暗网技术

微软云彻底禁止域前置技术,Tor项目删除内置网桥meek azure

暗网技术
随着Microsoft Azure彻底禁止域前置,Tor项目在3周前从源代码库删除内置的meek azure网桥,它被另一个CDN77上的meek网桥替代。在2025年2月7日Tor浏览器14.0.6版本的更新公告中,Tor项目表示已经从内置网桥中删除了meek azure。域前置是什么技术?Tor官方为什么要删除meek azure网桥?“暗网下/AWX”搜索了一些技术资料,详解了域前置技术以及微软云政策变化带来的Tor项目的被动改变。 TLS存在主机名泄露的问题 TLS是SSL的后继者,是一种加密协议,旨在为应用程序之间提供完整性和隐私性。TLS最常见的用途是在HTTPS中,即TLS上的HTTP(或SSL)。借助TLS,两个端点可以通过互联网建立通信,从而防止窃听者观察、修改或伪造它们之间的消息。 TLS协议的最新版本是TLS 1.3,于2018年获得批准。TLS1.3包含非常重要的变化;最重要的是,它删除了2018年不应使用的旧的、弃用的和不安全的加密套件,并且还附带了加速功能,例如TLS False start和0-RTT。它还强制使用称为服务器名称指示(SNI)的扩展,这是RFC4366中最初提出的扩展之一,早在2006年就已编写。 确实有充分的理由说明为什么需要SNI,但SNI也有一个重大缺点。SNI会在建立每个TLS 1.3连接时泄露主机名。 域前置技术 域前置是一种混淆TLS连接的SNI字段的技术,可有效隐藏连接的目标域。它需要找到一个托管提供商或CDN,该提供商或CDN拥有支持多个目标域(称为SAN,主题备用名称)的证书。其中一个域将是客户端想要在SNI字段中建立连接时假装定位的常用域,另一个域是连接和后续HTTP请求的实际目标。 Tor项目的解释:域前置是一种可插入式传输,使用该技术后,Tor流量看似在与难以阻止的第三方(如Amazon或Google)通信,但实际上却是在与Tor中继通信。 可插拔传输:meek 2014年8月14日,Tor项目宣布发布Meek可插拔传输。Meek使用域前置将目标桥接中继隐藏在非常受欢迎的域后面。例如,它可以使用google.com作为xyz-meek-relay.appspot.com的掩护。 这样就可以在大型云(例如Google App Engine、Amazon CloudFront/EC2和Microsoft Azure)上创建温和桥接中继,将实际目标主机名隐藏在google.com、amazon.com或各种静态资产CDN等域后面。 对于某些高风险国家的Tor用户来说,域前置无异于一场革命。它使Tor流量看起来与正常的HTTPS完全相同。封锁meek的副作用对于大多数审查者来说都是代价高昂的,在一个国家部分或全部封锁Akamai/Amazon/Google并不是一个不会被忽视的行为。 域前置技术被滥用后云厂商选择封锁该功能 2017年3月27日,Mandiant/FireEye发布报告称,他们发现俄罗斯国家支持的APT29黑客组织至少两年来一直使用域名前置技术。在此期间,域名前置技术在网络安全社区中引起了广泛关注。 因此,谷歌悄悄地在其基础设施上关闭了域名前置功能。紧接着,亚马逊也效仿了这一做法,封锁了域名前置功能。Google和Amazon均关闭域名前置功能后,Tor的Meek网桥再也无法在这些CDN上使用,因此转向了微软的Azure云。 在亚马逊加入谷歌封锁域名前端的一周后,Tor项目发布了新的博文“域前置对开放网络至关重要”,这是一篇论述域前置技术对互联网隐私的重要性的论文,并详细介绍了向Microsoft Azure的转变。 Microsoft Azure彻底禁止域前置 微软在4年前也宣布他们对域前置的反对立场,声称“作为一家致力于为善提供技术的公司…支持支持自由和开放沟通的某些用例是一个重要的考虑因素。然而域前置也受到从事非法活动的不良行为者和威胁行为者的滥用…在某些情况下,不良行为者会配置他们的Azure服务来实现这一点…我们正在改变我们的政策,以确保在Azure中停止和阻止域前置。” 在多次通知和警告之后,达摩克利斯之剑终于落下。微软去年底通知用户,旧的Azure CDN将于2025年1月15日终止,建议用户迁移到类似Azure Front Door服务。在新的Azure Front Door服务下,用户只能得到唯一的专有域名,如snowflake-broker-hadmaqbnc4dmcffs.z03.azurefd.net,有效地阻止了利用域前置的可能性。 2024年2月1日,Azure CDN彻底停止域前置的工作。

为什么不应该使用Brave浏览器访问暗网

工具, 暗网技术
Brave是一款免费的开源网络浏览器,它可以让你在不使用Tor浏览器的情况下浏览暗网。虽然这听起来像是进入暗网的一个方便的选择,但它并不是官方的、久经考验的方法的良好替代品。 一、Brave浏览器不是为了匿名而建的 Brave的桌面版本提供了一种通过“使用Tor的私人窗口”设置浏览暗网的方法。此功能会在浏览器中打开一个新窗口,让你能够通过Tor网络运行的代理访问暗网。 Brave是一款注重隐私的网络浏览器。而Tor浏览器则是为匿名浏览暗网而设计的。 隐私和匿名是两个经常混淆的术语,但它们是不同的。本质上,Tor通过删除数字指纹信息、加密数据并通过全球多个中继发送匿名互联网流量来掩盖用户的身份。但是,Brave默认不会删除用户的身份信息。因此,通过Brave中的Tor代理浏览暗网比仅仅使用Tor浏览器更引人注目。 虽然Brave非常适合大多数隐私爱好者使用,但与Tor浏览器相比,它在保持完全匿名方面做得并不好。 二、Brave浏览的Tor功能非常有限 Brave主要用于浏览明网(搜索引擎索引的公共、常规互联网部分)。其Tor模式是后来作为辅助功能推出的,但并非核心重点。过去,该浏览器曾出现过一个问题,即用户的暗网浏览历史会暴露给互联网服务提供商(ISP)。虽然这个问题早已解决,但还是建议用户使用Tor项目官方的Tor浏览器,以获得最大的安全性和隐私性。 Brave的指纹保护不如Tor浏览器有效。使用一款开源工具CreepJS(用于检查设备在网上的可识别程度)进行测试可以发现,在使用Tor浏览器的时候,该工具仅仅可以识别浏览器信息,并大致确定用户使用的操作系统,但几乎没有透露其他信息。但是,使用Brave的Tor私人窗口时,CreepJS发现了更多详细信息,包括用户所在的时区、确切的操作系统、GPU和屏幕分辨率。 虽然这些信息看起来可能不是很敏感,但恶意行为者可以结合这些信息在各个网站上进行跟踪,就像cookie的工作方式一样。Tor通过为所有用户标准化用户代理字符串、屏幕尺寸和字体来降低这种风险。如果每个人看起来都一模一样,就很难发现个人。 一般不建议使用Brave这样的单一浏览器同时进行明网和暗网活动。Brave的正常浏览窗口和Tor窗口看起来非常相似。可能会发生错误,并且有可能将敏感数据暴露给恶意行为者。 三、Brave浏览器官方也推荐使用Tor浏览器实现完全匿名 “暗网下/AWX”注意到,使用Tor浏览器而不是Brave浏览器的另一个主要原因可能是,Brave公司本身也向“个人安全取决于保持匿名”的用户推荐使用Tor浏览器。由于Brave不包含Tor浏览器的所有隐私保护,因此很难保证浏览器具有相同级别的匿名性。 因此,如果用户需要安全匿名地浏览暗网,强烈推荐使用Tor浏览器。它专注于保护用户的身份,用户的互联网活动(以及在暗网内的活动)完全被掩盖。它也是跨平台的、易于安装的,并且非常易于使用。 当然,如果用户不介意在浏览暗网时暴露一些身份信息,Brave仍是一个不错的选择。例如,如果只是在查看或研究某个暗网页面。但是,如果需要更多隐私和匿名,Tor浏览器是更好的选择。 如果一定要使用Brave浏览器,为了获得更多保护,请考虑在“设置”>“屏蔽”下打开“阻止指纹识别”,安装NoScript附加组件,并在Tor模式开启时使用其他浏览器进行明网访问。

针对Tor节点的IP欺骗正在摧毁Tor网络,Tor官方称已经成功处置

Tor官方动态, 暗网动态, 暗网技术
11月6日,X用户Andrew Morris(@Andrew___Morris)发布推文称,有人正在攻击Tor,而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址,并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉,然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。 Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are… — Andrew Morris (@Andrew___Morris) November 6, 2024 目前,Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉:https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击,他正在与合作伙伴合作,以三角测量这些流量的真正来源,然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站:r00t[.]monster,并给出了社区报告的参考: https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85 https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html 11月8日,Tor官方在博客做出回复,称正在保卫Tor网络,号召社区共同努力,减少针对Tor的IP欺骗。 Tor官方称,10月底,Tor目录管理机构、中继运营者,甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击,攻击者欺骗非出口中继和其他Tor相关IP,以触发滥用报告,目的是破坏Tor项目和Tor网络。

德国警方判处CSAM暗网管理员有罪后,Tor项目坚称Tor网络是安全的

其他国家动态, 暗网动态, 暗网技术
2021年,德国当局通过对Tor用户进行去匿名化,捣毁了臭名昭著的CSAM暗网平台Boystown。随着执法部门打击暗网上的犯罪活动,这一突破引发了人们对Tor隐私的担忧。 根据NDR的报告,德国当局对Tor(一个专为匿名而设计的网络)用户的去匿名化能力在这次行动的成功中发挥了至关重要的作用。通过监视特定的Tor节点,他们识别了访问该网站的用户。 然而,尽管Tor项目坚称其网络仍然安全,但此类突破引发了人们对Tor匿名功能安全性的担忧。Tor项目在其博客文章中承认,他们已经注意到NDR报告中的说法。然而,该组织还表示,它尚未收到德国当局提供的概念验证(PoC)或独立验证这些说法的文件。 另外,德国新闻杂志节目《全景》(Panorama)和YouTube调查新闻频道STRG_F也报道称,德国联邦刑事警察局(BKA)和法兰克福总检察长办公室在进行网络监控后,成功识别出至少一名Tor用户。 报道提到,“时序分析”是识别Tor用户的关键。该报道指出”尽管Tor网络中的数据连接经过了多次加密,但通过对单个数据包进行计时分析,可以追溯到Tor用户的匿名连接。“——但遗憾的是,报道没有解释该技术的工作原理。 Tor通过将用户的流量路由到所谓的暗网节点,从而掩藏混淆连接的真实来源,最终为其网络用户提供增强的匿名性。发送到Tor的流量经过层层加密,首先到达一个“入口”或“守卫”节点。然后,流量通过随机选择的至少三台服务器(也称为“中继”)中跳转,然后通过“出口节点”返回公共网络或连接到.onion服务。这一过程隐藏了连接的来源,使得仅从特定用户的网络流量观察其上网行为变得更加困难。 正如“时序分析”方法所建议的那样,观察长期使用趋势可能会削弱Tor的效力,因为它会为观察者提供有关向网络发送流量的用户的线索。举例来说,从本质上讲,有人可以向Tor网络添加节点,并记录下观察到的数据包进入和看到的数据包流出的时间。一段时间后,这些时间可能会帮助找出谁在连接特定的.onion服务。 欧洲著名黑客组织”混沌计算机俱乐部“(CCC)的发言人马蒂亚斯·马克斯(Matthias Marx)向新闻媒体提供了现有证据(记者获得的文件和其他信息),证实了这一方法的可信度,“这些证据强烈表明,执法部门多年来曾多次并成功地对选定的Tor用户实施时序分析攻击,以查出他们的匿名身份。” Tor项目承认,尽管向记者索要了所有相关文件,但并未看到所有相关文件。Tor项目认为,德国警方之所以能够揭露Tor用户的身份,是因为该用户使用了过时的软件,而不是警方利用了一些未知的漏洞或类似的东西。 德国的报道称,在对一名名为“Andres G”的个人进行调查时使用了时序分析攻击,此人涉嫌运营名为”Boystown“的.onion暗网网站,该网站提供儿童性虐待材料(CSAM)。 据称,“Andres G”使用了匿名消息应用程序Ricochet,该应用程序通过Tor在发送者和接收者之间传递数据。更具体地说,据说他使用的聊天程序版本未能保护其Tor连接免受警方使用的基于时间的去匿名化方法攻击的影响。 报道称,德国当局获得了运营商西班牙电信公司(Telefónica)的合作支持,该公司提供了所有连接到已知Tor节点的O2用户的数据。通过将这些信息与Tor计时信息的观察结果相匹配,当局得以识别“Andres G”的真实身份,他于2022年在北莱茵-威斯特法伦州被捕、被指控、定罪并被判入狱多年。 Tor辩称,这种方法并不表明其服务存在缺陷。 该组织反而提出了一种理论,即“Andres G”使用不安全的Ricochet导致“守卫”节点被发现从而被抓获。简而言之,这意味着警察能够找出他用来通过Tor网络发送数据的入口或“守卫”节点。警方可以要求西班牙电信公司列出与该“守卫”节点连接的用户名单,并推断出Tor用户的身份。 Tor声称“Andres G”可能使用了旧版Ricochet,该版本不包含针对此类攻击的保护措施。Tor的文章指出:“自2022年6月发布3.0.12版以来,这种保护就存在于Ricochet-Refresh中,它是早已经不维护的Ricochet项目的一个维护分支。” EFF高级技术专家Bill Budington称:“为了对流量进行时序分析,你确实需要攻陷一个守卫节点,因为它是Tor网络中的第一个节点,可以看到用户的IP地址。”如果不能直接攻陷守卫节点,就可以获取网络时序来完成监视。 Tor用户担心网络可能会被警方控制的节点淹没,从而影响匿名性。但要做到这一点,所需的节点数量将非常庞大。Tor项目承认,出口节点的部署数量有所增加,最近已超过 2000 个,但声称这并不值得担心。 Tor公关总监Pavel Zoneff表示:“声称Tor网络‘不健康’的说法完全不是事实。” “网络健康团队已经实施了相关流程,以识别可能存在的、疑似由单一运营商和不良行为者管理的大型中继群组,并不允许它们加入网络。因此,它标记了大量需要清除的不良中继站,这些中继站随后被目录管理机构禁止。其中许多可能对用户没有真正的威胁。”他说。 Tor项目还呼吁帮助了解警方的具体做法。“我们需要有关此案的更多细节,”该团队表示。“在缺乏事实的情况下,我们很难向Tor社区、中继运营商和用户发布任何官方指导或负责任的披露。” 现在的信息是:“不要惊慌。” 德国当局捣毁了臭名昭著的CSAM暗网平台Boystown 德国当局与多家国际执法机构合作,成功捣毁了臭名昭著的暗网平台“Boystown”,该平台专门发布儿童性虐待内容(CSAM)。这件事发生在2021年4月,但直到现在才披露其细节。更疯狂的是,据德国媒体报道,当局成功使参与CSAM网站的Tor用户匿名化,并成功逮捕了他们。 该网站自2019年起运营,拥有超过40万注册用户,并实施了一些最严重的虐待行为,许多受害者都是男孩。德国联邦刑事警察局在欧洲刑警组织以及荷兰、美国、加拿大和其他几个国家的机构的支持下领导了这次行动。 Boystown的管理员三名德国男子被捕,第四名嫌疑人在巴拉圭被拘留,德国已要求引渡。这些人帮助用户逃避侦查,同时协助传播非法内容。 该平台于2021年4月被关闭,其聊天室也被拆除。这次国际行动对涉及CSAM的非法暗网活动进行了重大打击。

暗网论坛Dread总结的暗网简史:2008-2024

暗网技术
三天前,暗网论坛Dread的网友PM_ME_YOUR_APPLAUSES发布了一篇相当神奇、令人惊叹的帖子”A Summary of the Dark Web: 2008-2024“,这篇文章整理了暗网与加密货币的前世今生,总结了从2008年到2024年以来暗网的发展史,是名副其实的暗网简史。”暗网下/AWX“对该帖子进行了翻译整体,与公众分享。 2008年之前:暗网雏形 暗网的概念还很模糊,匿名网络(如 Tor)主要用于活动人士和记者之间交流,非法交易分散且原始。 尽管如此,一些私密的暗网论坛用于毒品买卖,这些论坛大多位于明网上,需要邀请和登录才能访问,是今天暗网市场的早期雏形。 这些论坛的用户招募主要通过公开的明网毒品讨论区进行,凸显了早期社区形成阶段的特征,这将定义暗网未来的基础设施。 2008年:潜力萌发 10月:中本聪(Satoshi Nakamoto)发表比特币白皮书。 1月:比特币网络上线,创世区块被挖出。 比特币的诞生,一种无法追踪的数字货币,结合 Tor 网络,奠定了暗网经济支柱的基础。早期采用者看到了其中的潜力,而大多数人只看到了混乱。在这一奠基之年,一些明网上的私人论坛开始运营,为特定社区提供毒品交易。这些论坛需要邀请和登录,是后来更加结构化的暗网市场的先驱。招募用户主要通过公开的毒品讨论区进行,凸显了早期隐蔽的网络构建,这将定义暗网的演变。 2009年:奠基与试验 1月:中本聪和哈尔·芬尼 (Hal Finney) 之间发生首次比特币交易。 12月:首个比特币交易所 – BitcoinMarket.com 成立。 密码学爱好者们开始尝试,构思隐藏的在线市场。论坛上充斥着各种理论,早期尝试匿名交易屡屡受挫,但每一次失败都带来了宝贵的经验教训。暗网的金融基础设施正在奠基,比特币逐渐引起数字隐私倡导者的关注。这一年标志着比特币发展的重要技术进步,为其未来成为暗网交易的主要货币奠定了基础。 2010年:接近关键时刻 5月: Laszlo Hanyecz 用 10,000 个比特币购买了两个披萨,这是首个现实世界中的比特币交易。 6月:丝绸之路 (Silk Road) 原型开始开发。 7月:维基解密 (WikiLeaks) 开始接受比特币捐赠。 2010年 – 2012 年: 农民市场 (The Farmers Market) 最初是一个明网论坛,后来转型为暗网洋葱服务 (onion service)。 2010 年: OVDB,一个带有供应商的公共暗网洋葱论坛创立了,但是很短命。 影响当时局势的因素包括评价毒品供应商的 feeder 网站、在线药房论坛和博客。在丝绸之路建立之前,比特币在这些圈子里不被广泛认可或信任,当时的支付方式包括以“数字黄金货币”为中心的中心化服务(例如 e-gold、Liberty Reserve 和 Pecunix),以及西联汇款、速汇金和现金邮寄。此外,GreenDot MoneyPak 也是一种流行的支付方式,直到监管法规的改变使其不再适用。比特币的潜力开始被更广泛地讨论,为其未来的突出地位奠定了基础。只有随着丝绸之路的出现,比特币才开始在暗网用户中获得关注,从一种鲜为人知的数字货币转变为暗网上进行匿名交易的首选方式。隐藏、安全的市场愿景进一步清晰化。暗网社区的试验暗示着即将到来的巨大颠覆。此外,“神奇花园” (The Majestic Garden) 论坛在这个环境中广为人知,这是一个半私密的平台,定期向新成员开放。它培养了一个喜欢迷幻剂 (LSD)、二甲基色胺 (DMT)、摇头丸 (MDMA)、蘑菇 和 杂草 等物质的精神探索者社区。它没有使用担保服务,完全依赖用户之间的信任,凸显了暗网社区构建的一个独特方面。

网传Tor浏览器的网桥WebTunnel存在被流量识别问题

暗网技术, 独家报道
近日,有网友向“暗网下/AWX”表示,Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题,原因是: 一是传输的TLS是Go语言的crypto/tls库。通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。 二是大多数用于WebTunnel网桥的服务器普遍使用Nginx。Nginx服务器未配置的情况下会出现默认页面,并没有任何伪装,很容易被识别。 Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题: 一、传输的TLS是Go语言的crypto/tls库。我们通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。 […] pic.twitter.com/TCPjb8STmO — 稀神サグメ⭐️ @[email protected] (@kishinsagi) March 10, 2024 该网友建议的解决办法是换用比较规范的Rust,其TLS Client Hello长度达到517字节。或直接使用C语言的TLS库,如Chromium的tls.h,以达到伪装浏览器流量的目的。 该网友还建议将crypto/tls库替换为uTLS亦可缓解此TLS指纹。uTLS 是“crypto/tls”的一个分支,它提供了 ClientHello 指纹识别、握手的低级访问、伪造会话票证和一些其他功能。握手仍然由“crypto/tls”执行,该库仅更改其中的 ClientHello 部分并提供低级访问。 tls.go的代码: package tls import ( “crypto/tls” “errors” “net” ) type Config struct { ServerName string } func NewTLSTransport(config *Config) (Transport, error) { return Transport{kind: “tls”, serverName: config.ServerName}, nil } type Transport struct { kind string serverName string } func (t Transport) Client(conn net.

Tor(暗网)简介和教程

工具, 暗网技术
本文源自“暗网下/AWX”官方Telegram群组成员@DepressedLeslieAlexander,从技术上介绍了Tor的实现原理、如何连接到Tor,以及访问暗网的注意事项与认知误区。 概述 Tor是实现匿名通信的自由软件,由美国非盈利组织The Tor Project, Inc开发与维护。其名源于“The Onion Router”(洋葱路由)的英语缩写。用户可透过Tor接达由全球志愿者免费提供,包含7500多个中继的覆盖网络,从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动(包括浏览在线网站、帖子以及即时消息等通信形式)相对较难追踪。Tor的设计原意在于保障用户的个人隐私,以及不受监控地进行秘密通信的自由和能力。 Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点,这三个节点分别叫做入口节点(Guard relay)、中间节点(Middle relay)和出口节点(Exit relay)。在网络连接的应用层,数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层,而三个中继各自解密一层,这样它们就能知道接下来把数据传送给谁。在这种情况下,数据就像剥洋葱一样被一层一层地解密,所以被称为“洋葱路由”。最后的出口节点会解密最内层的加密数据并得到真实的数据内容,并把它传送给目标地址。出口节点虽然知道真正的数据内容,但是它只知道上一个中继节点的地址,并不知道数据最初的发送者是谁,从而保证了数据发送者的安全。相对应地,入口节点仅知晓用户的IP地址而无法得知其访问的网站,而中间节点既无法得知IP地址也无法得知用户所访问的内容。 Tor 通过Tor浏览器来保护你的互联网活动 洋葱服务-暗网(Hidden Service) 在Tor的网络世界中,有一些以.onion顶级域名结尾的网址,这些网站就是我们所熟知的洋葱服务,也就是我们所熟知的暗网。这类网站通常只能通过Tor来进行访问,因此保证了访问者的匿名性。通常我们所熟知的暗网都是黑暗内容,例如色情、血腥暴力、恐怖主义、毒品交易、人口贩卖、黑客服务等违法信息,但Tor的设计初衷绝不是这样的,它的宗旨是保护普通人的隐私,例如为记者、政治活动家、以及追求安全匿名的用户提供服务。 Tor Tor 的使命是通过免费开源技术促进人权,使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的,我们谴责滥用和利用我们的技术进行犯罪活动。 重要的是要理解,犯罪意图在于个人,而不在于他们使用的工具。 就像其他广泛使用的技术一样,Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择,将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时,Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪,并可供执法部门用来调查犯罪并帮助支持幸存者。 Tor Hidden Services 如何连接到Tor 通常情况下,你只需要前往官网(https://support.torproject.org/zh-CN)下载并安装基于Tor的Tor浏览器(Mozilla Firefox的分支),启动后点击连接即可连接至Tor网络。 审查 当然,许多国家对Tor网络进行封锁,例如俄罗斯、伊朗等国家,想在这些国家使用Tor,您可能需要进行额外的配置。您可能需要其他方法下载Tor浏览器并且需要为Tor添加可插拔传输层(网桥)。 其他下载Tor浏览器的方法 如果你无法通过我们的网站下载 Tor浏览器,你可以通过 GetTor 获取一份 Tor 浏览器的副本。 GetTor 是一项通过不同方式自动回复最新版 Tor 浏览器下载链接的服务。这些链接由不同处所托管,例如 Dropbox 、Google Drive 和 GitHub. 可以通过邮件或者 Telegram 自动程序https://t.me/gettor_bot请求。 可以从 https://tor.eff.org 或者 https://tor.calyxinstitute.org/下载 Tor 浏览器。 给 [email protected] 发送一封电子邮件 在邮件的正文中,写上你的操作系统的名称(如 Windows 、macOS 或 Linux)。 GetTor 将回复一封电子邮件,其中包含 Tor 浏览器的下载链接、加密签名(用于验证下载的文件)、用于签名的密钥指纹以及软件包的校验和。 你也许需要选择“32 位”或“64 位”版本:这和你的电脑有关,你可能需要查阅你电脑的说明书或与制造商联系来了解更多信息。

从追踪暗网上网络犯罪的演变中汲取的经验教训

暗网技术
互联网的一个隐藏部分被称为“暗网”,它不可见,也无法使用标准搜索引擎进行搜索。与互联网非常相似,暗网也是一个由商业网站和市场组成的生态系统。不同的是,这些网站通常销售非法、禁止或具有攻击性的产品和服务。 暗网起源 暗网的起源可以追溯到20世纪80年代末和90年代的前互联网时代,当时公告板系统(BBS)非常流行。BBS是一个在线论坛,用户社区可以在其中以匿名方式讨论一系列主题(从在线游戏、汽车、书籍和当地活动到色情和黑客服务)。 明网、深网和暗网 到21世纪初,互联网在社会中根深蒂固之后,人们开始区分明网、深网(深层网络)和暗网。明网(或表面)是开放的互联网,任何人都可以通过搜索引擎访问其内容。深网由在线论坛和个人网站、企业网站组成,这些网站要么没有索引,要么只能通过用户名和密码访问。 接着第三层网络也开始出现了,称为Tor(“洋葱路由器”),这项技术最初由美国海军研究实验室开发,用于确保互联网上的匿名通信。Tor向普通用户公开,在网上冲浪时提供匿名性和隐私性。接下来,Tor网络开始托管更多内容,从版权材料到私人电子邮件和消息系统,再到销售各种非法和违禁商品的商店,其中最著名的黑市是丝绸之路(silkroad)。 加密货币点燃暗网经济 一旦有犯罪倾向的个人在互联网上拥有安全的通信和匿名存在,这种地下经济的第三条腿就出现了,就像预先策划好的一样:区块链和加密货币。在出现大量代币和加密货币之前,曾出现过匿名数字货币,如自由储备(Liberty Reserve)。然而,调查人员能够通过追踪非法资金流向的最终目的地,成功逮捕了犯罪者。 加密货币交易记录在公共分类账(区块链)上,具有极高的匿名性,并且在没有联邦保险银行等任何管理机构的情况下是去中心化的。迄今为止,针对暗网上使用较多的门罗币(Monero,XMR),执法部门很难干预不可逆转的加密货币交易,也很难识别和逮捕参与非法交易和盗窃的人。 网络犯罪民主化 经验丰富的攻击者和网络犯罪集团意识到,他们可以通过提供平台、工具和专业知识来获得更多利润,从而催生了网络犯罪即服务模式。出现了专门的暗网服务提供商,例如僵尸网络管理员、初始访问经纪人、恶意软件开发人员、勒索组织附属机构、谈判代理人、洗钱者和人工智能专家。有些出售凭据,有些提供网络钓鱼工具包,有些提供模仿受害者环境的工具,等等。 如今,暗网是一个价值数十亿美元的地下市场,网络卡特尔、勒索软件团伙、黑客活动分子和民族国家背景的威胁行为者正在这里积极运作、发展和重塑自我。 如何提高对暗网威胁的防御能力 以下是企业可以采取的加强防御的一些建议: 1、采用网络安全系统,而不是孤立的产品。 网络安全事件不是一步发生的。这是攻击者成功入侵或渗透组织的一系列步骤的最终结果,许多都是通过“网络杀伤链”(Cyber Kill Chain)或MITRE ATT&CK一步一步地传达。每个步骤或足迹都是企业进行自我保护、防止网络钓鱼、阻止恶意软件执行或检测权限提升的机会。SASE或XDR等集成系统可以提供协调的防御响应。 2、利用人类威胁情报。 人类威胁情报并不意味着要像执法机构那样实际追踪威胁行为者。它是指登录地下论坛、建立个人档案并模仿威胁行为者的行为(而不犯罪),足以让他们相信你是他们中的一员。您想要充分了解他们在销售什么以及正在讨论什么,以便组织可以制定对策。如果恶意行为者渗透进来,请利用威胁情报更好地了解攻击情况,并识别被盗的数据或哪些计算机受到感染。 3、培训员工队伍。 人类的直觉很强大,尤其在早期发现网络攻击方面的力量不可低估。对员工进行安全意识培训有助于在网上交易时建立一种持怀疑态度的文化。必须让员工了解暗网的危险以及处理高风险数据和凭证的责任。部署零信任环境,以减轻内部威胁,并保证在凭证遭到泄露时,防止攻击者可以进行横向移动。 4、明确安全目标。 在与暗网威胁研究人员合作时,公司往往不清楚自己的安全目标。这意味着他们没有明确定义需要保护和监控哪些资产。因此,威胁研究人员经常采用黑盒方法,识别他们认为需要监控的重要资产,而不是从客户那里获得高价值资产的具体清单。公司必须向研究人员提供明确的指示,因为这样才能获得更多可操作的信息。可操作的信息越多,安全团队就越灵活、越高效。 最后的思考 已经2024年了,展望未来,暗网将不断发展,网络犯罪将愈演愈烈。然而,暗网也带来了机遇,尤其是对网络安全而言——一个研究威胁行为者并了解他们的活动、了解人工智能驱动的威胁并改进网络安全缓解措施的机会。

非营利网络安全咨询公司对Tor开展代码审计,发现了17个安全漏洞

Tor官方动态, 暗网动态, 暗网技术
近日,Tor官方发布公告称,Radially Open Security完成Tor项目的代码审计。针对Tor匿名网络的多个组件的全面代码安全审计发现了十多个漏洞,其中包括一个被归类为“高风险”的问题。 这项审计由非营利网络安全咨询公司Radiically Open Security在2023年4月至8月期间进行,涵盖了Tor浏览器、出口中继、暴露的服务、基础设施以及测试和分析工具。评估结果已经于本周公布。 根据Tor博客发布的公告,本次代码审计重点关注Tor生态系统的几个组成部分: Tor浏览器和安卓版Tor浏览器; 出口中继器(Tor核心); 公开服务(度量服务器、SWBS、Onionoo API); 基础设施组件(监控和警报)以及测试/归档工具。 此次审计是一项水晶盒(白盒)渗透测试(测试人员可以访问源代码),主要目的是评估为提高Tor网络速度和可靠性而进行的软件更改,总共发现了17个安全问题,并提出了一系列建议,例如: 减少面向公众的基础设施的潜在攻击面; 解决过时的库和软件问题; 实施现代网络安全标准; 在所有HTTP客户端中默认遵循重定向。 发现的问题大多数是中低风险缺陷,可被利用来发起DoS攻击、降级或绕过安全性以及获取信息访问权限。有些问题与使用过时或未维护的第三方组件有关。 最严重的漏洞是影响洋葱带宽扫描器(Onbasca)的跨站点请求伪造(CSRF)错误。此高风险漏洞可能允许未经身份验证的攻击者向数据库注入桥接程序。 Onbasca是一种带宽扫描器,由目录管理机构(维护当前运行中继站列表的特殊中继站)运行。带宽扫描器可以帮助监控性能、分配Tor网络的负载和检测攻击。 桥接器是一种未列入名单的中继器,由于更难被阻止,因此对高压政权下的用户很有帮助。 “只要受害者的浏览器与Onbasca在同一个网络中运行,攻击者就能将目录授权受害者引诱到他们的网站,并成功实施CSRF攻击。当受害者使用Django Web界面时就是这种情况。因此,经过预先身份验证的攻击者可以将攻击者控制的IP注入数据库。”Radically Open Security在其报告中解释道。 Radically Open Security补充说:“当调用定期运行的bridgescan(桥接扫描)命令时,Onbasca应用程序将连接到攻击者控制的网桥。通过这样做,攻击者可能能够对Onbasca的托管实例进行守护进程,或实施进一步的攻击。” 此外,修复与拒绝服务漏洞、本地攻击、不安全权限和输入验证不足相关的问题也被认为是当务之急。 在这次最新的安全审计之前,渗透测试公司Cure53进行了一次安全评估,该评估的重点是识别用户界面变化带来的漏洞以及与规避审查制度相关的审计。 Radially Open Security(@ROSecurity)提供非营利计算机安全咨询,介绍自己是一群理想主义的安全研究人员、网络/取证极客和夺旗获胜者,他们热衷于让世界变得更加安全,他们相信透明度和开放性,目标是首先确保社会的安全,让他们能够经营一家公司。 Tor官方表示,衷心感谢开放安全公司(Radically Open Security)执行此次审计,感谢美国国务院民主、人权和劳工局(DRL)赞助此项目,并“为全球各地的互联网用户提供更快、更可靠的Tor网络”。 如果您是技术人员,想要了解更多详情和信息,请点击此处查阅完整的审计报告。

Amnesty:Tor是什么?它如何促进人权?

暗网技术, 暗网纵论
Amnesty International(国家特赦组织)近期发布了一篇介绍Tor原理的科普文章,被Tor项目等人权组织推荐了,本文将介绍该篇文章。 Amnesty写道,我们在网上的隐私权和信息公开权比以往任何时候都更岌岌可危。许多国家的政府利用间谍软件打击人权捍卫者,封锁所有谈论人权的网站。事实上,生活在俄罗斯、伊朗和朝鲜等国家的人们完全无法访问国家特赦组织的网站,就因为我们敢于直面这些国家侵犯人权的行为。 Amnesty表示,幸运的是,有人正在寻找应对这一威胁的方法。其中包括Tor项目,这是一个非营利组织,致力于开发可帮助用户保持网络安全的技术 。 什么是Tor? Tor是“洋葱路由器”(The Onion Router)的首字母缩写,它的软件让追踪网络用户的上网行为变得异常困难。它就像一个虚拟私人网络(VPN)或私人浏览器,但更加安全。 当用户使用Tor浏览器或基于Tor网络的洋葱服务时,用户在网络活动的信息会通过Tor项目志愿者运行的全球中继网络进行加密。这意味着有多层加密保护用户的隐私,就像洋葱有很多层一样。 Tor浏览器与其他普通浏览器有何不同? 在解释Tor浏览器与其他浏览器的区别之前,应该首先了解一下普通浏览器的基本工作原理。 Chrome、Safari或Firefox等普通浏览器使用DNS(域名系统)搜索网站。DNS使用分布式系统网络来定位用户需要访问的网站所在的Web服务器。然后,用户的设备将直接连接到该网络服务器。该网络服务器和你用来连接该服务器的互联网路由器都掌握用户自身的IP地址,因为这是它们需要知道将内容发送到哪里。 这类似于我们通过邮寄发送实体信件的方式。您的信件要经过一系列邮局才能最终到达目的地。就像信件上有寄信人地址一样,您的IP地址也包含在所传递的信息中。 这就是隐私成为问题的地方。当一个普通人浏览网页时,他会在互联网上留下他的IP地址痕迹,这样就有可能在别人不知情的情况下追踪到他的网上活动。 使用Tor浏览器会在将任何信息发送到用户正在访问的网站之前通过多层加密和Tor网络中继点来隐藏用户的真实IP地址,从而使浏览更加安全、更加私密。 什么是洋葱域名? 使用Tor可以建立的最安全、最私密的连接是与在洋葱域名(.onion)上发布的网站建立的连接。这些网站在Tor网络内部创建,并进行端到端加密,这意味着离开Tor网络后,任何信息都不会通过公共互联网传递。 根据官方公告,2023年起,Amnesty已经开始在.onion域名上发布他们的研究和活动,使他们的支持者能够在不损害隐私的情况下更好地访问人权信息。 虽然Tor浏览器是避免上网的时候共享IP地址的好方法,但使用正常的互联网基础设施仍然存在风险。即使用户的IP 地址已经被隐藏了,但是网络也很有可能知道其正在使用Tor,这可能会带来额外的挑战。为了应对这种情况,Tor还提供了更多的网络桥梁,使任何监视用户的互联网流量的人更难确定该用户正在使用Tor。 如何使用Tor? Amnesty介绍道,用户可以通过下载Tor浏览器来访问Tor网络,其工作方式与其他浏览器相同,只是它连接到了Tor网络,可以打开.onion后缀的域名。 Tor如何帮助促进人权? Amnesty最后说,我们都有隐私权。这项权利在世界各地的法律中都有详细记载,包括《世界人权宣言》。然而,我们仍然能够看到有国家使用监控系统来追踪互联网浏览和消息应用程序的使用的报道。 有的政府还使用高度侵入性的间谍软件和有针对性的监视系统来监视那些反对他们的人。这些风险不仅影响最直言不讳的人权捍卫者。2021年,飞马计划(Pegasus)项目揭露了监控公司 NSO Group 的间谍软件被用来代表政府客户攻击多达5万部手机的真相。 Amnesty与全球一起呼吁结束这种侵入性和系统性的监视,但他们知道这些计划仍然是一个严重的威胁。这就是为什么像Tor这样的举措对于对抗当今的互联网监控危害如此重要。Tor提供了一条通往网络的替代路径,让人们可以从开放和自由的信息中获益,而不必被迫泄露自己的隐私。