Timing атака. Как защититься?

[Linuz]

Реальна ли такая атака на пользователя tor/i2p? Например, некий хакер атакует сайты. В логах остаётся время начала и конца атаки. Эти данные сопоставляются с данными, собранными СОРМ. Затем, после 3-4 атак (что их проводит один и тот же человек можно понять по используемой инфраструктуре, софту и техникам), можно сопоставить, кто юзал Тор в это время. Насколько это осуществимо на практике? Как от этого защитится?

 

[Benihowy]

Реальна ли такая атака на пользователя tor/i2p? Например, некий хакер атакует сайты. В логах остаётся время начала и конца атаки. Эти данные сопоставляются с данными, собранными СОРМ. Затем, после 3-4 атак (что их проводит один и тот же человек можно понять по используемой инфраструктуре, софту и техникам), можно сопоставить, кто юзал Тор в это время. Насколько это осуществимо на практике? Как от этого защитится?

Это хорошо работает в теории. Но если вы постоянно будете использовать тор для отправки "запрещенного" сообщения на российских просторах интернета и затем выключать тор, то со временем могут к вам придти. Поэтому нужно использовать тор\впн постоянно, тем самым исключаем эту атаку.

 

[Linuz]

Помогут ли мосты скрыть факт использования tor ?

 

[Benihowy]

Помогут ли мосты скрыть факт использования tor ?

Может и поможет обфускация. Тор сейчас блокируется в рф, поэтому используйте впн сначала. Блокировка происходит по айпи, а все айпи тора публично доступны.

 

[Wolverine]

Может и поможет обфускация. Тор сейчас блокируется в рф, поэтому используйте впн сначала. Блокировка происходит по айпи, а все айпи тора публично доступны.

Уже разблокировали кстати

Роскомнадзор разблокировал сайт Tor Project

Юристы «Роскомсвободы» сообщили, что сайт The Tor Project наконец разблокировали на территории России. Таким образом Роскомнадзор исполнил решение Саратовского областного суда, который отменил решение об ограничении доступа еще в мае 2022 года. На днях сайт проекта был вынесен из реестра...

xakep.ru

 

[viktor_H2O]

Уже разблокировали кстати

очередной быдлоход как с телегой, загрутить гайки, набрать рейтинга у продукта, потом сидеть собирать сливки с логов.
тор лютое пендосское говно, в инете куча инфы начиная с 2004 года как сопоставляют вход-выход ноды, уже молчу о перехвате трафика
масалович время от времени высказывался про тор не в лучшем свете.

 

[Stallman]

Ни в одном уголовном деле, что в Пендостане, что в Мордоре, никогда не находили по Тору. Если следы уходят в Тор, и больше зацепок нет, то расследование заканчивается, точка. Я лично утверждаю, что достаточно одного Тора, чтобы никто и никогда вас не нашел в сети. Но лучше добавить впн, так, на всякий случай. Сначала впн, а потом через него идёте в Тор.

Если кто-то готов мне доказать обратное, с фактами, разрбранными в судах любой нормальной страны, опять же типа Пендостана, Мордора, или Гейропы, я плачу за это 1000 баксов. Продажные суды Хохляндии или Ляхов в зачет не идут, там можно что хочешь доказать щас.

Все проколы идут по бабкам, или когда отваливается тор прокси, или просто длинный язык подводит ебланов.

Если кто-то видит какой-то политический подтекст в моем сообщении, то идите нахуй, я интернационалист, и ненавижу всех одинаково, что пиндосов, что москалей, что хохлов. А также жидов, чуреков, нигеров, и прочих пидорасов. Никакой политики, всех ненавижу ровно одинаково. Хорошего всем дня.

 

[lamer007]

Ни в одном уголовном деле, что в Пендостане, что в Мордоре, никогда не находили по Тору. Если следы уходят в Тор, и больше зацепок нет, то расследование заканчивается, точка. Я лично утверждаю, что достаточно одного Тора, чтобы никто и никогда вас не нашел в сети. Но лучше добавить впн, так, на всякий случай. Сначала впн, а потом через него идёте в Тор.

Если кто-то готов мне доказать обратное, с фактами, разрбранными в судах любой нормальной страны, опять же типа Пендостана, Мордора, или Гейропы, я плачу за это 1000 баксов. Продажные суды Хохляндии или Ляхов в зачет не идут, там можно что хочешь доказать щас.

Все проколы идут по бабкам, или когда отваливается тор прокси, или просто длинный язык подводит ебланов.

Если кто-то видит какой-то политический подтекст в моем сообщении, то идите нахуй, я интернационалист, и ненавижу всех одинаково, что пиндосов, что москалей, что хохлов. А также жидов, чуреков, нигеров, и прочих пидорасов. Никакой политики, всех ненавижу ровно одинаково. Хорошего всем дня.

То есть ты ждешь, что они спалят тот факт, что отслеживают тор? Маркетплейсы по наркоте/оружию не живут дольше полугода иностранные, Гидру прикрыли как началось известно что, а до этого годами жила. Помню историю, как в российской глубинки педофил похитил ребенка, его месяц искали, а в итоге неожиданно пришла инфа из за бугра о местонахождении, похититель хвастался на каком-то педофоруме или типо того в торе, что у него есть жертва. Плюс минимальное понимание, что контроля стартовых серверов вполне достаточно для того чтобы отслеживать пользователей тора. Но не хочешь не верь!)

 

[peacemaker]

Ни когда нельзя ассоциировать вход в сеть, с моментальным коннектом в тор, и сразу деятельностью. Нужно везде брать таймаут. Это значит из автозагрузки нужно убирать весь софт.

Для примера у вас стоит Jabber в автозагрузке. Вы включили комп, Загрузилась ОС, Сразу включился Jabber. И все, вас уже можно идентифицировать по первому коннекту в сеть. Ну если будет закономерность. Так же это касается спящего режима. Компьютер выходит из спящего режима, моментальный коннект в сеть, и сразу все сервисы подключаются, что ждали соединения.

 

[viktor_H2O]

Если кто-то готов мне доказать обратное, с фактами, разрбранными в судах

2016 год. фбр предоставляло документы, которые показали что они, контролировали тор. Используя материалы корнеги меллон.
2020 год был продемонстрирован ссл стрипинг. Синтетическое понижение шифрования и до сих пор это работает даже в новой версии. просто инфы в паблике нет
2022 год, имея доступ к сорму, в совокупности с сниппер-атак (добовление в пакеты траффика определенных меток), дает возможность сопоставлять входную и выходную ноду без особых усилий

к тому же через снипперы можно выключать определенные ноды тора, но до сих пор мало кто об этом знает.

 

[peacemaker]

2016 год. фбр предоставляло документы, которые показали что они, контролировали тор. Используя материалы корнеги меллон.

Они особо не скрывали это, что это их разработка или цру. Вопрос в том что как оно сейчас используется.

 

[viktor_H2O]

Вопрос в том что как оно сейчас используется.

А сейчас это используется так: выпускают апдейт, все дыры закрыты! тотальная безопасность! и закрывают гидру сопоставляя все серваки. тор уже давно не анонимен и альтернатив нет. война проиграна))

 

[peacemaker]

А сейчас это используется так: выпускают апдейт, все дыры закрыты! тотальная безопасность! и закрывают гидру сопоставляя все серваки. тор уже давно не анонимен и альтернатив нет. война проиграна))

Кто сказал что именно тор сдал гидру? Есть куча способов вычислить это, вплоть до человеческого фактора и разлома внутри команды.

 

[viktor_H2O]

тор сдал гидру

в эти три слова не вложен смысл вообще. но логически прикинуть уж не должно составить труда

 

[bratva]

Ни в одном уголовном деле, что в Пендостане, что в Мордоре, никогда не находили по Тору. Если следы уходят в Тор, и больше зацепок нет, то расследование заканчивается, точка.

Странно от тебя читать такой пост Возможно ты имел в виду, что бюджет расследований возрастает и в случае каких-то рядовых дел - они просто откладываются куда-то в далекий шкафчик, когда есть более высокоприоритетные-высокобюджетные направления. Но информации на самом деле довольно много в паблике, вот самые известные ниже.

1. 2013 - Freedom Hosting

Unveiling Tor Network Hacking Techniques & De-anonymization | Infosec

Uncover the techniques used to hack Tor networks and de-anonymize users in our updated 2020 follow-up post on Infosec.

resources.infosecinstitute.com

The FBI used a vulnerability in Firefox 17, on which the Tor browser is based, to turn Freedom Hosting sites into malware spreading tracker tools. It all works on the Firefox 17 JavaScript Zero Day Exploit; this malicious script is a tiny Windows executable hidden variable named “Magneto” which looks for victim’s MAC address and its hostname and sends it back as a HTTP web request to the Virginia server to expose the user’s real IP address. The FBI successfully gained access to the Freedom Hosting server and injected malicious HTML code, which checks whether the user’s browser is Firefox 17 or not.

2. 2015-2016 - Playpen
Network Investigative Technique (NIT) (запомните это название) to compromise Tor and track these visitors, операция по форуму детской порнографии и сбору реальных айпи-адресов пользователей со стороны ФБР:

Statistics on the user’s profile showed he had been actively logged into the website for a total of 99 hours between Oct. 31 and March 2. During that time, Michaud allegedly viewed 187 “threads,” most of which related to child pornography, court records said.


Investigators captured the user’s IP address in February during a login session in which he allegedly viewed a post containing a downloadable link. The agents were able to determine the Internet service associated with the IP address and traced it back to Michaud and his previous residence, court documents state.


In June, investigators requested additional information from the Internet provider and discovered Michaud had disconnected the account at his previous address on May 8 and transferred it to his most recent residence, the affidavit says. It was at that time that the agents discovered Michaud was employed with Vancouver Public Schools.

https://www.zdnet.com/article/fbi-refuses-to-release-tor-exploit-details-evidence-thrown-out-in-court/

https://www.vice.com/en/article/gv5vy3/fbi-is-pushing-back-against-judges-order-to-reveal-tor-browser-exploit

https://regmedia.co.uk/2016/05/25/05-25-2016-order-denying.pdf

С одной стороны - это выглядит как фейл, т.е. доказательство, которое по итогу отмел суд. Но с другой стороны это успешный кейс применения эксплойта со стороны ФБР против пользователей ТОР, который дошел до публики.

3. 2017 - Buster Hernandez, known online as “Brian Kil"

https://web.archive.org/web/20220109190611/https://www.courtlistener.com/docket/7383596/united-states-v-hernandez/

https://darknetlive.com/post/reminder-facebook-helped-the-fbi-hack-a-tor-user/

So Facebook decided to hire a cybersecurity firm to help the FBI identify the user. They paid a cybersecurity consulting firm six figures to create a hacking tool that took advantage of a vulnerability in the video player that shipped with the Tails operating system. The cybersecurity firm’s tool, which they worked with a Facebook engineer to create, seemingly created a piece of malware disguised as a video file. When a Tails user attempted to view the video, the malware sent the user’s real I.P. address to a server controlled by the cybersecurity firm (or, at the end of the investigation, to a server controlled by alphabet boys).

Facebook gave the hacking tool to a third party who then passed it to the FBI.

In 2017, the FBI obtained authorization from a judge to deploy the Network Investigative Technique (NIT). The FBI described the file as a real video file with the malware attached to it.

Мне лень копаться глубже, но я предлагаю поискать PACER по Network Investigative Technique (NIT). Возможно (как это часто бывает) найдется много всего, что ушло от внимания журналистов и публики. Понятно, что приведенные все случаи можно раскритиковать, но суть остается той же - есть цель, есть задачи, есть бюджет, значит всегда найдутся и средства для реализации.

 

[sacrifice]

Анонимности не существует, есть - мнимая. Пока кому-нибудь дорогу не перейдёшь

 

[lamer007]

Как вам такой сценарий, вас заманиваю на сайт, который по определенному графику максимизирует и наоборот сбрасывает в ноль траффик, по этому "пульсу" ищут такой же отпечаток потребления траффика через СОРМ? Тут даже не надо 3-4 атак, думаю уже за минуту можно создать довольно уникальную картину, правда конкретно тор тут спасает его изначальная медлительность, а вот всякие дабл впны будут очень уязвимы!

 

[Benihowy]

Уже разблокировали кстати

Роскомнадзор разблокировал сайт Tor Project

Юристы «Роскомсвободы» сообщили, что сайт The Tor Project наконец разблокировали на территории России. Таким образом Роскомнадзор исполнил решение Саратовского областного суда, который отменил решение об ограничении доступа еще в мае 2022 года. На днях сайт проекта был вынесен из реестра...

xakep.ru

уже заблокировали кстати

 

[bbi34yy]

1. 2013 - Freedom Hosting

Unveiling Tor Network Hacking Techniques & De-anonymization | Infosec

Uncover the techniques used to hack Tor networks and de-anonymize users in our updated 2020 follow-up post on Infosec.

resources.infosecinstitute.com

Про фридом хостингу я читал кейс, да и БД скачал и лежит она где-то у меня.
Тут несколько другое, так как ломанули их через сплоит браузера, а основан ТОР браузер, как известно, на Мозилле.
Stallman имел в виду несколько другое, как мне кажется. Если использовать ТОР вместо VPN'а, то тебя через цепочку нод тебя не смогут сдеанонить.

 

[lambada]

Ни в одном уголовном деле, что в Пендостане, что в Мордоре, никогда не находили по Тору. Если следы уходят в Тор, и больше зацепок нет, то расследование заканчивается, точка. Я лично утверждаю, что достаточно одного Тора, чтобы никто и никогда вас не нашел в сети. Но лучше добавить впн, так, на всякий случай. Сначала впн, а потом через него идёте в Тор.

Если кто-то готов мне доказать обратное, с фактами, разрбранными в судах любой нормальной страны, опять же типа Пендостана, Мордора, или Гейропы, я плачу за это 1000 баксов. Продажные суды Хохляндии или Ляхов в зачет не идут, там можно что хочешь доказать щас.

Все проколы идут по бабкам, или когда отваливается тор прокси, или просто длинный язык подводит ебланов.

Если кто-то видит какой-то политический подтекст в моем сообщении, то идите нахуй, я интернационалист, и ненавижу всех одинаково, что пиндосов, что москалей, что хохлов. А также жидов, чуреков, нигеров, и прочих пидорасов. Никакой политики, всех ненавижу ровно одинаково. Хорошего всем дня.

подробнее про проколы по бабкам