Tor, или как я перестал бояться и полюбил Роскомнадзор.

«Интернет рассматривает цензуру как повреждение на линии и ищет обходные маршруты»
Закон Гилмора

Знаете, как оно бывает?
Живёшь ты, значит, живёшь себе, а тут — ррраз, и политический курс сменился. И вроде бы ты не преступник, ничего предосудительного не делаешь. Но приходят люди, которые вдруг начинают решать, что клопать на понечек уже не тру, что это аморально, так же как не смотреть телевизор и читать книги забугорных авторов. А завтра, глядишь, предложат снова анально огородиться от мира и кормить мозг только прожёванной цензорами кашкой. Неприятно, правда?

Данная статья и возможные последующие не являются инструкцией по нарушению действующего вменяемого законодательства. Помните, что абсолютной безнаказанности и неуязвимости нет и не будет, и если вы совершаете преступление — вам рано или поздно придётся понести ответственность. Цель этой статьи — реализация конституционных прав человека на доступ к информации, систематически нарушаемая умышленно (с целью политической/моральной и прочих цензур) и неумышленно (в силу кривого механизма блокировок). Думаю, не секрет, что на самом деле большинство блокируемых сайтов не содержит ничего противозаконного. Вторая цель — защита приватности. Позиция разработчиков Tor, отвечающих на вопрос «а что, у вас есть, что скрывать?» обозначена фразой: «Нет, это не секрет — просто это не ваше дело». Вы можете заниматься стиркой или приготовлением пищи, но вам будет неприятно, что сосед следит за вами, заглядывая в окно. Не забылся ещё скандал с американской PRISM, собиравшей информацию со всего мира. К тому же, нет никаких гарантий, что никто не попытается использовать ваши данные в грязных и корыстных целях. Далеко не все люди кристально чисты, а проблемы будут ваши.

Про I2P можно почитать в этой статье. Картинки в силу её возраста уже частично отклеились, но, может быть автор восстановит её, или я впоследствии.

Рекомендуется ради интереса ознакомиться со статьями:
blogerator.ru/page/runet-obrechennyj-cenzura-vpn-anonimnost-i2p-tor-dpi
blogerator.ru/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2
blogerator.ru/page/runet-obrechennyj-nevelikij-russkij-fajrvoll-dpi-filtracija

Начать стоит с, пожалуй, самого мощного на сегодняшний день (кроме собственной головы, конечно) средства для обеспечения сетевой анонимности — Tor.

Что из себя представляет Tor? Это инфраструктура, реализующая принцип луковой маршрутизации. Клиент сети на вашем компьютере шифрует передаваемые данные, система прокси-серверов случайным образом маршрутизирует их, составляя цепочку из трёх узлов (нод), после чего ваши данные попадают в точку назначения. Цепочки время от времени меняются. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьей ноды, потом для второй и, в конце концов, для первой. Когда первая нода получает пакет, она расшифровывает «верхний» слой шифра и узнает, куда отправить пакет дальше. Второй сервер поступает аналогичным образом. На последнем сервере-ноде в цепочке передаваемые данные проходят процедуру расшифровки и передаются целевому серверу в открытом виде. Соответственно, первая нода знает IP-адрес отправителя, но не знает содержимого, вторая — уже ни того, ни другого, третья — знает содержимое, но не знает отправителя.

Важное замечание: Tor не защищает от перехвата данных. Только анонимность. На выходном узле пакеты можно перехватить обычным сниффером и получить доступ к передаваемой информации. Само по себе это, конечно, маловероятно, т.к. путь передачи данных выбирается случайно, но если вы, скажем, передаёте файл со своими персональными данными — например, реквизитами банковских карт или учётками на каких-либо ресурсах (или, как более вероятный пример, корпоративными документами), имеет смысл воспользоваться дополнительным уровнем безопасности — например, использовать криптографическое ПО.
Не все программы работают через Tor корректно. Например, Skype не будет по умолчанию корректно работать через Tor, а в браузере Tor по умолчанию отключён Flash, так как он может подключаться к удалённым серверам самостоятельно, не через Tor, выдавая таким образом личность пользователя. Создатели Tor предупреждают, что при подключении через их сеть опасно открывать даже популярные форматы документов .doc и .pdf, потому что они также могут загрузить контент (например, изображения) с внешних источников при открытии их в сторонних программах, не сконфигурированных под Tor. Кроме того, в Tor нельзя пользоваться торрентами: во-первых, они сильно перегружают сеть (ведь нодами зачастую являются обычные пользователи), во-вторых, из-за особенностей в работе протокола BitTorrent подключения через него осуществляются напрямую, а не через сеть компьютеров волонтёров, анонимизирующих трафик. Отказ от использования торрентов является частью этики использования Tor: пользуешься чужими ресурсами — не наглей.
Также неплохо было бы включать голову. Создатель Silk Road Росс Ульбрихт рекламировал свой сайт, подписываясь емейлом, содержавшим реальное имя. Попался, отправив себе посылку с поддельными документами для аренды серверов. А автор Silk Road 2 зарегистрировался у хостинг-провайдера со своим емейлом. Если вы через Tor заходите на Табунчик под своей собственной учётной записью — весь эффект от процедуры стремится к нулю. Полная анонимность достигается только при использовании учётных записей, которые не содержат данных, способных вас деанонимизировать, в которые вы не заходите никак, кроме как через Tor и которые были зарегистрированы с его использованием. Возможно эта тема будет расширена в дальнейших постах.

Tor безопасен, имеет открытый исходный код, и на данный момент в нём не обнаружено никаких скрытых лазеек для спецслужб. Содержание на своём компьютере relay-нод также безопасно и вносит вклад в скорость работы сети. За содержание выходных нод можно, в зависимости от страны и законодательства, огрести. Прецеденты были.

Сейчас скорость работы сети на приемлемом уровне, но так было не всегда — многие внутренние ресурсы (они имеют домен .onion и доступны только внутри Tor либо через веб-гейт, что на настоящий момент работает не особо) имеют примитивный дизайн с минимумом изображений.
Кстати, о внутренних ресурсах. Каталог можно найти на лурке (вот вам и повод проверить Tor на деле) или внутреннем ресурсе Hidden Wiki (сайт доступен только из Tor). Можно было бы подумать, что среди таких ресурсов должны быть только незаконные, но там присутствует много всего: социальные сети, форумы, библиотеки, почта и прочие интересные штуки.

На сайте проекта сейчас доступно для загрузки 2 варианта: Tor Browser и Expert Bundle. Первый представляет собой сборку из портативного браузера Firefox с уже выполненными настройками, обеспечивающими максимальную анонимность, и клиента сети. Раньше в комплект входили также Vidalia и Polipo, потом разработчики от них отказались, в результате чего пользователь, например, потерял возможность удобно менять страны, в которых разрешены выходные ноды или использовать Tor как http-прокси. Новый инструментарий вроде как разрабатывается, часть функций взял на себя браузер. Второй — голый клиент, предполагается, что опытный пользователь сам знает, что с ним делать.

После загрузки браузера с сайта вы получаете самораспаковывающийся архив, который выдаст вам портативную версию пакета. Вы можете записать её на флешку и носить с собой. При первом запуске браузер спросит у вас о ситуации.
Спойлер
Первый пункт просто соединит вас с сетью Tor и позволит просматривать любые сайты. Второй пункт предназначен для более тяжёлых ситуаций. Например, если доступ закрыт работодателем, или всё плохо, и в стране зажила цензура. Первым вопросом будет как раз вопрос о цензуре.
Спойлер
В случае утвердительного ответа вам будет предложен выбор из двух пунктов. Если просто заблокированы публичные узлы сети Tor, вы можете получить непубличные мосты здесь или отправив письмо на адрес [email protected] Принимаются только письма с ящиков Riseup, Gmail или Yahoo — заведите заранее. Получив список мостов, нужно скопировать их в соответствующее поле — и дело в шляпе!
Спойлер
Также по почте можно получить и сам Tor: отправьте письмо по электронной почте на адрес [email protected], указав слово «help» в теле письма, и вы получите инструкции о том, как получить программное обеспечение Tor от робота-автоответчика. В самом тяжёлом случае, если используется глубокая инспекция пакетов (DPI), как в Китае или Иране, когда весь Tor-трафик выявляется и блокируется, стоит выбрать первый пункт и в выпадающем списке — тип транспорта. По умолчанию это obfs3.
Спойлер
Он осуществляет обфускацию трафика, разбавляя настоящий левой информацией и затрудняя распознание Tor-трафика как такового. На данный момент это самое мощное средство в арсенале Tor. Остальные пункты так или иначе делают схожие вещи, и, если не знаете, что это и зачем вам нужно — лучше воспользуйтесь параметрами по умолчанию. Последним будет вопрос о прокси.
Спойлер
В смысле, вашим, внутреннем. На работе, или, если вы — конченный техногик, дома. Всё. Ответив на несколько несложных вопросов, вы получаете в руки полностью работоспособный инструмент. Если вы не уверены в том, что делаете, его настройки лучше не менять.

Expert Bundle содержит только клиент. По сути, это прокси, если вы запустите, то ничего не увидите, кроме нового процесса в диспетчере задач, но если вы настроите свой браузер на работу с socks-прокси с адресом localhost/127.0.0.1 и портом 9050 (в сборке с браузером — 9150), то сможете получить доступ к закрытым сайтам через TOR. Однако, все дополнительные настройки браузера вам придётся сделать самостоятельно.
Использование socks-прокси не позволяет вычислять IP-адрес стандартными методами. Поэтому для определения IP-адреса научились использовать плагины к браузерам, скрипты и куки. Такие плагины, как Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe PDF и другиe, могут использованы для раскрытия вашего IP-адреса. Такие расширения как панель инструментов Google, узнают дополнительную информацию о сайтах, которые вы посещаете: они могут идти в обход Tor и/или разглашать приватную информацию. По хорошему, нужно отключать вообще все плагины.
Скрипты встраиваются непосредственно в исходный код страниц для увеличения их функциональности и исполняются браузером при получении. Многие ошибочно полагают, что JavaScript — это то же самое, что и Java, лишь потому, что эти языки имеют схожие названия. На самом деле — это два совершенно различных языка, с разными задачами. Java — язык программирования для приложений, которые вполне способны раскрыть анонимность. На языке JavaScript пишутся скрипты (сценарии), которые вставляются в страницы web-сайтов и выполняются в браузере пользователя. Он менее опасен для анонимности. Но помимо полезных функций, скрипты вполне способны при соответствующем написании определить IP-адрес или другую информацию, и передать это, минуя прокси. Поэтому для большей анонимности целесообразно отключать выполнение скриптов в вашем браузере.
Будьте осторожны с куки: если вы использовали браузер без Tor и сайт выдал вам куки, оно может идентифицировать вас, даже если вы начнете использовать Tor снова. Обычному пользователю необязательно во всём этом разбираться: в сборке TorBrowser уже отключено всё вышеперечисленное. Логичным выглядит использование двух браузеров: для обычного серфинга и TorBrowser — для защищенного.

К этому моменту у многих должен был возникнуть вопрос: можно ли вообще весь трафик направить через Tor? Да, такая возможность есть. Самый радикальный вариант — использование Tortilla в связке с виртуальной машиной. Tortilla (загрузить можно с www.crowdstrike.com/community-tools/) — open souce — софтина, создающая на компьютере виртуальный сетевой адаптер, направляющий весь трафик через Tor. К сожалению, винда не умеет и не даёт выбирать адаптер, к которому будут обращаться программы по умолчанию, поэтому на выручку приходит извращение с виртуалкой. Вы развёртываете виртуалку, ставите на неё ось и софт, который нужен, а затем в настройках сетевых подключений выбираете мост через адаптер Tortilla. Нет смысла подробно описывать, как это делается, если это уже сделали на хабре в этой статье. Маленькое уточнение: здесь вам как раз и понадобится Expert Bundle, ибо перед запуском Tortilla нужно запустить клиент Tor. Всё это в статье есть. Минус подобного решения — придётся разобраться с виртуалками.

Другой вариант — использование AdvOR. Это портативный прокси для Винды, который умеет в принудительном порядке перенаправлять трафик указанных программ через себя, независимо от их настроек. Скачать его можно здесь. Архив нужно распаковать в корень диска С, запустить AdvOR.exe и нажать «Connect» внизу окна.
Спойлер
Вкладка HTTP Header позволяет подделать информацию о системе, браузере и регионе в заголовке пакетов (последнее очень удобно, если вы хотите видеть интерфейс сайта на определённом языке).
Спойлер
На вкладке Router Restriction можно ограничить цепочку Tor-маршрутизаторов двумя, это повысит скорость соединения, но снизит вашу защиту.
Спойлер
Bypass ISP filtering позволяет вручную указать мосты, если публичные заблокированы. Как их получить — говорилось выше. К сожалению, обфускацию трафика программа пока не поддерживает, надеюсь, разработчики поправят в ближайшем времени это досадное упущение.
Вкладка Private Identity содержит опции, повыщающие безопасность, лучше всего проставить все галочки, кроме последней, имеющей отношение к Windows Media Player. Некоторые видеоролики, открываемые браузером, перестанут проигрываться.
Спойлер
Раздел Intercept позволяет выбрать программы, трафик которых будет перехватываться. Quick run позволяет добавлять в список программы, выбирая их .exe-файлы на жёстком диске.
Спойлер
Обязательно нужно указать имя программы внизу окошка, иначе кнопка «Открыть» будет неактивна. Processes открывает список запущенных процессов, среди которых галочками нужно будет отметить те, с которых нужно перехватывать трафик. AdvOR предложит закрыть открытые соединения процесса, соглашаемся.
Свернув AdvOR в трей, мы можем, вызывая контекстное меню, запускать программы, указанные в списке «Quick start», менять личность, а также выбирать вручную свой подставной IP и страну выхода.
Спойлер
Сделав настройки в программе, не забывайте нажать кнопку «Save settings» внизу окна.

Как быть с почтой? Почтовые клиенты отправляют почту по протоколу SMTP, а большинство почтовых серверов работает по этому протоколу через порт 25. Но порт 25 в сети Tor закрыт во избежании её использования для рассылки спама. Выход видится в использовании почтовых ящиков с веб-интерфейсом, либо с нестандартным портом. (Например, Gmail использует нестандартный порт 587). Также разработчиками предлагается плагин TorBirdy для почтового клиента Thunderbird — вы можете установить его из самой программы. Настройки знакомы нам по предыдущему ПО.

Существуют дистрибутивы Linux, использующие Tor, например TAILS, а также аппаратные решения, вроде роутера на основе Raspberry Pi.

Здесь сознательно опущены вопросы тонкой ручной настройки Tor через конфигурационный файл, а также настройка собственный ноды. Это сложно и рядовому пользователю не нужно. А последнее в России к тому же и бессмысленно.