moscow radical tech collective 10/11/2013Вам не обязательно понимать, как...
TRANSCRIPT
![Page 1: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/1.jpg)
Moscow Radical Tech Collective 10/11/2013
Tor: распределенная система анонимизации● Что это?● От чего защищает и от чего НЕ защищает● Как работает?
![Page 2: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/2.jpg)
Всё плохо
![Page 3: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/3.jpg)
Криптография
● Шифрование с открытым ключом (RSA-1024)● Потоковые шифры (AES-128)● Алгоритмы дайджеста сообщений (SHA-1)● Цифровые подписи● Диффи-Хелман
![Page 4: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/4.jpg)
Без паники!
Вам не обязательно понимать, как это работает.
Давайте просто допустим, что это такие чёрные ящики, которые достаточно надёжны.
Поэтому мы их используем.
![Page 5: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/5.jpg)
Происхождение Tor
● Основан на луковичной маршрутизации (onion routing)
● Разработан ВМС США в 1998● Анонимная коммуникация на недоверенной
сети● Сообщения последовательно шифруются и
посылаются через цепь узлов
![Page 6: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/6.jpg)
Луковичная маршрутизация v.1
● Первый узел шифрует сообщение для других узлов перед тем, как передать его
● Каждый узел расшифровывает сообщение● Обнаруживает адрес следующего узла и
следующее зашифрованное сообщение● У последнего узла – полностью
расшифрованное сообщение
![Page 7: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/7.jpg)
А Tor?
● Система луковичной маршрутизации второго поколения
● Распределенные прокси, связанные шифрованными каналами
● Защищает анонимность отправителя и получателя
● Одна программа, много функций● Кроссплатформенный: Linux, UNIX, Windows,
OSX, Android
![Page 8: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/8.jpg)
Обзор сети
![Page 9: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/9.jpg)
Первый скачок
![Page 10: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/10.jpg)
Второй скачок
![Page 11: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/11.jpg)
Длина пути (circuit length)
● В Tor путь состоит из трёх узлов: отправитель посылает сообщение первому узлу, тот второму (промежуточному), а промежуточный – конечному узлу (exit node).
● От exit node трафик уходит в неанонимный интернет.
![Page 12: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/12.jpg)
Полный путь
![Page 13: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/13.jpg)
Модель угроз?
![Page 14: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/14.jpg)
Модель угроз
● Атакующий собирает информацию о том, как вы используете сеть
● Атакующий наблюдает за частью сети● Может вмешиваться в трафик● Может создавать подконтрольные узлы● Может скомпрометировать уже
существующие узлы
![Page 15: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/15.jpg)
Рецепты
● Узлы разбросаны по всему Интернету● Трафик между узлами зашифрован● Трафик марщрутизируется через несколько
узлов● Узлы знают только одно звено выше или
ниже по цепочке.
![Page 16: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/16.jpg)
Архитектура сети
● Различные типы узлов● Любой узел может быть конечным (exit node)● Маршруты (circuits) постоянно
перестраиваются.
![Page 17: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/17.jpg)
Типы узлов
● Клиенты (clients)– Позволяют пользователю ходить по сети
● Релеи (Relays)– Маршрутизируют трафик в Tor
● Выход, конечный узел (Exit)– Шлюзы в обычный Интернет
● Мосты (Bridges)– Их адреса открыто не публикуются
– Позволяют соединяться с Tor под блокировкой
![Page 18: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/18.jpg)
Настройка клиента
● Скачать пакет TorBrowser (https://torproject.org)
● Там все что нужно● Можно самостоятельно скомпилировать из
исходников● Запустить TorBrowser
![Page 19: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/19.jpg)
Как настроить у себя Tor-релей
● Установить Tor● Удостовериться, что у вашего компьютера
открыт в Интернет порт 9001/TCP● Проверить, что у вас работает
автоматическая синхронизация времени (NTP)
● Включить режим релея в настройках Tor (файл torrc)
![Page 20: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/20.jpg)
Скрытые службы (hidden services)
● .onion - серверы● Позволяет скрыть ip-адрес сайта● Можно перемещать между узлами● На программном уровне в сайте ничего
менять не нужно● Нет прямого соединения между
посетителями и сайтом
![Page 21: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/21.jpg)
Встречные узлы
![Page 22: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/22.jpg)
Бродим во тьме
● Нам известен адрес сайта abcdefghijklmnop.onion
● Вася строит путь до случайного узла - Пети● Вася шлёт Пете случайный ключ
авторизации● Петя будет использовать этот ключ, чтобы
соединить путь Васи и путь скрытого сайта
![Page 23: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/23.jpg)
“Меня послал Вася.”
![Page 24: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/24.jpg)
Стол на двоих?
● Вася связывается с одним из встречных узлов скрытого сайта и отправляет ему сообщение, зашифрованное его открытым ключом
● Встречный узел перенаправляет сообщение на скрытый сайт
![Page 25: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/25.jpg)
...пустите?
![Page 26: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/26.jpg)
Обмен сообщениями
● Скрытый сайт строит путь до промежуточного узла (Пети)
● Сайт шлёт сообщение Пете● Петя соединяет Васю и скрытый сайт● Всё это шифруется.
![Page 27: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/27.jpg)
Всё работает...
![Page 28: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/28.jpg)
Заблокированные релеи? Не проблема
● Список tor-релеев публикуется открыто● Не значит ли это, что можно их
заблокировать?● Да, значит● Для решения это проблемы предназначены
мосты● Недокументированные узлы, которые строят
пути для пользователей, находящихся за тоталитарными файрволлами
![Page 29: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/29.jpg)
Использование мостов
● Как получить адрес?– [email protected] с ящика на Yahoo или Gmail
– https://bridges.torproject.org/
– Создайте свой
● Можно настроить руками
![Page 30: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/30.jpg)
Потенциальные недостатки?
![Page 31: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/31.jpg)
Концептуальные недостатки
● Сервера-директории● Медленнее, чем обычный интернет● Конечных узлов меньше, чем узлов вообще● Некоторые релеи запрещают некоторые
виды трафика● Тайминговые атаки: наблюдатель может
пытаться соотнести вашу активность на входе в Tor и на выходе из него
![Page 32: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/32.jpg)
Потенциальные опасности
● Нешифрованные соединения или файлы● Публикация идентифицирующей вас
информации● Плохо настроенное программное
обеспечение на вашей стороне– IP-адрес
– Вредный JavaScript, Flash, Java
● Закладки
![Page 33: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/33.jpg)
Риски
● Релеи и мосты довольно безопасны – они гоняют только шифрованный трафик
● Скрытые сайты можно скомпрометировать● Риски конечных узлов зависят от их
политики● Исходящий трафик выглядит так, как будто
он ваш
![Page 34: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/34.jpg)
Как помочь?
● Помогайте программировать● Исследуйте код● Проводите анализ безопасности● Жертвуйте деньги проекту● Настройте у себя релей (лучше с
возможностью выхода – exit node)
![Page 35: Moscow Radical Tech Collective 10/11/2013Вам не обязательно понимать, как это работает. Давайте просто допустим, что это](https://reader034.vdocuments.site/reader034/viewer/2022050112/5f499369fffe1043bc11eb59/html5/thumbnails/35.jpg)
Замечания?
Вопросы?
На основе слайдов от NOVALUGhttp://drwho.virtadpt.net/