LINUX.ORG.RU
ФорумTalks

Зачем блокировать Tor?

 ,


0

1

Интресно мнение тех, кто так или иначе связан с администрированием сайтов и т.п.(потому в talks, но можно и перенести при необходимости)

Коротко о сути: решил поехать на время зимнего отпуска в тёплые арабские страны. Желания светить свою сетевую активность публичному wifi нет, как нет и желания светить сам факт использования своей ПВС. Решил использовать Tor и забыть о проблемах.

Но дело в том, что некоторые сайты банят выходные узлы даже в режиме read only. Ок, я могу понять, зачем блокировать регистрацию через тор. Ок, могу понять, почему всякие костыли «для защиты от DDoS и роботов» ругаются на тор, благо их легко можно усмирить. НО, зачем(зачем?!) блокировать тор полностью, без попытки регистрации? Кто-то правда думает, что это хоть чем-то поможет бедному сайту? Серьёзно?! Кто захочет зайти через тор - тот элементарно обойдёт эту шелуху.

На пальцах:

1) Берётся демонизированный Тор

2) Берутся правильные настройки iptables

3) Берётся список из нескольких тысяч открытых прокси

4) Берётся Firefox и настраивается на работу через эти прокси

5) Берётся и легко обходится любая «блокировка Tor». Легко и совершенно незаметно

Можно сделать даже проще: взять Tor Browser, зайти на любой сайт с анонимайзером и вбить туда несчастную ссылку. Всё. Справятся даже домохозяйки.

Мы отлично знаем, что ни ping, ни nmap и прочее через тор работать не будет. Вообще. Заработает только безобидный httping. Так есть ли хоть одна реальная причина блокировать выходные узлы тора?

Лично я вижу только такие:

1) Ваш эффективный менеджер «знает» о Tor и начинает биться в припадке, осознавая, что ваш сайт можно смотреть через него. Вы его успокаиваете и получаете бутылку вкусного напитка

2) Вы очень старательно и эффективно имитируете бурную деятельность, напевая окружающим, что «справились с блокировкой того, обо что даже спецслужбы пообломали зубы».

3) Вам было ужасно лень, вы взяли всякие примочки от «антиспама» или какой-нибудь ipban и заблокировали с их помощью вообще всё, до чего дотянулись руки, ибо было лень проводить тонкую настройку.

4) Вы зарабатываете благодаря тонкому профилированию каждого, кто посещает ваш сайт. А потом продаёте данные рекламщикам.

5) Вы сами рекламщик, либо вам приплачивают гуглояндексы.

Как бы то ни было, ясно одно - блокировка Tor неэффективна, никак(вообще) не защищает от «злобных хакеров» и прочих неприятностей.

Так зачем же провоцировать людей, вынуждая их вам это доказывать?

То есть ты не доверяешь публичному wifi, но доверяешь случайному владельцу выходного узла tor? Какая у тебя вообще модель угроз?

x3al ★★★★★ ()

блокировка Tor неэффективна, никак(вообще) не защищает от «злобных хакеров»

Блокировка TOR — это самый простой способ защитить пользователей TOR от злобных хакеров, делающих https stripping на энднодах. Да, hsts preload в теории должен помочь, но он не везде есть.

Вообще, люди, которые пользуются TOR для обычного интернета — ССЗБ.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

То есть ты не доверяешь публичному wifi, но доверяешь случайному владельцу выходного узла tor?

Владельцам выходных узлов, которые:

1) Разные для разных сайтов(вся цепочка другая, естественно)

2) Меняются каждые 10 минут

3) Ничерта не могут, ибо https же + DNS over Tor

Какая у тебя вообще модель угроз?

Потенциально ничего не мешает местному провайдеру делать mitm и сливать почти всё почти кому угодно. А откуда я знаю, что и кому сливать будут?

Может скоро меня запишут в неблагонадёжные и запретят въезд в обозначенные страны(чего бы мне ой как не хотелось)?

SM5T001 ()
Ответ на: комментарий от x3al

Блокировка TOR — это самый простой способ защитить пользователей TOR от злобных хакеров, делающих https stripping на энднодах

Это просто смешно. Давно HTTPS everywhere забанили?

SM5T001 ()
Ответ на: комментарий от x3al

Я доверяю зарубежным хакерам, и вообще не доверяю российским компаниям, самый минимальный уровень доверия - для государственных компаний и служб

Таким образом рандомный человек в Канаде, примерно всегда лучше, чем сосед по площадке. И не только в рамках Tor, а вообще по жизни

stevejobs ★★★☆☆ ()
Ответ на: комментарий от x3al

Какая у тебя вообще модель угроз?

Его видать волнует не безопасность, а анонимность

fornlr ★★★★★ ()

Зачем?

Очень просто. Эффективность - это соотношения нескольких факторов с общей оценкой.

  1. потеря аудитории - 0.01 процент и мало адекватной

  2. трудоемкость - минимальна. Есть готовые решения

  3. польза - блокируем канал с которого всё равно ничего хорошего нет, а только атакующие направления по сканам/брутам и так далее…

Как видно - смысл есть.

Глупые максималистические доводы типа «зачем прикрыли наркопритон? - всё равно найдкт где ширяться» не имеют смысла.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от SM5T001

Потенциально ничего не мешает местному провайдеру делать mitm и сливать почти всё почти кому угодно.

Они тоже

Ничерта не могут, ибо https же

Конечно DNS надо защищать отдельно, и провайдер, пока версия tls <1.3, может видеть не только ip, но и домены в https.

А по основному вопросу. Некоторые действительно боятся, что их могут положить. Некоторые блокируют диапазоны ip даже целыми странами(личная неприязнь, по большей части после DDOS или флуда) и не хотят чтобы они просто через tor зашли. Некоторые кроме стран блокируют ещё и tor просто потому что принципиально против этой сети, что только наркоманы, педофилы и прочие нехорошие люди могут через неё прийти.

boowai ★★ ()

ни ping, ни nmap и прочее через тор работать не будет ... Так есть ли хоть одна реальная причина блокировать выходные узлы тора?

омг, малолетние хацкеры в треде. ни пинг, ни нмап не представляют угрозы сайту. представляет угрозу как раз анонимный http трафик.

зачем(зачем?!) блокировать тор полностью, без попытки регистрации?

ну а почему нет-то? легитимных пользователей от этого не теряешь. только всяких мамкиных хакеров.

Желания светить свою сетевую активность публичному wifi нет, как нет и желания светить сам факт использования своей ПВС. Решил использовать Tor и забыть о проблемах.

ну я же говорю: мамкин хакер. подыми VPN до айпи, которому доверяешь и не будет у тебя этой проблемы.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от boowai

что принципиально против этой сети, что только наркоманы, педофилы и прочие нехорошие люди могут через неё прийти.

и это логично. лучше забрить одного линуксодида и двух торговцев нелегальщиной, чем пропустить линуксоида и заодно двух нелегальщиков.

crypt ★★★★★ ()

Мы отлично знаем, что ни ping

кстати кто в теме почему kremlin.ru не пингуется?

amd_amd ★★ ()
Ответ на: комментарий от x3al

Я тоже, но на телефоне, всё в tor заворачиваю. ОпСоС'у с его оплатой по http не доверяю больше.

boowai ★★ ()
Последнее исправление: boowai (всего исправлений: 2)

Полностью согласен с ТС

Полностью согласен с ТС, большая цепочка правил только даёт лишнею нагрузку на сервер и увеличивает пинг, при том что от основных угроз от tor действительно достаточно запретить регистрацию через tor и иногда и логин, и к стати вот тут как раз для регистрации и входа как раз можно накрутить кучу правил и эвристик которые могут вычисляться хоть несколько секунд.

Ну а те кто боится прихода через tor по http могут просто запретить входить через tor, а может и вообще без https или других защищённых протоколов.

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)

Потому что проще одной командой командой скачивать список адресов, а второй командой совать его в ipset, чем думать. Нет, правда.

slowpony ★★ ()
Ответ на: комментарий от x3al

Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.

– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?

– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.

– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.

– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.

Сисадмин кивнул.

– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.

Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.

Satou ★★★★ ()
Ответ на: комментарий от Satou

– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.

Гы-гы-гы, в наших реалиях уже все наоборот, скорее. Это банк деньги принимает охотно, а выдает, если решит, что тебе их можно выдать.

praseodim ★★★★ ()

Я встречал, что перед сайтом ставят какой-нибудь cloudflare, который тор если не блокирует, то сильно осложняет использование. Думаю, тут больше п.3 работает.

turtle_bazon ★★★★ ()
Ответ на: комментарий от x3al

если бы только тор. макаки уже и впны с впсок банят.

а по теме хз их мотивацию. скорее всего одмины таких сайтов просто жадное быдло по жизни- ни себе ни людям

Rost ★★★★ ()

серьёзно абсолютно. с тора лезет куча ботов. нормальным юзерам на нормальных форумах он не нужен. поэтому его проще заблокировать сразу.

Iron_Bug ★★★★ ()
Ответ на: комментарий от turtle_bazon

Cloudflare гуглокапчу требует каждые пару минут, но пускает. Они ещё что-то накостыляли с HTTP Alt-Svc чтобы опционально сайт был прозрачно доступен и через onion. Первый заход будет через интернет, пока не закешируется браузером.

boowai ★★ ()

Ну а вдруг у тебя возникнет нездоровая идея оставить комментарий, покритиковав Самого Его? Это же УК. А кого сажать, админа? Админ скажет, что сделал все, что мог. Анонимусы но пасаран. А прокси что, ну будет выглядеть, как злобный пиндос, проплаченный Госдепом зашел надругаться над самым святым. И админ не при чем.

Придет время и прокси все позакрывают, как в свое время пол-амазона в нелегком деле праведной борьбы с телегой. И будет везде все хорошо и вход на сайты только по паспорту. Вот тогда будет полный порядок. А то, понимаешь, джихадист нашелся, из арабских стран хочет анонимно страничку почитать. Сначала почитать, а потом и написать захочет! Брысь отседова!

explorer ()
Ответ на: комментарий от Satou

Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель

Не путай платный vpn с TOR. Если платный vpn внезапно подменяет загрузки юзеров чем-то затрояненным — ему быстро наступит песец. А evil node в TOR спокойно могут делать это пока не поймают и не… включат в список злых нод, после чего тупо меняется адрес и всё продолжается пока не поймают опять.

Это проблема не только прокси, 99.9% халявных прокси/vpn делают что-нибудь нехорошее с трафиком, но в tor оно заметнее.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Какая у тебя вообще модель угроз?

Очевидно, что для него угрозы в локальных провайдерах, сохраняющих что нипоподя в рамках всяческих «пакетов»...

atrus ★★★★★ ()
Ответ на: комментарий от Harald

но он их хотя бы иногда выдаёт

Смотря какая жена. А вот банки примерно одинаковые, все трясутся над «рекомендациями» ЦБ, все выполняют всякие приказы официальные, ну и сами не прочь погреть руки.

Вообще, и из банковской тайны и из принципа выдачи денег по первому требованию сделали полное дерьмо.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от crypt

Омг, эксперт по «компутинг сайенс» подкатился и раздал годные советы. Вроде вот такого:

ну я же говорю: мамкин хакер. подыми VPN до айпи, которому доверяешь и не будет у тебя этой проблемы

Отличный совет, 5 баллов. И плевать, что сразу ясно будет, что «этот чёрт шифруется», что просветится собственная машина(для невнимательных - ты сам процитировал кусок про ПВС же.), и вообще что VPN(sic!) ни разу не инструмент для работы в качестве прокси. Вот вообще.

Догадаетесь, какое изначально было применение у виртуальных частных сетей, до того, как их раскрутили всякие успешные люди?

ни пинг, ни нмап не представляют угрозы сайту

Я в курсе, окда? Это я описываю страхи типичного эникейщика-«админа».

представляет угрозу как раз анонимный http трафик

Предлагаю забанить вообще все ip, ибо nat же.

Сказанул лишь бы воду в луже помутить.

SM5T001 ()
Ответ на: комментарий от fornlr

«зачем прикрыли наркопритон? - всё равно найдкт где ширяться»

Ложная аналогия, однако. Tor не наркопритон, а скорее топор. Топором можно не только головы рубить, но и дрова.

Но чтобы топором не рубили головы - надо рубильщиков блокировать, а не топоры.

SM5T001 ()

Спам — первая и основная причина.

commit ()
Ответ на: комментарий от SM5T001

Ну нету такой аудитории «адекватные дровосеки с топорами».

Поэтому проще поступить просто блокировкой.

Исключениями являются разве что уж совсем редкоземельные сайты на тематику криптоанархии.

Остальным владельцем ресурсов объективно всё это на не сдалось. Поэтому всё правильно делают.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от x3al

Поверю в «смерть vpn» от неправильных действий только тогда, когда разорится и закроется HideMyAss.

Это не говоря уже о том, что VPN никогда не был предназначен для обеспечения безопасности. Никогда вообще. Большая часть VPN-провайдеров открыто плюют на безопасность, например, редко меняя ключи или вообще используя один ключ на всех. Много от кого защитит?

В Tor же шанс нарваться на злую ноду ничтожен, потенциальные риски смехотворны(HTTPS Everywhere + Enrypt All Sites Eligible is ON), а блокируют их от силы за час - уже проверял лично. Это если не считать того, что целенаправленный отлов трафика отдельного пользователя невозможен, в отличие от VPN.

Использовать VPN обычно просто бесполезно, часто - вредно.

SM5T001 ()
Ответ на: комментарий от SM5T001

что сразу ясно будет, что «этот чёрт шифруется»

кому ясно-то? про кого речь у тебя там в голове?) владельцам публичного вайфай или ты новый Сноуден, что за тобой охотится правительство? кому ты нафиг нужен.

что просветится собственная машина

что такое просветится я не знаю

(для невнимательных - ты сам процитировал кусок про ПВС же.)

опять же про кого речь? кого так волнует твоя приватная сеть.

и вообще что VPN(sic!) ни разу не инструмент для работы в качестве прокси. Вот вообще.

а из твоего припадка не форуме вообще не ясно, что тебя волнует именно прокси.

то есть тебе нужно и от владельца ресурса спрятаться за прокси? ну я же говорю: мамкин хакер:)

crypt ★★★★★ ()
Ответ на: комментарий от crypt

кому ясно-то? про кого речь у тебя там в голове?

Ещё разок:

решил поехать на время зимнего отпуска в тёплые арабские страны

Разжую - меня могут депортировать оттуда просто за случайные глупые слова, а потом не пускать. И оно мне не надо. А те, кому я нужен, уже и без моих пояснений всё поймут.

что такое просветится я не знаю

Засветится\отметится, выбирай любой аналог.

кого так волнует твоя приватная сеть

Увы, волнует, но сказать не могу.

Могу привести пример с КНР, когда одну мою машину(хватило ума лезть из собственного дома, а не через ПВС) оттуда просто положили вскоре после того, как я начал её использовать для доступа наружу.

а из твоего припадка не форуме вообще не ясно, что тебя волнует именно прокси

Меня волнует спрятать трафик от лишних глаз, более ничего.

то есть тебе нужно и от владельца ресурса спрятаться за прокси?

Нет.

ну я же говорю: мамкин хакер

Вот оно что. Ну привет, мамкин хакер, будем знакомы - я SM5T001.

SM5T001 ()
Ответ на: комментарий от fornlr

В наше время быть не анонимным опасно. И чем для большего круга лиц ты не анонимен, тем в большей опасности ты находишься. Исключение, когда ты можешь защититься толстым кошельком и кучей охраны, а порой и целой армией...

peregrine ★★★★★ ()
Ответ на: комментарий от fornlr

А разгадка простая - она там же, почему на ЛОР-е не осталось модераторов, которые не нацпольные...

peregrine ★★★★★ ()
Ответ на: комментарий от crypt

кому ты нафиг нужен

Пожалуй внесу вас в список клоунов форума. Ты нужен рекламщикам, чтобы эффективно показывать тебе рекламу, ты нужен мошенникам, чтобы эффективно надувать тебя как лоха, во многих странах ты нужен политикам, чтобы эффективно управлять тобой, ты нужен всем своим врагам, чтобы эффективно вставить тебе по самое небалуй при первой же возможности. Если тебе кажется что ты не кому не нужен, то ты просто идиот и нужен санитарам.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от SM5T001

Разжую - меня могут депортировать оттуда просто за случайные глупые слова, а потом не пускать. И оно мне не надо. А те, кому я нужен, уже и без моих пояснений всё поймут.

ок, vpn здесь спасает. он анонимизирует и защищает трафик в транзите.

Меня волнует спрятать трафик от лишних глаз, более ничего.

тогда впн спасает

Нет

тогда зачем именно проксироваться не ясно

crypt ★★★★★ ()
Ответ на: комментарий от peregrine

для этих надобностей не нужен тор. он эффективно работает с noscript. стало быть у тебя большая часть сайтов просто работать не будут. можешь с таким же успехом вообще в интернет не выходить.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

Мы про тор или про тор браузер? Тору так-то срать на твой браузер...

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

я про то, что тебя будет в первую очередь де-анонимизировать javascript. хоть с тор, хоть без. поэтому твоя паранойя требует других средств. поэтому вы просто зря зафиксировались на торе.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 2)
Ответ на: комментарий от SM5T001

Поверю в «смерть vpn» от неправильных действий только тогда, когда разорится и закроется HideMyAss.

Опять же: какая у тебя модель угроз? Если хочешь VPN, не сотрудничающий с государством — она немного другая, чем обычно.

блокируют их от силы за час - уже проверял лично

Если они достаточно умные и хотя бы переписывают трафик рандомным юзерам, а не всем? За час? Ну ок.

Ну и тупо слушать трафик они могут вечно и это невозможно детектить.

отдельного пользователя

Вот! Если ты интересен как отдельный юзер (к примеру, спецслужбам) — боюсь, это совсем другая модель угроз.

А собирать статистику по всем попавшимся юзерам и персонифицировать её — вполне реально. Но с ssl везде собрать можно заметно меньше.

x3al ★★★★★ ()
Ответ на: комментарий от crypt

Поподробнее про фингерпринт шаблонных (ака дефолтных) виртуалок, пожалуйста...

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

каких виртуалок, ты о чем... посмотри, о чем обсуждение в треде

crypt ★★★★★ ()

затем же зачем блокируют прокси серверы и всякие VPN-ы

по теме: спокойно себе купи самую дешманску VPS-ку и заходи в интернет через ssh туннель

reprimand ★★★★★ ()
Ответ на: комментарий от crypt

Обыкновенных. В которых всё это происходит и трафик которых заруливается в тор легким пинком.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

с ТС можешь обсудить. если он скажет, что это релевантно, то продолжим.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)

ТС, мы же можем завернуть трафик виртуалки в тор, если боимся деанона через JS и он нам очень нужен?

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

Можно. Можно сделать это, просто завернув хост в тор, а можно и как у whonix.

Тогда JS не поможет узнать о системе или найти реальный ip. Но есть ещё очень много способов отслеживания и сбора отпечатка. Самое новое направление, насколько мне известно - сбор отпечатка клавиатуры.

Он основывается на анализе задержки при наборе текста.

На одном JS свет клином не сошёлся, но большинство скриптов если и не явно вредоносны, то как минимум несвободны, да.

SM5T001 ()
Ответ на: комментарий от boowai

Они тоже

Ничерта не могут, ибо https же

Но они могут сообщить местной гебне на какие именно сайты ты заходил

cvs-255 ★★★★★ ()
Ответ на: комментарий от SM5T001

но это вроде не имеет отношения к «Разжую - меня могут депортировать оттуда».

crypt ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)