коротенький практический обзор ресурсов tor (.onion)
[этот пост периодически обновляется по мере поступления релевантной информации, last update@Jan2022]
Все .onion перечисленные в этом посте имеют 2 версию хэшей. Текущий tor поддерживает только 3ю версию, так что ни один из .onion перечисленных тут работать больше не будет.
Пост скорее всего не будет больше обновляться, но почитать его все равно может быть полезным, в основном из-за коммментариев и UPDATE'ов.
В дальнейшем по тегу tor может появится обновленный список .onion на которые можно заглянуть для ознакомления с "hidden web".
Вот тут перевод англоязычного материала про тор: http://zyalt.livejournal.com/515473.html с небольшими дополнениями, оригинал(ы) из которых скомпонована статья zyalt желающие могут искать гуглем - мне попалось почти сразу же (см. 'google:' ключи ниже). При этом у zyalt, как и впрочем у остальных, старательно вытерты все .onion url. Основной смысл по линку выше - "в тор токо децкоепорно, кракеры, кардеры, и вообще, на то чтобы этот ужас-ужас угробить нужно срочно бросить все ресурсы управления К". Однако не только - см. ниже по тексту. Впрочем вывод про то, что основное использование TOR - для подмены IP вполне корректен - содержимое сети, если игнорить всевозможное порно, весьма бедное. Впрочем, в обычном интернете сомнительной законности контента многократно больше. Так как педопорно контент меня не интересует - прямых линков на него у меня ниже нет, ну а косвенных - полон интернет. =)
У tor кстати есть одно огромное удобство в случае реализации обновлений операционной системы через tor - если разработчики дистрибутива выложили .onion интерфейс к репозитариям с софтом проблема mitm при доступе к ним через сеть становится не актуальна. Это не избавляет от необходимости проверять подпись у пакета, но убирает из цепочки получения апдейта кусок пути на котором может быть осуществлена атака man in the middle. Атаки man in the middle актуальны в том числе для подписанных пакетов - не обязательно подменять пакет своим не подписанным - можно замаскировать наличие более новой версии или попытаться подсунуть версию более старую (тоже подписанную разработчиками, а значит корректную) туда где ждут обновления таким образом заблокировав закрытие обновлением известной уязвимости. Реализация обновлений через tor = end to end шифрование = mitm сделать на пути от сервера к клиенту не где. Так что рекомендую всем разработчикам дистрибутивов озаботиться .oninon для Ваших дистрибутивов. Например для Qubes уже реализовали .onion сервис раздачи обновлений. :)
Я считаю, что интернет большой и желающие могут найти там и библиотеку конгресса и инструкцию по бдсм и CP и поваренную книгу анархиста и много чего еще законного, незаконного, сомнительной законности - кому что интересно, причем не обязательно в тор. Кстати помимо педопорно в .onion есть просто пиратские ресурсы - библиотеки и не только. Ну и, разумеется, там есть места где можно пообщаться с любителями анонимности не затрагивая никакого порно и прочего скама. Впрочем, на мой взгляд, выдавливание педопорно и порно вообще в тор и i2p это правильно, - по крайней мере, для того чтобы пользоваться tor/i2p надо приложить больше усилий, чем запустить браузер и вбить строку в поисковик - меньше шансов, что попадет на глаза слабому разуму. Вообще, если уж так хочется воевать с CP - назначьте награду за выдачу полиции данных о хостерах CP - глядишь уважающие себя пентестеры устроят соревнование. =) При наличии вознаграждения я бы тоже потренировался в пентесте на доступных в tor/i2p ресурсах. =) А пока педопорно можно только игнорировать (и вправду ведь - отвратительно по большей части) + тренироваться на них шлифуя скиллы пентеста - вот уж кто точно жаловаться в суд не пойдет. ;)
Вот отсюда можно еще почитать по tor/i2p:
http://www.irongeek.com/i.php?page=security/i2p-tor-workshop-notes .
http://eng.anarchopedia.org/Tor_network_links
любопытное решение для tor: https://moxie.org/software/tortunnel/ (дополнительный крипто тоннель поверх tor)
update: Тем пользователям livejournal которые занесены у меня в друзья рекомендую также просмотреть все сообщения по линку http://grey-olli.livejournal.com/tag/tor - там доступно несколько больше обсуждений (в частности обсуждение локализации связи между endpoint при помощи специализированных dsp процессоров отличающих сигнал/шум при помощи перобразований фурье - для такого анализа не нужно расшифровывать трафик, средства анализа развиваются чуть ли не с момента появления радиосвязи + спецслужбе достаточно установить геолокацию, а далее воспользоваться классической наружкой либо выемкой нужного вычислительного юнита (ПК,сервер,whatever)).
Ну а теперь немного работающих на январь 2012 линков в рамках .onion ресурсов:
-- TorDir, список линков .onion: http://dppmfxaacucguzpc.onion .
-- Еще один , список линков .onion: http://torlinkbgs6aabns.onion/
-- Еще один , список линков .onion: http://32rfckwuorlf4dlv.onion/
-- Еще один , список линков .onion: http://ximqy45aat273ha5.onion/prt1.html с русскоязычными комментариями.
-- Cписок форумов .onion с русскоязычными комментариями: http://ximqy45aat273ha5.onion/tlkng1.html
-- Очередной сайт с 'hidden wiki': http://7jguhsfwruviatqe.onion/index.php/Main_Page - отсюда куча ссылок на то самое незаконное. Но не только - в том числе ссылки на всякие блоги, хостинги и т.п. Ссылок на hidden wiki внутри tor полно. Смысл в том, чтобы это самое вики всеми силами ломать и портить для меня сомнителен - постоянно находятся люди, которые поднимают копию. Опять же я считаю, что если хочется устроить травлю CP - объявите награду за их взлом и сдачу властям координат хостера - количество ресурсов резко уменьшится и увеличится количество сидельцев, IMO. =) А если просто управление того или иного государства натравить - у них ведь штат не резиновый. =)
-- Точка входа в .onion для русскоязычных (русский лук): http://xbitme5tv5gbug27.onion , из обычного IPv4 без tor-клиента можно глянуть контент тут: https://xbitme5tv5gbug27.tor2web.org/ . Они также держат свой список хостов, который считают боле-менее интересным: http://xbitme5tv5gbug27.onion/viewtopic.php?id=2
-- Какой-то crack/hack-форум, вроде бы(?) пресловутый HackBB, на похапе: http://clsvtzwzdgzkjda7.onion/
-- аналог твиттера (микроблоги) в tor: http://lotjbov3gzzf23hc.onion/index.php/doc/about
-- список web-boards заведенных разными пользователями: http://4eiruntyxxbgfv7o.onion/snapbbs/sitedex.php
-- сервис web-почты поверх .onion: http://4eiruntyxxbgfv7o.onion/pm/index.html . Пишут что всё шифруют, но проверить не дают. ;) Requires no cookies, java, or javascript. Пользователей немного, сплошные ники. Бегает тоже, кстати, на похапе. Никакого ssl, а значит рано или поздно пароль будет отснифан на транзитных нодах (UPDATE: это не так, см. комменты).
-- почтовый хостинг для tor: http://jhiwjjlqpyawmpjx.onion/
-- поисковик по .onion ресурсам: xycpusearchon2mc.onion/search.php . Работает, но по слову hacking нашлось только 10 линков. Грустно. ) С другой стороны, если уж уходить из обычного инета, то в i2p, а не в tor, который вроде как менее безопасен, так что не удивительно. )
-- поисковик DuckDuckGo из тор сети ищет в обычном инете: http://3g2upl4pq6kufc4m.onion/ , для параноиков считающих, что их запросы кто-то сечёт. =)
update: Вот линк работающий на июль 2013:
http://amberoadychffmyw.onion , позиционируется так: "Мы являемся свободной торговой площадкой и независимым форумом в сети Tor.". Внутри русскоязычный аналог silkroad - купи продай что хочешь и анонимно. Проект стартовал недавно, поэтому услуги гаранта пока бесплатны, нет оплаты за аккаунт. Что мне понравилось - на площадке запрещено детское порно, политика, расизм. Площадка позиционируется не как чисто наркоманская, что тоже хорошо. Если у организаторов получится сделать анонимный аналог молотка - буду только рад. Впрочем пока это не менее унылое место чем пресловутый silkroad.
update: линк на коллекцию с рабочими .oninon, из комментов, проверен в январе 2017 - прямых ссылок на наркоту и педопорно там нет, а есть на разные полезности, что радует: http://ckhy5vvucssd22cz.onion/ . Однако по одной из ссылок оттуда tor браузер предупредил об экстрации html5 элементов которые могут быть использованы для идентификации клиента - будьте внимательны - разрешать какие либо действия сайту из анонимной сети может быть черевато. )
Ещё один линк на форум, по которому запрещено педопорно, наркота и подобное: http://rutorzzmfflzllk5.onion , правда для просмотра требуется регистрация с рабочим email - мне регистрироваться было лень. )
Куда ходить, IMO, не стоит:
-- сервис для продажи файлов: http://jvrnuue4bvbftiby.onion/ , судя по тому, что там есть на продажу - сплош и рядом фейк либо легко доступное в обычном IPv4. Причем для того чтобы там что-то выставить на продажу надо еще и разобраться в том как это выложить. На кого это рассчитано интересно? :?
-- Разрекламированный silkroad (.onion которого можно найти в обычной IPv4 wiki) показался мне унылым говном, в частности по количеству предложений . Равно как и унылым говном мне показался ресурс русскоязычной борды для продажи всего сомнительной законности - в общем-то по тем же причинам. Во первых мне не интересна наркота и оружие. Во вторых, в отличие от информации (которую еще можно доставить всем, а расшифровать только в одном месте - самый примитивный пример реализации анонимности) - оружие и наркота (а больше в silkroad практически нет ничего) вещи вполне материальные, причем и то и то - вне закона. Каким надо быть человеком чтобы поверить, что это не кидалово и во вторых рискнуть и купить вещь, по получении которой на почте велики шансы сразу отправиться за решетку? Не представляю на кого это рассчитано. =) В BlackMarket логиниться было влом - скорее всего такая же хрень. )
Вообще все встреченные в tor торговые площадки в тор пока смотрятся отстойно по сравнению с доступными в реальном интернете. Однако анонимность в реальном интернете обеспечить сильно сложнее.
Кстати, доступный вне .onion ресурс, который можно использовать для большей анонимизации биткоинов: http://www.bitcoinfog.com/ - эдакий банк с отрицательными процентами. ) Основной смысл - они микшируют биткоины в исходящих сделках, что нивелирует возможность проследить цепочку прохождения денег после них - это могут быть деньги любого их пользователя. Это становится актуальным всвязи с вот такими попытками деанонимизации: http://anonymity-in-bitcoin.blogspot.com/2011/07/bitcoin-is-not-anonymous.html .
А вообще - google: tor hidden wiki onion . утверждение, что в гугле по тор-контенту ничего нет ложно.
BTW: И как им не стремно на похапе сайты с интерактивом и заливкой файлов делать - в нем же постоянно баги находят? =) Кстати, контент вроде особо от обычных (доступных вне tor) crack'ерских форумов не отличается. )
Вот, кстати, очередная уязвимость в похапе прибежала: http://www.opennet.ru/opennews/art.shtml?num=32976
Ну и на последок - страшилка про деанонимизацию tor пользователей: еще в 8м году нашли способ относительно быстро и с минимумом усилий вычислить обычный IPv4 адрес пользователя тор: http://www.xakep.ru/post/45241/default.asp . Вот интересно - с тех пор тор изменился для того чтобы этого сделать было нельзя? ?-) А то я что-то не в курсе технических деталей. %)
А вот, собственно, одна из причин появления tor/i2p/freenet и подобных сетей:
"The cypherpunks credo is 'privacy through technology, not legislation.' The law of the land can be changed by the next administration. The Laws of mathematics are more rigid."
И еще: возможность в tor, i2p, freenet хранить контент, недоступный фильтрации, напрямую зависит от возможности предоставлять анонимность. А анонимность в сети - одна из базовых возможностей на которой держится, в том числе, свобода слова.
update: по мотивам этого поста организовалась интересная дискуссия в комментах. Рекомендую почитать - поправлены некоторые мои неверные утверждения + после обсуждений я набросал черновик схемы атаки доступной к реализации в реальном мире для атакующих с возможностями конгломерата под маркой 'сговор кровавой гэбни U$ и других стран'(tm) - подробности вот тут: http://grey-olli.livejournal.com/623140.html?thread=1029668#t1029668 .
Опять же, позжее при личной встрече, один знакомый рассказал, что кто-то приценивался к стоимости реализации функционала серверов обеспечивающих pki в tor. =)
Ну и вот еще линк для парноиков полезно почитать в контексте поддержания в чистоте рабочей tor среды: http://cryptome.org/0005/tor-opsec.htm
update2: Вот появился пример атаки на пользователей tor за счёт игры с сертификатами: https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372
update3: А вот и линк на то, о чём я уже писал - откройте охоту на педофилов с призовым фондом и большинство пентестеров будут делать это с удовольствием:
http://thehackernews.com/2013/08/Firefox-Exploit-Tor-Network-child-pornography-Freedom-Hosting.html , рекомендую к прочтению всем, кто думает что тор это такая серебряная пуля которая всё решает. Таки отсутствие понимания рисков поможет вам деанонимизироваться и в тор в том числе. =) Мой респект ребятам из nsa/fbi поимевшим данного конкретного педофила - так держать.
BTW: Поведение разработчиков включивших по умолчанию жаба-скрипт в продукте в котором он был выключен ранее это классическое злоупотребление доверием.
update4:
Вот что на тему update3 опубликовано по русски, в журнале ксакеп: http://www.xakep.ru/post/61035/ и http://www.xakep.ru/post/61026/
update5: Ну и наконец для тех кто пользуется tor браузером очень полезно прочитать и понять статью о cookie: http://www.xakep.ru/post/54434/
update6 (октябрь 2013): Ну и в продолжение этого поста хочу обратить внимание людей считающих что покупать на рынках типа silkroad и других тут упомянутых площадках таки можно и это относительно безопасно:
0. Все площадки имеющие хоть какую-то известность являются полем деятельности федералов различных стран. В частности:
a) Вы можете попасть на фиктивный рынок, полностью созданный федералами, например для получения хороших показателей раскрываемости компьютерных преступлений.
b) Вы можете оказаться жертвой покупки под прикрытием, когда продающая сторона сделала всё чтобы отследить покупателя. Закладки на местности могут быть сделаны так, что приехав по gps координатам Вы сразу окажетесь фигурантом уголовного дела.
c) даже если оператор площадки "честный" - когда его поймают он всё равно будет обладать знаниями о Вас которые помогут Вас вычислить. И уж то что он сольёт всё что только можно чтобы получить менее суровый приговор - стопудово.
1. Анонимность биткоинов велика, но не абсолютна. Самая большая проблема с анонимностью биткоинов в том, что все трансакции хранятся вечно (ну или по крйней мере пока существуют действующие участники работающие с bitcoin). А это значит, что если со временем удаётся деанонимизировать тот или иной bitcoin адрес, то появляется возможность взять за конец верёвки, которая никогда не сгниёт и вечно будет указывать на участников трансакций. То есть сегодня Ваш биткоин адрес анонимен. А вот спустя месяц его непрерывного использования уже не факт - вполне может оказаться что одна из трансакций сделана с участием человека который знает о тебе больше чем ничего и его можно принудить выдать эту информацию.
2. Как показала практика операторов площадок невидимого интернета вполне реально поймать (см. ниже). А дальше - большой вопрос - действительно ли они не хранят о Вас ничего или оставили какие-либо данные позволяющие выторговать у судейских смягчение приговора? То, что помимо Ваших биткоин адресов Вас могут спалить благодаря открытым продвинутым технологиям создания cookie Вы можете узнать из линка в update4.
Всё это на мой взгляд делает покупку чего-бы то ни было реального (фактически - любых предметов имеющих физическое воплощение в реальном мире) на tor-based рыночных площадках лишь немногим менее опасной чем покупка на специализированных форумах (которые тоже рано или поздно палят, может быть лишь на три-семь лет быстрее) или вживую. Короче на мой взгляд риск слишком высок.
Хотя конечно каждый решает для себя сам.
Ну и наконец публично доступные подробности закрытия владельца и оператора silkroad и shutdown'а его серверов. Сколько он проработал в режиме помощи в поимке своих клиентов как водится осталось за кадром:
статья в форбс: http://www.forbes.com/sites/alexkonrad/2013/10/02/feds-shut-down-silk-road-owner-known-as-dread-pirate-roberts-arrested/
Публично доступные подробности обвинений и расследования от американской фемиды (запрос на ордер на арест с обоснованием обвинений): http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalComplaint.pdf
Вот на что на мой взгляд стоит обратить внимание:
агент в резултате forensic процедур имел возможность читать служебную и личную перепску silkroad staff.
агент имел возможность получать статистику по внутреннему аналогу почты (сообщениям) и по денежным потокам bitcoin.
судя по однозначной идентификации оплаты админам система противодействия forensic-выявления связи src-dst переводов внутри silkroad была успешно преодолена
Лично я считаю, что по мотивам мы будем наблюдать очередной wrong trust, когда пользователи silk road доверили некоторую инорфмацию (которую возможно удастся использовать для их деанонимизации) о себе сервису, который, как видно из вышенаписанного доверия ну никак не заслуживал.
Одной из фундаментальных проблем заложенных в дизайн почивщей торговой площадки silkroad является отсутствие механизмов deniability.
Ну и согласно вот этой статье: http://www.forbes.com/sites/andygreenberg/2013/09/05/follow-the-bitcoins-how-we-got-busted-buying-drugs-on-silk-roads-black-market/ имеющей ссылку на pdf с подробным описанием анализа миксирование трансакций в silkroad оставляло желать лучшего даже до момента когда в момент делопроизводства по silkroad алгоритмы этого микширования попали в руки федералов вместе с полным объёмом логов за длительный период существования площадки.
Вообще, на мой взгляд, операторы подобных площадок должны использовать криптографию в режиме аналогичном off the record messaging protocol. А именно данные более чем, например, недельной давности должны быть не просто зашифрованы, а зашифрованы на уже уничтоженных приватных ключах к которым однако (тоже ограниченное, но большее время) доступны публичные ключи (идея ограниченной обратной доступности публичных ключей в том, что если даже асиметричное крипто расщёлкают квантовым компьютером спустя время не будет точки входа для выбора пары из доступного бесконечного множества пар).
Кроме того, иметь обычное (не зашифровывающее ОЗУ ПО) это тоже сомнительное по разумности решение.
Ну а то, что это говно работало на php - отдельная порция лулзов. )
update7: Вот что ещё пишут про TOR из того что не указано на главной странице, избирательные цитаты которые вполне можно использовать для дальнейшего поиска:
After more revelations, and expert analysis, we still aren't precisely sure what crypto the NSA can break. But everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys. Assuming no "breakthroughs", the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they've got fairly public deals with IBM foundries to build chips.
The problem with Tor is that it still uses these 1024 bit keys for much of its crypto, particularly because most people are still using older versions of the software. The older 2.3 versions of Tor uses keys the NSA can crack, but few have upgraded to the newer 2.4 version with better keys.
update8: Вот ожидаемое продолжение истории с silkroad (привожу цитаты без указания источника - легко нагуглить):
In the U.K., the country's newly-established National Crime Agency warned that more arrests were on the way.
U.S. authorities have charged two people in Bellevue, Washington, a city just east of Seattle, after identifying one of them as a top seller on Silk Road. He was arrested on Oct. 2, while his alleged accomplice turned herself in the next day.
In Sweden, two men from the coastal city of Helsingborg were arrested on suspicion of distributing cannabis over Silk Road, the local Helsingborgs Dagblad reported Tuesday. The newspaper did not say when the pair had been detained.
Итого первые 8 человек уже поплатились за доверие к площадке - источник арестов, разумеется, в корреляции записей доступных изнутри silkroad по истории операций с информацией доступной в реальном мире (в том числе однозначная идентификация получателей bitcoin'ов, которую до выемки сервера silkroad нельзя было связать с нелегальным контентом). И думаю это только начало.
update9: Шнайер опубликовал обзор способов используемых АНБ для идентификации и отлова tor пользователей. Всем советую почитать. Из того что сразу бросается в глаза (будет время опишу свои выводы подробнее) - АНБ способно отличить пользователей tor bundle от остальных пользователей, а для дальнейшей трассировки используются методы аналогичные в статье из update5 выше + то, о чём стоит знать каждому: они покупают и, возможно, разрабатывают сами эксплойты к современным браузерам и в частности к firefox используемому в tor bundle. Фактически наличие у Вас самой последней версии Tor bundle не говорит о вашей безопасности, поскольку с огромной вероятностью всё ещё есть уязвимости недоступные публично. В частности, при продаже zero day агенству посреднику разработчик подписывает NDA запрешающее публиковать информацию о найденной уязвимости (в противном случае он не получит деньги в полном объёме).
Для профессионалов не является тайной регулярное появление remote code execution для различных форков проектов использующих движок mozilla. На текущий момент мне не известно современного браузера не имеющего паршивой security history.
Единственнный боле-менее безопасный вариант использования tor клиента описан в комментах к этому посту: предлагается работа из среды которая не имеет возможности сохранять данные полученные из сети локально. И то в дополнение к этому я бы использовал Qubes OS сконфигурировав Tor VM таким образом чтобы исполняемому коду не было доступно ни одного идентификатора подключенного к виртуалке железа и других виртуальных машин (в частности MAC шлюза такой VM должен случайно меняться, равно как и все идентификаторы контроллеров доступные для исполняемого кода через /proc и другие интерфейсы).
Так что используя Tor bundle следует предусмотреть то, что АНБ способно выполнить произвольный код в вашей ОС в которой он запущен.
Собственно в истории с отловом фаундера silkroad и части её пользователей есть один слабый момент. В том смысле, что недостаточно освешён способ выявления хостинговой площадки на которой находился сервер обеспечивавший фунционал silkroad. Да - указаны линки на деятельность фаундера по размещению рекламы ресурса в реальном интернет. Однако не факт, что этих косвенных данных было достаточно чтобы поставить подозреваемого и его трафик под легальную слежку. Вполне возможно, что хостинговая площадка была выявлена другими способами. В любом случае в сети сейчас нет информации об официальном документе использованном как запрос на проведение forensic анализа сервера (на результаты которого опирается запрос ордера на арест фаундера площадки).
update10: ptsecurity.ru/download/analitika_web.pdf
update11: Для владельцев .onion торговых площадок: реклама наркоторговли в данном журнале запрещена вне зависимости от отношения к этому законодательства РФ на данный момент.
update12: На случай если кто не понимает всех подводных камней связанных с tor exit node:
XXX: я как раз поставил себе на домашний сервер тор пару месяцев назад
XXX: и почти сразу гугл начал жаловаться на мой айпишник и капчу подсовывать когда гуглишь из домашней сетки. Пришлось запретить выходящую ноду
grey_olli: выходящая нода это стрёмно
grey_olli: очент стрёмно
grey_olli: фактически полно народу который через тор пытается ломать
grey_olli: даже если докажешь что не верблюд правоохранителям, то гемороя в процессе огрести можно уж больно много - неразумно это, IMO
XXX: ну если все так же будут рассуждать, то тор не сможет функционировать в итоге.
XXX: Хотя я в целом я конечно согласен и рисковать тоже не хочу. Особенно с нашими-то правоохранителями
grey_olli: Он не перестанет существовать. Часть выходных нод по прежнему поддерживается американской военщиной
grey_olli: просто узлов исходящих останется мало
grey_olli: как и было до сих пор
update13, my letter from Qubes users mailing list:
As about tor: when half or even more of the network is sponsored by NSA, then the 1st thing we should take care of is that we're sure that at least 1st tor entry after ours does work as tor algorithms require.
Obviously the NSA made tor node can work some sort diffrent.
So if you're runnning .onion your 1st enter node should be in your control + must relay tor traffic. With this you will be sure that at least 1st encryption is made right. I told that on last Moscow defcon.
Thus we need at least one additional VM with fair tor relay and need to restrict all tor traffic via our enter-node.
Все .onion перечисленные в этом посте имеют 2 версию хэшей. Текущий tor поддерживает только 3ю версию, так что ни один из .onion перечисленных тут работать больше не будет.
Пост скорее всего не будет больше обновляться, но почитать его все равно может быть полезным, в основном из-за коммментариев и UPDATE'ов.
В дальнейшем по тегу tor может появится обновленный список .onion на которые можно заглянуть для ознакомления с "hidden web".
Вот тут перевод англоязычного материала про тор: http://zyalt.livejournal.com/515473.html с небольшими дополнениями, оригинал(ы) из которых скомпонована статья zyalt желающие могут искать гуглем - мне попалось почти сразу же (см. 'google:' ключи ниже). При этом у zyalt, как и впрочем у остальных, старательно вытерты все .onion url. Основной смысл по линку выше - "в тор токо децкоепорно, кракеры, кардеры, и вообще, на то чтобы этот ужас-ужас угробить нужно срочно бросить все ресурсы управления К". Однако не только - см. ниже по тексту. Впрочем вывод про то, что основное использование TOR - для подмены IP вполне корректен - содержимое сети, если игнорить всевозможное порно, весьма бедное. Впрочем, в обычном интернете сомнительной законности контента многократно больше. Так как педопорно контент меня не интересует - прямых линков на него у меня ниже нет, ну а косвенных - полон интернет. =)
У tor кстати есть одно огромное удобство в случае реализации обновлений операционной системы через tor - если разработчики дистрибутива выложили .onion интерфейс к репозитариям с софтом проблема mitm при доступе к ним через сеть становится не актуальна. Это не избавляет от необходимости проверять подпись у пакета, но убирает из цепочки получения апдейта кусок пути на котором может быть осуществлена атака man in the middle. Атаки man in the middle актуальны в том числе для подписанных пакетов - не обязательно подменять пакет своим не подписанным - можно замаскировать наличие более новой версии или попытаться подсунуть версию более старую (тоже подписанную разработчиками, а значит корректную) туда где ждут обновления таким образом заблокировав закрытие обновлением известной уязвимости. Реализация обновлений через tor = end to end шифрование = mitm сделать на пути от сервера к клиенту не где. Так что рекомендую всем разработчикам дистрибутивов озаботиться .oninon для Ваших дистрибутивов. Например для Qubes уже реализовали .onion сервис раздачи обновлений. :)
Я считаю, что интернет большой и желающие могут найти там и библиотеку конгресса и инструкцию по бдсм и CP и поваренную книгу анархиста и много чего еще законного, незаконного, сомнительной законности - кому что интересно, причем не обязательно в тор. Кстати помимо педопорно в .onion есть просто пиратские ресурсы - библиотеки и не только. Ну и, разумеется, там есть места где можно пообщаться с любителями анонимности не затрагивая никакого порно и прочего скама. Впрочем, на мой взгляд, выдавливание педопорно и порно вообще в тор и i2p это правильно, - по крайней мере, для того чтобы пользоваться tor/i2p надо приложить больше усилий, чем запустить браузер и вбить строку в поисковик - меньше шансов, что попадет на глаза слабому разуму. Вообще, если уж так хочется воевать с CP - назначьте награду за выдачу полиции данных о хостерах CP - глядишь уважающие себя пентестеры устроят соревнование. =) При наличии вознаграждения я бы тоже потренировался в пентесте на доступных в tor/i2p ресурсах. =) А пока педопорно можно только игнорировать (и вправду ведь - отвратительно по большей части) + тренироваться на них шлифуя скиллы пентеста - вот уж кто точно жаловаться в суд не пойдет. ;)
Вот отсюда можно еще почитать по tor/i2p:
http://www.irongeek.com/i.php?page=security/i2p-tor-workshop-notes .
http://eng.anarchopedia.org/Tor_network_links
любопытное решение для tor: https://moxie.org/software/tortunnel/ (дополнительный крипто тоннель поверх tor)
update: Тем пользователям livejournal которые занесены у меня в друзья рекомендую также просмотреть все сообщения по линку http://grey-olli.livejournal.com/tag/tor - там доступно несколько больше обсуждений (в частности обсуждение локализации связи между endpoint при помощи специализированных dsp процессоров отличающих сигнал/шум при помощи перобразований фурье - для такого анализа не нужно расшифровывать трафик, средства анализа развиваются чуть ли не с момента появления радиосвязи + спецслужбе достаточно установить геолокацию, а далее воспользоваться классической наружкой либо выемкой нужного вычислительного юнита (ПК,сервер,whatever)).
Ну а теперь немного работающих на январь 2012 линков в рамках .onion ресурсов:
-- TorDir, список линков .onion: http://dppmfxaacucguzpc.onion .
-- Еще один , список линков .onion: http://torlinkbgs6aabns.onion/
-- Еще один , список линков .onion: http://32rfckwuorlf4dlv.onion/
-- Еще один , список линков .onion: http://ximqy45aat273ha5.onion/prt1.html с русскоязычными комментариями.
-- Cписок форумов .onion с русскоязычными комментариями: http://ximqy45aat273ha5.onion/tlkng1.html
-- Очередной сайт с 'hidden wiki': http://7jguhsfwruviatqe.onion/index.php/Main_Page - отсюда куча ссылок на то самое незаконное. Но не только - в том числе ссылки на всякие блоги, хостинги и т.п. Ссылок на hidden wiki внутри tor полно. Смысл в том, чтобы это самое вики всеми силами ломать и портить для меня сомнителен - постоянно находятся люди, которые поднимают копию. Опять же я считаю, что если хочется устроить травлю CP - объявите награду за их взлом и сдачу властям координат хостера - количество ресурсов резко уменьшится и увеличится количество сидельцев, IMO. =) А если просто управление того или иного государства натравить - у них ведь штат не резиновый. =)
-- Точка входа в .onion для русскоязычных (русский лук): http://xbitme5tv5gbug27.onion , из обычного IPv4 без tor-клиента можно глянуть контент тут: https://xbitme5tv5gbug27.tor2web.org/ . Они также держат свой список хостов, который считают боле-менее интересным: http://xbitme5tv5gbug27.onion/viewtopic.php?id=2
-- Какой-то crack/hack-форум, вроде бы(?) пресловутый HackBB, на похапе: http://clsvtzwzdgzkjda7.onion/
-- аналог твиттера (микроблоги) в tor: http://lotjbov3gzzf23hc.onion/index.php/doc/about
-- список web-boards заведенных разными пользователями: http://4eiruntyxxbgfv7o.onion/snapbbs/sitedex.php
-- сервис web-почты поверх .onion: http://4eiruntyxxbgfv7o.onion/pm/index.html . Пишут что всё шифруют, но проверить не дают. ;) Requires no cookies, java, or javascript. Пользователей немного, сплошные ники. Бегает тоже, кстати, на похапе. Никакого ssl, а значит рано или поздно пароль будет отснифан на транзитных нодах (UPDATE: это не так, см. комменты).
-- почтовый хостинг для tor: http://jhiwjjlqpyawmpjx.onion/
-- поисковик по .onion ресурсам: xycpusearchon2mc.onion/search.php . Работает, но по слову hacking нашлось только 10 линков. Грустно. ) С другой стороны, если уж уходить из обычного инета, то в i2p, а не в tor, который вроде как менее безопасен, так что не удивительно. )
-- поисковик DuckDuckGo из тор сети ищет в обычном инете: http://3g2upl4pq6kufc4m.onion/ , для параноиков считающих, что их запросы кто-то сечёт. =)
update: Вот линк работающий на июль 2013:
http://amberoadychffmyw.onion , позиционируется так: "Мы являемся свободной торговой площадкой и независимым форумом в сети Tor.". Внутри русскоязычный аналог silkroad - купи продай что хочешь и анонимно. Проект стартовал недавно, поэтому услуги гаранта пока бесплатны, нет оплаты за аккаунт. Что мне понравилось - на площадке запрещено детское порно, политика, расизм. Площадка позиционируется не как чисто наркоманская, что тоже хорошо. Если у организаторов получится сделать анонимный аналог молотка - буду только рад. Впрочем пока это не менее унылое место чем пресловутый silkroad.
update: линк на коллекцию с рабочими .oninon, из комментов, проверен в январе 2017 - прямых ссылок на наркоту и педопорно там нет, а есть на разные полезности, что радует: http://ckhy5vvucssd22cz.onion/ . Однако по одной из ссылок оттуда tor браузер предупредил об экстрации html5 элементов которые могут быть использованы для идентификации клиента - будьте внимательны - разрешать какие либо действия сайту из анонимной сети может быть черевато. )
Ещё один линк на форум, по которому запрещено педопорно, наркота и подобное: http://rutorzzmfflzllk5.onion , правда для просмотра требуется регистрация с рабочим email - мне регистрироваться было лень. )
Куда ходить, IMO, не стоит:
-- сервис для продажи файлов: http://jvrnuue4bvbftiby.onion/ , судя по тому, что там есть на продажу - сплош и рядом фейк либо легко доступное в обычном IPv4. Причем для того чтобы там что-то выставить на продажу надо еще и разобраться в том как это выложить. На кого это рассчитано интересно? :?
-- Разрекламированный silkroad (.onion которого можно найти в обычной IPv4 wiki) показался мне унылым говном, в частности по количеству предложений . Равно как и унылым говном мне показался ресурс русскоязычной борды для продажи всего сомнительной законности - в общем-то по тем же причинам. Во первых мне не интересна наркота и оружие. Во вторых, в отличие от информации (которую еще можно доставить всем, а расшифровать только в одном месте - самый примитивный пример реализации анонимности) - оружие и наркота (а больше в silkroad практически нет ничего) вещи вполне материальные, причем и то и то - вне закона. Каким надо быть человеком чтобы поверить, что это не кидалово и во вторых рискнуть и купить вещь, по получении которой на почте велики шансы сразу отправиться за решетку? Не представляю на кого это рассчитано. =) В BlackMarket логиниться было влом - скорее всего такая же хрень. )
Вообще все встреченные в tor торговые площадки в тор пока смотрятся отстойно по сравнению с доступными в реальном интернете. Однако анонимность в реальном интернете обеспечить сильно сложнее.
Кстати, доступный вне .onion ресурс, который можно использовать для большей анонимизации биткоинов: http://www.bitcoinfog.com/ - эдакий банк с отрицательными процентами. ) Основной смысл - они микшируют биткоины в исходящих сделках, что нивелирует возможность проследить цепочку прохождения денег после них - это могут быть деньги любого их пользователя. Это становится актуальным всвязи с вот такими попытками деанонимизации: http://anonymity-in-bitcoin.blogspot.com/2011/07/bitcoin-is-not-anonymous.html .
А вообще - google: tor hidden wiki onion . утверждение, что в гугле по тор-контенту ничего нет ложно.
BTW: И как им не стремно на похапе сайты с интерактивом и заливкой файлов делать - в нем же постоянно баги находят? =) Кстати, контент вроде особо от обычных (доступных вне tor) crack'ерских форумов не отличается. )
Вот, кстати, очередная уязвимость в похапе прибежала: http://www.opennet.ru/opennews/art.shtml?num=32976
Ну и на последок - страшилка про деанонимизацию tor пользователей: еще в 8м году нашли способ относительно быстро и с минимумом усилий вычислить обычный IPv4 адрес пользователя тор: http://www.xakep.ru/post/45241/default.asp . Вот интересно - с тех пор тор изменился для того чтобы этого сделать было нельзя? ?-) А то я что-то не в курсе технических деталей. %)
А вот, собственно, одна из причин появления tor/i2p/freenet и подобных сетей:
"The cypherpunks credo is 'privacy through technology, not legislation.' The law of the land can be changed by the next administration. The Laws of mathematics are more rigid."
И еще: возможность в tor, i2p, freenet хранить контент, недоступный фильтрации, напрямую зависит от возможности предоставлять анонимность. А анонимность в сети - одна из базовых возможностей на которой держится, в том числе, свобода слова.
update: по мотивам этого поста организовалась интересная дискуссия в комментах. Рекомендую почитать - поправлены некоторые мои неверные утверждения + после обсуждений я набросал черновик схемы атаки доступной к реализации в реальном мире для атакующих с возможностями конгломерата под маркой 'сговор кровавой гэбни U$ и других стран'(tm) - подробности вот тут: http://grey-olli.livejournal.com/623140.html?thread=1029668#t1029668 .
Опять же, позжее при личной встрече, один знакомый рассказал, что кто-то приценивался к стоимости реализации функционала серверов обеспечивающих pki в tor. =)
Ну и вот еще линк для парноиков полезно почитать в контексте поддержания в чистоте рабочей tor среды: http://cryptome.org/0005/tor-opsec.htm
update2: Вот появился пример атаки на пользователей tor за счёт игры с сертификатами: https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372
update3: А вот и линк на то, о чём я уже писал - откройте охоту на педофилов с призовым фондом и большинство пентестеров будут делать это с удовольствием:
http://thehackernews.com/2013/08/Firefox-Exploit-Tor-Network-child-pornography-Freedom-Hosting.html , рекомендую к прочтению всем, кто думает что тор это такая серебряная пуля которая всё решает. Таки отсутствие понимания рисков поможет вам деанонимизироваться и в тор в том числе. =) Мой респект ребятам из nsa/fbi поимевшим данного конкретного педофила - так держать.
BTW: Поведение разработчиков включивших по умолчанию жаба-скрипт в продукте в котором он был выключен ранее это классическое злоупотребление доверием.
update4:
Вот что на тему update3 опубликовано по русски, в журнале ксакеп: http://www.xakep.ru/post/61035/ и http://www.xakep.ru/post/61026/
update5: Ну и наконец для тех кто пользуется tor браузером очень полезно прочитать и понять статью о cookie: http://www.xakep.ru/post/54434/
update6 (октябрь 2013): Ну и в продолжение этого поста хочу обратить внимание людей считающих что покупать на рынках типа silkroad и других тут упомянутых площадках таки можно и это относительно безопасно:
0. Все площадки имеющие хоть какую-то известность являются полем деятельности федералов различных стран. В частности:
a) Вы можете попасть на фиктивный рынок, полностью созданный федералами, например для получения хороших показателей раскрываемости компьютерных преступлений.
b) Вы можете оказаться жертвой покупки под прикрытием, когда продающая сторона сделала всё чтобы отследить покупателя. Закладки на местности могут быть сделаны так, что приехав по gps координатам Вы сразу окажетесь фигурантом уголовного дела.
c) даже если оператор площадки "честный" - когда его поймают он всё равно будет обладать знаниями о Вас которые помогут Вас вычислить. И уж то что он сольёт всё что только можно чтобы получить менее суровый приговор - стопудово.
1. Анонимность биткоинов велика, но не абсолютна. Самая большая проблема с анонимностью биткоинов в том, что все трансакции хранятся вечно (ну или по крйней мере пока существуют действующие участники работающие с bitcoin). А это значит, что если со временем удаётся деанонимизировать тот или иной bitcoin адрес, то появляется возможность взять за конец верёвки, которая никогда не сгниёт и вечно будет указывать на участников трансакций. То есть сегодня Ваш биткоин адрес анонимен. А вот спустя месяц его непрерывного использования уже не факт - вполне может оказаться что одна из трансакций сделана с участием человека который знает о тебе больше чем ничего и его можно принудить выдать эту информацию.
2. Как показала практика операторов площадок невидимого интернета вполне реально поймать (см. ниже). А дальше - большой вопрос - действительно ли они не хранят о Вас ничего или оставили какие-либо данные позволяющие выторговать у судейских смягчение приговора? То, что помимо Ваших биткоин адресов Вас могут спалить благодаря открытым продвинутым технологиям создания cookie Вы можете узнать из линка в update4.
Всё это на мой взгляд делает покупку чего-бы то ни было реального (фактически - любых предметов имеющих физическое воплощение в реальном мире) на tor-based рыночных площадках лишь немногим менее опасной чем покупка на специализированных форумах (которые тоже рано или поздно палят, может быть лишь на три-семь лет быстрее) или вживую. Короче на мой взгляд риск слишком высок.
Хотя конечно каждый решает для себя сам.
Ну и наконец публично доступные подробности закрытия владельца и оператора silkroad и shutdown'а его серверов. Сколько он проработал в режиме помощи в поимке своих клиентов как водится осталось за кадром:
статья в форбс: http://www.forbes.com/sites/alexkonrad/2013/10/02/feds-shut-down-silk-road-owner-known-as-dread-pirate-roberts-arrested/
Публично доступные подробности обвинений и расследования от американской фемиды (запрос на ордер на арест с обоснованием обвинений): http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalComplaint.pdf
Вот на что на мой взгляд стоит обратить внимание:
агент в резултате forensic процедур имел возможность читать служебную и личную перепску silkroad staff.
агент имел возможность получать статистику по внутреннему аналогу почты (сообщениям) и по денежным потокам bitcoin.
судя по однозначной идентификации оплаты админам система противодействия forensic-выявления связи src-dst переводов внутри silkroad была успешно преодолена
Лично я считаю, что по мотивам мы будем наблюдать очередной wrong trust, когда пользователи silk road доверили некоторую инорфмацию (которую возможно удастся использовать для их деанонимизации) о себе сервису, который, как видно из вышенаписанного доверия ну никак не заслуживал.
Одной из фундаментальных проблем заложенных в дизайн почивщей торговой площадки silkroad является отсутствие механизмов deniability.
Ну и согласно вот этой статье: http://www.forbes.com/sites/andygreenberg/2013/09/05/follow-the-bitcoins-how-we-got-busted-buying-drugs-on-silk-roads-black-market/ имеющей ссылку на pdf с подробным описанием анализа миксирование трансакций в silkroad оставляло желать лучшего даже до момента когда в момент делопроизводства по silkroad алгоритмы этого микширования попали в руки федералов вместе с полным объёмом логов за длительный период существования площадки.
Вообще, на мой взгляд, операторы подобных площадок должны использовать криптографию в режиме аналогичном off the record messaging protocol. А именно данные более чем, например, недельной давности должны быть не просто зашифрованы, а зашифрованы на уже уничтоженных приватных ключах к которым однако (тоже ограниченное, но большее время) доступны публичные ключи (идея ограниченной обратной доступности публичных ключей в том, что если даже асиметричное крипто расщёлкают квантовым компьютером спустя время не будет точки входа для выбора пары из доступного бесконечного множества пар).
Кроме того, иметь обычное (не зашифровывающее ОЗУ ПО) это тоже сомнительное по разумности решение.
Ну а то, что это говно работало на php - отдельная порция лулзов. )
update7: Вот что ещё пишут про TOR из того что не указано на главной странице, избирательные цитаты которые вполне можно использовать для дальнейшего поиска:
After more revelations, and expert analysis, we still aren't precisely sure what crypto the NSA can break. But everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys. Assuming no "breakthroughs", the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they've got fairly public deals with IBM foundries to build chips.
The problem with Tor is that it still uses these 1024 bit keys for much of its crypto, particularly because most people are still using older versions of the software. The older 2.3 versions of Tor uses keys the NSA can crack, but few have upgraded to the newer 2.4 version with better keys.
update8: Вот ожидаемое продолжение истории с silkroad (привожу цитаты без указания источника - легко нагуглить):
In the U.K., the country's newly-established National Crime Agency warned that more arrests were on the way.
U.S. authorities have charged two people in Bellevue, Washington, a city just east of Seattle, after identifying one of them as a top seller on Silk Road. He was arrested on Oct. 2, while his alleged accomplice turned herself in the next day.
In Sweden, two men from the coastal city of Helsingborg were arrested on suspicion of distributing cannabis over Silk Road, the local Helsingborgs Dagblad reported Tuesday. The newspaper did not say when the pair had been detained.
Итого первые 8 человек уже поплатились за доверие к площадке - источник арестов, разумеется, в корреляции записей доступных изнутри silkroad по истории операций с информацией доступной в реальном мире (в том числе однозначная идентификация получателей bitcoin'ов, которую до выемки сервера silkroad нельзя было связать с нелегальным контентом). И думаю это только начало.
update9: Шнайер опубликовал обзор способов используемых АНБ для идентификации и отлова tor пользователей. Всем советую почитать. Из того что сразу бросается в глаза (будет время опишу свои выводы подробнее) - АНБ способно отличить пользователей tor bundle от остальных пользователей, а для дальнейшей трассировки используются методы аналогичные в статье из update5 выше + то, о чём стоит знать каждому: они покупают и, возможно, разрабатывают сами эксплойты к современным браузерам и в частности к firefox используемому в tor bundle. Фактически наличие у Вас самой последней версии Tor bundle не говорит о вашей безопасности, поскольку с огромной вероятностью всё ещё есть уязвимости недоступные публично. В частности, при продаже zero day агенству посреднику разработчик подписывает NDA запрешающее публиковать информацию о найденной уязвимости (в противном случае он не получит деньги в полном объёме).
Для профессионалов не является тайной регулярное появление remote code execution для различных форков проектов использующих движок mozilla. На текущий момент мне не известно современного браузера не имеющего паршивой security history.
Единственнный боле-менее безопасный вариант использования tor клиента описан в комментах к этому посту: предлагается работа из среды которая не имеет возможности сохранять данные полученные из сети локально. И то в дополнение к этому я бы использовал Qubes OS сконфигурировав Tor VM таким образом чтобы исполняемому коду не было доступно ни одного идентификатора подключенного к виртуалке железа и других виртуальных машин (в частности MAC шлюза такой VM должен случайно меняться, равно как и все идентификаторы контроллеров доступные для исполняемого кода через /proc и другие интерфейсы).
Так что используя Tor bundle следует предусмотреть то, что АНБ способно выполнить произвольный код в вашей ОС в которой он запущен.
Собственно в истории с отловом фаундера silkroad и части её пользователей есть один слабый момент. В том смысле, что недостаточно освешён способ выявления хостинговой площадки на которой находился сервер обеспечивавший фунционал silkroad. Да - указаны линки на деятельность фаундера по размещению рекламы ресурса в реальном интернет. Однако не факт, что этих косвенных данных было достаточно чтобы поставить подозреваемого и его трафик под легальную слежку. Вполне возможно, что хостинговая площадка была выявлена другими способами. В любом случае в сети сейчас нет информации об официальном документе использованном как запрос на проведение forensic анализа сервера (на результаты которого опирается запрос ордера на арест фаундера площадки).
update10: ptsecurity.ru/download/analitika_web.pdf
update11: Для владельцев .onion торговых площадок: реклама наркоторговли в данном журнале запрещена вне зависимости от отношения к этому законодательства РФ на данный момент.
update12: На случай если кто не понимает всех подводных камней связанных с tor exit node:
XXX: я как раз поставил себе на домашний сервер тор пару месяцев назад
XXX: и почти сразу гугл начал жаловаться на мой айпишник и капчу подсовывать когда гуглишь из домашней сетки. Пришлось запретить выходящую ноду
grey_olli: выходящая нода это стрёмно
grey_olli: очент стрёмно
grey_olli: фактически полно народу который через тор пытается ломать
grey_olli: даже если докажешь что не верблюд правоохранителям, то гемороя в процессе огрести можно уж больно много - неразумно это, IMO
XXX: ну если все так же будут рассуждать, то тор не сможет функционировать в итоге.
XXX: Хотя я в целом я конечно согласен и рисковать тоже не хочу. Особенно с нашими-то правоохранителями
grey_olli: Он не перестанет существовать. Часть выходных нод по прежнему поддерживается американской военщиной
grey_olli: просто узлов исходящих останется мало
grey_olli: как и было до сих пор
update13, my letter from Qubes users mailing list:
As about tor: when half or even more of the network is sponsored by NSA, then the 1st thing we should take care of is that we're sure that at least 1st tor entry after ours does work as tor algorithms require.
Obviously the NSA made tor node can work some sort diffrent.
So if you're runnning .onion your 1st enter node should be in your control + must relay tor traffic. With this you will be sure that at least 1st encryption is made right. I told that on last Moscow defcon.
Thus we need at least one additional VM with fair tor relay and need to restrict all tor traffic via our enter-node.