米中央情報局、Tor 経由でロシアからの情報提供を求める 9
ストーリー by nagazou
安全安心 部門より
安全安心 部門より
headless 曰く、
米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。
まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。
CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。
情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。
CIA 側から安全に連絡可能な連絡先... (スコア:0)
情報提供要件の「CIA 側から安全に連絡可能な連絡先」が用意できる人間には釈迦に説法なことしか書いてないような気がするんだが...
あと、「自宅や職場のコンピューターを使用しない」人で新規に情報提供したい人も現実的にはあり得ないような気がする。スマホとかだとさらに紐づけしやすいし。
torつってもなぁ (スコア:0)
接続除外すべき監視国家が増えすぎてもう使い物にならんのだがなんかの罠なんだろうか
/*
{AT},{AU},{BE},{BG},{CA},{CH},{CN},{CZ},{DE},{DK},{ES},{EU},{FI},{FR},{GB},{GR},{HK},{HU},{IE},{IL},{IS},{IT},{KR},{LT},{LU},{LV},{MY},{NL},{NO},{NZ},{PL},{PT},{RO},{RU},{SE},{SG},{TR},{UA},{US}
ExcludeExitNodesとExcludeNodesの配分はご随意で
ただしExcludeExitNodesで漏れると接続先との情報が漏れるので要注意
日本から使うなら{JP}も追加だねぇ
StrictNodes 1忘れると除外にも繋がっちゃうことままあるから要注意
さーてどこが残るでしょうか
*/
nagazouはもっとTorを勉強しようぜ? (スコア:0)
> ttps 接続に対応せず、http でしか接続できないようだ
.onionドメインの通信は常に暗号化されていて、Exitノート経由ではなく 非Exitノード経由で行われますね。
そのため、大多数の.onionサイトはhttpで始まります。一部例外として、真剣なサイトはhttpsで運営されていますね。
> 接続除外すべき監視国家が増えすぎて
> {AT},{AU},{BE},{BG},{CA},{CH},
やりすぎるとスタンドアウト(目立つ)のでほどほどにね。
削りすぎると、監視側からTorトラフィックを観測したときに、「大多数は米国を使ってるのにコイツいつも特定の国しか経由してないな」となるので、推奨値はできるだけ少ない方がいいね。
特に人気なのは5eyes削りだね↓
「
GeoIPExcludeUnknown 1
ExcludeNodes {us},{ca},{gb},{nz},{au}
ReachableAddresses *:80,*:443
ReachableAddresses reject *:*
」
ぐらいがクライアント利用にはちょうどいいね。
最もonionサイトを持っているなら vanguardを入れることとEntryノードの監視が必要になってきますね。
Re: (スコア:0)
削りすぎると、監視側からTorトラフィックを観測したときに、「大多数は米国を使ってるのにコイツいつも特定の国しか経由してないな」となるので、推奨値はできるだけ少ない方がいいね。
昔はそれでも良かったのだけど近年はCDNでチェック入るようになっちゃって
実質つながらないか
色んな情報オンにしてCAPTA通さないとつながらないか
みたいになってるのよね
まぁ悪用に使える通信手段でもあるから仕方ないのかねぇ
Re: (スコア:0)
httpsにしちゃうと、失効を確認しにいっちゃうとか色々有るのですかね。
Re: (スコア:0)
OCSP で失効確認するのは Firefox 位では? CRL での確認ならバレるのはせいぜい発行元 CA。
*.onion の validation をどのように担保するのか問題があるので、 Let's Encrypt を含むどこの CA も証明書を出してくれないためでは。
Re: (スコア:0)
Torなんて勉強しても何の役にも立たんだろ
他の手段もあわせて保護が必要 (スコア:0)
・ノートPCに暗号化VM入れて行う
・野良AP使う
・tor使う
3つ組み合わせて、torが破られても他の方式でプライバシー保護する必要がある
どれだけ通信を秘密化しようとしても (スコア:0)
京都府警の捜査が全てを白日の下にさらしてしまうので無意味でしょうね。