Анонимность в Tor: что нельзя делать

https://www.whonix.org/wiki/DoNot
  • Перевод

Посещать собственный сайт в анонимном режиме


«Интересно, как выглядит мой сайт, когда я анонимный?» [1]

Лучше избегать посещения персональных сайтов, к которым прикреплены реальные имена или псевдонимы, особенно если к ним когда-либо подключались не через Tor / с реальным IP-адресом. Вероятно, очень немногие люди посещают ваш личный сайт через Tor. Это значит, что пользователь может быть единственным уникальным клиентом Tor, который сделает это.

Такое поведение ведёт к утечке анонимности, поскольку после посещения веб-сайта вся схема Tor становится «грязной». Если сайт малопопулярен и не получает много трафика, то выходные узлы Tor могут быть почти уверены, что посетитель этого сайта — владелец сайта. С этого момента разумно предположить, что последующие соединения с этого выходного узла Tor тоже идут с компьютера этого пользователя.

Источник: [2]

Заходить в аккаунты социальных сетей и думать, что вы анонимны


Не заходите в личный аккаунт Facebook или другой социальной сети через Tor. Даже если вместо реального имени используется псевдоним, аккаунт вероятно связан с друзьями, которые знают вас. В результате, социальная сеть может выдвинуть разумное предположение, кем на самом деле является пользователь.

Ни одна система анонимности не идеальна. Софт для онлайновой анонимности может скрывать IP-адреса и местоположение, но Facebook и таким же корпорациям не нужна эта информация. Социальные сети уже знают пользователя, его друзей, содержимое «приватных» сообщений между ними и так далее. Эти данные хранятся как минимум на серверах социальной сети, и никакое программное обеспечение не способно удалить их. Их могут удалить только сами платформы социальных сетей или хакерские группы. [3]

Пользователи, которые заходят в свои аккаунты Facebook и другие аккаунты, получают только защиту местоположения, но не анонимность.

Это не очень хорошо понимают некоторые пользователи социальных сетей: [4]

Майк, буду ли я полностью анонимен, если зайду в свой аккаунт Facebook? Я использую Firefox 3.6 с Tor и NoScript на машине Windows 7. Спасибо.

Никогда не заходите в аккаунты, которыми вы пользовались без Tor


Всегда предполагайте, что при каждом визите журнал сервера сохраняет следующее: [5]

  • Клиентские IP-адрес/местоположение.
  • Дату и время запроса.
  • Конкретные адреса запрошенных страниц.
  • Код HTTP.
  • Количество байт, переданных пользователю.
  • Агент браузера у пользователя.
  • Ссылающийся сайт (реферрер).

Также предполагайте, что интернет-провайдер (ISP) запишет как минимум время в онлайне и IP-адрес/местоположение клиента. Провайдер может также записать IP-адреса/местоположение посещённых сайтов, сколько трафика (данных) передано и что конкретно было передано и получено. До тех пор, пока трафик не зашифрован, ISP сможет видеть, какие конкретно действия осуществлялись, полученную и отправленную информацию.

Следующие таблицы дают упрощённое представление, как эти логи могут выглядеть для администраторов.

Таблица: Журнал ISP
Имя Время IP/место Трафик
John Doe 16:00 — 17:00 1.1.1.1 500 МБ

Таблица: Расширенный журнал ISP [6]
Имя Время IP/место Трафик Адрес Контент
John Doe 16:00 — 17:00 1.1.1.1 1 МБ google.com Поисковый запрос 1, запрос 2...
John Doe 16:00 — 17:00 1.1.1.1 490 МБ youtube.com Смотрел видео 1, видео 2
John Doe 16:00 — 17:00 1.1.1.1 9 МБ facebook.com Зашифрованный трафик

Таблица: Журнал веб-сайта
Имя Время IP/место Трафик Контент
16:00 — 16:10 1.1.1.1 1 МБ Поисковый запрос 1, запрос 2...

Понятно, что однотипное журналирование веб-сайтами и интернет-провайдером позволяет легко определить действия пользователя.

Аккаунт компрометируется и привязывается к пользователю даже в случае однократной авторизации через соединение, не защищённое Tor, с реального IP-адреса. Единичные ошибки часто фатальны и ведут к раскрытию многих «анонимных» пользователей.

Не авторизуйтесь в онлайн-банкинге или платёжных системах, если не осознаёте риски


Не рекомендуется авторизация в онлайн-банке, PayPal, eBay и других важных финансовых аккаунтах, зарегистрированных на имя пользователя. В финансовых системах любое использование Tor угрожает замораживанием аккаунта из-за «подозрительной активности», которая регистрируется системой предотвращения фрода. Причина в том, что хакеры иногда используют Tor для совершения мошеннических действий.

Использование Tor с онлайн-банкингом и финансовыми аккаунтами не является анонимным по причинам, приведённым выше. Это псевдонимность, которая обеспечивает только скрытие IP-адреса, или уловка для доступа к сайту, заблокированному провайдером. Разница между анонимностью и псевдонимностью описана в соответствующей главе.

Если пользователя заблокировали, во многих случаях можно связаться со службой поддержки, чтобы разблокировать аккаунт. Некоторые сервисы даже допускают ослабление правил определения фрода для пользовательских аккаунтов.

Разработчик Whonix Патрик Шлейзер не против использования Tor для обхода блокировки сайта или скрытия IP-адреса. Но пользователь должен понимать, что банковский или другой платёжный аккаунт может быть (временно) заморожен. Кроме того, возможны другие исходы (постоянная блокировка сервиса, удаление аккаунта и т. д.), как сказано в предупреждениях на этой странице и в документации Whonix. Если пользователи осведомлены о рисках и чувствуют уместным использовать Tor в конкретных личных обстоятельствах, конечно же, они могут игнорировать этот совет.

Не чередуйте Tor и Open Wi-Fi


Некоторые пользователи ошибочно думают, что открытый Wi-Fi — более быстрая и безопасная «альтернатива Tor», поскольку IP-адрес нельзя привязать к реальному имени.

Ниже объясним причины, почему лучше использовать открытый Wi-Fi и Tor, но не открытый Wi-Fi или Tor.

Примерное местонахождение любого IP-адреса можно вычислить до города, района или даже улицы. Даже если пользователь далеко от своего дома, открытый Wi-Fi всё равно выдаёт город и примерное местоположение, поскольку большинство людей не путешествуют по континентам.

Личность владельца с открытым Wi-Fi и настройки маршрутизатора — тоже неизвестные переменные. Там может вестись журнал MAC-адресов пользователей с соответствующей активностью этих пользователей в Интернете, которая открыта для владельца маршрутизатора.

Хотя журналирование необязательно нарушает анонимность пользователя, она сужает круг подозреваемых со всего глобального населения Земли или континента, или страны — до конкретного района. Этот эффект сильно ухудшает анонимность. Пользователям следует всегда оставлять у себя максимально возможное количество информации.

Избегайте сценариев «Tor через Tor»


Примечание: это проблема конкретно сервиса Whonix.

Когда используется прозрачный прокси (такой как Whonix), то можно запустить сессии Tor одновременно на стороне клиента и на прозрачном прокси, что создаёт сценарий «Tor через Tor».

Такое происходит при установке Tor внутри Whonix-Workstation или при использовании Tor Browser, который не сконфигурирован для использования SocksPort вместо TransPort. Подробнее об этом написано в статье Tor Browser.

Эти действия рождают неопределённость и потенциально небезопасны. В теории, трафик идёт через шесть узлов луковичной маршрутизации вместо трёх. Но нет гарантии, что три дополнительные узла отличаются от первых трёх; это могут быть те же самые узлы, возможно, в обратном или смешанном порядке. По мнению специалистов Tor Project, это небезопасно: [7]

Мы не поощряем использование более длинных путей, чем стандартные — это увеличивает нагрузку на сеть без (насколько мы можем судить) повышения безопасности. Помните, что самый эффективный способ атаки на Tor — атаковать выходные точки и игнорировать середину пути. Кроме того, использование маршрута длиннее, чем три узла, может вредить анонимности. Во-первых, это упрощает атаки типа «отказ в обслуживании». Во-вторых, подобные действия можно воспринимать как идентификатор пользователя, если только немногие так будут делать («О, смотри, опять тот парень, который изменил длину маршрута»).

Пользователи могут вручную указывать точку входа или выхода в сети Tor, [8], но с точки зрения безопасности лучше всего оставить выбор маршрута на выбор Tor. Переустановление точки входа или выхода Tor может ухудшить анонимность способами, которые не слишком хорошо понятны. Поэтому конфигурации «Tor через Tor» настоятельно не рекомендуются.

Лицензия главы «Избегайте сценариев „Tor через Tor”»: [9]

Не отправляйте конфиденциальные данные без оконечного шифрования


Как уже объяснялось на странице «Предупреждение», выходные узлы Tor могут прослушивать коммуникации и осуществлять атаки посредника (MiTM), даже при использовании HTTPS. Использование оконечного шифрования — единственный способ отправить конфиденциальные данные получателю, избежав риска перехвата и раскрытия враждебным третьим лицам.

Не раскрывайте в онлайне идентифицирующие данные


Деанонимизация возможна не только с соединениями и IP-адресами, но также социальными способами. Вот некоторые рекомендации защиты от деанонимизации от Anonymous:

  • Не включайте в ники персональную информацию или личные интересы.
  • Не обсуждайте персональную информацию, такую как место жительства, возраст, семейный статус и т. д. Со временем глупые беседы вроде обсуждения погоды могут привести к точному вычислению местоположения пользователя.
  • Не упоминайте пол, татуировки, пирсинг, физические способности или недостатки.
  • Не упоминайте профессию, хобби или участие в активистских группах.
  • Не используйте специальные символы на клавиатуре, которые существуют только в вашем языке.
  • Не публикуйте информацию в обычном Интернете (Clearnet), будучи анонимным.
  • Не используйте Twitter, Facebook и другие социальные сети. Вас легко будет связать с профилем.
  • Не публикуйте ссылки на изображения Facebook. В имени файла содержится ваш персональный ID.
  • Не заходите на один сайт в одно и то же время дня или ночи. Пытайтесь варьировать время сеансов.
  • Помните, что IRC, другие чаты, форумы, почтовые списки рассылки — это публичные места.
  • Не обсуждайте ничего личного вообще, даже при защищённом и анонимном подключении к группе незнакомцев. Получатели в группе представляют собой потенциальный риск («известные неизвестные») и их могут заставить работать против пользователя. Нужен всего один информатор, чтобы развалить группу.
  • Герои существуют только в комиксах — и на них активно охотятся. Есть только молодые или мёртвые герои.

Если необходимо раскрыть какие-то идентификационные данные, то расценивайте их как конфиденциальную информацию, описанную в предыдущем разделе.

Лицензия: Из документации JonDonym (разрешение).

Используйте мосты, если сеть Tor кажется опасной или подозрительной в вашем районе


Эта рекомендация идёт с важным предостережением, поскольку мосты не являются идеальным решением: [10]

Мосты — важные инструменты и во многих случаях хорошо работают, но они не являются абсолютной защитой против достижений технического прогресса, которые противник может использовать для идентификации пользователей Tor.

Не работайте долго под одной и той же цифровой личностью


Чем дольше используется один и тот же псевдоним, тем выше вероятность ошибки, которая выдаст личность пользователя. Как только это произошло, противник может изучить историю и всю активность под этим псевдонимом. Предусмотрительно будет регулярно создавать новые цифровые личности и прекращать использовать старые.

Не используйте несколько цифровых личностей одновременно


Использование псевдонимов в зависимости от контекста со временем становится всё сложнее и чревато ошибками. Различные цифровые личности легко связать, если они используются одновременно, поскольку Tor может повторно использовать цепочки в той же сессии сёрфинга или может произойти потенциальная утечка информации с Whonix-Workstation. Whonix не может магически отделить различные цифровые личности в зависимости от контекста.

Также см. пункт ниже.

Не оставайтесь залогиненным в Twitter, Facebook, Google и др. дольше, чем необходимо


Сведите время авторизации в Twitter, Facebook, Google и других сервисах с аккаунтами (вроде веб-форумов) до абсолютно необходимого минимума. Немедленно выходите из аккаунта, как только прочитали, опубликовали информацию или выполнили другие необходимые задачи. После выхода из аккаунта безопасным будет закрыть Tor Browser, изменить цепочку Tor с помощью Tor Controller, подождать 10 секунд до смены цепочки — и затем перезапустить Tor Browser. Для лучшей безопасности следуйте рекомендациям по использованию нескольких виртуальных машин и/или нескольких Whonix-Workstation.

Такое поведение необходимо, потому что на многих веб-сайтах размещается одна или больше кнопок интеграции, такие как кнопка Like от Facebook или «Tweet This» от Twitter. [11] В реальности, из 200 000 самых популярных сайтов по рейтингу Alexa социальные виджеты Facebook и Twitter установлены на 47% и 24%, соответственно. Сторонние веб-сервисы Google установлены примерно на 97% сайтов, в основном, это аналитика Google, реклама и сервисы CDN (googleapis.com). [12] [13] Если пользователь сохраняет авторизацию в сервисе, то эти кнопки говорят владельцу сервиса о посещении сайта. [14]

Нельзя недооценивать угрозу приватности от сторонних сервисов: [15] [16]

Каждый раз, когда браузер пользователя обращается к стороннему сервису, то этот сторонний сервер получает возможность доставки следящих скриптов и осуществляет привязку изначального сайта с носителем сторонних куков и отпечатка браузера. Такое отслеживание онлайнового поведения позволяет пополнять профили пользователей, включая конфиденциальную информацию, такую как политические взгляды пользователя и его медицинская история.

Пользователям также следует прочитать главу выше.

Не смешивайте режимы анонимности


Не смешивайте режимы анонимности! Они излагаются ниже.

Режим 1: анонимный пользователь; любой получатель


  • Сценарий: Анонимная публикация сообщений на доске объявлений, в списке рассылки, в комментариях, на форуме и т. д.
  • Сценарий: информаторы, активисты, блоггеры и тому подобные пользователи.
  • Пользователь анонимен.
  • Настоящий IP-адрес / местонахождение пользователя скрыты.
  • Скрытие местонахождения: местонахождение пользователя остаётся секретным.

Режим 2: пользователь знает получателя; оба используют Tor


  • Сценарий: Отправитель и получатель знают друг друга и оба используют Tor.
  • Никакая третья сторона не знает о факте коммуникации и не получает её содержания.
  • Пользователь не анонимен. [17]
  • Настоящий IP-адрес / местонахождение пользователя скрыты.
  • Скрытие местонахождения: местонахождение пользователя остаётся секретным.

Режим 3: пользователь не анонимен и использует Tor; любой получатель


  • Сценарий: Вход под настоящим именем в любой сервис вроде веб-почты, Twitter, Facebook и другие.
  • Пользователь очевидно не анонимен. Как только настоящее имя используется для входа в аккаунт, веб-сайт знает личность пользователя. Tor не может обеспечить анонимность в таких обстоятельствах.
  • Настоящий IP-адрес / местонахождение пользователя скрыты.
  • Скрытие местонахождения: местонахождение пользователя остаётся секретным. [18]

Режим 4: пользователь не анонимен; любой получатель


  • Сценарий: Обычный сёрфинг без Tor.
  • Пользователь не анонимен.
  • Настоящий IP-адрес / местонахождение пользователя раскрываются.
  • Местонахождение пользователя раскрывается.

Заключение


Не лучший вариант смешивать режимы 1 и 2. Например, если человек использует IM-менеджер или почтовый аккаунт в режиме 1, то неразумно использовать тот же аккаунт в режиме 2. Причина в том, что пользователь смешивает абсолютную анонимность (режим 1) с выборочной анонимностью (режим 2; поскольку получатель знает пользователя).

Также не лучший вариант смешивать два или более режимов в одной сессии Tor, потому что они могут использовать один и тот же выходной узел, что ведёт к соотнесению личностей.

Также есть вероятность, что комбинации разных режимов будут опасными и могут привести к утечке персональной информации или физического местонахождения пользователя.

Лицензия


Лицензия для раздела «Не смешивайте режимы анонимности»: [9]

Не изменяйте настройки, если последствия неизвестны


Обычно безопасно изменить настройки интерфейса для приложений, которые не подключаются к Интернету. Например, галочки «Не показывать больше ежедневные советы» или «Скрыть эту панель меню» не повлияют на анонимность.

Перед изменением любых настроек, которые вызывают интерес, сначала сверьтесь с документацией Whonix. Если изменение внесено в документацию и не рекомендовано, то старайтесь придерживаться настроек по умолчанию. Если изменение не внесено в документацию, то осторожно изучите предложенное действие перед тем, как осуществить его.

Изменение настроек для приложений, которые подключаются к интернету (даже настроек интерфейса) должно быть тщательно изучено. Например, удаление панели меню в Tor Browser для увеличения области просмотра страницы не рекомендуется. Это изменяет обнаружаемый размер экрана, что ухудшает отпечаток пользователя.

Изменение сетевых настроек можно допускать с огромной осторожностью, и только если последствия точно известны. Например, пользователям следует избегать любых советов, которые относятся к «настройке Firefox». Если настройки считаются неоптимальными, то изменения должны быть предложены в релиз и применятся для всех пользователей Tor Browser в следующей версии.

Не используйте чистый веб и Tor одновременно


Используя одновременно не-Tor браузер и Tor Browser, вы рискуете однажды их перепутать и деанонимизировать себя.

При одновременном использовании чистого веба и Tor также возникают риски одновременных соединений к серверу по анонимным и неанонимным каналам. Это не рекомендуется по причинам, изложенным в следующем разделе. Пользователь никогда не может чувствовать себя безопасно, посещая одну и ту же страницу одновременно по анонимным и неанонимным каналам, потому что он видит только URL, но не то, сколько ресурсов запрашивается в фоне. Много разных сайтов размещаются в одном облаке. Сервисы вроде Google Analytics представлены на большинстве сайтов и поэтому видят много анонимных и неанонимных соединений.

Если этот совет игнорируется, то у пользователя должно быть по меньшей мере два разных десктопа, чтобы предотвратить путаницу между браузерами.

Не подключайтесь к серверу анонимно и неанонимно одновременно


Сильно не рекомендуется создавать соединения Tor и не-Tor одновременно к одному удалённому серверу. В случае разрыва связи с Интернетом (а это со временем произойдёт) все соединения прервутся одновременно. После такого события противник легко определит, какой публичный IP-адрес/местоположение принадлежат какому IP-адресу/соединению Tor, что потенциально напрямую идентифицирует пользователя.

Такой сценарий также даёт возможность провести другой вид атаки со стороны веб-сервера. Скорость Tor и не-Tor соединений может быть увеличена или уменьшена, чтобы проверить наличие корреляции. Так, если оба соединения ускоряются или замедляются в унисон, то можно установить взаимосвязь между сессиями Tor и не-Tor.

Лицензия для раздела «Не подключайтесь к серверу анонимно и неанонимно одновременно»: [9]

Не путайте анонимность и псевдонимность


В этом разделе объясняется разница между анонимностью и псевдонимностью. Определение терминов всегда представляет сложность, потому что требуется консенсус большинства.

Анонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности ни установить происхождение (IP-адрес/местонахождение) этого соединения, ни присвоить ему идентификатор [19].

Псевдонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности установить происхождение (IP-адрес/местонахождение) этого соединения, но может присвоить ему идентификатор [19].

В идеальном мире можно достичь совершенной анонимности, используя сеть Tor, браузер Tor Browser, компьютерное оборудование, физическую безопасность, операционную систему и так далее. Например, в такой утопии пользователь может зайти на новостной сайт, и ни новостной сайт, ни интернет-провайдер сайта не будут иметь понятия, заходил ли этот пользователь раньше. [20]

С другой стороны, неидеальный сценарий возможен, если программное обеспечение используется неправильно, например, при использовании стандартного браузера Firefox в сети Tor вместо безопасного Tor Browser. Несчастный пользователь Firefox по-прежнему защитит своё первоначальное соединение (IP-адрес/местонахождение) от обнаружения, но можно использовать идентификаторы (вроде кукисов), чтобы превратить соединение в псевдонимное. Например, сервер назначения может сделать запись в журнале, что «пользователь с id 111222333444 смотрел Видео A во Время B в Дату C и Видео D во Время E в Дату F». Эту информацию можно использовать для профилирования, которая со временем будет становится всё более исчерпывающей. Степень анонимности постепенно сокращается, а в худшем случае это может привести к деанонимизации.

Как только пользователь зашёл в аккаунт на веб-сайте под своим именем пользователя, например, в веб-почту или на форум, то соединение по определению больше не является анонимным, а становится псевдонимным. Происхождение соединения (IP-адрес/местонахождение) всё ещё скрыто, но соединению можно присвоить идентификатор [19]; в данном случае, это имя аккаунта. Идентификаторы используются для журналирования разных вещей: время, когда пользователь что-то написал, дата и время входа и выхода, что именно пользователь написал и кому, используемый IP-адрес (бесполезен, если это выходной узел Tor), сохранённый отпечаток браузера и так далее.

У Максима Каммерера, разработчика Liberté Linux [21], имеются в корне отличные идеи об анонимности и псевдонимности, которые нельзя утаивать от читателя: [22]

Я не видел убедительных аргументов в пользу анонимности по сравнению с псевдонимностью. Расширение степени анонимности — то, что разработчики Tor делают для публикации новых научных статей и обоснования финансирования. Большинству пользователей нужна только псевдонимность, при которой скрыто местонахождение. Наличие уникального браузера не раскрывает магическим образом местонахождение пользователя, если этот пользователь на использует этот браузер для не-псевдонимных сессий. Наличие хорошего заголовка браузера также немного значит для анонимности, потому что есть много других способов раскрыть больше информации о клиенте (например, через различия в выполнении Javascript).

Не распространяйте первым свою ссылку


Не поддавайтесь искушению быть одним из первых, кто рекламирует ваш анонимный проект! Например, нецелесообразно распространять ссылки, если пользователь:

  • Создал анонимный блог или скрытый сервис.
  • Имеет твиттер-аккаунт с большим количеством фоловеров.
  • Поддерживает большую новостную страницу в чистом вебе или нечто подобное.

Чем сильнее личности отделены друг от друга, тем лучше. Конечно, в определённый момент пользователь может или даже должен быть «в курсе» нового проекта, но этот момент нужно выбирать с чрезвычайной осторожностью.

Не открывайте случайные файлы и ссылки


Если пользователю прислали файл любого типа или ссылку на файл (или на случайный URL/ресурс) по электронной почте или другим способом, требуется осторожность независимо от формата файла. [23] Отправитель, почтовый ящик, аккаунт или ключ могут быть скомпрометированы, а файл или ссылка могли быть специальным образом подготовлены для заражения системы пользователя при открытии в стандартном приложении.

Безопаснее не открывать файл стандартным инструментом, который предполагается использовать создателем файла. Например, PDF нельзя открывать программой просмотра PDF, или если файл доступен публично, можно использовать бесплатный онлайновый сервис просмотра PDF. Для большей безопасности есть вариант дезинфицировать PDF в Qubes-Whonix или открыть файл или ссылку в DisposableVM, так что он не сможет скомпрометировать платформу пользователя.

Не используйте верификацию по (мобильному) телефону


Веб-сайты вроде Google, Facebook и другие попросят (мобильный) телефонный номер, как только вы попытаетесь войти через Tor. Если только пользователь не исключительно умён или имеет альтернативу, эту информацию нельзя предоставлять.

Любые телефонные номера будут внесены в журнал. SIM-карта скорее всего зарегистрирована на имя пользователя. Даже если это не так, получение SMS выдаёт местоположение. Пользователи могут попробовать анонимно купить SIM-карту далеко от своего обычного домашнего адреса, но всё равно остаётся риск: сам телефон. Каждый раз при регистрации в сотовой сети провайдер сохраняет серийный номер SIM-карты [24] и серийный номер телефона. [25] Если SIM-карта куплена анонимно, а телефон нет, то анонимности не будет, потому что два серийных номера свяжут вместе.

Если пользователь действительно хочет пройти верификацию по номеру мобильного телефона, то рекомендуется уехать далеко от дома, найти свежий телефон с новой SIM-картой. После верификации телефон следует выключить, и немедленно после этого телефон и SIM-карту нужно полностью уничтожить. Это делается путём сжигания или другими изобретательными (надёжными) способами уничтожения.

Пользователи могут попробовать найти онлайновый сервис, который получит персональное SMS от их имени. Это сработает и обеспечит анонимность. Проблема в том, что в Google и Facebook такой метод вряд ли сработает, потому что они активно вносят в чёрные списки такие номера верификации. Другой вариант — найти кого-либо, кто получит SMS вместо вас, но это лишь перенесёт риски на другого человека. [26]

Аргументация


Читатель может пропустить этот раздел.

Данная статья рискует констатировать очевидные вещи. Но следует задать вопрос: «Очевидные для кого?» Всё вышесказанное может быть просто здравым смыслом для разработчиков, хакеров, гиков и других людей с технологическими навыками.

Но указанные группы людей склонны терять контакт с нетехническими пользователями. Иногда полезно почитать руководства по юзабилити или отклики от людей, которые никогда не появляются в списках рассылки или на форумах.

Например:


Примечания


1. https://lists.torproject.org/pipermail/tor-dev/2012-April/003472.html
2. Tor Browser должен устанавливать для запроса имя пользователя SOCKS на основании реферрера
3. Первые вряд ли когда-нибудь удалят данные, поскольку профилирование является основным методом монетизации пользователей с «бесплатными» аккаунтами. Профилирование используется для целевой рекламы и для наращивания большой базы данных пользователей, которую можно продать третьей стороне ради прибыли.
4. To Toggle, or not to Toggle: The End of Torbutton
5. https://en.wikipedia.org/wiki/Server_log
6. https://en.wikipedia.org/wiki/Deep_packet_inspection
7. https://www.torproject.org/docs/faq.html.en#ChoosePathLength
8. https://www.torproject.org/docs/faq.html.en#ChooseEntryExit
9. ↑9.0 9.1 9.2 Это изначально опубликовали adrelanos (proper) в TorifyHOWTO (w). Adrelanos не защищает копирайт, так что текст можно повторно использовать здесь. Он опубликован под той же лицензией, что и страница DoNot.
10. bridges#If_Tor_Use_is_Dangerous_or_Deemed_Suspicious_in_your_Location
11. В частности, Facebook хранит записи обо всех, кто просматривает страницы с кнопкой Like от Facebook.
12. https://www.securitee.org/files/trackblock_eurosp2017.pdf
13. 15 крупнейших сторонних сервисов: doubleclick.net, google.com, googlesyndication.com, googleapis.com, gstatic.com, admob.com, googleanalytics.com, googleusercontent.com, flurry.com, adobe.com, chartboost.com, unity3d.com, facebook.com, amazonaws.com and tapjoyads.com.
15. Например, в Twitter твиты, Follow и встроенные твиты используются для записи истории посещённых страниц браузера. Если посетить страницу, где есть что-нибудь из перечисленного, браузер делает запрос к серверам Twitter, содержащий заголовок посещённой страницы. Уникальный кукис позволяет Twitter выстроить историю посещённых страниц, даже для тех, кто не является пользователем Twitter (например, если Tor Browser не используется).
15. https://www.securitee.org/files/trackblock_eurosp2017.pdf
16. Например, продвинутые противники полагаются на сторонние следящие куки для деанонимизации пользователей Tor и выявления мишеней для взлома.
17. Поскольку они известны получателю.
18. Но эту информацию легко установить по записям интернет-провайдера, который связывает интернет-аккаунты с зарегистрированным именем и адресом. Как вариант, эта информация утекает через реальный (clearnet) IP-адрес, который изначально использовали для регистрации в сервисе, поскольку регистрация через Tor обычно блокируется.
19. ↑19.0 19.1 19.2 Например, идентификатором может быть (флеш) кукис с уникальным номером.
20. К сожалению, защита от фингерпринтинга пока неидеальна в любом браузере, и до сих пор есть незакрытые баги. См. tbb-linkability и tbb-fingerprinting.
21. http://dee.su/liberte
22. Цитата (w)
23. Для примера: PDF, документ Word, растровые изображения, аудио- и видеофайлы и т. д.
24. IMSI
25. IMEI
26. Однако получатель SMS, вероятно, всего в нескольких «рукопожатиях» от конечного пользователя (в лучшем случае).

Атрибуция


Благодарим intrigeri и anonym, которые прислали отзывы и предложения для этой страницы в почтовом списке рассылки Tails-dev.

Постоянная ссылка на версию вики от 27 мая 2017 года
Поделиться публикацией
Похожие публикации
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 64
  • 0
    Веб-сайты вроде Google, Facebook и другие попросят (мобильный) телефонный номер, как только вы попытаетесь войти через Tor

    А какие-нибудь хорошие поисковики для TOR имеются?

    • 0
      Если брать не конкретно под Tor, а хороший и безопасный поисковик, то: duckduckgo.com
      • +1

        К сожалению, duckduckgo имеет привычку игнорировать слова поиска :(
        (задаешь, к примеру, два слова для поиска — он ищет как будто в запросе стоит OR)
        Сам им пользуюсь, но, часто приходится повторять запрос в гугле :(

        • 0
          Ну, эта проблема решаема символом "+". Гораздо хуже, что он абсолютно не понимает язык «Си», приравнивая его к C++. Приходится извращаться добавлением в запрос слов «ansi», «plain» и т. д.
          • 0

            Побуду кэпом чуть-чуть...


            c -"c++" -"cpp" -"c#" standard library


            Найдите там C++ и ко...

      • 0

        В Tor Browser по умолчанию ищет через DuckDuckGo.

      • –3
        Статье однозначный плюс, всё описанное и так хорошо известно тем, кто сохраняет анонимность, но лишний раз об этом напомнить всегда полезно.
        PS: щас набегут моралфаги, кококо пособие для киберпреступников ;)
        • –2
          очень интересно написано, но все чаще прихожу ко мнению, что онлайн и анонимность это несовместимые понятия. когда-то читал, что в торе при посещении сайтов считывается то как вы водите мышкой и создается некий портрет пользователя. после чего счтываются теже данные уже не из тор и потом сопоставляются пользователи. Так как моторика и настройки мышки очень индивидуальны, процент точности мэппинга был довольно высок.
          • 0
            в Торе — в браузере, на сайте зоны тор, или где?
            • 0
              я не сильно вникал в детали так как не пользуюсь тор. но если Вы загуглите «tor mapping by mouse» сможете получить ответ на все ваши вопросы.
              • +1
                Гуглится способ идентификации пользователя Tor. Нигде ни слова, что это встроено в Tor Browser.
            • 0
              del
              • 0
                Кстати, по этой причине удобно использовать 2 физически разных компьютера, подключенных к интернету по физически разным каналам. На одном из них, естественно, Whonix. Ну и бонусом выполняются пункты «Не используйте чистый веб и Tor одновременно» и «Не подключайтесь к серверу анонимно и неанонимно одновременно», ну и не получится случайно спутать браузеры.
                • 0
                  да, согласен, что безопасно хранить отдельную машину, для подключения к тору и только ее использовать для тора. и например домашний ноутбук для соц сетей и просмотра фильмов. при полной параное я бы еще добавил небольшой крон файл с полной очисткой системы. ну мало-ли какие нежданные гости захотят узнать что у вас хранится на компе, который скромно стоит в стороне.
                  • 0
                    Еще один метод анонимации — использовать облачные виртуальные машины каждый раз создавая новую в разных регионах и на разных браузерах с разными пользователями и разными осями.
                    Для подключения к удаленномо рабочему столу пользоваться аноноимными каналами.
                    • 0
                      И желательно каждый раз подключаться из разных мест — интернет-кафе, соседи, знакомые…
                      Такую цепочку точно ну оччччччччччень тяжело отследить.
                      • 0
                        И эти вм должны быть арендованы анонимно, и ещё много И может возникнуть… Так что это, как раз скорее может стать причиной деанонимизации.
                        • 0
                          А кто утверджает указывать свои реальные данные?
                          Что? карта говорите?
                          Так и карту можно левую создать.
                          Например Payoneer как раз долларовая для подтверджения личности на амазоне.
                          • 0
                            Да есть и за биткоины, но надо ж постоянно менять регионы. А в итоге сложности, которые будут отнимать много времени, и в которых можно ошибиться.
                            • 0
                              Анонимность требует времени и сил.
                              Недавно (часок назад) наткнулся на интересную статью
                              Есть другие статьи в разделе: БЕЗОПАСНОСТЬ В СЕТИ
                  • –1
                    Поэтому настоятельно рекомендуется полностью отключать JavaScript и избегать использования сайтов, которые не работают без JavaScript. По идее решает множество подобных проблем.
                    • +1
                      Удачи им трекать мышку из-под NoScript.
                    • +2
                      А ещё на кое-каких телефонах с кое-какими процессорами можно сменить IMEI на совершенно другой, в таком случае не понадобиться покупать новый телефон и вас не вычислят по оплате картой или фотографической памяти продавца. Но это незаконно(но мы же никому об этом действе рассказывать не будем?).
                      Оффтоп: Кто-нибудь знает, у магазина хранятся IMEI проданных телефонов?
                      • 0
                        у операторов хранятся связки с IMSI, например
                        • 0
                          Насколько мне известно, IMSI вшит только в SIM, и то, кажется, его можно поменять. Да и кто будет вставлять личную SIM в телефон с изменённым ради анонимности IMEI?
                          • +1
                            если IMEI менять, то проблем с записями в магазине тоже не должно быть :)
                            ну и в данном кейсе что-то брать в магазине, наверное, не стоит. прогулять у вокзала и приобрести аппарат с рук
                            • 0
                              Нет, IMSI поменять нельзя, потому что именно по нему оператор идентифицирует карту.

                              Событие «в этом секторе соты в последний раз видели этот IMEI, а потом там же увидели совершенно новый IMEI» тоже наводит на всякие мысли.

                              Но перед тем как думать о смене IMEI надо подумать — от чего и от кого защищаемся, собственно?
                              • 0
                                Однако, можно: https://stackoverflow.com/questions/23928109/is-it-possible-to-update-modify-imsi-number-of-a-sim-card (прошу прощения, у меня нет прав вставлять ссылки), однако, для этого требуется пароль(но опять же, не всегда). Возможно, его можно забрутфорсить. А ещё, есть такие MultiSIM, они основаны как раз на смене IMSI через программу, предустановленную на SIM производителем. Но, естественно, смена IMSI ничего не даст, так как каждому IMSI сопоставлен криптографический ключ, который из SIM вытащить почти нереально. Раньше были SIM с уязвимостью в шифровании, и на таких картах можно было этот ключ извлечь, так MultiSIM и появились. Кстати, одна такая у меня завалялась, но сейчас она бесполезна.
                                • 0
                                  менять можно, конечно, но это палево, так как анти-фрод системы сразу отловят
                            • 0
                              Насколько мне известно, сейчас в ходу определение конкретного юзера по профилю перемещений. А IMEI это уже давно лишь «ещё один инструмент» для идентификации.
                            • 0
                              Меня волнует вопрос софта. Каким браузером пользоваться, ведь любой софт может иметь кейлогер?
                              • 0
                                Написать свой :-/
                                • 0
                                  Тяжело быть хакером, сидишь полностью защищенный, а твой софт просто логирует тебя и все. При этом это может быть браузер или на худой конец SSH клиент.

                                  У меня вот параноя сидеть из под Виндоус в SSH клиентах сторонних производителей. Видимо если софт не Open-Source то он уже не безопасен.
                                  • –1
                                    А откуда вы знаете, что компилятор, которым вы строите код, не встраивает в него закладку? :-)
                                    • +1
                                      Я бы сказал, что его код можно посмотреть, но вы продолжите, что у нас закрытый код проца и так далее…
                                      • 0
                                        А кстати зря минусанули — на самом деле компилятор C некоторое время встраивал закладки. Для параноиков страшнейшая история. The Ken Thompson Hack.
                                    • 0
                                      ИМХО лучше всего использовать стандартный Tor browser, из под Whonix, Tails, или Qubes OS.
                                      Во первых сочетание TOR + Tor browser гораздо более распространённое, чем TOR + любой другой браузер
                                      Во вторых Tor Browser по умолчанию режет многую информацию о системе, которую другие браузеры не режут. Например все экземпляры Tor Browser по умолчанию открываются в окне стандартного размера. На время написания комментария panopticlic не работает, но когда я заходил на него в последний раз, самое большое колличество информации о пользователе выдавал именно размер окна браузера.
                                      В третьих он правильно настроен из коробки.
                                      С другой стороны, очевидно, что Tor Browser является главной мишенью при борьбе с TOR. Можно лишь надеяться что в связи с тем что код открыт, бэкдоры туда встроить не удаётся.
                                      Ну, и в случае если Tor Browser запущен из под Whonix, или другой правильно настроенной виртуалки, то даже если в Tor Browser и есть бэкдор, всё равно трафик будет идти через TOR и реальный IP адрес останется в секрете.
                                    • 0
                                      Мне кажется, чтобы быть анонимным — нужно создать фейковую личность с личным данными в социальных сетях. Использовать ТОР и другие способы анонимизации с ошибками, как указано в статье.

                                      При этом для этой личности перенастроить скорость мышки и сделать реверс прокрутки.

                                      И пускай все системы отслеживают и следят за тем — кого несуществует )
                                      • 0

                                        Все верно, нужна фейковая личность. Но ошибок анонимизации при этом допускать все равно нельзя — иначе эту самую фейковую личность быстро свяжут с вашей настоящей.

                                      • +4
                                        Не выходите в интернет.
                                        • 0
                                          Статья вот-вот потеряет свою актуальность в силу запрета Tor. Так, что можно не обольщаться.
                                          • +1
                                            Запрета в какой стране? На какой планете? Хотелось бы подробностей, при таких вбросах. А то вон и Китай надорвался запретить Tor, а вы мечтаете о запрете в РФ.
                                          • 0

                                            А что насчёт когда работаешь через VPN, открыт Tor browser и одновременно сидишь через второй браузер который не анономный?

                                            • +2

                                              Человеческий фактор же. Перепутал окна — и всё.

                                            • +2
                                              И в закладки статью лучше не добавлять!)
                                              • +1
                                                закладки давно уже на слуху как что-то незаконное
                                              • +2
                                                Если ехать покупать анонимную симку с телефоном, то свой телефон обязательно нужно оставить дома. И в дальнейшем хранить анонимный телефон как можно дальше от своего, чтобы никогда они не оказались рядом.
                                                • 0

                                                  Потому что иначе GPS координаты телефонов будут регулярно совпадать.

                                                  • 0
                                                    Можно разобрать телефон, и как нибудь вывести из строя GPS модуль. (Ну или программного его отключить.
                                                    • 0

                                                      Оператору не нужен GPS на телефоне, чтобы определить местоположение телефона. Достаточно знать, к каким базовым станциям подключён телефон.

                                                  • +1
                                                    хранить анонимный телефон


                                                    Во-первых не стоит его хранить вообще, как и написано в статье.
                                                    Во-вторых если уж приперло — нужно покупать старый кирпич.
                                                    В-третьих включать его только далеко от дома (в соседнем городе/стране) и только на время пользования.
                                                    Ну и, выключая, всегда вытаскивать батарею.

                                                    Нижеотписавшимся про GPS: доступа к GPS без хардварных/софтварных закладок ОпСоС не имеет (могу ошибаться), а вот узнать, к каким вышкам подключался телефон с определенной симкой — очень даже можно.
                                                    • 0
                                                      Не просо к каким вышкам, он сходу знает в каком секторе находится телефон и расстояние до него. У вышки несколько направленных антенн, как лепестки у цветка.
                                                      А если телефон попадает в покрытие сразу нескольких вышек (такое часто происходит в городе), то оператор может вычислить местоположение с точностью до пары десятков метров (до дома).
                                                  • –1

                                                    Чем нужно заниматься чтобы так беспокоиться насчет своей безопасности (криминал не в счет). Или чисто из спортивного интереса?

                                                    • 0

                                                      Вот вы что-то написали в твиттере и забыли, а через два года ваше сообщение оказалось вне закона, кто-то его нашёл и вычислил вас и настучал. Дата публикации сообщения не будет иметь значения, потому что закон нарушается здесь и сейчас — сообщение общедоступно в сети интернет, а вы не удосужились его вовремя удалить.


                                                      Так, легальные сообщения, но на грани фола, лучше публиковать полностью анонимно. Примеры таких сообщений: информация о собственности олигархов, представителей РПЦ, видеозаписи правонарушений власть имущих и т.д. А вдруг за такое потом будут сажать?

                                                      • –8
                                                        Понятно. Неуловимые Джо, борцы с режЫмом, которым для атмосферы крутизны и хакерства нужен допинг в виде Tor
                                                        • 0
                                                          Так законы обратной силы не имеют. Если закон какой-то появится через 2 года, то вас не могут привлечь за старое сообщение. Или я не прав?
                                                          • –1

                                                            Да, могут, прецеденты уже есть.

                                                            • 0

                                                              Нарушением считается не факт публикации чего-то незаконного в интернете, а факт существования чего-то незаконного в интернете.

                                                              • –1
                                                                Вы не правы. Смотрите суды за публикации в сети. Людей уже осуждали за посты опубликованные до вступления законов в силу(пример суда над Носиком, которого осудили вообще по редакции статьи принятой уже во время процесса).
                                                                Ну и да, бывают законы с обратной силой, по крайней мере в РФ.
                                                            • +4
                                                              своей безопасности (криминал не в счет)

                                                              Речь идет об анонимности, а не безопасности.

                                                              Чем вы таким страшным занимаетесь, что специально придумали отдельный ник для хабры/гиктаймса (кстати, довольно редкий)?

                                                              Николай Вы либо крестик снимите… Причина, по которой вы не указали ФИО/компанию в профиле на хабре, а также используете ник, не совпадающий с таковым в других соц. сетях и WoT — вот эта вот причина вполне может быть ответом на ваш вопрос.
                                                            • +4
                                                              И самый важный и очевидный (даже прописанный в FAQ тора) совет: не будьте выходным узлом со своего домашнего интернета, который вы подключали по паспорту.
                                                              • 0

                                                                Кажется, что пункт "Не смешивайте режимы анонимности" включает в себя большинство остальных.

                                                                • 0
                                                                  Статья в целом интересная. Но неужели кто-то на полном серьёзе пользуется соцсетями и интернет-банкингом из-под Тора? Зачем?)
                                                                  • 0
                                                                    Можно завернуть весь трафик — так не чувствуются блокировки и нет опасности попасть на страницу мобильной подписки.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.