Что делать, если у вас в стране запретили Тор, и заблокировали все ссылки, ведущие на проект torproject? Где скачать Tor-браузер человеку, совершенно не разбирающемуся в IT? На этот случай сообщество, развивающее эту сеть, предлагает сервис GetTor Robot. Это почтовый робот, который в ответ на мейл-запрос присылает ссылки на облачные файловые хранилища с дистрибутивом браузера.


Сейчас проект находится, как я понял, в стадии тестирования – на заглавной странице всех TOR-проектов ссылки на него нет, искать надо через гугл. Судя по описанию, пользоваться им просто: присылаешь на мейл gettor@torproject.org письмо, в теле письма указываешь под какую ОС тебе нужен браузер. В ответ приходит ссылка на dropbox, скоро добавят также ссылку на github. Скачиваешь, устанавливаешь, пользуешься.

Но на деле всё оказалось не так просто. Решив протестировать этот сервис, я зашел в свой секретный ящик на protonmail (не в открытую же писать, что хочу скачать запрещенный браузер), отправил письмо-запрос, и… получил в ответ:
Ответ робота
Thank you for your request. I am here to help you download the latest
Tor Browser.

Please reply to this message with one of the options below:

windows
linux
osx

And I will send you the download instructions quickly.

Tip: Just send a blank reply to this message if you are not sure.

Сколько я не бился, все остальные ответы копировали этот, один в один — никаких ссылкок не пришло. Немного поэкспериментировав, я понял, в чём состоял баг этого сервиса: для того, чтобы тебе пришла ссылка, тело письма должно либо быть пустым, либо содержать одно слово-запрос. Но protonmail всегда оборачивает текст письма в html, даже если это пустая строка. GetTor такие обёртки не понимает — так что, получить через секретный мейл секретный браузер никак не получится!

То же относится и к почте mail.ru. И только на gmail письмо со ссылками пришло, браузер скачался. В письме также приводятся контрольные суммы, для проверки целостности дистрибутива. Правда, файл незатейливо называется torbrowser-install, что как бы дает простой вариант будущей блокировки. Да и облачные хранилища не всегда бывают открыты, даже github иногда блокируют, и не только в Китае.

В общем, идея интересная – а насколько она будет востребована, покажет время.

Комментарии (33)


  1. VBKesha
    10.08.2015 16:07
    +6

    Непонятно одно, почему нельзя прислать сразу 3 ссылки?
    И почему бы не присылать в дополнении magnet ссылку.


    1. caveeagle
      10.08.2015 16:11

      Сразу три — пришлёт, если оставить поле письма пустым.
      magnet-ссылка это, конечно, хорошо в смысле доступности файла — но анонимность нарушается, всем становится известен твой IP-адрес (если я правильно понимаю технологию)

      А вообще, можно им предложить, про magnet-ссылку. Идея хорошая!


      1. VBKesha
        10.08.2015 16:19
        +2

        Сразу три — пришлёт, елси оставить поле письма пустым.
        Я вообще не понимаю зачем придумано получение ссылки для конкретной ОС. Если бы слали не смотря на текст письма всегда один ответ с 3мя ссылками то никаких проблем с HTML не HMTL не было вообще, люди бы всегда получали ссылку.
        Сразу три — пришлёт, если оставить поле письма пустым.

        Если я правильно понимаю то только тем с кого качаешь(при безтрекерной раздаче). Насколько это более опасно чем качание по ссылке с DropBox вопрос сложный.


        1. boeing777
          10.08.2015 22:56

          И к тому же людям не пришлось бы посылать письмо дважды. А робот, соответственно, получает двойную нагрузку/трафик из-за разбиения на два шага.


      1. Lux_In_Tenebris
        11.08.2015 19:58

        анонимность нарушается, всем становится известен твой IP-адрес

        И что? Разве это позволит установить, какой пользователь какие действия совершил через Tor?


        1. roodz
          12.08.2015 16:39

          Это позволит обвинить в мыслепреступлении попытке скачать Tor.
          По вводной в стране запрещено скачивать tor :)


  1. maximw
    10.08.2015 16:53
    +1

    Очень пара проблем для параноиков:

    1) Если будет заблокирован домен torproject.org, дойдет ли письмо?
    2) Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.
    3) Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?


    1. caveeagle
      10.08.2015 17:06

      Если будет заблокирован домен torproject.org, дойдет ли письмо?

      Да, конечно. Я послал запрос через gmail.com, и с сервером torproject.org общался уже gamail.

      Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.

      Поэтому я и пытался запросить через protonmail — у них двойное шифрование, и ключ на сервере не хранится.

      Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?

      Общаться через тот же protonmail, или на кр. случай gmail. Злоумышленник не может массово подменять письма на зарубежном хосте. Защита от подмены самого файла на облачном хранилище — ещё проще, в письме присылают хеш-суммы.


  1. randoom
    10.08.2015 17:50
    -20

    Если в стране запретили Tor, то, наверное, не стоит глупить и использовать его ;)


    1. apple01
      10.08.2015 18:23
      +12

      Правильно, в стране нужно использовать первый канал. Главное не забыть получить справку о потреблении его контента, иначе в скором времени без нее могут не дать продуктов питания в магазине ;)


      1. Zardos
        11.08.2015 15:02
        +1

        А веревку с собой приносить или профком обеспечит?


        1. caveeagle
          11.08.2015 15:16
          +1

          Даже рискуя кармой, настоятельно прошу всех вспомнить: Хабр — не для политики!

          Просьба дальнейшее обсуждение ситуации, не касающееся IT, перенести в личку.


          1. Lux_In_Tenebris
            11.08.2015 19:59
            +2

            Современные российские (и не только) реалии таковы, что политика так или иначе касается чуть ли не любой сферы жизни…


    1. putnik
      10.08.2015 18:31
      +6

      Запрет может быть техническим (заблокировали сайты, режут трафик), а может быть законодательным (штрафы и посадки, если докажут). В первом случае глупо не использовать, если знания позволяют.


      1. Mishok2000
        11.08.2015 14:20

        Мне кажется, что скоро начнут законодательно с ответственностью запрещать пользоваться запрещенными интернет-ресурсами. Почему-то все к этому и идет.


        1. safari2012
          11.08.2015 15:00

          Ничего, выкрутимся.
          Помнится, в нашей стране в советские годы запрещали «каратэ», причем с конкретными посадками. Но от этого оно ещё более популярным стало. Помнится я ходил в «Дом пионеров» на секцию на каратэ под видом самбо. Антураж «подпольности» доставлял немало )


  1. Gorthauer87
    10.08.2015 19:35

    Проще завести друга за рубежом и иметь с ним несколько различных средств связи. Он то найдет способ передать средства обхода блокировок.
    Ну а ещё лучше, конечно, добиться их отмены, но это трудный и долгий путь.


  1. vsb
    10.08.2015 21:26
    +3

    Спасибо, интересно. Для Казахстана актуально, как раз www.torproject.org запрещён.


    1. caveeagle
      11.08.2015 00:10

      Интересная информация, не знал! У вас вообще tor в любом виде запрещен, или только сайт?

      Вообще, интересно было бы узнать, как там у вас обстоят дела с запретами. А то я всё больше про россию знаю, и про Китай. Про Казахстан вообще впервые слышу, что там что-то запрещено.


      1. vsb
        11.08.2015 07:46
        +1

        Всё нижеописанное про Казактелеком, крупнейший провайдер.

        TOR как таковой работает. Слышал, что были попытки его закрыть методом DPI, но чем они закончились — не знаю, в итоге TOR работает. Сайт тора не работает. Помимо этого закрыты все крупные порносайты. livejournal закрыт по политическим мотивам (там вроде бы ведёт блог опальный Рахат Алиев). Закрыты популярные анонимайзеры и, вроде бы, некоторые впны. Одно время был закрыт w3.org из-за его валидатора, который, видимо, можно использовать как анонимайзер. Раньше были проблемы с гугловыми сервисами — пытались банить серверы, обслуживающие кеш (сохранённая копия) в Google-поиске и мимоходом накрывали другие гугловые сервисы, то файлы в gmail не скачивались, то шрифты с google fonts не грузились то ещё что-нибудь. Сейчас вроде перестали. Закрыты и некоторые сайты, списка я не видел и не уверен, что он есть в открытом доступе. Суд постановил — провайдер выполнил, как-то так.

        Лично я пользуюсь VPN-ом до своего VPS-сервера в Европе, на уровне DPI вроде никто ничего не блокирует, только на уровне IP.

        У нас есть другие провайдеры, говорят, что у них всё работает, подтвердить или опровергнуть не могу.


        1. sainnr
          11.08.2015 11:21

          In case of emergency

  1. J_o_k_e_R
    10.08.2015 21:33
    +3

    А еще хорошо бы, чтоб они опубликовали свой gpg ключ публичный, чтоб можно было писать запрос, не используя всякие сомнительные фикции типа protonmail.


    1. m0Ray
      11.08.2015 01:09

      Чем же protonmail «сомнительная фикция»? Поясните глупому юзеру оного.


      1. J_o_k_e_R
        11.08.2015 01:17

        1) Централизация
        2) Шифрованиее, которое хоть и на клиенте, но каждый раз забирается с сервера, что позволит убрать это шифрование выборочно для любого пользователя в любой момент по желанию разработчиков.
        3) Невозможность отправить шифрованное письмо за пределы protonmail. Отправка ссылки на зашифрованный контент не есть передача это контента.

        1+2+3==пшик вместо серьезной приватности, особенно учитывая, что средства ассиметричной криптографии существуют больше 10 лет.


        1. m0Ray
          11.08.2015 03:52
          -1

          1) И что?
          2) Уберут шифрование — не расшифруется ящик. Он зашифрован тащемта.
          3) И хрен с ним. Чай соображу, что можно, а что нельзя отправлять за пределы шифрованной почты.


          1. J_o_k_e_R
            11.08.2015 10:00

            1) И всё. Возможность как сделать разрабам предложение, от которого нельзя отказаться, так и просто вынести целиком сервис. А в большом и жестоком мире кроме ура-шифрования у средства связи, чтобы не быть «фикцией» есть еще понятие надежности этого средства связи.
            2) Мыслите чуть шире. Шифрование уберут для текущих сообщений. Для остального ящика просто передадут реквизиты для дешифрования (явки, пароли, ключи).
            3) А как вы планируете ВСЕХ возможных контрагентов, которым может понадобиться написать что-то шифрованное затащить в протонмейл? А что Вы будете делать, если из-за п.1, его таки вынесут?


            1. m0Ray
              11.08.2015 10:31
              -1

              1) Вынесут — будем думать дальше.
              2) Это легко обнаружить.
              3) Точно так же, как затащил всех нужных людей в Jabber+OTR и Cryptocat.


              1. J_o_k_e_R
                11.08.2015 10:36

                Вы спросили почему я называю этот сервис «фикцией»? Я ответил. Потому что он не предоставляет ни общей надежности, ни надежности шифрования аналогичной существующим (и много лет существующим) сервисам (email+gpg, xmpp+otr etc ). Сервис этот был создал на волне метаний хомячком после «откровений» Сноудена и закрытия лавабит. Если вы пофигист, то можете хоть в личке вконтактике переписываться — разницы с протонмейл минимум. Только тогда зачем Вам вообще шифрование?


                1. m0Ray
                  11.08.2015 11:30
                  -1

                  Protonmail не хранит у себя расшифрованные сообщения, а вконтактик хранит. Плюс SMTP. Именно поэтому я использую protonmail. Он предоставляет достаточный уровень надёжности. Ни один другой сервис не предоставляет. Так и не понимаю, почему это фикция. Скорее всего, у вас какая-то личная неприязнь к разработчикам оного, зависть какая-нибудь…


    1. caveeagle
      11.08.2015 15:20
      +3

      J_o_k_e_R, посмотрел ваш профиль, впечатлился. Стал лучше понимать вашу позицию.


    1. kyprizel
      12.08.2015 19:51

      А лучше принимали публичный gpg ключ отправителя, шифровали им бинарник и отправляли на ту же почту.


  1. Assargin
    11.08.2015 15:19

    Этот способ запретить tor обходится на ура, да.
    Но ведь могут запретить tor по-умному — путём блокирования всех активных ip-адресов узлов, как это делают некоторые сайты, например avito.


    1. caveeagle
      11.08.2015 15:25

      Это всё равно, что запретить все прокси.
      Теоретически можно, но с ростом сети буду появляться всё больше активных узлов, все не запретишь. Например, я в скором времени собираюсь открыть такой узел у себя.