1) Сеть TOR используется для сокрытия информации о пребывании в сети.
2) Вскрытие сети TOR и деанонимизация — одна из приоритетных задач спецслужб.
Как это сделано:
1) В оборудовании ЛЮБОГО провайдера стоит сервер «СОРМ» — который может собирать всю информацию о любом трафике абонентов провайдера.
2) Работа сети TOR обеспечивается прохождением пакетом цепочки серверов, и на выходе таким образом трафик имеет не тот IP, что у абонента.
3) Тот кто контролирует сервера TOR — тот совершенно свободно знает о всех движениях внутри сети.
4) В РФ серверов TOR несколько десятков, угадайте под чьим контролем?
Итого: мы знаем все входы (СОРМ) и все выходы (exit nodes).
Именно поэтому TOR не спешат блокировать — ловить там проще чем перерыть весь остальной трафик обычных пользователей.
Давайте пофантазируем. При подключении к сети TOR обращение к конкретному IP или группе IP, который выступает в качестве DNS и подключает вас сначала к входной ноде. Что можно сделать на данном этапе? если подключение идет через провайдерский ДНС — перенаправляем на «нужный» входящий нод, который строит цепочку с такими же «нужными» нодами.
Даже если у вас настроено исключение серверов РФ, каким образом определяется к какой стране принадлежит сервер? правильно настройками сервера.
Представьте себе, у вас дома роутер и ДНС — вы можете направить трафик туда куда вам нужно?
Комментарии (48)
berez
02.06.2017 22:09+43) Тот кто контролирует сервера TOR — тот совершенно свободно знает о всех движениях внутри сети.
Хорошее, годное заблуждение.
TOR — это распределенная сеть, и «сервером» может стать любой клиент.
Трафик через такой «сервер» ходит шифрованный, так что «проконтролировать абсолютно все движения» не удастся от слова «никак».
Пользователей TORа отслеживают совсем другими методами: созданием сайтов-приманок в даркнете, контролем трафика на экзит-нодах и т.п.
Итого: мы знаем все входы (СОРМ) и все выходы (exit nodes).
Чушь.
Когда пользователь сидит в ТОРе, оборудование на стороне провайдера видит только шифрованный трафик. Никакой СОРМ не сможет расшифровать на лету трафик от кучи многих клиентов.
Экзит ноды — да, тут сложнее. Именно трафик экзит-ноды можно перехватить, а если это не https — то и расшифровывать ничего не надо. Вот только понять, где сидит пользователь, запросивший страничку через ТОР, так просто не получится. Пользователь может сидеть в Австралии, а запрашивать страницу через российскую экзит-ноду.Apx
04.06.2017 16:58Ну дальше понять из не https exit node можно только сравнивая спайки трафика у конкретного пользователя и данной ноды. Задача крайне сложная, но при большом желании подъемная. Главное иметь доступы на обоих концах цепочки.
dmitry_dvm
02.06.2017 22:58+34Открыл хабру, увидел заголовок — напрягся, зашёл в статью, прочитал каменты — успокоился, пошёл дальше. За это и люблю хабру.
rPman
02.06.2017 23:161. для контроля над сетью TOR необходим контроль порядка 80% ото всех устройств, подключенных к сети
(а не exit нод), и это контроль статистический (простейший алгоритм — кратковременно блокируем доступ в интернет некоторому проценту нод, а точнее к сети TOR, большая часть базы которой публично доступна, и делаем запрос к скрытому серверу, затем меняем список блокируемых нод — повторить, через достаточно короткий промежуток времени список прокси-серверов, через которые идет доступ — восстанавливается)
2. российский СОРМ не имеет доступа к данным аналогичного оборудования в других странах но имеет достаточно большое количество устройств в сети
Так что опасность деанонимизации владельца onion-сервера (или сервиса, т.е. взходящего порта у клиента) — есть, но и механизмы противодействия тоже — простейшее размещение в разных частях света своих нод и копий сервера, с принудительным указанием только его как список ближайших прокси серверов — спасет ситуацию или усложнит анализ очень сильно
klylex
02.06.2017 23:23+17Данная статья полностью подконтрольна ФСБ.
nikitasius
03.06.2017 00:26+3Данный ресурс..
Flux
04.06.2017 01:48+2Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых — стоп. Остальные просто не найдут.
alex4321
02.06.2017 23:25«В оборудовании ЛЮБОГО провайдера стоит сервер «СОРМ» — который может собирать всю информацию о любом трафике абонентов провайдера»
Ничего не понимаю в ТОР-е, но разве не логично настроить маршрут так, чтобы он затрагивал несколько стран? Тогда, даже при условии логирования трафика — вероятно, потребуется больше возни, чем для внутрироссийских дел.
«Тот кто контролирует сервера TOR — тот совершенно свободно знает о всех движениях внутри сети»
Ещё раз — что именно он контролирует? Промежуточные узлы, выходные, развертывание, или ещё что-то?
«4) В РФ серверов TOR (exit nodes) несколько десятков, угадайте под чьим контролем?»
Ну, были и запущенные обычными юзерами :-)
И да — нужен и контроль промежуточных узлов, не? ЕМНИП, выходной узел же имеет только адрес промежуточного.
p.s. это ещё опуская вопрос шифрования трафика.Yukarin
03.06.2017 07:19Ничего не понимаю в ТОР-е, но разве не логично настроить маршрут так, чтобы он затрагивал несколько стран?
Выше уже писали — можно исключить выходные ноды.
Ну и тут суть в самой фразе. СОРМ действительно может собирать инфу. Именно СОБИРАТЬ, а весь траффик тора — шифрован, собственно этот зашифрованный траффик и может собрать СОРМ. И этот траффик можно разве что распечатать да использовать как туалетную бумагу, ибо его не то что на лету не расшифровать, его и в оффлайне придётся долбить пару-тройку сотен лет.
Merlen_Gross
03.06.2017 01:19+3А что, если Tor, эта статья и комментаторы, отрицающие подконтрольность Tor'а ФСБ, подконтрольны ФСБ, чтобы заманить нас туда? На правах отсутствия пруфов.
AndrewFoma
03.06.2017 01:42+4автор совершил акт самосожжения на ресурсе, такого идиотского поста — давненько не бывало…
haiflive
03.06.2017 06:46ждём поста о том что сеть биткоин подконтрольна спец службам.
по теме, я сколько подключался к сети tor ни разу не видел маршрута через российские серверы.
sevenlis
03.06.2017 07:18-5вы видите на экране монитора в браузере что? правильно, контент. отображение контента обеспечивает ваша ОС с браузером, а контент вы получаете от провайдера. он же рулит. оборудование на стороне провайдера, теоретически, может «видеть» ваш контент.
защищенное соединение — это когда один конец провода торчит в одном компутере, а другой конец — в другом, а на протяжении провода стоят охранники в зоне видимости друг друга и отстреливают приближающихся к проводу, и оба компутера ни при каком раскладе никогда не подключались к интырнету. :Dalex4321
04.06.2017 05:47«оборудование на стороне провайдера, теоретически, может «видеть» ваш контент»
В части случаев (впрочем, юзает ли такое тор — шут знает, лень гуглить) — контент, зашифрованный парой не передающихся по интернету ключей (man ассиметричное шифрование).
И без этих ключей он полезен чуть менее, чем никак. Соответсвенно — нужно или организовывать какой-то mitm, или организовывать утечку ключей, или ломать ключ (а с этим пока вроде всё плохо).
Hithroc
04.06.2017 08:11Tor он на то и onion routing, что у него там слои шифрования. У вас есть N нод через которые проходит трафик и N симметричных ключей K, свой для каждой ноды. Каждая нода знает только свой ключ. Клиент весь трафик шифрует всеми ключами в порядке нод, сначала KN, потом KN-1 и так до K0. Отсуда и название: onion routing, у вас трафик это лук одетый в тысячу одежек из шифрования. Когда вы трафик пускаете, каждая нода «снимает» верхний слой шифрования и отправляет трафик следующей ноде.
Единственная проблема — это выходная нода. Она дейсвительно уже может читать трафик есть он в чистом виде, потому что выходная нода снимает последний слой: расшифровывает трафик в тот вид, в котором он изначально отправлялся. Но если выходной трафик тоже зашифрован (например, HTTPS), то и выходная нода много прочитать особо не сможет.
IRT
03.06.2017 07:18+3Ой, да ладно вам. Тут был товарищ, держащий выходную ноду Tor у себя дома. Он еще рассказывал, сколько раз у него изымали оборудование и сколько раз приходилось объяснять правоохранительным органам самые базовые вещи про Tor.
С такой дикой некомпетентностью даже в высших эшелонах власти контроля спецслужб над интернетом ждать еще ой как не скоро. Вспомните хотя бы твит советника президента по интернету, где он недоумевает над появлением в мобильном инете галочки от Google «Я не робот». Советник не знает, что десятки тысяч людей выходят через один IP…
Izaron
03.06.2017 13:33-1Скорее всего, такие твиты вообще имеют место быть из-за того, что "там" действуют по принципу "был бы человек, а место для него найдется", и это грустно. Человек вообще не имеет отношения к той сфере, он просто ее "держит", как школьный задира в дешевых американских кино.
eugenebb
03.06.2017 07:19Самое надежное для конторы это выступить основным источником пиратских дистрибутивов Windows с собственными доверенными root CA и трафик логгером или даже анализатором (чтобы нагрузку убрать с центральных серверов).
Тогда достачно большое количество пользователей будет охвачено.TargetSan
03.06.2017 13:06+1Насколько я знаю, нормальные любители пиратских форточек уже давно используют ванильные образы от МС и отдельно активаторы. Ещё с XP пошло, когда брался VLK образ с кошерным генератором ключа.
ls1
07.06.2017 14:07+1По-вашему ванильная винда остаётся ванильной после запуска в ней неизвестно кем изготовленного бинарника, который еще и как правило упакован криптором?
eugenebb
07.06.2017 18:41На сколько я понимаю, основная проблема для тех кто хочет перехватить трафик ТОРа это понять кто им пользуется и иметь возможность выступить в качестве «ноды».
Наиболее сложно, это первый пункт, т.е. понять кто и когда пользуется ТОРом и какой трафик это трафик ТОРа, но если мы сделаем несколько допущений, то скорее всего это возможно в довольно большом проценте случаев.
т.е. ТОР ноды, это с какой-то долей вероятности домашний компьютер (т.е. с IP из диапазона сервис-провайдера) и в большистве случаев в этом диапазоне никто не хостит сервисы.
Плюс, на сколько я понимаю, ТОР ротирует ноды через определенное время и этот факт можно использовать в качестве индикатора для первоначальной идентификации пользователя.
Второй пункт, выступить в качестве «ноды», довольно просто, если есть способ сказать вашему upstream, заворачивай все для это-то IP ко мне и принимай все от меня для него. Думаю у конторы такой рычаг есть.
т.е. алгоритм со стороны конторы это будет выглядеть примерно так:
1. создаем базу «белого» трафика, т.е. то что идет на well-known ресурсы, типа vk, yandex, fb, не шифрованный, легко идентифицируемый трафик от приложений типа skype и т.п., и отметаем этот трафик.
2. создаем N (где N сотни или тысячи компьютеров из разных сетей) ТОР клиентов, гоняем некий трафик и создаем базу «well-known» ТОР ноды.
3. если наш «клиент» пытается идти куда-то что потенциально будет являться ТОР трафиком, то заварачиваем все это на себя и пытаемся стать нодой для него.
конечный https конечно без внедрения на компьютер клиента не расшифровать, но можно попытаться перехватывать все EXE, DOC и т.п., которые идут на клиент без шифрования и оборачивать в правильный код. В конце концов что-то да получиться, по крайней для большинства пользователей.
miron36357
03.06.2017 07:19+1Что я только что прочитал?
1. Ну СОРМ, ну ок. Или он научился расшифровывать трафик?
2. А кто вас заставляет использовать exit-ноды в РФ?
Ugrum
03.06.2017 12:25В тэгах не хватает «KGB», «CIA», «NSA» и прочих моссадов.
Да и ссылка на магазин качественных фольгированных тюбетеек была бы не лишней.
NeoCode
03.06.2017 14:03+1Такие статьи возникают от незнания принципов функционирования TOR. Я, честно сказать, тоже многого не знаю, но здравый смысл подсказывает что сеть устроена не так просто как кажется и меры защиты от примитивной подмены нод там предусмотрены.
Если рассматривать TOR как сеть примитивных прокси — то да, кажется что можно средствами СОРМ перехватывать все пакеты, у которых адрес получателя совпадает с одним из адресов входных нод, и перенаправлять их в виртуальную песочницу ФСБ; exit-ноды специально для этой песочницы также могут находиться под контролем ФСБ и даже для конспирации размещаться в дата-центрах за границей c зарубежными IP, только иметь модифицированное ПО.
Но, как я понимаю, не все так просто. Как и откуда например клиент получает первоначальный список входных нод? Используется ли для этого криптография типа https с обязательной проверкой через общеизвестные удостоверяющие центры? Наверняка что-то подобное есть.
Поэтому нужно просвещать народ. Если знающие люди напишут несколько статей о том как работает TOR на техническом уровне, с самого начала, рассмотрят все возможные вектора атаки — это будет очень интересно и полезно.KonstantinSpb
03.06.2017 15:40bootstrap ноды жестко прописаны в коде
NeoCode
04.06.2017 17:54А защита от подмены этих нод есть?
KonstantinSpb
04.06.2017 18:02-1Разумеется есть
NeoCode
04.06.2017 19:50Я на самом деле не сомневаюсь что она есть (иначе было бы слишком просто), но вот как именно она реализована?
KonstantinSpb
04.06.2017 19:54Два варианта:
1. Посмотреть исходный код
2. Найти статью про Tor bootstrapping, connection creation
IZh
03.06.2017 16:40+1Подозреваю, у автора возникли сомнения в том, как убедиться, что первый узел в цепочке — это реальный сервер за границей, а не фейковый в России, на который перероутили трафик. Автор, видимо, опасается, что СОРМ, детектируя ТОРовский трафик, будет перенаправлять его на фейковые входные узлы.
Rus81
03.06.2017 16:40Добавлю паранойи:
Зайдите на заблокированный сайт legalrc.com
И потом посмотрите данные домена например на этих сайтах
https://2ip.ru/whois/
http://pr-cy.ru/whois/
http://www.whois-service.ru
В свете договоренности с Китаем в сфере сотрудничества по пресечению наркоторговли…
pnetmon
03.06.2017 21:20Заминусуют за шапочку.
Но кто запрещает иметь контролируемые exit nodes за границей?
mwizard
04.06.2017 09:36+1Поправьте меня, если я не прав — разве для обеспечения безопасности клиента не достаточно того, чтобы только одна нода в цепочке не была подконтрольна государству?
Если подконтрольны все, кроме первой — то тогда правительство знает, что ты запросил, но не знает, кто ты.
Если подконтрольны все, кроме выходной — то правительство знает, кто ты, но не знает, что ты запросил.
А если подконтрольны все, кроме средней, то правительство знает кто ты, что ты запросил, но при этом не имеет прямых доказательств, если только промежуточный неконтролируемый узел не был единственным, через который был выполнен запрос в указанный временной промежуток, да и то, это все равно косвенное доказательство, но не прямое, т.к. нет никаких гарантий того, что промежуточный узел передал дальше то, что было зашифровано во входящем пакете.
Pakos
05.06.2017 09:23В РФ серверов TOR несколько десятков, угадайте под чьим контролем?
Давайте угадаем — вы не знаете, но пытаетесь подтолкнуть на к удобной вам мысли. "Летит птица, будем считать что на юг, значит осень, но пруфов не будет".
tmnhy
Пруф?
Почему вы уверены, что у вас выходная нода будет российская?
lega
Добавлю: Почему вы уверены, что у вас входная нода будет российская?
dartraiden
Тем более, что Tor позволяет через конфиг выбирать, ноды каких стран не использовать в качестве выходных:
ExcludeExitNodes {RU}
Mogost
Да зачем делать пруфы, если можно просто написать: