находишься в РФ — ходи по англоязычным ресурсам, находишься в ЕС/США или там, где сильно их влияние — ходи по рунету.

Очень удобно знать русский язык и иметь возможность находиться в России. На практике это огромное преимущество.

Чертовы параноики, хочу к вам. Так понимаю, что в одном месте такой информации не найти и нужно искать ее по крупицам?

SM5T001

В свое время у меня был долг по кредиту и я заподозрил, что провайдер следит за мной. Например, зашел в paypal - стали внезапно сыпаться фишинговые сообщения на ящик mail.ru. Про то, что сотовые операторы отслеживают активность (когда человек звонил) и тут же передают коллекторам и те перезваниют, я уже молчу. Правда, сами коллекторы напрямую обычно не звонят. Звонят номера со всей страны со всякой муетой (я обычно не беру, но пробиваю иногда по neberitrubku). Посему решил я с тех пор всегда использовать OpenVPN. Это также решает проблему шейпинга трафика (мобильный интернет), запрета торрентов и заблокированных сайтов. Правда, теперь уже сайты бывают блочат впновские айпишники. В связи с чем вопрос, за постоянное 100% использование VPN меня возьмут на карандаш? С учетом того, что я и так скорее всего был под наблюдением. Но использование VPN и Tor мобильными пользователями оправдано тем, что они так прячут торрент трафик, в этом плане мое использование не должно выглядеть слишком подозрительно.

Кстати, по поводу коллекторов я могу много интересного рассказать. Они в сговоре со многими организациями (про сотовых операторов молчу). Был такой занятный случай, я как раз квартиру переоформлял на себя после смерти родственницы. Сами понимаете сколько трат на все + нотариус. Короче, поехал я в фирму оценки стоимости жилья, телефон взял с собой, возвращаюсь, а в подъезде рекламные листовки «взлом замков». Совпадение? Не думаю. Это тоже такие психологические примемы. Но факт в том, что как-то они узнали, что меня не было дома. Или по передвижениям мобильного или что более вероятно в фирме стукнули, когда я назвал свою фамилию. Видимо договоренности. Очень озадаченно смотрела сотрудница в монитор.

По поводу выявления через тор. На форумах встречал сообщения, что по скорости и горбам на трафике как-то вычисляют кто скачал какой файл. Я думаю, это брехня.

В одном месте исчерпывающих советов я пока не видал, но есть «скопления» в которых информации довольно много. Начинающим параноикам я обычно рекомендую whonix wiki, там довольно много практической информации.

Только надо обязательно читать все обсуждения и всегда пытаться найти подтверждение или опровержение тех или иных тезисов — нередко транслируются всякие глупости, особенно этим страдает рунет(вот уж не знаю, почему так?). Например, многие часто советуют комбинировать Tor с VPN «просто ради безопасности», да и вроде как провайдер не видит подключения к тору?

На практике это не совсем так.

Более опытные будут тоже иногда транслировать странное, например, советовать использовать вместе с Tor какой-нибудь Firefox или даже Chromium. По многим причинам такой подход сильно снижает анонимность. Советующие подобное могут довольно неплохо понимать, как работают анонимные сети, но плохо знать, как именно отслеживают современные браузеры. Одного анонимного IP и отключённых JS и cookie сегодня далеко не достаточно.

И так далее. Материала очень много на самом деле, важно хотеть найти, дальше оно само пойдёт. В довесок автоматом прокачиваются навыки поиска и критического восприятия информации.

Более опытные будут тоже иногда транслировать странное, например, советовать использовать вместе с Tor какой-нибудь Firefox или даже Chromium

Это все от меня исходит. Раньше я вообще торовские прокси в рабочем браузере включал и не парился. Ну вот не поймали меня до сих пор :)

Не зря гуглокапча ориентируется в основном на движения мышью

Я заметил, если нажмешь кнопку «обновить картинки» или «аудио» или если замешкаешься с выбором (свернешь браузер) 100% определит как спамера и не даст больше выбирать. У меня вообще CSS фиксы, чтобы анимацию и прыжки убрать. Так какие нужны действия мышью, чтобы за человека больше сойти?

А поисковики очень не любят кнопку «дополнительные настройки» и хитрые запросы типа site: Приходится пользоваться поисковиками, которые капчу не суют, но и ищут хуже.

на движения мышью

да, известная тема. вообще набор на клаве и характер использования мыши - это две крутейшие техники по составлению уникальности портрета. набор на клаве на раз два ИИ составляет уникальный портрет по скорости и манере набора поисковых запросов в гугле с автоподстановкой запросов.

если от деанона по клаве можно защищиться с помощью клоакинга:

kloak: Keystroke-level online anonymization kernel

A privacy tool that makes keystroke biometrics less effective. This is accomplished by obfuscating the time intervals between key press and release events, which are typically used for identification.

то с мышью сложнее. если до тора в клирнете «накликал» досье на свой онлайн-портер, то в торе нужно избегать скриптов в принципе. поэтому все эти гугло-капчи это конечно моветон. это же чистой воды интеллектуальная система обучения и сбора информации. поэтому я не понимаю тех админов, которые на свои сайты пихают эту гуглокапчу и любую другую капчу, где надо использовать мышь. есть же безопасные варианты капчи, где ответ даётся с клавы, которую можно защитить клоакингом.

тут только если вообще в принципе от скриптов отказываться либо в клирнете, либо в торе, чтобы разграничить две сетевые идентификации друг от друга. иначе…

вообще любая скриптота в торе опасна. особенно если задействованы 3rd party запросы к техногигантам (гугл, амазон). да и не только к ним. 100% анб насоздавали кучу мелких малоизвестных трэкеров-заглушек-ханипотов-прокси.

поэтому например все мэйл-сервера, где нужна скриптота в принципе небезопасны, пусть даже к ним и из тора подключаешься.

А зачем гуглу все эти картинки? Карты составляет?

В связи с чем вопрос, за постоянное 100% использование VPN меня возьмут на карандаш?

За VPN едва ли берут. Очень много кто использует VPN постоянно. Хотя зависит от обстоятельств.

По поводу выявления через тор. На форумах встречал сообщения, что по скорости и горбам на трафике как-то вычисляют кто скачал какой файл. Я думаю, это брехня.

Речь про торренты? Если так — смотря какие, хотя если торрентить через Tor есть более серьёзные проблемы. Большое количество трудноустраняемых утечек реального адреса, например.

По поводу сопоставления уже расписал выше — если понадобится, органы, имея логи, смогут восстановить последовательность событий.

Кстати, по поводу коллекторов я могу много интересного рассказать. Они в сговоре со многими организациями (про сотовых операторов молчу). Был такой занятный случай, я как раз квартиру переоформлял на себя после смерти родственницы. Сами понимаете сколько трат на все + нотариус. Короче, поехал я в фирму оценки стоимости жилья, телефон взял с собой, возвращаюсь, а в подъезде рекламные листовки «взлом замков».

Взлом замков? Не думал, что такая реклама разрешена. Если только в формате «потерял ключи? не проблема!»...

Ну коллекторы всё же не спецслужбы. От авторитета агенства зависит количество «своих людей» «где нужно». Авторитет агенства обычно зависит от размера долга. Самые хитрые закон не нарушают, ибо уже много есть прецедентов, когда за такое притягивали по полной. Даже тратя больше суммы долга, просто из принципа.

При желании и имея нужные связи можно организовать и перехват СМС, и даже переадресацию звонков, это уже в некотором смысле массовые «развлечения». Имея связи в полиции можно веселиться и покруче — прослушивать звонки, отслеживать передвижения и так далее. ОпСоСы обладают огромной властью, этого не отнять.

Наличие «своих людей» где-нибудь в Яндексе позволит проводить ADINT — новейший(достаточно дорогостоящий, к слову) способ целевого отслеживания. Это в буквальном смысле злоупотребление рекламными сетями, которые сегодня в интернет-пространстве сложно отличить от настоящего шпионажа.

Так запросто можно отследить даже перемещение по разным сайтам с директом в наличии.

Отключайте JavaScript, ныне это орудие контроля.

У меня вообще CSS фиксы, чтобы анимацию и прыжки убрать.

Впервые слышу о таком. Что это? Может, кстати, напрямую влиять на результат «проверки».

Так какие нужны действия мышью, чтобы за человека больше сойти?

«Офисные». Достаточно кружить мышкой внутри фрейма капчи — это самый быстрый способ обойти проверку, в то же время самый деанонимизирующий. Но общее правило такое: чем больше «неточностей» в движении — тем короче проверка.

Приходится пользоваться поисковиками, которые капчу не суют, но и ищут хуже.

Гуглокапчу для гугла же можно обойти простой сменой цепочки(ctrl+shift+L). По моему опыту это самый быстрый вариант, но, вероятно, не очень анонимный — едва ли много кто так делает.

Да какой там закон, если всякие фишеры постоянно названивали, при том, что номер даже не на мне. В России нет законов.

И как тогда кино через тор смотреть? На сайтах, клоунфлаер банит, а через торрент рисково…

Что делать с сайтом, который пытается подменить dns? При полном отключении скриптов на сайте не работают превьюшки и скриншоты к раздачам, но не атакует. Если включить минимум для превьюшек и скриншотов начинает атаковать.

А да кстати как-то они замок испортили. Но это было только один раз.

зайти на 2ip.ru

если от деанона по клаве можно защищиться с помощью клоакинга:

Я обычно в браузере отделяю поисковую строку от адресной(с отключением поиска в последней), разумеется, отключая поисковые подсказки, и использую её как своеобразный «буфер» для клавиатуры. Написал необходимое в строку и вырезал по ctrl+x, дальше остаётся только вставить. Для систем отслеживания это похоже на довольно распространённый автонабор(особенно часто используется для заполнения связки логин/пароль).

Верно мало кто так делает, было бы хорошо если бы подобный метод распространяли далее, поскольку это, ИМХО, самый эффективный способ победить отслеживание по клавиатуре.

то с мышью сложнее. если до тора в клирнете «накликал» досье на свой онлайн-портер, то в торе нужно избегать скриптов в принципе.

Менять руки как вариант. Желательно вместе со сменой мыши.

поэтому я не понимаю тех админов, которые на свои сайты пихают эту гуглокапчу и любую другую капчу, где надо использовать мышь.

Им обычно просто лень. «Защита» эта довольно слабая и обходится продвинутыми ботами или специально нанимаемыми «живыми ботами». Самодельная капча, особенно сделанная по всем правилам, во много раз эффективнее, вплоть до того, что она не пробивается в принципе без кропотливой заточки специального бота именно под неё.

Не самый плохой, кстати, пример текстовой капчи — на лурке. Там не совсем канон, используются некоторые неэффективные, но вредные для людей способы, но в целом автозаполнение блокирует хорошо.

100% анб насоздавали кучу мелких малоизвестных трэкеров-заглушек-ханипотов-прокси.

И не только они. Рекламные корпорации поработили «клирнет».

поэтому например все мэйл-сервера, где нужна скриптота в принципе небезопасны, пусть даже к ним и из тора подключаешься.

Белка наше всё, как и локальные почтовые клиенты. Все адекватные анонимные почтовики нормально поддерживают клиенты, чего уже вполне достаточно.

И как тогда кино через тор смотреть? На сайтах, клоунфлаер банит, а через торрент рисково…

https://kinogo.la

Что делать с сайтом, который пытается подменить dns? При полном отключении скриптов на сайте не работают превьюшки и скриншоты к раздачам, но не атакует. Если включить минимум для превьюшек и скриншотов начинает атаковать.

Что значит «подменить dns»? Не вполне понял.

В числе прочего обучает распознавание по картинкам. Хотя до Яндекса ему ну очень далеко. Последний даже текст автоматически распознаёт и очень, кстати, неплохо.

При том Яндекс не использует мышечно-картиночные капчи... Как же так выходит?

Раз в год и палка стреляет. Русские законы русской рулеткой. И бывает именно настолько неприятно.

А я люблю посматривать иногда троллинг коллекторов на трубе, это кладезь перлов.

Я про такой случай Днсы атакуют

Не думаю, что это сработает с Tor Browser, хотя попробовать можно.

Есть примеры подобных страниц?

Пока только порнолаб в этом замечен.

Вроде всё работает, без JS не грузит только спойлеры и картинки, что часто встречается в целом. Разрешив минимум получаем полностью рабочую версию.

На практике успешное

определение адресов реализовал только профессор Перуанского университета, Анастасос Керамитос (или как-то так его звали), и то в пределах кампуса. Где-то за 120 минут, примерно.

На самом выходном узле ведь никаких логов не ведется?

Не факт. Но в случае с tor в логах exit-node будут IP только тех узлов, которые вышли на некие внешние по отношению к tor IP. Т.е., кто вышел на ЛОР, например. Тогда логи имеет смысл сопоставлять. А дальше/глубже к выходившему на этот сайт, это уже цепочка тора. Здесь важно не конфигурировать one hop node. Т.е., иногда отдельные олени говорят – «о, я тут точку нашёл, скорость звиздатая, дай-ка я сразу на неё прыгать буду». Типа, я в торе, но у меня ничего не тормозит, т.к. между моим роутером онион и выходным всего один хоп. Нет, это так не работает. «Приедете» намного раньше. Максимум что Вы можете сделать – указать какую-то выходную ноду для какого-то конкретного сайта (нужно держать разные torrc). Это нужно чтобы не перелогиниваться постоянно на посещаемом сайте. Но эта нода только для данного сайта и её наличие не отменяет того, что между Вашим и выходным роутером онион должно быть ещё что-нибудь как это и положено в описании на онион роутеры.

В принципе, можно и для целых стран включать-выключать выходные ноды, но это уже man torrc. Здесь самая большая проблема в том, что тор качает не только Ваш трафик. Он качает некий общий трафик, к которому Вы подмешиваете свой и отделить Ваш траф от не-Вашего крайне сложно. Т.е., на примере. Пусть некий провайдер (которым Вы пользуетесь) сжирает в месяц 20Т трафика. Вы поставили свой онион роутер и пров стал сжирать чуть больше, т.к. у него в сети появился трафик тора. Ну пусть станет 20.5Т в месяц (цифры тут похрен, условно считаем). Теперь Вы, придя с работы, решили посидеть под тором. Что произойдёт? Увеличение трафика? Нет. Каналы связи не резиновые и полоса пропускания у Вас и у прова останется всё та же. Следовательно, во время работы с тором, Вы будете пропускать меньше «чужого» трафика через свой онион роутер, забирая часть трафика под свои нужды. Т.е., флуктуации трафика будут настолько незначительны, что сторонний наблюдатель их и не заметит. Поэтому думать что вот я ща поработаю с тором и потом всё на фиг вырублю, пойду игорей гонять, это наивно. Тем самым Вы выпаливаете себя вчистую. Появляются флуктуации и они носят более-менее предсказуемый характер (да, это называется флуктуационный анализ). Добавлю что у трафика тора есть определённые характерные признаки, позволяющие его задавить в принципе. При желании, конечно. Т.е., ни в сеть прова, ни из неё ничего не выйдет, что касается тора.

Что Вас демаскирует ещё для стороннего наблюдателя – это интерес к хосту. Допустим, я сижу-ломаю что-нибудь. По сути, каждый или почти каждый запрос начинается с разрешения DNS имени хоста или сети в IP. Резольвинг адреса. Если у Вас не установлен кеширующий DNS, то все запросы летят либо прову, либо на открытые DNS сервера, типа гуглевских 8.8.8.8 или 8.8.4.4, на деле, ещё есть такие же открытые и кеширующие. Это уже как настроено. Но главное что запросы летят вовне. Если установлен кеширующий DNS локально (на Вашем хосте или в Вашей домашней локалке), то обращений на резольвинг вовне будет в идеале вообще одно. Первое, дальше уже по кешу. К тому же, в тор применять можно не socks5, которые требуют адреса, а socks4a, которые не требуют полного разрешения имени в IP. Становится уже значительно легче. Вообще, это называется dns leakage (один из случаев), когда по dns-запросам отслеживается интерес к тому или иному хосту/сети. Не надо так палиться. Лишнее, т.к. очевидно что если сидеть у прова и заметить что поехали запросы к DNS в отношении какого-то хоста или сети и начало твориться что-то непонятное, то дальше выезд в адрес это уже дело пяти минут. При желании менты умеют ездить быстро.

Мы не рассматриваем тут fake onion routers, т.к. это отдельная обширная тема. Т.е., если я поставил большое число узлов сети и начал там перехватывать трафик, то я могу получить намного больше информации, т.к. мне становятся доступны и входные и выходные и транзитные адреса онион роутеров. Но мало кто может сорганизовать 200-250 или больше фейковых онион роутеров.

Похоже на попытку

dns cache poison. Правда, довольно корявую и нецеленаправленную. Типа, «на шару», авось сканает.

Но на мой взгляд, js, flash на hidden service позволяют деанонимизировать пользователя, допустим, банально организовать запрос http на какой-то открытый сайт, находящийся за пределами мети тор. Тогда станет ясен адрес клиента через REMOTE_ADDR. На мой взгляд, в браузере лучше рубить на корню все эти излишне «активные» технологии.

Ыыы...

Да какой там закон, если всякие фишеры постоянно названивали, при том, что номер даже не на мне. В России нет законов.

Почему же? Закон-то есть. Но ответственность за слив персональных данных… короче, в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение. Т.е., человек слил Ваши и не только Ваши данные, например, «пробивщикам», так максимум что ему можно сделать – уволить. Ну, разве что ещё можно по ст.137 УК РФ посадить на полгодика. Но это уже не к сливам баз данных абонентов, а если что по-круче «учудите».

Если, правда, ужесточать законы и сажать по-взрослому, то такие вопли опять поднимутся… =)))

выход в интернет через tor

капча не напрягает?

Странно.

Я обычно в браузере отделяю поисковую строку от адресной(с отключением поиска в последней), разумеется, отключая поисковые подсказки, и использую её как своеобразный «буфер» для клавиатуры. Написал необходимое в строку и вырезал по ctrl+x, дальше остаётся только вставить. Для систем отслеживания это похоже на довольно распространённый автонабор(особенно часто используется для заполнения связки логин/пароль).

Верно мало кто так делает, было бы хорошо если бы подобный метод распространяли далее, поскольку это, ИМХО, самый эффективный способ победить отслеживание по клавиатуре.

спец. средства будут всё же эффективнее.

https://github.com/vmonaco/kloak https://arxiv.org/pdf/1609.07612.pdf

Если первая и последняя нода контролируются злоумышленником.

Для гарантированного определения все же нужно, чтобы все три узла, если хотя бы один в цепочке безопасен определение может быть ошибочным.

С другой стороны, не всегда вообще нужно пробивать узлы, есть кучи разных косвенных способов, которые могут сработать в конкретной ситуации (а могут и не сработать)

В упомянутой выше теме я уже раскрывал вопрос сетей обмена сообщениями реального времени и/или с низкой задержкой. Вообще желательно наиболее важные сообщения передавать почтой через операторов в Tor, добавляя при этом анонимные ремейлеры(и желательно нормальную задержку). PGP необходим тоже, оно не для красоты.

согласен отложенная отсылка зашифрованной pgp-почты это пожалуй сама крутая вещь.

но на практике в даркнете почти все для общения используют otr/omemo. можно ещё дальше пойти и использовать post-quantum cryptography я про вещи типа - https://github.com/exaexa/codecrypt

но такие вещи пока малоизвестные, только спецы интересуются.

И как тогда кино через тор смотреть? На сайтах, клоунфлаер банит, а через торрент рисково…

Заведи сидбокс в другой юрисдикции и качай торренты на нем. А вообще, если в РФ, то на кино (если не поpнуха) обычно всем покласть, особенно если оно старое. В разумных пределах конечно, быть сидером с 100 Тб контента и 24 часа в неделю не советую.

Надеюсь ты не станешь впаривать мне куртку. Я к тому, что не хочу ничего покупать.

Случайно никто не хочет купить гараж?

Хакиры мамкины :) Вычислять иногда могут от обратного.

Например, сам факт, что сумел грамотно закрыться от деанонимизации может послужить деанонимизации, потому что вообще в мире не так много людей, которые имеют соответствующие знания и опыт. В сочетании с парой-тройкой дополнительных фактов, к которым между прочим и знание или наоборот плохое знание каких-то языков относится.

которые имеют соответствующие знания и опыт

тут по существу общаются. если есть что сказать говори, клоун. а если нечего, то вон беги в соседний топик где гугл хром обсуждают.

В сочетании с парой-тройкой дополнительных фактов
знание или наоборот плохое знание каких-то языков относится

ну прям покрывы сорвал... такие вещи как Stylometry обсуждали уже кучу раз. и те, кто в теме, обращают на эти вещи пристальное внимание.

There are multiple ways to conduct statistical analysis on "anonymous" texts, including: 

    Keystroke fingerprinting, for example in conjunction with Javascript.
    Stylistic flourishes.
    Abbreviations.
    Spelling preferences and misspellings.
    Language preferences.
    Word frequency.
    Number of unique words.
    Regional linguistic preferences in slang, idioms and so on.
    Sentence/phrasing patterns.
    Word co-location (pairs).
    Use of formal/informal language.
    Function words.
    Vocabulary usage and lexical density.
    Character count with white space.
    Average sentence length.
    Average syllables per word.
    Synonym choice.
    Expressive elements like colors, layout, fonts, graphics, emoticons and so on.
    Analysis of grammatical structure and syntax.

а теперь беги уроки делать...

кстати, SM5T001, тему про анонимные ремэйлеры, имхо, стоит закрыть, ибо на бумаге очень круто, но на практике их почти не осталось нормальных. многие в прошлом известные ремэйлеры позакрывал фбр/интерпол и иже с ними, так как все они они использовались в основном террористами. сейчас работает-то всего пара стабильных.

Методов идентифицировать анона милионы.

Например X-Forwarded-For https://en.m.wikipedia.org/wiki/X-Forwarded-For

На каждый известный метод идентификации надо придумывать свою затычку.