LINUX.ORG.RU

Дилетантский вопрос по деанонимизации в TOR

 ,


1

1

Здравствуйте уважаемые участники форума,

Насколько верна моя догадка о том, что следующим способом может быть деанонимизирован владелец сервера в TOR? :

Заранее прошу прощения за возможные неточности в терминологии и грубо нарисованную диаграмму: https://ibb.co/TkN0mpD .

Итак, есть сервер с работающим на нём приложением (не важно, каким именно - веб-, ftp- или каким-то другим). Он имеет выход в сеть только через другой сервер, выполняющий роль onion-прокси, с которым он соединен через кабель. Таким образом получается, что даже если сервер приложений будет взломан, взломщик не сможет узнать его IP-адрес, т.к. у него на пути будет стоять onion-прокси.

Предположим, что противоборствующей стороной является организация, обладающая весьма внушительными финансовыми, техническими и интеллектуальными ресурсами - такая, как, например, ЦРУ, Интерпол, АНБ и т.п. Предположим далее, что у неё есть большое количество подконтрольных ей входных узлов TOR. Правильно ли я понимаю, что определить IP-адрес onion-прокси можно попытаться следующим образом:

  1. На взломанном сервере приложений отключить от пользования сетью все программы за исключением одной.
  2. Через эту программу начать посылать входному серверу через onion-прокси мусор, но при этом заранее определенных объемов. Например: сперва отправляется 2 мегабайта, потом 7, потом 56, затем 4 и т.п.
  3. Начать искать на подконтрольных входных узлах подобные серии.
  4. Если таковые обнаружатся, обратить внимание на IP-адрес, с которого они приходят.

Перемещено hobbit из general



Последнее исправление: AlexeyMihaylov (всего исправлений: 1)

Всё верно, только существует и куча других способов для тех, кто достаточно состоятелен. ТОР, как и большинство подобного софта, это игрушка для криптофанатиков и/или мамкиных хакеров и не более того.

Спрятать свой айпи-адрес от форума где тебя забанили - сойдёт, на большее рассчитывать не стоит. Да и то многие приличные ресурсы ограничивают подключения через тор.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)

Догадка верна. Только всё ещё проще - начинает литься трафик максимального объёма. И, имея возможность мониторить трафик на международных магистральных провайдерах, конечная точка находится без проблем. Контроль над узлами тора тут особо и не нужен, просто несложная корреляция.

Тор не защищает против атакующего, который способен мониторить существенную часть Интернета (а относительно централизованная природа Интернета позволяет эту существенную часть мониторить без особых проблем при наличии должного административного ресурса).

Основная модель, для которой работает тор, это один известный и большой сервер, который ни от кого не прячется (к примеру www.nsa.gov), и клиент, который к нему подключается через тор и передаёт сообщения небольшого размера. Клиента в данной модели отследить невозможно. По сути для этого юз-кейса тор и создавали. Чтобы американские шпионы передавали информацию в Америку через Интернет. Весь остальной движ вокруг тора нужен только для того, чтобы эти шпионы затерялись среди наркоманов.

Если нужно спрятать сервер в торе, я бы делал два сервера. Один - реверс прокси для второго. При этом первый отслеживает входящий трафик и при превышении среднестатистического уничтожает всё на ноде (а лучше - вообще ничего не хранит и работает только из оперативной памяти). Тогда, когда его найдут, на нём уже ничего не будет, а ты развернёшь его у другого провайдера.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 4)
Ответ на: комментарий от seiken

Недоверие к госорганам это один из постулатов мышления, когда занимаешься сомнительными делишками.

Конечно, можно верить, что учреждение, созданное для шпионажа и контрразведки, создало чистый и безопасный софт для анонимизации и щедро раздало его всем желающим, включая иностранных шпионов и контрразведчиков. Но на мой взгляд, такой уровень наивности и тупости несовместим с жизнью 😁

alex1101
()
Ответ на: комментарий от firkax

многие приличные ресурсы ограничивают подключения через тор.

Если ресурсы ограничивают - значит им нужна идентификация для рекламы и прочего непотребства. И с чего вдруг такие ресурсы ты считаешь приличными?

nvl ★★★
()
Ответ на: комментарий от seiken

Разработка системы началась в 1995 году[19] в «Центре высокопроизводительных вычислительных систем»[20] Исследовательской лаборатории Военно-морских сил США (NRL)[en] в рамках проекта Free Haven[en] совместно с DARPA по федеральному заказу[21]

До 2018 года гранты Правительства США составляли более половины бюджета проекта Tor

Как вишенка:

О поддержке проекта, в том числе финансовой, в 2004 году объявила правозащитная организация Electronic Frontier Foundation, которая начала активно пропагандировать новую систему и прилагать значительные усилия для максимального расширения сети[25].

Если т.н. «правозащитники» и прочие «независимые» организации за всё хорошее против всего плохого что-то активно пиарят и продвигают - можно быть уверенным, что это что-то прочно сидит на елдаке барена.

Ну и в целом количество слабых мест Тора создают ощущение, что он обеспечивает анонимность на полшишечки, чтобы замаскироваться от всяких бантустанов, но при наличии обширных ресурсов и административных возможностей можно было без особых проблем определить кто что и куда.

alex1101
()
Ответ на: комментарий от alex1101

DARPA и у истоков инета стояла. Но в любом случае, допустим, есть какая-то закрытая анбшная версия Тора, это всего лишь означает, что на подконтрольных им нодах будет эта версия с закладками. Но это и без всяких АНБ априорное допущение, здесь участие АНБ не добавляет нового способа компрометации Тора.

seiken ★★★★★
()
Ответ на: комментарий от seiken

Да, тоже резонно.

В любом случае, лучше исходить из мысли, что все технические средства скомпрометированы, поэтому защиту анонимности лучше перенести на организационный уровень.

alex1101
()
Ответ на: комментарий от nvl

Нет, просто открою тебе секрет никто не любит фанатичных анонимов, а оферту пользования сайтом хотят заключать с кем-то понятным. Если ты просто читаешь то ещё ладно, а если что-то пишешь - то представься, если не другим пользователям то хотя бы владельцу. Речь не про ПД, а про хоть что-то, что позволит тебя отличать от остальных без оперативно-розыскных мероприятий - айпи-адрес, куки в браузере, почта, телефон. А если ты демонстративно суёшь палки в колёса данной весьма мягкой идентификации - тебя не любят, запрещают тебе писать а иногда и читать.

Впрочем, в последние несколько лет эта разумная практика подкреплена ещё и законодательно.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

Вы описали обычную атаку по сторонним каналам от глобального наблюдателя с возможностью шейпинга трафика. Подобные сценарии атак на скрытосети давно рассмотрены. Методы противодействия тоже существуют. Погуглите. Тема интересная, и материалов в сети хватает.

QsUPt7S ★★
()
Ответ на: комментарий от AlexeyMihaylov

Можете, пожалуйста, поделиться ссылками на некоторые из них

Я уже давным давно не в теме, в связи со сменой круга интересов. Из того, что помню:

  • Атака по сторонним каналам - метод получения сведений (в идеале полных) об открытом тексте (plain text) зашифрованного сообщения, использующий метаданные сообщения.
  • Пассивный глобальный наблюдатель - теоретическое лицо не имеющее возможности влияния на сеть, но имеющее доступ ко всем метаданным всех узлов сети, а так же доступ к шифротекстам (зашифрованным пакетам передаваемым через сеть).
  • Активный глобальный наблюдатель - в отличие от пассивного, имеет возможность не только наблюдать но и вмешиваться в работу сети: дропать пакеты, дублировать их, вставлять свои, изменять задержку и пропускную способность каналов между узлами сети, etc.
  • Шейпинг трафика - технология улучшения качества работы сети, за счёт приоритизации трафика. Коротко: улучшаем отзывчивость сети, путём пропуска более срочных пакетов, ценой задержки менее срочных. Длинно - неплохая статья.

Шейпинг трафика можно использовать для атаки на скрытосети, контролируя пропускную способность и задержку пакетов на стороне источника, и измеряя соответствующие объём за единицу времени и задержки пакетов на стороне приёмника. Теоретически атака осуществима, но о практическом применении, я не слышал (я сварщик ненастоящий, и, повторюсь, давно не в теме). Из методов противодействия первым приходит на ум тот же шейпинг трафика на промежуточных узлах, и увеличение доли транзитного трафика в сети.

Из тех ссылок, что бегло нашёл в выдачи Гугла:

Ну и если интересны скыртосети, посмотрите статьи Acetone на Хабре, там много чего интересного.

QsUPt7S ★★
()

Дядя немецкий полицейский придет и заберет HDDссд самсунк евопм из твоего бытового тазика в хецнере. Как это и было с трехглавой.

Дальше уже дело техники.

Ну и на самом деле, тебя гораздо раньше спалят при заборе роскомнадзор или при переводе бетховенов на площадку по продаже роскомнадзор.

harbinger
()
Ответ на: комментарий от harbinger

тебя гораздо раньше спалят при заборе роскомнадзор

если я правильно понимаю вашу самоцензуру, то ответ такой: одних спалят, других нет

т.е. это вообще параллельно использованию и безопасности тор: закон минимизации усилий подсказывает, что с наибольшой вероятностью вас поймают в той сфере, где легче всего поймать; собственно, вопрос «насколько безопасен X» можно (с поправкой на популярность) интерпретировать как «насколько вероятно вас поймают именно из-за ошибок в X». т.е. буквально ваш ответ можно интерпретировать как «тор абсолютно безопасен, потому что нежелательных элементов всегда проще поймать в другом месте». но скорее всего это всё же не совсем так

или при переводе бетховенов на площадку

если вы не можете анонимно перевести крипту, то не стоит ей пользоваться для анонимизации

caryoscelus
()

такая, как, например, ЦРУ, Интерпол, АНБ

То у них найдётся 1000 и один способ вычислить вас по IP. Начиная с того, что АНБ уже контролирует больше половины выходных ТОР-нод.

PPP328 ★★★★★
()
7 апреля 2024 г.

записывай в отчёт *вычеркнуть*, в гугл блокнот, покупаешь ноду тора(если сила, арендуешь) компрометриуешь все выходящие из неё узлы, сватаешь типов, получаешь шекели P.S. ещё можно сделать открытый Wifi (без пароля) и вытаскивать все логи и URL ничего не подозревающих граждан, которые будут подключаться к (безопасному) интернету 🔥

avas1
()