Тор не обходит блокировку. Стало известно, как в России будут блокировать Tor

Разбор полётов: Кто его раздевает, тот слёзы проливает.

5 февраля в Госдуме и Роскомнадзоре активно взялись за инициативу по борьбе с использованием анонимайзеров и «луковичной» сети Tor. Воспринимая их как притон преступников, где производятся незаконные сделки и распространяется запрещённая информация, правительство и контролирующий орган стремятся объявить анонимные сети вне закона и ограничить к ним доступ.

Мы решили напомнить, чем является Tor и почему его устройство не позволяет ему оказаться заблокированным, несмотря на усилия властей.

Что такое Tor

Tor - экосистема проектов, построенных на сети компьютеров, через которую информация передаётся схожим с пиринговыми сетями образом, но в зашифрованном виде. Название Tor происходит от сокращения The Onion Router - «луковичной системы роутеров», названной так из-за множества слоёв шифрования, похожих на чешуйки луковицы.

Объяснить, как работает Tor - задача не из лёгких. Наиболее наглядно это делает видео, подготовленное Массачуссетским технологическим институтом.

В видео MIT продемонстрировано, как информация передаётся от одного компьютера к другому (например, от пользователя браузера Tor к владельцу сайта) и обратно, шифруясь на каждом из узлов сети Tor и меняя IP-адрес, с которого идёт запрос. Компьютеры в сети, работающие в качестве прокси-серверов, называются ретрансляторами (relay). Из-за использования нескольких «слоёв» шифрования узнать, что за данные были переданы изначально, очень сложно или даже невозможно.

Однако помимо расшифровки пакета зашифрованных данных есть и другие способы узнать, кто делал запрос: например, при использовании популярных протоколов шифрования SSL и TLS в запросе остаётся служебная информация - например, об операционной системе или о приложении, которое отправляло данные или ожидает их получения. Однако в Tor эта информация «вырезается» из пакета данных, анонимизируя отправителя.

Кроме того, каждый раз для доставки данных выбирается случайная последовательность из компьютеров-узлов, число которых в сети Tor исчисляется тысячами - это не позволяет определить, что несколько разных запросов посылаются одним и тем же лицом.

Как пользоваться Tor

Для использования сети Tor нужно установить одно из приложений, полный список которых перечислен на сайте Tor Project .

В 2006 году появилось Vidalia - первое приложение из экосистемы Tor, которое устанавливает защищённое подключение через сеть Tor на компьютере, ставшее популярным благодаря простому графическому интерфейсу. Тогда, в 2006 году, для многих пользователей Vidalia и была «тором». При помощи Vidalia можно настраивать другие приложения для передачи данных в зашифрованном виде.

В 2007 году Vidalia встроили в Tor Browser Bundle - пакет программного обеспечения, который для простоты называют браузером Tor. Сейчас Tor Browser Bundle является самым популярным продуктом из всей экосистемы, потому что позволяет выходить в интернет без каких-либо дополнительных настроек: приложение достаточно скачать и запустить без специальной установки.

Браузер Tor работает на основе Firefox. Безопасность его работы проверялась волонтёрами и разработчиками-энтузиастами огромное число раз - больше, чем любой другой продукт экосистемы Tor.

В июне 2014 года появилась операционная система Tails на базе GNU/Linux, которая умеет запускаться с флешки и «мимикрировать» под Windows XP, чтобы не привлекать лишнего внимания при работе из общественного места. Tails имеет встроенный браузер Tor, клиент электронной почты с поддержкой шифрования, пакет офисных программ и графические редакторы.

Критика и недостатки Tor

Проблема Tor заключается в том, что должный уровень безопасности обеспечивается только в том случае, если используемые приложения правильно настроены для работы с ним. Например, Skype не будет по умолчанию корректно работать через Tor, а в браузере Tor по умолчанию отключён Flash, так как он может подключаться к удалённым серверам самостоятельно, не через Tor, выдавая таким образом личность пользователя.

Создатели Tor предупреждают, что при подключении через их сеть опасно открывать даже популярные форматы документов.doc и.pdf, потому что они также могут загрузить контент (например, изображения) с внешних источников при открытии их в сторонних программах, не сконфигурированных под Tor. Кроме того, в Tor нельзя пользоваться торрентами: во-первых, они сильно перегружают сеть, во-вторых, из-за особенностей в работе протокола BitTorrent подключения через него осуществляются напрямую, а не через сеть компьютеров волонтёров, анонимизирующих трафик.

Из-за устройства сети, где информация передаётся между множеством компьютеров, имеющих разные скорости подключения и разную пропускную способность каналов связи, общая скорость сети Tor долгое время находилась на уровне дайал-апа. Из-за этого большинство сайтов в даркнете до сих пор имеют примитивный дизайн и стараются лишний раз не использовать изображения, чтобы не перегружать сеть.

Осенью 2014 года Tor раскритиковали за возможную дыру в безопасности после ареста владельца «возрождённого» интернет-магазина Silk Road 2.0, доступ к которому осуществлялся только через анонимную сеть. Арестованы были ещё 17 человек и около 400 сайтов, также сообщалось о конфискации компьютеров, служивших ретрансляторами Tor.

Следствие, которое велось Европолом в сотрудничестве с ФБР и другими спецслужбами, не раскрывало, каким именно способом были найдены арестованные лица и компьютеры. Сеть Tor стали критиковать за наличие уязвимостей и возможные связи с правительством, что чуть не вызвало раскол в его сообществе. Однако нашлись и те, кто обратил внимание на математический подход к алгоритмам шифрования: даже если связи с правительством действительно существуют, обмануть науку не получится.

Кто делает Tor

Несмотря на огромную популярность сети Tor и её продуктов, над их разработкой трудится всего около десятка человек. Изначально созданием сети Tor в начале 90-х занялась исследовательская лаборатория ВМC США, и до 2010 года она являлась активным спонсором проекта.

В разное время на поддержку и разработку Tor давали деньги разные государственные и окологосударственные организации, в том числе SRI International и DARPA, из-за чего у многих противников проекта сложилось впечатление его подчинённости правительству США.

В 2006 году Tor Project получил грант от фонда основателя eBay Пьера Омидьяра, а с 2007 года разработку проекта также спонсировала корпорация Google. Свои деньги также жертвовала компания Ford, некоммерческий фонд по борьбе за свободу прессы (Freedom of the Press Foundation), фонд Human Rights Watch и один из американских интернет-провайдеров, который перевёл деньги анонимно.

Анонимные пожертвования также приходили от более чем 4600 человек, так что теоретически спонсором работы Tor может оказаться человек в любом из мировых правительств.

Чего хотят добиться Госдума с Роскомнадзором

5 февраля председатель профильного комитета Госдумы Леонид Левин выступил с предложением разработать законопроект, по которому доступ к анонимным сетям Tor будет ограничен. По мнению Левина, анонимайзеры (сайты, скрывающие IP-адрес пользователя при просмотре других сайтов или использования интернет-сервисов) и средства доступа в Tor следует блокировать без решения суда.

По мнению депутата, такой закон позволит не допустить распространения запрещённой информации, а также будет противодействовать коммерческому распространению вирусов и незаконному доступу к информации. Иными словами, Левин считает, что Tor используется для организации теневого рынка по продаже эксплойтов и других хакерских услуг.

Позднее тем же днём идею Левина поддержали в Роскомнадзоре, мотивируя это тем, что Tor и другие анонимайзеры позволяют обходить блокировки сайтов. По словам пресс-секретаря ведомства Вадима Ампелонского, решить задачу блокировки анонимайзеров возможно, но как именно планируется это сделать, он не уточнил.

На следующий день Ампелонский рассказал «Ленте.ру», что в его понимании экосистема Tor является рассадником преступности. Представитель ведомства сравнил анонимную сеть с московским районом Хитровка, существовавшим в дореволюционные времена и зачищенным от воровских притонов при Советском Союзе.

Был в прошлом и позапрошлом веке в Москве такой район - Хитровка. Криминальное дно, территория обитания социальных отбросов. Почему русская монархия терпела Хитровку в пешей доступности от места, где короновались августейшие? Доподлинно неизвестно, но, видимо, имея всех упырей в одном месте, их легче было контролировать.

Вот Tor - это глобальная киберХитровка. Созданная и управляемая знамо кем. Как поступила с Хитровкой советская власть? Почитайте у Гиляровского.

Вадим Ампелонский, пресс-секретарь Роскомнадзора

Выступления Левина и Ампелонского - не первые попытки поднять общественную дискуссию вокруг запрета Tor и анонимайзеров. В июне 2013 года газета «Известия» сообщала, что в Общественном совете при ФСБ готовили рекомендации о необходимости запрета анонимных сетей. Хотя Общественный совет при ФСБ позднее опроверг соообщение о разработке рекомендаций, в августе «Известия» снова сообщили о законодательной инициативе блокировки Tor и анонимайзеров.

Тогда в ФСБ рассказывали, что в сети Tor злоумышленники торгуют оружием, наркотиками, поддельными кредитными картами. Директор «Лиги безопасного интернета» Денис Давыдов также поддерживал идею блокировки Tor, считая сеть местом «для общения педофилов, извращенцев, наркоторговцев и других уродов».

Почему TOR бессмысленно пытаться заблокировать

По мнению директора по стратегическим проектам Института исследований интернета Ирины Левовой, Роскомнадзор не сможет отличить зашифрованный трафик, идущий через Tor, от IP-телефонии, банковских операций или даже онлайн-видео. Ведомство может попытаться заблокировать сайты, распространяющие программы для выхода в интернет через Tor, однако пользователи могут воспользоваться для их скачивания другими, ещё не заблокированными анонимайзерами.
Так происходило в 2013 году в Ираке, когда правительство заблокировало сайт Tor Project вместе с Facebook, Twitter, Google и YouTube из опасений, что их может использовать для самоорганизации экстремистская группировка «Исламское государство» (ИГИЛ). Тогда активисты стали запускать зеркала сайта с инструкциями по установке и использованию на арабском языке, что могло даже увеличить число пользователей Tor.

В 2011 году владельцы интернет-сервисов, доступ к которым осуществлялся по зашифрованному соединению, стали сообщать о странной активности из Китая. Когда пользователь из КНР попытался подключиться к таким сервисам, он отправлял на сервер непонятный запрос, после чего его подключение обрывалось. Таким образом в Китае отключили не только доступ к сети Tor, но и другие зарубежные сервисы, работающие через зашифрованный канал.

Более того, правительству и правоохранительным органам, считающим Tor рассадником преступности, просто невыгодно блокировать доступ к анонимной сети. По словам источника «Известий», знакомого с ситуацией вокруг инициатив 2013 года по блокировке Tor, такие анонимные сети считаются безопасными, что позволяет спецслужбам успешно ловить в ней преступников. Если Tor будет заблокирован, то появится новая сеть, и органам придётся разрабатывать новые методы контроля и поиска преступников.

Система Tor позволяет скрывать от провайдера конечные (целевые) адреса, тем самым прорывая возможную блокаду доступа к заблокированным им сетевым ресурсам. Также система Tor скрывает от целевых ресурсов адрес отправителя, тем самым снимая возможность нахождения пользователя или блокировки пользователей.

Однако и провайдер и сетевые ресурсы могут бороться с самим Tor путем блокировки его публичных узлов. Далее приводятся приемы борьбы с такими блокировками Tor.

1. Использования непубличных входных узлов (bridge-узлов)

В странах с интернет-цензурой провайдеры часто пытаются блокировать доступ к "запрещённым" интернет-ресурсам. (Не понимаю, почему какой-то урод будет решать какие сайты мне посещать, а какие - нет!)

Информационный поток данных, идущий от пользователя в сеть Tor маскируется под шифрованный SSL-трафик (протокол https) и распознать его по каким-то особенностям нереально. Однако провайдер всегда знает первичный адрес, по которому шлются данные. При работе через Tor это адрес первого узла анонимизирующей цепочки.

Tor - открытая система, поэтому все адреса публичных узлов Tor известны и нетрудно включить их в "чёрный список" с последующей блокировкой.

Иногда такую блокировку считают даже как уязвимость системы Tor.

Разработчики Tor предусмотрели такую ситуацию и создали некоторое подмножество непубличных входных узлов (bridge-узлов или мостов), узнать адреса которых можно только вручную и небольшими порциями.

На странице https://bridges.torproject.org можно найти адреса трех текущих bridge-узлов в формате proxy_host:proxy_port (например 188.40.112.195:443). Там же будет краткая инструкция по установке мостов. (Правда на английском языке.)

Если данная страница также заблокирована, то можно получить адреса bridge-узлов по почте, отправив письмо-запрос на [email protected] с заголовком и единственной строкой get bridges в теле письма.

Вставить в клиент Tor полученные bridge-узлы можно через его графическую оболочку Vidalia.

Для чего нужно: открыть окно Vidalia , нажать кнопку "Настройки " ("Settings"), в открывшемся окне выбрать вкладку "Сеть " ("Network"), пометить там галочкой пункт "Мой Интернет-провайдер блокирует доступ к сети Tor " ("My ISP blocks connections to the Tor network").

Скопировать адрес первого bridge-узла в поле "Добавить bridge " ("Add bridge") и нажать кнопку "+". Таким же образом вставить и остальные bridge-узлы.

Нажать кнопку "Ok". Перезапустить Tor.

2. Добавления в конец цепочки Tor внешнего прокси

В настоящее время некоторые интернет-ресурсы блокируют или ограничивают доступ посетителей при использовании ими Tor. Видимо хотят контролировать своих посетителей (!?). (К сожалению сюда относятся даже такие известные сайты как Wikipedia, Gmail, ЖЖ, Linux.org.ru и другие.) Для такого блокирования составляется "чёрный список" всех (или почти всех) публичных выходных серверов системы Tor (блоклист) и запрещаются или ограничиваются посещения с этих серверов. Иногда можно посмотреть "чёрный список" по адресу https://proxy.org/tor_blacklist.txt, но скорее всего там будет сообщение типа "Зайдите завтра"

Простым способом преодоления блокирования со стороны интернет-ресурсов является добавление к цепочке Tor внешнего прокси-сервера. (Он не входит в "чёрный список".) Внешних прокси-серверов очень много и их можно легко найти в Сети (например, http://www.proxy-list.org/en/index.php/ ). Необходимо только, чтобы они поддерживали шифровку ssl трафика (для входа по защищенному каналу https) и желательно были "забугорными". Скопировать его адрес в формате: proxy_host:proxy_port.

Затем найти конфигурационный файл фильтрующего прокси Polipo : ...\Data\Polipo\polipo.conf и добавить в его конец строку parentProxy=proxy_host:proxy_port, где proxy_host:proxy_port - адрес "внешнего прокси".

После этого надо перезагрузить анонимный канал, т.е. Tor Browser .

Проверить анонимный канал можно на сайтах-анализаторах IP, (например http://www.ip-adress.com/what_is_my_ip/, или http://whatismyipaddress.com/, или http://geotool.servehttp.com/. Полученный IP-адрес должен совпадать с адресом внешнего прокси.

В результате добавления в конец цепочки Tor внешнего прокси, общение с целевым адресом (сайтом) пойдет через этот "чистенький" для блокировщика "внешний прокси".

В Беларуси вышло постановление о способах ограничения доступа к сайтам. Из него стало известно, что в случае нарушения законодательства блокировать смогут всё и для всех.

Кроме прочего планируется ограничивать доступ к прокси-серверам и сетям типа Tor, через которые пользователи будут пытаться зайти на заблокированные сайты.

Способа узнать, на какой сайт пользователь пытается зайти через прокси-сервер, не существует. Если технология сделана нормально, то канал будет зашифрован, и никто не узнает, на какой сайт пользователь заходит через прокси, Tor или VPN. Так что ловить за руку не получится. Поэтому можно сделать вывод, что блокировать могут только все прокси и VPN.

Ловить же тех, кто ходит через прокси именно на запрещенные сайты, практически невозможно и дорого. А значит, блокировать будут либо всех, либо повторится история, как с указом 60. В законе будет прописано, но на практике заниматься блокировкой всех прокси, VPN и Tor никто не будет. До определенного момента…

Заблокировать Tor-браузер можно, но не для всех и ненадолго

Технологий обхода цензуры в интернете есть несколько. Tor-бразуер - самая популярная. Блокировать его тяжело, но возможно в нужные моменты для большинства людей. Есть несколько способов.

Запретить скачивание Tor-браузера

Можно закрыть сайты для скачивания самой программы. И наделать поддельных сайтов для скачивания, где выложить версию браузера с вирусом. Так пользователям будет тяжело его получить.

Запретить адреса, вшитые в браузер

Tor-браузер меняет порты и использует целую сеть компьютеров для доступа к сайтам. По такому же принципу работает сайт для скачивания фильмов, музыки и программ Торрент - вы скачиваете файл сразу с нескольких разных компьютеров. Естественно, все их заблокировать сложно.

Но для первого выхода в интернет в браузере прописаны определенные адреса, которые легко найти, изучив браузер, и заблокировать их. С переменным успехом этим занимается Китай. Конечно, специалисты-компьютерщики смогут оперативно прописать новые адреса, но для большинства пользователей Tor-браузер перестанет работать на некоторое время, пока разработчики браузера не выпустят обновление, решающее проблему.

Заблокировать VPN тоже можно

Есть три варианта VPN-технологий. Некоторые блокировать просто, потому что они заходят в интернет через определенные порты, которые можно легко узнать и закрыть.

OpenVPN, например, заблокировать не так легко. Программа умеет притворяться обычным браузером, который заходит в интернет по зашифрованному каналу.

Есть около 100 самых распространенных VPN-провайдеров. Их заблокировать несложно, просто по списку. Переписать все адреса серверов и заблокировать. Этим пользуется Китай, довольно эффективно.

Компании и компьютерщики смогут найти VPN-серверы, которые не заблокированы. Но это вариант не для всех.

Веб-прокси заблокировать легко

Третий вариант доступа к сайтам - это веб-прокси. По сути, веб-прокси - это тоже сайты. Забив их в поиске, можно найти самые популярные и ограничить доступ к ним так же, как ко всем остальным сайтам. Существуют программы, способные “поднимать” прокси, но освоить их не сможет большинство пользователей интернета.

Есть проекты, способные обойти цензуру

Проект lantern задуман как эффективный способ обойти цензуру. Принцип его работы таков, что пользователи становятся друг для друга прокси-серверами. Но каких-то простых выходов пока нет. Если новый закон будет исполняться с энтузиазмом, то может доставить проблем и с этим способом. Если нет, то его будет легко обойти.

Создать блокировку на ограниченное время для большинства пользователей несложно. Но закон могут держать в кармане просто для того, чтобы воспользоваться им в определенное время.

Блокировка сайтов ­- коммерчески доступная технология. Беларусь может купить готовое решение и довольно быстро запустить его. Производством таких решений занимаются компании в Европе и России.

С 26 февраля вступает в силу Документ приняли Оперативно-аналитический центр при Администрации президента и Минсвязи по согласованию с Мининформации.