本文源自“暗网下/AWX”官方Telegram群组成员@DepressedLeslieAlexander,从技术上介绍了Tor的实现原理、如何连接到Tor,以及访问暗网的注意事项与认知误区。
概述 Tor是实现匿名通信的自由软件,由美国非盈利组织The Tor Project, Inc开发与维护。其名源于“The Onion Router”(洋葱路由)的英语缩写。用户可透过Tor接达由全球志愿者免费提供,包含7500多个中继的覆盖网络,从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动(包括浏览在线网站、帖子以及即时消息等通信形式)相对较难追踪。Tor的设计原意在于保障用户的个人隐私,以及不受监控地进行秘密通信的自由和能力。
Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点,这三个节点分别叫做入口节点(Guard relay)、中间节点(Middle relay)和出口节点(Exit relay)。在网络连接的应用层,数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层,而三个中继各自解密一层,这样它们就能知道接下来把数据传送给谁。在这种情况下,数据就像剥洋葱一样被一层一层地解密,所以被称为“洋葱路由”。最后的出口节点会解密最内层的加密数据并得到真实的数据内容,并把它传送给目标地址。出口节点虽然知道真正的数据内容,但是它只知道上一个中继节点的地址,并不知道数据最初的发送者是谁,从而保证了数据发送者的安全。相对应地,入口节点仅知晓用户的IP地址而无法得知其访问的网站,而中间节点既无法得知IP地址也无法得知用户所访问的内容。
Tor 通过Tor浏览器来保护你的互联网活动 洋葱服务-暗网(Hidden Service) 在Tor的网络世界中,有一些以.onion顶级域名结尾的网址,这些网站就是我们所熟知的洋葱服务,也就是我们所熟知的暗网。这类网站通常只能通过Tor来进行访问,因此保证了访问者的匿名性。通常我们所熟知的暗网都是黑暗内容,例如色情、血腥暴力、恐怖主义、毒品交易、人口贩卖、黑客服务等违法信息,但Tor的设计初衷绝不是这样的,它的宗旨是保护普通人的隐私,例如为记者、政治活动家、以及追求安全匿名的用户提供服务。
Tor Tor 的使命是通过免费开源技术促进人权,使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的,我们谴责滥用和利用我们的技术进行犯罪活动。
重要的是要理解,犯罪意图在于个人,而不在于他们使用的工具。 就像其他广泛使用的技术一样,Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择,将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时,Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪,并可供执法部门用来调查犯罪并帮助支持幸存者。
Tor Hidden Services 如何连接到Tor 通常情况下,你只需要前往官网(https://support.torproject.org/zh-CN)下载并安装基于Tor的Tor浏览器(Mozilla Firefox的分支),启动后点击连接即可连接至Tor网络。
审查 当然,许多国家对Tor网络进行封锁,例如俄罗斯、伊朗等国家,想在这些国家使用Tor,您可能需要进行额外的配置。您可能需要其他方法下载Tor浏览器并且需要为Tor添加可插拔传输层(网桥)。
其他下载Tor浏览器的方法 如果你无法通过我们的网站下载 Tor浏览器,你可以通过 GetTor 获取一份 Tor 浏览器的副本。 GetTor 是一项通过不同方式自动回复最新版 Tor 浏览器下载链接的服务。这些链接由不同处所托管,例如 Dropbox 、Google Drive 和 GitHub. 可以通过邮件或者 Telegram 自动程序https://t.me/gettor_bot请求。 可以从 https://tor.eff.org 或者 https://tor.calyxinstitute.org/下载 Tor 浏览器。
给 [email protected] 发送一封电子邮件 在邮件的正文中,写上你的操作系统的名称(如 Windows 、macOS 或 Linux)。 GetTor 将回复一封电子邮件,其中包含 Tor 浏览器的下载链接、加密签名(用于验证下载的文件)、用于签名的密钥指纹以及软件包的校验和。 你也许需要选择“32 位”或“64 位”版本:这和你的电脑有关,你可能需要查阅你电脑的说明书或与制造商联系来了解更多信息。
互联网的一个隐藏部分被称为“暗网”,它不可见,也无法使用标准搜索引擎进行搜索。与互联网非常相似,暗网也是一个由商业网站和市场组成的生态系统。不同的是,这些网站通常销售非法、禁止或具有攻击性的产品和服务。
暗网起源 暗网的起源可以追溯到20世纪80年代末和90年代的前互联网时代,当时公告板系统(BBS)非常流行。BBS是一个在线论坛,用户社区可以在其中以匿名方式讨论一系列主题(从在线游戏、汽车、书籍和当地活动到色情和黑客服务)。
明网、深网和暗网 到21世纪初,互联网在社会中根深蒂固之后,人们开始区分明网、深网(深层网络)和暗网。明网(或表面)是开放的互联网,任何人都可以通过搜索引擎访问其内容。深网由在线论坛和个人网站、企业网站组成,这些网站要么没有索引,要么只能通过用户名和密码访问。
接着第三层网络也开始出现了,称为Tor(“洋葱路由器”),这项技术最初由美国海军研究实验室开发,用于确保互联网上的匿名通信。Tor向普通用户公开,在网上冲浪时提供匿名性和隐私性。接下来,Tor网络开始托管更多内容,从版权材料到私人电子邮件和消息系统,再到销售各种非法和违禁商品的商店,其中最著名的黑市是丝绸之路(silkroad)。
加密货币点燃暗网经济 一旦有犯罪倾向的个人在互联网上拥有安全的通信和匿名存在,这种地下经济的第三条腿就出现了,就像预先策划好的一样:区块链和加密货币。在出现大量代币和加密货币之前,曾出现过匿名数字货币,如自由储备(Liberty Reserve)。然而,调查人员能够通过追踪非法资金流向的最终目的地,成功逮捕了犯罪者。
加密货币交易记录在公共分类账(区块链)上,具有极高的匿名性,并且在没有联邦保险银行等任何管理机构的情况下是去中心化的。迄今为止,针对暗网上使用较多的门罗币(Monero,XMR),执法部门很难干预不可逆转的加密货币交易,也很难识别和逮捕参与非法交易和盗窃的人。
网络犯罪民主化 经验丰富的攻击者和网络犯罪集团意识到,他们可以通过提供平台、工具和专业知识来获得更多利润,从而催生了网络犯罪即服务模式。出现了专门的暗网服务提供商,例如僵尸网络管理员、初始访问经纪人、恶意软件开发人员、勒索组织附属机构、谈判代理人、洗钱者和人工智能专家。有些出售凭据,有些提供网络钓鱼工具包,有些提供模仿受害者环境的工具,等等。
如今,暗网是一个价值数十亿美元的地下市场,网络卡特尔、勒索软件团伙、黑客活动分子和民族国家背景的威胁行为者正在这里积极运作、发展和重塑自我。
如何提高对暗网威胁的防御能力 以下是企业可以采取的加强防御的一些建议:
1、采用网络安全系统,而不是孤立的产品。 网络安全事件不是一步发生的。这是攻击者成功入侵或渗透组织的一系列步骤的最终结果,许多都是通过“网络杀伤链”(Cyber Kill Chain)或MITRE ATT&CK一步一步地传达。每个步骤或足迹都是企业进行自我保护、防止网络钓鱼、阻止恶意软件执行或检测权限提升的机会。SASE或XDR等集成系统可以提供协调的防御响应。
2、利用人类威胁情报。 人类威胁情报并不意味着要像执法机构那样实际追踪威胁行为者。它是指登录地下论坛、建立个人档案并模仿威胁行为者的行为(而不犯罪),足以让他们相信你是他们中的一员。您想要充分了解他们在销售什么以及正在讨论什么,以便组织可以制定对策。如果恶意行为者渗透进来,请利用威胁情报更好地了解攻击情况,并识别被盗的数据或哪些计算机受到感染。
3、培训员工队伍。 人类的直觉很强大,尤其在早期发现网络攻击方面的力量不可低估。对员工进行安全意识培训有助于在网上交易时建立一种持怀疑态度的文化。必须让员工了解暗网的危险以及处理高风险数据和凭证的责任。部署零信任环境,以减轻内部威胁,并保证在凭证遭到泄露时,防止攻击者可以进行横向移动。
4、明确安全目标。 在与暗网威胁研究人员合作时,公司往往不清楚自己的安全目标。这意味着他们没有明确定义需要保护和监控哪些资产。因此,威胁研究人员经常采用黑盒方法,识别他们认为需要监控的重要资产,而不是从客户那里获得高价值资产的具体清单。公司必须向研究人员提供明确的指示,因为这样才能获得更多可操作的信息。可操作的信息越多,安全团队就越灵活、越高效。
最后的思考 已经2024年了,展望未来,暗网将不断发展,网络犯罪将愈演愈烈。然而,暗网也带来了机遇,尤其是对网络安全而言——一个研究威胁行为者并了解他们的活动、了解人工智能驱动的威胁并改进网络安全缓解措施的机会。
近日,Tor官方发布公告称,Radially Open Security完成Tor项目的代码审计。针对Tor匿名网络的多个组件的全面代码安全审计发现了十多个漏洞,其中包括一个被归类为“高风险”的问题。
这项审计由非营利网络安全咨询公司Radiically Open Security在2023年4月至8月期间进行,涵盖了Tor浏览器、出口中继、暴露的服务、基础设施以及测试和分析工具。评估结果已经于本周公布。
根据Tor博客发布的公告,本次代码审计重点关注Tor生态系统的几个组成部分:
Tor浏览器和安卓版Tor浏览器; 出口中继器(Tor核心); 公开服务(度量服务器、SWBS、Onionoo API); 基础设施组件(监控和警报)以及测试/归档工具。 此次审计是一项水晶盒(白盒)渗透测试(测试人员可以访问源代码),主要目的是评估为提高Tor网络速度和可靠性而进行的软件更改,总共发现了17个安全问题,并提出了一系列建议,例如:
减少面向公众的基础设施的潜在攻击面; 解决过时的库和软件问题; 实施现代网络安全标准; 在所有HTTP客户端中默认遵循重定向。 发现的问题大多数是中低风险缺陷,可被利用来发起DoS攻击、降级或绕过安全性以及获取信息访问权限。有些问题与使用过时或未维护的第三方组件有关。
最严重的漏洞是影响洋葱带宽扫描器(Onbasca)的跨站点请求伪造(CSRF)错误。此高风险漏洞可能允许未经身份验证的攻击者向数据库注入桥接程序。
Onbasca是一种带宽扫描器,由目录管理机构(维护当前运行中继站列表的特殊中继站)运行。带宽扫描器可以帮助监控性能、分配Tor网络的负载和检测攻击。
桥接器是一种未列入名单的中继器,由于更难被阻止,因此对高压政权下的用户很有帮助。
“只要受害者的浏览器与Onbasca在同一个网络中运行,攻击者就能将目录授权受害者引诱到他们的网站,并成功实施CSRF攻击。当受害者使用Django Web界面时就是这种情况。因此,经过预先身份验证的攻击者可以将攻击者控制的IP注入数据库。”Radically Open Security在其报告中解释道。
Radically Open Security补充说:“当调用定期运行的bridgescan(桥接扫描)命令时,Onbasca应用程序将连接到攻击者控制的网桥。通过这样做,攻击者可能能够对Onbasca的托管实例进行守护进程,或实施进一步的攻击。”
此外,修复与拒绝服务漏洞、本地攻击、不安全权限和输入验证不足相关的问题也被认为是当务之急。
在这次最新的安全审计之前,渗透测试公司Cure53进行了一次安全评估,该评估的重点是识别用户界面变化带来的漏洞以及与规避审查制度相关的审计。
Radially Open Security(@ROSecurity)提供非营利计算机安全咨询,介绍自己是一群理想主义的安全研究人员、网络/取证极客和夺旗获胜者,他们热衷于让世界变得更加安全,他们相信透明度和开放性,目标是首先确保社会的安全,让他们能够经营一家公司。
Tor官方表示,衷心感谢开放安全公司(Radically Open Security)执行此次审计,感谢美国国务院民主、人权和劳工局(DRL)赞助此项目,并“为全球各地的互联网用户提供更快、更可靠的Tor网络”。
如果您是技术人员,想要了解更多详情和信息,请点击此处查阅完整的审计报告。
Amnesty International(国家特赦组织)近期发布了一篇介绍Tor原理的科普文章,被Tor项目等人权组织推荐了,本文将介绍该篇文章。
Amnesty写道,我们在网上的隐私权和信息公开权比以往任何时候都更岌岌可危。许多国家的政府利用间谍软件打击人权捍卫者,封锁所有谈论人权的网站。事实上,生活在俄罗斯、伊朗和朝鲜等国家的人们完全无法访问国家特赦组织的网站,就因为我们敢于直面这些国家侵犯人权的行为。
Amnesty表示,幸运的是,有人正在寻找应对这一威胁的方法。其中包括Tor项目,这是一个非营利组织,致力于开发可帮助用户保持网络安全的技术 。
什么是Tor? Tor是“洋葱路由器”(The Onion Router)的首字母缩写,它的软件让追踪网络用户的上网行为变得异常困难。它就像一个虚拟私人网络(VPN)或私人浏览器,但更加安全。
当用户使用Tor浏览器或基于Tor网络的洋葱服务时,用户在网络活动的信息会通过Tor项目志愿者运行的全球中继网络进行加密。这意味着有多层加密保护用户的隐私,就像洋葱有很多层一样。
Tor浏览器与其他普通浏览器有何不同? 在解释Tor浏览器与其他浏览器的区别之前,应该首先了解一下普通浏览器的基本工作原理。
Chrome、Safari或Firefox等普通浏览器使用DNS(域名系统)搜索网站。DNS使用分布式系统网络来定位用户需要访问的网站所在的Web服务器。然后,用户的设备将直接连接到该网络服务器。该网络服务器和你用来连接该服务器的互联网路由器都掌握用户自身的IP地址,因为这是它们需要知道将内容发送到哪里。
这类似于我们通过邮寄发送实体信件的方式。您的信件要经过一系列邮局才能最终到达目的地。就像信件上有寄信人地址一样,您的IP地址也包含在所传递的信息中。
这就是隐私成为问题的地方。当一个普通人浏览网页时,他会在互联网上留下他的IP地址痕迹,这样就有可能在别人不知情的情况下追踪到他的网上活动。
使用Tor浏览器会在将任何信息发送到用户正在访问的网站之前通过多层加密和Tor网络中继点来隐藏用户的真实IP地址,从而使浏览更加安全、更加私密。
什么是洋葱域名? 使用Tor可以建立的最安全、最私密的连接是与在洋葱域名(.onion)上发布的网站建立的连接。这些网站在Tor网络内部创建,并进行端到端加密,这意味着离开Tor网络后,任何信息都不会通过公共互联网传递。
根据官方公告,2023年起,Amnesty已经开始在.onion域名上发布他们的研究和活动,使他们的支持者能够在不损害隐私的情况下更好地访问人权信息。
虽然Tor浏览器是避免上网的时候共享IP地址的好方法,但使用正常的互联网基础设施仍然存在风险。即使用户的IP 地址已经被隐藏了,但是网络也很有可能知道其正在使用Tor,这可能会带来额外的挑战。为了应对这种情况,Tor还提供了更多的网络桥梁,使任何监视用户的互联网流量的人更难确定该用户正在使用Tor。
如何使用Tor? Amnesty介绍道,用户可以通过下载Tor浏览器来访问Tor网络,其工作方式与其他浏览器相同,只是它连接到了Tor网络,可以打开.onion后缀的域名。
Tor如何帮助促进人权? Amnesty最后说,我们都有隐私权。这项权利在世界各地的法律中都有详细记载,包括《世界人权宣言》。然而,我们仍然能够看到有国家使用监控系统来追踪互联网浏览和消息应用程序的使用的报道。
有的政府还使用高度侵入性的间谍软件和有针对性的监视系统来监视那些反对他们的人。这些风险不仅影响最直言不讳的人权捍卫者。2021年,飞马计划(Pegasus)项目揭露了监控公司 NSO Group 的间谍软件被用来代表政府客户攻击多达5万部手机的真相。
Amnesty与全球一起呼吁结束这种侵入性和系统性的监视,但他们知道这些计划仍然是一个严重的威胁。这就是为什么像Tor这样的举措对于对抗当今的互联网监控危害如此重要。Tor提供了一条通往网络的替代路径,让人们可以从开放和自由的信息中获益,而不必被迫泄露自己的隐私。
暗网常常笼罩在神秘和阴谋之中,是传统搜索引擎无法触及的互联网领域。有许多好奇的不明真相的吃瓜群众想知道进入暗网的方法,想知道访问暗网违法吗还是不违法,想知道暗网里有什么,想知道暗网可怕不可怕,想知道暗网是不是有红房子那些恐怖视频。虽然暗网确实因为容纳了非法活动而臭名昭著、声名狼藉,但它也包含有价值的信息和资源,对从事网络安全研究、威胁情报调查的专业人士来说是非常有益的。
本文“暗网下/AWX”将分享2024年访问暗网新手入门的方法,讲述如何以专业和合法的角度进入暗网、访问暗网、监控暗网、收集信息的全面指南教程。
了解暗网 在深入研究暗网搜索的复杂性之前,了解其结构至关重要。互联网包括三层:表网、深网和暗网。
表网:这是由谷歌、必应、百度等搜索引擎索引并可供公众访问的互联网部分。
深网:深网包括未由搜索引擎索引的网站和数据库。这些通常受密码保护或位于付费模块后面,例如网上银行或电子邮件帐户。
暗网:暗网是一个隐藏的网站组成的网络,只能使用专门的软件(例如 Tor洋葱代理)访问,或者使用Tor浏览器、Brave浏览器直接访问。它的目的是隐藏用户和主机的身份。虽然暗网以非法市场著称,但也包括合法网站和论坛。
法律提醒 “暗网下/AWX”郑重提醒,访问暗网需要对法律行为做出坚定的承诺,必须严格遵守法律和道德界限。以下是一些重要的考虑因素:
合法合规。 确保您的活动在法律范围内。严禁从事任何违法犯罪活动,如购买非法商品。
使用加密。访问暗网时,请始终使用Tor浏览器等加密工具来保护您的身份并保持匿名。
确保安全。核实所发现信息的合法性。错误信息、恶意软件、各类骗局在暗网上十分普遍。
访问暗网 首先下载各个版本的Tor浏览器,这是一款免费的开源软件,可让您在隐藏IP地址的同时访问暗网。不管在哪里,一般都需要将虚拟专用网络(VPN)与Tor浏览器结合使用。
PC电脑桌面端访问暗网 必须先具备访问外网的条件,如果在境内,必须先FanQiang,才能访问Tor官方网站。下载Tor浏览器(PC桌面版),直接访问Tor项目官方网站的下载页面:
https://www.torproject.org/zh-CN/download/
Android安卓手机访问暗网 必须先具备访问外网的条件,如果在境内,必须先FanQiang才能访问。以下两个方法都可以用来下载安卓版本的Tor浏览器。
通过Google Play Store下载,在谷歌商店Play Store搜索“Tor Browser”。如果你的Android手机可以使用”Play Store“,最好就用这种方式安装。 通过Tor浏览器的官方网站下载。访问https://www.torproject.org/zh-CN/download/#android,在官方网站页面里,根据手机CPU架构选择对应的apk文件,下载并把它传输到手机上面点击安装。 IOS苹果手机访问暗网 Tor项目官方没有发布IOS版本的Tor浏览器,能够在IOS系统上面运行的、具有Tor浏览器功能的浏览器是Onion Browser,它由第三方团队开发和维护,Tor官方也在官网推荐使用该浏览器,该浏览器只能在非大陆区下载。请注意,如果没有定制的网桥,使用该浏览器之前,苹果手机必须使用境外流量卡或者已经连接具备外网访问条件(路由器带Fanqiang功能)的WIFI,否则无法访问。
在苹果手机的App Store(切换到港区或者美区)搜索两个应用,一是下载“Onion Browser”,开发者名称是“Mike Tigas”;二是下载“Orbot“,开发者名称是 “The Tor Project”。 Onion Browser浏览器依赖Orbot来连接到Tor网络。Orbot是由Tor官方开发和维护的手机VPN软件。 请注意,由于Orbot自身就是VPN软件,如果已经在手机系统使用了其他VPN软件,Orbot将无法使用。 Orbot默认网桥在境内无法连接,如果需要在不具备外网访问条件的状况下连接,需要使用自定义网桥。 暗网网站 搜索引擎。DuckDuckGo、Torch和notEvil等暗网搜索引擎可用于查找特定网站和内容。这些搜索引擎可以搜索暗网独有的 .onion 域名。
暗网导航。暗网导航就像隐藏服务的黄页,它们列出了暗网网站及其类别,使您可以更轻松地找到所需内容。著名的导航包括Onion666暗网导航、Dark.fail、Tor.taxi。
论坛社区。暗网拥有众多涵盖广泛主题的论坛、讨论区和社区。其中一些可能是有价值的信息来源。但是,请务必谨慎行事,因为许多论坛都与非法活动有关。如果您决定加入暗网论坛或社区,请避免透露个人信息或参与可能危及您安全的讨论,通常使用匿名。
文件共享。暗网上的文件共享服务可能包含丰富的数据,包括文件、报告和档案。研究人员和调查人员可能会对其中一些文件感兴趣。
暗网市场。非法的暗网交易市场在暗网上盛行,并一直在“退出骗局”收割用户,但也存在销售合法产品和服务的合法市场。其中包括技术解决方案、电子书等。目前暗网上最大的中文暗网交易市场应该是”长安不夜城“。
举报平台。暗网是各种举报平台的所在地,个人可以在其中提交敏感信息,同时保护自己的匿名性。其中最著名的是SecureDrop,媒体机构使用它来接收机密信息。
隐藏维基。类似于导航网站,隐藏wiki是提供各种.onion站点链接的目录,使暗网网站更容易访问。它们通常包括新闻、论坛等部分。
科学研究。一些科学界利用暗网分享研究和发现,但不透露自己的身份,特别是在审查严格的地区。
专业应用 威胁情报。网络安全专业人员可以监控暗网论坛和市场,以获取与新出现的威胁和漏洞相关的信息。
暗网调查。执法机构可能会使用暗网收集与违法犯罪活动有关的证据。
数据泄露监控。暗网里有许多泄露的数据,暗网里也有社工库,除了安全公司要监控暗网外,企业也可以在暗网搜索被盗数据(例如登录凭据),并采取措施保护其系统。
结论 对于各领域的专业人士来说,搜索暗网收集信息是一种有价值的工具。但是,保持道德操守、尊重法律界限以及使用加密和匿名工具来保护自己的身份至关重要。
暗网仍然是非法活动和宝贵资源共存的领域,因此必须谨慎和专业地对待它。作为专业人士,我们有责任确保我们获得的知识用于合法和道德的目的,为更安全的网络安全环境做出贡献。
十一长假期间,多名网友向“暗网下/AWX”请求援助称Tor浏览器新版本更新后无法连接Tor网络,后经“暗网下/AWX”证实,是由于Tor浏览器的新版本tor.exe被Windows Defender误杀导致。
问题产生与解决方法 10月1日左右,Tor浏览器推出新的64位版本12.5.6,然而,该版本的Tor网络连接程序tor.exe却被最新版本的Windows 10与Windows 11的Windows Defender病毒和威胁防护程序识别为病毒威胁并删除进了隔离区:
已检测:Trojan:Win32/Malgent!MTB
当tor.exe被杀以后,Tor浏览器无法正常连接Tor网络。很多境内网友表示已经翻墙并能成功访问Google等境外网站,Tor浏览器仍然无法正常连接,无论是默认配置(obfs4)还是选择Snowflake配置,或者更换其他网桥(bridge),并显示如下错误:
Tor Browser couldn’t locate you
Tor Browser needs to know your location in order to choose the right bridge for you. If you’d rather not share your location, configure your connection manually instead.
Component returned failure code: 0x804b000d (NS_ERROR_CONNECTION_REFUSED) [nsIScriptableInputStream.available]
事发后,立即有网友在torproject官方论坛进行了反馈,也有网友在Reddit论坛咨询此问题,并给出了解决方案:卸载12.5.6版本的Tor浏览器,安装12.5.3版本的Tor浏览器即可。
12.5.3版本的Tor浏览器下载地址:https://archive.torproject.org/tor-package-archive/torbrowser/12.5.3/
此外,还可以直接使用12.5.3版本中的tor.exe,下载tor-expert-bundle-12.5.3-windows-x86_64.tar压缩包,找到tor目录中的tor.exe,复制粘贴到Tor浏览器对应的目录(Tor Browser\Browser\TorBrowser\Tor)下。
Tor项目于10月2日紧急在Twitter发布了公告,表示问题已经解决:
TorBrowser 12.5.6 不再被 Windows Defender 标记。
✔️确保您的 Windows Defender 是最新的,
✔️取消隔离 tor.exe,或从我们的网站下载 TorBrowser 重新安装
✔️记得检查签名 (1.
近日,Tor项目发布Tor 0.4.8版本,正式推出了针对洋葱服务的工作量防御机制(Proof-of-Work Defense),旨在优先处理经过验证的网络流量,以阻止拒绝服务(DoS)攻击。
Tor的工作量证明(PoW)防御机制是一种动态的反应机制,在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时,该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后,洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。
此举旨在将DoS攻击的成本增加到难以维持的水平,同时优先考虑合法流量,抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际,从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。
如果攻击者向onion服务发送大量连接请求,PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的,所耗费时间从5毫秒到30毫秒。攻击流量增加,工作量就会增加,最多需要1分钟的工作量。整个过程对用户是不可见的。
为什么需要更新? 洋葱服务通过混淆IP地址来优先考虑用户隐私,这种固有设计使其容易受到DoS攻击,而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案,Tor项目设计了一种涉及客户端难题的工作量证明机制,以在不损害用户隐私的情况下阻止DoS攻击。
它是如何工作的? 工作量证明就像一个票据系统,默认情况下关闭,但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前,必须解决一个小难题,证明客户端已经完成了一些“工作”。谜题越难,证明用户所做的工作越多,从而证明用户是真实的,而不是试图充斥洋葱服务的僵尸。最终,工作量证明机制阻止了攻击者,同时为真实用户提供了到达目的地的机会。
这对于攻击者和用户意味着什么? 如果攻击者试图向洋葱服务发送大量请求,并淹没洋葱服务,PoW防御就会启动,并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作,而随着计算力的增加,回报也会越来越少。
然而,对于倾向于一次只提交几个请求的日常用户来说,解决难题所增加的计算量对于大多数设备来说是可以承受的,对于速度较快与稍慢的计算机来说,每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加,工作量就会增加,最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的,并且使得等待工作量证明解决方案与等待慢速网络连接相当,但它具有明显的优势,那就是通过证明自己的非机器属性,即使在Tor网络面临压力的情况下,也能为用户提供访问Tor网络的机会。
在过去的一年里,Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一,而且一旦被各大网站采用,还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载,确保对洋葱服务的访问更加稳定可靠。
当您使用Tor浏览器时,其他人真的不可能查出您的身份或监控您的活动吗?
Tor经常被誉为网络中最安全的浏览器,许多人都在这样的假设下使用它。但是,Tor真的那么安全吗?或者还有其他浏览器可以更有效地保护您的隐私吗?
什么是Tor? Tor(The Onion Router,洋葱路由项目的缩写)是一个拥有数百万用户的互联网浏览器,目前可用于Linux、macOS和Windows。您还可以通过智能手机访问Tor。
Tor由Tor项目(Tor Project)开发并于2002年发布。2006年,Tor项目正式成为非营利组织。
仅在美国,平均每天就有超过50万人使用Tor(根据Tor自己的统计)。它在德国使用最为普遍,但在印度、俄罗斯、法国、芬兰和英国也很流行。
Tor浏览器依靠用户捐赠和全球志愿者网络来运行,因为Tor项目本身是非营利性的。Tor的志愿者通过运行中继为用户提供浏览安全性。中继本质上是接收流量并将其传递到其必要目的地的路由器。这些中继器也称为节点,它们聚集在一起形成Tor网络。
Tor的安全功能 众所周知,Tor是一款安全、可信赖的浏览器,那么它有哪些功能可以做到这一点呢?
1、洋葱路由 洋葱路由是Tor的原生功能,创建于上世纪90年代中期。
洋葱路由是一种用于匿名互联网通信的技术。与蔬菜洋葱一样,洋葱路由使用分层来保持数据的私密性。每一层代表一轮加密。
在Tor网络中,由志愿者运营的数千个中继站为洋葱路由提供了便利。然而,这些志愿者都不知道流量从哪里来,又要去哪里。这是因为每个志愿者只是信息到达目的地过程中的一部分。
每个数据包在离开用户计算机时都要经过不同的阶段。数据包首先通过入口(或防护)中继器进入网络,然后通过中间(或桥接)中继器。最后,数据通过出口中继。
通过前两个中继后,数据将被加密,每次都使用不同的密钥。这些多重加密层使恶意行为者很难以纯文本形式查看您的数据或IP地址。换句话说,你是谁、你在哪里、你做了什么都是匿名的。
出口节点不会加密流量,稍后会详细介绍。
通过这种分段中继结构,没有一个网络贡献者知道数据包的性质或目的地。通过洋葱路由传输数据时,Tor使用AES(高级加密标准),这使得它们超级安全。
2、可调节的安全级别 如果您使用Tor浏览器,您可以随时调整所需的隐私和安全级别。Tor提供三种不同的模式:标准模式(Standard)、更安全模式(Safer)和最安全模式(Safest)。
”标准“模式使用洋葱路由和加密,但启用所有其他Web功能。
接下来是”更安全“模式,它出于安全目的删除了一些功能。当您激活”更安全“模式时,Tor会禁用以下功能:
非HTTPS网站上的JavaScript。
某些字体和符号。
自动播放视频、音频和WebGL。
最安全的Tor模式被称为”最安全“(Safest),它可以禁用所有JavaScript(无论您在哪个网站上),限制更多字体和符号,并禁用视频、音频和WebG。
通常建议使用”更安全“模式,因为”最安全“模式往往具有很大的限制性。但如果您正在进行高度敏感的研究或想要访问不安全的网站,暂时激活此模式可能是明智的选择。
3、无脚本 无脚本(NoScript)是一个很棒的附加功能,可以保护用户免受不受支持或潜在恶意Web脚本的侵害。当识别出不受支持的脚本时,NoScript会阻止该脚本,并定义一个替代脚本来显示。
NoScript并不是Tor独有的,也不是Tor项目的创造。
4、去中心化 Tor网络是去中心化的,这意味着没有任何一个实体能够访问所有可用的数据。相反,数以千计的节点共同运行网络,将数据从源头传递到目的地。
这里需要注意中继网络的结构。如前所述,数据在流出网络之前会经过多个中继。没有一个中继拥有数据包上的所有信息,这可以防止恶意中继窃取敏感信息。
这种结构还可以防止单点故障,单点故障可能导致巨大的技术问题和崩溃。
Tor的缺点 虽然Tor确实具有一些安全和隐私优势,但也有一些缺点需要考虑。
1、性能缓慢 由于Tor通过中继发送您的数据进行多轮加密,因此您的流量从A节点到B节点需要更长的时间。换句话说,网页加载也需要更长的时间。这也会导致流媒体缓冲和游戏延迟。
VPN也是这种情况,因为您的互联网流量也要经过类似的加密过程。不幸的是,这有时是为提高安全性而付出的代价。
2、与暗网的关联 Tor浏览器在暗网用户中非常受欢迎,因为它可以为他们提供匿名性。这造成了一种误解,认为Tor浏览器是非法的或仅由网络犯罪分子使用,但事实并非如此。许多人只是为了增加隐私和安全性而使用Tor,而且该浏览器在大多数国家/地区都是合法的。
然而,Tor接入暗网确实意味着你可以使用该浏览器访问非法内容和平台。Tor对此无法控制,就像Google和Mozilla对用户在Chrome和Firefox浏览器上的操作没有发言权一样。还有许多有用且无恶意的深层网站或暗网网站。
但如果您想使用Tor进行更深入的探索,请注意你可能会遇到一些非法或令人不安的事情
3、无出口中继加密 尽管Tor的洋葱路由技术确实会加密您的流量,但这里有一个漏洞需要注意,那就是出口中继。Tor网络的出口中继不会对流量进行加密,这意味着你的流量一旦离开网络就不会被加密。
如果恶意行为者入侵了易受攻击的Tor出口节点,他们就有机会查看或监控你的活动。
不过,出口中继本身无法解密您的数据,因为它已经通过之前的中继进行了加密。
Tor浏览器替代方案 如果您正在寻求更高的匿名性和在线安全性,Tor浏览器无疑是一个不错的选择。但如果您不太喜欢这个特定的浏览器,还有一些同样优先考虑用户隐私的浏览器替代品。
最常用的Tor浏览器替代方案包括:
Brave Epic Browser Yandex Browser Tails Vivaldi 您可以使用任何最流行的浏览器,例如Chrome和Safari,但这些浏览器并不是专门为安全而设计的。
您还可以考虑将VPN与Tor浏览器一起使用。这将为您提供更高的安全性,并确保您的数据在出口节点加密(只要您使用信誉良好的VPN)。
总结:Tor高度安全,但也有缺陷 很明显,Tor项目专注于优先考虑安全和隐私,并通过各种功能共同确保用户安全。但Tor浏览器也有一些需要注意的缺点,因此您也可以试试其他可行的替代方案。
2023年4月5日,美国联邦调查局(FBI)和荷兰国家警察局宣布捣毁最大的暗网市场之一Genesis Market。这次行动被称为“饼干怪兽行动”(Operation Cookie Monster),共逮捕了119人,并缴获超过 100 万美元的加密货币。您可以在此处阅读联邦调查局的搜查令,了解此案的具体细节。鉴于这些事件,可以讨论一下暗网威胁情报(OSINT)如何协助暗网调查。
暗网的匿名性吸引了各种各样的用户,从举报人和政治活动家到网络犯罪分子和恐怖分子。有多种技术可用于尝试识别这些网站和角色背后的个人。
技术漏洞 虽然不被视为OSINT,但在某些情况下,用于托管暗网网站的技术中存在技术漏洞。这些漏洞可能存在于软件本身,或者是由于配置错误造成的,但它们有时会泄露站点的真实IP地址。通常,这些软件漏洞需要使用渗透测试工具和技术(例如BurpSuite)来造成包含站点真实IP地址的错误消息。诸如此类的漏洞并不常见,而且很少被利用。
也有暗网网站运营者使用SSL证书或SSH密钥的情况,这些证书或密钥可以使用Shodan、Censys、Zoomeye或Fofa等资产扫描探测服务发现其明网上的真实IP地址。
加密货币追踪 暗网上的交易通常涉及加密货币以支付非法商品和服务。这使得借助区块链分析工具来识别个人身份成为可能。
根据各国”防止洗钱“的法律,任何人都无法以“匿名”名义去银行开设账户。这些要求通常称为反洗钱(AML)和了解您的客户(KYC),并要求客户提供政府颁发的身份证明以证明身份。许多国家对加密货币交易所都有类似的要求。
多年来,一些公司提供了区块链分析工具,试图将加密货币地址与特定交易所(例如Coinbase或Binance)联系起来。一旦加密货币地址与特定交易所存在联系,具有法律权限的执法和/或金融调查人员就可以要求交易所向他们提供该账户所有者的身份识别信息。
一直以来,对于个人来说,这些区块链分析服务购买成本高昂,但是,区块链分析提供商Breadcrumbs最近推出了一个分析平台,提供更实惠的价格和免费计划。
带回到互联网上 如何将需要在暗网上获取的联系方式带回互联网?想象一下,如果您经营着一辆餐车,而城市规定您每月不能在同一地点出现超过两次,您只能被迫不断更换地点。您将如何尝试建立品牌忠诚度,并让潜在客户知道您每天所在的位置?
您可能会尝试让客户在社交媒体上与您联系或访问您的网站等,以便他们知道在哪里可以找到您。不管你相信与否,暗网上也存在着非常相似的动态。
暗网提供的是匿名性,缺乏的是稳定性和安全性。Silk Road、AlphaBay、Hansa、WallStreet以及现在的Genesis等主要暗网市场均已被执法部门取缔。拒绝服务攻击已成为Tor网络上的一个主要问题,最近流行的暗网论坛“Dread”前期也因此类攻击而关闭数月就证明了这一点。您能想象在那种环境下尝试经营暗网生意并获得稳定的收入吗?
卖家尝试实现稳定性和弹性的一种方法是在多个市场上销售,并提供直接联系他们的方法。这种提供稳定性的尝试非常有意义,并且对于OSINT从业者来说非常有用,因为它提供了联系方法或“选择器”,因为可以使用它们在互联网上找到他们,并充分利用所有的知识、经验和资源。如从暗网网站获取电子邮件地址,并将其与使用Google的互联网上的网站关联起来。
一旦我们将个人与互联网上的资源联系起来,我们就有多种选择来对其进行去匿名化。最常用的一些选项包括:
历史WHOIS查询 WHOIS记录等域名注册信息可以提供有关网站所有者或运营者的有用信息。在某些情况下,犯罪分子可能会利用不准确或不完整的隐私保护措施,无意中暴露自己的身份或位置。即使某个网站的WHOIS信息目前是匿名的,但在过去的某个时间点往往不是匿名的。
论坛上的OSINT 暗网上的个人经常参加论坛进行交流、回答问题等,他们可能会无意中透露出可以帮助OSINT从业者更多地了解其真实身份的信息。他们使用的语言和独特的说法非常有用。
泄露数据 即使电子邮件与匿名服务绑定,用户也可能在其他网站上使用过它,包括论坛和社交媒体。如果在法律和道德上允许您能够在调查中使用泄露数据,您也许能够将在线角色与真实姓名、实际地址等联系起来。
事实证明对一些调查人员有帮助的一个泄露示例是2021/2022年来自多家VPN提供商(包括SuperVPN、GeckoVPN和ChatVPN)的10GB数据泄露。这些数据包含所用设备的全名、账单详细信息和潜在的唯一标识符,包括移动设备的国际移动用户身份(IMSI)。
未来的发展和趋势 未来的暗网市场打击将使用本文讨论的方法,并且毫无疑问将采用新兴技术。最明显的发展是在OSINT中使用人工智能(AI)和机器学习(ML)。例如,人工智能可以帮助构建网络爬取工具,可以快速收集和分析来自多个来源的数据,而机器学习算法可以经过训练来识别数据中的模式和关系。这些进步有可能为调查人员节省大量时间和资源,使他们能够专注于调查的其他方面。
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。
WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。
技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。
设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup
如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。
用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。
Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。