 fox
II/IDEC networks :: cterra.1407 :: / # Если TOR ломают, значит он кому-то нужен!
|
Login |
[#]
# Если TOR ломают, значит он кому-то нужен!
computerra.ru(wf,2) — All
2014-07-29 10:00:06
http://www.computerra.ru/103918/
[Технологии](http://www.computerra.ru/tech/)
автор: [Евгений Золотов](/author/sentinel/) 29 июля 2014
Математика — холодная, строгая — никогда не убеждала человека вполне. Сто лет прошло с момента формулирования теории относительности, а физики и по сей день не упускают возможности подвергнуть её проверке. И почти один в один ту же картину мы наблюдаем в прикладной криптографии.
Криптографические инструменты, кажется, никогда не будут считаться _надёжными достаточно_, в лучшем случае экспоненциально приближаясь к желанной черте: скептики, следователи, мошенники и просто любопытные не устают «пробовать их на зуб», что в свой черёд создаёт у стороннего наблюдателя впечатление относительной ненадёжности. Возьмите [TOR](https://www.torproject.org/). Понять, можно ему доверять или нет, если ориентироваться только на происходящие вокруг него события, кажется нереальным. Но вывод сделать всё-таки возможно — надо лишь посмотреть с правильной стороны.
То, что АНБ пыталось и пытается TOR «взломать» (ищет способ идентифицировать пользователей и устанавливать местонахождение скрытых сервисов), достоверно известно нам из документов Сноудена. Однако теперь почти [четыре миллиона рублей](http://zakupki.gov.ru/epz/order/notice/zkk44/view/common-info.html?regNumber=0373100088714000008) за решение этой задачи предлагает и Министерство внутренних дел Российской Федерации: 3.9 млн из федерального бюджета достанутся участнику закрытого конкурса, который предложит лучший механизм «разоблачения TOR-клиентов». Примечательно, что Запад, с интересом наблюдающий за происходящим, считает, что МВД поскупилось: уязвимости нулевого дня в таких популярных продуктах могут стоить на чёрном рынке в разы дороже.
Не самые свежие данные (середина прошлого года, с тех пор доля России значительно подросла), но и они хорошо иллюстрируют главное: TOR нужен всем!
Вообще, интерес США и Европы к происходящему у нас, кажется, восстанавливается. Граждане развитых демократий с удовольствием обсуждают поднимающуюся волну «цифровых репрессий в России» (блокировка сайтов, регистрация блогеров и т.д.) и считают [всплеск интереса к TOR ](https://metrics.torproject.org/)(только за это лето численность российских TOR-пользователей почти удвоилась; теперь каждый двадцатый клиент этой сети — россиянин) прямой реакцией на давление государства.
«По эту сторону забора» такое объяснение звучит не слишком убедительно (среднестатистический интернет-пользователь в РФ — ещё больший разгильдяй, чем его европейские или американские, а уж тем более азиатские коллеги), но несомненно, что в стране, президент которой считает Интернет детищем ЦРУ (так возникшим и в такой форме развивающимся), некоторая немалая доля пользователей будет вынуждена искать средства укрытия от всепроникающего государственного ока. Сноуден, кстати, теперь тоже почти россиянин — и он таки доиграется: Эдвард [вознамерился](http://yro-beta.slashdot.org/story/14/07/21/0259208/snowden-seeks-to-develop-anti-surveillance-technologies) разрабатывать инструментарий для поддержания цифровой приватности. Вот откажут в визе, узнает…
Кто ищет, тот найдёт — и можно не сомневаться, что российские правоохранители рано или поздно отыщут способ хотя бы частичной, для некоторых случаев, деанонимизации TOR-клиентов. Ведь находят такие лазейки правоохранители американские, да и независимые исследователи нет-нет да и натыкаются на что-то подобное. Последний случай, кстати, произошёл буквально на днях. Двое специалистов из авторитетной организации CERT (один с русским именем: Александр Волынкин) заявили, а потом [внезапно сняли](http://yro-beta.slashdot.org/story/14/07/22/2218212/black-hat-presentation-on-tor-cancelled-developers-working-on-bug-fix) доклад с говорящим названием «Вам не нужно быть АНБ, чтобы взломать TOR: бюджетная деанонимизация пользователей» с повестки августовской хакерской конференции Black Hat.
Формальная причина снятия: их попросил об этом юротдел университета, которому они подчинены (мол, информация «не была утверждена для обнародования»). Но мало кто верит, что причина бюрократическая. Ведь ребята нашли способ дешёвой массовой идентификации TOR-пользователей: они собирались показать как, обладая средненькой вычислительной мощью и пропускной способностью, при смешном бюджете в единицы тысяч долларов, за несколько месяцев выяснить истинные адреса сотен тысяч клиентов TOR и скрытых сервисов. На руках у них даже, якобы, реальные примеры. Так вот, возможно, спецслужбы надавили на авторов работы, заставив их раньше времени не раскрывать уязвимость, которая ещё может «послужить» обороноспособности страны?
Уязвимости в TOR обнаруживаются регулярно: ошибки есть в каждой программе и даже свободный софт (каковым TOR является) от них не свободен. Но по крайней мере принцип open source гарантирует, что «дыру» закроют максимально быстро после того, как она обнаружится — а это уже немало, когда речь идёт об инструменте не менее важном для цивилизации, чем пресловутая ОТО. Кстати, разработчики TOR [уверены](https://lists.torproject.org/pipermail/tor-talk/2014-July/033956.html), что уже нашли ошибку, которой посвящён отменённый доклад, и в данный момент работают над «заплаткой».
Такова грубая картина дня — и поверьте, год назад, и два, и пять всё было примерно так же. Какой вывод сделает человек, незнакомый с TOR, понаблюдав эту суету со стороны? Вероятно, что инструмент ненадёжен, возможно, что инструмент скомпрометирован. Да и чего можно ожидать от программы, родившейся в государственных военных лабораториях Соединённых Штатов и до сих пор развиваемой отчасти на деньги из федбюджета США? Сделает и… ошибётся. Парадокс! Ведь тот факт, что TOR ломают, одновременно означает и что он кому-то нужен: что он достаточно хорош, чтобы сотни тысяч человек со всего мира пользовались им. И не так важно, кто именно и что именно с его помощью прячет: важен сам факт!
Диссиденты или журналисты, чёрные или белые хакеры, бизнесмены или праздношатающиеся, любители порнографии и даже компьютерные вирусы — все они извлекают пользу из TOR. Именно они не дают забыть про него и спецслужбам и торговцам уязвимостями нулевого дня.
Не дайте себя обмануть: принимая решение, пользоваться TOR или нет, слушайте специалистов. Авторитетная Electronic Frontier Foundation неслучайно собрала недавно мифы про TOR, чтобы их [разоблачить](https://www.eff.org/deeplinks/2014/07/7-things-you-should-know-about-tor): он вовсе не так медлителен, как думает большинство, его периодически проверяют эксперты, и хоть он, конечно, не идеален, пользоваться им правильно проще, чем кажется, достаточно взять один из готовых комплектов (вроде [TOR Browser Bundle](https://www.torproject.org/projects/torbrowser.html) или «живой» Linux-дистрибутив [Tails](https://tails.boum.org/)).
Попробуйте. В конце концов, чем больше нас, тем сложнее будет им ;-)
P.S. В статье использованы иллюстрации [Thierry](https://www.flickr.com/photos/home_of_chaos/9206709697) [Ehrmann](https://www.flickr.com/photos/home_of_chaos/5287303391/in/photolist-94dP6i-nzuR8E-nifk89-fKMUt1-nhaTyg-6o9UJ3-nXpTUB-fKMSh5-od4ecS-nXDUpB-ogV3QR-nTKPFz-jCk8SR-7oedEg-fKMSwb-jCjZHp-4a9NCq-jCntQw-eQku4F-fLiRtR-hRZVUS-fxTQNy-o7Soox-jffkPX-fasFVY-f65bqS-fWsLSJ-fxTB6U-7R3MPF-9SuGX7-fxTj59-2bQyz-Kz3mj-c2ZqbG-c2ZzPy-gfUnMJ-8bZ1zm-2bRbX-nztFja-fxDiBT-eKJzVB-nNVrAS-fxDiD4-fn3Xk-fxDiBz-nPXoW9-f7dQuv-f7dQNc-bLmMnr-2bQun).
computerra.ru(wf,2) — All
2014-07-29 10:00:06
http://www.computerra.ru/103918/
[Технологии](http://www.computerra.ru/tech/)
автор: [Евгений Золотов](/author/sentinel/) 29 июля 2014
Математика — холодная, строгая — никогда не убеждала человека вполне. Сто лет прошло с момента формулирования теории относительности, а физики и по сей день не упускают возможности подвергнуть её проверке. И почти один в один ту же картину мы наблюдаем в прикладной криптографии.
Криптографические инструменты, кажется, никогда не будут считаться _надёжными достаточно_, в лучшем случае экспоненциально приближаясь к желанной черте: скептики, следователи, мошенники и просто любопытные не устают «пробовать их на зуб», что в свой черёд создаёт у стороннего наблюдателя впечатление относительной ненадёжности. Возьмите [TOR](https://www.torproject.org/). Понять, можно ему доверять или нет, если ориентироваться только на происходящие вокруг него события, кажется нереальным. Но вывод сделать всё-таки возможно — надо лишь посмотреть с правильной стороны.
То, что АНБ пыталось и пытается TOR «взломать» (ищет способ идентифицировать пользователей и устанавливать местонахождение скрытых сервисов), достоверно известно нам из документов Сноудена. Однако теперь почти [четыре миллиона рублей](http://zakupki.gov.ru/epz/order/notice/zkk44/view/common-info.html?regNumber=0373100088714000008) за решение этой задачи предлагает и Министерство внутренних дел Российской Федерации: 3.9 млн из федерального бюджета достанутся участнику закрытого конкурса, который предложит лучший механизм «разоблачения TOR-клиентов». Примечательно, что Запад, с интересом наблюдающий за происходящим, считает, что МВД поскупилось: уязвимости нулевого дня в таких популярных продуктах могут стоить на чёрном рынке в разы дороже.
){kind=link}
Не самые свежие данные (середина прошлого года, с тех пор доля России значительно подросла), но и они хорошо иллюстрируют главное: TOR нужен всем!
Вообще, интерес США и Европы к происходящему у нас, кажется, восстанавливается. Граждане развитых демократий с удовольствием обсуждают поднимающуюся волну «цифровых репрессий в России» (блокировка сайтов, регистрация блогеров и т.д.) и считают [всплеск интереса к TOR ](https://metrics.torproject.org/)(только за это лето численность российских TOR-пользователей почти удвоилась; теперь каждый двадцатый клиент этой сети — россиянин) прямой реакцией на давление государства.
«По эту сторону забора» такое объяснение звучит не слишком убедительно (среднестатистический интернет-пользователь в РФ — ещё больший разгильдяй, чем его европейские или американские, а уж тем более азиатские коллеги), но несомненно, что в стране, президент которой считает Интернет детищем ЦРУ (так возникшим и в такой форме развивающимся), некоторая немалая доля пользователей будет вынуждена искать средства укрытия от всепроникающего государственного ока. Сноуден, кстати, теперь тоже почти россиянин — и он таки доиграется: Эдвард [вознамерился](http://yro-beta.slashdot.org/story/14/07/21/0259208/snowden-seeks-to-develop-anti-surveillance-technologies) разрабатывать инструментарий для поддержания цифровой приватности. Вот откажут в визе, узнает…
){kind=link}
Кто ищет, тот найдёт — и можно не сомневаться, что российские правоохранители рано или поздно отыщут способ хотя бы частичной, для некоторых случаев, деанонимизации TOR-клиентов. Ведь находят такие лазейки правоохранители американские, да и независимые исследователи нет-нет да и натыкаются на что-то подобное. Последний случай, кстати, произошёл буквально на днях. Двое специалистов из авторитетной организации CERT (один с русским именем: Александр Волынкин) заявили, а потом [внезапно сняли](http://yro-beta.slashdot.org/story/14/07/22/2218212/black-hat-presentation-on-tor-cancelled-developers-working-on-bug-fix) доклад с говорящим названием «Вам не нужно быть АНБ, чтобы взломать TOR: бюджетная деанонимизация пользователей» с повестки августовской хакерской конференции Black Hat.
Формальная причина снятия: их попросил об этом юротдел университета, которому они подчинены (мол, информация «не была утверждена для обнародования»). Но мало кто верит, что причина бюрократическая. Ведь ребята нашли способ дешёвой массовой идентификации TOR-пользователей: они собирались показать как, обладая средненькой вычислительной мощью и пропускной способностью, при смешном бюджете в единицы тысяч долларов, за несколько месяцев выяснить истинные адреса сотен тысяч клиентов TOR и скрытых сервисов. На руках у них даже, якобы, реальные примеры. Так вот, возможно, спецслужбы надавили на авторов работы, заставив их раньше времени не раскрывать уязвимость, которая ещё может «послужить» обороноспособности страны?
){kind=link}
Уязвимости в TOR обнаруживаются регулярно: ошибки есть в каждой программе и даже свободный софт (каковым TOR является) от них не свободен. Но по крайней мере принцип open source гарантирует, что «дыру» закроют максимально быстро после того, как она обнаружится — а это уже немало, когда речь идёт об инструменте не менее важном для цивилизации, чем пресловутая ОТО. Кстати, разработчики TOR [уверены](https://lists.torproject.org/pipermail/tor-talk/2014-July/033956.html), что уже нашли ошибку, которой посвящён отменённый доклад, и в данный момент работают над «заплаткой».
Такова грубая картина дня — и поверьте, год назад, и два, и пять всё было примерно так же. Какой вывод сделает человек, незнакомый с TOR, понаблюдав эту суету со стороны? Вероятно, что инструмент ненадёжен, возможно, что инструмент скомпрометирован. Да и чего можно ожидать от программы, родившейся в государственных военных лабораториях Соединённых Штатов и до сих пор развиваемой отчасти на деньги из федбюджета США? Сделает и… ошибётся. Парадокс! Ведь тот факт, что TOR ломают, одновременно означает и что он кому-то нужен: что он достаточно хорош, чтобы сотни тысяч человек со всего мира пользовались им. И не так важно, кто именно и что именно с его помощью прячет: важен сам факт!
Диссиденты или журналисты, чёрные или белые хакеры, бизнесмены или праздношатающиеся, любители порнографии и даже компьютерные вирусы — все они извлекают пользу из TOR. Именно они не дают забыть про него и спецслужбам и торговцам уязвимостями нулевого дня.
Не дайте себя обмануть: принимая решение, пользоваться TOR или нет, слушайте специалистов. Авторитетная Electronic Frontier Foundation неслучайно собрала недавно мифы про TOR, чтобы их [разоблачить](https://www.eff.org/deeplinks/2014/07/7-things-you-should-know-about-tor): он вовсе не так медлителен, как думает большинство, его периодически проверяют эксперты, и хоть он, конечно, не идеален, пользоваться им правильно проще, чем кажется, достаточно взять один из готовых комплектов (вроде [TOR Browser Bundle](https://www.torproject.org/projects/torbrowser.html) или «живой» Linux-дистрибутив [Tails](https://tails.boum.org/)).
Попробуйте. В конце концов, чем больше нас, тем сложнее будет им ;-)
P.S. В статье использованы иллюстрации [Thierry](https://www.flickr.com/photos/home_of_chaos/9206709697) [Ehrmann](https://www.flickr.com/photos/home_of_chaos/5287303391/in/photolist-94dP6i-nzuR8E-nifk89-fKMUt1-nhaTyg-6o9UJ3-nXpTUB-fKMSh5-od4ecS-nXDUpB-ogV3QR-nTKPFz-jCk8SR-7oedEg-fKMSwb-jCjZHp-4a9NCq-jCntQw-eQku4F-fLiRtR-hRZVUS-fxTQNy-o7Soox-jffkPX-fasFVY-f65bqS-fWsLSJ-fxTB6U-7R3MPF-9SuGX7-fxTj59-2bQyz-Kz3mj-c2ZqbG-c2ZzPy-gfUnMJ-8bZ1zm-2bRbX-nztFja-fxDiBT-eKJzVB-nNVrAS-fxDiD4-fn3Xk-fxDiBz-nPXoW9-f7dQuv-f7dQNc-bLmMnr-2bQun).