Tor для всех: если заблокируют сайт torproject

    Что делать, если у вас в стране запретили Тор, и заблокировали все ссылки, ведущие на проект torproject? Где скачать Tor-браузер человеку, совершенно не разбирающемуся в IT? На этот случай сообщество, развивающее эту сеть, предлагает сервис GetTor Robot. Это почтовый робот, который в ответ на мейл-запрос присылает ссылки на облачные файловые хранилища с дистрибутивом браузера.


    Сейчас проект находится, как я понял, в стадии тестирования – на заглавной странице всех TOR-проектов ссылки на него нет, искать надо через гугл. Судя по описанию, пользоваться им просто: присылаешь на мейл gettor@torproject.org письмо, в теле письма указываешь под какую ОС тебе нужен браузер. В ответ приходит ссылка на dropbox, скоро добавят также ссылку на github. Скачиваешь, устанавливаешь, пользуешься.

    Но на деле всё оказалось не так просто. Решив протестировать этот сервис, я зашел в свой секретный ящик на protonmail (не в открытую же писать, что хочу скачать запрещенный браузер), отправил письмо-запрос, и… получил в ответ:
    Ответ робота
    Thank you for your request. I am here to help you download the latest
    Tor Browser.

    Please reply to this message with one of the options below:

    windows
    linux
    osx

    And I will send you the download instructions quickly.

    Tip: Just send a blank reply to this message if you are not sure.

    Сколько я не бился, все остальные ответы копировали этот, один в один — никаких ссылкок не пришло. Немного поэкспериментировав, я понял, в чём состоял баг этого сервиса: для того, чтобы тебе пришла ссылка, тело письма должно либо быть пустым, либо содержать одно слово-запрос. Но protonmail всегда оборачивает текст письма в html, даже если это пустая строка. GetTor такие обёртки не понимает — так что, получить через секретный мейл секретный браузер никак не получится!

    То же относится и к почте mail.ru. И только на gmail письмо со ссылками пришло, браузер скачался. В письме также приводятся контрольные суммы, для проверки целостности дистрибутива. Правда, файл незатейливо называется torbrowser-install, что как бы дает простой вариант будущей блокировки. Да и облачные хранилища не всегда бывают открыты, даже github иногда блокируют, и не только в Китае.

    В общем, идея интересная – а насколько она будет востребована, покажет время.
    Поделиться публикацией

    Комментарии 33

      +6
      Непонятно одно, почему нельзя прислать сразу 3 ссылки?
      И почему бы не присылать в дополнении magnet ссылку.
        0
        Сразу три — пришлёт, если оставить поле письма пустым.
        magnet-ссылка это, конечно, хорошо в смысле доступности файла — но анонимность нарушается, всем становится известен твой IP-адрес (если я правильно понимаю технологию)

        А вообще, можно им предложить, про magnet-ссылку. Идея хорошая!
          +2
          Сразу три — пришлёт, елси оставить поле письма пустым.
          Я вообще не понимаю зачем придумано получение ссылки для конкретной ОС. Если бы слали не смотря на текст письма всегда один ответ с 3мя ссылками то никаких проблем с HTML не HMTL не было вообще, люди бы всегда получали ссылку.
          Сразу три — пришлёт, если оставить поле письма пустым.

          Если я правильно понимаю то только тем с кого качаешь(при безтрекерной раздаче). Насколько это более опасно чем качание по ссылке с DropBox вопрос сложный.
            0
            И к тому же людям не пришлось бы посылать письмо дважды. А робот, соответственно, получает двойную нагрузку/трафик из-за разбиения на два шага.
            0
            анонимность нарушается, всем становится известен твой IP-адрес

            И что? Разве это позволит установить, какой пользователь какие действия совершил через Tor?
              0
              Это позволит обвинить в мыслепреступлении попытке скачать Tor.
              По вводной в стране запрещено скачивать tor :)
          +1
          Очень пара проблем для параноиков:

          1) Если будет заблокирован домен torproject.org, дойдет ли письмо?
          2) Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.
          3) Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?
            0
            Если будет заблокирован домен torproject.org, дойдет ли письмо?

            Да, конечно. Я послал запрос через gmail.com, и с сервером torproject.org общался уже gamail.

            Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.

            Поэтому я и пытался запросить через protonmail — у них двойное шифрование, и ключ на сервере не хранится.

            Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?

            Общаться через тот же protonmail, или на кр. случай gmail. Злоумышленник не может массово подменять письма на зарубежном хосте. Защита от подмены самого файла на облачном хранилище — ещё проще, в письме присылают хеш-суммы.
            –20
            Если в стране запретили Tor, то, наверное, не стоит глупить и использовать его ;)
              +12
              Правильно, в стране нужно использовать первый канал. Главное не забыть получить справку о потреблении его контента, иначе в скором времени без нее могут не дать продуктов питания в магазине ;)
                +1
                А веревку с собой приносить или профком обеспечит?
                  +1
                  Даже рискуя кармой, настоятельно прошу всех вспомнить: Хабр — не для политики!

                  Просьба дальнейшее обсуждение ситуации, не касающееся IT, перенести в личку.
                    +2
                    Современные российские (и не только) реалии таковы, что политика так или иначе касается чуть ли не любой сферы жизни…
                +6
                Запрет может быть техническим (заблокировали сайты, режут трафик), а может быть законодательным (штрафы и посадки, если докажут). В первом случае глупо не использовать, если знания позволяют.
                  0
                  Мне кажется, что скоро начнут законодательно с ответственностью запрещать пользоваться запрещенными интернет-ресурсами. Почему-то все к этому и идет.
                    0
                    Ничего, выкрутимся.
                    Помнится, в нашей стране в советские годы запрещали «каратэ», причем с конкретными посадками. Но от этого оно ещё более популярным стало. Помнится я ходил в «Дом пионеров» на секцию на каратэ под видом самбо. Антураж «подпольности» доставлял немало )
                0
                Проще завести друга за рубежом и иметь с ним несколько различных средств связи. Он то найдет способ передать средства обхода блокировок.
                Ну а ещё лучше, конечно, добиться их отмены, но это трудный и долгий путь.
                  +3
                  Спасибо, интересно. Для Казахстана актуально, как раз www.torproject.org запрещён.
                    0
                    Интересная информация, не знал! У вас вообще tor в любом виде запрещен, или только сайт?

                    Вообще, интересно было бы узнать, как там у вас обстоят дела с запретами. А то я всё больше про россию знаю, и про Китай. Про Казахстан вообще впервые слышу, что там что-то запрещено.
                      +1
                      Всё нижеописанное про Казактелеком, крупнейший провайдер.

                      TOR как таковой работает. Слышал, что были попытки его закрыть методом DPI, но чем они закончились — не знаю, в итоге TOR работает. Сайт тора не работает. Помимо этого закрыты все крупные порносайты. livejournal закрыт по политическим мотивам (там вроде бы ведёт блог опальный Рахат Алиев). Закрыты популярные анонимайзеры и, вроде бы, некоторые впны. Одно время был закрыт w3.org из-за его валидатора, который, видимо, можно использовать как анонимайзер. Раньше были проблемы с гугловыми сервисами — пытались банить серверы, обслуживающие кеш (сохранённая копия) в Google-поиске и мимоходом накрывали другие гугловые сервисы, то файлы в gmail не скачивались, то шрифты с google fonts не грузились то ещё что-нибудь. Сейчас вроде перестали. Закрыты и некоторые сайты, списка я не видел и не уверен, что он есть в открытом доступе. Суд постановил — провайдер выполнил, как-то так.

                      Лично я пользуюсь VPN-ом до своего VPS-сервера в Европе, на уровне DPI вроде никто ничего не блокирует, только на уровне IP.

                      У нас есть другие провайдеры, говорят, что у них всё работает, подтвердить или опровергнуть не могу.
                  +3
                  А еще хорошо бы, чтоб они опубликовали свой gpg ключ публичный, чтоб можно было писать запрос, не используя всякие сомнительные фикции типа protonmail.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      1) Централизация
                      2) Шифрованиее, которое хоть и на клиенте, но каждый раз забирается с сервера, что позволит убрать это шифрование выборочно для любого пользователя в любой момент по желанию разработчиков.
                      3) Невозможность отправить шифрованное письмо за пределы protonmail. Отправка ссылки на зашифрованный контент не есть передача это контента.

                      1+2+3==пшик вместо серьезной приватности, особенно учитывая, что средства ассиметричной криптографии существуют больше 10 лет.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          1) И всё. Возможность как сделать разрабам предложение, от которого нельзя отказаться, так и просто вынести целиком сервис. А в большом и жестоком мире кроме ура-шифрования у средства связи, чтобы не быть «фикцией» есть еще понятие надежности этого средства связи.
                          2) Мыслите чуть шире. Шифрование уберут для текущих сообщений. Для остального ящика просто передадут реквизиты для дешифрования (явки, пароли, ключи).
                          3) А как вы планируете ВСЕХ возможных контрагентов, которым может понадобиться написать что-то шифрованное затащить в протонмейл? А что Вы будете делать, если из-за п.1, его таки вынесут?
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Вы спросили почему я называю этот сервис «фикцией»? Я ответил. Потому что он не предоставляет ни общей надежности, ни надежности шифрования аналогичной существующим (и много лет существующим) сервисам (email+gpg, xmpp+otr etc ). Сервис этот был создал на волне метаний хомячком после «откровений» Сноудена и закрытия лавабит. Если вы пофигист, то можете хоть в личке вконтактике переписываться — разницы с протонмейл минимум. Только тогда зачем Вам вообще шифрование?
                              • НЛО прилетело и опубликовало эту надпись здесь
                      +3
                      J_o_k_e_R, посмотрел ваш профиль, впечатлился. Стал лучше понимать вашу позицию.
                        0
                        А лучше принимали публичный gpg ключ отправителя, шифровали им бинарник и отправляли на ту же почту.
                        0
                        Этот способ запретить tor обходится на ура, да.
                        Но ведь могут запретить tor по-умному — путём блокирования всех активных ip-адресов узлов, как это делают некоторые сайты, например avito.
                          0
                          Это всё равно, что запретить все прокси.
                          Теоретически можно, но с ростом сети буду появляться всё больше активных узлов, все не запретишь. Например, я в скором времени собираюсь открыть такой узел у себя.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое