Проект Tor представил (https://blog.torproject.org/new-release-onionshare-2) выпуск утилиты OnionShare 2 (https://onionshare.org/), позволяющей безопасно и анонимно передавать и получать файлы, а также организовать работу публичного файлообменника. Код проекта написан на языке Python и распространяется (https://github.com/micahflee/onionshare) под лицензий GPLv3. Готовые пакеты подготовлены (https://onionshare.org/#downloads) для Ubuntu, Fedora, Windows и macOS.OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, "http://ashmi4q4i7pajf2b.onion/test_file"). Для загрузки или отправки файлов достаточно открыть этот адрес в Tor Browser. В отличие от отправки файлов по email или через такие сервисы, как Google Drive, DropBox и WeTransfer, система OnionShare является самодостаточной, не требует обращения к внешним серверам и позволяет передать файл без посредников напрямую со своего компьютера.
От других участников обмена файлами не требуется установка OnionShare, достаточно обычного Tor Browser и одного экземпляра OnionShare у одного из пользователей. Для управления отдаваемыми и принимаемыми файлам, а также для контроля за передачей данных, на стороне запущенного на системе пользователя сервера предоставляется графический интерфейс.В новом выпуске:
- Добавлена возможность не те только отдавать свои файлы, но и принимать файлы других пользователей. Для загрузки файлов от других пользователей генерируется отдельный адрес;
- Реализован публичный режим работы, на основе которого можно не только передавать и получать конкретные файлы, но и организовать обмен произвольными файлами (адрес генерируется без привязки к файлам);
- Добавлена поддержка третьей версии (https://www.opennet.me/opennews/art.shtml?num=47878) протокола onion-сервисов;
- Реализован запуск версии для macOS в режиме sandbox-изоляции;- Обеспечена полная поддержка Tor-транспорта meek_lite (https://trac.torproject.org/projects/tor/wiki/doc/meek), существенно упрощающего подключение к tor в странах с жесткой цензурой. Для обхода блокировок используется проброс через облачную платформу Microsoft Azure;
- Добавлена возможность выбора языка интерфейса и реализован перевод на русский язык;
- Значительно переработана кодовая база проекта. Для контроля за качеством продукта релизовано unit-тестирование.
URL: https://blog.torproject.org/new-release-onionshare-2
Новость: https://www.opennet.me/opennews/art.shtml?num=50186
>> Для обхода блокировок используется проброс через облачную платформу Microsoft Azure;Вот такой вот локальный майкрософтокапец с веерными блокировками =)
ну о чем вы? Придет товарищ-майор, попросит - и мы выпилим эту возможность следом за гуглефлейрой.
А логи (где в козлячьем чудо протоколе отлично виден ваш исходящий ip, заметьте) передадим куда надо.
> где в козлячьем чудо протоколе отлично виден ваш исходящий ip, заметьтеПришел большой специалист по "The Onion Router" протоколам и открыл нам глаза на то, что в логах tor ноды хранятся исходящие ip.
Самое поразительное - вещает так уверенно, будто-бы хоть раз в глаза видел эти самые логи.
а вот кстати да, интересно: действительно ли тор передает оригинальный адрес в запросе к ресурсу?
Лолнет смысл луковицы тогда. Остается просто эмулятор лунных пингов.
https://habr.com/en/company/ua-hosting/blog/424187/>Итак, кем был этот парень? Он использовал «партизанский» почтовый сервис для разовой отправки электронных писем Guerilla Mail и отправил своё письмо через TOR.
>Но он не учёл то, что Guerilla Mail помещает оригинальный IP-адрес отправителя в заголовок письма. Например, если вы отправляете письмо из дома, то на нём будет указан IP-адрес вашего домашнего компьютера. На слайде показан пример, где я использовал свой почтовый ящик на irongeek.com, чтобы показать, как это работает. Этот парень подумал об анонимности и использовал TOR, поэтому в его письме был указан IP-адрес сервера TOR. Однако он не учёл, что все узлы TOR, за исключением «мостов», известны и находятся в открытом доступе – они приведены, например, на этом сайте torstatus.blutmagie.de, и легко можно определить, относится ли конкретный компьютер к сети TOR или нет. Если вы не используете «мост», очень легко отследить, кто и откуда присоединился к локальной сети Гарварда и использовал TOR в то время, когда было отправлено письмо с угрозами.Тогда я не понял на чем он там спалился? Т.е. ФБР просто прошерстили всех пользователей, который в этот момент имели соединение с каким-то из серверов тора и просто угадали отправителя?
>Одновременно с ним сетью TOR в то же время пользовались 10 студентов, и когда ФБР стало их всех допрашивать, то обнаружило против Кима достаточно улик и ему пришлось признаться в содеянном.На допросе он спалился. Дернули на допрос всех кто из локалки Гарварда к тору подключался. Все же по ссылке твоей расписано неплохо.
Да, действительно, ФБР часто приходится, как выразилимсь Вы и предыдущий оратор, допрашивать, шерстить и угадывать, так как ведомство, которое я имею честь возглавлять, в силу специфики своей работы, не всегда может предоставить коллегам из ФБР всю запрашиваемую ими информацию, даже в тех случаях, когда она имеется у нас в наличии.
У него почтовая программа типа outlook или thunderbird добавил заголовок x-forward-from: vasyans-home.dsl-pppoe.superprovider.com(88.77.66.5) прямо в тело письма, а потом тор переправил это письмо неиб@ться зашифрованным способом злоумышленнику.Раскрытие ip-адреса через проксируемый высокоуровневый протокол - самая частая ошибка пользователей TOR. Например, вы подключаетесь к web-серверу чере тор, но вместо http://drgjniosdf...onion/index.html открываете что-то вроде http://drgjniosdf...onion/about.html или внимательно анализируете автоматически вставленные сервером поля в тело html-страницы, а там опять-же встречается vasyans-home.dsl-pppoe.superprovider.com(88.77.66.5) - всё TOR пошел по п@зде
> Раскрытие ip-адреса через проксируемый высокоуровневый протокол - самая частая ошибка пользователей TOR.Это не ошибка это идиотизм. В тор нужно выходить из виртуального компьютера. Виртуалка не должна никак контактировать с реальным копьютером. [вирт комп1 тор клиент (браузер)] -> [вирт комп2 тор сервер].
для непонятливых - тор-то как раз не передает, для того и брали - но вот obfuscating proxy - ни разу, панимаишь, не тор. Это прямое соединение твой комп - хрень в azure. Потому что только так большой-китайский-хе...фиревалл и можно обойти.
Оно, разумеется, шифрованное, и китайский товарищ-майор не видит, что именно ты там передаешь.
Оно прикидывается вебней (для того и брали) - поэтому китайский товарищ-майор не видит и факта того, что нифига не за нашими котиками ты на наш сервер пришел.Мы - видим. И, разумеется, согласны на сотрудничество, зачем нам кусать кормящую руку-то?
При желании (на примере России):
- компании обязаны зарегестрировать в России юр.лицо. Это чтобы зарубежные санкции и суды не влияли на исполнение законов на территории РФ. Напр. если российский суд постановит рисовать Крым на картах российским, а американский - украинским, американская компания обязана исполнить американский закон, а российское юр.лицо - российские. Иначе заставить иностранную компанию исполнять российские законы нет- обязать компании установить свои сервера в России. Это можно сделать прикрывшись законом о персональных данных, которые не должны утекать за рубеж, законом о СМИ, или любым другим. Из положительного:
1. если интернет отключат из вне, то внутри страны всё продолжит работать: youtube продолжит показывать видео, на него можно будет загружать видео, и т.д.
2. одна из озвученных санкционных угром - отключение России от SWIFT, из-за чего перестанут работать все межбанковские переводы и оплата банковскими картами. Теперь сервера находятся в России и внутрироссийские платежи обрабатывают не передавая данных за рубеж. Также была создана платёжная система Мир, которая полностью контролируется Россией. Все выпускаемые карты кобрендинговые, т.е. даже карта MasterCard является кобрендинговой с Мир и внутри России в у Мир более высокий приоритет при обработке транзакций.- ограничить количество узлов подключения к внешнему интернету. Подобное реализовано в большинстве коммерческих компаний: сеть разделена на внутренний интранет с недоступными из вне корпоративными ресурсами, и внешний интернет, часть функционала которого (потоковое видео, соц.сети, ..) может быть заблокирована админами.
- запрет на передачу шифрованного трафика за рубеж и обратно. Каждый передача данных должна быть санкционирована ФСБ. Крупные компании, имеющие в России сервера, напр. Гугл, получит разрешение на передачу данных между своими серверами. Мелкие, видимо, уйдут с рынка, да и не жалко. Физ.лица потеряют возможность хостинга за рубежом, если хостинговая компания не озаботиться созданием дочки и установки серверов в России.
Условный Телеграм зарегестрирован за рубежом и не обязан исполнять российские законы, при этом большинство его аудитории находится в России и он зарабатывает на ней деньги. Сейчас прижучить их невозможно, но после того как будет реализовано всё вышеописанное, Телеграм можно будет заставить исполнять на территории России российские законы. И попытки мимикрирования под трафик Azure, Google и прочих больше не прокатит: боясь блокировки в России они не станут передавать через свои идующие за рубеж каналы чужие данные. В Китае Google заблокировали, отключив от рекламных доходов на самом быстрорастущем рынке мира, другие компании (в т.ч. в других странах) теперь более охотно идут на контакты с властями.
В Китае, к слову, пошли другим путём: они ограничили пропускную способность канала в/из страны и в случае чего могут полностью отключить страну от внешнего интернета, но они не требуют размещения серверов иностранных компаний на своей территории и не требуют создания дочек для иностранных компаний, предпочитая вместо этого давать преференции своим компаниям, чтобы они создавали конкурентов и захватывали сначала Китай, а потом и весь мир.
>при этом большинство его аудитории находится в России и он зарабатывает на ней деньги.Это вы telegram с vcuntakte перепутали.
Этоже называется Ханипот.
> товарищ-майор не видит и факта того, что нифига не за нашими котиками ты на наш сервер пришел.
> Мы - видим. И, разумеется, согласны на сотрудничествоВы видите, что (наверное) не за котиками, но не видите — за чем. После вас — луковичная маршрутизация. Стало быть, передавать майору особо нечего. Такой-то IP использовал сеть Tor тогда-то, на этом всё. Теоретически можно ещё объём траффика посчитать. Настолько общие сведения были бы у майора и без meek.
так они майору сдадут просто список конечных пользователей тора, без кто куда и зачем.
А флешечка с cp у майора своя есть, он ее им сам и принесет, и "найдет" при обыске. Ну или просто паяльник - и все сами расскажут зачем им был тор.это у фебере какие-то странные методы с непременным требованием найти виноватого. А у майора - план по отлову. У китайского побольше, у нашего поскромнее.
> Настолько общие сведения были бы у майора и без meek.
без ему надо стараться по косвенным признакам детектить - а тут всех на блюдечке принесут.
> без ему надо стараться по косвенным признакам детектить - а тут всех на блюдечке принесут.Лол, что ты несешь? У майора и провайдера на блюдечке есть инфа о том, что какие юзеры когда подключались к тору. Это косвенные признаки? Тогда и инфа от MS Azure такая же косвенная, полностью идентичная.
Выкинь из головы кашу про то, что западные сервисы облегчают майорам работу, а без них бы сосали лапу.
> Лол, что ты несешь? У майора и провайдера на блюдечке есть инфа о том, что какие юзеры когда
> подключались к тору.через дев-атcpал полученная?
у майора и провайдера при использовании тобой meek есть инфа, что ты лазил на васянсайтик хостящийся где-то в azure, православнейшим https.
Не то чтобы совсем уж нельзя было отличить, но зачем им тратиться, когда можно просто попросить?
Там не откажут.
Эффект Даннинга — Крюгера, сэр.
> организовать анонимую передачу сведений журналистам и правозащитникамFake News одобряют.
> Fake NewsНа fake agent фапал, на fake agent тоже передергивал. А вот это что-то новенькое!
Для них и делают.
А то кто-то ещё верит что другие заинтересованны дело в анонимности и защищённости их жизни. Если вы что-то получаете бесплатно, значит товар — вы.
а им зачем, они же прямо на рабочем месте из пальца высасывают (или с потолка берут?)
Затем, что опубликовав свои контакты в OnionShare 2, "Служба новостей" может делать вид, что высосанные из пальца сюжеты присланы анонимными активистами.
как будто они не могут делать вид, ничего никуда не публикуя?
Отличная новость!
Защищенный и при этом на Python? Что то не так в консерватории.
Python не использует указатели и адресную арифметику. В этом смысле, может оказаться даже безопасней Rust.
Решил затестить, погонять сам себе файлы через нее. На прием (из торбраузера в клиент) файлы передались. А вот обратно - клиент крэшнулся:( Причем крэш стабильный, два раза пробовал.
Ну и замеченные неудобства.
* крайне неочевидно, почему в "режиме приема" исчезает вкладка "отправка", а в режиме отправки - вкладка "прием". Юзкейс одновременной отправки и приема не предусмотрен? Было бы лучше, если бы создавалась просто некая общая шара в торе, куда можно и закачивать и скачивать.
* когда выбран режим, изменение настроек уже недоступно
* при смене режима старые url-адреса становятся недействительными, хотя программу я еще не закрывал. Ну наверное так задумано, но неудобно.
> просто некая общая шара в тореНу подними ты Nextcloud с доступом через .onion, подними sftp, подними smb, бляха-муха. Все что работает по tcp ты можешь пробросить через тор одной строчкой в /etc/tor/torrc. У меня вот одна из домашних Orange Pi доступна по ssh используя .onion-псевдодомен, например.
>...onion-псевдодомен...т.е. Вы это псевдо-домен купили?
Или есть (не найденная мной) возможность бесплатной регистрации union-домена?
Рандомный генерируется просто самим демоном tor, с заданным словом можно подобрать ключ при помощи https://github.com/lachesis/scallion (есть еще работающий на CPU, но он может годами подбирать)
Вот, например, opennetfwhh2wwb4.onion сгенерил меньше чем за минуту.
Так имеется же.
Можно сказать условно-бесплатная, ибо на домашних мощностях за приемлемое время возможно только первые 5-6 букв домена сгенерировать, а дальше будет рандом.
Тем не менее, это позволяет легко генерить домены, вида thisatest5hg45fgtr7.onion..
Можно и больше значимых символов нагенерить. Но уже за деньги на фермах - есть соответствующие сервисы....
> только первые 5-6 букв домена сгенерировать, а дальше будет рандом.opennet это уже 7 букв и я выше написал, что получилось с ним в начале адреса подобрать на моем десктопе за минуту. Думаю, что если вместо моей убогой 1060 6Gb будет скажем 1080, то и на 10 букв будут подбираться за минуту-другую
>Проект Tor
>>GPLv3чего это они? они же бсдюки по жизни.
"позволяющей безопасно и анонимно передавать и получать файлы" - еще остались те кто в современном мире еще верит в подобную чущь ?
я верю. Вот вчера подбросил флэшку (тщательно стерев отпечатки платочком) на стол в соседней конторе. Камер вроде нет - анонимно. Никто не спалил - безопасно.
Вернули потом или как обычно?
эээ... как они ее вернут, если никто не спалил? Нет уж, нет уж - не моя, и даже не похожа. Сами потом объясняют пусть товарищмайору, откуда у них такие файлы.
>где slug - два случайных слова для усиления защиты
>grit-unpainted
>// chosen by fair dice roll.
>// guaranteed to be random.
Еще одна дырка для ворования кукишей и файлов пользователя