Tor - памятка для учащихся 1-3 классов (часть 2).

[PANDORA]

Tor - памятка для учащихся 1-3 классов (часть 2).

Первая часть тут :

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Данная статья - сборник вопросов - ответов на тему Tor, и всему что с ним связано. Вопросы разбиты на группы по уровню сложности, так что рекомендую читать статью линейно, т.е. от простого к сложному. Особенно тем, кто называет Тором - Тор Браузер.

Уровень сложности: простой.

Сколько всего в Tor узлов:

Примерно 6.500 (учитывая что не все сервера работают непрерывно, некоторые то работают то отключаются).

Сколько в сети Tor мостовых узлов (которые предоставляют функцию обхода блокировок Tor трафика):

Примерно 1.250 (учитывая что не все мосты работают непрерывно, некоторые то работают то отключаются).

Сколько всего человек на планете используют Tor:

Каждый день Tor использует примерно 2.000.000 пользователей. Из них:

Из россии - примерно 350.000
Из украины - примерно 50.000
Из беларусии - примерно 15.000

В каких странах больше всего "дрочат" Tor (данные о зарегистрированных с помощью ooniprobe (утилита для детекта блоков тора) попытках блока тора на 28.05.2020):

1. Перу
2. Гайана
3. Эль Сальвадор
4. Кыргызстан
5. Иран
6. Монголия
7. Армения
8. Македония
9. Кипр
10.Беларусь

В каких странах пользователи чаще всего используют мостовые узлы:

1. Иран
2. Россия
3. США
4. Китай
5. Турция
6. Германия
7. Индия
8. Великобритания
9. Беларусия
10.Франция

От автора*
Обратите внимание, что большинство стран, пользователи которых используют мосты, не входят в десятку стран, где тор жестко дрочат. Это несоответствие можно объяснить лишь одной причиной:

Прользователей из этих стран очень много, и даже если небольшая область страны испытывает проблемы с подключением к тору, то количество пользователей из этой области может быть выше, чем общее количество пользователей в какой нибудь маленькой стране.

Какие мосты самые популярные:

С колоссальным отрывом obfs4. На втором месте (процентов 10 от общего числа meek).

Уровень сложности: средний.

Прячут ли Tor трафик от провайдера такие технологии как VPN,SSH или Obfs4 мосты?

Нет. Они лишь усложняют анализ трафика при беглом осмотре. При детальном анализе Tor трафик спрятать НЕВОЗМОЖНО никакими инструментами.

Почему нельзя просто "пробить" все узлы тора запросами и выйти на исходного абонента?

Потому что IP адреса средних узлов (middle nodes) нигде не логгируются. Именно по этой причине тор проджект гарантирует что можно запускать средние ноды прямо у себя дома - их айпишка нигде не палится. Для того что бы пробить тебя через узлы нужно поймать тебя в реальном времени так, что бы ты сидел на входном и выходном узле, который захвачен в это время вероятным противником. Но технически (учитывая ротацию выходных нод и их количество) эта задача практически не реализуемая.

Почему у меня почти все ноды US и DE? Это заговор? Меня пасут?

Потому, что в этих странах больше всего узлов, в том числе и выходных. Так как там законодательство не через жопу, как кое где, а адекватное. И сотрудники понимают, что если у кого то выходная нода, он не должен грузить на себя все, что с этой ноды вытворяют анонимусы.

Уровень сложности: высокий.

Почему использовать TAILS безопаснее, чем просто использовать Tor Browser?

Потому, что есть уязвимости нулевого дня, которые внезапно нет нет находят и в Tor Browser (не забываем, что это так то обычный Firefox, просто со встроенным тором, аддонами и кастомным конфигом). Так вот когда хакеры находят уязвимости такого плана, они с их помощью могут делать сетевые запросы на твою машину, обходя тор браузер. То есть запрос они могут послать через него, а вот ответ получить уже напрямую.

Учитывая, что если ты просто используешь торбраузер, трафик он защищает лишь тот, которые идет через браузер. Но если хакер получает ответ напрямую, то торбраузер его не защищает и твой реальный IP адрес будет установлен.

В торифицированых системах (в зависимости от типа прокси) либо весь трафик автоматом заворачивается в тор, либо весь трафик вообще отрезается и наружу выходят лишь те приложения, кторые ты сам разрешишь выпускать (разумеется так же через тор). Посему обход торбраузера не даст возможности для вычисления твоего IP адреса (ответ даже в обход торбраузера либо придет один хуй через тор, либо вообще ответа атакующий не дождется).

п.с. при написании статьи использовалась инфа с сайта хуникса, с сайтов торметрикс и торфлоу, википедии и других ресурсов.

 

[Pendalf]

При детальном анализе Tor трафик спрятать НЕВОЗМОЖНО никакими инструментами.

Поясни, как инкапсулированный трафик тора палится внутри туннеля vpn?

 

[Flavor Flav]

Нормально обьяснил, можешь сделать для macOS тутор по безопасности

 

[Receptora]

Нормально обьяснил, можешь сделать для macOS тутор по безопасности

MacOS - шляпа. Но если уж очень хочется, то у ВектораТ13 были какие-то статьи на эту тему.

 

[Kosmosvin]

Поясни, как инкапсулированный трафик тора палится внутри туннеля vpn?

тоже интересен этот вопрос, ведь по идее тунель VPN зашифрован и его содержимое не должно быть доступно для анализа, могу предположить что по паттернам трафика, размеру пакетов, задержкам и прочим метаданных.

 

[Alladin66]

Ты наверное слышал это тысячу раз, но я скажу тысячу первый. Ты красава братан, я еду в танке и с каской. Но чётко понял каждое твое предложение. Очень рад что есть такие статьи. Желаю тебе успеха

 

[chelek]

Поясни, как инкапсулированный трафик тора палится внутри туннеля vpn?

Никак. Палится могут только поднятые порты 9150, 9050, 8181. Wartech как видно не пользуется VPN, поэтому может не в курсе как они работают. При нормальном VPN видно лишь адрес сервера, Tor трафик там не виден. Поэтому зовётся VPN туннелем, так как какие там данные ходят понять нельзя, можно лишь подозревать, когда смотришь youtube по характерному графику и то когда более никаких сайтов не посещать.

Сообщение обновлено: 9 Окт 2020

Про нелоггирование средних узлов тоже так себе информация. Я его вижу, видит входной сервер при передаче ему трафика, видит выходной сервер откуда трафик идёт.

 

[chelek]

давай канифоль мне не паяй тут. я твой эфир шумел ))

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

абзац

Middle Relay - Middle relays are exactly that - middle nodes used to transport traffic from the guard relay to the exit relay. This prevents the guard and exit relay from knowing each other.

переводить нужно или сам вывезешь? ))

Цитата с того сайта: Среднее реле - Средние реле являются именно такими - средними узлами, которые используются для транспортировки трафика от охранного реле к выходному реле. Это не позволяет охранному и выходному реле узнать друг друга.

Мой коммент: Входной не знает выходного. Но каждый из них по отдельности знает средний. Средний не является невидимкой, он виден для torproject, виден у меня в браузере. При наличия много серверов onion будут знать и средние. К тому же даже без серверов можно списочек таких серверов составить просто меняй цепочки в браузере обновлением страницы))

 

[chelek]

что видно то? айпишку хидден сервиса левую или отпечаток? ))

Адрес сервера среднего узла на котором поднята нода tor.

 

[chelek]

хахахаха. огонь )) ну то есть получается что все три ноды видны в цвет и выкупить реального пользователя вообще нет проблем? ))

Ну да. Не пользователя тор браузера, а адрес сервера где поднята onion неважно какой вход-средний или выход. Когда просто используешь браузер или Tor то ты не поднимаешь сервер, а значит тебя в системе не найти. Кроме как имея доступ к 3 узлам сразу. Насчёт блокировок больше имел ввиду, если в россии реально захотят блокировать Tor, им бы это удалось, по крайней мере затормозить трафик большинству, так как входных узлов не так много и он не меняется долгое время у пользователя. Нужно лишь знать входные сервера и их блокировать, прям сразу не получится все вычислить адреса, но создать проблему большинству пользователей как нечего делать. Не панацея и obfs4, только во всех случаях нужно ручками поработать пару месяцев вычисляя большинство серверов, а не полагаться на DPI.

 

[chelek]

а ты молодец. ты задаешь хорошие вопросы. давай подумаем вместе:

если все так, как ты пишешь, что мешает тогда сдеанонить всех нас? почему тор мешает этому, несмотря на то, что входная нода знает среднюю, и выходная так же? может на средней ноде есть какие то инструменты, мешающие их "знакомству"?

Мешает, что мы с тобой никому не сдались по большому счёту) Вот когда ловит европол, другие конторы, как думаешь они вычисляют админа сервера? Большинство самих серверов поднятых в onion находится в европе, америке, на уровне провайдера уже можно узнать конкретных людей кто куда подключается, порты какие подняты, а мы же знаем стандартные порты Tor какие поднимают, но вообще по всем портам можно пройтись и понять где там шифрованный трафик Tor по локальному адресу бьется. Все ip адреса известны, несуществует анонимных ip, они все имеют адрес и номер телефона.

 

[PANDORA]

Мешает, что мы с тобой никому не сдались по большому счёту) Вот когда ловит европол, другие конторы, как думаешь они вычисляют админа сервера? Большинство самих серверов поднятых в onion находится в европе, америке, на уровне провайдера уже можно узнать конкретных людей кто куда подключается, порты какие подняты, а мы же знаем стандартные порты Tor какие поднимают, но вообще по всем портам можно пройтись и понять где там шифрованный трафик Tor по локальному адресу бьется. Все ip адреса известны, несуществует анонимных ip, они все имеют адрес и номер телефона.

у меня есть две статьи, как деанонят админов тор ресурсов:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

работала таск форс аргос - лучшая на данный момент айнзац команда по деанону тор пользователей на планете. и все деаноны были не из за тора, а на косяках пользователей.

если у тебя есть ссылки, на детальное описание ОРМ, где сдеанонили именно "через тор", скинь пожалуйста мне, буду очень благодарен.

 

[chelek]

Обычных пользователей ломают фишингом, метаданными по фоткам пробивают, но в большинстве случаев если они не очень опасные, ими просто не интересуются. Даже не всеми админами интересуются, как и везде просто лениво ищут других более слабо защищённых. Но когда начинается охота, там всегда бывает улов, по другому не припомню. Тоесть сегодня например если взбредёт в голову найти реальный адрес рутор, у европола или американцев шансы 100%. У россии никаких преимуществ нет. Вот были ведь новости про помощь анб или цру россии, когда террориста вычислили в сети и выдали россии, даже вроде пару раз был такое за прошлые годы. То что следят за всем интернетом хоть не освещается, но должно быть самым первым, чем занимаются. Самой большой ошибкой пользователей всегда является язык, чат онлайн или реал, не важно.

 

[chelek]

Вспоминая кто придумал шифрование, tor и интернет, глупо полагать, Что там не оставлены были лазейки. Правда конечно в наше время чуть более сложнее стало им с этим, из-за криптопанков, но уязвимости находились в aes и других протоколах

Сообщение обновлено: 9 Окт 2020

ясно

Роса как вычислили не напомнишь?

Сообщение обновлено: 9 Окт 2020

дело не в вычислении, а в доказательной базе, когда нельзя открыть миру то каким способом вышли, чтобы не прикрыли лазейку.

 

[PANDORA]

Вспоминая кто придумал шифрование, tor и интернет, глупо полагать, Что там не оставлены были лазейки. Правда конечно в наше время чуть более сложнее стало им с этим, из-за криптопанков, но уязвимости находились в aes и других протоколах

Сообщение обновлено: 9 Окт 2020

Роса как вычислили не напомнишь?

Сообщение обновлено: 9 Окт 2020

дело не в вычислении, а в доказательной базе, когда нельзя открыть миру то каким способом вышли, чтобы не прикрыли лазейку.

как вычислили росса напомню. опера стали в сети искать первое упоминание в сети о силкроаде, абсолютно верно предположив, что создатель форума всяко его как-то рекламировал вначале, и надеялись что он в тот момент не сильно заботился об анонимности. они были правы и наткнулись на его пост, где он рекламил силкроад через несколько дней, после запуска форума. электронка в аккаунте, на которую был зареган акк, с которого он рекламил свой новый форум содержала его фамилию. опять его ошибка, тор не виноват.

 

[chelek]

как вычислили росса напомню. опера стали в сети искать первое упоминание в сети о силкроаде, абсолютно верно предположив, что создатель форума всяко его как-то рекламировал вначале, и надеялись что он в тот момент не сильно заботился об анонимности. они были правы и наткнулись на его пост, где он его рекламил свой новый форум через несколько дней, после запуска форума. электронка в аккаунте, на которую был зареган акк, с которого он рекламил свой новый форум содержала его фамилию. опять его ошибка, тор не виноват.

Вспомнил, через google нашли его) Официальная версия. Как вышли на новых админов silk road и других площадок мало кто знает, неужели они тоже по email запалились? Менее упоминаемых в сми, но зарабатывавшие огромные суммы тоже как то быстро прикрывают, пару лет максимум работают. Даже украина быстро отлавливает всех киберпреступников, наверное потому, что америки и европы союзник. Короче в раше волноваться админам торовских ресурсов точно не стоит, если конечно сервера в россии не поднимут)

Сообщение обновлено: 10 Окт 2020

Соглашусь, что почти всегда попадаются не через сети, а именно в реале когда деньги выводят, либо товар отправляют-получают.

Сообщение обновлено: 10 Окт 2020

Кстати почитай, как им удалось более 400 onion площадок закрыть в далекий 2014. Не все же по email палились))

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[PANDORA]

Вспомнил, через google нашли его) Официальная версия. Как вышли на новых админов silk road и других площадок мало кто знает, неужели они тоже по email запалились? Менее упоминаемых в сми, но зарабатывавшие огромные суммы тоже как то быстро прикрывают, пару лет максимум работают. Даже украина быстро отлавливает всех киберпреступников, наверное потому, что америки и европы союзник. Короче в раше волноваться админам торовских ресурсов точно не стоит, если конечно сервера в россии не поднимут)

это вообще частая ошибка - не думать на перспективу. вот человек регистрирует себе акк на наркофоруме. берет пробы, пишет трипы. потом узнает, что можно в этой теме еще и работать. устраивается саппортом на ветку в местный магазинчик, который никому не интересен. работает там честно, не обманывает, ему поступают предложения поработать уже в федеральных сетях. он с радостью устраивается в магазин на заглавной, и что самое губительное - для него важно работать не в безликом аккаунте Magazin Support, а все в том же SolevoyVasya228, с которого он за год и набазарил вагон, и перезнакомился с половиной местных наркманов лично. А потом удивляется, как меня "вычислили".

Ну или как вариант он может и работать в служебном акке, но своим солевым корешам распиздел, что этот акк "теперь его еба", теперь у него и бабок вагон и соли маленькая тележка...

 

[chelek]

Лень делает свои дела, лень менять почту, лень новый акка завести, ведь мой уже со статусом))

Сообщение обновлено: 10 Окт 2020

На стату надо ставить после 1000 сообщений не Доверенный, Старожил, а статус болтун)) Не в обиду, просто как пример.

Сообщение обновлено: 10 Окт 2020

Кстати вроде читал где то, Что любого вычислят по 5000 сообщений. Вроде в твоих статьях.

 

[PANDORA]

Лень делает свои дела, лень менять почту, лень новый акка завести, ведь мой уже со статусом))

Сообщение обновлено: 10 Окт 2020

На стату надо ставить после 1000 сообщений не Доверенный, Старожил, а статус болтун)) Не в обиду, просто как пример.

Сообщение обновлено: 10 Окт 2020

Кстати вроде читал где то, Что любого вычислят по 5000 сообщений. Вроде в твоих статьях.

ну типа того, да ) не по 5000, по маленькому абзацу, вроде, экспертизы достаточно. вот у меня, например, нет заглавных, и я пишу не чтобы, пишу "что бы". это уже зацепка для экспертизы. но это мой авторский стиль, я так делаю намеренно )

 

[chelek]

Ну и напоследок тогда)

ФБР и Интерпол закрыли 414 сайтов в зоне .onion.

Сведения об операции Onymous в пятницу, 7 ноября, опубликовал Европол. Оказывается, кроме Silk Road 2.0, была также прекращена работа подпольных сайтов Cloud 9, Hydra, Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road и Black Market. Все они занимались торговлей запрещёнными веществами. Кроме того, закрыты сайты, которые специализировались на отмывании денег: Cash Machine, Cash Flow, Golden Nugget, Fast Cash и др. В результате операции агенты ФБР получили в своё распоряжение биткойны на сумму более 1 млн $, а также 250 тыс $ наличными.


Как заявили представители организации Tor, они не имеют понятия о методах, которые использовались спецслужбами для деанонимизации участников подпольной сети.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

После этого было достаточно арестов, чтобы понять Tor не панацея. Надо дополнительно обезопасить себя, vpn тоже не пренебрегать, но самое важное в реале скрываться. Твои статьи по wifi + Tor самое то) Хотя иногда полезно использовать левую симку с модемом, телефоном, тем более по цене приемлемо. После хорошей работы сжигать.

ну типа того, да ) не по 5000, по маленькому абзацу, вроде, экспертизы достаточно. вот у меня, например, нет заглавных, и я пишу не чтобы, пишу "что бы". это уже зацепка для экспертизы. но это мой авторский стиль, я так делаю намеренно )

Мне пора сменить аккаунт)))