T0R, теpроpиcты и математик

Posted: 2017-04-18 in По жизни

Всем привет! Если вы интересуетесь высокоанонимными сетями, то такая штука, как T0R, вам наверняка  знакома. Я писал некоторые заметки на эту тему, да и вообще последнее время эта сеть прибавила в популярности. Но даже если вы про тор впервые слышите — оставайтесь, будет интересно.
Участники сети TOR могут выполнять разные задачи — просто браузить по инету или скрытым сервисам, транзитить чужой траффик (серьезный бонус к собственной анонимности при юзании тора), держать свой скрытый сервис или обеспечивать точку выхода. Последнее действо сопряжено с определёнными рисками, порой весьма существенными.

Дело в том, что выходные ноды тора иногда используются для весьма неблаговидных целей, и если неблаговидность этих целей достаточна, то всякие правоохренительные органы начинают докапываться именно до владельца выходной ноды. До недавнего времени подобное чаще всего случалось в США, Германии и развитых странах Европы. С какого-то момента органы научились ловить крупных барыг из даркнета (не исключаю, что перестали полагаться только на технические методы и взялись за более классические способы борьбы с преступностью), но оператор выходной ноды априори более доступен, чем лютый бандюган, поэтому хостинг выходной ноды по-прежнему остается занятием для людей либо безбашенных, либо с яйцами крайне высокой степени закалки.

И вот первый такой случай произошел и в России.

Прелюдия такова. В конце марта 2017-го по стране прошла целая волна митингов, инициированных выходом фильма «Он вам не Димон», где оппозиционный деятель Алексей Навальный выдвинул весьма и весьма серьёзные обвинения в коррупции действующей власти. Некоторые время бурление ещё продолжалось, но буквально через 2-3 недели (когда самых бойких оппозиционеров арестовали) в метро взорвался смертник, и всё это непотребство на фоне бастующих дальнобойщиков, видимо уже отнюдь не слегка охреневших от тарифов системы «Платон».
Государство же на обвинения в коррупции особо не отреагировало (ничего явно не опровергли, но и в клевете встречных обвинений не выдвинули), в попытках хоть как-то уладить конфликт с дальнобойщиками сделали вообще редкостнейшую глупость — заблочили руками РКН интернет-рацию Zello, причем с полностью самодурной причиной блокировки, даже без судебного решения. Типа, этой самой софтиной бастующие дальнобойщики пользовались. Обалденная аргументация для блокировки. Кто там про защиту детей чего-то вякал ?
Зацениваем пустоту на официальном сайте реестра ркн:

И данные из получаемых провайдерами выгрузок для блокировки на оборудовании:


4-Restricting ! То есть вообще без суда и следствия забанили. Кому от этого стало хуже ? Разве что репутации страны. Приложение как работало, так и работает, а основной рынок у Зелло — не в России, им насрать.
Я даже не слышал об этой софтине до этого случая. Если бы не безумный список требований приватных пермишенов — можно было бы и на смартфон поставить. То есть решать траблы с логистикой — не, это не наш путь, а вот сайты мессенджеров блочить — это самое оно, путь к процветанию, не иначе.

Но всего этого треша и дичи было мало. Нашелся безумный маньяк с промытым черепом, взорвавший себя в метро, унеся с собой почти два десятка непричастных людей и почти полсотни покалечив. И совершенно !ВНЕЗАПНО!!11!, даже для спецслужб!!11!, оказалось, что все эти блокировки, «списки запрещённой информации», пляски вокруг «роскомпозоров», «ревизоров» и дорогущих DPI-систем с прослушками, подглядками и пронюшками совершенно не защищают от маньяков с бомбой, которым для совершения своего злодеяния не требуется ничего, кроме отсутствия мозга и инстинкта самосохранения.

Да ещё тут где-то в верхах управленческой системы так некстати вспомнили про дохулиард бабла, выделенного на безопасность, а тут такая жесть приключилась. Прям как в классической антивирусной индустрии, генералы готовились к прошедшей войне.

Надо было пипец как срочно кого-то поймать или хотя бы попытаться уличить. Но как назло, смертник почему-то не выжил (многие сотни грамм ТНТ тут явно не остались в стороне), а организаторы злодейства с повинной не явились.

И тут на одном древнющем админском сайте следователи раскапывают посты  очередного из многих тысяч сетевых троллей, причём в самом запущенном гадюшнике этого форума. Перерыв кучу данных, и найдя первый попавшийся российcкий IP, следствие начинает пытаться найти хоть что-то, похожее на пресловутых террористов. Но как назло, этот адрес оказывается Exit-нодой TORа. Поскольку дальше копать особо не получится, начинают дрючить этого несчастного владельца выходной ноды.

Я не буду обсуждать личность Дмитрия Богатова (именно так зовут владельца ноды), его компетенции или число единиц твёрдости его титан-вольфрам-ванадиевых яиц. Держать выходную ноду тора в РФ у себя дома — это чувак явно с безумием и отвагой.

Как назло, помимо владельца ноды тора, он также оказался преподавателем математики и достаточно известным мейнтенером в Debian-сообществе.
И это на фоне очень и очень слабых доказательств, а вернее, практически полного их отсутствия. Есть лишь обильные логи с форума (где адрес его выходной ноды лишь один из сотен подобных), и на этом собственно всё.
Ну вы в курсе, что такое разнесли где только можно, и новость эта явно незамеченной не пройдёт ?

Итог закономерен и печален — Дмитрию грозит как минимум очень нехилый геморрой, а как максимум — серьезный тюремный срок, настоящие террористы радостно потирают руки (им удалось подставить стороннего человека + дополнительно дискредитировать и так отнюдь не блестящую репутацию правоохранительной системы РФ), а Роисся умудрилась в очередной раз показать себя с очень и очень плохой стороны.

А что самое важное, и что должно напрячь даже тех, кто не держит никаких выходных нод, не постит на форумах революционных призывов и вообще далёк от всего этого, но у кого есть интернет дома — так это то, что функция проксирования ИСКЛЮЧИТЕЛЬНО проста в реализации, есть почти в любом современном вредоносном ПО и часто используется злоумышленниками при рассылках вирусов, спама и сетевых атаках.

С ростом популярности «интернета вещей» и количества уязвимых устройств подобные прокси, поднятые на взломанных домашних роутерах, IP-вебкамерах, или даже «умных» стиральных машинах с WiFi, не говоря уже о протрояненных компьютерах, могут в аналогичных обстоятельствах сыграть очень и очень злую шутку практически с любым пользователем интернета во многих странах мира.

Важный момент — вирусные прокси крайне легковесны (у них нет столь высоких требований анонимности и столь большого числа функций, ТОР всё-таки тяжелая артиллерия), могут быть запущены почти на любой железке с выходом в интернет, они легко могут быть соединены в цепочку, аналогичную создаваемым в сети TOR, так что не надо думать, что подобный риск есть только у операторов выходных узлов TOR, это совершенно не так!

На фоне числа инфицированных компьютеров и взломанных видеорегистраторов ноды тора теряются в статистических погрешностях, так что не думайте, что вас подобное коснуться не может в принципе.

Роутер DIR-300 старой ревизии, хуавей, тп-линк или линксис с уязвимой прошивкой, виндовс ХР — отличные кандидаты на превращение в подобный прокси. При наличии достаточной вычислительной мощности злоумышленники могут и полновесную выходную ноду тора вам поставить для своих целей. Если уж им хватает наглости ставить софтовые майнеры и вирусы-шифровальщики, то за прокси у них точно не заржавеет.

В мире уже были случаи, когда из-за заражения троянами и скрытого проксирования чужого мошеннического траффика спецназ заходил в гости к совершенно непричастным людям.

Так что пожелаем Дмитрию оправдательного решения, получения компенсаций и скорейшего возвращения к спокойной работе над дебиан-проектами и преподаванию математики.

Реклама
- комментарии
  1. Karman:

    Надеюсь это копипаста. Прям как не инженер писал, а барышня в истеричном припадке.
    Какие-то тайны-тайны. У РКН есть два сайта http://blocklist.rkn.gov.ru и http://eais.rkn.gov.ru
    (http://imgdepo.com/id/10546836.jpg).

    Там и причина называется Статья 15.4 Реестр организаторов распространения информации в сети «Интернет»(ясен пень по 149 -фз).

    Просто есть блокировка по Единому реестру, а есть по 149-фз. Для операторов слили в одну выгрузку.

    А математик чем думал, когда целенаправлено организовал дырку в СОРМе через которую банчат наркотой, людьми, оружием. Сам дозой затаривался или раба себе подыскивал?

    Полно народу мечтало отоваривать оппонентов прям через интернет. Ну так вот радуйтейсь))) теперь что интернет, что и IRL.

    Короче пиар ОППО на слабо связанных событиях. Лучше бы не в президенты лезли, а нормально так права отстаивали населения по городам. А то только по столицам шумят.

    Пост оплачен кремлеботам(с)

  2. Amin:

    Копипасты у нас выделены цитированием, а на личности просьба не переходить. =)

    То, что у РКН два сайта, никак не отменяет беспредельность соответствующей статьи, по которой можно банить направо и налево только потому, что некий сайт логи в РКН не отправляет и доступа в свои внутренние базы не даёт. И на вашем скриншоте та же шизоидная причина «4-Restricted». Решения суда нет. Не будут все сайты хранить свои базы в РФ, а посему данная статья — исключительно репрессивная дубинка. Недавно был линкедин, теперь вот зелло. Сайтов таких — миллиарды. И данная заметка сугубо о том, что затыкание сайтов вместо решения первопричин возникающих проблем — путь очень гибельный.

    Что касается математика — мог по ошибке раскомментить параметр ExitPolicy и тупо забыть об этом. Пока не доказано обратное — нет оснований утверждать и даже предполагать, что он искал себе дозу, раба или что-то столь же непотребное. Называется презумпция невиновности. Да и для совершения указанных мерзостей держать выходную ноду совершенно не требуется. Как раз таки искавшие дозу остались незамеченными.

    Не находите, что ошибка в одной строке конфига — весьма слабоватое доказательство, чтобы вешать на математика терроризм и призывы к беспорядкам ?

    Не знаю, чем там кто банчит через дырки в СОРМе — я утверждаю, что использование прокси или тора — совершенно не доказывает причастность математика к чему-либо криминальному. Да, он поступил весьма рискованно, и его ресурсом воспользовались злоумышленники. Но это ни его сопричастность, ни тем более — виновность, совершенно не доказывают.

    А радоваться тут совершенно нечему.

  3. Karman:

    Да-да, я так и поверил что у линуксоида фаервола нет и сервисы у него из под рута запускаются . Показательный прецедент, сделают больно и отпустят. Хотя для конкретного индивида трагедия да.

    ОППО только хайп поднять к выборам президента, чтобы грант дали. Фу такими быть.
    Плохое, плохое ОППО.

    Я наверно как-то специально устроен. Куда не зайду сразу нариков вижу. Вот зашел в аптеку и прям передо мной гопари затариваются. В окно посмотришь под столбами роют закладки ищут. Тоже и про зелло могу сказать.

    Короче на соц сети, форумы и т.д. накидывают поводки. Не сказать что я как-то опечален закрытию форумов геев каких или тех же ОППО. Короче полный караул и репутация страны в опасности, что же теперь мы будем делать аааа!!!!!!111111111одынодын олололол пыщь-пыщь.

  4. Amin:

    Для апа прокси / экзит ноды ни открытие портов в файерволе, ни рут-права в общем случае не требуются. Я почему хайп то поднимаю — с такими «доказательствами» можно каждую вторую домохозяйку с протрояненным компом тащить в ФСБ.

    И не надо недооценивать вероятность человеческой ошибки, помноженную на человеческую лень — слабые пароли, кривые конфиги и непатченные системы в продакшене только так встречаются, а уж для такого околбашенного линуксоида (ну выглядит он забавно, есть немного), как этот математик — раз плюнуть. Я к тому, что по одному только IP и тем более, наличию прокси обвинять в терроризме — это кагбе поездец. А что касается ОППО — то причастность данного математика к ним тем более никак не подтверждена.

    Извини, но я в упор не понимаю, как связаны нарики и гопари с программой зелло.

    Тут вопрос не в том, опечален ты или нет. Просто начавшись с пафосных лозунгов о «защите детей», рос-цензура перешла к массовым блокировкам всего и вся направо и налево по малейшему поводу и без повода, превратившись в полнейший беспредел и хаос. И опасения на эту тему высказывались, так что нельзя сказать, что об опасности расширительной практики применения блокировок не предупреждали.

    Вот взять те же «Грани». Да, они ж0сская оппозиция и, мягко скажем, не любят Путина. =)
    Но в РФ никто любить Путина не заставляет и не обязывает. Клеветать — да, нельзя.
    Так Генпрокуратура так и не смогла указать конкретные материалы, которые закон нарушают, обвинив весь ресурс в целом. С правовой точки зрения это, мягко говоря, не правомерно.

    Я уж не говорю о блокировках попавших под раздачу сайтов типа eve-online (внутри-игровые зелья, привет), википедии, биткойн-инфо и прочем подобном.

    И да, это полный караул.
    А что делать — ну, для начала, наверное хотя бы собственными законами перестать вертеть.

    Понимаешь, такая фигня она и репутацию портит, и напряжение в обществе не снижает, и в целом плохо на легитимности сказывается. В средне- и долгосрочной перспективе это опасно.

    От похожей хвори СССР помер, а это было весьма могущественное государство. И вот как-то повторения такой муйни очень бы не хотелось.

  5. Стас:

    Добрый день!
    Очень порадовала Ваша старенькая статья
    https://aminux.wordpress.com/2016/04/15/q-in-q__juniper_part2/
    Вопрос, а как будет выглядить конфиг интерфейса, через который нужно пропустить одновременно и qinq и обычный trunk. Так сказать вообще juniper может работать в таком гибридном режиме ?

  6. Amin:

    Конфиг будет выглядеть как для обычного транка, что для EX, что для MX-джуниперов. Главное — ethertype 8100 общий на всех, это написано в статье. А вот возможен ли разбор такого микса и сложное перетегирование на этой же MX-железке — вопрос интересный и мне самому. Если смогу выкроить на работе время и стенды, хочу обязательно поиграться.

  7. Стас:

    Благодарю за ответ, просто железка одна рабочая на сети.
    Проверить на другом ex4200, собрать стенд возможности нет, т.к. его нет в наличии.
    Извините что написал не в своем разделе, просто в архивных записях уже нельзя было написать

  8. 100% анонимность в Интернете это фейк.

    Доступ к оборудованию Интернета позволяет отслеживать соединения и сопоставлять
    время их появления, достаточное количество совпадений выявит исходную точку
    соединения без расшифровки.

    Пример:

    Форум, социальная сеть, интересует определённый аккунат, ставим программу на
    постоянный поиск соединений 24 часа в сутки за пределы страны по мере активности
    аккуната, по мере накопления близких совпадений можно сказать кто из страны туда
    пишет, либо проявляет какую либо активность.

  9. Amin:

    Это называется противодействие глобального наблюдателя, и проект tor даже не покушался на противостояние настолько серьёзной атаке, что и написано у них в любом мануале.

    Насчёт «программы» — легко сказать, но сложно сделать. Хранение даже метаданных о трафике за сколь нибудь значимые периоды без суровой агрегации — изрядный гемор и головная боль, не говоря уже о адекватном поиске в этих данных, что отдельная огромная проблема.

    Даже самые современные DPI-системы типа китаёзного «злого SHiTа» на построение столько масштабнызх корреляций вроде не покушались.

    Для примера сделайте такой опыт : если у вас есть современный роутер дома, и есть хотя бы пара устройств (компьютер + смартфон) прикрутите к роутеру tcpdump и netflow — и попробуйте записать:
    а) дамп сырого траффика за сутки
    б) статистику — нетфлоу или собственными средствами роутера
    в) сопоставить полученное с используемыми приложениями, посещаемыми сайтами и прочей сетевой активностью. Даже в столь крохотной сети вы удивитесь количеству сессий, объёмам траффика и геморройности задачи.

  10. Конечно размеры данных огромны, но это последний рубеж для поиска задним числом, в
    реальном времени это не так актуально. Провайдеры справляються с блокировкой сайтов.

    Алгоритм(из спортивного интереса) не такой и сложный:
    В буфере в сетевого устройства перезаписываються самые старые записи, программа мониторит «активность» при срабатывании из буфера данные за»-» определённое время обрабатываются «-» невероятные маршруты «-» прочее и записываються на внешнее устройство. По мере накоплений данных увеличиваеться
    вероятность нахождения.

  11. Amin:

    Блин, как задолбали эти бредни про «поиск задним числом». Вот возьмём тех же АНБ и ЦРУ — могущественнейшие разведывательные службы мира, имеющие деньги и нужных людей для проведения потрясающе сложных операций. Проекты PRISM, эксплоит-паки, перехват уже расшифрованного траффика прямо в датацентрах, отдельные датацентры для хранения данных и массовый шпионаж за своими, чужими, союзниками, противниками и папуасами.

    И как, сильно это помогает ? Мировой терроризм уже пал ?
    Хотя смотря в чем — в промышленном шпионаже офигенно помогает, да и бабос пилить на кипучей деятельности самое оно.

    А вот ловить действительно опасных фанатиков с тротилом — как-то не особо. Очень показателен случай в США, где террористы использовали обычные СМС и одноразовые телефоны. Даже без всякой крипто-стегано-графии и прочего высоколобого матана. А смс перехватывать и писать — это наверное вообще самое простое, что можно придумать. А такой фейлище.

    Не путайте блокировку сайтов с записью статистики и анализом соединений, тем более корреляционном и в большом масштабе. Первая задача несопоставимо проще, но даже для её решения приходится сперва долго срацца с роскомпозором, минсвязью, радиочастотным центром и судами, включая долгие юридические проволочки, а потом таки покупать отнюдь не дешевые системы DPI с пакетами поддержки (привет, СКАТ), просто чтобы роскомнадзор гарантированно отъебался, ибо херня вся эта с блокировками — непрофильная и непрофитная деятельность.

    АлгоритмЪ — бред, простите. Записи _чего_ вы хотите перезаписывать в буфере ? В каком именно буфере ? Да ещё и анализ там же ? На скоростях в десятки гигабит ? Что именно вы писать собрались на внешнее устройство ? Более того скажу — с ростом объёма записанных данных растёт вероятность в них утонуть, ничего путного не найти и поптратить дохера денег на дорогущее хранилище с околонулевым конечным результатом. =)

    Чую, надо писать статью про DPI, как это сделано, и какие там есть подводные камни =)

  12. Сходу не понимаете, разный менталитет.
    1 Устройство с определённым размером и логикой буфера — в чём тут сложность ?
    2 Устроство обработки информации внешнее, считывает данные из буфера например при
    появлении поста в сети:
    «-Требуеться 5 кг …. для …. здания, если понравиться закажу ещё.»
    данные из буфера за последние например 5 минут соединений и обрабатывает,
    появляеться новый пост например:
    «мне ваша цена нравиться давайте договариваться»
    снова считывает данные из буфера за последние 5 минут и отбрасывает соединения которых не было при первой обработке.
    В результате после скажем 20-30 поста к клиенту едут знакомится.

  13. Amin:

    Сходу ваши предложения бредовы и крайне абстрактны, а менталитет тут не при делах.

    Сложность в логике буфера, которая для такой задачи должен быть мощью с полновесный искусственнный интеллект.
    «Требуется 5 кг штукатуки для завершения финишной отделки фасада здания». «мне ваша цена нравится» — умаетесь по стройкам ездить и каждое объявление на авито силами ФСБ проверять.

    Повторю ещё раз — те же СМС идеально под ваш сценарий подходят, казалось бы. Их мало (в силу зверских цен), они в 99.999% нешифрованные и необфусцированные, и короткие.

    Однако по результатам перехвата СМС ни один террорист так и не был пойман. И не будет. Максимум — приедут к случайным покупателям рюкзаков и скороварок. Интересует почему — оставайтесь, постараюсь родить статейку про DPI.