パスワードを忘れた? アカウント作成
15647915 story
セキュリティ

米中央情報局、Tor 経由でロシアからの情報提供を求める 9

ストーリー by nagazou
安全安心 部門より
headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

  • by Anonymous Coward on 2022年05月10日 16時15分 (#4246674)

    情報提供要件の「CIA 側から安全に連絡可能な連絡先」が用意できる人間には釈迦に説法なことしか書いてないような気がするんだが...
    あと、「自宅や職場のコンピューターを使用しない」人で新規に情報提供したい人も現実的にはあり得ないような気がする。スマホとかだとさらに紐づけしやすいし。

    ここに返信
  • by Anonymous Coward on 2022年05月10日 16時30分 (#4246685)

    接続除外すべき監視国家が増えすぎてもう使い物にならんのだがなんかの罠なんだろうか

    /*
    {AT},{AU},{BE},{BG},{CA},{CH},{CN},{CZ},{DE},{DK},{ES},{EU},{FI},{FR},{GB},{GR},{HK},{HU},{IE},{IL},{IS},{IT},{KR},{LT},{LU},{LV},{MY},{NL},{NO},{NZ},{PL},{PT},{RO},{RU},{SE},{SG},{TR},{UA},{US}
    ExcludeExitNodesとExcludeNodesの配分はご随意で
    ただしExcludeExitNodesで漏れると接続先との情報が漏れるので要注意
    日本から使うなら{JP}も追加だねぇ
    StrictNodes 1忘れると除外にも繋がっちゃうことままあるから要注意
    さーてどこが残るでしょうか
    */

    ここに返信
  • by Anonymous Coward on 2022年05月10日 18時19分 (#4246755)

    > ttps 接続に対応せず、http でしか接続できないようだ

    .onionドメインの通信は常に暗号化されていて、Exitノート経由ではなく 非Exitノード経由で行われますね。
    そのため、大多数の.onionサイトはhttpで始まります。一部例外として、真剣なサイトはhttpsで運営されていますね。

    > 接続除外すべき監視国家が増えすぎて
    > {AT},{AU},{BE},{BG},{CA},{CH},

    やりすぎるとスタンドアウト(目立つ)のでほどほどにね。
    削りすぎると、監視側からTorトラフィックを観測したときに、「大多数は米国を使ってるのにコイツいつも特定の国しか経由してないな」となるので、推奨値はできるだけ少ない方がいいね。
    特に人気なのは5eyes削りだね↓


    GeoIPExcludeUnknown 1
    ExcludeNodes {us},{ca},{gb},{nz},{au}
    ReachableAddresses *:80,*:443
    ReachableAddresses reject *:*

    ぐらいがクライアント利用にはちょうどいいね。
    最もonionサイトを持っているなら vanguardを入れることとEntryノードの監視が必要になってきますね。

    ここに返信
    • by Anonymous Coward

      削りすぎると、監視側からTorトラフィックを観測したときに、「大多数は米国を使ってるのにコイツいつも特定の国しか経由してないな」となるので、推奨値はできるだけ少ない方がいいね。

      昔はそれでも良かったのだけど近年はCDNでチェック入るようになっちゃって
      実質つながらないか
      色んな情報オンにしてCAPTA通さないとつながらないか
      みたいになってるのよね
      まぁ悪用に使える通信手段でもあるから仕方ないのかねぇ

    • by Anonymous Coward

      httpsにしちゃうと、失効を確認しにいっちゃうとか色々有るのですかね。

      • by Anonymous Coward

        OCSP で失効確認するのは Firefox 位では? CRL での確認ならバレるのはせいぜい発行元 CA。
        *.onion の validation をどのように担保するのか問題があるので、 Let's Encrypt を含むどこの CA も証明書を出してくれないためでは。

    • by Anonymous Coward

      Torなんて勉強しても何の役にも立たんだろ

  • by Anonymous Coward on 2022年05月10日 21時38分 (#4246875)

    ・ノートPCに暗号化VM入れて行う
    ・野良AP使う
    ・tor使う
    3つ組み合わせて、torが破られても他の方式でプライバシー保護する必要がある

    ここに返信
  • by Anonymous Coward on 2022年05月11日 10時25分 (#4247083)

    京都府警の捜査が全てを白日の下にさらしてしまうので無意味でしょうね。

    ここに返信
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...