URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 100152
[ Назад ]

Исходное сообщение
"Новый вид теоретической атаки по деанонимизации в Tor"

Отправлено opennews , 19-Ноя-14 22:44 
Группа исследователей из университетов США, Италии и Индии опубликовали доклад (https://mice.cs.columbia.edu/getTechreport.php?techreportID=...) с описанием техники атаки, позволяющей с достаточной высокой вероятностью сопоставить запросы пользователей до и после прохождения цепочки анонимизации в сети Tor. В частности, исследователи в 81.4% случаев смогли правильно сопоставить исходный запрос и запрос после анонимизации (выяснить реальный IP), использовав только предоставляемые маршрутизаторами через Netflow метаданные о потоках пакетов, при условии, что пользователь обратился к сайту, подконтрольному атакующему. Съем данные о трафике должен осуществляться в двух точках - на пути между пользователем и входящим узлом Tor и  между выходящим узлом Tor и целевым сайтом.


Суть метода состоит в отдаче пользователю с подконтрольного атакующими сайта контента, приводящего к определённым всплескам трафика, которые можно сопоставить с изменением параметров потока пакетов (число пакетов, размер и время сеанса), получаемых через Netflow. Особенности изменения данных параметров, выявленные на отрезке между сайтом и точкой выхода Tor, коррелируют с параметрами, получаемыми на отрезке между пользователем и точкой входа Tor, что можно использовать как признак для осуществления деанонимизации.

По мнению (https://blog.torproject.org/blog/traffic-correlation-using-n...) разработчиков Tor атаки, основанные на корреляции потоков данных, но как правило нереализуемы на практике при текущем числе узлов Tor. По своему дизайну Tor пытается защитить трафик от анализа, но не рассчитан на защиту от атак по определению корреляции трафика до и после входа в Tor. Предложенный исследователями тип атаки приводит к ложным срабатываниям примерно в 19% случаев (12.2% ложных отрицательных результатов и 6.4%  ложных положительны результатов), что слишком много для уверенного определения и не позволяет рассматривать атаку как эффективную. При том, что значение в 81.4% попаданий получено не на реальной сети, а в условиях синтетического эксперимента. Кроме того, для успешного проведения атаки и охвата большей части узлов Tor необходимо наличие контроля над тысячами маршрутизаторов в разных частях света. В качестве метода для защиты от указанного вида атак предлагается добавлять дополнительные задержки для нарушения однородности трафика.


URL: https://blog.torproject.org/blog/traffic-correlation-using-n...
Новость: http://www.opennet.me/opennews/art.shtml?num=41094


Содержание

Сообщения в этом обсуждении
"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено falosofwisdom , 19-Ноя-14 22:44 
бог храни тор

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено yoop , 19-Ноя-14 22:47 
На тор надейся да сам не оплошай.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 07:52 
У семи госбезопасностей тор без глаза

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Зевака , 20-Ноя-14 08:31 
У семи Торов, СОРМ без данных.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 10:23 
зевака уповает, трафик течёт.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 12:34 
Кто Тор кормит, тот его и танцует.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Ананито , 20-Ноя-14 13:22 
Тор с возу госбезопасности легче

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено bOOster , 20-Ноя-14 22:43 
Тор из дома, ГБ в пляс :)

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено ТСА , 21-Ноя-14 08:02 
Мал Тор, да вонюч.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено mickav , 21-Ноя-14 18:45 
Не тором единым жив .......

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено АнонуС , 22-Ноя-14 01:58 
Каждый сверчок знай свой ТОРчёк.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 23-Ноя-14 09:59 
Без труда не выловишь и рыбку из гнезда.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 23-Ноя-14 21:52 
Хороша Проксяша, жаль не наша

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено АнонуС , 23-Ноя-14 23:25 
Тор всему голова

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 24-Ноя-14 21:55 
Храни ОС смолоду, а Тор снову

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 24-Ноя-14 22:04 
Слышал Тор, не знаешь где он



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено АнонуС , 25-Ноя-14 03:09 
Ищи тор в огороде, а не в хороводе.



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 13:01 
Тор'а донаты кормят

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 13:07 
Тор СОРМ'у волк



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 13:11 
Сколько Тор не фильтруй, он все в Нэт смотрит



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 13:15 
В чужой сети открытый порт видишь, а в своей Тор не замечаешь.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 19:10 
Заставь админа траф файрволить, Анон Тор развернет

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Анонимъ , 25-Ноя-14 19:11 
Тор с возу, Циске легче



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено АнонуС , 01-Дек-14 03:06 
В чужую сеть со своим ТОРом не ходят.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:30 
Тор нельзя использовать для сильно требовательных применений, когда против вас может играть сильный атакующий. Примите это как данность - алгоритмы в нем такие.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено count0krsk , 20-Ноя-14 13:58 
Зато можно комбинировать с "чужим" интернетом. Например соседским wi-fi или левым 3G, с которого никуда больше не ходить, и грузиться с live-cd на ПК без HDD со смененным мак-ом.
"Не ищите нас вконтакте, в одноклассниках нас нету" ))
Когда (и если) в соседний подъезд приедем ОМОН, можно спокойно поржать и снять другую хату. Так что кому надо - анонимность 2е имя, а кому не надо могут не беспокоиться, Тор-а хватит, чтобы скрыть от провайдера ваш порнотуб.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Нимо Ан , 20-Ноя-14 18:36 
Мне кажется если ведёшь какое-то общение - пишешь какие-то комменты на форумах, то анонимности быть не может т.к. можно вычислить всех твоих виртуалов по анализу текста.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 18:53 
> по анализу текста.

Надежность всего этого - вилами по воде писана.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено revtrbvrgbv , 20-Ноя-14 21:33 
>> по анализу текста.
> Надежность всего этого - вилами по воде писана.

Степень надежности в таких случаях определяет суд. Как положено

>в строгом соответствии с законом, опираясь на внутреннее убеждение и не поддаваясь влиянию кого бы то ни было.

и да, мнение всяких там анонимов что всякие там экспертные анализы авторства это фуфло не имеют значения. Может вы еще и в детектор лжи не верите?

>Публичное обсуждение деятельности судьи, критические высказывания в его адрес не должны влиять на законность и обоснованность выносимого им решения.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:31 
> Степень надежности в таких случаях определяет суд. Как положено

Представляю себе чувства судьи по поводу мнения следователя: "с вероятностью 50% этот человек виновен".

> и да, мнение всяких там анонимов что всякие там экспертные анализы авторства
> это фуфло не имеют значения. Может вы еще и в детектор лжи не верите?

Почему же? Я даже более-менее понимаю принципы его работы. А экспертные методы может и прокатят для большого текста. Но ведь не любое сообшение достаточно большое. Я вволю попроверял как работает обнаружение по стилю. Экспериментально установлено что требуется или большой или очень характерный текст :).

>>Публичное обсуждение деятельности судьи, критические высказывания в его адрес не должны
>>влиять на законность и обоснованность выносимого им решения.

Это к чему вообще?


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено YetAnotherOnanym , 15-Дек-14 17:15 
> Представляю себе чувства судьи по поводу мнения следователя: "с вероятностью 50% этот человек виновен"

А судье ничего чувствовать не надо. Есть Конституция РФ, статья 49, п.3 которой гласит: "Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого". Так что однобитный


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено vi , 15-Дек-14 22:57 
>> Представляю себе чувства судьи по поводу мнения следователя: "с вероятностью 50% этот человек виновен"
> А судье ничего чувствовать не надо. Есть Конституция РФ, статья 49, п.3
> которой гласит: "Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого".
> Так что однобитный

Я всегда знал, "советский Суд, самый гуманный Суд на свете!". (может чуть-чуть не так сказал, да пусть простит меня Автор).


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено YetAnotherOnanym , 15-Дек-14 17:16 
> Представляю себе чувства судьи по поводу мнения следователя: "с вероятностью 50% этот человек виновен"

А судье ничего чувствовать не надо. Есть Конституция РФ, статья 49, п.3 которой гласит: "Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого". Так что следователь, неспособный предоставить один бит информации (напомню, что бит - это информация о выборе между двумя равновероятными альтернативами) идёт лесом.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:15 
>можно вычислить всех твоих виртуалов по анализу текста.

Если вы обычно при письме тщательно расставляете запятые и соблюдаете грамматику, то пишите без запятых. иногда можно путать падежи, а то и вставлять олбанские слова. Главное - не повторяться.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено bOOster , 20-Ноя-14 22:50 
> Зато можно комбинировать с "чужим" интернетом. Например соседским wi-fi или левым 3G,
> с которого никуда больше не ходить, и грузиться с live-cd на
> ПК без HDD со смененным мак-ом.
> "Не ищите нас вконтакте, в одноклассниках нас нету" ))
> Когда (и если) в соседний подъезд приедем ОМОН, можно спокойно поржать и
> снять другую хату. Так что кому надо - анонимность 2е имя,
> а кому не надо могут не беспокоиться, Тор-а хватит, чтобы скрыть
> от провайдера ваш порнотуб.

Да надо проще делать, особенно с WIFI - Через километр-два ставить индентичные SSID c индентичными WIFI MAC. И пусть потом деанонимизируют. Расписать в инете SSID,MAC и географию.
А дальше пусть бегают за провайдерами связи.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 19:05 
> Да надо проще делать, особенно с WIFI - Через километр-два ставить индентичные
> SSID c индентичными WIFI MAC.

Ты только что описал то что сделано в cjdns - вариант работы по воздуху.

Правда MAC - понятие не очень конкретное. В wifi используется более 1 MAC-а. Например в IBSS (Ad-Hoc) есть BSSID (BSSID выбранный тем кто запускал сеть и он позволяет отличать ее от остальных), а есть MAC адаптеров участников. Это разные адреса.

В случае AP сеть может состоять из группы AP с разными MAC но одинаковым SSID - большинство девайсов при этом будет "роумиться" между точками, переключаясь на более удачную AP когда сигнал станет слабым. И одинаковый MAC у двух разных точек - достаточно криво. А еще там MAC station'ов есть.

Логичным видится
1) Вкатить одинаковый SSID и (как минимум в случае ad-hoc) BSSID.
2) Периодически рандомно менять MAC интерфейсов на которых это крутится.

> И пусть потом деанонимизируют. Расписать в
> инете SSID,MAC и географию.

Ты только что изобрел project meshnet. Только те это делают с некоей глобальной пользой - строят единое коммуникационное проситранство. Которое повсеместно и никому не принадлежит, а также может автоматически расширяться с самоконфигурацией. Сети в том виде каком они должны были быть с самого начала.

> А дальше пусть бегают за провайдерами связи.

С учетом размеров модулей - бегать скоро придется за каждой пчелой.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено vi , 22-Ноя-14 20:07 
>[оверквотинг удален]
> 2) Периодически рандомно менять MAC интерфейсов на которых это крутится.
>> И пусть потом деанонимизируют. Расписать в
>> инете SSID,MAC и географию.
> Ты только что изобрел project meshnet. Только те это делают с некоей
> глобальной пользой - строят единое коммуникационное проситранство. Которое повсеместно
> и никому не принадлежит, а также может автоматически расширяться с самоконфигурацией.
> Сети в том виде каком они должны были быть с самого
> начала.
>> А дальше пусть бегают за провайдерами связи.
> С учетом размеров модулей - бегать скоро придется за каждой пчелой.

Вы (Аноним), сегодня уели (бурные и продолжительные аплодисменты ;)
Ох :(, главное, что бы в скором будущем не пришлось самому бегать от роев этих самых "кибер" пчел ;)


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 24-Ноя-14 01:43 
> от роев этих самых "кибер" пчел ;)

Endpoint интереснее - "умная пыль". Это будет сделано, при условии что человечество не самоуничтожится. Независимо от того, нравится это кому-то или нет. Универсальное коммуникационное пространство станет еще более повсеместно чем электричество.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено vi , 25-Ноя-14 15:54 
>> от роев этих самых "кибер" пчел ;)
> Endpoint интереснее - "умная пыль". Это будет сделано, при условии что человечество
> не самоуничтожится. Независимо от того, нравится это кому-то или нет. Универсальное
> коммуникационное пространство станет еще более повсеместно чем электричество.

Вы думаете стафилококк не настолько умен, что бы не отличить мясо повкуснее от "сырного продукта" например. У него просто свой путь. И слава Богу, что аппетиты у него умеренные. И человечество делает огромную ошибку загоняя его в угол (необходимо другим заниматься).
"Умную пыль" тоже кормить необходимо (ибо кто "Умную пыль" кормит, тот ее и танцует). Так что не выпускайте пыль из ящика Пандоры.

А человечество, что человечество, молодцы конечно же (особенно, отдельный процент ;)! В общем, не надо перегибать,...
Все должно иметь под собой основу (и прочее, прочее, ...).


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено bOOster , 24-Ноя-14 17:40 
Я в курсе как работает WIFI

Я ничего не изобретал. Ты описываешь уже готовые проекты находящиеся в чьих-то руках - это одно. Но по факту, сейчас невозможно избавиться от частных точек доступа. Именно по которым и секут кто и где. Я не предлагаю большие проекты со специфическим оборуованием как то meshnet (нужно оборудование которое поддерживает эти протоколы, типа Microtik. Никто из человеков далеких от компа - не будет заботиться о покупке такого оборудования или о его замене.) Я озвучил административное решение, которое потенциально может работать имея только WebSite.

> 2) Периодически рандомно менять MAC интерфейсов на которых это крутится.

Заколебаешься пароль вводить заново, если WIFI не enterprise :)


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 24-Ноя-14 19:07 
> Я в курсе как работает WIFI

Если так же как все остальное, то толка с этого мало.

> руках - это одно. Но по факту, сейчас невозможно избавиться от
> частных точек доступа.

А зачем от них избавляться? Как максимум, по чужим точкам доступа можно грубо прикинуть координаты (если есть база BSSID vs координаты). Аналогично, по Cell ID соты тоже можно прикинуть координаты (если есть база ID vs координаты). Более того, по сигналам спутников GPS и глонасс (покрывающим по сути всю планету!) можно довольно точно прикинуть координаты даже вообще без каих либо баз. То-есть, координатная сетка - сформирована. Она есть. Это - данность. Уже много лет.

Потенциально по тем точкам доступа можно узнать их владельцев, если хочется. Но при чем тут мы?

Если мы о компьютерах (и мобильных девайсах в частности) - здесь мы приходим к самому интерсному: чей код работает на девайсе? Какую логику он формирует? И на чье благо он работает? И дальнейшие последствия в основном определяются ответом на этот вопрос. А мои текущие координаты как таковые я могу и GPSом или глонассом без посторонней помощи замерять, даже если никаких точек доступа вообще нет. Координатный сигнал спутников покрывает практически весь шарик.

> Именно по которым и секут кто и где.

Что либо сечь о ТЕБЕ могут лишь когда ты что-то излучаешь в эфир (при этом разумеется ты можешь показать свой MAC черти-кому). Если у тебя есть точка доступа - никто не запретит порой менять SSID и BSSID, после чего знание того что это точка доступа Васи, приобретенное как-либо - становится невалидным. Это другая AP и другой (B)SSID. И изначально никаких аргументов за то чье это. Если туда начнут конектиться девайсы с теми же MAC что и раньше - можно предположить что точка того же субъекта. А если у девайсов MAC тоже меняется - это уже выглядит как совсем иная группа девайсов.

А в случае мобилы - уж там сеть всяко знает где примерно находится абонент. Потому что не получится на миллионы абонентов кидать броадкаст на всю сеть - "Эй, Вася, ты где?". Сеть ляжет когда по ней миллионы одновременных запросов такого плана полетят.

> Я не предлагаю большие проекты со специфическим оборуованием как то meshnet

Я тоже. Я предлагаю всего 1 вещь: взять узду в свои руки и оседлать. Девайс является твоим только когда ты контролируешь что он делает и это не наносит тебе вреда. А иначе девайс живет своей жизнью и может закатить любую нежелательную активность в меру своих физических возможностей. Чужой компьютер с камерой и микрофоном - может смотреть и слушать. И большой вопрос куда и кому это попадает. Чужой компьютер с беспроводным адаптером может слушать эфир. А чужой терминатор может вообще очень неласково с посторонними обойтись. Ну и так далее.

Поэтому первое что стоит сделать - взять свои девайсы под свой контроль. Иначе не такие уж они и свои, если их логика пашет на чужое благо.

> (нужно оборудование которое поддерживает эти протоколы, типа Microtik.

Для упомянутых вещей не надо вообще ничего. Кроме фактического КОНТРОЛЯ над СВОИМ оборудованием (ну и достаточных ресурсов). Для этого придется перестать рассматривать железки как черные ящики и осознать что внутри сидит компьютер + понять как работает wi-fi. Может быть компьютер ограничен по ресурсам но от того он не более безопасный для окружающих. Потенциально может использоваться как плацдарм для атаки и релэй.

Запустить cjdns - можно на обычном компьютере с беспроводным адаптером. Или домашнем роутере с нормальной прошивкой (типа openwrt, где админа нормально пускают внутрь и не дурят, а все компонеты - опенсорсные). Лишь бы ресурсов хватило. Ну и немного кастома для периодической смены маков интерфейсов - для отвязки девайсов от владельцев и статистики.

А микротик в таких вопросах - вообще совсем не друг. Какие основания доверять этим господам с проприетарным бутлоадером, системой на которую сорц получить - отдельный гимор и невозможно полноценно пересобрать фирмваре, так что даже не проверишь с разумными затратами сил тот ли сорц они вообще подсунули?

> Никто из человеков далеких от компа - не будет заботиться о покупке такого оборудования

Зачем стадам дары свободы?
Их должно резать или стричь.

А.С. Пушкин.

В смысле, если ты хочешь избавить Васю от тотальной слежки за ним, первое что надо - это чтобы Вася этого сам захотел. Иначе толку будет мало.

> или о его замене.) Я озвучил административное решение, которое потенциально может
> работать имея только WebSite.

Ты озвучил какой-то бред. Веб-сайты никак не связаны с физическим уровнем wi-fi. Wi-fi все-равно, сайт там у тебя или что. Ты или излучаешь и шлешь MAC (который потенциально может позволить следить за тобой, если это мобильный девайс), или не излучаешь и тогда слежки за тобой не получается по чисто технической причине.

> Заколебаешься пароль вводить заново, если WIFI не enterprise :)

При контроле над своими устройствами - это совершенно не проблема.

На самом деле, отдельный большой вопрос - хотим ли мы надеяться на шифрование wi-fi как таковое. Как видим там было минимум две жирные дыры: WEP и WPS. Настолько фундаментальных, что надеяться на такой протокол - исторически зарекомендовало себя достаточно чреватым. Cjdns наример нормально относится к открытым сетям - при этом конечно видно некоторое количество технической информации, но основная часть защищается своим собственным шифрованием, никак не связанным с wi-fi и паролями.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено for mother russia , 21-Ноя-14 09:18 
Наверное, так же когда-то думал Митник, клонируя чужие сотовые.. ржет до сих пор. Скорее, стоит включать в цепочку поломанные устройства - благо, SOHO-роутеры и прочая мелюзга ищутся на автомате, меняйте хоть каждый день.
Но и в том и в другом случае идет выдавливание из законной плосости, что даже для хакера не очень удобно..

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 20:19 
как то плохо соотносится контроль за тысячей маршрутизаторов с попыткой спрятаться за соседа

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 01:50 
>бог храни тор

Ты бы сходил на сайт проекта и посмотрел спонсоров проекта.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 15:14 
>>бог храни тор
> Ты бы сходил на сайт проекта и посмотрел спонсоров проекта.

И чо?


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено ТСА , 21-Ноя-14 08:04 
Кто за тор платит, тот его и танцует.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Michael Shigorin , 21-Ноя-14 19:36 
>> Ты бы сходил на сайт проекта и посмотрел спонсоров проекта.
> И чор?

И тор, дорогой батыр.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено anon678 , 21-Ноя-14 19:48 
А зачем он нужен ? Всем известно, что он проект АНБ, иначе не было  бы вот этого http://xakep.ru/silk-road-2-fbi/

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:07 
> не было  бы вот этого http://xakep.ru/silk-road-2-fbi/

Технологии примененные в Tor не дают надежной защиты при ТАКИХ требованиях. Это же касается и I2P. Грубо говоря, если вы "сильно воняте" и против вас ополчилось целое фбр, это довольно отдельный случай и в большинстве случаев вам потребуется намного больше чем может предложить всего лишь тор (или I2P).


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено абвгдейка , 19-Ноя-14 22:46 
кто-то не прогулял уроки комбинаторики :)

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:35 
> кто-то не прогулял уроки комбинаторики :)

А если народ мозг врубает - становится вообще страшно: http://habrahabr.ru/company/pt/blog/243697/

А прикиньте - через сотовый модем могут вас поиметь. Как минимум - сам модем. А если не повезет то и всю систему. Ибо модем - это компьютер. А поломанный модем - например компьютер который эмулирует вашему компьютеру клавиатуру. И например загрузочный диск. Круто, правда? :)


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 22:59 
i2p лучше всех

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:32 
> i2p лучше всех

А его алгоритмы не так уж принципиально отличаются от Tor. И тайминг-атаку вполне можно попробовать. Главное чтоб юзер на подконтрольный ресурс забрел, откуда пульсы траффика можно посылать.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено анонимус , 19-Ноя-14 23:56 
Собственно, главное отличие чесночной маршрутизации от луковой - в защите от таких атак.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 19:01 
> Собственно, главное отличие чесночной маршрутизации от луковой - в защите от таких атак.

На фундаментальных уровнях их алгоритмы достаточно похожи. И атаки не совсем про это но похожего плана, с коррелированием времянок - бывали.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено нинадаляля , 19-Ноя-14 23:34 
нет

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:38 
Да нет же, что ты. Самый лучший это PPTP от Майкрософта. (sarcasm)

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Константавр , 20-Ноя-14 00:21 
Шуточки... Я тут читал статью от спецов из Майкрософта, в которой на полном серьёзе утверждалось, что пароли типа "qwerty", на самом деле, лучше и правильнее. Ссылку найти не могу, дал бы, на поржать.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено bOOster , 21-Ноя-14 19:50 
Есть в этом доля правды :) Замечаю - сканяться имена при подключении к ssh  - НИ РАЗУ не сканился user@… :)

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено ffirefox , 22-Ноя-14 04:34 
О! Спасибо за багрепорт. Исправил. Напишите, правильно ли сейчас сканируется? ;)



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:09 
> Есть в этом доля правды :) Замечаю - сканяться имена при подключении
> к ssh  - НИ РАЗУ не сканился user@… :)

Зато теперт, о великий пользователь putty.exe, все знают что им надо сканировать. Ты еще главное пароль вбей в гугл для проверки что им никто не воспользовался до тебя.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:47 
Лучший в деле подъеме ЧСВ арчешкольников.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:19 
>i2p лучше всех

Ага, на блобожабе же. Вам известно, что Oracle в этот блоб впендюривает?


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:32 
> Ага, на блобожабе же. Вам известно, что Oracle в этот блоб впендюривает?

Ну как, чинят по 30 дыр за раз. Совершенно случайно посаженных. АНБ одобряет и готово спонсировать больше дыр, хороших и разных.



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено ZiNk , 21-Ноя-14 11:46 
Известно: OpenJDK. Пускай на нём и волосы будут мягкими и шелковистыми. А лучше - присоединяйся к реализации на Сях.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:10 
> лучше - присоединяйся к реализации на Сях.

А такая есть? Тот хардкор на бусте и си++ не сильно далеко ушел от явы. В смысле, удачи тебе код либ семейства буста перечитать, например.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 20:23 
>>i2p лучше всех
> Ага, на блобожабе же. Вам известно, что Oracle в этот блоб впендюривает?

http://openjdk.java.net/



"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 19-Ноя-14 23:51 
Разве не эффективнее что-то подмешивать в трафик раз уж подконтрольны узлы до и после тора?

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено XoRe , 20-Ноя-14 01:15 
> Разве не эффективнее что-то подмешивать в трафик раз уж подконтрольны узлы до
> и после тора?

Все завопят о дополнительной непомерной нагрузке на всё


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено for mother russia , 20-Ноя-14 03:52 
И подмешивают - к примеру, идея с canvas-шрифтами, которые на разных видюхах дают разный результат. Еще можно подсунуть эксплоит...
Т.е. либо уже ждать человека, как было с SilkRoad; либо рассчитывать, что он вернется с реального IP, что подходит для сайтов правительственных организаций, где сейчас размещают canvas.
Все это частные случаи, а тайминг-атаки, в условиях тотального контроля трафика, работают всегда.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 01:57 
Молниеносная теоретическая атака на теоритический танк с теоритической гранатой в виде сферы..

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено for mother russia , 20-Ноя-14 02:33 
Хаха. Вы, однако, не учитываете, что во всех "приличных" странах трафик пользователей пишется, в соответствии с законом; в статье описана лишь попытка выполнить то, что давно доступно правительствам. Разработчики TOR на данный момент просто не обращают внимания на тайминг-атаки, ведь простых рецептов защиты здесь нет (замусоривание, сокрытие списка серверов, существенные задержки при передаче - все это не сделает проект популярнее).

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 02:55 
Но ведь трафик между пользователем и провайдером все равно не шифруется. Значит, провайдер видит, на какой сайт пользователь заходит через TOR?

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено for mother russia , 20-Ноя-14 03:21 
И какой от него был бы толк?) Почитайте википедию, TOR запускается на localhost или в локалке, шифрует пакеты тремя разными ключами, и только потом кидает по цепочке; список серверов подписывается. Это подходит для того, чтобы написать гадость на форуме, или для серьезных вещей - в качестве компонента схемы анонимизации;  но, как писали господа выше, сам по себе полной анонимности TOR не дает.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено gaga , 20-Ноя-14 11:57 
> сам по себе полной анонимности TOR не дает.

Конечно не дает, ведь такой штуки как "полная анонимность" не существует. Так же, как и невзламываемого шифра, неоткрываемого замка и т.п. Вопрос лишь в модели угрозы.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Andrew Kolchoogin , 20-Ноя-14 18:59 
> Так же, как и невзламываемого шифра

Можно ссылку на серьёзную литературу с кейсом взлома OTP?


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 19:04 
> Можно ссылку на серьёзную литературу с кейсом взлома OTP?

OTR сам по себе не решает проблему что атакующий видит что Вася писал Пете, полшестого.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено revtrbvrgbv , 20-Ноя-14 21:44 
>> Так же, как и невзламываемого шифра
> Можно ссылку на серьёзную литературу с кейсом взлома OTP?

http://www.zdnet.com/beyond-silk-road-2-0-over-400-dark-web-.../

Более подробные описания можно попробовать запросить у http://www.fbi.gov/


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:12 
> http://www.zdnet.com/beyond-silk-road-2-0-over-400-dark-web-TOR

...
> ОТР

Ну подумаешь, не в лотерею, а в карты, не выиграл а проиграл...


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:40 
>> Так же, как и невзламываемого шифра
> Можно ссылку на серьёзную литературу с кейсом взлома OTP?

Он в чем-то прав.
Есть такие метрики как:
1) Степень анонимности.
2) Затраты на взлом шифра.

И цель такова, чтобы степень анонимности делала изучение траффика малоперспективным и труднодоказуемым. А цель шифра - чтобы его не разломали за обозримое время (ну там до погасания солнца, etc).


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:35 
> Но ведь трафик между пользователем и провайдером все равно не шифруется.

Соединение между Tor пользователя и Tor первого хопа - шифрованное. Пров видит только несколько TLS соединений. Что это и по какому поводу - очень отдельный вопрос.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Легион , 21-Ноя-14 13:32 
Очевидно провайдер видит, что пользователь заходит на узел ТОР. Куда дальше - нет.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 07:34 
>Разработчики TOR на данный момент просто не обращают внимания на тайминг-атаки, ведь простых рецептов защиты здесь нет

Буферы, очереди, принудительные задержки для сглаживания забросов ppsа. Мне так кажется это всё уже проработано, просто применялось в других местах и не для этих целей


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено QuAzI , 20-Ноя-14 09:12 
Оно и так дико медленное by design, а если добавить ещё влияющих на замеры задержек (т.е. гораздо дольше, чем обычные лаги сети, погрешность на которые допустима при анализе трафика), будет полное "9600 бод и все-все-все..."

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено vi , 20-Ноя-14 10:02 
> Оно и так дико медленное by design, а если добавить ещё влияющих
> на замеры задержек (т.е. гораздо дольше, чем обычные лаги сети, погрешность
> на которые допустима при анализе трафика), будет полное "9600 бод и
> все-все-все..."

Так за все же в этом Мире платить приходится.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 11:06 
> Оно и так дико медленное by design

Ты просто медленного не видел.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено QuAzI , 20-Ноя-14 12:05 
Квант, ЕС-1841, Искры, диалап на 9600, по ночам (когда переставало бубнеть радио) 19200, gprs... вы что-то лично видели медленнее?

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 19:03 
> 19200, gprs... вы что-то лично видели медленнее?

Конект к BBS на 2400? :)


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено ffirefox , 22-Ноя-14 04:39 
Телетайп на 300 бод к большой такой ЕС шкафно-этажного стиля.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 13:04 
> Оно и так дико медленное by design, а если добавить ещё влияющих
> на замеры задержек (т.е. гораздо дольше, чем обычные лаги сети, погрешность
> на которые допустима при анализе трафика), будет полное "9600 бод и
> все-все-все..."

Имхо, при серфинге разница будет незаметна. Поставят очередь и будут отдавать все пакеты с равными задержками, но пропускная способность от это не изменится. (в теории).


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:36 
А на практике кроме бандвиза может влиять еще и латенси. Ждать начала загрузки старницы минуту может быть не очень приятно. Но тут да, компромисс: или сильное сглаживание и ощутимая задержка от него, или плохое сглаживание и повышенная информативность для атак на времянки.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Ананас , 20-Ноя-14 07:53 
Как там gnunet поживает?

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 22:36 
> Никак, сынок. Это фантастика. Еще лет 30 будут трындеть, потом, может быть,

А напрасно - у них довольно интересная штука получается. Хоть и слегка не от мира сего.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 09:47 
Судя по всему все приходит к конечной точке. Анонимность в интернете появляется для законопослушных и никому не нужных пользователей, а для тех, кто нужен она отсутствует. Тем самым незаконопослушные доступны для закона, законопослушные защищены от прослушки количеством усилий на прослушку. Все так и должно быть вроде бы. Так что Tor или подобные технологии это тот интернет которым он и должен быть.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 13:01 
Ничего не понял. Слушают всех, а потом определяют насколько кто-то "законопослушен".
Или обычны каналы не слушают, а все усилия направлены на тор? Смешно.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено 123321 , 21-Ноя-14 07:28 
Не слушают неуловимых Джо.

"Об аноним ности в ТОР"
Отправлено Никитушкин Андрей , 20-Ноя-14 09:54 
Приветствую!

О чем речь, если в tor-geoipdb нет пула адресов Англии, соответственно Англию нельзя включить в блок-листы ТОРа. На мой взгляд всё это говорит о том, что ТОР работает на МИ-6.


"Об аноним ности в ТОР"
Отправлено QuAzI , 20-Ноя-14 12:13 
> О чем речь, если в tor-geoipdb нет пула адресов Англии, соответственно Англию
> нельзя включить в блок-листы ТОРа

Там уже до того оборзели, что если пароль к архиву не вспомнил (не говоря о приватности личных данных, на которые) или записал случайно вообще RAW-шум, получишь до 5 лет.
http://habrahabr.ru/post/147769/
Можно сажать не прослушивая = теряется смысл TOR: и так всех кого надо посадят. А кто будет пул держать - того тоже посадят. Всех посадят. Было бы желание


"Об аноним ности в ТОР"
Отправлено ZiNk , 21-Ноя-14 11:52 
>> О чем речь, если в tor-geoipdb нет пула адресов Англии, соответственно Англию
>> нельзя включить в блок-листы ТОРа
> Там уже до того оборзели, что если пароль к архиву не вспомнил
> (не говоря о приватности личных данных, на которые) или записал случайно
> вообще RAW-шум, получишь до 5 лет.
> http://habrahabr.ru/post/147769/
> Можно сажать не прослушивая = теряется смысл TOR: и так всех кого
> надо посадят. А кто будет пул держать - того тоже посадят.
> Всех посадят. Было бы желание

Не пионер, а пенсионер, не машину, а 10 рублей, не выиграл, а проиграл и не в лоторею, а в домино.

В истории, которую растащили по разным уголкам интернета "ОМГ, 5 ЛЕТ ТЮРЬМИ ЗА ШИФРОВАНИЕ" опускают тот тонкий факт, что подсудимый признался, что диск зашифрован и что он знает пароль, но его не скажет. Через пару дней сказал что его "забыл". Судьи и присяжные такую лапшу не любят, вот и получил парень добавку к остальным уликам. Но нет, надо теперь истерить, бегать кругами и писать кипятком про страшный туманный Альбион.


"Об аноним ности в ТОР"
Отправлено vi , 22-Ноя-14 19:38 
>[оверквотинг удален]
>> Всех посадят. Было бы желание
> Не пионер, а пенсионер, не машину, а 10 рублей, не выиграл, а
> проиграл и не в лоторею, а в домино.
> В истории, которую растащили по разным уголкам интернета "ОМГ, 5 ЛЕТ ТЮРЬМИ
> ЗА ШИФРОВАНИЕ" опускают тот тонкий факт, что подсудимый признался, что диск
> зашифрован и что он знает пароль, но его не скажет. Через
> пару дней сказал что его "забыл". Судьи и присяжные такую лапшу
> не любят, вот и получил парень добавку к остальным уликам. Но
> нет, надо теперь истерить, бегать кругами и писать кипятком про страшный
> туманный Альбион.

Кто нибудь может с пнями разговаривать? Может лучше пнем прикинутся? Ну попинают немного и отпустют.
Хотя, если, что то сильно воняет, это необходимо сбрызнуть дезодорантом и отнести на свалку.
Но, мне что то сильно кажется (с вопросом не знаком вовсе), что подсудимый нужен был для показательной порки (ну типа, бей своих, что бы чужие боялись ;)


"Об аноним ности в ТОР"
Отправлено vi , 22-Ноя-14 19:39 

> Но, мне что то сильно кажется (с вопросом не знаком вовсе), что
> подсудимый нужен был для показательной порки (ну типа, бей своих, что
> бы чужие боялись ;)

Может они там все Цыгане?


"ТОР"
Отправлено Никитушкин Андрей , 20-Ноя-14 09:55 
По поводу отсутствия IP адресов Англии в tor-geoipdb писал разработчикам ТОРа 6 месяцев назад!!! До сих пор нет никакого ответа!!!

"ТОР"
Отправлено Пришлый , 20-Ноя-14 14:41 
Не хотят выносить ТОР из избы :)

"ТОР"
Отправлено Аноним , 22-Ноя-14 18:15 
Все проще. Кто угодно может быть "временным" узлом Tor без занесения в официальный список. Что забавно, при этом частично обламывается детектирование exit nodes и поэтому при должном упорстве обходится даже самый хардкорный бан тора. Такое вот маленькое западло любителям цензуры.

"ТОР"
Отправлено vi , 22-Ноя-14 19:20 
> Все проще. Кто угодно может быть "временным" узлом Tor без занесения в
> официальный список. Что забавно, при этом частично обламывается детектирование exit nodes
> и поэтому при должном упорстве обходится даже самый хардкорный бан тора.
> Такое вот маленькое западло любителям цензуры.

А тут еще http://en.wikipedia.org/wiki/Multipath_TCP наплывает (наверное, Multipath_UDP вообще, можно, реализовать на другом уровне OSI).
С учетом того что у "каждого есть как минимум" две карточки ОПСОСВ (необходимо их только в различные устройства вставить), плюс соседский WiFi, плюс MESH сети (где же они :(
Наверное, много глупости сказал, но это все мое ИМХО.

И главное, эти "любители цензуры" за свой счет рецензии пишут?!?!?!



"ТОР"
Отправлено Аноним , 24-Ноя-14 01:57 
> А тут еще http://en.wikipedia.org/wiki/Multipath_TCP наплывает

Как бы да, но тут вот какой момент: новое законодательство обязывает провайдера хранить весь траффик за что-то типа последних 12 часов.

Так что это во первых не особо повышает анонимность, а во вторых создает достаточно маргинальные неудобства мощным атакующим. В смысле, если им трафф с 1 прова получить можно - то скорее всего можно и с 2. Некие неудобства разумеется создаст, но сильно на это уповать я бы не стал.

> (наверное, Multipath_UDP

У UDP каждая отдельная датаграмма - самодостаточна, там нет понятия сессии. Поэтому Multipath_UDP сам по себе - нонсенс. Но вы можете сделать свой протокол поверх UDP, который будет нормально относиться к пакетам с нескольких направлений и объединять их. При этом вам придется самому сделать какое-то подобие уствновки сессий. Да, из пакет-ориентированного UDP можно сделать некое подобие TCP. Вон uTP например - как-то так и сделан. Но это на уровне приложений уже.

> вообще, можно, реализовать на другом уровне OSI).

Только это уже не чистый UDP а какой-то добавочный протокол поверх него, имеющий понятие о сессиях и что к какой сессии относится.

> MESH сети (где же они :(

А об этом должны позаботиться мы, инженеры :).

> И главное, эти "любители цензуры" за свой счет рецензии пишут?!?!?!

Обычно любители цензуры втирают очки налогоплательщикам за их же налогоплательщиковский счет. Как обычно, ваш Капитан Очевидность.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 20-Ноя-14 12:13 
все их оправдания выглядят крайне неубедительно. "Требуют огромной работы", "20% ложных срабатываний", "необходимо наличие контроля над тысячами". Но все это вполне под силу спецслужбам.

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:34 
> срабатываний", "необходимо наличие контроля над тысячами". Но все это вполне под
> силу спецслужбам.

У атаки низкая степень надежности и высокая ресурсоемкость. Поэтому если вы сильно воняете, наподобие Silk Road - есть шансы что против вас нечто подобное могут и произвести. А вот против каждого первого - не особо получится применять. Собственно про все это было написано в сноудэновских документах.


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Zenitarka , 22-Ноя-14 10:03 
Так ведь Tor - это разработка АНБ, какая анонимность?

"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено Аноним , 22-Ноя-14 18:17 
> Так ведь Tor - это разработка АНБ, какая анонимность?

И конечно же эксперт по всему и вся ака Зенитар - покажет нам пруф? Ну и конечно же западло встроено в опенсорсный проект. А не ту кучу блобов которые ты запускаешь. Ведь искать под фонарем - проще чем там где потерял ключи, не так ли? :)


"Новый вид теоретической атаки по деанонимизации в Tor"
Отправлено YetAnotherOnanym , 15-Дек-14 16:51 
> добавлять дополнительные задержки для нарушения однородности трафика

Хе-хе, не этим ли занимались провайдеры с целью сделать пользовательскую IP-телефонию невозможной?