Pull to refresh

Comments 51

При этом предполагается, что абонент шлёт данные в tor-сеть только когда «постит комменты». А вообще говоря, нет, он передаёт трафик постоянно, выступая в качестве релея.
Большинство пользуются Tor Browser Bundle, я не уверен, что там включен relay по умолчанию. По крайней мере, при установке только сервера он не включен по умолчанию. Сейчас проверю, но в любом случае, связка из СОРМ-3 и логов веб-сайта может, как минимум, резко снизить круг поиска.
По этому давно считаю, что tor/i2p-software должно работать на отдельной vds'ке, а лучше dedicated в другой стране. А вот к ней уже можно подключаться любым удобным методом.
Проверил, Tor Browser Bundle не включает relay.

Держать tor-ноду на vds тоже нужно только в том случае, если знаешь, что делаешь. В некоторых случаях, это может быть менее безопасно, нежели локальная инсталляция.
Я с трудом себе представляю как можно хотя бы пытаться сохранить анонимость, не зная, что делаешь.
Удобным и безопасным методом, я бы поправил.
И как вы собираетесь оплачивать анонимную vds-ку?
Собственноручно намайненными биткоинами?
Можно продать за них что-нибудь, нафрилансить, насобирать донатов, например… :)
Можно по-другому: из под Tor открыть Яндекс.Кошелек (Webmoney на фейковые данные), пополнить его на 1000 рублей (вроде бы 1000 можно хранить\переводить без идентификации), через Tor купить с него виртуальную карту на plati.ru или другом ресурсе, а потом ей оплатить VPS. В мультикассах камер нет, насколько я понимаю.
Яндекс.Деньги забанили торовские ноды. Даже если камер нет в салоне, они есть рядом. Надёжнее использовать децентрализованные способы (локалкоинс).
Если речь про РФ, то на локалкоинс можно натолкнуться на оперативника, который тут же Вас примет. Ну или можно будет, я, к сожалению, не помню то ли они уже приняли закон об уголовной ответственности за коины, то ли только собираются. Плюс для этого метода нужно что бы человек, продающий коины был в Вашем городе, в моем вот ни одного нет. Варианты с онлайн обменом исключаю, т.к. платеж можно проследить (надавить на администраторов площадки, что бы они выдали данные, посмотреть с какого кошелька пришла оплата, получить данные о владельце кошелька), это не очень анонимный метод.

Но про камеры в салоне я как-то забыл. Хотя во всяких деревнях наверняка есть мультикассы рядом с которыми нет ни единой камеры.

Я, к сожалению, не знаю как устроен локалкоинс, поэтому у меня возник вопрос: допустим кто-то покупает за наличку коины на этой площадке у какого-то человека на новосозданный кошелек. Кто-то потом заинтересуется владельцем кошелька и увидит откуда на него поступила первая сумма. Можно ли вычислить человека который эту сумму перевел (через локалбиткоинс или как-то еще)?
Уголовки за владение биткоинами нет и не предвидится. Сомневаюсь, что оперативники станут притворяться продавцами биткоинов. У нас в городе возле каждой станции метро на полу нанесены предложения купить вещества с телефонами. Казалось бы: оперативник позвонил и арестовал продавца, однако таких объявлений из года в год всё больше. Раз они с такими вещами не в силах разобраться, то и биткоинами вряд ли станут заниматься.

Можно обменивать понемногу (по крайней мере сначала), взаимодействовать только со старыми агентами (появившимися на локалкоинс до того, как власти узнали о биткоинах).

Касательно отслеживания платежей. Безопасный способ покупки выглядит так:
Для покупателя процесс выглядит так:
  1. Сделайте предложение, ответив на одно из объявлений купить биткоины наличными, или создайте свое собственное объявление продать биткоины за наличные.
  2. Попросите продавца отправить нужную сумму биткоинов на временный адрес биткоин. Трейдеры с опытом делают это автоматически.
  3. Вы получите секретный код подтверждения транзакции. Запишите его и никому его не сообщайте.
  4. Встретьтесь с продавцом.
  5. Продавец должен показать вам код подтверждения транзакции — увидев его, вы можете быть уверены, что транзакция завершена, так как продавец не получает код, пока не отправит биткоины в ваш кошелек.


Для продавца:
  1. Получите предложение, если вы разместили объявление / сделайте предложение, если вы отвечаете на объявление.
  2. Обеспечьте транзакцию нужной суммой биткоинов, получите код отправки биткоинов и номер, запишите их в телефон.
  3. Встретьтесь с покупателем и получите наличные.
  4. Отправьте SMS для перечисления биткоинов или запустите транзакцию онлайн с помощью ноутбука.
  5. Обе стороны получат подтверждение по SMS (если они указали номера телефонов).
  6. Покупатель получит биткоины.
(источник)

Вывод: в localcoins будет храниться информация, кто кому и через какие кошельки платил.

Если важна анонимность биткоинов, надо воспользоваться сервисами чистки биткоинов уже после покупки.

Есть ещё универсальный способ: в оффлайне попросить незнакомого человека заплатить за вас за определенную плату. Требуется продвинутый навык общения с незнакомыми людьми (в частности найти такого, кто действительно положит деньги на счёт, а не просто заберет их себе) и базовое умение маскировать внешность (на случай, если этого человека отловят и попросят вас описать). Этот способ можно совмещать с другими (пополнение в салонах, банковские переводы, локалкоинс).
Не имеет смысл прятать свою vds'ку, потому что коннекты к ней будут идти через чистонет. Платить можно чем угодно (визой, например), важно, чтобы получатель находился не в той юрисдикции, что атакующий. Или, хотя бы, был с ним в натянутых отношениях. РФ-Европа/США хороший пример, США-Эквадор — хороший пример.

На самой vds'е поднимается tor/i2p и используется для дальнейших коннектов. Если нужно совсем анонимный сервер — paysafecard/ucash, дать отлежаться, чтобы видео в магазине протухло, потом через тот же tor заказывать. Проблема в том, что tor'овые ip'шники хостеры не любят и заказывать сервера не позволяют.
Яндекс.Деньги забанили торовские ноды. Мне кажется, надёжнее всего такая схема локалкоинс — биткоин — либерально настроенный провайдер, разрешающий тор и принимающий биткоин.
Кстати, тут есть кто-нибудь, кто работает в CSI? Мне бы zoom & enhance I2P-адрес из видео, чтобы его можно было разобрать.
Скриншот: i.imgur.com/wKJhiDX.png
Его и так можно разобрать. 24.227.173.108 (насчёт восьмёрки не уверен, возможен нуль). Или нужен не из консоли, а из браузера?
Да, нужен URL из браузера, а не IP-адрес.
Домен, по-моему, тот же, что и в админке справа: exodusintel2.i2p. А полный URL наверное можно получить, зайдя на сайт и поискав там эту страницу по ссылкам.
Нет такого «сайта». В I2P нет глобального DNS. На скриншоте открывают длинный b32-адрес, вот он и нужен.
Сомневаюсь, что этот конкурс составляли компетентные люди (звонок)


Я знаю как работают в МВД и могу абсолютно уверенно сообщить, что на звонки отвечает не тот человек, который составлял конкурс.
Кстати, в представленной записи звонка дяденька предложил написать «бумагу/запрос», что и нужно было сделать звонившему (если его действительно интересовал ответ). По телефону вам никто ни на что не ответит. Максимум что получится сделать — записаться на приём.
В закрытых конкурсах не скажут, а на обычной закупке можно много информации узнать. Обычно проще прямо спросить клиента готовы ли они работать по удаленке, чем тратить время на подготовку документации (хотя объективно на обычную закупку подготовить документы полчаса уходит).
Скриншот Snipe Attack — это же из великолепной стратегии Advance Wars!
А ТО! Я полчаса в гугле картинку искал, плюнул, нашел видео на ютубе и снял скриншот.
Насколько я понимаю, если трафик Tor завернуть в VPN рассмотренная атака (кстати, она несколько лет назад была описана в зарубежных источниках) не сработает?
Немного добавлю: СОРМ 2/3 не легирует P2P трафик, (точнее говоря он не логирует торрент трафик) но не всегда корректно можно определить что и где в потоке информации.
Что бы себя обезопасить — стоит поднимать VPN до нормальной страны и поверх можно пускать ТОР

Хотя, даже VPN будет достаточно, особенно если вы цепляетесь на свой хостинг который оформлен на вас, тк хостинг провайдер не имеет никакого права выдавать вас на основе филькиных удостоверений. А в свете последних событий, сомневаюсь что если даже будет отправлено постановление суда — страна что-то сделает. Скорее всего будут посылать.

PS Как-то давно узнавал у DigitalOcean — они заявили, что работают исключительно по законам USA и не будут отвечать на требования / законы которые отсутствуют в USA
В опечатке «легирование трафика» звучит что-то большее, чем опечатка. Привносимые присадки, изменяющие свойства трафика…
Однако получилось всё же очень тонко :) SSL тоннель это по сути и есть легирование трафика :)
они заявили, что работают исключительно по законам USA и не будут отвечать на требования / законы которые отсутствуют в USA

А что насчёт их серверов, которые расположены не на территории США?
Агитация: используйте VPN и ставьте tor relay!
Тут есть одна загвоздочка, а что, если кто-то будет делать что-то незаконное через твою exit node, а потом придут к тебе и доказывай, что не верблюд?
Казалось бы, причем тут exit node, когда речь о relay.
Пардоньте, туплю. Но все-таки, что делать тем, кто выступает в роли exit node? Не размещать exit node в этой стране?
Да почему, пусть размещают. Хотя, тут недавно одному австралийцу дали условный срок за то, что он держал у себя exit node. Обвинение строилось на том, что он знал, что от его IP могут совершать нехорошие вещи, поэтому расценивали как соучастие.
Согласитесь, какой странный аргумент. Его машину могли угнать и на ней задавить полицейского, значит он, когда её на улице оставлял, являлся соучастником.
Соучастником он стал, когда оставил ключи в замке машины, открыл дверь, постелил ковровую дорожку и поставил табличку «Welcome!».
Не предлагаю размещать exit node.
Хотя, если у вас есть доступ куда-то, допустим по работе — почему бы и нет.
Звонок по ссылке бредовый, ответивший сказал всё правильно.
Представьте, что вы потеряли ключ от квартиры и собираетесь сменить замок, для чего запрашиваете цены у пары известных городских фирм. После этого вам звонит мутный тип и спрашивает, зачем вы ищете мастера по замкам.
Вы бы стали отвечать?
UFO just landed and posted this here
Разработчикам, как правило, сообщают сразу, а всем остальным — что бы не помогать плохим взломщикам — говорят только через некоторое время (как правило после исправления)
Так делают в основном сферические кони в вакууме.
Ну во всех новостях я вижу «Мы сообщили разработчикам 10 лет назад, но они забили болт и потому мы говорим Вам», ну или что-то в этом роде.
В новостях — да. Не все пишут новости, не так ли?
В теории — да. На практике сопоставить это достаточно сложно ввиду некоторых особенностей.
Only those users with full accounts are able to leave comments. Log in, please.