Перейти к содержанию

Tor Browser и анонимность: что нужно знать | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Желание оставаться анонимным в Интернете существует столько же лет, сколько и сам Интернет. Раньше пользователи считали, что, скрываясь за никнеймом, можно писать гадости про соседа на местных форумах — и никто не узнает об этом. Сейчас таких троллей можно вычислить на раз-два. С тех пор технологии совершили квантовый скачок: появились распределенные сети, анонимные браузеры и прочие инструменты для личной конфиденциальности. Один из них, Tor Browser*, особенно активно продвигал десять лет назад бывший агент АНБ Эдвард Сноуден.

А может ли сегодня Tor обеспечить полную анонимность — или можно уже не заморачиваться и переходить на классический браузер вроде Google Chrome?

Как деанонимизируют пользователей Tor

Если вы впервые слышите про Tor и не представляете, как он работает, ознакомьтесь с нашим винтажным материалом. Там мы ответили на самые популярные вопросы: как в браузере обеспечивается анонимность, кому она нужна и чем обычно занимаются в теневом Интернете. Если коротко, то анонимизация трафика пользователей Tor обеспечивается за счет распределенной сети серверов, которые называют узлами. Весь сетевой трафик многократно шифруется, проходя через несколько сетевых узлов на пути между двумя коммуницирующими компьютерами. Ни один сетевой узел не знает одновременно и адрес отправки пакета данных, и адрес получателя, к тому же узлам недоступно содержимое пакета. Теперь, когда короткий экскурс закончен, мы сосредоточимся на реальной угрозе безопасности адептов анонимного Интернета.

В сентябре немецкие спецслужбы установили личность одного из пользователей Tor. Как им это удалось? Главным ключом в деанонимизации стали данные, полученные в результате так называемого временнóго анализа.

 

View the full article

Umnik

Umnik

Опубликовано
Опубликовано
Цитата

Раньше пользователи считали, что, скрываясь за никнеймом, можно писать гадости про соседа на местных форумах

Ух. Первые строки начал читать, а уже запрягаем "анонимность нужна только плохим людям для плохих дел".

Цитата

Сейчас таких троллей можно вычислить на раз-два.

Писать гадости про соседа не значить быть троллем. Обсудить человека за его спиной - это привычное поведение людей. Да, мы считаем это поведение плохим, но это не троллинг.

Цитата

появились распределенные сети

Они появились ещё до Инета и никуда не девались, в общем-то. Просто одни виды умирали, другие появлялись.

Цитата

анонимные браузеры

Не бывает анонимных или не анонимных браузеров.

Цитата

Весь сетевой трафик многократно шифруется, проходя через несколько сетевых узлов на пути между двумя коммуницирующими компьютерами.

Нет, это не так. Шифрование происходит 1 раз, а не многократно. Люди не понимают принципа работы tor, но статьи пишут. Или понимают, но не могут объяснить. Или не хотят.

 

Принцип такой:

  1. Используется асимметричное шифрование. То есть ключ шифрования - публичный - доступен кому угодно. Кто угодно на планете может его получить и зашифровать данные. А вот расшифровать сможет только обладатель приватного ключа, который есть только у него
  2. Ключи узлов свободно доступны
  3. Отправитель - Алиса - хочет отправить пакет получателю - Бобу
  4. Алиса формирует маршрут прохождения пакета. Она решает, что пакет пройдёт через узлы А, Б, В, Г, Д и узел Д будет последний перед Бобом
  5. Алиса получает открытые ключи Боба и каждого из узлов
  6. Алиса формирует пакет и шифрует его в обратном порядке: сначала данные шифрует публичным ключом Боба, затем итог шифрует ключом узла Д, потом Г и так далее до узла А. Отсюда термин "луковичное шифрование" - типа слои репчатого луга. С тем же успехом можно было назвать белокочанной капустой
  7. При шифровании в каждый слой она заложила данные следующего узла
  8. Она отправила пакет на узел А
  9. Узел А, используя свой закрытый ключ, снял только первый слой шифрования. Он не может снять второй слой, т.к. у него нет закрытого ключа узла Б. Но под первым слоем он видит, что дальше по пути надо отправить пакет Б. Это всё, что он видит
  10. Б получил пакет от А. Он также снял свой слой, также увидел, что надо отправить пакет на узел В. Он знает, что пакет пришёл от узла А, но не знает, кто был до узла А, этой информации на его слое нет. Узел X видит, что пакет пришёл от X-1 узла и нужно отправить на узел X+1. Других данных у него нет
    1. Надо понимать, что данные есть, но технического характера. Они полезны, чтобы отбросить заведомо повреждённые пакеты, например. Но на на этом всё
  11. Так продолжается до узла Д. Тот снимает свой слой  и шлёт пакет Бобу
  12. Боб дешифрует данные и читает "Писька ахахахахах)))))"

Узел А - входной узел. Узел Д - выходной. Остальные - промежуточные узлы. Алиса сама решает, сколько будет промежуточных узлов и какие именно они будут. При этом рекомендуется использовать всего 3 узла и так настроено по умолчанию. Эти настройки лучше не менять.

 

Вот и всё. Нет никакого многократного шифрования трафика на промежуточных узлах. Если уж докапываться, то там ровно обратная операция происходит - снятие слоёв шифрования. А вот перешифрование на каждом узле - это фича не луковичной, а чесночной маршрутизации - i2p.

Цитата

У нас есть анонимный браузер

Браузер для доступа в сеть с упором на анонимность. Если упрощать - браузер для доступа в анонимную сеть, но не анонимный браузер. При этом ничего не мешает использовать вообще любой браузер для работы с tor. И даже не браузеры вовсе. Вы можете настроить Антивирус Касперского для обновления баз через тор, если очень хотите.

Цитата

Если вы законопослушный человек

С этого начали, этим и закончили. Раз тор, то всё, преступник. А между тем, вот цель существования тор: "You have a right to SPEAK without uninvited listeners." - вы имеете право высказываться без непрошеных слушателей. Режимы анонимности - это плохо работающий механизм обеспечения приватности. Эти мои права даже ООН поддерживает: https://www.ohchr.org/ru/stories/2015/07/human-rights-encryption-and-anonymity-digital-age

 

// сам я не использую тор уже давно, но по-прежнему промежуточный узел для других, а равно узел i2p. Хотя раньше даже на этот форум заходил через тор. Просто вот из принципа.

  • Like (+1) 3

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Подготовка ребенка к знакомству с гаджетами: все, что нужно знать родителям | Блог Касперского
      Автор KL FC Bot
      Рано или поздно большинству родителей приходится покупать ребенку его собственный гаджет. Согласно исследованию «Лаборатории Касперского», у 61% детей первый гаджет появляется в возрасте от восьми до двенадцати лет, а вот 11% детей, как ни удивительно, получают в подарок смартфон или планшет прежде, чем им исполнится пять. Но когда бы ваше чадо ни получило свой первый гаджет, важно правильно подготовиться к этому вам самим и подготовить ребенка.
      «Лаборатория Касперского» в партнерстве с клиническим психологом, доктором Салихой Африди подготовила памятку по кибербезопасности и психологическим аспектам, которые родителям следует изучить, прежде чем подарить ребенку первый гаджет.
      Что нужно сделать перед тем, как подарить ребенку гаджет?
      Прежде чем подарить первый гаджет ребенку, создайте для него детскую учетную запись. Любой планшет и смартфон должны быть защищены и настроены в соответствии с возрастом его владельца. Как только вы купили устройство — сразу же позаботьтесь о его безопасности. Детская учетная запись — это один из элементов защиты, предотвращающий, в частности, доступ ребенка к контенту для взрослых с неприличным содержанием. Выясните, как создать детский аккаунт на устройствах Android или Apple.
      Установите самые необходимые приложения для общения и определения местонахождения (например, мессенджеры и карты), а также обучающие программы. Не забудьте настроить параметры конфиденциальности для каждого установленного приложения, чтобы, к примеру, незнакомцы не смогли найти ребенка по номеру телефона. Выбрать оптимальные параметры защиты помогут специальные инструменты, совместимые с разными устройствами и операционными системами.
      Не забудьте установить приложение для родительского контроля. С его помощью вы сможете блокировать нежелательный контент, отслеживать время использования ребенком тех или иных приложений (и при необходимости ограничивать его), а также всегда будете знать, где находится ваш ребенок.
       
      Посмотреть статью полностью
    • KL FC Bot
      Какое образование нужно специалисту по кибербезопасности | Блог Касперского
      Автор KL FC Bot
      Мировой рынок труда давно испытывает нехватку специалистов в области кибербезопасности. Зачастую компании, которые сталкиваются с необходимостью найма специалистов по ИБ, не могут найти достаточно экспертов с профильным образованием и нужным опытом. Для того чтобы понять, насколько для обеспечения безопасности компании важно наличие у сотрудников формального образования в этой области и насколько такое образование отвечает современным потребностям рынка, наши коллеги провели исследование, опросив более 1000 человек из 29 стран различных регионов мира. Среди опрошенных специалисты разного уровня: от начинающих с двухлетним стажем до IT-директоров и руководителей SOC с 10 годами опыта. И, судя по ответам респондентов, становится понятно, что классическое образование не поспевает за ИБ-трендами.
      Во-первых, далеко не все специалисты вообще имеют высшее образование: больше чем у половины (53%) представителей отрасли ИБ из разных стран нет послешкольного образования. Но даже из тех, кто его имеет, каждый второй сомневается в том, что их формальное образование реально помогает выполнять должностные обязанности.
      Дело в том, что кибербезопасность — быстро меняющаяся отрасль. Ландшафт угроз меняется настолько стремительно, что даже отставание в пару месяцев может быть критично, не говоря уж о четырех-пяти годах, которые могут уйти на получение ученого звания. За это время злоумышленники могут модернизировать свои тактики и методы таким образом, что начинающему специалисту по ИБ в случае реальной атаки придется спешно читать свежие статьи об угрозах и методах защиты.
      Часто реально работающие ИБ-специалисты утверждают, что учебные заведения в любом случае не предоставляют достаточно практических знаний, не имеют доступа к современным технологиям и оборудованию, да и в целом для работы и борьбы с реальными киберугрозами в любом случае требуется дополнительное образование.
      Это все, разумеется, не означает, что кибербезопасники с профессиональным или высшим образованием менее компетентны, чем их коллеги со школьными аттестатами. В конечном итоге важнейшую роль в профессиональном развитии играет энтузиазм и способность постоянно развиваться. Многие опрошенные отметили, что получили в традиционных учебных заведениях скорее теоретические знания, нежели практические, — этим и полезно академическое образование, потому что без должной теоретической базы обучение может продвигаться медленнее. С другой стороны, специалисты, не имеющие послешкольного образования вообще или пришедшие в ИБ из другой IT-отрасли, точно так же могут стать эффективными специалистами по защите от киберугроз.
      Как исправить ситуацию на рынке?
      Для того чтобы рынок смог получить достаточное количество экспертов по информационной безопасности, ситуацию следует выравнивать с двух сторон. Во-первых, учебным заведениям имеет смысл обдумать партнерство с компаниями, работающими в сфере кибербезопасности. Это позволит им обеспечивать студентов практическими знаниями, которые более применимы в кибербезопасности. Во-вторых, компаниям имеет смысл периодически повышать экспертные знания своих сотрудников при помощи специализированных образовательных курсов (в данный момент доступны только на английском языке).

      Ознакомиться с частью отчета, посвященной проблемам образования, можно на странице первой главы — Educational background of current cybersecurity experts. Посмотреть статью полностью
    • KL FC Bot
      Компрометация NX build – что важно знать разработчикам и службам ИБ про атаку s1ngularity | Блог Касперского
      Автор KL FC Bot
      Популярная система сборки и оптимизации сборочного конвейера CI/CD Nx была скомпрометирована в ночь с 26 на 27 августа. В пакеты системы, имеющие по статистике репозитория npm более 5 миллионов загрузок еженедельно, был добавлен вредоносный скрипт, который запускается сразу после инсталляции пакета. У тысяч разработчиков, применяющих Nx для ускорения и оптимизации сборки приложений, были украдены важные конфиденциальные данные: токены npm и GitHub, ключи SSH, криптокошельки, API-ключи. Эти данные выгружались в публичный репозиторий GitHub. Масштабная утечка секретов создает долгосрочную угрозу атак на цепочку поставок — даже когда вредоносные пакеты будут удалены из пораженных систем, у злоумышленников все равно могут остаться возможности компрометации приложений, создаваемых этими тысячами разработчиков.
      Хронология атаки и реагирования
      Злоумышленники воспользовались скомпрометированным токеном одного из мейнтейнеров пакета Nx чтобы в течение двух часов с 22:32 UTC 26 августа до 0:37 UTC 27 августа опубликовать многочисленные вредоносные версии пакета Nx и его плагинов. Двумя часами позже платформа npm удалила все скомпрометированные версии пакетов, а еще час спустя владельцы Nx отозвали украденный токен — атакующие потеряли доступ к публикации. Тем временем на GitHub стали появляться тысячи публичных репозиториев, содержащих данные, украденные вредоносным скриптом.
      27 августа в 9:05 UTC отреагировал уже GitHub, сделав все репозитории с утечкой приватными и недоступными для поиска. Тем не менее, украденные данные были общедоступны более 9 часов и их скачали многократно разные группы злоумышленников и исследователей. В общей сложности было выпущено 19 скомпрометированных версий Nx и плагинов:
      @nx, 20.9.0, 20.10.0, 20.11.0, 20.12.0, 21.5.0, 21.6.0, 21.7.0, 21.8.0 @nx/devkit, 20.9.0, 21.5.0 @nx/enterprise-cloud, 3.2.0 @nx/eslint, 21.5.0 @nx/js, 20.9.0, 21.5.0 @nx/key, 3.2.0 @nx/node, 20.9.0, 21.5.0 @nx/workspace, 20.9.0, 21.5.0  
      View the full article
    • KL FC Bot
      SubsCrab | Блог Касперского
      Автор KL FC Bot
      Цифровое благополучие — это не только конфиденциальность, защита от мошенников в сети и поломок техники. Это еще и разумный контроль над своими социальными сетями; над временем, проводимым у экранов; над деньгами, которые мы тратим на цифровые сервисы, наконец. Причем денежные траты все чаще осуществляются через различные подписки. Повторяющиеся платежи давно привычны для оплаты связи, музыкальных и видеостриминговых сервисов, просмотра ТВ, чтения новостных сайтов, газет и журналов. Но сегодня подписаться можно практически на что угодно — например, на доставку товаров регулярного потребления, вроде носков или кофе. Более того, во многих случаях подписка — это единственный вариант получить приложения, игры, онлайн-услуги. На эту модель переходят все больше и больше сервисов, и количество подписок растет, как снежный ком. А недавно до идеи подписок додумались даже автопроизводители, и, вероятно, скоро включить подогрев сидений или навигацию можно будет, лишь подписавшись на эту «услугу».
      Распространившись на все сферы жизни, подписки постепенно выходят из-под контроля. Недавнее исследование показало, что люди склонны недооценивать количество своих ежемесячных подписок.  Например, средний американец считает, что тратит в месяц на различные подписки $86, тогда как на самом деле его расходы составляют аж $219! В России среднемесячная стоимость подписки на онлайн-сервисы ниже. Но, помимо онлайна, есть и другие повторяющиеся платежи — ипотека, кредиты, коммунальные платежи, проездные на общественный транспорт, абонементы на фитнес и так далее — и все их нужно учитывать при планировании своего бюджета, чтобы грамотно распределить все расходы и не забыть вовремя внести очередной платеж. Ведь просрочки чреваты не просто потерей доступа к тем или иным сервисам, но и штрафами, ухудшением кредитной истории, а то и судебными исками.
      Существует множество подписочных моделей: с автоматическим и ручным продлением, с пробным периодом и без него. Часто в изобилии подписок люди просто забывают, на какие сервисы они уже подписаны. Если про платежи по ипотеке большинство все же помнит, то подписаться на три разных стриминговых сервиса, а пользоваться только одним — совершенно обыденное явление. 42% опрошенных сказали, что у них бывали случаи, когда они переставали использовать приложение или сервис, но продолжали ежемесячно за него платить из-за забывчивости.
      Кроме того, многие активные подписки, продлеваемые годами по одному и тому же тарифному плану, со временем становятся невыгодными — сменив тариф, применив промо-код или изучив предложения конкурентов, можно уменьшить их стоимость.
      Но еще чаще случается другая проблема: 74% пользователей забывают, что пришло время оплатить подписку. Если она работает по принципу автопродления, это оборачивается неожиданным списанием с карты. Если же оплачивать подписку нужно вручную, забывчивость чревата неожиданным прекращением сервиса. Это особенно неприятно, если забыта подписка на услуги связи или на что-то столь же важное.
      Бесплатный пробный период
      Еще один распространенный способ «случайно» потратить деньги — подписка на сервисы и приложения с бесплатным пробным периодом. Номер банковской карты у вас берут в начале пользования услугой, но списания денег не происходит. Спустя неделю, месяц или иной пробный период происходит первое списание средств за подписку. Если вы за это время попользовались услугой и решили, что она вам не подходит, какова вероятность, что вы зашли в настройки и отменили подписку? Как показывает практика, забывают это сделать очень многие. Этой забывчивостью даже стали пользоваться не слишком чистоплотные разработчики, продающие через App Store и Google Play приложения с необоснованно высокой ежемесячной стоимостью (например, $90 в месяц за обычный калькулятор). Подобные приложения называются fleeceware.
       
      Посмотреть статью полностью
    • KL FC Bot
      Microsoft Copilot+ Recall: кому его нужно отключить и как это сделать | Блог Касперского
      Автор KL FC Bot
      Когда год назад Microsoft анонсировала функцию «фотографической памяти» Recall для компьютеров Copilot+ PC, эксперты ИБ забили тревогу. Многочисленные недостатки Recall серьезно угрожали конфиденциальности, и в Редмонде отложили запуск, чтобы доработать решение. Видоизмененный Recall появился в сборках Windows Insider Preview с апреля 2025 года, а в мае 2025 года стал широко доступен на компьютерах, имеющих нужное оборудование. Суть Recall не изменилась — компьютер запоминает все ваши действия, постоянно делая скриншоты и распознавая с применением OCR их содержимое. Но защита этих данных серьезно улучшена. Насколько это меняет общую ситуацию с Recall и стоят ли некоторые его удобства возможной потери контроля над личной информацией?
      Что изменилось во втором выпуске Recall
      Со времен первого анонса, о котором мы подробно писали, в Microsoft адресно проработали основные претензии экспертов ИБ.
      Во-первых, Recall теперь активируется только с разрешения пользователя при первоначальной настройке системы. Интерфейс не навязывает пользователям выбор визуальными трюками вроде выделения кнопки «Да».
      Во-вторых, файлы базы данных Recall теперь шифруются, а хранение ключей и криптографические операции организованы на базе аппаратного модуля защиты TPM, так что их извлечение стало значительно сложнее.
      В-третьих, специальный фильтр пытается не сохранять ни скриншоты, ни тексты, если на экране находится потенциально секретная информация: окно браузера в режиме инкогнито, окно ввода платежных данных, карточки в менеджере паролей и так далее. Важен акцент на слове «пытается» — все тестеры описывают многочисленные случаи, когда конфиденциальные данные проскочили фильтр и оказались в базе распознавания.
       
      View the full article
×
×
  • Создать...