LINUX.ORG.RU
ФорумTalks

Взломали EncroChat

 , , , ,


0

2

Продублирую сюда на всякий: Ликвидация EncroChat

Не так давно Европол, NCA, Национальная жандамерия Франции и совместная следственная группа, сформированная при участии Франции и Нидерландов, провели совместную спецоперацию с целью компрометации серверов EncroChat путём «установки технического устройства» на серверы во Франции(1), чтобы получить возможность «вычислять и идентифицировать преступников с помощью анализа миллионов сообщений и сотен тысяч изображений».(2)

Некоторое время спустя после операции, EncroChat, обнаружив вторжение, разослал сообщение пользователям с рекомендацией «немедленно отключить и утилизировать ваши устройства».

Только в Соединённом Королевстве было арестовано 746 подозреваемых, изъято:

  • Более £54 000 000 наличными деньгами
  • 77 единиц огнестрельного оружия, в том числе AK47(прим. ред: это AKM), пистолеты-пулемёты, пистолеты, 4 гранаты и более 1 800 патронов.
  • Более двух тонн наркотических веществ класса A и B
  • Более 28 миллионов таблеток этизолама(так называемый «уличный диазепам»)
  • 55 дорогостоящих автомобилей и 73 штуки дорогих часов.

EncroChat представлял собой набор ПО и оборудования(модифицированные смартфоны) для организации коммуникаций с «гарантированной анонимностью, сквозным шифрованием, модифицированной платформой Android, двойной операционной системой, „самоуничтожающимися сообщениями“, „кнопкой паники“, уничтожением данных при множестве неверных попыток ввода пароля, secure boot, отключённым ADB и режимом восстановления»(3)

Платформа EncroChat на момент ликвидации насчитываля десятки тысяч пользователей(≈ 60 000) из разных стран, в том числе РФ. Стоимость модифицированных смартфонов составляла £1000, ПО — £1,500 за полугодовой контракт.

P.S. А вот пользовались бы они Tor + PGP не со смартфонов, а с нормального ноутбука со свободной ОС — не поймали бы никогда.

Немного саморекламы: есть анонимный Ящик, работает только через onion-сервис Tor, не требует javascript, cookie и регистрации. Из метаданных только дата отправки сообщения(без часов, минут и секунд) и его размер, всё остальное должен указывать сам пользователь.

Шифровать сообщения пользователь тоже должен сам, а простейшая инструкция есть тут: http://7apievo4h7gelatn.onion/contact.html



Последнее исправление: SM5T001 (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Серьезные люди? Это какие? Сколько стоит? Кто рассказал?

К сожалению, я точно так же не в курсе деталей, как не в курсе был следователь, который узнал от своих коллег о факте чтения переписки телеграма в рамках крупного уголовного дела. Не исключено, что доступ был получен какими-то более хитрыми путями, но на мой взгляд — продал пашка. Ну и как бы нужно отличать формальную передачу данных по запросу суда от неформальной передачи за кулисами. Все-таки пашка — простой бизнесмен, а не какой-то помешанный на идеалах политический активист, как Элбакян.

byko3y ★★★★
()
Ответ на: комментарий от byko3y

К сожалению, я точно так же не в курсе деталей, как не в курсе был следователь, который узнал от своих коллег о факте чтения переписки телеграма в рамках крупного уголовного дела. Не исключено, что доступ был получен какими-то более хитрыми путями, но на мой взгляд — продал пашка. Ну и как бы нужно отличать формальную передачу данных по запросу суда от неформальной передачи за кулисами. Все-таки пашка — простой бизнесмен, а не какой-то помешанный на идеалах политический активист, как Элбакян.

Понятно, опять какие-то закулисные сливы и тайные знамения. Властям не нужен Пашка, чтобы получить доступ к данным – у них есть карманные телефонные компании. А следовательно, весь 2FA летит к чертям.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 3)
Ответ на: комментарий от kirk_johnson

Властям не нужен Пашка, чтобы получить доступ к данным – у них есть карманные телефонные компании. А следовательно, весь 2FA летит к чертям.

Вот-вот, удивительно, как этой элементарщины не понимают даже многие пассажиры ЛОРа дрочащие на свои вацапчики с телеграмчиками. Если мессенджер требует номер телефона, то ни о приватности, ни об анонимности (это, кстати, совершенно разные вещи, но обе гарантированно множатся на ноль требованием номера телефона) речи в принципе быть не может.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Вот-вот, удивительно, как этой элементарщины не понимают даже многие пассажиры ЛОРа дрочащие на свои вацапчики с телеграмчиками. Если мессенджер требует номер телефона, то ни о приватности, ни об анонимности (это, кстати, совершенно разные вещи, но обе гарантированно множатся на ноль требованием номера телефона) речи в принципе быть не может.

Ну вообще там можно поставить пароль и использовать E2E… Но по сути, все важные переговоры стоит вести лично, как и сто лет назад.

kirk_johnson ★☆
()
Ответ на: комментарий от byko3y

Я скорее готов поверить, что хозяева просто кинули пользователей и закрыли площадку, чем на то, что российские мусора осилили компьютеры.

Правдоподобная версия учитывая неработоспособность сайта без JS, что в анонимных сетях считается дурным тоном, выходящим за любые рамки приличия. И уязвимости тоже создаёт.

Админы судя по всему изначально безграмотные были. Какой-то крякер оставил сообщение о том, что именно он проводил атаку на сайт, делая его недоступным, а за прекращение атаки требовал выкуп.

И попробуй этим людям объяснить, что даже Tor уже много лет не является защищенным средством связи, поскольку солидная доля узлов находится под контролем самых разных государственных структур по всему миру — что не является большой тайной.

И что? Толковая компрометация отдельно взятой цепочки сети Tor возможна лишь при сговоре всех трёх узлов. При сговоре входа и выхода компрометацию остановит среднее звено, при сговоре входа и среднего — выход, при сговоре выхода и средней — вход. При наличии хоть одного нескомпрометированного узла невозможно связать конкретного пользователя и его действия, а значит невозможна деанонимизация.

Почитайте ман, особенно параметры EntryNodes, MiddleNodes, ExitNodes, EnforceDistinctSubnets.

Tor создавался для обеспечения связи с иностранной агентурой, и не более того

Угу, и для анонимности и безопасности нужны:

1. Анонимная и безопасная сеть
2. Большое число пользователей, что значительно усиливает сеть

Когда же вы научитесь? Невыгодно агентуре встраивать в сеть бекдор, НЕ-ВЫ-ГОД-НО, это как себе в ногу стрелять, особенно учитывая второй пункт. Ни один супермегагений не сможет сделать в открытом ПО такой бекдор, который бы не могли заметить другие.

в него изначально заложены изъяны, которые не мешают его основной функции, но при этом позволяют контролировать каналы путем затраты достаточно больших средств.

Это не изъяны сети, это изъяны сетевых протоколов вкупе с низкой задержкой. Низкая задержка вредит анонимности, да, но зато сетью пользуются обычные пользователи, что уже помогает анонимности.

Это не злой умысел а вполне разумный компромисс. Атаки на сеть Tor существуют, но они исправляются постепенно, а те, что исправить сложно — сложно и осуществить. Часто сложность атак столь велика, что дешевле пойти «в обход», выше я уже привёл пример с фейсбучным любителем детей.

SM5T001
() автор топика
Последнее исправление: SM5T001 (всего исправлений: 1)
Ответ на: комментарий от byko3y

не использовал дополнительные меры, вроде подключения через кафешный вайфай или мобильный инет с постоянной сменой симок. Потому что такие методы позволяют получать анонимность даже без Tails/Tor.

Очень сильное заявление.

1. Использовать Tor безопаснее именно дома. Много кто использует Tor не дома, а в кафешках? Вы уже выпадаете из общей картины
2. Выходя напрямую с кафешного вайфая, пункт назначения будет точно знать: вашу страну, город, примерное местоположение, местное время, задержки... сотни всего
3. Выходя напрямую с кафешного вайфая, СОРМ и аналоги будут точно знать: ваше местоположение, примерное время подключения к сети, местное время, задержки, ваш MAC-адрес, кто, когда и куда-откуда входил-выходил в эту самую кафешку, видеть ваш экран с помощью камер наблюдения... сотни всего

Если мы берёмся считать кафешный вайфай анонимным, тогда сеть ОпСоСа ещё анонимнее, особенно в какой-нибудь Москве — там один айпишник на тысячи, десятки или даже сотни тысяч устройств, и эти айпишники «плавают», периодически меняясь. Чем не локальный Tor(шутка)?

Видит ОпСоС ровно то же, что видит кафешный вайфай. Даже меньше немного, ибо по камерам вас отследить будет сложнее.

Ну тут просто такая же «анонимность» как с VPN, ни больше, ни меньше.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

При наличии хоть одного нескомпрометированного узла невозможно связать конкретного пользователя и его действия, а значит невозможна деанонимизация.

Отчего же невозможно. Любые характерные признаки в данных, например внесение вариаций задержки. Были обзоры на эту тему, Выходной узел вполне себе увязывается с пользователем

vaddd ★☆
()
Ответ на: комментарий от vaddd

Tor изолирует разные адрес и порт назначения между разными цепочками по умолчанию. В лучшем случае такая атака может деанонимизировать конкретный адрес и/или порт назначения, но цельный сеанс пользователя — нет.

И да, у вас ровно 10 минут на деанон, иначе начинайте с начала.

Что касается атак пересечением и шейпингом — они успешно удорожаются в разы при использовании простейших шумогенераторов(генераторов «мусорного трафика») вроде простейшего Noisy Script, а есть ведь более продвинутые штуки вроде Needl.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

В лучшем случае такая атака может деанонимизировать конкретный адрес и/или порт назначения, но цельный сеанс пользователя — нет

Целый сеанс и не нужен. Во многих случаях достаточно факта захода и определенных действий на сайте.

Что касается атак пересечением и шейпингом — они успешно удорожаются в разы при использовании простейших шумогенераторов(генераторов «мусорного трафика») вроде простейшего Noisy Script

Выходной узел тор или фишинговый подставной сайт даже при шумовом трафике с вашей стороны все равно внесут в трафик информацию для деанона, видную вашему провайдеру и вы на это повлиять не можете

vaddd ★☆
()
Ответ на: комментарий от vaddd

Целый сеанс и не нужен. Во многих случаях достаточно факта захода и определенных действий на сайте.

Опять же, полностью деанонимизировать все действия на конкретном сайте не выйдет.

Выходной узел тор или фишинговый подставной сайт даже при шумовом трафике с вашей стороны все равно внесут в трафик информацию для деанона, видную вашему провайдеру и вы на это повлиять не можете

Нет, выходной узел не может искажать трафик, иначе цепочка сразу же закроется, а сам ретранслятор немедленно будет помечен как вредоносный. Сейчас не 2012 год, детские болячки Tor излечил.

Фишинговый сайт может, но «шумовой» трафик, неотличимый от настоящего, особенно если его(шумового) много, не позволит нормально провести атаку так, чтобы конечный пользователь не заметил. А заметность уже сильно снижает её эффективность, тем более это не пассивная атака.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Опять же, полностью деанонимизировать все действия на конкретном сайте не выйдет.

Слабое утешение.

Нет, выходной узел не может искажать трафик, иначе цепочка сразу же закроется, а сам ретранслятор немедленно будет помечен как вредоносный. Сейчас не 2012 год, детские болячки Tor излечил.

Тор не знает какой именно трафик идет с сайта, соотносящегося с выходным узлом. А сам сайт может «помечать» пользователей. Да и выходной узел по этой же причине тоже.

Фишинговый сайт может, но «шумовой» трафик, неотличимый от настоящего, особенно если его(шумового) много, не позволит нормально провести атаку так, чтобы конечный пользователь не заметил

А какой пользователь вообще будет глубоко анализировать то, что приходит с тора? Ладно бы еще пользователь наверняка знал какие пакеты отправляет ему связка сайт-выходной узел, но таких пользователей можно сказать вообще нет - кроме владельца сайта, желающего проверить «слежку».

А заметность уже сильно снижает её эффективность, тем более это не пассивная атака.

Это по любому не та активная атака, под которой в «открытой сети» подразумевают активный поиск уязвимостей в лоб. Это даже вообще не атака, это выставление пометки на пользователе.

Представьте - условные силовики открывают кучу подставных луковых сайтов - здесь бабло обналичивают, здесь цп сливают, здесь наркоту предлагают. И каждый сайт ставит свои метки на пользователей, без разбору и идентификации. Провайдеры же знают какие метки надо анализировать и сразу сливают информацию куда надо - «вот этот пользователь черз тор заходил на этот конкретный сайт и чего-то купил». Пользователь на карандаше, дальше дело за другими технологиями

vaddd ★☆
()
Ответ на: комментарий от SM5T001

Админы судя по всему изначально безграмотные были. Какой-то крякер оставил сообщение о том, что именно он проводил атаку на сайт, делая его недоступным, а за прекращение атаки требовал выкуп

Нужно понимать, что для работы над подобными площадками привлекается лишь ограниченный круг лиц, причем, скорее всего высококвалифицированный админы и кодеры скорее всего предпочтут обойти проект стороной. Ну а прикинь, каково писать в резюме «2014-2016. Разработка бэкэнда площадки для наркоторговли».

Толковая компрометация отдельно взятой цепочки сети Tor возможна лишь при сговоре всех трёх узлов. При сговоре входа и выхода компрометацию остановит среднее звено, при сговоре входа и среднего — выход, при сговоре выхода и средней — вход

Достаточно контролировать сервер и входную точку — дальше просто строится кореляция пакетов. Это банальная эксплуатация малого времени передачи пакетов по сети. По этой причине входной узел, он же guard, является ключевым в обеспечении безопасности — по той же причине является объектом атак.

Невыгодно агентуре встраивать в сеть бекдор, НЕ-ВЫ-ГОД-НО, это как себе в ногу стрелять, особенно учитывая второй пункт

При чем тут бэкдор, особенно в опенсорсе? Я имел в виду изначальный изъян принципа построения безопасного соединения, который требует гарантии отсутствия одновременного контроля за входным и сервером. Для целей связи с иностранной агентурой это условие легко выполняется контролем над сервером, но в случае с криптоанархистами сервер становится уязвимым звеном.

Низкая задержка вредит анонимности, да, но зато сетью пользуются обычные пользователи, что уже помогает анонимности

Если бы у сети была опциональная передача с высокой задержкой, то это создало бы огромные проблемы в отслеживании даже при контроле входного узла и сервера.

выше я уже привёл пример с фейсбучным любителем детей

Очень тяжело обсуждать этот пример, не имея хороших подробностей. Которые мы можем и вовсе не узнать.

byko3y ★★★★
()
Ответ на: комментарий от vaddd

Слабое утешение.

Отличное, если сеансы сами по себе короткие, а время их неодинаково и каждый раз разное(нельзя просто заходить в тот же вконтакте в одно и то же время каждый день).

Тор не знает какой именно трафик идет с сайта, соотносящегося с выходным узлом. А сам сайт может «помечать» пользователей. Да и выходной узел по этой же причине тоже.

Выходной не может как раз потому, что для проведения эффективной атаки ему нужно «помечать» таким образом вообще всех пользователей, что в масштабах сети очень даже заметно. Если он так будет делать, то очень быстро улетит в список плохих узлов, в современном Tor базовую проверку узлов на предмет вредоносных действий может осуществлять даже обычный клиент, а зондирующи узлы проекта Tor делают это 24/7/365.

А какой пользователь вообще будет глубоко анализировать то, что приходит с тора? Ладно бы еще пользователь наверняка знал какие пакеты отправляет ему связка сайт-выходной узел, но таких пользователей можно сказать вообще нет - кроме владельца сайта, желающего проверить «слежку».

Резкий спад скорости и/или задержки увидит на глаз даже неопытный пользователь, опытный же сразу заподозрит неладное.

Представьте - условные силовики открывают кучу подставных луковых сайтов

И вот их отслеживать сложнее в разы, ибо там все соединения идут через сторожевые узлы самого сайта, что не позволяет проводить таргетированную атаку, а массовую заметить шанс выше. Кроме того, сюда новые задержки добавляются, такие как поиск сайта в базах HSDir, «рукопожатие» и т.п.

Если паранойя совсем мучает — устанавливаем кэширующий прокси на VPS, подключаемся к нему через onion-сервис и идём смотреть «опасные» ресурсы. Даже самые дорогие атаки деанонимизируют только прокси, но не клиента.

SM5T001
() автор топика
Ответ на: комментарий от byko3y

Ну а прикинь, каково писать в резюме «2014-2016. Разработка бэкэнда площадки для наркоторговли».

Ну такое писать не надо. Вот работа над такой площадкой может принести криптовалюту, которую иным способом получить сложнее. Да и по своему опыту скажу, что доля толковых технических специалистов в «даркнете» намного выше, чем «снаружи». JS там, где без него можно обойтись — маркер очень и очень неграмотных админов и веб-разработчиков. Я бы им не доверил даже сайт-визитку сделать.

Достаточно контролировать сервер и входную точку — дальше просто строится кореляция пакетов. Это банальная эксплуатация малого времени передачи пакетов по сети. По этой причине входной узел, он же guard, является ключевым в обеспечении безопасности — по той же причине является объектом атак.

Опять же, никто не мешает использовать исключительно доверенные узлы, например узлы друзей. Если нет такой возможности — мосты помогут. Ну собственный ретранслятор поднять и держать для такого — $10 от силы, и можно использовать его для других целей(как облако, например).

Я имел в виду изначальный изъян принципа построения безопасного соединения, который требует гарантии отсутствия одновременного контроля за входным и сервером. Для целей связи с иностранной агентурой это условие легко выполняется контролем над сервером, но в случае с криптоанархистами сервер становится уязвимым звеном.

см. выше

Если бы у сети была опциональная передача с высокой задержкой, то это создало бы огромные проблемы в отслеживании даже при контроле входного узла и сервера.

Нет, такая опциональность не имеет смысла — соединения с высокой задержкой будут легко выделяться из общей массы и мгновенно станут приоритетными для отслеживания. Очень плохой подход.

Очень тяжело обсуждать этот пример, не имея хороших подробностей. Которые мы можем и вовсе не узнать.

Ну Facebook открыто признался в нарушении закона и проведении хакерской атаки, за что его должны бы неплохо так оштрафовать и посадить виновных, но этого не сделают, ибо прикрываются «заботой о детях». Закон-то вроде и закон, но не все перед ним равны.

Не думаю, что Facebook стал бы просто так в этом сознаваться, так что это, вероятно, правда. И очень плохой прецедент.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Отличное, если сеансы сами по себе короткие, а время их неодинаково и каждый раз разное(нельзя просто заходить в тот же вконтакте в одно и то же время каждый день).

Органам неважно что именно вы там делаете, им хватает факта вашего регулярного захода на сайт, чтобы взять вас на карандаше в реале. Никому не нужна конкретика действий на сайте - это не преступление.

Выходной не может как раз потому, что для проведения эффективной атаки ему нужно «помечать» таким образом вообще всех пользователей, что в масштабах сети очень даже заметно.

Как-то не убедительно

Если он так будет делать, то очень быстро улетит в список плохих узлов, в современном Tor базовую проверку узлов на предмет вредоносных действий может осуществлять даже обычный клиент, а зондирующи узлы проекта Tor делают это 24/7/365.

Сомнительно. Ссылку не дадите? Еще пару лет назад это было лишь в виде идей.

Резкий спад скорости и/или задержки увидит на глаз даже неопытный пользователь, опытный же сразу заподозрит неладное.

О, уже нужен опытный пользователь… Тор - сама по себе штука тормозная, а если это и не задержка, а вариации размеров пакета, заголовков или еще хз чего?

И вот их отслеживать сложнее в разы, ибо там все соединения идут через сторожевые узлы самого сайта, что не позволяет проводить таргетированную атаку, а массовую заметить шанс выше. Кроме того, сюда новые задержки добавляются, такие как поиск сайта в базах HSDir, «рукопожатие» и т.п.

Непонятно. Какие сторожевые узлы самого сайта? Зачем ему сторожевые узлы? И опять же - назвать это атакой вряд ли можно.

Если паранойя совсем мучает — устанавливаем кэширующий прокси на VPS, подключаемся к нему через onion-сервис и идём смотреть «опасные» ресурсы. Даже самые дорогие атаки деанонимизируют только прокси, но не клиента.

Это вроде получше

vaddd ★☆
()
Ответ на: комментарий от SM5T001

Опять же, никто не мешает использовать исключительно доверенные узлы, например узлы друзей. Если нет такой возможности — мосты помогут. Ну собственный ретранслятор поднять и держать для такого — $10 от силы, и можно использовать его для других целей(как облако, например)

Тор — это цепочка из достаточно большого числа «входных узлов», пройти которую достаточно тяжело, чтобы найти источник пакетов. Если у тебя на начале цепочки висят легко обнаруживаемые/отслеживаемые узлы, то они проходятся очень быстро.

И да, собственный ретранслятор — это тоже хороший вариант. То есть, нужен именно узел, который получает огромное число входящих подключений от случайных узлов.

Нет, такая опциональность не имеет смысла — соединения с высокой задержкой будут легко выделяться из общей массы и мгновенно станут приоритетными для отслеживания. Очень плохой подход

Делаешь однократную задержку посередине цепочки — вуаля, удачи отследить, откуда такой пакет пришел и куда идет.

Не думаю, что Facebook стал бы просто так в этом сознаваться, так что это, вероятно, правда. И очень плохой прецедент

Скажи спасибо, что это не австралия, где фейсбук был бы обязан этим заниматься и при этом обязан не разглашать информацию о производимых действиях. Сервера и перегруженные функциями браузеры будут еще долго оставаться основными мишенями.

byko3y ★★★★
()
Ответ на: комментарий от SM5T001

Если паранойя совсем мучает — устанавливаем кэширующий прокси на VPS, подключаемся к нему через onion-сервис и идём смотреть «опасные» ресурсы. Даже самые дорогие атаки деанонимизируют только прокси, но не клиента

А разве хостер не сдаст владельца VPS сразу же? Вспомни, на чем спалился Ульбрихт — он приобретал фальшивые документы для оплаты хостинга.

byko3y ★★★★
()
Ответ на: комментарий от vaddd

Органам неважно что именно вы там делаете, им хватает факта вашего регулярного захода на сайт, чтобы взять вас на карандаше в реале. Никому не нужна конкретика действий на сайте - это не преступление.

Может достаточно определённых поисковых запросов в каком-нибудь Яндексе, вроде «педофилия это», «оружие своими руками», «крокодил», «курительные смеси», «проститутки новгород»? Эдак никаких карандашей не хватит, особенно если

взять вас на карандаше в реале

Это попросту нецелесообразно. Слежка за пределами сети сегодня немногим подешевела по сравнению с 80-90 годами прошлого века. Даже самая оснащённая разведслужба разорится.

Сомнительно. Ссылку не дадите? Еще пару лет назад это было лишь в виде идей.

https://trac.torproject.org/projects/tor/wiki/doc/ReportingBadRelays#Doyouact...

вариации размеров пакета, заголовков или еще хз чего?

Размер пакета в Tor фиксирован. Заголовки? Какие, если всё тело шифруется до самого клиента?

Непонятно. Какие сторожевые узлы самого сайта? Зачем ему сторожевые узлы?

За тем же, зачем они и клиенту, в результате получаем аж 2 цепочки по 3 узла каждая. Как по вашему onion-сервисы с клиентами общаются?

SM5T001
() автор топика
Последнее исправление: SM5T001 (всего исправлений: 1)
Ответ на: комментарий от byko3y

подключаемся к нему через onion-сервис

Ну тут как бы уже подразумевается анонимная оплата. Всё что может сдать хостер — метаданные подключений через Tor. Если очень сильно будут просить IP — «сдаст» 127.0.0.1

А теперь мы запускаем на этом же VPS ретранслятор...

SM5T001
() автор топика

А вот пользовались бы они Tor + PGP не со смартфонов, а с нормального ноутбука со свободной ОС — не поймали бы никогда

«страна непуганных идиотов».

grem ★★★★★
()
Ответ на: комментарий от byko3y

Если у тебя на начале цепочки висят легко обнаруживаемые/отслеживаемые узлы, то они проходятся очень быстро.

Встроенные мосты используются достаточно активно, а поддерживаются напрямую Проектом Tor. Вероятность их компрометации сильно ниже таковой для случайного сторожевого узла.

Делаешь однократную задержку посередине цепочки — вуаля, удачи отследить, откуда такой пакет пришел и куда идет.

Можно раскрыть подробнее? Что за однократная задержка?

Скажи спасибо, что это не австралия, где фейсбук был бы обязан этим заниматься и при этом обязан не разглашать информацию о производимых действиях.

В Австралии онлайн-сервисы обязаны взламывать устройства пользователей? Очень сомневаюсь. хотя не следил, не знаю.

SM5T001
() автор топика
Последнее исправление: SM5T001 (всего исправлений: 1)
Ответ на: комментарий от SM5T001

Про тех, кто думает, что подобные меры в случае чего как-то помогут в случае уже начавшейся оперативной работы.

Такая явная попытка «спрятаться» уже сама по себе очень сильно привлекает внимание. И выглядит это примерно так

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от SM5T001

Делаешь однократную задержку посередине цепочки — вуаля, удачи отследить, откуда такой пакет пришел и куда идет.
Можно раскрыть подробнее? Что за однократная задержка?

Твой аргумент был «если пакет медленный, то сразу ясно, что клиент серьезный». Однако, медленный пакет не увидит никто, кроме одного узла, который понятия не имеет, от кого и куда пакет идет — остальные узлы увидят самые обычные пакеты.

byko3y ★★★★
()
Ответ на: комментарий от grem

Про тех, кто думает, что подобные меры в случае чего как-то помогут в случае уже начавшейся оперативной работы.

Боржоми пить надо заранее, это первое, второе — поможет, ещё как. Одному любителю детей помогло, см. выше.

Такая явная попытка «спрятаться» уже сама по себе очень сильно привлекает внимание

Это лучше, чем быть постоянно на виду. Например, тот же Tor будет тем менее подозрительным, чем больше людей будут использовать его для обмена какими-нибудь условными котиками.

И выглядит это примерно так

Ого, открылось моментально! Надо как-нибудь отписать админам пикабу, что их «блокировка Tor» сделана убого.

SM5T001
() автор топика
Ответ на: комментарий от grem

Про тех, кто думает, что подобные меры в случае чего как-то помогут в случае уже начавшейся оперативной работы

Пф-ф-ф, если оперативная работа по конкретному человеку уже началась, то это всё, уже конец. Идея анонимизации ведь изначально заключается в том, что не ясно кто является действующим лицом. Можно же ведь и по беспределу за уши притянуть улики, вплоть до полного беспредела.

byko3y ★★★★
()
Ответ на: комментарий от byko3y

Всё равно не очень понятно. Из того что понял выходит, что такую искусственную задержку со стороны клиента сделать невозможно.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Может достаточно определённых поисковых запросов в каком-нибудь Яндексе, вроде «педофилия это», «оружие своими руками», «крокодил», «курительные смеси», «проститутки новгород»?

Запрос - повод для внимания. Коммерческие операции на луковом сайте - уже состав преступления, которые войдут в текст приговора.

Это попросту нецелесообразно. Слежка за пределами сети сегодня немногим подешевела по сравнению с 80-90 годами прошлого века. Даже самая оснащённая разведслужба разорится.

Если следить за каждым на всякий случай. А когда есть свежие оперативные данные, что противозаконный товар оплачен - вполне целесообразно.

Сомнительно. Ссылку не дадите? Еще пару лет назад это было лишь в виде идей.

https://trac.torproject.org/projects/tor/wiki/doc/ReportingBadRelays#Doyouact

Посмотрел. Не увидел там ничего, кроме возможности пожаловаться если что. Вопрос о том, как обнаружить фишинговый сайт, маркирующий клиетов, остался неясным.

Размер пакета в Tor фиксирован. Заголовки? Какие, если всё тело шифруется до самого клиента?

Тут в детялях https://anonymous-proxy-servers.net/paper/wpes11-panchenko.pdf

За тем же, зачем они и клиенту, в результате получаем аж 2 цепочки по 3 узла каждая. Как по вашему onion-сервисы с клиентами общаются?

Это ничего принципиально не меняет

vaddd ★☆
()
Ответ на: комментарий от SM5T001

Например, тот же Tor будет тем менее подозрительным, чем больше людей будут использовать его для обмена какими-нибудь условными котиками.

В том то и проблема, что большинству он не упёрся и поэтому менее подозрительным он не выглядит.

grem ★★★★★
()
Ответ на: комментарий от SM5T001

Всё равно не очень понятно. Из того что понял выходит, что такую искусственную задержку со стороны клиента сделать невозможно

Да, нужно иметь поддержку этой фичи на узлах сети. А поскольку какой-то один узел может быть зашкваренным, то желательно иметь два таких «замедляющих пакет» узла. Но, как я уже писал, задачи сделать безупречную анонимность не стоит перед тором, потому заниматься этой проблемой никто не будет. Реально сейчас развитие тора идет скорее в направлении «нивелировать работу великого китайского фаервола».

byko3y ★★★★
()
Ответ на: комментарий от vaddd

Если следить за каждым на всякий случай. А когда есть свежие оперативные данные, что противозаконный товар оплачен - вполне целесообразно

И что, есть хотя бы один прецедент отслеживания оплаты по биткоину? Если ты читал УК РФ, то мог заметить, что даже безвозмездная передача классифицируется как распространение, и там уже не важно, коммерческая ли это была передача или ты от чистого сердца помог братьям по вере.

byko3y ★★★★
()
Ответ на: комментарий от byko3y

И что, есть хотя бы один прецедент отслеживания оплаты по биткоину

Понятия не имею. Но юридический инструмент есть, возможно со временем осилят и технический.

Если ты читал УК РФ, то мог заметить, что даже безвозмездная передача классифицируется как распространение, и там уже не важно, коммерческая ли это была передача или ты от чистого сердца помог братьям по вере.

И что?

vaddd ★☆
()
Ответ на: комментарий от vaddd

Коммерческие операции на луковом сайте - уже состав преступления, которые войдут в текст приговора.

Так мы про коммерческие операции или про сам факт посещения? Напомню:

Органам неважно что именно вы там делаете, им хватает факта вашего регулярного захода на сайт, чтобы взять вас на карандаше в реале. Никому не нужна конкретика действий на сайте - это не преступление.

А когда есть свежие оперативные данные, что противозаконный товар оплачен - вполне целесообразно.

Это «старинный» метод работы органов, он не зависит от используемой сети никак и действительно надёжен, ведь именно обмен товаром вне сети — самая рисковая часть всей сделки.

Этот метод пусть используют сколько хотят. Но сети — не их территория.

Вопрос о том, как обнаружить фишинговый сайт, маркирующий клиетов, остался неясным.

Никак без постоянного отслеживания трафика клиентом, но в саму сеть встроены некоторые инструменты для борьбы с подобной угрозой, остальное см. в прошлых комментариях.

Тут в детялях https://anonymous-proxy-servers.net/paper/wpes11-panchenko.pdf

Вы путаете website fingerprinting с атакой пересечением. Вторая намного «злее». Например:

Website fingerprinting yielded greater than 90% accuracy for identifying HTTP packets on conventional VPN protocols versus Tor which yielded only 2.96% accuracy(ссылка)

Это обходится простейшим «правдоподобным зашумлением» канала, что даже официально рекомендует делать Проект Tor: https://blog.torproject.org/new-low-cost-traffic-analysis-attacks-mitigations

Users: Do multiple things at once with your Tor client

Это ничего принципиально не меняет

Меняет, кол-во входных цепочек у сервера много меньше кол-ва всех выходных узлов Tor, более того, onion-сервис тоже использует сторожевые узлы, соотв. скорее всего все его цепочки завязаны на один и тот же узел.

SM5T001
() автор топика
Ответ на: комментарий от grem

Он уже достаточно популярен. Более двух миллионов уникальных клиентов ежедневно, а тех, у кого он стоит «просто на всякий» много больше, думается, десятки-сотни миллионов.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Он уже достаточно популярен. Более двух миллионов уникальных клиентов ежедневно, а тех, у кого он стоит «просто на всякий» много больше, думается, десятки-сотни миллионов

Да, нынче идет война блокировок, потому у каждого школьника стоит то или иное средство проксирования/анонимизации. В этом и состоит смысл всех запретов — лишь очень малая часть населения должна хотеть их обходить, иначе просто не хватит никаких ресурсов бегать за каждым из миллионов обходящих запреты.

byko3y ★★★★
()
Ответ на: комментарий от SM5T001

Так мы про коммерческие операции или про сам факт посещения?

Это уже вторично. Захотят - заинтересуются за сам факт входа. Или за покупку. Вы хотите, чтобы я прогнозировал работу органов?

Это «старинный» метод работы органов, он не зависит от используемой сети никак и действительно надёжен, ведь именно обмен товаром вне сети — самая рисковая часть всей сделки

Поскольку покупки переместились в инет, то само собой, что и внимание органов тоже. Сами фиктивно продали, сами арестовали. Главное заранее знать кого ловить и на чем.

Этот метод пусть используют сколько хотят. Но сети — не их территория.

Безрассудно смело сказано.

Вопрос о том, как обнаружить фишинговый сайт, маркирующий клиетов, остался неясным.

Никак без постоянного отслеживания трафика клиентом, но в саму сеть встроены некоторые инструменты для борьбы с подобной угрозой, остальное см. в прошлых комментариях.

Эти инструменты лишь незначительно уменьшают вероятность.

Вы путаете website fingerprinting с атакой пересечением. Вторая намного «злее». Например:

Это в данном случае родственные вещи. WF облечает атаку пересечением, хотя оба могут быть использованы и отдельно.

Меняет, кол-во входных цепочек у сервера много меньше кол-ва всех выходных узлов Tor, более того, onion-сервис тоже использует сторожевые узлы, соотв. скорее всего все его цепочки завязаны на один и тот же узел.

Количество выходных узлов тор безнадежно мало. Не знаю сколько сейчас, но недавно их было порядка тысячи. С учетом того, что многие страны и провайдеры довольно жестко борются с выходными узлами вполне реальны предположения некоторых авторов, что скомпрометированных выходных узлов может быть большинство.

vaddd ★☆
()
Последнее исправление: vaddd (всего исправлений: 1)
Ответ на: комментарий от vaddd

Это уже вторично. Захотят - заинтересуются за сам факт входа. Или за покупку. Вы хотите, чтобы я прогнозировал работу органов?

Нельзя выстроить модель угроз на такой зыбкой основе.

Поскольку покупки переместились в инет, то само собой, что и внимание органов тоже. Сами фиктивно продали, сами арестовали. Главное заранее знать кого ловить и на чем.

Покупки никуда не переместились, они всё ещё осуществляются лично или по закладкам.

Эти инструменты лишь незначительно уменьшают вероятность.

Они дорабатываются со временем.

Это в данном случае родственные вещи. WF облечает атаку пересечением, хотя оба могут быть использованы и отдельно.

Разница в том, что WF можно забороть очень легко специальным ПО. Атаку пересечением пресечь сможет только сам пользователь, если будет «правильно себя вести», соблюдая все рекомендации.

Количество выходных узлов тор безнадежно мало. Не знаю сколько сейчас, но недавно их было порядка тысячи. С учетом того, что многие страны и провайдеры довольно жестко борются с выходными узлами вполне реальны предположения некоторых авторов, что скомпрометированных выходных узлов может быть большинство.

Ещё раз:

onion-сервис тоже использует сторожевые узлы, соотв. скорее всего все его цепочки завязаны на один и тот же узел.

Это значит, что ВСЕ соединения со скрытым сервером осуществляются через один узел, что усиливает анонимность посетителей и усложняет атаки в разы.

SM5T001
() автор топика
Ответ на: комментарий от byko3y

задачи сделать безупречную анонимность не стоит перед тором, потому заниматься этой проблемой никто не будет. Реально сейчас развитие тора идет скорее в направлении «нивелировать работу великого китайского фаервола».

Стоит, запланированное прекращение поддержки V2 onion-сервисов и доработка удобства работы с onion-сервисами в последнем Tor Browser — яркий тому пример. onion-сервисы нужны чисто для анонимности.

развитие тора идет скорее в направлении «нивелировать работу великого китайского фаервола».

Без ущерба анонимности. На деле транспорт нового поколения Snowflake потенциально может быть даже более анонимным, чем подключение напрямую.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Нельзя выстроить модель угроз на такой зыбкой основе

Никто не строит модель угроз. Просто отмечается возможность деанона.

Покупки никуда не переместились, они всё ещё осуществляются лично или по закладкам.

Это наркота. А цп или еще что противозаконное? Деанон дает возможность за всем этим следить и или брать с поличным, или набирать доказательства.

Они дорабатываются со временем.

Не слишком убедительно

Разница в том, что WF можно забороть очень легко специальным ПО. Атаку пересечением пресечь сможет только сам пользователь, если будет «правильно себя вести», соблюдая все рекомендации.

Обычный пользователь ничем этим заниматься не может либо не будет.

Это значит, что ВСЕ соединения со скрытым сервером осуществляются через один узел, что усиливает анонимность посетителей и усложняет атаки в разы.

А сайт развешивает свои маркеры, кнтролируемые с другой стороны цепочки и ему сторожевые узлы не помеха.

vaddd ★☆
()
Ответ на: комментарий от grem

По существу есть чего?

Опроси ближайшее окружение, задав простой вопрос: «Что такое Tor?»

Все вспомнят браузер. Про него офисные клерки, школьные учители, студенты знают, не удивлюсь если знают домохозяйки и дворники. И конечно про него знают подписчики какого-нибудь Навального и ко.

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Я к тому, что в рамках одного государства (полагаю, что речь об этом и если это не Китай с Индией), то цифра в десятки-сотни миллионов выглядит малость завышенной.

что такое Tor

школьные учителя, студенты …

Полагаю, что услышав «Тор», они подумают о немного другом

подписчики какого-нибудь Навального

Для просмотра роликов на pornhub не нужен tor.

grem ★★★★★
()
Ответ на: комментарий от grem

Я к тому, что в рамках одного государства (полагаю, что речь об этом и если это не Китай с Индией), то цифра в десятки-сотни миллионов выглядит малость завышенной.

Не обязательно в одной стране, можно и в разных вполне, ибо так хоть и похуже(для жителя какой-то конкретной страны), но всё же статистика будет играть на руку.

И подозрения из «там кто-то запустил Tor, кажется намечается наркообмен» превратятся в «там кто-то запустил Tor. Хочет подсмотреть за страничкой жены, зайти на заблокированный сайт(прим: обход блокировок не нарушает никаких законов) или купить контрабанду?»

Полагаю, что услышав «Тор», они подумают о немного другом

Явно не о геометрии. Фильмы да, вспомнят, но сразу после вспомнят браузер. Ну, если только мы не про математиков говорим, хотя и они тоже с Tor балуются...

Для просмотра роликов на pornhub не нужен tor.

Как это? Как без него открыть onion-адрес http://pornhubthbh7ap3u.onion/ ?

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

но всё же статистика будет играть на руку.

Кому на руку?

И подозрения из «там кто-то запустил Tor, кажется намечается наркообмен» превратятся в «там кто-то запустил Tor.

Зачем прикрывать своими действиями действия первой группы?

Хочет подсмотреть за страничкой жены

Для этого не нужен tor.

onion

Что там, маленькие мёртвые щенки?

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от grem

Кому на руку?

Конечному пользователю

Зачем прикрывать своими действиями действия первой группы?

Я не понимаю, это троллинг такой? Зачем кататься на общественном транспорте, прикрывая собой шпионов, уклонистов, бандитов и прочих интересных личностей?

Для этого не нужен tor.

Видимо всё же троллинг. Конечно, можно заниматься сталкингом без прикрытия. Можно ещё пищу получать не через рот, только это не значит, что это удобно.

Что там, маленькие мёртвые щенки?

Нет, там мокрые кошечки всех сортов, цветов и размеров, т.е. там pornhub.

Ну точно троллинг. Какие мёртвые щенки??

SM5T001
() автор топика
Ответ на: комментарий от SM5T001

Конечно, можно заниматься сталкингом без прикрытия.

У меня нет проблем психикой, поэтому я не могу ответить, зачем вообще заниматься сталкингом.

Аналогия с общественным транспортом тоже странная.

grem ★★★★★
()
Ответ на: комментарий от grem

Для просмотра роликов на pornhub не нужен tor.

как раз для него и нужен, вопрос в том зачем кому то из пользователей сего сайта нужно чтобы его профилировали, провайдер, гос-во, сам сайт ?

BLOBster ★★★
()
Ответ на: комментарий от BLOBster

Как, у тебя не профиля на pornhub?

Чтобы предлагать похожие видео на основе предпочтений, очевидно же.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.