Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 18
Хотелось бы сказать что-нибудь умное про приватность, и про то что за Tor — будущее… Но пока там не будет достаточного контента, там не будет и людей, а пока нет людей — нет и контента. ИМХО, единственное использование Tor которое реально имеет смысл и при этом сохраняет приватность — проброс канала между локальным компьютером и собственной выходной нодой где-нибудь в Нидерландах. В остальных случаях либо мы получаем сеть, заполненную обсуждениями самого Tor'а, либо выходную ноду, которая читает наши сообщения.
Но ведь это лишь иллюзия приватности.
Скажем так, полноценной приватности не существует. Поэтому традиционное определение защищённой системы/информации/etc — это система, затраты на взлом которой превышают предполагаемую выгоду. Для меня это действительно приватное соединение — никто не знает какая конкретно выходная нода в Нидерландах — моя, соединение через Tor относительно безопасно, так что явных огрехов нет. Разумеется, стоит учитывать возможность того, что когда я вбивал адрес выходной ноды в Tor её запомнил кейлогер и передал «куда следует». Но следить за всеми невыгодно, а я лично не представляю такого большого интереса, чтобы стараться отслеживать конкретно меня.
P.S. Просто ради интереса — в каком месте эта цепочка ненадёжна? Возможно, мне следует её улучшить.
P.S. Просто ради интереса — в каком месте эта цепочка ненадёжна? Возможно, мне следует её улучшить.
en.wikipedia.org/wiki/Tor_%28anonymity_network%29#Weaknesses
Уже давно разработаны сети с принципиально другим уровнем безопасности — I2P, в частности.
Движуха вокруг Тора лично мне кажется нездоровой. Больше похоже на то, что спецслужбы давно установили контроль над тором и теперь рекламируют его безопасное место.
Уже давно разработаны сети с принципиально другим уровнем безопасности — I2P, в частности.
Движуха вокруг Тора лично мне кажется нездоровой. Больше похоже на то, что спецслужбы давно установили контроль над тором и теперь рекламируют его безопасное место.
I2P имеет, в частности, другой уровень скорости — намного медленнее — и другие задачи — траффик через неё в интернет пускать не предполагается.
Все реальные уязвимости по ссылке предполагают либо что я использую ненадёжную выходную ноду, либо что я пользуюсь сайтами внутри сети. В моём случае ни того, ни другого не происходит.
Все реальные уязвимости по ссылке предполагают либо что я использую ненадёжную выходную ноду, либо что я пользуюсь сайтами внутри сети. В моём случае ни того, ни другого не происходит.
Не волнуйтесь, в i2p свои уязвимости, просто на них всем плевать, кроме работников спецслужб, разрабов и редких энтузиастов вроде orignal. Где-то читал, что одна из причин уязвимости этих сетей в том, что они не интересны криптографам, так как для них нельзя сделать доказательство безопасности.
Вернее не то чтобы нельзя, просто документации в виде научной статьи нет, а копаться в чужом коде и разбираться (то есть проводить реверс инжиниринг кода в статью, которую по-хорошему следовало предоставить и обновлять разрабам), что же там хотел сделать автор и зачем нужна эта строчка мало кому хочется.
А я вот где-то читал, что разрабы i2p более десятка тысяч евро на аудит безопасности кода потратили. А еще одна бабушка сказала, что в i2p годами существуют всякие нелегальные сайты по одним и тем же адресам. С немаленькой посещаемостью, между прочим.
конкретно я читал это тут
А нелегальные сайты в айтупи существуют потому, что в торе пользователей на порядки больше, и поэтому айтупи пока не трогают, а тронут тогда, когда число пользователей станет сравнимо.
А откуда информация про аудит? Где можно ознакомиться с результатами? И вообще, где нормальный актуальный whitepaper по i2p?
А нелегальные сайты в айтупи существуют потому, что в торе пользователей на порядки больше, и поэтому айтупи пока не трогают, а тронут тогда, когда число пользователей станет сравнимо.
А откуда информация про аудит? Где можно ознакомиться с результатами? И вообще, где нормальный актуальный whitepaper по i2p?
> либо мы получаем сеть, заполненную обсуждениями самого
У вас, мягко говоря, неполное представление о ресурсах представленных в зоне .onion.
> либо выходную ноду, которая читает наши сообщения
Для этого придумали шифрование.
У вас, мягко говоря, неполное представление о ресурсах представленных в зоне .onion.
> либо выходную ноду, которая читает наши сообщения
Для этого придумали шифрование.
А можно как то сделать «приватную» выходную ноду?
Поднять на своем серваке, но не пускать наружу через нее никого кроме себя.
(Чтоб ip не побанили как это обычно происходит с ip выходных нод тора)
Поднять на своем серваке, но не пускать наружу через нее никого кроме себя.
(Чтоб ip не побанили как это обычно происходит с ip выходных нод тора)
Смысл, если для подобного существует OpenVPN или хотя бы SSH-туннель…
Не думаю, что это возможно. Моя выходная нода общедоступна.
Можно поднять на своем сервере tor hidden service с OpenVPN, например. Или свой прокси.
Это дает плюс еще и в том, что через такую конструкцию даже UDP ходить будет.
Но уровень анонимности это уменьшает — можно отследить корелляцию активности между этим сервером и вашим личным компьютером. Безопасность от перехвата недобросовестным владельцем exit node выше, но анонимность — ниже.
Кроме того, нужно еще тогда заботиться чтобы этот «свой сервер» нельзя было связать с его владельцем. Иначе все упрощается — целью атаки будет являться этот сервер, и получение контроля над ним (или его трафиком) полностью и деанонимизирует владельца, и позволяет втихую перехватывать трафик.
С точки зрения анонимности тот факт, что запросы идут через разные exit node — большой плюс. А пользоваться нешифрованными соединениями через tor просто нельзя (а тем кто думает о безопасности — и через публичный интернет не стоит).
Это дает плюс еще и в том, что через такую конструкцию даже UDP ходить будет.
Но уровень анонимности это уменьшает — можно отследить корелляцию активности между этим сервером и вашим личным компьютером. Безопасность от перехвата недобросовестным владельцем exit node выше, но анонимность — ниже.
Кроме того, нужно еще тогда заботиться чтобы этот «свой сервер» нельзя было связать с его владельцем. Иначе все упрощается — целью атаки будет являться этот сервер, и получение контроля над ним (или его трафиком) полностью и деанонимизирует владельца, и позволяет втихую перехватывать трафик.
С точки зрения анонимности тот факт, что запросы идут через разные exit node — большой плюс. А пользоваться нешифрованными соединениями через tor просто нельзя (а тем кто думает о безопасности — и через публичный интернет не стоит).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Mozilla запустила 12 промежуточных узлов Tor, использовав свои серверы