[О блоге] [наверх] [пред] [2024-09-19 10:59:41+03:00] [f8ad925fb6bdcca0dbcbbb6a884329547afa3aaa]

Timing-analyse против Tor

https://www.securitylab.ru/news/552203.php
Пишут, что ранее считалось, что такие атаки невозможны против Tor.
Вообще-то, всегда, с самого начала появления сети, было известно, что,
как раз таки, против этой атаки Tor бессилен и ничего не делает для
защиты, кроме как стараться выбирать узлы из разных автономных систем.
Ну и в лучшем случае, дополнять сообщение до 512-байт, насколько помню.

Это одна из причин, почему я не верю что Tor это там про анонимность и
всякие благие цели. За 20+ лет существования, он ничего не делают для
усиления защиты от мощных злоумышленников. Это исключительно сеть для
обхода цензуры, для всяких там сепаратистов в странах вне США.

    [оставить комментарий]
    комментарий 0:
    From: kmeaw
    Date: 2024-09-19 10:42:20Z
    
    > вне США
    
    А что мешает использовать Tor внутри США? Или есть какие-то интересные
    атаки, которые можно провернуть, контролируя (закрытую) инфраструктуру
    Tor?
    
    комментарий 1:
    From: Sergey Matveev
    Date: 2024-09-19 10:47:52Z
    
    *** kmeaw [2024-09-19 11:41]:
    >А что мешает использовать Tor внутри США?
    
    Ничто не мешает. Но уж что что, но мониторить все свои сети они точно
    могут как никто. Соответственно, при нахождение инициатора и целевого
    ресурса в их сетях -- деанонимизация будет наверняка. За рубежом: у них
    тоже власти мониторинга полно. Плюс все directory серверы сети (она же
    централизована), находятся тоже под их контролем, что они никогда не
    скрывали: буквально управляют/цензурируют узлами которые могут находится
    в сети и быть relay или exit node (преценденты "недопуска" узлов к
    участию в сети уже были не раз).
    
    комментарий 2:
    From: kmeaw
    Date: 2024-09-19 14:50:45Z
    
    > деанонимизация будет наверняка
    
    Вот это как раз и интересно. В истории про Dread Pirate Roberts,
    FBI пришлось проворачивать целую операцию, где один агент общался с ним
    удалённо, а другой в этот момент подходил к нему физически в кафе. Не
    помню подробностей, но сильный вклад в то, что он попался сделали его
    OpSec-ошибки - забыл включить VPN-клиента, использовал на том же
    компьютере личный gmail, использовал внешний CAPTCHA-сервис в
    административных панелях своего hidden service и так далее.
    
    Хочется понять, что нужно делать со стороны directory, чтобы вредить
    анонимности пользователей.
    
    Про глобальный мониторинг со стороны США согласен - насколько я знаю, не
    смотря на текущую геополитику, сотрудничество даже НКЦКИ и CERT до сих
    пор продолжается.
    
    > преценденты "недопуска" узлов к участию в сети уже были не раз
    
    А можно про это где-нибудь почитать?
    
    комментарий 3:
    From: Sergey Matveev
    Date: 2024-09-19 15:37:50Z
    
    *** kmeaw [2024-09-19 15:49]:
    >Вот это как раз и интересно. В истории про Dread Pirate Roberts,
    >FBI пришлось проворачивать целую операцию [...]
    
    Но я думаю тут не удивительно будет то, что подобная операция стоит
    дешевле, чем делать traffic analysis (никто же не говорил, что это как
    два клика мышкой). Плюс вопрос насколько хотелось словить этого человека
    и, соответственно, потратить сил и средств для поимки.
    
    >Хочется понять, что нужно делать со стороны directory, чтобы вредить
    >анонимности пользователей.
    
    Не допускать по возможности слишком много узлов из неподконтрольных
    (которые нельзя мониторить) сетей? Вот подключатся много узлов из РФ и
    Китая и куча трафика с промежуточными узлами будут вне досягаемости к
    анализу со стороны Запада.
    
    >> преценденты "недопуска" узлов к участию в сети уже были не раз
    >А можно про это где-нибудь почитать?
    
    Нашёл вот такую старую ссылку: https://roskomsvoboda.org/en/31552/
    Тут половина ссылок не работает, но там вроде говорилось про факты
    деанонимизацию через анализ: http://blog.stargrave.org/russian/b7f2c67fe30ab54890f049b110fa22008d7a3c39
    Больше в блоге записей нет, но я по памяти помню о том, что когда ты
    подключаешься как узел, то ты в режиме некоего карантина, где тебя могут
    порекомендовать/анонсировать (чтобы через тебя пошёл трафик) только
    спустя возможно даже дни. И видел разговоры (IRC, XMPP, совершенно не
    вспомню) о том, что всё очень зависит от сети где ты находишься. У
    кого-то вообще трафик не появляется, но как только он сменит IP адрес и
    создаст новый ключ узла (как будто совершенно новый незнакомый человек),
    то всё пойдёт хорошо. Лично ко мне "банов" вроде бы не применяли, но то
    что там точно не все одноранговы и вообще могут быть узлом это факт.
    Возможно они некоторые AS/сети считают подозрительными (особенно крупные
    российские), а я всю жизнь был не на популярных Интернет-провайдерах. Но
    то, что они не могут увидеть в нашей сети -- для стороннего Tor
    пользователя только благо, ведь это же, действительно, несвязанная с
    западными (например) AS, как и полагается.
    
    комментарий 4:
    From: Sergey Matveev
    Date: 2024-09-20 08:09:42Z
    
    https://dxdt.ru/2024/09/20/13938/