機知に富んだ政府はどのようにTorをブロックしますか?
私は偶然出会った この記事2015年11月のパリ攻撃 の後で、何人かのフランスの警察官がTorを禁止することを提案したと言った。
Torは検閲を回避するために使用されます! Torをブロックするために政府はどのようなセキュリティ技術を使用しますか?
Torをブロックするために必要なことは、次のリンクにあるTorノードの現在のリストを取得することだけです。
http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
次に、ルーターまたはファイアウォールを介して双方向でそれらをブロックします。
とはいえ、そのような取り組みにはさまざまな方法があると思いますが、VPNを使用して特定のエリアの外部に接続し、Torトラフィックを別の場所から実行したり、トラフィックをトンネルしたりできますが、これにより、技術力の低い人の多くが効果的にブロックされますTorにアクセスします。
同様に、次のTor出口ノードのリストは、Torトラフィックが特定のWebサイトに接続するのをブロックするのに役立ちます: https://check.torproject.org/exit-addresses
Torを使いにくくするのは簡単ですが、Torを使えなくするのは非常に難しいと言えます。
大規模な財源を持つ政府は、開始から数分後に、Tor Bridgesなどの潜在的なTorサーバーを見つけるために ZMAP.io のようなツールを実行するためにお金を費やす可能性があることに注意してください。 IPv4アドレス空間全体を継続的にスキャンすることは、予算が少ない人にとっても簡単なことなので、Torノードを見つけてブロックするキャンペーンは非常に効果的ですが、絶対的なものではありません。
最後に、Torユーザーが特定されると、政府はそのユーザーによる将来の接続を監視して新しいTorブリッジまたは同様の接続を見つける可能性が高いことを覚えておいてください。
注:IPv4をスキャンするタスクは簡単になりましたが、パブリックIPv6アドレス空間をすべてスキャンするプロセスは、規模が大きいため、根本的に管理できなくなります。とはいえ、IPv6ネットワーク上のTorトラフィックを識別してブロックするには、Netflow、ある種のトラフィック署名、またはその他の識別形式など、他のタイプのデータを関連付ける大規模な政府プロジェクトが必要になると述べています。
繰り返しになりますが、政府はTorを使いにくくすることができますが、Torを使用不可能にすることは非常に困難です。
さらに、政府は匿名のユーザーを特定するために追加の戦術を利用することにも注意してください。 Torユーザーに関する追加情報を提供する可能性のあるCookieまたはその他の署名に関連するリスクからエンドユーザーを保護するには、次のような匿名のライブCDを使用するのが賢明です。
Torflowの視覚化も興味深いかもしれません:
https://torflow.uncharted.software
関連記事:Torユーザーの81%は、ルーター情報を分析することで簡単にマスクを解除できます
http://thehackernews.com/2014/11/81-of-tor-users-can-be-easily-unmasked_18.html
もっと危険だが関連する問題に関する別の関連記事:Tor Browser Exposed
https://hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95
Torは検閲を回避するために使用されます!
いいえ、直接ではありません。 Torは匿名性であり、可用性ではありません。 Torだけでは、ユーザーはブロックされたコンテンツにアクセスできません。 Torは、クライアントをサイト訪問にリンクすることを困難にすることで、人々が識別されずにコンテンツを公開または読むできるようにします。禁止されたコンテンツを直接広めるためではなく、禁止されたコンテンツに関連して捕まるのを避けるために使用されます。
国内のISPのすべてのネットワーク機器を管理する政府は、居住者にアクセスを許可するWebサイトとサービスを決定し、誰が何にアクセスしているかを知ることができます。誰かがTorを使用している場合、そのコンピュータはTorサービス(Torリレー)を提供するホストに接続します。 ISPレベルのフィルターは、接続のターゲットがTorリレーであるかどうかを検出し、Torリレーである場合は拒否します。
検閲の回避を直接支援するツールは [〜#〜] vpn [〜#〜] です。 ISPレベルのフィルターは、VPNへの接続をブロックできますが、サービスがVPNであることがわかっている場合のみです。 Torリレーは、大部分が公開されており、重いインフラストラクチャの一部である必要があります(他のTorから知られている必要があります)。逆に、VPNはそれ自体で動作するため、新しいものを作成するのは非常に簡単です。VPNを完全にブロックすることは事実上不可能です(すべての暗号化プロトコルをブロックすると、ほとんどの一般的なVPNがブロックされますが、ステガノグラフィを使用して低帯域幅VPNを作成することは可能です。他に何もない場合)。
もちろん、VPNとTorを組み合わせることもできます(頻繁に組み合わせることができます)。 ISPはTorの直接使用をブロックできますが、VPNを介したTorの使用をブロックすることはできません。 Torの使用に特化したVPNのようなサービスも存在します: Torブリッジ 。ここでは、ISP /政府がTorブリッジを発見したときにそれらをブロックすることができる武装競争がありますが、新しいブリッジは簡単にポップアップできます。
フランスはトールを禁止するつもりです
いいえ、それは元の記事が言うことではなく、THN記事も言うことではありません。元の記事によると、政府ではなく警察当局がTorの禁止を含むさまざまなリアリズムのさまざまな対策を要求しています。あなたが引用した記事でさえ、この要求は法律案であり(まだ出されていません)、発効する法律ではないと主張しています。
torブリッジ のため、Torは実際にはブロックするのが非常に困難です。
ブリッジリレー(または略して「ブリッジ」)は、メインのTorディレクトリにリストされていないTorリレーです。それらの完全なパブリックリストがないため、ISPが既知のすべてのTorリレーへの接続をフィルタリングしていても、おそらくすべてのブリッジをブロックすることはできません。
Torを完全に禁止するには、フランスはディープパケットインスペクション(中国のファイアウォールと同様)を実行する必要がありますが、そのような対策でさえ Obfsproxy のような特殊なツールによって打ち負かされる可能性があります。中国の人々がTorを効果的に使用できないようにしているのは、懲役の脅威です。フランスがこのように進まないことを望みます。
また、Torの禁止がテロリストにどのように害を及ぼすかについては、レーダーの下に留まることを可能にする無数のオプションがあるため、私にはよくわかりません。全体としてブロックすることができないOwnCloudまたは同様のサービスに喜んで切り替えることができます。または、暗号化された7Zip添付ファイルを送信して、GMail経由で通信することもできます。等。
フランスは地域の調査を終えたばかりで、このような発表は選挙期間中に夏の雨の後のキノコのように生まれます。
検閲武器競争
Torネットワークを検閲する試みはさまざまな国で行われています。これまでのところ、中国が最も成功しています。しかし、他の国/政府も成功しています。これらの成功に関係なく、検閲は技術的な武装競争であり、双方は攻撃と防御の改善を続けています。
質問に特に関連する優れたリソースは、Jacob AppelbaumとRoger Dingledineによる 政府によるTorのブロックの試み というタイトルのプレゼンテーションです。 (この講演は YouTube でもご覧いただけます。)Tor開発者は、Torネットワークの概要を説明してから、Torネットワークに対する攻撃の進化を紹介します。対象となった攻撃の範囲は、単純なポートとDNSブロッキングから、詳細なパケット検査やアクティブプローブなどの最新の技術まで多岐にわたります。
この軍拡競争で使用される可能性が高い将来の技術について簡単に説明する前に、以下にそのプレゼンテーションの資料を要約します。
今起こっている攻撃
上記のプレゼンテーションで説明されているブロッキングメソッドの概要と、いくつかの追加の解説と各メソッドの制限に関する情報を次に示します。
- ディレクトリ権限をブロックします:Torバイナリには、ブートストラップ(Torネットワーク上の他のノードを見つけるプロセス)に使用するIPアドレスのハードコーディングされたリストがあります)。通常、Torクライアントは、起動時にこれらのサーバーの1つに接続して、リレーのリストをダウンロードします。この接続をブロックすると、交換が行われなくなります。制限は、 bridges を使用して、代替IPアドレスを介してディレクトリ接続をルーティングできることです。
- ネットワークディレクトリをダウンロードします:別名ネットワークコンセンサス、これはすべてのリレーのリストですネットワーク(ブリッジを除く)。すべてのリレーのIPアドレスをブロックすると、Torクライアントがリレーを介してトラフィックをルーティングできなくなります。繰り返しになりますが、ブリッジは1つのリストで公開されていないIPアドレスを使用するため、ブリッジはこれをバイパスできるという制限があります。
- ブロッキングブリッジ:すべてのブリッジIPアドレスを取得できる場合は、ブリッジへの接続もブロックできます。 Torプロジェクトは、ブリッジアドレスのプールをさまざまな 配布戦略 に分割して、配布メカニズムの1つに弱点があっても、1人がすべてのブリッジアドレスを取得できないようにします。これらのメカニズムに加えて、独自のリストされていないブリッジを実行している可能性がある友人または他の組織と通信することにより、ブリッジを取得できます。
- ディープパケットインスペクション:この方法はDPIとも呼ばれ、Torプロトコルと、Torが模倣しようとするSSL/TLSハンドシェイクとの微妙な違いに依存しています。プレゼンテーションでは、ロジャーは、Torプロジェクトがすでに認識しているプロトコルの区別が多数あり、それらを先制的に修正するか、将来の攻撃に備えてすぐに使える果物として残すかは未解決の問題であると述べています。
- Tor Webサイトをブロックします:Torソフトウェアをダウンロードできない場合、ネットワークに接続できません。制限は、人々が異なる mirrors を含む他のメカニズムを介して、または[email protected]に電子メールを送信することによってソフトウェアを取得できることです。
- ブリッジのアクティブプローブ:中国では、誰かがTorブリッジまたはSSHサーバーに接続すると、別のIPアドレスがフォローアップ接続を確立して、 Torプロトコル...この試みが成功した場合、元のTor接続はドロップされます。これは軍拡競争における最新のステップであり、それに対処するために使用できるいくつかの可能なアプローチがあります。ビデオで言及されている1つの方法は、ブリッジをパスワードで保護することですが、これには独自のトレードオフがあります。
- 帯域幅の制限:イランでは、政府は暗号化された接続に割り当てられる帯域幅を減らしました。 Webサイトでの暗号化の使用の増加に伴い、この方法では、Google、Wikipediaなどを含む一般的に使用されるWebサイトへのアクセスがますます制限されます。
武器競争の未来
言及したように、検閲技術は軍拡競争であり、それはまだ進行中です。これは、イノベーションが引き続き発生することを意味します。
pluggable transports には多くの開発努力が注がれています。これは基本的に、Torブリッジノードに適用できるプロトコル難読化のレイヤーです。これにより、Torトラフィックと非Torトラフィックを区別することがより困難になり、Torに関連しない追加のサービス/プロトコルを強制的にブロックします。
プラグ可能なトランスポートのいくつかの例を選択するには:
- Meek:Meekトランスポートは、「ドメインフロントリング」と呼ばれる方法を使用して、トラフィックの最終的な宛先を改ざんします。 google.comへのリクエストのHTTPヘッダーを変更することで、GoogleのインフラストラクチャにパケットをApp Engineサービスに再ルーティングさせることが可能になります。同じことがAmazonのCloudFrontとMicrosoftのAzureプラットフォームにも当てはまります とりわけ 。
- Flashproxy:スタンフォード大学でプロジェクトとして開始されました。このプロジェクトはJavaScriptとWebソケットを使用して、通常のWebブラウザーをTorブリッジに変え、極端な多様性とチャーンを可能にしますリアルタイムでブロックすることが難しいブリッジアドレスの数。
最後に、フォーマット変換暗号化(FTE)について説明します。この暗号化技術により、DPIエンジンには別のプロトコルのように見えるようにデータを操作できます。 この論文 では、研究者はこの技術をTorネットワークに適用して、DPIエンジンによるプロトコルの誤認を作成しています。