Анонимность в Tor: что нельзя делать / Хабр

Что такой скрытый сервис tor и как его сделать

Если вы уже используете скрытые сервисы TOR, то убедитесь, что у вас адрес и ключи третьей версии. То есть ранее адреса были примерно такие:

А теперь стали примерно такие:

• hacking5xcj4mtc63mfjqbshn3c5oa2ns7xgpiyrg2fenl2jd4lgooad.onion

В октябре 2023 скрытые сервисы TOR Onion версии 2 перестанут работать. Уже некоторое время при автоматической генерации домена для скрытого сервиса используется TOR Onion v3 vanity. Но если вы по-прежнему используете старую, вторую версию, то вам нужно переходить на третью с новым адресом, а старый адрес использовать для информирования ваших посетителей.

Данная инструкция по настройке скрытого сервиса Tor покажет его настройку в Kali Linux, но она подойдёт для всех производных Debian, в том числе для Linux Mint и Ubuntu. Если у вас дистрибутив на основе Arch Linux, то для вас инструкция «Настройка скрытого сервиса Tor в Arch Linux / BlackArch».

Скрытые сервисы Tor имеют доменные имена с расширениями .onion

Скрытые сервисы доступны только из сети Tor. Например, вы можете открыть эти адреса, если вы используете Tor Browser. Для скрытого сервиса не нужен белый IP, поскольку роутинг трафика осуществляется внутри сети Tor и она полностью ответственна за обмен данных.

Доменное имя вида .onion выдаётся бесплатно и автоматически. Оно генерируется как случайный набор символов, и вы не можете его выбрать. Тем не менее в статье «Как получить красивое доменное имя для скрытого сервиса Tor» рассказано, как это можно в некоторой степени обойти.

Как уже было сказано, не нужен белый IP, единственное требование – компьютер должен быть включён и должен быть подсоединён к сети Tor. Также требуется веб-сервер. На сервере вы можете использовать любые технологии, в том числе Apache, PHP, системы управления базами данных и прочее – всё, что сможете установить на свой компьютер или свой сервер. Для установки веб-сервера рекомендуется статья «Установка LAMP «Азы работы с веб-сервером для пентестера».

Подразумевается, что вы прочитали статью по ссылке и у вас уже установлен веб-сервер и вы его запустили:

sudo systemctl start apache2
sudo systemctl start mysql

Tor relay за пять минут

# aptitude install tor

Nickname MyCoolNick
ContactInfo Person <somebody AT example dot com>
ORPort 443 NoListen
ORPort 9001 NoAdvertise
DirPort 80 NoListen 
DirPort 9030 NoAdvertise
ExitPolicy reject *:* # no exits allowed
ExitPolicy reject6 *:* # no exits allowed

# Generated by iptables-save v1.4.14 on Sat Jul  5 14:15:04 2023
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [22:1968]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9001 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9030 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Jul  5 14:15:04 2023
# Generated by iptables-save v1.4.14 on Sat Jul  5 14:15:04 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [1:104]
:POSTROUTING ACCEPT [1:104]
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 9001
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9030
COMMIT
# Completed on Sat Jul  5 14:15:04 2023

auto lo
iface lo inet loopback
	pre-up /sbin/iptables-restore /etc/iptables.save.rules

/sbin/iptables-restore /etc/iptables.save.rules

# service tor restart

Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
Tor has successfully opened a circuit. Looks like client functionality is working.
Self-testing indicates your DirPort is reachable from the outside. Excellent.
Performing bandwidth self-test...done.

deb http://deb.torproject.org/torproject.org DISTRIBUTION main

# gpg --keyserver keys.gnupg.net --recv 886DDD89
# gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
# apt-get update
# apt-get install tor

Выбор ip определённой страны для узлов tor

ExitNodes НОДА,НОДА,...

Список идентификационных отпечатков, кодов стран и шаблонов адресов узлов, которые будут использоваться в качестве выходного узла, то есть узла, который доставляет вам трафик за пределы сети Tor.

Пример настройки, которая устанавливает использование только выходные узлы Tor из европейских стран (Германия, Франция, Финляндия, Нидерланды, Новая Зеландия, Норвегия, Швейцария, Швеция, Дания, Эстония):

ExitNodes {de}, {fr}, {fi}, {nl}, {nz}, {no}, {ch}, {se}, {dk}, {ee}

Обратите внимание: если вы укажете здесь слишком мало узлов или исключите слишком много выходных узлов с помощью ExcludeExitNodes, вы можете снизить функциональность. Например, если ни один из перечисленных выходов не разрешает трафик через порт 80 или 443, вы не сможете просматривать веб-страницы.

Также обратите внимание, что не каждый канал используется для доставки трафика за пределы сети Tor. Нормально видеть контуры без выхода (например, те, которые используются для подключения к скрытым службам, те, которые выполняют подключение к управляющим серверам, те, которые используются для самотестирования доступности ретранслятора и т. д.), которые заканчиваются на узле без выхода. Чтобы полностью исключить узлы по определённым признакам, смотрите ExcludeNodes и StrictNodes.

Опция ExcludeNodes переопределяет эту опцию: любой узел, указанный одновременно в ExitNodes и ExcludeNodes, рассматривается как исключённый.

Адресная запись .exit, если она включена через MapAddress, переопределяет эту опцию.

Защита от выявления пользователей tor по профилю использования трафика

Существуют исследования, в которых предложены методы идентификации пользователей сетей Tor на основании собранной информации об исходящем от них трафике и трафике пришедшем к определённому хосту. Трафик может быть зашифрован, но характер активности иногда позволяет действительно сопоставить пользователей.

Для защиты от такого рода атак узлы сети Tor могут посылать ненужный трафик — просто чтобы сбить с толку подобные анализаторы профилей трафика. Эти данные называются padding, «заполнение».

ConnectionPadding 0|1|auto

Этот параметр регулирует использование Tor для защиты от некоторых форм анализа трафика. Если установлено значение auto, Tor будет отправлять заполнение только в том случае, если и клиент, и реле поддерживают его. Если установлено значение 0, Tor не будет отправлять ячейки заполнения.

Если установлено значение 1, Tor все равно будет отправлять заполнение для клиентских подключений независимо от поддержки ретрансляции. Только клиенты могут установить эту опцию. Эта опция должна предлагаться через пользовательский интерфейс мобильным пользователям для использования там, где пропускная способность может быть дорогой. (По умолчанию: авто)

ReducedConnectionPadding 0|1

Если установлено значение 1, Tor не будет держать OR соединения открытыми в течение очень долгого времени и будет меньше заполнять эти соединения. Только клиенты могут установить эту опцию. Эта опция должна предлагаться через пользовательский интерфейс мобильным пользователям для использования там, где пропускная способность может быть дорогой. (По умолчанию: 0)

CircuitPadding 0|1

Если установлено значение 0, Tor не будет заполнять клиентские каналы дополнительным трафиком покрытия. Только клиенты могут установить эту опцию. Эта опция должна предлагаться через пользовательский интерфейс мобильным пользователям для использования там, где пропускная способность может быть дорогой.

ReducedCircuitPadding 0|1

Если установлено значение 1, Tor будет использовать только алгоритмы заполнения, которые имеют низкие издержки. Только клиенты могут установить эту опцию. Эта опция должна предлагаться через пользовательский интерфейс мобильным пользователям для использования там, где пропускная способность может быть дорогой. (По умолчанию: 0)

Избегайте сценариев «tor через tor»

Примечание

: это проблема конкретно сервиса Whonix.

Когда используется прозрачный прокси (такой как Whonix), то можно запустить сессии Tor одновременно на стороне клиента и на прозрачном прокси, что создаёт сценарий «Tor через Tor».

Такое происходит при установке Tor внутри Whonix-Workstation или при использовании Tor Browser, который не сконфигурирован для использования SocksPort вместо TransPort. Подробнее об этом написано в статье Tor Browser.

Эти действия рождают неопределённость и потенциально небезопасны. В теории, трафик идёт через шесть узлов луковичной маршрутизации вместо трёх. Но нет гарантии, что три дополнительные узла отличаются от первых трёх; это могут быть те же самые узлы, возможно, в обратном или смешанном порядке. По мнению специалистов Tor Project, это небезопасно: [7]

Мы не поощряем использование более длинных путей, чем стандартные — это увеличивает нагрузку на сеть без (насколько мы можем судить) повышения безопасности. Помните, что самый эффективный способ атаки на Tor — атаковать выходные точки и игнорировать середину пути. Кроме того, использование маршрута длиннее, чем три узла, может вредить анонимности. Во-первых, это упрощает атаки типа «отказ в обслуживании». Во-вторых, подобные действия можно воспринимать как идентификатор пользователя, если только немногие так будут делать («О, смотри, опять тот парень, который изменил длину маршрута»).

Пользователи могут вручную указывать точку входа или выхода в сети Tor,

, но с точки зрения безопасности лучше всего оставить выбор маршрута на выбор Tor. Переустановление точки входа или выхода Tor может ухудшить анонимность способами, которые не слишком хорошо понятны. Поэтому конфигурации «Tor через Tor» настоятельно не рекомендуются.

Лицензия главы «Избегайте сценариев „Tor через Tor”»: [9]

Интерес властей к tor

Tor вызывает интерес у правоохранительных органов некоторых стран. Ведь с его помощью можно получить доступ к сайтам с запрещенной информацией и совершать нелегальные сделки в даркнете, при этом скрывая свою личность. Поэтому желание властей взять под контроль «луковый» сегмент интернета не должно вызывать удивления.

В 2023 г. Федеральное бюро расследований (ФБР) заплатило $1 млн исследователям из Университета Карнеги-Меллон в США за помощь в проникновении в Tor с целью деанонимизации его пользователей.

В августе 2023 г. CNews писал, что всего за несколько тысяч долларов в месяц сеть Tor можно настолько замедлить, что пользователи просто откажутся в ней работать. Американские исследователи предложили на выбор три вида атаки: на мосты, на узлы и на систему распределения трафика. Стоимость варьируется от $1,6 тыс. до $17 тыс. в месяц, что легко может себе позволить любое правительство.

Российские власти также знают о существовании Tor. Принятый в 2023 г. закон обязует анонимайзеры, к которым относится Tor, и VPN-провайдеров блокировать сайты и сервисы из черного списка Роскомнадзора. Tor эти требования не выполняет.

В июле 2023 г. хакерская группировка 0v1ru$ взломала сервер компании «Сайтэк», якобы являющейся подрядчиком российских спецслужб и других госструктур. Полученные в результате атаки документы содержали информацию о ряде тайных проектов, нацеленных, в том числе, на анализ трафика сети Tor.

В середине июня 2023 г. Роскомнадзор ввел ограничительные мер в отношении VPN-сервисов VyprVPN и Opera VPN. Регулятор объяснил это тем, что данные сервисы используются для доступа к запрещенной в России информации – детской порнографии, суицидальному, пронаркотическому и подобному нелегальному контенту.

На момент публикации данного материала доступ к сети Tor на территории России не ограничен и возможен без использования мостов.

Использование строгой политики выхода через tor

Как было рассказано в предыдущих разделах, по умолчанию Tor блокирует доступ через сеть Tor для некоторых портов и IP адресов. Вы можете использовать директиву

ReducedExitPolicy 1

которая разрешает доступ к некоторым портам, но блокирует доступ для всех остальных портов.

Содержание строкой политики такое:

               accept *:20-21
               accept *:22
               accept *:23
               accept *:43
               accept *:53
               accept *:79
               accept *:80-81
               accept *:88
               accept *:110
               accept *:143
               accept *:194
               accept *:220
               accept *:389
               accept *:443
               accept *:464
               accept *:465
               accept *:531
               accept *:543-544
               accept *:554
               accept *:563
               accept *:587
               accept *:636
               accept *:706
               accept *:749
               accept *:873
               accept *:902-904
               accept *:981
               accept *:989-990
               accept *:991
               accept *:992
               accept *:993
               accept *:994
               accept *:995
               accept *:1194
               accept *:1220
               accept *:1293
               accept *:1500
               accept *:1533
               accept *:1677
               accept *:1723
               accept *:1755
               accept *:1863
               accept *:2082
               accept *:2083
               accept *:2086-2087
               accept *:2095-2096
               accept *:2102-2104
               accept *:3128
               accept *:3389
               accept *:3690
               accept *:4321
               accept *:4643
               accept *:5050
               accept *:5190
               accept *:5222-5223
               accept *:5228
               accept *:5900
               accept *:6660-6669
               accept *:6679
               accept *:6697
               accept *:8000
               accept *:8008
               accept *:8074
               accept *:8080
               accept *:8082
               accept *:8087-8088
               accept *:8232-8233
               accept *:8332-8333
               accept *:8443
               accept *:8888
               accept *:9418
               accept *:9999
               accept *:10000
               accept *:11371
               accept *:19294
               accept *:19638
               accept *:50002
               accept *:64738
               reject *:*

Как tor помогает обходить блокировки

Для того, чтобы решить проблему цензуры, были придуманы мосты – входные узлы, адреса которых отсутствуют в публичном доступе. Получить адрес моста можно по специальному запросу, что одновременно усложняет жизнь пользователю и блокировку доступа к Tor властям.

В некоторых странах, например, в Китае и Иране, научились бороться с данным видом защиты от цензуры, однако Tor Project в ответ на это предложил использовать так называемые транспорты, которые усложняют блокировку узлов. К примеру, в Tor Browser сравнительно давно встроена поддержка транспорта obfs4, который осуществляет обфускацию (запутывание) трафика.

Новый транспорт, поддержка которого появилась в Tor Browser 10, называется Snowflake. Технология опирается на одноименную добровольческую сеть прокси-серверов, которая, по данным Tor Project, насчитывает 8 тыс. машин. Взаимодействие с прокси осуществляется при помощи P2P-проторола WebRTC.

Любопытной особенностью сети, которая позволяет ей очень быстро набирать участников, является простота настройки сервера. В сущности, никакой настройки и не требуется – добровольцу достаточно установить дополнение для Chrome или Firefox, которое и выполняет роль прокси-сервера в те моменты, когда браузер запущен.

Таким образом формируется постоянно видоизменяющаяся сеть прокси-серверов, которую ввиду такого ее характера непросто заблокировать – IP-адреса добровольцев во многих случаях будут регулярно меняться, часть из них будет пользоваться различными точками доступа, в том числе публичными.

Как заблокировать доступ к определённым диапазонам ip и портам через tor

Вы можете добавить свои собственные правила блокировки используя директиву ExitPolicy.

Синтаксис директивы следующий:

ExitPolicy ПОЛИТИКА АДРЕС[/СЕТЬ][:ПОРТ]

В качестве ПОЛИТИКИ может быть одно из ключевых слов:

• accept — разрешить IPv4 и IPv6 трафик
• accept6 — разрешить IPv6 трафик
• reject — запретить IPv4 и IPv6 трафик
• reject6 — запретить IPv6 трафик

После политики должен следовать АДРЕС. Дополнительно можно указать длину МАСКИ, чтобы правило распространялось на диапазон IP адресов. Также при желании можно указать ПОРТ.

Вместо указания адреса или подсети, можно использовать “*”. Обратите внимание, что “*” означает (0.0.0.0/0 и ::/0). Если вы хотите, чтобы правило применялось ко всем, но только к IPv4 адресам, то нужно использовать *4. Если же вы хотите, чтобы правило применялось ко всем, но только к IPv6 адресам, то используйте *6.

В качестве ПОРТА может быть как одиночный номер порта, так и диапазон «С_ПОРТА-ДО_ПОРТА». Вместо порта можно указать звёздочку “*”, что будет означает, что правило применяется для всех портов данного IP или подсети. Если порт пропущен, то это равнозначно указанию “*”.

Можно использовать несколько директив ExitPolicy, либо указать несколько политик через запятую при одной директиве ExitPolicy.

Директивы обрабатываются начиная с первой. Первое совпадение выигрывает. Не забывайте о дефолтных политиках, которые хотя и отсутствуют в конфигурационном файле, но при этом обрабатываются первыми!

Примеры, когда разрешён доступ к irc портам, а всё остальное заблокировано:

ExitPolicy accept *:6660-6667,reject *:*

Разрешить также доступ к nntp (по умолчанию доступ к порту 119 заблокирован):

ExitPolicy accept *:119

Заблокировать всё, выход в Интернет через Tor будет невозможен:

ExitPolicy reject *:*

В качестве псевдонима локальных сетей можно использовать слово “private”, хотя приватные IP диапазоны уже заблокированы по умолчанию. При использовании слова “private” помните, что оно всегда создаёт правила для IPv4 и IPv6, даже если используются политики accept6/reject6.

Как использовать сгенерированные ключи

Если удалось сгенерировать подходящий по фильтры ключ, то будет создана одна или несколько папок, например: hacking5xcj4mtc63mfjqbshn3c5oa2ns7xgpiyrg2fenl2jd4lgooad.onion

В каждой папке три файла:

• hostname
• hs_ed25519_public_key
• hs_ed25519_secret_key

В названии папки, а также в файле hostname вы можете увидеть имя вашего хомена.

Технически требуется только hs_ed25519_secret_key, но можно скопировать всю папку в то место, где вы хотите хранить ключи. Например, по умолчанию они размещены в папке /var/lib/tor/hidden_service/

В следующем примере я перемещаю папку с ключами в директорию /var/lib/tor/hackware:

sudo mv /media/sf_Share/hacking5xcj4mtc63mfjqbshn3c5oa2ns7xgpiyrg2fenl2jd4lgooad.onion /var/lib/tor/hackware

Установите правильного владельца и права доступа.

В Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

sudo chown -R debian-tor: /var/lib/tor/hackware
sudo chmod -R u rwX,og-rwx /var/lib/tor/hackware

В Arch Linux, Manjaro, BlackArch выполните:

sudo chown -R tor: /var/lib/tor/hackware
sudo chmod -R u rwX,og-rwx /var/lib/tor/hackware

Включите эти ключи в файле /etc/tor/torrc:

sudo gedit /etc/tor/torrc

Например:

HiddenServiceDir /var/lib/tor/hackware/
HiddenServicePort 80 127.0.0.1:80

Перезапускаем службу и проверяем её статус:

sudo systemctl restart tor
systemctl status tor

Как получить красивое имя tor onion v2 (инструкция по scallion)

Внимание! Scallion поддерживает только TOR Onion service version 2 и, видимо, никогда не будет поддерживать третью версию, поскольку авторы объявили о том, что они забросили проект.

Программа работает на Linux и Windows. Я покажу работу с программой на примере Windows.

Исходный код программы расположен на этой странице. Там же можно найти ссылку для скачивания исполнимого файла под Windows, на данный момент последней версией является 2.1, ссылка на неё.

Распакуйте скаченный архив. Программу нужно запускать в командной строке. Для этого откройте командную строку Widnows (Win x) и перетащите туда файл scallion.exe.

Через пробел запишите интересующую вас фразу и нажмите Enter. При каждом запуске проводится быстрый тест SHA-1 и после этого начинается перебор. Если слово короткое, то результат будет найден быстро.

Через синтаксис примитивных регулярных выражений Scallion поддерживает поиск по одному или сразу по нескольким образцам. Поддерживаются только классы символов (например, [abcd]). Символ . означает любой символ. Введённая фраза по умолчанию считается началом доменного имени.

Если вы ищите в конце имени, то добавьте $ в конец фразы (например, DEAD$). Наконец, может использоваться символ трубы (например, pattern1|pattern2) для поиска сразу по нескольким образцам. Добавление большого количества регулярных выражений практически не сказывается на производительности.

Как пользоваться тор на компьютере

В случае с ПК ситуация иная, ведь веб-проводник имеет другой принцип установки и настройки. Перед тем как пользоваться Тор браузером на Виндовс, изучите эту инструкцию и следуйте рекомендациям.

Алгоритм действий такой:

• Дождитесь, пока файл загрузится, выберите язык установки и место, куда будет установлена программа.
• Подождите завершения инсталляции приложения.

• Войдите в приложение и жмите на кнопку Соединиться или Настроить. Второй вариант актуален, если Тор запрещен в стране (к примеру, для Китая, Турции или Египта).

• После нажатия на кнопку соединить дождитесь, пока зеленый индикатор не дойдет до конца.

• Жмите на изображение земного шара слева вверху, чтобы почитать об особенностях веб-проводника и как использовать Tor браузер. В этом разделе указаны новинки версии, особенности приватности, параметры безопасности, рекомендации и другие моменты.

После установки веб-проводника необходимые настройки безопасности уже установлены. Это позволяет сразу пользоваться браузером Тор.

При желании можно внести дополнительные изменения через меню. Для входа в него жмите на три полоски справа вверху.

Там перейдите в раздел Настройки и по желанию сделайте Tor веб-проводником по умолчанию. Здесь же можно задать другие параметры:

• Установить мост для работы в странах, где браузер заблокирован.

• Поменять настройки производительности.

• Изменить правила автоматических обновлений.

Для дополнительной защиты перейдите в раздел Дополнения и включите следующие функции:

Начнём!

Для того, чтобы защитить данные от прямого захвата жёсткого диска, нам необходимо их зашифровать. Для этого мы будем использовать утилиту TrueCrypt.

Создадим с её помощью зашифрованный том, хранящийся в файле. Можно создать и на разделе, но, на мой взгляд, это менее удобно.

Создавать ли скрытый том? Вопрос неоднозначный. Эта фича предназначена для использования в Англии, где невыдача паролей при конфискации ПК сама по себе является преступлением. В то же время в России такой законодательной нормы нет, а использование скрытого раздела съедает полезный объём диска. Я создавать скрытый раздел не стал.

Размер раздела выберем на своё усмотрение. Лично я выбрал 50 ГБ.

Алгоритм шифрования — я выбрал AES. Во-первых, ему доверяют американские военные для защиты высших грифов секретности, а во-вторых, он аппаратно ускоряется новыми процессорами Intel и TrueCrypt имеет поддержку этого ускорения.

Далее всё стандартно: придумываем сложный и длинный пароль, генерируем энтропию хаотичными движениями мыши и создаём раздел. Тип раздела обязательно должен быть NTFS, поскольку в нём будут храниться большие файлы.

Далее нам потребуется виртуальная машина. Всё, что мы оберегаем — будет храниться в ней.Связано это с тем, что:

Мы будем использовать VirtualBox, но не основной дистрибутив, а

. Скачаем инсталлятор на заранее примонтированный шифрованный диск, запустим и скачаем поддерживаемый дистрибутив Бокса посредством самой утилиты. Далее утилита распакует его и настроит на портативность.

Создадим в Боксе машинку с двумя жёсткими дисками: одним — на 8-10 ГБ и вторым на всё оставшееся место, разумеется, расположив оба на шифрованном диске. Пройдёмся по настройкам, поставим сеть в NAT и настроим остальное по своему вкусу — особо критичного там ничего нет. Подключим образ Убунты (который, надеюсь, уже скачался) в качестве дисковода.

Запускаем машину и начинаем установку ОС. При разбиении дисков поступим примерно так: разместим на первом, маленьком, корень и своп, а на большом — /home. Все данные мы будем хранить в /home. Таким образом, разделение системы и данных происходит между разными файлами жёстких дисков Бокса. Далее всё выполняем по своему вкусу.

Установилось! Теперь начинаем настройку.

Идея заключается в том, чтобы оставить прямой доступ в сеть только двоим избранным — маршрутизаторам TOR и I2P.

Сначала ставим TOR из их собственного репозитория (в официальном версия может быть устаревшей) по инструкции с официального сайта. Потом поставим и I2P, опять же из собственного PPA-репа разработчиков — инструкция.

Не авторизуйтесь в онлайн-банкинге или платёжных системах, если не осознаёте риски

Не рекомендуется авторизация в онлайн-банке, PayPal, eBay и других важных финансовых аккаунтах, зарегистрированных на имя пользователя. В финансовых системах любое использование Tor угрожает замораживанием аккаунта из-за «подозрительной активности», которая регистрируется системой предотвращения фрода. Причина в том, что хакеры иногда используют Tor для совершения мошеннических действий.

Использование Tor с онлайн-банкингом и финансовыми аккаунтами не является анонимным по причинам, приведённым выше. Это псевдонимность, которая обеспечивает только скрытие IP-адреса, или уловка для доступа к сайту, заблокированному провайдером. Разница между анонимностью и псевдонимностью описана в соответствующей главе.

Если пользователя заблокировали, во многих случаях можно связаться со службой поддержки, чтобы разблокировать аккаунт. Некоторые сервисы даже допускают ослабление правил определения фрода для пользовательских аккаунтов.

Разработчик Whonix Патрик Шлейзер не против использования Tor для обхода блокировки сайта или скрытия IP-адреса. Но пользователь должен понимать, что банковский или другой платёжный аккаунт может быть (временно) заморожен. Кроме того, возможны другие исходы (постоянная блокировка сервиса, удаление аккаунта и т. д.), как сказано в предупреждениях на этой странице и в документации Whonix.

Не путайте анонимность и псевдонимность

В этом разделе объясняется разница между анонимностью и псевдонимностью. Определение терминов всегда представляет сложность, потому что требуется консенсус большинства.

Анонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности ни установить происхождение (IP-адрес/местонахождение) этого соединения, ни присвоить ему идентификатор [19].

Псевдонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности установить происхождение (IP-адрес/местонахождение) этого соединения, но может присвоить ему идентификатор [19].

В идеальном мире можно достичь совершенной анонимности, используя сеть Tor, браузер Tor Browser, компьютерное оборудование, физическую безопасность, операционную систему и так далее. Например, в такой утопии пользователь может зайти на новостной сайт, и ни новостной сайт, ни интернет-провайдер сайта не будут иметь понятия, заходил ли этот пользователь раньше. [20]

С другой стороны, неидеальный сценарий возможен, если программное обеспечение используется неправильно, например, при использовании стандартного браузера Firefox в сети Tor вместо безопасного Tor Browser. Несчастный пользователь Firefox по-прежнему защитит своё первоначальное соединение (IP-адрес/местонахождение) от обнаружения, но можно использовать идентификаторы (вроде кукисов), чтобы превратить соединение в псевдонимное.

Например, сервер назначения может сделать запись в журнале, что «пользователь с id 111222333444 смотрел Видео A во Время B в Дату C и Видео D во Время E в Дату F». Эту информацию можно использовать для профилирования, которая со временем будет становится всё более исчерпывающей. Степень анонимности постепенно сокращается, а в худшем случае это может привести к деанонимизации.

Как только пользователь зашёл в аккаунт на веб-сайте под своим именем пользователя, например, в веб-почту или на форум, то соединение по определению больше не является анонимным, а становится псевдонимным. Происхождение соединения (IP-адрес/местонахождение) всё ещё скрыто, но соединению можно присвоить идентификатор [19]; в данном случае, это имя аккаунта.

Идентификаторы используются для журналирования разных вещей: время, когда пользователь что-то написал, дата и время входа и выхода, что именно пользователь написал и кому, используемый IP-адрес (бесполезен, если это выходной узел Tor), сохранённый отпечаток браузера и так далее.

У Максима Каммерера, разработчика Liberté Linux [21], имеются в корне отличные идеи об анонимности и псевдонимности, которые нельзя утаивать от читателя: [22]

Я не видел убедительных аргументов в пользу анонимности по сравнению с псевдонимностью. Расширение степени анонимности — то, что разработчики Tor делают для публикации новых научных статей и обоснования финансирования. Большинству пользователей нужна только псевдонимность, при которой скрыто местонахождение. Наличие уникального браузера не раскрывает магическим образом местонахождение пользователя, если этот пользователь на использует этот браузер для не-псевдонимных сессий. Наличие хорошего заголовка браузера также немного значит для анонимности, потому что есть много других способов раскрыть больше информации о клиенте (например, через различия в выполнении Javascript).

Одновременный запуск нескольких tor browser с разными ip

Проблема: может возникнуть необходимость одновременно подключаться к разным сайтам с различными IP адресами либо к одному сайту с разными IP. Если попытаться запустить два экземпляра Tor Browser, то вы столкнётесь с ошибкой:

Tor Browser is already running, but is not responding. The old Tor Browser process must be closed to open a new window.

В этом сообщении говориться, что Tor Browser уже запущен и нужно закрыть старый процесс Tor Browser перед тем, как открыть новое окно.

Если же попытаться запустить из разных папок, то возникнет такая ошибка:

Тог неожиданно завершил работу. Это могло быть вызвано сбоем в самом Тог, другой программой или неисправностью компьютера. Пока Тог не будет перезапущен, просмотр веб-страниц через Tor Browser недоступен. Если проблема не устраняется, пожалуйста, отправьте копию ваших логов Тог нашей команде поддержки.

Перезапуск Тор не закроет вкладки браузера.

Перезапустить Тог

Теория

Tor Browser при своём старте запускает в фоне службу Tor. Эта служба начинает прослушивать порт 9150. Затем веб-браузер подключается к этому порту и начинается обмен данными с сетью Tor.

Когда вы пытаетесь запустить Tor Browser второй раз, то выполняется проверка, не запущена ли уже служба Tor, поскольку программы не могут прослушивать одновременно один и тот же порт и по этой причине невозможно запустить одновременно два экземпляра Tor Browser.

Выход из этой ситуации: изменить во втором (и во всех последующих) экземплярах Tor Browser порты на другие, не занятые. При этом нужно помнить, что нужно менять порт как службы Tor, так и настройки веб-браузера, который по умолчанию подключается к порту 9150.

Но это ещё не всё. Служба Tor работает в фоне и когда мы закрываем окно веб-браузера, эту службу нужно остановить – для того, чтобы мы могли успешно запустить Tor Browser в следующий раз. Для отправки команд (например, сменить IP адрес или остановить службу) используется управляющий порт (ControlPort).

Чтобы в этом убедиться, при запущенном Tor Browser выполните две команды:

netstat -aon | findstr ":9150"
netstat -aon | findstr ":9151"

Вы увидите, что действительно используются оба порта.

Если мы поменяем порт 9150, но не изменим управляющий порт, то второй экземпляр Tor Browser всё равно не запустится! Следовательно, нам нужно поменять настройки двух портов и для службы Tor и для веб-браузера.

Как запустить несколько Tor Browser с разными IP

Подключение локального веб-сервера к сети tor в качестве скрытого сервиса tor

Нам нужно начать с установки Tor:

sudo apt install apache2 tor

Откройте файл

sudo gedit /etc/tor/torrc

Найдите там строки:

#HiddenServiceDir /var/lib/tor/hidden_service/
#HiddenServicePort 80 127.0.0.1:80

Первая строка указывает, где будет храниться сгенерированное доменное имя и секретный ключ. Её достаточно просто раскоментировать, чтобы получилось:

HiddenServiceDir /var/lib/tor/hidden_service/

Вторую строку тоже надо раскоментировать. Первая цифра – это порт, на котором будет размещён ваш скрытый сервис – лучше не меняйте, чтобы пользователя не пришлось вручную указывать нестандартный порт. Следующая строка – это локальный адрес вашего виртуального хоста на веб-сервере.

HiddenServicePort 80 127.0.0.1:80

Запустите (или перезапустите, если она была установлена ранее) службу Tor:

sudo systemctl restart tor

Проверьте её статус:

systemctl status tor

Добавьте службу в автозагрузку (по желанию):

sudo systemctl enable tor

Чтобы узнать своё доменное имя наберите:

sudo cat /var/lib/tor/hidden_service/hostname

Теперь это доменное имя сообщайте клиентам вашего скрытого сервиса Tor. Эти сайты можно открыть только через сеть Tor. В обычном Интернете они недоступны.

Если вам нужно несколько скрытых сервисов Tor, то создайте необходимое количество виртуальных хостов веб-сервера и используйте строки

HiddenServiceDir /var/lib/tor/other_hidden_service/
HiddenServicePort 80 127.0.0.1:80
HiddenServicePort 22 127.0.0.1:22

столько раз, сколько вам нужно. Для каждого сервиса нужно указать свою директорию, в которой размещено доменное имя и приватный ключ.

Мой скрытый сервис Tor: hacking5xcj4mtc63mfjqbshn3c5oa2ns7xgpiyrg2fenl2jd4lgooad.onion

При каждом изменении настроек Tor не забывайте перезапускать службу:

sudo systemctl restart tor

Справка по scallion

Использование: 

scallion [ОПЦИИ]  regex [regex] 

Опции:

  -k, --keysize=VALUE        Указать размер ключа для ключа RSA
  -n, --nonoptimized         Запускает не-оптимизированное ядро
  -l, --listdevices          Вывести список устройств, которые могут использоваться
  -h, -?, --help             Показать справку
      --gpg                  Режим GPG vanitygen
  -d, --device=VALUE         Показывает устройство opencl, которое следует использовать.
  -g, --groupsize=VALUE      Определяет количество потоков в рабочей группе
  -w, --worksize=VALUE       Определяет количество хешей, выполняемое
                               за один раз.
  -t, --cputhreads=VALUE     Определяет количество потоков CPU для использования
                               во время работы создания. (ЭКСПЕРИМЕНТАЛЬНАЯ - OpenSSL не
                               является потокобезопасной)
      --pidfile=VALUE        Определяет файл, куда будет записан id
                               процесса; файл будет удалён при выходе
  -m, --modulifile=VALUE     Указывает файл, содержащий moduli открытых ключей
  -s, --write-moduli         Записывает moduli и приватные ключа для данного шаблона
                               в указанный с -m файл
  -r, --read-results=VALUE   Считывает файл результатов (сгенерированный удалённым майнером)
                               и выводит победившие ключи (должна быть определена опция -m)
  -p, --save-kernel=VALUE    Сохранить сгенерированное ядро по этому пути.
  -o, --output=VALUE         Сохранить сгенерированный ключ(и) и адрес(а)
                               по этому пути.
      --skip-sha-test        Пропустить при запуске тест SHA-1.
      --quit-after=VALUE     Выйти после нахождения этого числа ключей. 
      --timestamp=VALUE      Использовать это значение в качестве временной метки для ключа RSA.
  -c, --continue             Когда найден ключ, продолжить поиск, 
                               а не выйти из программы.

Флаги socksport

SocksPort распознаёт следующие флаги:

NoIPv4Traffic

Говорит узлам выхода не подключаться к адресам IPv4 в ответ на запросы SOCKS по этому соединению.

IPv6Traffic

Говорит узлам выхода разрешить адреса IPv6 в ответ на запросы SOCKS по этому соединению, при условии, что используется SOCKS5. (SOCKS4 не может обрабатывать IPv6.)

PreferIPv6

Говорит узлам выхода, что если хост имеет как IPv4, так и IPv6-адрес, мы бы предпочли подключиться к нему через IPv6. (по умолчанию используется IPv4).

NoDNSRequest

Не просить выходные узлы преобразовывать DNS адреса в SOCKS5 запросах. Tor будет подключаться к IPv4 адресам, IPv6 адресам (если настроен IPv6 трафик) и .onion адресам.

NoOnionTraffic

Не подключаться к .onion адресам в SOCKS5 запросах.

OnionTrafficOnly

Говорит клиенту tor подключаться только к .onion адресам в ответах на SOCKS5 запросы для этого подключения. Это эквивалентно NoDNSRequest, NoIPv4Traffic, NoIPv6Traffic. Соответствующий флаг NoOnionTrafficOnly не поддерживается.

CacheIPv4DNS

Говорит клиенту помнить IPv4 DNS ответы которые получены от выходных нод во время этого подключения.

CacheIPv6DNS

Говорит клиенту помнить IPv6 DNS ответы которые получены от выходных нод во время этого подключения.

GroupWritable

Только доменные сокеты Unix: делает сокет созданным как доступный для записи любым участником группы.

WorldWritable

Только для доменных сокетов Unix: делает сокет доступным для записи кем угодно.

CacheDNS

Сообщает клиенту запомнить все ответы DNS, которые мы получаем от выходных узлов через это соединение.

UseIPv4Cache

Сообщает клиенту использовать любые кэшированные ответы DNS IPv4, которые мы имеем при выполнении запросов через это соединение. (ПРИМЕЧАНИЕ. Этот параметр, или UseIPv6Cache, или UseDNSCache, может нанести вред вашей анонимности и, вероятно, не поможет повысить производительность так, как вы ожидаете. Используйте с осторожностью!)

UseIPv6Cache

Сообщает клиенту использовать любые кэшированные ответы DNS IPv6, которые мы имеем при выполнении запросов через это соединение.

UseDNSCache

Сообщает клиенту использовать любые кэшированные ответы DNS, которые мы имеем при выполнении запросов через это соединение.

PreferIPv6Automap

При обработке запроса поиска имени хоста на этом порту, который должен быть автоматически сопоставлен (в соответствии с AutomapHostsOnResolve), если мы можем вернуть либо ответ IPv4, либо ответ IPv6, предпочитать ответ IPv6. (Включено по умолчанию.)

PreferSOCKSNoAuth

Обычно, когда приложение предлагает оба варианта «аутентификацию по имени пользователя/паролю» и «без аутентификации» через SOCKS5, Tor выбирает аутентификацию по имени/паролю, чтобы IsolateSOCKSAuth мог работать. Это может сбить с толку некоторые приложения, если они предлагают комбинацию имени пользователя и пароля, а затем запутываются, когда их запрашивают снова.