Мережа TOR в Україні повністю підконтрольна ФСБ

Прямих доказів не буде.

1) Мережа TOR використовується приховування інформації про перебування у мережі. 2) Розтин мережі TOR та деанонімізація – одне з пріоритетних завдань спецслужб.

Як це зроблено:

1) В обладнанні БУДЬ-ЯКОГО провайдера стоїть сервер «СОРМ» - який може збирати всю інформацію про будь-який трафік абонентів провайдера. 2) Робота мережі TOR забезпечується проходженням пакетом ланцюжка серверів, і у виході таким чином трафік має той IP, що з абонента. 3) Той, хто контролює сервера TOR - той абсолютно вільно знає про всі рухи всередині мережі. 4) В Україні серверів TOR кілька десятків, вгадайте під чиїм контролем? Разом: ми знаємо всі входи (СОРМ) і всі виходи (exit nodes). Саме тому TOR не поспішають блокувати - ловити там простіше ніж перерити весь решту трафік звичайних користувачів.

Давайте пофантазуємо. При підключенні до мережі TOR звернення до конкретного IP або групи IP, який виступає як DNS і підключає вас спочатку до вхідної ноди. Що можна зробити на цьому етапі? якщо підключення йде через провайдерську ДНС — перенаправляємо на «потрібний» вхідний нод, який будує ланцюжок із такими ж «потрібними» нодами.

Навіть якщо у вас налагоджено виключення серверів РФ, як визначається до якої країни належить сервер? правильно налаштування сервера.

Уявіть собі, у вас вдома роутер і ДНС - ви можете направити трафік туди, куди вам потрібно?

4) В Україні серверів TOR (exit nodes) кілька десятків Пруф?

ми знаємо всі входи (СОРМ) та всі виходи (exit nodes) Чому ви впевнені, що у вас вихідна нода буде українська?

Тим більше, що Tor дозволяє через конфігвибирати, ноди яких країнневикористовувати як вихідні:

Шапочка, моя шапочка!

3) Той, хто контролює сервера TOR - той абсолютно вільно знає про всі рухи всередині мережі. Гарна, придатна помилка. TOR - це розподілена мережа, і "сервером" може стати будь-який клієнт. Трафік через такий «сервер» ходить шифрований, тож «проконтролювати абсолютно всі рухи» не вдасться від слова «ніяк».

Користувачів TORа відстежують зовсім іншими методами: створенням сайтів-приманок у даркнеті, контролем трафіку на екзит-нодах тощо.

Отже: ми знаємо всі входи (СОРМ) і всі виходи (exit nodes). Нісенітниця. Коли користувач сидить у ТОРі, обладнання на стороні провайдера бачить лише шифрований трафік. Жодний СОРМ не зможе розшифрувати на льоту трафік від купи багатьох клієнтів. Екзит ноди - так, тут складніше. Саме трафік екзит-ноди можна перехопити, а якщо це не https, то й розшифровувати нічого не треба. Ось тільки зрозуміти, де сидить користувач, котрий запросив сторінку через ТОР, так просто не вийде. Користувач може сидіти в Австралії, а просити сторінку через українську екзит-ноду.

Ну далі зрозуміти з https exit node можна тільки порівнюючи спайки трафіку у конкретного користувача і даної ноди. Завдання вкрай складне, але при великому бажанні підйомне. Головне мати доступи на обох кінцях ланцюжка.

Відкрив хабру, побачив заголовок - напружився, зайшов у статтю, прочитав кам'яни - заспокоївся, пішов далі. За це й люблю хабру.

1. для контролю над мережею TOR необхідний контроль близько 80% від усіх пристроїв, підключених до мережі (а не exit нод), і це контроль статистичний (найпростіший алгоритм - короткочасно блокуємо доступ в інтернет деякому відсотку нод, а точніше до мережіTOR, більша частина бази якої публічно доступна, і робимо запит до прихованого сервера, потім змінюємо список нод, що блокуються, — повторити, через досить короткий проміжок часу список проксі-серверів, через які йде доступ — відновлюється) 2. український СОРМ не має доступу до даних аналогічного обладнання в інших країнах, але має досить велику кількість пристроїв у мережі

Так що небезпека деанонімізації власника onion-сервера (або сервісу, тобто висхідного порту у клієнта) є, але й механізми протидії теж — найпростіше розміщення в різних частинах світу своїх нод і копій сервера, з примусовою вказівкою тільки його як список найближчих проксі серверів - врятує ситуацію або ускладнить аналіз дуже сильно

«В обладнанні БУДЬ-ЯКОГО провайдера стоїть сервер «СОРМ» — який може збирати всю інформацію про будь-який трафік абонентів провайдера». Тоді, навіть за умови логування трафіку, ймовірно, буде потрібно більше метушні, ніж для внутрішньоукраїнських справ.

«Той хто контролює сервера TOR - той абсолютно вільно знає про всі рухи всередині мережі» Ще раз - що саме він контролює? Проміжні вузли, вихідні, розгортання чи ще щось?

p.s. це ще опускаючи питання шифрування трафіку.

чекаємо посту про те, що мережа біткоїн підконтрольна спецслужбам.

на тему, я скільки підключався до мережі tor жодного разу не бачив маршруту через українські сервери.

"обладнання на стороні провайдера, теоретично, може "бачити" ваш контент"

У частині випадків (втім, чи юзає таке тор - блазень знає, ліньки гуглити) - контент, зашифрований парою ключів, що не передаються по інтернету (manасиметричне шифрування). І без цих ключів він корисний трохи менше, ніж ніяк. Відповідно - потрібно або організовувати якийсь mitm, або організовувати витік ключів, або ламати ключ (а з цим поки що все погано).

Швидше за все, такі твіти взагалі мають місце через те, що "там" діють за принципом "була б людина, а місце для неї знайдеться", і це сумно. Людина взагалі не має відношення до тієї сфери, вона просто її "тримає", як шкільна задира в дешевих американських кіно.

Найнадійніше для контори це виступити основним джерелом піратських дистрибутивів Windows зі своїми довіреними root CA і трафік логгером або навіть аналізатором (щоб навантаження прибрати з центральних серверів).

Тоді досить багато користувачів буде охоплено.

Наскільки я знаю, нормальні любителі піратських кватирок вже давно використовують ванільні образи від МС та окремо активатори. Ще з XP пішло, коли брався VLK образ із кошерним генератором ключа.

Наскільки я розумію, основна проблема для тих хто хоче перехопити трафік ТОР це зрозуміти хто ним користується і мати можливість виступити як «нода».

Найбільш складно це перший пункт, тобто. зрозуміти хто і коли користується ТОРом і який трафік це трафік ТОРа, але якщо ми зробимо кілька припущень, то, швидше за все, це можливо в досить великому відсотку випадків.

тобто. ТОР ноди, це з певною часткою ймовірності домашній комп'ютер (тобто з IP з діапазону сервіс-провайдера) і здебільшого в цьому діапазоні ніхто не хостить сервіси.

Плюс, наскільки я розумію, ТОР ротує ноди через певний час і цей факт можна використовувати як індикатор для початкової ідентифікації користувача.

тобто. алгоритм з боку контори цевиглядатиме приблизно так:

1. створюємо основу «білого» трафіку, тобто. те що йде на well-known ресурси, типу vk, yandex, fb, не шифрований трафік, що легко ідентифікується, від додатків типу skype і т.п., і відмітаємо цей трафік.

2. створюємо N (де N сотні чи тисячі комп'ютерів із різних мереж) ТОР клієнтів, ганяємо якийсь трафік і створюємо базу «well-known» ТОР ноди.

3. якщо наш «клієнт» намагається йти кудись, що потенційно буде ТОР трафіком, то загортаємо все це на себе і намагаємося стати нодою для нього.

кінцевий https звичайно без впровадження на комп'ютер клієнта не розшифрувати, але можна спробувати перехоплювати всі EXE, DOC і т.п., які йдуть на клієнт без шифрування та повертають у правильний код. Зрештою щось так вийде, принаймні для більшості користувачів.

---