Whonix against malicious tor nodes?

В рассылке ксакепа прилетело в прошлом году известие о некоей группировке поддерживаемой каким-то государством, занимающейся деанонимизацией пользователей tor. Якобы ребята взяли исходники tor, подшаманили и получили софт ведущий себя не полностью как тор-релей, а лишь частично. А именно, получив пакет они не шифруют его, как положено, для передачи через следующий узел, а отсылают напрямую (или только через свои релеи передают, а не через случайный транзитный) производя журналирование. Якобы денег у этой группировки хватает чтобы насоздавать существенный процент от всего количества узлов tor.

Всвязи с этим возникли вопросы:

  • Верно ли, что получить таким образом при коннекте к .onion можно только сам факт соединения и IP адрес источника, а вот данные запроса всё равно останутся зашифрованы на public ключе этого .onion ?

  • Верно ли, что данные из запроса в такой схеме можно получить только в том случае, если речь идёт о выходе через такую ноду в
    обычный интернет?

  • будет ли толк с точки зрения анонимизации если я буду держать не просто шлюз, а релей?

  • будет ли какой-то толк если поставить за sys-whonix ещё одну sys-whonix чтобы запрос гарантированно проходил 3 узла, как и положено согласно луковой маршрутизации? И если да, то можно ли запустить такой дополнительный шлюз на удаленном VPS, а не на машинке с Qubes?

Я не совсем понимаю (потому что я читал это через переводчик), но каждое соединение tor с адресами .onion происходит через 3 узла локально в сети tor и не расшифровывается ни на одном узле.

я не знаю русского языка, перевел с помощью deepl translator

Речь идёт о том, что некто (какая-то APT группа) создал модифицированный софт tor, который намеренно нарушает правила поведения в сети тор и вместо отсылки на следующий узел по правилам с дополнительным шифрованием просто отправляет на конечную точку или на модифицированный же узел, который не занимается шифрованием, а журналирует откуда и куда соединялись.

о, я вижу, я часто недооцениваю это, но теперь они даже запускают модифицированное программное обеспечение. если будет достаточно людей, запускающих это, они смогут полностью отключить шифрование

я не знаю русского языка, перевел с помощью deepl translator

Пока переводчик работает хорошо - встречное замечание вполне по теме.

Что касается ответа из url:
"
In theory, the user could get six hops instead of three in the Tor network. However, it is not guaranteed that the three additional hops received are different; the user could end up with the same hops, possibly in reverse or mixed order. The Tor Project opinion is that this is unsafe
"

Но если я могу попасть на намеренно-искажающий правила луковой маршрутизации узел, то если я поставлю между tor сетью и sys-whonix бридж или свой tor релей - я ведь получу дополнительную уверенность, что средний узел из 3х положенных гарантированно работает правильно. Но он будет постоянно один и тот же, что снизит анонимность. Но если это будет релей, то через него пойдёт трафик других тор узлов и его будет теоретически не отличить от моего. Это если не использовать tor over tor.
Что касается варианта tor-over-tor - я об этом даже не думал, но раз такое возможно, то возникает вопрос - а кто сможет понять, что используется tor over tor - кто этот атакующий, который может <идентифицировать и сказать> ‘it could act as an identifier if only a few people do it (“Oh, there’s that person who changed her path length again”).’ Узлы tor по умолчанию как-то сигнализируют о том, что через них идёт коннект из tor в tor?
Впрочем, если сеть состоит в значительной части из модифицированных плохих узлов нарушающих правила, то рано или поздно создастся цепочка, которая пройдёт только через такие узлы и анонимности всё равно конец.

“Users can manually choose an entry or exit point in the Tor network,”
Когда я использую tor browser он и есть entry point или entry point за ним, дальше - внутри сети tor?

вот я и думаю, что можно же entry point сделать константным, своим. Это деградирует анонимность, но гарантирует, что контент зашифрован хотя бы один раз.

1 Like

они проверят время, 6 узлов всегда займут больше времени, чем 3 узла.

кажется, так и будет entry point

я не знаю русского языка, перевел с помощью deepl translator

занимательно. а можно ссылочку? уязвимость найдена? пропатчена?

я не храню email рассылки, просто прочёл и грохнул, быстро найти из яндекса на ксакепе не получилось, но вот ещё один попсовый ресурс с практически аналогичным текстом: Сотни вредоносных узлов Tor используются для деанонимизации пользователей

И это не считая штатных проблем с анонимностью в tor от тех, кто может собирать netflow и делать анализ спектра на обоих концах цепочки: 81% пользователей Tor могут быть деанонимизированы благодаря анализу роутинга / Хабр (ещё 14 года материальчик)

Это я читал. Но вот про узявимости в протоколе там не было. Эти все проблемы известны и до определенной степени решаются. Возможность манипулировать роутингом это что-то новое. Плюс миграция на v3 – что изменилось?

Если я не правильно понял и манипуляция роутингом невозможна - всё равно остаётся вопрос - а что мешает мне будучи плохой входной нодой отправить пакет в предопределенное мной место (тоже измененную ноду) или же сразу в конец маршрута?

в протоколе есть механизмы контроля роутинга, которые это предотвращают. ну то есть оправить пакет физически ты можешь, а что он будет с ним делать, если endpoint контролирует, какие ключи используются?

1 Like

Поискал подробное описание луковичной маршрутизации - наиболее подробное на русском языке от 19го года - Луковичное шифрование и его применение в протоколах анонимной сети Tor - CryptoWiki

Возможности изменять маршрутизацию после прочтения не придумал. Видимо её нет. Это если я правильно понимаю, что tor-browser сам по себе является входной нодой и сам строит цепи.

Написал в жежешку ещё про это же: tor v3, tor routing: grey_olli — LiveJournal