User:Duncandozerconstruction/sandbox
Appearance
Загрози безпеці
[edit]Слід пам'ятати, що один з вузлів ланцюжка Tor цілком може виявитися уразливим. Також з тієї або іншої причини ворожі до клієнта дії може здійснювати сайт — від спроб з'ясувати справжню адресу клієнта до «відбиття» його повідомлення.
Перегляд і модифікація повідомлення
[edit]На останньому вузлі ланцюжка Tor початкове повідомлення від клієнта остаточно розшифровується для передачі його серверу в первинному виді. Відповідно:
- Перший вузол ланцюжка знає справжню адресу клієнта;[1]
- Останній вузол ланцюжка бачить початкове повідомлення від клієнта, хоча і не знає істинного посилача
- Сервер-адресат бачить початкове повідомлення від клієнта, хоча і не знає істинного посилача
- Всі інтернет-шлюзи на шляху від останнього вузла мережі Tor до сервера-адресата бачать початкове повідомлення від клієнта, хоча і не знають адреси істинного посилача.
Розкриття посилача
[edit]При роботі з мережею Tor до повідомлень користувача може додаватися технічна інформація, що повністю, або частково розкриває посилача.
- Технічна інформація про адресу сервера-одержувача може видаватися клієнтом шляхом DNS-запитів до свого DNS- серверу, легко перехоплюваних провайдером. Вирішенням цієї проблеми буде налаштування дозволу імен через мережу Tor[2], або блокування фаєрволом доступу Tor до DNS шляхом заборони витікаючих з'єднань на видалений порт 53[3] чи використання сторонніх DNS- серверів, таких як OpenDNS[4] чи TorDNS[5];
- Сервер може запитувати, а клієнт видавати технічну інформацію про адресу клієнта і конфігурації його операційної системи і браузера. Запит може йти як через виконання в браузері сценаріїв мови JavaScript і Java, так і іншими способами. Ця проблема може бути розв'язана відключенням в браузері відповідних сценаріїв і мов, а також використанням фільтруючих проксі-серверів, таких як Polipo, Privoxy і Proxomitron.
Інші загрози безпеки
[edit]- На шляху від останнього вузла мережі Tor до сервера призначення, повідомлення(що йде у відкритому виді) може бути модифіковане
- На шляху від останнього вузла мережі Tor до сервера призначення, існує можливість крадіжки призначених для користувача реквізитів доступу до серверу, наприклад, логіна і пароля, cookie, або сеансу зв'язку
- Сервер може відхилити повіомлення з адресою посилача вузла мережі Tor. Так поступають багато серверів[6] для захисту від спама, анонімного вандалізму і з інших причин. Зокрема, так поступає Вікіпедія, Google,[7] Linux.org.ru і деякі корпорації.[8]
Застосування
[edit]- Більша частина програмного забезпечення Tor написана на мові програмування Сі та приблизно складає 146,000 рядків коду.[9]
- Vuze (колишній Azureus), BitTorrent клієнт, написаний мовою Java, включає вбудовану підтримку Tor.[10]
- Маршрутизатори з вбудованою апаратною підтримкою Tor на даний час знаходяться в розробці організацією Torouter project.[11] Код програмного забезпечення знаходиться на стадії альфа версії, та запускається з платформи OpenWrt.[12]
- Проект Guardian активно розробляє програмне забезпечення відкритого коду для платформи Android з метою створення більш захищених мобільних комунікацій.[13] Програмне забезпечення включає: Gibberbot — клієнт миттєвих повідомлень, що використовує Off-the-Record Messaging-шифрування;[14] Orbot — Tor клієнт для Android;[15] Orweb — мобільний браузер;[16] ProxyMob — аддон для Firefox що допомагає керувати HTTP, SOCKS, і SSL-проксі налаштування для інтеграції з Orbot;[17] і Secure Smart Cam — набір інструментів-утиліт для покращення конфіденційності інформації, що зберігається в пристрої.[18]
See also
[edit]- Anonymous P2P
- Anonymous remailer
- Arm (software)
- Crypto-anarchism
- Free Haven Project
- Freedom of information
- Freenet
- Hacktivism
- The Hidden Wiki
- I2P
- Incognito (operating system)
- Internet censorship
- Internet privacy
- Netsukuku
- OpenNet Initiative
- OperaTor (web browser)
- Phantom Anonymity Protocol
- Polipo
- Portable Tor
- Privoxy
- Proxy server
- Tails (Linux distribution)
- The Silk Road (anonymous marketplace)
- Tor-ramdisk
- TorChat
- Vidalia project
- xB Machine
- XeroBank Browser
Footnotes
[edit]- ^ Захиститися від компрометації у такому разі допомагає можливість вибору в Tor вхідного і вихідного вузла.
- ^ Наприклад, за допомогою перенаправлення портів, або використанням віртуальної машини JanusVM фільтруючого проксі-сервера Privoxy, які при вірних налаштуваннях примусово завертають в себе увесь трафік.
- ^ Якщо запустити сервер Tor після заборони на передачу імен DNS, то він не зможе працювати таким, що виходить, незалежно від заданих йому налаштувань.
- ^ Якщо запустити Tor при використанні openDNS, то стає неможливим підняття сервера цієї мережі, оскільки openDNS починає видавати йому неправдиві адреси.
- ^ TorDNS
- ^ Tor blacklist — список блокування Tor для веб-сервера Apache.
- ^ — 12 Чому Google блокує мої пошукові запити через Tor?
- ^ 68971/ Блокуємо Tor на корпоративному firewall.
- ^ Luckey, Robin. "Tor". Ohloh. Retrieved 16 April 2010.
- ^ "Tor". Vuze. Retrieved 3 March 2010.
- ^ Simonite, Tom (22 December 2010). "Home Internet with Anonymity Built In". Technology Review. Retrieved 14 May 2011.
- ^ "Torouter Project". Retrieved 10 May 2011.
- ^ "About". The Guardian Project. Retrieved 10 May 2011.
- ^ "Gibberbot: Secure Instant Messaging". The Guardian Project. Retrieved 10 May 2011.
- ^ "Orbot: Mobile Anonymity + Circumvention". The Guardian Project. Retrieved 10 May 2011.
- ^ "Orweb: Privacy Browser". The Guardian Project. Retrieved 10 May 2011.
- ^ "ProxyMob: Firefox Mobile Add-on". The Guardian Project. Retrieved 10 May 2011.
- ^ "Obscura: Secure Smart Camera". The Guardian Project. Retrieved 10 May 2011.
References
[edit]- Anonymity Bibliography Retrieved: 21 May 2007
- Schneier, Bruce. Applied Cryptography. ISBN 0-471-11709-9.
- Schneier, Bruce. Email Security. ISBN 0-471-05318-X.
- Bacard, Andre. Computer Privacy Handbook. ISBN 1-56609-171-3.
Further reading
[edit]- AnonWatch, Tor in Depth Security Analysis of the Tor Network
- Goodin, Dan "Tor at heart of embassy passwords leak", 10 September 2007 article on The Register news website. (Accessed 20 September 2007).
- Krebs, Brian, Attacks Prompt Update for 'Tor' Anonymity Network 8 August 2007 (Accessed 27 October 2007)
- "The Hack of the Year". The Sydney Morning Herald. 13 November 2007. Retrieved 16 November 2007.
- Zhelatin.IR (= Storm Worm) 7 September 2007 (Accessed 27 October 2007) (in French)
- Make Tor go the whole hog Hacker Magazine article
External links
[edit]- Official website
- Tor Project FAQ: LiveCD & Bundled Software
- Tor Support Programs — Commonly used programs that integrate with Tor
- Core Onion — Introductory point to Tor services (Tor is required to access this site)
- Tor Network Statistics
- Tor: The Onion Router – Introduction to Tor in How to Bypass Internet Censorship
- Tor Hidden Service (.onion) search