PDA

Просмотр полной версии : Небольшая инструкция по прорыву блокады Tor



stayer
21.07.2017, 15:48
То, что анонимность будут убирать, я писал еще лет 8 назад. И Tor они будут блокировать в первую очередь, ибо зуд от него у чекистов непрерывный.

Так что предлагаю не дожидаться технических мер по блоку, а пробовать средства прорыва уже сейчас: сделать учетки на почтовиках для получения мостов, соединиться через мосты.

Преодоление блокады Tor Browser

Введение

TorProject - это международный правозащитный проект с открытым исходным кодом, разрабатываемый открытым сообществом ученых и программистов белого мира для обеспечения анонимности и прорыва информационной блокады в сети Internet. Первоначально это был проект ВМФ САСШ, переданный им позже в открытый доступ для расшатывания авторитарных режимов, активно применяющих цензуру. Система Tor является на сегодняшний день единственной теоретически-обоснованной системой, исследованием которой занимаются все от обычных пользователей и до университетов. Tor доказал эффективность в Иране, Китае и прочих подобных странах. По словам Сноудена, в АНБ САСШ создан целый отдел для деанонимизации Tor-пользователей, работа по Tor считается там одним из основных направлений.

В основе анонимизации Tor лежит замена прямой пересылки сообщений на их передачу в многослойно-шифрованном виде через цепочку промежуточных узлов, каждый из которых знает в цепочке лишь своих соседей и снимает только свой слой шифра. Необходимо подчеркнуть, что Tor не обеспечивает криптозащиту переписки: многослойная (луковичная) транспортная шифровка в Tor-цепочке является лишь способом достижения анонимности, поскольку на последнем узле Tor-цепочки сообщение полностью расшифровывается и в таком виде попадает адресату.

Для общедоступного анонимного использования сети Internet сообществом TorProject создан и постоянно совершенствуется браузер TorBrowser. Он включает в себя программу-анонимизатор Tor, браузер на основе Mozilla Firefox с установленными открытыми дополнениями. Tor Browser работает портативно, т.е. без инсталляции в операционную систему, например, может запускаться прямо с флэшки. Скачивать его надо только с официального сайта TorProject: https://www.torproject.org/download/download-easy.html.en

О блокировке и способах ее преодоления - теория

Узлы сети Tor запускаются добровольцами по всему миру и делятся на входные, промежуточные и выходные. Эти узлы бывают публичными и непубличными. Tor Browser знает список публичныз узлов и в обычном режиме при запуске строит из них случайным образом анонимную цепочку. Цензор также знает публичные узлы Tor и начинает их блокировать, таким образом Tor Browser в обычном режиме не может подключиться к анонимной сети. Также цензор может пытаться засекать Tor-соединения по характерным осбоенностям трафика, но это легко маскируется и обходится.

Итак, основной проблемой является блокировка публичных узлов Tor-сети. Для обхода этого в TorProject придумали специальные узлы, называемые мостами (bridge). Это непубличные входные узлы, небольшую порцию которых пользователь может получить специальным запросом. Поскольку мосты непубличны, то цензор ничего о них не знает и TorBrowser соединяется через них с Tor-сетью. Мосты запускаются добровольцами точно также, как и публичные узлы.

Цензор естественно будет пытаться выявить эти мосты, в ольгино будут круглосуточно слать запросы на их получение и передавать хозяевам их адреса для блокировки. Но появление новых мостов носит случайный характер, а высоконагруженные фильтры цензора не могут обновляться моментально. Поэтому часть мостов будет оказываться в черных списках, но будут появляться все новые. И через некоторое количество попыток соединение будет вновь установлено. Кроме того можно создавать скрытые мосты, адреса которых знает лишь круг посвещенных, а с этим бороться автоматизированно уже невозможно. Опыт показывает, что справиться с Tor не смогли даже в китае. Подключение через мосты встроено в TorBrowser и его можно использовать при настройке режима прорыва блокады.
Цензор также может пытаться отследить Tor-соединение по особенностям трафика. Но уже давно придуманы средства маскировки Tor-трафика под массово используемые протоколы вроде https, srtp и т.д. Средства маскировки встроены в TorBrowser и их можно активировать при настройке режима прорыва блокады.

Преодоление блокады - практика

Попытки блокирования Tor в тестовом режиме уже имели место. Выглядит это так: при запуске в обычном режиме TorBrowser он подвисает на некоторое время, а потом вываливается окно с логами и настройками соединения.

Чтобы прорвать блокаду, для начала надо получить порцию мостов (bridge). Делается это следующими способами:


На официальном сайте TorProject: https://bridges.torproject.org/bridges
Через защищенные почтовые запросы со следующих почтовиков: riseup/ (https://riseup.net/), gmail (https://mail.google.com/), yahoo (https://mail.yahoo.com/)


Получение мостов через сайт - наиболее простой вариант (правда сайт скорее всего заблокируют). Залезаем на сайт https://bridges.torproject.org/bridges, разгадываем тест Тьюринга (капча) и вводим ответ, жмем кнопку или клавишу Enter:

22665

Получаем окно с адресами трех мостов и копируем их:

22666

Получение через почту также не сложно. Если нет учетки на сайтах riseup (https://riseup.net/) или gmail (https://mail.google.com/) или yahoo (https://mail.yahoo.com/), то быстро регистрируемся на одном из них (желательно под левым аккаунтом и по-возможности анонимно). Заходив в его почтовый web-сервис и пишем письмо на адрес [email protected] с единственной строкой get bridges в теле письма. В ответ также придут три адреса мостов.

Использование мостов

При запуске TorBrowser в первом окошке нажимаем кнопку Open Settings:

22667

В появившемся окне жмем кнопку Configure:

22668

В появившемся окне выбираем Yes (провайдер блокирует Tor):

22669

В появившемся окне 2 варианта. Сначала надо попробовать использование готовых мостов - выбрать Connect with provided bridge и в следующем окне нажать Connect:

22670

Если готовые мосты не сработали, то выбрать Enter custom bridges (ввод собственных мостов) и вставить в окошко адреса ранее полученных мостов:

22671

В появившемся окне оставить No, если используется прямой выход в интернет и нажать кнопку Connect:

22672

Волшебный светлый Tor

Вот так выглядит окно TorBrowser после соединения - доступ в открытый Internet и его закрытую часть (сайты с адресами .onion):

22673

Также можно настроить соединение на прорыв для следующего запуска прямо из работающего TorBrowser (нажать луковицу в левом верхнем углу и выбрать в выпавшем меню Tor Network Settings):

22674

Поставить галочку My Internet Service Provider (ISP) blocks connections ... и забить мосты аналогично вышеописанному настроечному окну:

22675

https://www.xmail.net/teapot/torbridge/

Raptor
22.07.2017, 08:24
1) Как тут упоминается, сайт можно заблокировать. Т.е. возможность получения мостов таким образом быстро отпадет.
2) Способ получения через email легко блокируется. Сервера гугла находятся в РФ, если не изменяет память, тогда ничто не мешает чекистам запретить Гуглу отправку почты на почтовые адреса Тора. И заодно заблокировать неподконтрольный riseup.
3) Спецслужбы могут несколько раз в день запрашивать bridges сами и вносить их в список блокировки.

stayer
22.07.2017, 14:15
1) Как тут упоминается, сайт можно заблокировать. Т.е. возможность получения мостов таким образом быстро отпадет.
2) Способ получения через email легко блокируется. Сервера гугла находятся в РФ, если не изменяет память, тогда ничто не мешает чекистам запретить Гуглу отправку почты на почтовые адреса Тора. И заодно заблокировать неподконтрольный riseup.
3) Спецслужбы могут несколько раз в день запрашивать bridges сами и вносить их в список блокировки.

1) Да, прямой доступ к сайту могут залочить. Но для доступа можно использовать любой простенький прокси.
2) Ты можешь обращаться к серверам Google через веб-интерфейс вроде https://mail.google.com, и писать письма из него. Если предположить, что Google добровольно перенаправляет запросы из рф по таким адресам (а никто другой этого сделать не может, поскольку закрытые ключи шифрованных сессий только у Google) в некий чекисткий дата-центр, который потрошит переписку и блокирует неугодные адреса, то прямой доступ будет закрыт. Верится в подобный сценарий с трудом. Но даже в этом случае опять-таки можно использовать любые простенькие прокси для обращения к почтовому web-интерфейсу любого из 3-х почтовиков.
3) Могут. Только частота обновления мостов выше, это вообще случайный процесс. И пока они внесут их в список блокировки, уже появяться новые: любой Tor-сервер (в т.ч. в составе TorBrowser) парой строчек конфига torrc можно превратить в мост. В китае с этим борются уже много лет, причем с попытками автоматизации, но закрыть не могут.

P.S. Проблему мостов и узлов вообще можно было решить радикально: установить TorBrowser в серверный режим по-умолчанию. После этого число узлов станет не тысячи, а десятки миллионов. Почему это не сделано - остается догадываться, хотя предположения есть )

Raptor
23.07.2017, 12:11
1) Да, прямой доступ к сайту могут залочить. Но для доступа можно использовать любой простенький прокси.
2) Ты можешь обращаться к серверам Google через веб-интерфейс вроде https://mail.google.com, и писать письма из него. Если предположить, что Google добровольно перенаправляет запросы из рф по таким адресам (а никто другой этого сделать не может, поскольку закрытые ключи шифрованных сессий только у Google) в некий чекисткий дата-центр, который потрошит переписку и блокирует неугодные адреса, то прямой доступ будет закрыт. Верится в подобный сценарий с трудом. Но даже в этом случае опять-таки можно использовать любые простенькие прокси для обращения к почтовому web-интерфейсу любого из 3-х почтовиков.
3) Могут. Только частота обновления мостов выше, это вообще случайный процесс. И пока они внесут их в список блокировки, уже появяться новые: любой Tor-сервер (в т.ч. в составе TorBrowser) парой строчек конфига torrc можно превратить в мост. В китае с этим борются уже много лет, причем с попытками автоматизации, но закрыть не могут.

P.S. Проблему мостов и узлов вообще можно было решить радикально: установить TorBrowser в серверный режим по-умолчанию. После этого число узлов станет не тысячи, а десятки миллионов. Почему это не сделано - остается догадываться, хотя предположения есть )

1) То ли будет доступ к сайту через прокси, то ли нет.

2) Ты предполагал, что и до блокировок VPN никогда не дойдут. Типа это нереально, экономически невыгодно, власти даже не будут заморачиваться с этой абсурдной идеей. Не стоит недооценивать цензуру. Т.е. если чекисты поставят условие - или запрещаете отправлять запросы на определенный email адрес или теряете весь российский рынок - Гугл выберет второй вариант?

3) Не могу согласиться. Что действует быстрее - настройка и подъем выходного узла ТОР или чекистский скрипт, регулярно запрашивающий bridges и вносящий их в список забаненых.

4) В случае "радикального" решения, если я правильно понял, любой пользователь ТОР становится выходным узлом. Т.е. все возможные сообщения о заложенных бомбах, цп и прочий бред отправляются в сеть с айпи адреса пользователя. Думаю, не многие на это согласятся, особенно в России.

stayer
23.07.2017, 19:35
1) То ли будет доступ к сайту через прокси, то ли нет.
Через нормальный прокси будет, прокси-сайту чекисты до лампочки.



2) Ты предполагал, что и до блокировок VPN никогда не дойдут. Типа это нереально, экономически невыгодно, власти даже не будут заморачиваться с этой абсурдной идеей. Не стоит недооценивать цензуру. Т.е. если чекисты поставят условие - или запрещаете отправлять запросы на определенный email адрес или теряете весь российский рынок - Гугл выберет второй вариант?
Я говорил, что единственным способом запрета анонимизации и проксирования является полный запрет криптозащиты трафика, того же https. И вот это действительно приведет к чебурнету и каменному веку, ибо не только люди, но и даже программные модули постоянно обновляются по защищенным каналам, а если учесть что 90% промышленного ПО - Западное, то сам понимаешь что будет. Были смешные попытки (http://forum.dpni.org/showthread.php?t=67831) внесения корневых чекистких сертификатов в международные хранилища, тогда бы они могли незаметно заниматься подменой ключей и все читать, но на Западе не идиоты и их послали лесом.



3) Не могу согласиться. Что действует быстрее - настройка и подъем выходного узла ТОР или чекистский скрипт, регулярно запрашивающий bridges и вносящий их в список забаненых.
Во-первых мгновенно добавить адрес в гигантский облачный файервол попросту невозможно, там дикая нагрузка и даже технологии Big Data требуют приостановки для переконфигурирования. Во-вторых автомат (скрипт) запросить мосты не может: на сайте torproject потребуют пройти тест Тьюринга (капча), почту можно посылать только с 3 крупных почтовиков, которые также отсекают ботов и отвечают с задержкой. Во-третьих все зависит от частоты появления этих мостов и частоты запросов, еще неизвестно, сколько ольгино потребуется задействовать. В-четвертых есть опасность, что будут залочены временные адреса, которые затем будут использоваться "белыми" сервисами, что может привести к серьезных проблемам чебурнета. В-пятых, если проблемы с условно-публичными мостами станут серьезными, то появятся непубличные мосты, которые будут рассылаться по friend-to-friend сетям. Поэтому на практике будет скорее всего как в китае: игра в кошки-мышки, к примеру, так они боролись с Tor старого дизайна (после начала применяться обфускация трафика - маскировка под обычные протоколы): https://vk.com/wall-67405271_125923


4) В случае "радикального" решения, если я правильно понял, любой пользователь ТОР становится выходным узлом. Т.е. все возможные сообщения о заложенных бомбах, цп и прочий бред отправляются в сеть с айпи адреса пользователя. Думаю, не многие на это согласятся, особенно в России.
Не обязательно. В серверном режиме ты можешь выбрать тип узла: bridge, middle, exit. Более того, в TorProject специально предупреждают, что exit-узлы вводят пользователя в группу риска.

Raptor
31.07.2017, 15:35
Через нормальный прокси будет, прокси-сайту чекисты до лампочки.

Ничто не мешает чекистам блокировать сайты или группы в соцсетях, распространяющие прокси.

Вопрос: может ли гебня блокировать доступ к странице загрузки bridges анализом трафика или хотя бы по заголовку загружаемой страницы через socks proxy? Или все упирается в шифрование https?

Выдача bridges с помощью email-запроса пока что работает крайне нестабильно, иногда их ответ не приходит по нескольку дней. Надеюсь, разработчики ТОРа добавят больше способов распространения мостов, включая децентрализованные сети типа I2P.

stayer
31.07.2017, 17:02
Ничто не мешает чекистам блокировать сайты или группы в соцсетях, распространяющие прокси.

Вопрос: может ли гебня блокировать доступ к странице загрузки bridges анализом трафика или хотя бы по заголовку загружаемой страницы через socks proxy? Или все упирается в шифрование https?

Выдача bridges с помощью email-запроса пока что работает крайне нестабильно, иногда их ответ не приходит по нескольку дней. Надеюсь, разработчики ТОРа добавят больше способов распространения мостов, включая децентрализованные сети типа I2P.
Умеют плюс-минус это делать только в китае, по крайней мере у них это работает. И походу они продают решения авторитарным заповедникам. Используют: блокировки входных узлов, в т.ч. bridge; пытаются проводить глубокий анализ пакетов для выявления подозрений на мосты; проводят умные атаки (самообучающаяся нейронная сеть) на предполагаемые мосты с целью уточнения. Но все равно результат не 100%, можешь почитать:

апокалиптическое:
http://blogerator.org/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2
реальное в китае:
http://blogerator.org/page/osobennosti-kitajskogo-interneta-blokirovki-vpn-kitaj-dpi
ограбление по:
http://blogerator.org/page/est-takaja-professija-vpn-blokirovki-zakon

P.S. В принятом законе вся ответственность перекладывается на провайдеров. Это такой мягкий вариант: тов. майор хочет выяснить кто писал или читал, справшивает у провайдера, если провайдер не знает, то получает по заднице - он должен прекратить доступ. У провайдера 2 варианта: залочить анонимизатор, либо залочить своего клиента, чтобы не попасть под раздачу. Если нет денег и умений лочить анонимайзеры, то будут отключать клиентов.

P.P.S. В крайнем случае можно будет использовать старые добрые временные симки. Пока тут будет чуркотня, тут будут и паленые симки.

Sadist
09.10.2017, 18:16
http://i057.radikal.ru/1710/c7/448bf3a1bff9.jpg
Посмотрим котиков?

stayer
09.10.2017, 18:21
http://i057.radikal.ru/1710/c7/448bf3a1bff9.jpg
Посмотрим котиков?
Типа играются пока. Нуну

Sadist
09.10.2017, 18:26
Большинство (но не все) российских узлов блокируют запрещённые сайты.

stayer
09.10.2017, 19:02
А, ну это скорее всего ольгинские бот-exit'ы для фишинга и троллинга. Лучше их исключать в torrc.