Use tor the right way.

[Guest]

Hello, I will explain how to use the Tor network to remain anonymous. All you need is a reliable VPN. If possible, I recommend establishing your own OpenVPN configuration on your server otherwise, Mullvad would suffice. First, download and install the Tor Browser. Once installed, browse to Tor Browser\Browser\TorBrowser\Data\Tor\ and add the following line below to the torrc file.

ExcludeExitNodes {us},{gb},{ca},{au},{nz},{be},{dk},{fr},{de},{it},{nl},{no},{es},{se},{au},{in},{il},{tw},{??},{al},{tr},{cz},{gr},{hu},{is},{lv},{lt},{lu},{pl},{pt},{ro},{sk},{si},{bg},{hr},{ee},{mk},{me},{rs},{ba},{gl},{md},{uk},{cy},{mt},{ge}

Adding that line to the torrc file instructs Tor to exclude all exit nodes belonging to NATO nations. Now we must select our bridge. Open Tor and navigate to about:preferences#connection, then select a Built-In Bridge, which is the obfs4 bridge. Now we are ready to connect to Tor.

Now we will download software called Proxifier, which will allow us to route our entire computer over the Tor network. Download and install Proxifier the license key's will be provided down below.

Portable Edition: L6Z8A-XY2J4-BTZ3P-ZZ7DF-A2Q9C
Standard Edition: 5EZ8G-C3WL5-B56YG-SCXM9-6QZAP
OSX Hosts: P427L-9Y552-5433E-8DSR3-58Z68

After adding the license key, go to Proxy Servers. Set the IP address to 127.0.0.1, port number to 9150, and protocol to SOCKS Version 5. After that, click Okay and then browse to rules, where you can add our new rule by clicking Add.. You can change the name to Tor, and the action must be set to your Tor proxy.

In order to prevent undesirable Microsoft processes from connecting to Tor with us, we will now create a new rule. We'll return to Rules > Add.. and change the name to Block there. We'll copy and paste the following line into the Applications text field and set the action to block.

svchost.exe; smartscreen.exe; searchhost.exe; widgets.exe; systemsettings.exe; cmd.exe; msedgewebview2.exe; wefault.exe

That is only a common list of Microsoft processes that likes to connect with us there are many more, so make sure to stop them as you see them. Now, this approach will greatly slow down everything you do, but it is best practice. You can now connect to your RDP and get to work.

Happy hunting

 

[Error403]

ExcludeExitNodes {us},{gb},{ca},{au},{nz},{be},{dk},{fr},{de},{it},{nl},{no},{es},{se},{au},{in},{il},{tw},{??},{al},{tr},{cz},{gr},{hu},{is},{lv},{lt},{lu},{pl},{pt},{ro},{sk},{si},{bg},{hr},{ee},{mk},{me},{rs},{ba},{gl},{md},{uk},{cy},{mt},{ge}

Хах, да с таким кол-вом исключаемых нод, страшно представить сколько будет идти подключение и какая будет пропускная способность
Максимум, имеет смысл прописать ExcludeExitNodes {ua}, {by}, {ru}, {us}
Чтобы из основных СНГ и Америки исключить ноды

 

[rwxrwx]

ExcludeExitNodes {us},{gb},{ca},{au},{nz},{be},{dk},{fr},{de},{it},{nl},{no},{es},{se},{au},{in},{il},{tw},{??},{al},{tr},{cz},{gr},{hu},{is},{lv},{lt},{lu},{pl},{pt},{ro},{sk},{si},{bg},{hr},{ee},{mk},{me},{rs},{ba},{gl},{md},{uk},{cy},{mt},{ge}

Хах, да с таким кол-вом исключаемых нод, страшно представить сколько будет идти подключение и какая будет пропускная способность
Максимум, имеет смысл прописать ExcludeExitNodes {ua}, {by}, {ru}, {us}
Чтобы из основных СНГ и Америки исключить ноды

You would be comfortable to work with that small excluded nodes list? Also, why exclude by+ru?

 

[man514lo]

the point is to fit in the mass not be unique i guess

 

[Error403]

You would be comfortable to work with that small excluded nodes list? Also, why exclude by+ru?

Что значит "комфортно" ? Вам комфортнее работать когда у вас одно лишь подключение к тору идет минут 10 ?
Что касается второго вашего вопроса, я исключил США в первую очередь (не забываем, что в США есть офис типов цель которых сдеанонить каждый узел тора), а рф, укр, и рб я исключил т.к. это три основные СНГ страны максимально занятые набутыливанием типов с даркнета) + не забывайте что именно в этих четырех странах силовики очень любят поднимать свои тор ноды, и продолжать набутыливание)

the point is to fit in the mass not be unique i guess

Знатно поржал

 

[ZeroCorp]

the point is to fit in the mass not be unique i guess

The first thing you should do is stop using Windows if you really want to take it seriously because there's too much telemetry in the background connecting to a thousand different things every second. Find a lightweight Linux distribution and modify it to your liking. I wouldn't exclude exit relays or change the default tor configuration, that's something that can make you "stand out" from the rest of the network, but that's just my opinion, do what you want.


Первое, что вы должны сделать, это прекратить использовать Windows, если вы действительно хотите отнестись к этому серьезно, потому что в фоновом режиме слишком много телеметрии, подключающейся к тысяче различных вещей каждую секунду. Найдите облегченный дистрибутив Linux и модифицируйте его по своему вкусу. Я бы не стал исключать выходные узлы или менять конфигурацию tor по умолчанию, это то, что может заставить вас «выделиться» из остальной сети, но это только мое мнение, делайте, что хотите.

 

[rwxrwx]

Что значит "комфортно" ? Вам комфортнее работать когда у вас одно лишь подключение к тору идет минут 10 ?
Что касается второго вашего вопроса, я исключил США в первую очередь (не забываем, что в США есть офис типов цель которых сдеанонить каждый узел тора), а рф, укр, и рб я исключил т.к. это три основные СНГ страны максимально занятые набутыливанием типов с даркнета) + не забывайте что именно в этих четырех странах силовики очень любят поднимать свои тор ноды, и продолжать набутыливание)

Знатно поржал

Yes I know Tor can be slow especially if you let only few countries to work with, would be nice to add LOT of extra nodes worldwide under some privacy laws where this word has a signification (Iceland, Switzerland, Sweden...) I believe there should be more alternatives to Tor where his headquarter is sitting in US Massachusetts.

 

[bratva]

I can be wrong but the less percentage of exit-nodes you use - the more easy is to distinguish your traffic flows, to put classifiers and identify pattern because the work of investigator will be first to establish your traffic session and then your ISP. As far as I understand, typical attack starts with website fingerprinting - intercepting traffic between client and guard-node, I suppose that with such systems as "Augury" (ex-Pure Signal RECON) by Cymru - such recommendation as to exlude maximum of exit-nodes - to find your particular traffic-session will be a piece of cake. It is called - "flow correlation attack" - matching a given flow entering the Tor network with another exiting it, deanonymizing the IP addresses of the communicating endpoints. Also, read more about DeepCorr and DeepCoFFEa (I need to do it too, lol).

ТС дает вам крайне странную рекомендацию - значительно исключить количество выходящих тор-нод, что позволит упростить идентификацию вашего конкретного трафика - с помощью классификаторов и выявления закономерностей на разных уровнях маршрутов Тора, т.е. работа ментов будет - сначала установить сессию вашего трафика, а затем интернет-провайдера с ней. Как я понимаю, типичная аттака начинается с "снятия отпечатков с вебсайта" - это название техники, которая начинается с перехвата трафика между клиентом и "сторожевым узлом" (guard-node), есть такие системы как "Augury" (раньше назывались Pure Signal RECON) от Cymru, которые заточены под анализ провайдерских потоков трафика (и по слухам - иногда без ведома самих провайдеров). Т.е. вы исключаете выходные ноды,делаете их количество минимальным и найти вашу сессию трафика становится значительно проще. Такие атаки носят название "атака корреляции потока" - т.е. сопоставление конкретного потока, входящего в сеть Tor, с выходящим потоком из нее - с деанонимизацией IP-адресов взаимодействующих конечных точек. Есть готовые решения - DeepCorr и DeepCoFFEa, о которых стоит почитать побольше (в том числе и мне, лол).

 

[Dread Pirate Roberts]

(и по слухам - иногда без ведома самих провайдеров)

я уже давно подозреваю, что во всём сетевом оборудовании сложнее DIR-300 есть универсальный бэкдор для американского товарища майора https://xss.pro/threads/96722/post-678548

 

[ValeraSnowdrop]

Augury

Revealed: US Military Bought Mass Monitoring Tool That Includes Internet Browsing, Email Data

The “Augury” platform includes highly sensitive network data that Team Cymru, a private company, is selling to the military. “It’s everything. There’s nothing else to capture except the smell of electricity,” one cybersecurity expert said.

www.vice.com

Augury is the visibility into 93% of internet traffic

Tor Project Moves Away from Infrastructure Ran by Internet Monitoring Firm

After Motherboard announced Team Cymru sold internet monitoring tools to the U.S. military, the Tor Project announced it would stop using infrastructure donated by the company.

www.vice.com

Team Cymru’s CEO Rob Thomas was also on the board of the Tor Project, something which Motherboard pointed to in its reporting. He left on August 4, 2022

Whistleblower: Pentagon Purchased Mass Surveillance Tool Collecting Americans' Web Browsing Data

Sen. Ron Wyden urged inspectors general at three departments to investigate the military's purchases of large swaths of data.

gizmodo.com

Team Cymru, the Florida-based cybersecurity firm behind the tool, claims its product provides customers with a “super majority of all activity on the internet” and “visibility” into more than 90% of internet traffic.

run queries against virtually any IP to pull the netflows to and from that IP over a given point in time.

Бля да ну нахуй. Тут уже никакой тор с впнами не спасет мне кажется
По данным они собирают:

 

[bratva]

ValeraSnowdrop​

Молодец, мне лень было это все выкладывать. Почитай побольше про то, что Cymru делают, где участвуют и в какой мере спонсировали сеть Тора и как Все это конечно пугает, потому что информация вроде как есть, но ее никто не замечает. Зато сколько визга было по РКН или ТСПУ

 

[Dread Pirate Roberts]

run queries against virtually any IP to pull the netflows to and from that IP over a given point in time.

 

[r_as]

Почитай побольше про то, что Cymru делают, где участвуют и в какой мере спонсировали сеть Тора и как Все это конечно пугает, потому что информация вроде как есть, но ее никто не замечает

Надеяться только лишь на Тор как на единственный способ анонимизации не лучшая идея. Не то что бы рекомендация, но как вариант хотя бы цепочку Тор-ВПН-Тор использовать нужно

 

[bratva]

Надеяться только лишь на Тор как на единственный способ анонимизации не лучшая идея. Не то что бы рекомендация, но как вариант хотя бы цепочку Тор-ВПН-Тор использовать нужно

Тоже с оговорками правда: когда с помощью DHCP Option 121 можно въебать вас через ВПН. Поэтому некоторые люди советуют использовать Тор "чисто" (в нашем деле - через дедик с WireGuard). Правда рано или поздно опять подходим к вопросу "физического разрыва" трафика, жалко, что darkcoder_io покинул нас, а его кибердед не такой разговорчивый. Здравые идеи на этот счет у него были.

Я не согласен с Пиратом, что все попытки выстроить и адаптировать ОпСек обречены на провал, просто одной "волшебной таблеткой" ничего не решается. Тем более сейчас - в 2024. Поэтому любой "простой совет" - нужно воспринимать с осторожностью. Например, за время всего обсуждения ТС даже здесь не появился.

 

[ValeraSnowdrop]

Почитай побольше про то, что Cymru делают, где участвуют и в какой мере спонсировали сеть Тора

Поискал по кейвордам, нашел несколько интересных моментов

1. В одном из отзывов о компании, на стороннем сайте, человек написал что на собеседовании у него спрашивали за layer 2/3 OSI. Что может говорить нам о том что анализ траффика они проводят не на 4/7 уровне OSI, как это обычно бывает. Цитата:

Interview process was three steps. First call is the screening call, I was lucky and got paired with a gentlemen who was working there for over two decades. He understood my background and found it a good fit. The second part of the interview was panel styled. They were asking about company product knowledge (please take your time to go through their offerings and do research, they asked me networking based questions that I wasn’t quite ready for. The interview was more akin to a technical account manager and focused heavily on networking technologies layer 2/3. Didn’t get to a third round. I think the panel was a bit inexperienced with interviewing. In my experience it’s a back and forth information exchange while this felt like a jeopardy game with 0 prep.

2. Нашел pdf-ку, которая является по сути NDA. Там написано следующее:

Source: https://www.dlt.com/sites/default/files/documents/2021-11/Team-Cymru-EULA.pdf

3. Сугубо мое предположение, но после ресерча сложилось впечатление что весь анализ у них происходит через DNS. Сильно в тонкости не вникал, но нашел доклад от одного из работников Team Cymru с вот такой статьей: https://www.menog.org/presentations/menog-6-7-8-9/menog7-dnsops.pdf. В конце статьи есть PoC реализация такой системы: https://www.enyo.de/fw/software/dnslogger/#3.

4. Еще нарулил статейку где чел поднимает honeypot и на него сбегаются боты Team Cymru. Так же он там рассуждает об уязвимостях тор и связи с "Tor" и "Team Cymru". htps://www.hackerfactor.com/blog/index.php?/archives/776-A-little-honey-goes-a-long-way.html

Например, есть исследовательская организация под названием Team Cymru . Согласно их веб-странице, "Мы - группа технологов, увлеченных повышением безопасности Интернета и преданных этой цели". и "Команда Cymru была сформирована в 1998 году Робом Томасом как аналитический центр по безопасности, изучающий, "кто и почему" занимается вредоносной деятельностью в Интернете". Проект Tor идентифицирует Роба Томаса как одного из членов их совета директоров. (В его профиле LinkedIn говорится, что он входил в совет директоров с апреля 2011 по июль 2016 года.) Это означает, что между этой исследовательской организацией и Tor существуют очень тесные отношения.

Выводы делайте сами. Добра.

 

[r_as]

Тоже с оговорками правда: когда с помощью DHCP Option 121 можно въебать вас через ВПН.

конечно, согласен
живем мы в такое время что и с помощью неизвестной вам уязвимости или зеро-дея отжарить можно любого юзера

 

[bratva]

ValeraSnowdrop

Посмотри еще эти ссылки по теме:

How Data Brokers Sell Access to the Backbone of the Internet

ISPs are quietly distributing "netflow" data that can, among other things, trace traffic through VPNs.

www.vice.com

Here is the FBI’s Contract to Buy Mass Internet Data

The FBI previously purchased access to "netflow" data, which a company called Team Cymru obtains from ISPs. Team Cymru then sells it to the government.

www.vice.com

U.S. Counterintel Buys Access to the Backbone of the Internet to Hunt Foreign Hackers

Getting information from the NSA would take too long, according to internal documents from a counterintelligence agency. So it turned to Team Cymru to buy netflow data that can allow analysts to track activity through virtual private networks.

www.404media.co

https://sam.gov/opp/96b4874e76af45be90bb5a0b8b2bdb6b/view (через Тор открывается)

 

[SGL]

You can make all the modifications you want to the TOR configuration but, if you use it on Windows, they won't do you much good.

 

[ValeraSnowdrop]

ValeraSnowdrop

Посмотри еще эти ссылки по теме:

How Data Brokers Sell Access to the Backbone of the Internet

ISPs are quietly distributing "netflow" data that can, among other things, trace traffic through VPNs.

www.vice.com

Here is the FBI’s Contract to Buy Mass Internet Data

The FBI previously purchased access to "netflow" data, which a company called Team Cymru obtains from ISPs. Team Cymru then sells it to the government.

www.vice.com

U.S. Counterintel Buys Access to the Backbone of the Internet to Hunt Foreign Hackers

Getting information from the NSA would take too long, according to internal documents from a counterintelligence agency. So it turned to Team Cymru to buy netflow data that can allow analysts to track activity through virtual private networks.

www.404media.co

https://sam.gov/opp/96b4874e76af45be90bb5a0b8b2bdb6b/view (через Тор открывается)

Прочитал все. Я думаю на этом можно закрыть вопрос анонимности tor'a и цепочек впнов/прокси. В списке госзакупок подписка на Auguru. Если логируется сам факт соединения узла A с узлом B. То в смене протокола тоже нет смысла, используй ты tor, vpn, различные overlay/mesh сети, все бестолку.

Смотрим в сторону аппаратного решения для рарзрыва цепочки.

 

[verb0]

По оппосту: ограничение узлов = уникализация своего трафика, винда - гг, маршрутизировать траф без виртуализации в той же системе где ты ожидаешь пейлоад (например эскейп браузерного сандбокса) - не надо, есть же хуникс давно; в общем человек в своём опсеке опоздал на 10 лет, добавить нечего к сказанному выше.

Но в свете корреляций входа-выхода (вообще, тор добавляет задержки в поток для усложнения корреляции, кроме этого на гард-ноду идёт траф сразу для многих потоков а экзит-ноды разные для разных доменов) возникает вопрос: что нам даёт большую анонимность, быть неуникальным или же пользоваться только провайдерами с минимальной вероятностью следящей-коррелирующей закладки? А ещё можно быть неуникальным + использовать провайдера с закладкой в инфре, при этом достоверно знать об этом нельзя, а достоверно знать о своей неуникальности на уровне конфига - можно.
Исключать экзит-ноды вообще немного смысла т.к. траф скорее пойдёт хоть и не ИЗ логгирующего-провайдера (что не факт!), но скорее всего НА такой провайдер т.к. клаудфлейр, cdnы, онион-сайты которые не исключали в конфиге четырнадцатиглазые nsa-pilled ноды тора как это сделал ты, и всё вот это.

Если бы я был государственным актором с анлимит бюджетом и хотел похекать тор, то скорее всего это был бы переписанный клиент тора, который бы сохранял данные о том поток какого клиента передаётся на какую ноду, и если все\многие ноды в цепочке наши то мы знаем карту потоков, и имея доступ к содержимому потока (через контроль бэкенда к примеру жаб сервера или форума, или через контроль клиента п2п мессенджера) либо зная ипшник, доступ к которому 100% идентифицирует %резидентный_ипшник% как %юзернейм_на_хсс% (сервер куда коннектитесь только вы и о котором упоминали в переписке которая каким-то образом оказалась у НИХ, к примеру) - появляется возможность произвести корреляцию, если пропорция таких нод достаточно высока, а в торе постоянно кто-то контролирует очень значимую часть нод, даже не скрывая этого, кому такое интересно, те исследования уже читали.

Если логируется сам факт соединения узла A с узлом B.

Просто по факту соединения ты не можешь скоррелировать коннекты на выходе и на входе, тебе нужно либо совпадение по таймингу (что в рамках отслеживания только-лишь тор-сети невозможно т.к. коннектов слишком много каждую секунду + у тора есть делей) - либо по весу, что уже более реально, правда тор добавляет паддинги - https://spec.torproject.org/padding-spec/circuit-level-padding.html - но эти паддинги работают не чтобы сделать коннекты с разными весами передающейся инфы похожими, а чтобы сделать похожими коннекты разного типа, что тоже хорошо но лишь часть нужных мер. В итоге, если вес твоего запроса уникален среди запросов из\в тех же нод в то же время - для global observer корреляция возможна. Но насколько реальна такая ситуация, учитывая что на гард идёт коннект общий для всех доменов, а потом он разделяется в разные цепочки? Что если самому добавлять ковер-трафик до гарда? НО ВЕДЬ НАЛИЧИЕ ПОСТОЯННОГО КОВЕР ТРАФА ЭТО УНИКАААААААЛЬНОСТЬ т.е. можно скоррелировать коннект клиента с ковер трафом постоянным до гарда + коннекты с экзит ноды до какого-то помеченного бэкенда в тот же промежуток времени.

Выход, в какой-то степени: nymtech.net (там есть паддинг, кстати) + open requester, левый интернет-коннект. Насчёт "аппаратного решения для разрыва цепочки" - мне сложно представить, чем это могло бы быть.

Если вы верите, что в вашей стране к провайдерской инфре у NSA нет доступа, то есть смысл использовать до коннекта к тору впн из вашей же страны, тогда корреляция будет с ним а не сразу с резидентным ипом. Но парадокс в том, что чем более страна hostile к США, тем больший интерес она представляет для разведки и тем больше усилий к сбору информации будет приложено. В России, Иране, Китае - правительства любят ставить DPI для попыток цензуры, а только ли они имеют доступ к информации собираемой через эти DPI?

Кроме этого, чтобы от корреляции был толк, нужно чтобы было с чем коррелировать. Если у вас есть имя, постоянный ип сервера с чем-то, всё это магнит интереса. Если имён тысяча, контакты меняются, ип ротируются - рад что вы можете себе это позволить.

Возможно, вместо того чтобы что-то коррелировать, проще закинуть малварь через RCE в каком-нибудь мессенджере, сломать виртуализацию если есть вытащив 0дей из рукава, и закрепиться на хосте - ну а дальше просто ждать и собирать инфу. Особенно если торификация происходит не на аиргапнутой машине типа малины, а на том же хосте в другой вм т.е. у человека whonix, тогда можно вообще спалить ип. Кста, аиргапнуть хуникс это дело непростое, либо у вас будет сценарий тор(по хуникс гв)-овер-тор(по тору в аиргапнутом девайсе), что добавляет вам уникальности мощно.