LE
@ibrae для деанонимизации Tor-трафика не нужно знать _всю_ цепочку, если можешь наблюдать за всеми "подозреваемыми" входами в сеть (в данном случае — российскими провайдерами) и выходами из неё (в данном примере — вконтактом).
Size: a a a
2017 May 29
LE
Я понимаю вашу уверенность по этому вопросу, но ровно также наблюдаю за тем, как в соседнем чате по прикладной статистике (читай - машинному обучению) коллеги из дом.ру обсуждали внедрения разных инструментов для обработки больших данных для обсчёта, насколько я понял, вышеупомянутых метаданных о трафике, а в чате интернет-провайдеров — запросы из правоохранительных органов вида "перечислите всех пользователей сети Tor из вашей сети за день X и час Ч".
A
Что за чатики такие?
M
Я понимаю вашу уверенность по этому вопросу, но ровно также наблюдаю за тем, как в соседнем чате по прикладной статистике (читай - машинному обучению) коллеги из дом.ру обсуждали внедрения разных инструментов для обработки больших данных для обсчёта, насколько я понял, вышеупомянутых метаданных о трафике, а в чате интернет-провайдеров — запросы из правоохранительных органов вида "перечислите всех пользователей сети Tor из вашей сети за день X и час Ч".
а как вычислять пользователей тора за пределами юрисдикции провайдеров страны? А как провайдеры всех пользователей тора собирают, анализируют протоколы передаваемых данных, зашифрованные?
M
Вконтактик, в котором сидят через тор палится через телефон привзяки, гораздо проще и чаще, чем через деанон пользователя ТОР
M
Все случаи деанона в торе - это результат проколов пользователей, по связи сервисов с телефонами, почтой, адресом, личными данными
LE
@windxmax с провайдерами за пределами страны вопрос переходит из технологической плоскости в межведомственное взаимодействие и, наверняка, разбивается о бюрократию.
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
LE
M
можно ограничится метаданными (объем трафика и IP-адреса с портами)
С🥔
@windxmax с провайдерами за пределами страны вопрос переходит из технологической плоскости в межведомственное взаимодействие и, наверняка, разбивается о бюрократию.
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
Че ты/вы несешь. Весь трафик шифруется в Уно моменто. На этом закончили, досвиданье
M
ТАк вот, весь вопрос, как получить это все, если оно в зашифрованном виде? как же инкапсуляции внутри tcp
С🥔
@windxmax с провайдерами за пределами страны вопрос переходит из технологической плоскости в межведомственное взаимодействие и, наверняка, разбивается о бюрократию.
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
Анализировать _данные_ в протоколе для обоснованных подозрений нет необходимости, можно ограничится метаданными (объем трафика и IP-адреса с портами) — список узлов Tor находится в открытом ежечасно обновляемом и архивируемом документе, который внутри называется "консенсус", метаданные об объёмах трафика и адресах, с которыми устанавливались соединения, некоторые провайдеры хранят три года. Юристы лучше ответят на вопрос: все ли провайдеры хранят этот трафик такой срок и таком объеме и достаточно ли подобных подозрений для проведения дальнейших следственных действий — обысков и т.п.
Про телефон тоже замечание совершенно верное, я не знал, что вконтакт уже требует телефон в принудительном порядке. Кстати, даёт ли вконтакт регистрировать учётки на номера таксофонов и т.п.? Signal, например, даёт.
Про то, что ошибки пользователей составляют примерно 100% всех публично обсуждавшихся случаев деанонимизации — это, скорее всего, так. Но историю про большие данные это в явном виде не отменяет.
Ну и правильно писать не "ТОР", а "Тор" или "тор" ;-)
Включи вайршарк/фиддлер и отсниффай весь исходящий трафик. Заплачь, когда увидишь непонятные иероглифы
С🥔
ТАк вот, весь вопрос, как получить это все, если оно в зашифрованном виде? как же инкапсуляции внутри tcp
Информации об этом полно. Я не гугл, чтобы тут объяснять элементарные вещи
M
Включи вайршарк/фиддлер и отсниффай весь исходящий трафик. Заплачь, когда увидишь непонятные иероглифы
плакать можно начать на стадии разбора TCP
M
А я задаю прямые вопросы, как расшифровываются протоколы, и как то что ты снифишь трафик поможет в расшифровке
С🥔
LE
@mafiadev вижу в словах ненулевой уровень технической экспертизы.
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
M
С🥔
@mafiadev вижу в словах ненулевой уровень технической экспертизы.
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
The idea is simple: Instead of attempting to decrypt the content of packets, an attacker who manages to observe both ends of the communication channel tries to find patterns in the traffic to match outgoing and incoming data in order to deanonymize users. This can be done by correlating the volume of transmitted data or by comparing the times at which packets are transmitted. For example, a user streaming a video exposes another pattern in terms of timing and traffic volume than someone browsing a website.
Атака дико старая. Тор уже ввёл фичеры для дополнительной защиты, например, частная смена нодов. Ещё, количество нодов > 1000, а это сводит все шансы к ~0
Атака дико старая. Тор уже ввёл фичеры для дополнительной защиты, например, частная смена нодов. Ещё, количество нодов > 1000, а это сводит все шансы к ~0
M
@mafiadev вижу в словах ненулевой уровень технической экспертизы.
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
Но, кажется, про атаку из FAQ tor не читал(и) — https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work
читал, но на момент ознакомления, перекрестную атаку(уместно же так называть?) произвели несколько стран ЕС в сотрудничестве, нам такое врятли светит