[ Хабр ] Немного Tor/I2P/Tails/СОРМ-3

Так. Слишком много за последние полторы недели произошло, поэтому будет в один пост.

Tor

Выступление на BlackHat отменили

Каждый сможет взломать Tor за 3000$ (MagisterLudi) — говорили ребята, которым запретили выступать на BlackHat. Они хотели выступать от имени организации Carnegie Mellon’s Software Engineering Institute, в которой и проводились исследования, но им не дали права на публичное распространения этого материала. Подробности особо неизвестны: исследователи сообщили о баге только Tor Core Developers, но, вроде как, все друг друга поняли, и работы по устранению бага уже ведутся.

Сообщение в рассылке Torproject
Немного информации в PCWold;
На xaker.ru;
Более ранняя заметка на arstechnica.com.

Sniper attack

Наконец-то выложили подробности атаки, о которой сообщалось в блоге Torproject в конце января. Эта атака позволяла, во-первых, жрать память на exit-node до ее неработоспособности при очень низком использовании ресурсов на стороне атакующего, во-вторых, позволяла анонимно деанонимизировать hidden service при атаке от 4 до 278 часов на него. Проблема была в некорректной работе с T***** Window Size/Flow Control и команде SENDME. Решили добавлением некой аутентификации на SENDME (на самом деле, просто небольшая проверка). Баг устранен в версии 0.2.4.14-alpha.

Tails и I2P

Вышел Tails 1.1, вроде как с уязвимостью

Ребята из Exodus Intel сообщили разработчикам дистрибутива Tails, что он уязвим, прямо накануне выхода версии Tails 1.1. Сначала никакой информации об уязвимости они не разглашали, однако сейчас сделали видео.

Что происходит на видео?

0:00:00,000 –> 0:00:10,400: Demonstrating IP on listening server, Turning on listening server
0:00:19,000 –> 0:00:25,400: Tails user visiting website icanhazip.com which shows the anonymized IP address
0:00:36,000 –> 0:00:49,400: Showing that we’re indeed using the latest Tails build 1.1
0:00:50,000 –> 0:01:03,400: I2P address being resolved, proof of concept malicious payload being delivered
0:01:30,000 –> 0:01:40,400: Listening server retrieves the Tails user’s de-anonymized IP address (Austin RoadRunner ISP)

Непонятно, уязвимость ли это в самом роутере I2P, его веб-интерфейсе, или же в Tails. Рано судить, но, судя по видео, это что-то вроде XSS, хотя парни говорят о payload. Выглядит как чушь, но Exodus достаточно серьезные люди, чтобы так шутить (например, продают свои эксплоиты DARPA). Ждем подробностей.

Запись в блоге Exodus Intel, запись на Thehackernews, еще одна.

Tor и СОРМ-3

Как вы уже, возможно, знаете, МВД РФ объявило конкурс, целью которого является «взлом» TOR (Gordon01). Сомневаюсь, что этот конкурс составляли компетентные люди (звонок), но лично я считаю, что выборочная деанонимизация пользователей Tor в РФ вполне возможна, если учитывать, что СОРМ-3 работает именно так, как его описывали в пресс-релизах.

Все довольно просто: СОРМ-3 логгирует действия абонентов, и сайты логгируют действия пользователей. Предположим, мы хотим деанонимизировать пользователя, написавшего комментарий на новостном ресурсе. В силу известности всех IP exit-node в конкретный момент, люди, у которых есть логи и веб-сайта, пользователя которого хотят деанонимизировать, и СОРМ-3, и список exit-node в конкретный момент времени, могут сопоставить время появления комментария и время отправки пакета данных от абонента. Чем меньше пользователей Tor в РФ, тем более эффективен такой способ. Такие дела.

Взято с хабра

Редактировался Rebz (2014-07-27 14 ч.)

Что думаете комрады? https://habrahabr.ru/company/mailru/blog/232563/

:'( частичная печаль

Давно известно что атаки пересечения и атаки подтверждения работают против любых анонимных сетей реального времени. Концептуальной защиты кроме полного покрывающего трафика до сих пор не предложено (а полный покрывающий трафик невозможен или непрактичен в реальных условиях).
Рекомендации по защите сводятся к одному: городить собственный велосипед, подключаться к сети Tor нестандартным образом и надеяться что конкретные реализации атак в вашем случае не сработают.

Простой вариант - подключаться к Tor через VPN, внутри VPN канала создавать покрывающий трафик посредством непрерывной загрузки и раздачи торрентов, так чтобы использование канала всегда было максимальным. А чтобы не тормозило, трафик Tor приоретизировать через QoS выше торрента. Это решение сугубо индивидуальное, его нельзя сделать стандартным для всех.

А поподробнее...

OpenVPN годится для этой цели? Как это реализовать в Линуксе?

p.s. В итоге Мы всегда будем на шаг впереди их...

Годится.

В гугле полно статей про установку vpn сервера. Про настройку torrent клиента тоже инфы навалом.
Если будет время, напишу свое подробное howto.

Редактировался megamozG (2014-08-10 13 ч.)

megamozG, А просто связка VPN+Tor чем хуже? Я тут просто немного не понял

Нужен покрывающий трафик на участке доступном атакующему. Просто связка vpn + tor сохраняет узнаваемыми статистические характеристики трафика.

Интересно, много нюансов стало, что бы чувствовать себя безопасным от большого брата. Вспоминаю 5 лет назад что было, Тор тогда казался чем-то из ряда фантастики по анонимности

Вот не понимаю почему. Разработчики Тор могли бы подумать в этом направлении. ИМХО это заговор.

Принципиально ведь зашумление никак не влияет на полезный трафик. Есть полезный пакет, шлем полезный, нет полезного, шлем заглушку. На скорости это не скажется. Может возрастут нагрузки на обработку такого рода на серверах Тора. Ну и пофиг, процы сейчас быстрые. Еще подзабьются каналы провайдеров и они будут больше не любить Тор. На них тоже пофиг, им деньги плачены.

Как задавать приоритеты пакетам ?

В качестве мусора может подойти радиовещание, радиопрослушивание, торренты, мидлман тор нода.

А вот что это такое ? Оборудование СОРМ стоит вообще не на моем канале и там, где оно стоит, канал совсем не забит до максимума. Или достаточно, чтобы было битком забито в месте бутылочного горлышка, которое можно создать искуственно ?

Я читал не раз, что и это не поможет.

А можешь вспомнить, как это объясняли ? Потому, что одно дело покрывающий траффик без тоннеля, когда можно выделить сессии, отфильтровать лишние, а другое дело внутри VPN, когда размер одного пакета VPN может включать в себя как часть полезного трафика, так и маскирующего.

Редактировался Gapak (2014-08-10 21 ч.)

Не помню, но если мыслить логически, незачем разделять траффик на составляющие, если можно контролировать "вход" и "выход". Рассуждая с дивана по памяти, спасет только рандомная задержка между узлами (при наличии достаточного количества и "качества" оных), что было частично реализовано в системе ремейлеров, и уже вроде как умерло за полной непрактичностью. Разновидности тайминг-атак сходятся к удешевлению процесса деанона, и не различны в общем смысле, на сколько я понимаю.

Я тоже читал, что единственный способ защиты от подобного рода атак - рандомные задержки во времени между отправлением пакетов. Это даже реализованно в какой-то системе обмена мэйлами. Но, понятное дело, практическим применять подобную защиту совсем не удобно.

Ну да, всё уже сказано до меня, но должен же я был похвастать?..

Редактировался Nikkon (2014-08-10 22 ч.)

Каналы не резиновые и не бесплатные, скорости не стабильные, клиент не один (у типичной Tor ноды тысячи соединений). Придумайте алгоритм который в таких условиях мог бы хоть как-то работать.

Посчитаем как полный покрывающий трафик сказывается на скорости. Допустим на ноду выделен канал 15mbit/sec и у нее 970 входящих подключений (реальные параметры взятые с ноды Runion). Если работать с покрывающим трафиком, полосу надо нарезать одинаковыми кусочками, что получится 15 kbit/sec на клиента, что медленнее древнего модема. Грусть-печаль, на этом идею о покрывающем трафике можно закрывать.

Именно так. Создаем бутылочное горлышко с помощью шейпера, забиваем впритык. Статистика более-менее выравнивается. Как настраивать шейпер и QoS гуглим в инете, не охото переписывать мануалы.

Не поможет против атак подтверждения. Это когда есть подозрения на связь определенного трафика с конкретной точкой назначения, их можно проверить просто выключив у точки назначения интернет. Если трафик прекратится - вот это и оно. Вполне практичная атака от которой не помогает даже полный покрывающий трафик.

И чем больше тем лучше. Что-то эффективное получается при задержке в часы. Защититься от атак подтверждения можно при задержках в сутки и больше. Но это уже будет аналог почты россии