TOR anonymity network: χρησιμότατο αλλα και επικίνδυνο

[random]

TOR anonymity network: χρησιμότατο αλλα και επικίνδυνο

 

Αν δεν καταλαβαίνετε περι τινος πρόκειται, τι ειναι tor, onion routers, exit nodes, κλπ. διαβάστε πρωτα:

wikipedia: Tor (anonymity network)

http://www.insomnia.gr/vb3/showthread.php?t=101976 (πριν 2 χρόνια. ολα ωραία τα έβλεπα )

e-pcmag.gr Ανώνυμο σερφάρισμα με τον browser Torpark

about http://tor.eff.org/

πως δουλευει http://tor.eff.org/overview.html

 

 

 

και τώρα να δούμε πότε ΔΕΝ πρέπει να χρησιμοποιούμε το TOR:

πάμε....

 

 

Ο σουηδός Dan Egerstad ( www.derangedsecurity.com ) έστησε 5 tor nodes σε διαφορετικές χώρες, έβαλε μερικά φίλτρα να ψάχνει για συγκεκριμένες λέξεις (πχ gov, government, embassy, military, war, terrorism, passport, visa) επι των δεδομένων που περνουσαν απο τα nodes του, και υπέκλεψε 100άδες λογαριασμούς email, passwords, και κείμενα απο αλληλογραφία πρεσβειών, εταιρειών και άλλων που χρησιμοποιούσαν το TOR network για περισσότερη "ασφάλεια".

Και τα δημοσίευσε 30/8/07 στο blog του... (Ναι, Τα accounts με τα passwords φόρα παρτίδα!)

 

πχ. Russian Embassy in Sweden (που πας ρε Πούτιν ξεβράκωτος; )

The Office of Dalai Lama

Japan Embassy in ?

και ο καλύτερος: Defence Research & Development Organisation Govt. Of India, Ministry of Defence , το πάσσγουορντ του ειναι (ήταν ελπίζω) το "password+1" Ελπίζω τα πυρηνικά τους να τα φυλάνε λίγο καλύτερα.

 

 

 

και έδωσε μερικά παραδείγματα απο exit nodes που θα μπορούσαν να κάνουν καθημερινά, αυτο που έκανε ο ίδιος με τα 5 πειραματικά του nodes:

• Nodes με όνομα devilhacker, hackershaven…
  
• Node hosted by an illegal hacker-group
  
• Major nodes hosted anonymously dedicated to ToR by the same person/organization in Washington DC. Each handling 5-10TB data every month.
  
• Node hosted by Space Research Institute/Cosmonauts Training Center controlled by Russian Government
  
• Nodes hosted on several Government controlled academies in the US, Russia and around Asia.
  
• Nodes hosted by criminal identity stealers
  
• Node hosted by Ministry of Education Taiwan (China)
  
• Node hosted by major stock exchange company and Fortune 500 financial company
  
• Nodes hosted anonymously on dedicated servers for ToR costing the owner US$100-500 every month
  
• Node hosted by China Government official
  
• Nodes in over 50 countries with unknown owners
  
• Nodes handling over 10TB data every month

To www.derangedsecurity.com χτές, και σήμερα και δεν ξέρω απο πότε ως πότε είναι μη προσβάσιμο. Μπορουμε να διαβασουμε τα αρθρα μέσω του Google cache, πχ.

DEranged gives you 100 passwords to Governments & Embassies

Time to reveal…

 

derangedsecurity.com

 

google site:derangedsecurity.com

 

μεταξύ αυτων και το "Where did we go?" στις 6/9, οπου υποψιάζεται (δίκαια ή άδικα) ..

Our site got shut down and we stood there not knowing why, couldnʼt get any information from anyone. You arenʼt going to like the answer we just dug up.

* American law enforcement officials requested DEranged Security to be taken down *

Woho, we pissed the US of! But why? Millions of people have already read the story and tens of thousands have those passwords. Monsters donʼt go away when you close your eyes. Security by obscurity in its finest hour, staring the US law enforcment!

--------------------------------------------------------------------------------

σχολια απο άλλα site

http://www.hackszine.com/blog/archive/2007/11/how_not_to_use_tor.html

http://www.schneier.com/blog/archives/2007/09/anonymity_and_t_1.html

http://www.heise-security.co.uk/news/95778

http://www.infoworld.com/article/07/08/30/Hacks-hit-embassy-government-e-mail-accounts-worldwide_1.html

 

--------------------------------------------------------------------------------

Αλλα ωραία απο τον Dan Egerstad

Airport fun and bluetooth security

 

How to steal a million

[great]

sorry αλλα ποσο βλάκας μπορεί να είναι κάποιος που χρησιμοποιεί anonimity proxy για να σερφάρει και μέσα από αυτό να πηγαίνει ας πούμε στο web banking του ή να μπαίνει στο paypal και τέτοια ??

 

αυτά είναι καλά αν θες να κατεβάζεις καμια τσόντα από το γραφείο ας πούμε και δεν θες να σε βρούν αλλα ως εκεί...

 

there is no patch for stupidity!

[ferongr]

To Tor δεν εχει καμμια σχεση με το proxy. Και νταξ, εφοσον δεν χρησιμοποιειται SSL και PGP, το Tor εχει τα ιδια προβληματα ασφαλειας σε περιπτωση καποιου κακοβουλου node. Απλα, το μεγαλο καλο του ειναι οτι δεν μπορει να σε βρει κανεις, που εισαι και ποιος εισαι. Μονο με αναλυση των πληροφοριων που στελνεις μπορει να γινει οτιδηποτε. Το δηλωνει καθαρα και στο site του Vidalia Bundle οτι το Tor δικτυο δεν κρυπτογραφει δεδομενα, απλα σε διατηρει ανωνυμο στο δικτυο.

[random]

Τα συγκεκριμένα "θυματα" δεν εμπαιναν σε web banking, άλλωστε ο Egerstad δεν έκανε υποκλοπή http traffic αλλα σε POP3 and IMAP. Αυτοι έστελναν υπηρεσιακά email μεσω TOR,

και αν δεις οτι μερικά ονοματα χωρών επαναλαμβανονται πολυ (Uzbekistan, Kazakhstan), σημαινει οτι τις ρυθμισεις δρομολόγησεις μεσω tor, το πιθανοτερο ειναι οτι δεν τις εκαναν οι απλοι χρήστες αυτων των pc, αλλα ηταν οδηγία και σετάρισμα απο το IT Dept αυτών των υπ.εξωτερικών για όλες τις πρεσβείες τους.

 

 

Αν και δεν βλέπω το λόγο να χρησιμοποιήσεις tor για web banking, ...λεμε τωρα...

Νομιζω οτι αν μπεις με SSL / https (και πώς αλλιώς να μπεις δηλαδή; υπαρχει τράπεζα χωρις ssl; ...) σε web bank, δεν θα ειναι δυνατη η υποκλοπή του περιεχομένου απο τους exit nodes.

 

το ειδα σε αλλο φορουμ και μ' άρεσε:

> Do you really trust Tor with you bank login?

 

 

No. Nor do I trust my ISP, their ISP, a backbone ISP, my bank's ISP.

or anyone else with my bank login. I don't even particularly trust my

bank site itself to be real honest, but I have no choice. The rest,

though, I can remove from the loop by using strong encryption.