Dziwny jest ten świat

… to mało powiedziane ! ;-)

Anonimowość w internecie – TOR

Wpis dla ludzi trochę bardziej obeznanych w temacie.

Nie będzie gotowego przepisu co i jak zrobić, będzie trochę z innej strony. Rzecz trochę bardziej zaawansowana dotycząca czegoś co się zwie Tor.

Dan Egerstad z Deranged Security ujawnił szczegóły eksperymentu, w wyniku którego niedawno upubliczniono loginy i hasła kilkudziesięciu ambasad i innych instytucji rządowych z całego świata. Informacje te zebrano podsłuchując ruch sieciowy, wychodzący z serwerów Tor.

Sieć Tor zapewnia anonimowość nieporównywalną z żadnymi wcześniejszymi anonymizerami – każdy pakiet w Torze przechodzi przez trzy węzły wybrane przypadkowo z bazy około dwóch tysięcy działających stale na całym świecie.

Z punktu widzenia klienta – np. przeglądarki WWW – Tor jest lokalnym serwerem proxy dostępnym przez protokół SOCKS. Ruch jest szyfrowany na trasie od klienta do pierwszego węzła, a także między wszystkimi kolejnymi węzłami. Ale odwołanie do strony HTTP oczywiście wyjdzie z ostatniego węzła Tor w postaci niezaszyfrowanej, bo nieszyfrowany jest sam protokół HTTP, a ostatni węzeł zadziała tutaj w roli ostatecznego klienta HTTP.

ale

Rola ostatniego węzła Tor jest więc kluczowa – jako jedyny na całej trasie ma on wgląd w niezaszyfrowaną treść sesji klienta. Fakt ten wykorzystał Dan Egerstad, właściciel Deranged Security – na kilku kontrolowanych przez siebie węzłach Tor zainstalował sniffer monitorujący niezaszyfrowane sesje POP3 i IMAP, wyłapujący w pobieranych mailach szczególnie interesujące słowa kluczowe („gov, government, embassy, military, war, terrorism, passport, visa” itd). Sesje te były logowane i to właśnie przypisane do nich loginy i hasła Egerstad opublikował wcześniej na swojej stronie. Wyglądało to tak:

Indian Embassy in Sweden 81.228.8.31 u81004859 Brdv8H5j Russian Embassy in Sweden 81.228.11.36 u86119749 y9z8ApZp

Kazakhstan Embassy in Russia 81.176.67.157 akmaral@kazembassy.ru 86rb43

W całej historii najbardziej zaskakujace jest to, że to administratorzy tych instytucji zasugerowali użytkownikom korzystanie z Tora. Zapewne po to, by uniknąć lokalnej inwigilacji w kraju, z którego łączyli się do serwera. Niewybaczalnym błędem jest jednak niestosowanie szyfrowania SSL, które jest przecież dzisiaj standardowo obsługiwane przez większość klientów i serwerów POP3 i IMAP. Być może administratorom wydawało się, że Tor zapewnia szyfrowanie punkt-punkt, od klienta do serwera – tak jednak nie jest.

Egerstad na swoim blogu wyjaśnił, że podsłuchanych zostało w większości znacznie więcej haseł i loginów niż te 100 opublikowane na jego stronie. W rzeczywistości miały ich być „tysiące”, co jest w pełni możliwe.

Podkreślmy więc jeszcze jeden raz – Tor gwarantuje anonimowość, ale Tor nie gwarantuje prywatności. Większość serwerów Tor prawdopodobnie nie podsłuchuje ruchu, ale takiej gwarancji nie mamy. Standardowy użytkownik nie ma wpływu na ścieżkę, jaką wędrują jego dane – trzy kolejne węzły są wybierane losowo. Każdy węzeł może być węzłem pośrednim (wtedy widzi tylko zaszyfrowane dane), albo węzłem końcowym (wtedy widzi oryginalną treść sesji użytkownika).

Co istotniejsze, każdy może uruchomić nowy węzeł Tor i podłączyć go do publicznej sieci. Także z intencją celowej inwigilacji lub kradzieży danych. Użytkownikowi nie przeszkadza to, jeśli oczekuje anonimowości, bo węzeł końcowy nie wie kto i skąd wysyła dane. Ale jeśli w sesji Tor przesyłane są informacje wrażliwe (loginy, hasła, treść korespondencji) to krytyczna jest również ochrona poufności – i o to musi zadbać już sam użytkownik.

Źródło: ipsec.pl

‚Ludzie internetu’ radzą by używać wszędzie gdzie się da ssl, kiedy używasz tor’a nie używaj swoich haseł.

Drugi artykuł:

Wykrywanie proxy i prawdziwego adresu użytkownika sieci Tor
Grupa ha.ckers.org przedstawiła opartą o JavaScript technikę wykrywania prawdziwego adresu osoby wchodzącej na stronę przez dowolny system anonymizujący – np. Tor.Technika działa bardzo skutecznie, także jeśli użytkownik łączy się przez Tor. Działa w ten sposób, że w kodzie ładowanej strony zawarty jest JavaScript, który samodzielnie generuje połączenie TCP do serwera ale nie bezpośrednio tylko za pomocą Javy. Obchodzi w ten sposób ustawienia proxy przeglądarki (a w ten sposób zwykle łączymy się do sieci Tor), co można sobie podejrzeć w kodzie źródłowym strony zwracanej przez to CGI.W komentarzach do artykułu z ha.ckers.org wskazano również na analogiczne techniki, które można zrealizować przy pomocy Flasha (hackademix) oraz na wcześniejszy projekt DeCloak robiący to samo i opublikowany przez HD Moore z Metasploit.Jak się przed tym mogą zabezpieczyć użytkownicy Tora? Przede wszystkim wyłączając Javę i JavaScript, na przykład za pomocą NoScript.

Źródło: ipsec.pl


Więc da się….

Z drugiej strony…

Przykładowo ktoś wymyśla super ekstra projekt „torix” który to gwarantuje „anonimowość”. Ludzie tego poszukiwali, chcieli tego, więc damy im to! No i dano z jednym małym haczykiem o którym nikt nie wie (jak na razie) że tak naprawdę to wszystko pic na wodę. Serwery są „nasze” kontrolujemy je.Nagle ktoś z poza „układu”, odkrywa nasz haczyk… więc coś trzeba zrobić… co?

Luty 18, 2008 - Posted by | Inne | , ,

1 komentarz

  1. bardzo ciekawy artykuł, myślę że powinny powstać projekty które nie będą mieć wad powyższego TOR’a.

    Komentarz - autor: allplayer | Czerwiec 17, 2009


Sorry, the comment form is closed at this time.

%d bloggers like this: