Сеть Tor: как на самом деле работает луковая маршрутизация

Откуда появился Tor

Концепция луковичной маршрутизации была разработана в середине 1990-х годов в Исследовательской лаборатории ВМС США математиком Полом Сиверсоном совместно с учеными-компьютерщиками Майклом Ридом и Дэвидом Голдшлагом. Первоначальной целью была защита коммуникаций американской разведки. Технология была опубликована как академическая концепция за несколько лет до того, как она стала практической сетью.

Сама реализация Tor была запущена 20 сентября 2002 года и создана Роджером Динглдайном и Ником Мэтьюсоном в сотрудничестве с Сайверсоном. Tor Project, Inc. — некоммерческая организация штата Массачусетс 501(c)(3) — была основана в 2006 году. Согласно последним раскрытиям о государственном финансировании, примерно 80% годового бюджета проекта поступает из источников правительства США, включая Государственный департамент, Совет управляющих по телерадиовещанию и Национальный научный фонд. Остальное поступает от поддержки EFF, частных доноров и корпоративных спонсоров, таких как Google и Reddit.

Как работает схема Tor

Когда ваш клиент Tor подключается к веб-сайту, он маршрутизирует трафик через три случайно выбранных добровольных ретранслятора:

1. Guard (входное) реле: видит ваш настоящий IP-адрес, но не видит не видеть пункта назначения. Одна и та же группа средств защиты используется повторно в течение нескольких недель, чтобы ограничить воздействие класса атак, называемого атакой-предшественником.
2. Средний реле: не видит ни ваш IP-адрес, ни пункт назначения, только предыдущий и следующий переход. не видите свой реальный IP — только IP среднего реле.

На каждом прыжке клиент снимает один уровень шифрования, как чистит лук. Ни одно реле не знает достаточно, чтобы связать вас с пунктом назначения. Это фундаментальное свойство, которое делает Tor строго более сильным, чем VPN: даже если какой-либо ретранслятор скомпрометирован или враждебен, ваша анонимность сохраняется. IP-адреса этих органов жестко запрограммированы в каждом клиенте Tor. Новые клиенты загружают самый последний консенсус при запуске.

Это известное структурное слабое место: компрометация пяти из девяти органов власти может изменить консенсус и направить трафик через ретрансляторы, контролируемые злоумышленниками. Проект Tor распределяет полномочия географически и организационно для снижения риска, но концентрация неизбежна.

Выходные узлы — где модель угроз уточняется

Tor не шифрует трафик между выходным ретранслятором и целевым сервером. Если вашим пунктом назначения является HTTPS, выход сможет видеть только то, что вы разговариваете с этим доменом — контент полностью зашифрован TLS. Если вашим пунктом назначения является открытый текст HTTP, выход может читать, регистрировать и изменять все.

Существуют задокументированные случаи вредоносных выходов. Исследователи обнаружили выходные узлы, перехватывающие имена пользователей и пароли на сайтах с открытым текстом, изменяющие биткойн-адреса в HTTP-ответах для перенаправления платежей и отключающие HTTPS посредством атак с отключением SSL против сайтов, которые не поддерживают HSTS. Браузер Tor поставляется с режимом «Только HTTPS», включенным по умолчанию специально для защиты от этого.

Другое последствие поведения выходного узла: многие веб-сайты либо полностью блокируют выходы из Tor, либо относятся к ним с дополнительным подозрением (CAPTCHA, проверка учетной записи, трудности с оплатой). Cloudflare, в частности, имеет долгую историю представления стен CAPTCHA для трафика Tor.

Onion Services (.onion)

Onion service — это сервер, доступный только через Tor. Адрес заканчивается на .onion и выглядит как длинная строка символов base32. И клиент, и сервер проходят через три ретранслятора каждый, встречаясь в точке встречи — ни один конец никогда не узнает IP-адрес другого.

Первая спецификация была выпущена в 2003 году и была развернута в 2004 году. Текущий стандарт v3 использует гораздо более длинные адреса (56 символов) для более строгой криптографической безопасности. Старый стандарт v2 был признан устаревшим в 2021 году и полностью удален из более поздних версий Tor. Если вы видите 16-значный адрес .onion, которым сегодня поделились, значит, он сломан.

Крупные новостные организации, включая The Guardian, The New Yorker, ProPublica и The Intercept, наряду с SecureDrop используют onion-сервисы, чтобы информаторы могли подавать документы анонимно. BBC, Facebook, New York Times и DuckDuckGo имеют официальные луковые зеркала. Службы Onion предназначены не только для темной сети. Браузер

Tor

Tor — это поддерживаемый способ использования Tor для просмотра страниц. Это форк Mozilla Firefox ESR с тщательно подобранным набором расширений конфиденциальности: TorButton, TorLauncher, NoScript и прокси Tor. Стивен Дж. Мердок создал первую версию, о которой было объявлено в январе 2008 года.

Браузер автоматически удаляет файлы cookie и историю в конце сеанса, использует стандартизированные строки пользовательского агента и размера экрана для предотвращения снятия отпечатков пальцев браузера и позволяет настраивать глобальный ползунок безопасности с тремя положениями:

• Стандартный: все включено. Лучший пользовательский интерфейс, самая слабая анонимность.
• Safer: отключает JavaScript на сайтах, отличных от HTTPS, отключает определенные шрифты и математические символы.
• Safest: JavaScript отключен везде, большинство мультимедиа отключено.

Если ваша модель угроз настолько серьезно, что вы используете Tor, установите ползунок в положение «Самый безопасный» и примите сломанные веб-сайты как издержки ведения бизнеса.

Подключаемые транспорты и мосты

Tor Протокол по умолчанию легко распознать, поэтому некоторые правительства полностью его блокируют. Обходной путь — подключаемые транспорты . — небольшие оболочки, которые маскируют трафик Tor под что-то другое:

• obfs4: делает трафик Tor похожим на случайный поток байтов, нераспознаваемый. рукопожатие.
• meek: туннелирует Tor через HTTPS-соединения к крупным доменам CDN, таким как Microsoft Azure или Amazon CloudFront, используя фронтинг домена.
• snowflake: использует обычные узлы WebRTC, управляемые добровольцами, в качестве временных точек входа, блокируя по IP. infeasible.

Подключаемые транспорты соединены с bridges — незарегистрированными ретрансляторами точек входа, которые не отображаются в общедоступном каталоге и поэтому не могут быть заблокированы простым перечислением IP.

Известные атаки

Traffic корреляция

Tor не предназначена для защиты от злоумышленника, который может наблюдать за обоими концами сети одновременно. Если злоумышленник наблюдает за вашим трафиком, входящим в охрану, а также наблюдает за трафиком, выходящим из выхода, он может сопоставить время и размеры пакетов, чтобы подтвердить, что вы являетесь источником. Это хорошо известно и принято как структурное ограничение. Задокументированных случаев масштабного использования этого метода не зарегистрировано, но целевые расследования показали, что он работает против конкретных подозреваемых. Ретрансляторы модифицировали определенный трафик, чтобы обеспечить корреляцию между средствами защиты клиента и запросами луковых служб. Реле были удалены; в конечном итоге исследование было приписано университетскому институту, проводящему исследование безопасности без согласия.

Операция «Онимус» и операция «Торпедо»

В результате операции «Онимус» в 2014 году было арестовано 17 международных операторов темного рынка. Точный механизм никогда публично не разглашался, но официальная позиция проекта Tor заключалась в том, что это традиционная полицейская работа (сбои в оперативной безопасности со стороны целей), а не фундаментальный разрыв в Tor. Операция «Торпедо» (2011–2012 гг.) была нацелена на браузер Tor через уязвимости Firefox: эксплойт Flash отправил реальный IP-адрес пользователя в ФБР, идентифицировав по меньшей мере 25 пользователей из США. Эксплойт EgotisticalGiraffe, раскрытый в утечках Сноудена, использовал аналогичную уязвимость Firefox.

Tor против VPN

VPN и Tor решают разные проблемы. VPN скрывает ваш трафик от сети, в которой вы находитесь, и позволяет вам казаться, будто вы находитесь в другой стране. Цепь Tor лишает вас возможности связаться с пунктом назначения, даже если каждое реле подозрительно, за счет замедления в 5–10 раз. Для большинства людей VPN является подходящим инструментом. Tor — подходящий инструмент для сообщения о нарушениях, доступа к луковым сервисам или работы в среде с высоким уровнем угроз. Иногда и то и другое, в конфигурации Tor-over-VPN. Подробную информацию см. в нашем сравнении full Tor и VPN.

Tails: операционная система только для Tor

В сентябре 2024 года проект Tails объединился с проектом Tor. Tails — это действующая операционная система на базе Debian, которая загружается с USB-накопителя, направляет весь трафик через Tor и не оставляет следов на главном компьютере. Это рекомендуемая операционная система для серьезных состязательных моделей угроз — журналистов, работающих с утекшими документами, активистов под наблюдением, исследователей безопасности, работающих с ненадежным кодом.

Законен ли Tor?

Да в большинстве стран. Tor сам по себе является программным обеспечением с открытым исходным кодом, и его использование не является противозаконным в США, Великобритании, ЕС, Канаде, Австралии или в большинстве стран Южной Америки и Африки. Несколько стран активно блокируют его (Китай, Иран, Россия, Беларусь); меньшее количество делает его использование само по себе вопросом регулирования. Совершение незаконных действий через Tor остается незаконным. Само ФБР официально признало «известное законное использование» Tor в судебных документах. Во внутренних документах АНБ Tor описывается как «король высокозащищенной интернет-анонимности с малой задержкой». Воспринимайте это как хотите, учитывая исходный код.

.