Германия отслеживает Tor!
На одном немецком сайте (источник на DE) была дана новость, о том что немецкие правоохранители отследили админа педо-чата в Ricochet, который работает как раз в сети Tor, и интересные комментарии на X (ТЫЦ)
Перевод всей новости на русский язык, а также комментариев в Твиттере/X можете почитать ТУТ или по первой ссылке в посте.
От себя краткое пояснения как они делают деанон:
Ricochet это чатик, который использует сеть Tor для анонимности, и когда вы устанавливаете его, вы получаете onion адрес, который и является Вашим контактом, т.е. если вы хотите с кем-то списаться, оставляется этот адрес и вас добавят в контакты или наоборот. И казалось бы должно быть все супер анонимно, т.к. 3 ноды у вас, 3 ноды у адресата, и по итогу между двумя абонентами целых 6 нод, никто не должен знать кто есть кто, как же тогда деанонят?
1) Трафик Ricochet чата отличается от браузерного, и пользователей чата можно выделить среди остальных, соответственно из условно 100к пользователей Tor, достаточно просто выделить этих 2к пользователей. И тут становиться вопрос, как именно деанонимизировать нужного, который продает детское порно в этом чате
2) Т.к. это чат, и админ педо-чата продает медиа, которые достаточно объемные, все что нужно для его деанонимизации это налить много-много трафика на этот скрытый сервис (домен .onion). Как это сделать? Открыть с ним чат с многих устройств (50-100), и начать одновременно скачивать самые большие файлы от него. Таким образом с его onion адреса начнется исходить множество соединений с большим количеством трафика.
На самом деле всё, деанон сделан на этапе п.2, т.к. даже если имеешь 5-10% нод сети Tor, то ты видишь трафик, который через них проходит. Я публиковал аналитику в одном из своих видео (ссылка), и в ней более 50% всех нод Tor находиться в странах союза 14 глаз, и доля немецких нод в общем количество очень большая. Итого те кто владеют узлами (службы) делает слепок самого большого исходящего трафика до запуска скачивания файлов и после, таким образом они выявят ip адреса кто и до этого много раздавал чего-то, и теперь понимают какие новые ip адреса появились, и эти ip адреса уже не ip адреса скрытых сервисов (onion домена), а вполне себе настоящий ip адрес. Допустим представим что они выявили 100 ip адресов, даже в этом случае это не является проблемой, они имеют маску трафика Ricochet, и из 100-ip адресов отберут только тот трафик, который относится к чату, и даже если ip адресов будет 5-10, они могут приостановить загрузку, сделать новый слепок и повторить фильтр.
Дополнительно про деанон onion сервисов (доменов) можете почитать тут:
https://www.hackerfactor.com/blog/index.php?%2Farchives%2F892-Tor-0day-Finding-Bridges.html
https://www.hackerfactor.com/blog/index.php?%2Farchives%2F896-Tor-0day-Finding-IP-Addresses.html
https://t.me/TorZireael1
На одном немецком сайте (источник на DE) была дана новость, о том что немецкие правоохранители отследили админа педо-чата в Ricochet, который работает как раз в сети Tor, и интересные комментарии на X (ТЫЦ)
Перевод всей новости на русский язык, а также комментариев в Твиттере/X можете почитать ТУТ или по первой ссылке в посте.
От себя краткое пояснения как они делают деанон:
Ricochet это чатик, который использует сеть Tor для анонимности, и когда вы устанавливаете его, вы получаете onion адрес, который и является Вашим контактом, т.е. если вы хотите с кем-то списаться, оставляется этот адрес и вас добавят в контакты или наоборот. И казалось бы должно быть все супер анонимно, т.к. 3 ноды у вас, 3 ноды у адресата, и по итогу между двумя абонентами целых 6 нод, никто не должен знать кто есть кто, как же тогда деанонят?
1) Трафик Ricochet чата отличается от браузерного, и пользователей чата можно выделить среди остальных, соответственно из условно 100к пользователей Tor, достаточно просто выделить этих 2к пользователей. И тут становиться вопрос, как именно деанонимизировать нужного, который продает детское порно в этом чате
2) Т.к. это чат, и админ педо-чата продает медиа, которые достаточно объемные, все что нужно для его деанонимизации это налить много-много трафика на этот скрытый сервис (домен .onion). Как это сделать? Открыть с ним чат с многих устройств (50-100), и начать одновременно скачивать самые большие файлы от него. Таким образом с его onion адреса начнется исходить множество соединений с большим количеством трафика.
На самом деле всё, деанон сделан на этапе п.2, т.к. даже если имеешь 5-10% нод сети Tor, то ты видишь трафик, который через них проходит. Я публиковал аналитику в одном из своих видео (ссылка), и в ней более 50% всех нод Tor находиться в странах союза 14 глаз, и доля немецких нод в общем количество очень большая. Итого те кто владеют узлами (службы) делает слепок самого большого исходящего трафика до запуска скачивания файлов и после, таким образом они выявят ip адреса кто и до этого много раздавал чего-то, и теперь понимают какие новые ip адреса появились, и эти ip адреса уже не ip адреса скрытых сервисов (onion домена), а вполне себе настоящий ip адрес. Допустим представим что они выявили 100 ip адресов, даже в этом случае это не является проблемой, они имеют маску трафика Ricochet, и из 100-ip адресов отберут только тот трафик, который относится к чату, и даже если ip адресов будет 5-10, они могут приостановить загрузку, сделать новый слепок и повторить фильтр.
Дополнительно про деанон onion сервисов (доменов) можете почитать тут:
https://www.hackerfactor.com/blog/index.php?%2Farchives%2F892-Tor-0day-Finding-Bridges.html
https://www.hackerfactor.com/blog/index.php?%2Farchives%2F896-Tor-0day-Finding-IP-Addresses.html
https://t.me/TorZireael1