Názory k článku
Provoz anonymního serveru v doméně .onion přes Tor

Mám zásadní otázku, srovnatelnou snad jen s otázkami typu "je bůh" nebo "co je po smrti" a "odpověď na základní otázku Života, Vesmíru a vůbec.".
Tedy: Budou mě mít lidi rádi, když přes to budu stahovat giga porna?

Tor z casu na cas pouzivam ale ta siet je tak pretazena ze to pego si skor stiahnes mobilom.

Na stahování to samozřejmě není, video je u toru blokované, myslím že ani archiv nejde stáhnout, nezkoušel jsem. Ale web na tom jde dobře a řekl bych že i rychle. Pokud se adblockem vypnou reklamy, tak vůbec.
Jinak moc dobrý článek. Internet má obrovský potenciál na totální kontrolu a tohle jsou věci, které budou v budoucnu velice důležité.

ANONYMITA A SVOBODA JSOU SESTRY!!!

Videa blokované nejsou, to by pak asi těžko byla svobodná síť. Jedinný problém je, že stahování velkých souborů se občas přeruší a ne vždy je možné ho navázat.

To samozřejmě zaleží na tom, s jakýma lidma se bavíš :).
Ale ne, přes TOR stahuješ strááááááááááááášně pomalu, ale pokud si chceš připadat jako v době modemů, klidně do toho ;).

Muj svuj nazor necim podlozit?

Co třeba mít kontrolu nad dostatkem uzlu v síti?

najdi si paper, kde odhalovali vlastniky tor webu podle ruznych "otisku" (verze http server atp)... zadna velka novinka pod sluncem :)

Samozřejmě pokud je server dostupný i bez toru, lze ho odhalit. Pokud ale poběží ve virtualizovaném prostředí a bude dostupný jen přes tor, není způsob, jak jej identifikovat.

To samé pro maskování se jako uživatel - pokud budu mít nějakou exotickou kombinaci pluginů v prohlížeči, fontů, ... (jako třeba že tyhle informace nebudu vůbec posílat ;-) ), tak jsem s jistou pravděpodobností identifikovatelný, i když se připojím přes jiný výstupní uzel. A pokud používám stejný prohlížeč i bez toru, tak riskuju odhalení skutečné IP. Takže ideální je opět použít virtualizovaný systém v "defaultním" nastavení (třeba Ubuntu jen s doinstalovaným torem) - tím se obejde i případné ovládnutí systému přes nějaký exploit.

pokud někdo nasadí/ovládne dostatečně velký počet strojů a tím zvýší pravděpodobnost, že vaše komunikace proběhne jen přes jeho uzly, ztratíte tím anonymitu a nepomůže vám ani "pročištěné" info, které posílá váš klient. nedivil bych se, kdyby některé inf. služby už toto neprováděly - mít všechny ty úchyláky a teroristy pěkně pod jednou sítí ...

Mnoho zajimavych utoku je popsanych v prednasce "How governments have tried to block Tor": https://www.youtube.com/watch?v=DX46Qv_b7F4

Dingledine tam mimo jine rika, ze zatim vsechny ostatne reseni mimo Toru meli za dusledek vezeni a/nebo smrt. Nejvetsi problem je, ze mnoho "anonymizacnich" reseni drzi logy a vyda je policii, nebo je designovano a provozovano lidmi, kteri si jenom mysli, ze ich reseni funguje (pozor na ruzne VPN).

V distribucich casto nejsou dostatecne aktualni balicky (hlavne kdyz se jedna o security updaty; znam asi jen Gentoo, ktere miva obycejne aktualni tor).

Tor ma deb a rpm repozitare:

https://www.torproject.org/docs/rpms.html.en
https://www.torproject.org/docs/debian.html.en#ubuntu

Navic pro prohlizeni webu je silne doporuceno pouzivat Tor Browser Bundle. Obsahuje opatchovany Firefox, ktery natvrdo zakazuje binarni pluginy (jediny, ktery lze explicitne povolit, je flash), anonymizuje user-agent, screen resolution, fonty a jine informace pouzitelne na identifikaci. Navic ma predinstalovan NoScript a HTTPS Everywhere.

A co Arch?

Arch jsem uz dlouho nepouzival, takze nevim. Lze to ale porovnat podle changelogu.

community/tor 0.2.2.35-1

Není lepší, než "anonymizovat" user-agent a další informace o prohlížeči, použít podvržené, co nejobecnější informace? Například IE8, 1280x1024, font MS Arial? Co vlastně znamená ta anonymizace firefoxu?

"Ta anonymizaze firefoxu" znamená, že se použijí "podvržené, co nejobecnější informace". Není nad to navrhovat zlepšení, aniž by člověk věděl, jaká je původní funkčnost.

Já jsem se ptal, protože nevím, jak to funguje. Nic jsem nenavrhoval.

Podrobnosti lze nalezt v gitu:

https://gitweb.torproject.org/torbrowser.git

Hlavni zasada je, aby vsichni vypadali "stejne".

Nekde je i design document, ktery popisuje, proti cemu se jak brani, ale neumim to ted vygooglit.

Dá sa bežne zistiť, či užívateľ používa Tor sieť? Je to nejak viditeľné v sieti?

Presne si nepamatuju, ale myslim, ze loni v Iranu analyzou ne-krypto paketu (SSL handshake pri zakladani prvni vrstvy cibule?) fizlove mohli s vysokou mirou pravdepodobnosti odhadnout, ze se uziva Tor, pouhym pohledem na hodnotu expirace certifikatu - byla asi dvouhodinova a jednorazova, navic jeste bez CA. Dost netypicky. Takze takove spojeni proste utli hned v zarodku.

Behem chvilky ale tvurci TORu vydali patch, ktery tohle chovani certifikatu zmenil.

Jj, Iran mel na to nejake deep-packet-inspection boxy. Jenze firma, ktera jim to dodala, se pak o to nestarala. Ono je to porad hra na kocku a mys

Tor ma dlouhodoby cil aby jeho traffic vypadal "co nejmene napadne", ale tam je spousta veci, ktere se musi osetrit. Tudiz kratka odpoved: lze to poznat.

Nejvtipnejsi bylo jak museli zmenit randomizovat parametry Diffie-Helmana (myslim prave ten pripad Iranu), Appelbaum si delal srandu, ze je to dalsi cenzurovane cislo.

Da, celkem snadno, protoze se da i velmi sandno ziskat seznam tor GW, ale to je informace knicemu - proste vedi, ze dany uzivatel pouzil tor.

nektery weby jako abclinuxu.cz pouzivaj silene ultra-kchůl haj-sophisticated algoritmy na detekci pristupu pres Tor, tak bacha na to ;-)

Ako napríklad verejný zoznam tor exit nodov? :D

Neviem, ale mne sa skôr pozdáva Freenet, kde človek na zdieľanie nepotrebuje server, pretože samotná sieť funguje ako jedno veľké úložisko.
V prípade Tor-u je totiž potrebné mať buď poriadne pripojenie a server bežiaci 24/7 alebo dôveryhodný hosting.
V prípade Freenet-u sa webová stránka/dáta nahrajú niekde do siete a človek nemusí nič viac riešiť. Iba to spropagovať.

Ako bolo písané v článku, je možné to rozbehať bez problémov na notebooku a teda aj na potrebný čas, potom to môžeš vypnúť. Predsalen nahrávať dáta niekam, kde nevieš ako sa k nim správajú je "nebezpečnejšie" než ich nazdieľať od seba anonymne. Mne sa možnosť z článku páči viac než Freenet, alebo som ten článok pochopil zle? :)

Keď nahráš súbor do siete Freenet, tak sa zašifruje, rozdelí na menšie časti a tie menšie časti sa nahrajú/zduplikujú kade tade po nodoch v sieti.
Keďže konkrétny nod netuší, čo vlastne má u seba, tak ani nemôže selektívne k tvojim dátam pristupovať inak ako k ostatným.

Máš pravdu, server v sieti Tor môže bežať len keď treba, ale potom treba synchronizovať svoje správanie so správaním sťahovača. Ako dalo by sa to, ale ak chceš osloviť viacero sťahovačov, tak zrejme bude potrebné mať server/PC pustený 24/7 (iba ak by si to nahral na nejaký fileserver a lá rapidshare).
V prípade Freenetu to raz nahráš, pošleš kľúč sťahovačom a nič viac neriešiš.
A nakoniec, Freenet funguje skôr ako p2p, takže nemusíš riešiť záťaž servera/PC alebo konektivitu ak chceš osloviť veľké množstvo sťahovačov.

(slovo sťahovač prosím berte neutrálne. Použil som ho na označenie človeka, ktorý bude príjemcom dát)

POchopil si neco uplne jinyho, kdyz chces provozovat srv, tak nejspis proto, ze chces aby bezel furt, pripadne chces, aby data byla dostupna dlouhodobe. Nevyhoda pristupu pres tor je ta, ze kdyz prijdes (z libovolneho duvodu) o server (nebo o ta data), tak proste prestanou existovat. V siti freenet tohle neplati, protoze data jsou ulozena opakovane na ruznych mistech => pokud se odpoji puvodni zdroj, nic to nemeni na dostupnosti dat.

Freenet je decentralizované anonymné p2p úložisko. Keď vypneš svoj počítač, tvoj súbor v sieti stále existuje. Je pravdou, že časom sa málo populárne dáta stratia a budú nahradené novšími, ale to v prípade jednorázového stiahnutia v rozmedzí pár dní/týždňov nevadí. Avšak na druhej strane, populárne dáta zo siete nikdy nezmiznú (nepočítam výraznú zmenu/aktualizáciu fungovania protokolu).

Freenet má jednu pořádnou nevýhodu - neumí swarm, takže nejde stahovat stejný kousek dat od více zdrojů najednou. Tohle umí Perfect Dark, ale ten zase není open source a není jisté, jestli už jeho bezpečnost není kompromitovaná. Perfect Dark není OSS protože není obecně vyřešen problém vynucení poměru uploadu/download a také kvůli bezpečnost - "security by obscurity". GNUnet swarm myslím má, ale chybí rozumný klient pro Windows a tudíž i uživatelská základna.

Čím víc poroste počet uživatelů anonymizačních sítí a tak tím víc vzroste jejich přenosová rychlost. Takže stačí počkat na dosažení kritické meze (uživatelské i obsahové) po které to poroste exponenciálně :-)

A tím vzroste počet uživatelů, do jejichž domácností naběhne policie, aby jim v kontextu nové doby zabavila počítače, neb shodou okolností se v Toru stali koncovými uzly, které načítaly nelegální obsah z nešifrovaného internetu pro jiné uživatele bezpečně schované kdesi pod cibulovými slupkami...

no, ak prevadzkujete len Tor relay server, tak toto nehrozi

A ja pre istotu povolujem iba SSL protokoly (HTTPS, IMAPS) pre moj Tor exit node, to by tiez malo byt relativne bezpecne, kedze nikto na ceste nevie, ake data su vnutri.

Naopak, provozovat gw toru je naprosto ultimatni reseni vsech problemu. Zabaveni PC nepredejdes, ale dokonale eliminujes moznost ti neco dokazat na zaklade toho ze "tvoje IP".

+1
Stačí také provozovat free wifi :-)

To vyprávějte těm, kteří nasdíleli svou IP celému domu, a shodou okolností byl jeden z obyvatelů sexuálně orientován směrem do nelegální oblasti.

Takže i když vlastník IP adresy byl možná v pohodě, jeho počítače (i s jeho daty) si poležely na policii.

http://www.novinky.cz/krimi/184705-zridil-internet-pro-sousedy-nyni-jej-maji-za-pedofila.html

To ovšem mluvíme o dnešní době, zajímat by nás spíše měly zákony, které by potencionálně mohly platit za pár let. A politický "problém" s uživateli Toru lze vyřešit právě kriminalizováním vlastníků uzlů...

> A politický "problém" s uživateli Toru lze vyřešit právě kriminalizováním vlastníků uzlů...

Nepochybne, to uz zele nebude nikdo moci predstirat, ze charani svobodu slova nejak podstatne vice, nez Cina nebo Saudska Arabie. Zakazte Tor a zaradite se do stejneho tabora, jako oni. Okecavacky by sezrali snad akorat tak Americani, kdyz se jim to namoci do nejake omacky o boji proti tomu terorizmu.

V boji proti terorismu předváděj leccos: https://docs.google.com/viewer?url=http://info.publicintelligence.net/FBI-SuspiciousActivity/Internet_Cafe.pdf&chrome=true&pli=1

Ono to lze pouzit i opacne - proti politikum.

http://www.reddit.com/r/politics/comments/p6qvs/this_is_a_calling_for_all_pornographic_sites_to/

Trololo.

Možná mám někde logickou chybu, ale připadá mi, čistě z principu toru, že jeho uživatelé se skrývají za identitu výstupních uzlů, které se hlásí k cílovým serverům - pokud tedy použiju tor k tomu, abych skryl svou identitu, vystavuji se zároveň riziku, že budu zodpovědný za činy, které provede někdo jiný, který skryje svou identitu za mne? Jistě, mohu zakázat použití svého uzlu jako koncového, ale kdyby to udělali všichni, tak bude tor k ničemu... a věřit že všichni používají tor čistě proto, aby si mohli číst články na rootu a zmátli statistiky přístupů, to asi taky nebude ono :-).

A schválně, jestli pak pomůže obhajoba typu: "Je to sice moje auto, ale nevím, kdo jej řídil."

Lepší obhajoba je spíš "Ohledně řidiče předmětného vozidla odmítám vypovídat" ...

Pokud ale vím, zatím není nelegální být TOR uzlem a když přijde policie, řeknete "Já o ničem nevím, to byl asi někdo přes TOR" a nemůžou vám nic dokázat.

mozno by bola zaujimava finta stahovat nejake nelegalne veci a zaroven mat pusteny tor exit node ako alibi - pride policia - "to som nebol ja".
Najvacsi problem mozu byt ISP - zvycajne maju v podmienkach, ze svoje pripojenie nesmiete poskytovat tretim osobam okrem blizkych osob (resp. osob zijucich v spolocnej domacnosti).

Policiejní razie nebo změna ISP? Mám vybráno :)

A co budete dělat, až vám policie řekne, "Sorry, my s tím nemáme nic společného, že novináři vypátrali, že jste pedofil. Na ty články, které vám zničily život, si stěžujte jim." Co budete dělat, až vám soudce, který počítačům nerozumí a nevidí rozdíl mezi tím, co stahuje váš počítač, a tím, co stahujete vy, řekne, "Důkazy mi stačí, vinen." TOR je teoreticky super věc, ale v praxi naráží na řadu nepříjemných problémů.

Soudce rozhoduje na zaklade dukazu (samozrejme v idealnim pripade ...) a dokazat rovnitko mezi IP a konkretni osobou je prakticky nemozny (ve skutecnosti nevim o zadnem pripade, kde by se to povedlo). Proto jak sem napsal vejs je tor ultimatni reseni - znalec najde tor, samozrejme (pokud je to opravdu znalec) vysvetli soudci co to +- je, soudce zjisti, ze nelegalni to neni a ze zadny zakon (zatim) nestanovuje odpovednost majitele HW ... a ... tim to tak nejak skonci.

To je právě to, co mám na mysli, když píšu, že "teoreticky je TOR super".: celý ten váš řetězec stojí a padá s tím, že zúčastnění budou fungovat podle západoevropských právních principů. Bohužel neznám stát, kde by to takhle fungovalo.

v takom prípade ťa to už vôbec nemusí zaujímať (ak si sa už predtým nezdekoval do nejakej normálnejšej krajiny), pretože keď bude treba, niečo sa na teba nájde.
Či už preto, že sa budú chcieť zbaviť skutočného disentu alebo iba preto, aby si vyšetrovateľ mohol vypýtať úplatok.

V USA uz definitivne doslo k obvineni provozovatelu vystupniho Tor uzlu. V Nemecku uz definitivne bylo postaveno rovnitko mezi IP. A presto nemuzete vsem americanum/nemcum rict "Kaslete na opatrnost. Stejne na vas neco najdou." To by bylo naprosto odtrzene od reality.

oprava: rovnitko mezi IP a fyzickeho uzivatele

V tom smyslu, ze k odsouzeni stacil log ISP - a to i v pripade silnych polehcujicich okolnosti (napr. rodina, ktera nikdy nemela pocitac).

Brzo bude velice výnosný business pronajímat VPSka někde, kam tohle nové GESTAPO nedosáhna.....

Provozovatel exil node se stava spolupachatelem. Je to, jako bych půjčil neznamemu cloveku občanku/kreditku a řekl mu, ať si děla co chce...

Občanku ne. Spíše auto nebo motorku. V takovém případě ale spolupachatelem není. Zatím.

Auto? Take uz funguje na Slovensku, ze za dopravne priestupky spachane autom je zodpovedny majitel, tzv. objektivna zodpovednot.

U nás je podobná prasárna taky schválená, ještě nevstoupila v platnost. Jsem zvědav jak to dopadne až to v platnost vstoupí a někdo to dotlačí až k ústavnímu soudu, jestli to shodí nebo ne ...

http://www.youtube.com/watch?v=DX46Qv_b7F4

Mimo jiné je v té přednášce zmínka o tom co dělal vodafone a všem o tom lhal.

Mimo jiné je v té přednášce zmínka o tom co dělal vodafone a všem o tom lhal.

Vhodnější by bylo říci, že je v té přednášce zmínka, že neexistuje firma, která by byla ochotná odepsat část výnosů nedodáváním know-how/hw podivným režimům.

Další zajímavou možností anonymního sdílení materiálů je Freenet. Je to decentralizovaná síť s některými velmi zajímavými aspekty.

BTW, ten tor2web a onion.to vám fungují? Mě se přes to nedaří nic načíst.

Anebo CZFree.net :-)

Tohle bude za chvili asi jedina moznot, jak neco publikovat. Zacina byt husto, pokud mate domenu .com nebo .net, staci to k tomu, aby vas Amici povazovali za soucast sve jurisdikce, protoze DNS dotazy lezou pres jejich servery a mohou pozadovat vase vydani na dovolenou na Guantanamu s waterboardingem:

http://www.guardian.co.uk/law/2012/jan/13/piracy-student-loses-us-extradition?INTCMP=ILCNETTXT3487

[notice] Tor v0.2.2.33 (git-56122e2e9be4c477). This is experimental software. Do not rely on it for strong anonymity.

Taky by nebylo spatne konecne zavest SSL pro weby iinfa (root, lupa, mesec...). Podle Adama Langleyho je overhead SSL tak 1-2% (data z nasazeni SSL na googlich sluzbach):

http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

Jiny dobry napad je preferovat cipher-suites zarucujici perfect forward secrecy (napr. ECDHE-xxx):

http://www.imperialviolet.org/2011/11/22/forwardsecret.html

Mirne zvlastni je, ze Google preferuje RC4 pred AES. Z googlich blogu je zrejme, ze to delaji kvuli rychlosti. RC4 ma jiste teoreticke trhliny a je tezke pouzit spravne, nastesti zrovna v SSL se neprojevuji (na rozdil od fiaska s WEP).

Už jsem takové návrhy slyšel, ale ještě nikdo mi nevysvětlil k čemu by to bylo dobré. Root je veřejný web, všechny informace na něm jsou dostupné celému internetu. Proč je šifrovat?

Vpravo hore, položka "Přihlásit". A odchytené heslo. Keby to využívalo štandardnú http auth a digest, nebol by to asi taký problém. Prípadne man-in-the-middle alebo hack DNS servera a podvrhnutý obsah stránok. Napr. niečo hanlivé o Petrovi Krčmárovi :-)

1) login (viz predchozi)
2) kdyz bude soused poslouchat na lince, tak kdyz sem napisu ze je vul a on si to precte, tak vi prd ze sem to psal ja, pokud to napisu pres https. Vite to vy a vim to ja, ale nikdo poceste.

Google, Youtube, Duckduckgo, Abclinuxu jsou taky verejne weby a vsechny pouzivaji HTTPS.

SSL krome tajnosti zarucuje i integritu (podobne jako DNSSEC, kdyz uz ma iinfo podepsane domeny). Sifrovana spojeni navic delaji odposlouchavani nebo automaticky profiling velmi tezky (a cim vetsi procento sifrovanych spojeni, tim tezsi odlisit podstatne a nepodstatne spojeni). Sifrovana spojeni nelze filtrovat (ve smyslu ruznych blacklistu ktere se vynareji).

Peter Eckersley (autor HTTPS Everywhere) urcite nekde uvadi velmi kratky a trefny duvod, jenom si ho uz nepamatuju ;-)

Pak jsou ty login hesla, ktere jiz zminovali jini. Tudiz je spis je otazka: proc ne?

> ale ještě nikdo mi nevysvětlil k čemu by to bylo dobré

V praci mame blokovane URL ktore maju v nazve "free" (zrejme kvoli stahovaniu free aplikacii), takze si napr. neprecitam http://www.root.cz/clanky/linuxove-standardy-od-free-standards-group/, ja konkretne som na to narazil ked som pracovne riesil problem s uvolnovanim pamate a v url bolo nieco ako "using-malloc-and-free". Pri HTTPS sa url filtrovat neda. Samozrejme ze som zavolal IT oddelenie, a za necele dva dni som sa uz na tu stranku dostal, ale je to otrava. Keby vsetky weby pouzivali SSL tak taketo problemy nemusim riesit.

Tor nás nezachrání. Jak už psali jiní, buď se zakáže, nebo bude odpovědnost za připojení. A nikdo z nás na tom nic nezmění.

https://eta.securesslhost.net/~pgpboar/viewtopic.php?f=2&t=563&sid=bd36f28cb0b73dc1231f1d814c151ca2

Oh for fuck's sake, funding od US government je davno verejne znamy - maji to napsano na oficialnich strankach: https://www.torproject.org/about/overview.html.en

To uz i ten IPSEC BSD bug byl lepsi konspirace. Ale zato Appelbaum nema uplne spatny plat ;-)

"Je svobodnej?" Yes: https://gitweb.torproject.org/tor.git
Don't trust the source? Read peer-reviewed papers.

"Now why would the US Government be doing this in the prevailing climate of Assange, Wikileaks, and whistle blowing etc. maybe promoting Tor as a secure conduit for global whistle blowers? Now there is a thought."

Ze stejneho duvodu proc existuji lidi v US goverment branici se plosnemu odposlechu (https://secure.wikimedia.org/wikipedia/en/wiki/Thomas_Andrews_Drake). Vlada kazdeho statu je velika, a obsahuje cele spektrum lidi od decentnich az po vsechny druhy vorezprutu.

Mnohem lepší možnost pro anonymní servery je I2P, který je na to přímo stavěn. Tor je primárně stavěný jako anonymizační proxy, což funguje dobře a i celkem rychle. Onion servery jsou ale spíš jen taková nadstavba a bohužel fungujou hodně pomalu. Jelikož I2P je ale přímo na ně dělanej, tak v něm jsou mnohem rychlejší. Bylo by zajímavý udělat článek o I2P ;)

Moje zkusenost je opacna nez uvadis. Spojeni s dualnim serverem povesenym na I2P i Toru bylo vzdycky na Toru rychlejsi a nepadalo. Na I2P byl problem GETnout file nad 500KB.

Jsem proti ACTA, ale odměnu si autoři zaslouží!

Proto jsem se pokusil vymyslet způsob jak je financovat, který ale zároveň zruší nějakou potřebu vynucovat kopírovací monopol nebo hloupé snahy o prosazování DRM.

Několik faktů:

Kdo je největším spotřebitelem digitálního obsahu, tedy písniček a filmů? No přece děti a mladiství! Tedy lidé kteří obecně nemají snadný přístup k možnosti vydělat peníze, ať již kvůli věku a nebo dennímu studiu. Tito zkrátka raději strpí trochu nepohodlí získáváním obsahu nelegálně bez nutnosti obstarávat si na něj peníze, a to bez ohledu na tržní cenu produktu. Ani nízká cena by nemusela u této skupiny být zárukou že se stanou platícímí zákazníky, protože každá korunka je dobrá a může být utracena za hmatatelný produkt. Je tedy třeba vyřešit otázku, jak získat od této skupiny nějakou protihodnotu která poslouží jako platba za mediální obsah.

Jak asi všichni víme, nejeden puberťák si na rodičích vydupe pořádnou mašinu s výkonným vícejádrovým procesorem, grafickou kartou a množstvím paměti, o diskové kapacitě nemluvě (povšimněme si že jednorázová investice za hmatatelný produkt nedělá lidem problémy). Taková průměrná hráčská sestava svojím výkonem překonává i to nejlepší, co bylo před takovými deseti lety dostupné pouze vědcům na univerzitách, přitom ale tento výkon není ani zdaleka využit.

Zde se nabízí řešení plateb které si budou moci dovolit i teenageři a nebudou přitom muset sami vykazovat žádnou významnou práci navíc. Nainstalují si program podobný SETI@HOME (tedy klienta BOINC) který bude provádět distribuované výpočty a spustí ho během doby kdy budou třeba ve škole. Pokud dovedou naklikat LOIC a nebo HOIC při DDOS útoku na nějaký ten server, zvládnou zajisté i tento úkon. Klient BOINC funguje tak, že si ze serveru stáhne aplikaci shopnou něco počítat (ta by mohla být schopna využívat třeba nvidia CUDA pro masivní paralelní výpočty na gracických kartách...) a tato aplikace si dále tahá kousky dat které je třeba zpracovat a výsledky posílá zpět a žádá si o další a tak furt dokola. Tímto způsobem je možno vytvořit superpočítač schopný řešit i ty nejtěžší vědecké úlohy současnosti, protože je možno zapojit ohromné množství počítačů - tisícem, ba dokonce i desetitisíce. Takže správce této infrastruktury by měl k dispozici ohromný výpočetní výkon, který by mohl pronajímat průmyslu, který by za něj platil. Tyto peníze by potom sloužily jako poplatek autorům a na pronájem studií nebo třeba natáčení filmů. Filmy by byly volně dostupné ve službě podobné megauploadu nebo dokonce distribuovaně mezi uživateli pro rychlejší přijetí a menší náklady - v podstatě by soubory byly nahrány u uživatelů a nějaký algoritmus by chytře řešil aby zatížení internetové sítě při stahování bylo minimální.

Při přístupu k oblíbenému obsahu by ale samozřejmě vytížení bylo veliké, a zde by přišla na řadu další vlastnost programu - rychlost stahování by byla závislá na množství dat, které který uživatel pomocí svého PC zpracoval pro tento výpočetní grid. Takže by existoval globální arbitr který jednak řídí výpočet, ale také sleduje kontribuci do systému. Sice by se nabízela možnost fake clienta, ale to by šlo určitě řešit nějakým tím chytrým algoritmem a nebo se prostě spolehnout na to, že oficiální klient se stáhne na oficiálních stránkách projektu, nahodí se a jede se. Lidé jsou líní a pokud budou moci mít svůj obsah zadarmo, tak mohou být pro toto i nadšeni. Mohly by se dělat třeba soutěže o nejlepšího kontributora a případně třeba ukazovat videa jaké si postavili nadupané mašiny a podobně, využít tedy sociálnosti masy a snad i touhy člověka po férovosti.

Já osobně bych svůj PC nechal běžet aby něco počítal když na něm niz zrovna nedělám výměnou za zrušení kopírovacího monopolu, a jsem ochoten přistoupit na to aby tento výkon byl prodán třetí straně právě za účelem pokrytí nákladů autorů, kteří určitě také mají nárok na odměnu. Pro společnost je pak přínos v možnosti inovací v průmyslu, protože toto by byl velmi dobrý způsob jak lidi motivovat k zapojení se do výpočetního gridu. Tento výkon by pak mohl sloužit k návrhu nových výrobkům, tentokrát již hmatatelných, tedy by se musely někde vyrábět a dále tak poskytovat pracovní místa, v čemž je další přínos pro společnost. Kultura je pak vedlejší produkt výroby...

Procesorový čas je cenná komodita kterou se dnes nesmírně plýtvá, přitom by mohla být zpeněžena. Tohle je podle mě možné řešení výhodné pro obě strany sporu, protože nemůžeme do nekonečna mezi sebou válčit a hrát hru kočky z myší, je to zbytečné plýtvání zdroji lidskými i výpočetními. Copyright tak jak je dnes je mrtvý, a je proto třeba hledat jiné alternativy.

!!! TOMUHLE JÁ ŘÍKÁM KONSTRUKTIVNÍ ŘEŠENÍ !!!

Je proto čas pomalu přestat blbnout s dětinskými DDOS útoky, které už svůj účel upoutání mediální pozornosti splnily, a je naopak třeba začít pracovat na zákonech, které odpovídají dnešní době a potřebám.

Křičím: STOP ACTA!!! Je to totiž jak ze středověku... Pokud můžete, protestujte!

Ale na autory také nezapomínejme, jsme na nich tak trochu také závislí... no a proto tento nápad ;)

Někdo to rozpracujte, ať již jste v jakékoliv straně, nezapomeňte na veřejnou diskuzi s odbornou internetovou veřejností které tyto programy jako BOINC a podobně zná a bude umět poradit a vymyslet algoritmy které zaručí funkčnost a spravedlivost celého systému. Ten kdo první přijde a první prosadí nějaké takovéto rozumné řešení, získá hodně politických bodů u veřejnosti a mnohé hlasy prvovoličů, tak se toho chytněte, máte to tu doslova na stříbrném podnosu ;)

odkazy:

http://boinc.berkeley.edu/
- zde je možné vyzkoušet existující grid projekty a programátoři zde stáhnou základ pro tvorbu nového včetně nějakého toho manuálu

http://en.wikipedia.org/wiki/Berkeley_Open_Infrastructure_for_Network_Computing
- wiki v kostce o BOINC

Je to mnohem jednodussi:

Jak to vtipne napsal Terry Pratchett, "all you need to do is to make it easy for people to part with their money".

Staci udelat neco jako Steam, akorat pro filmy/hudbu. Flat rate + mozna extra platby za skutecne "nadstandarni" sluzby. Bez DRM. Zadne pay-per-each-view.

Zazil jsem konferencni hovor s EMI. Oh god please never again.

A hlavně: žádná nepřeskočitelná reklama a výhrůžky, jak je pirátění špatné, a žádné trailery na něco, co mě nezajímá. Koupil jsem si film, reklamu ať si dají na YouTube, kde za ten film neplatím.

Dokud budou pirátské kopie výrazně kvalitnější než originály, nemají originály moc šancí. Když už mě něco zaujme, koupím si kvalitní originál a následně jej upirátím, aby tam ty otravné věci nebyly (evidentně jsem zlý pirát a zasloužím deset let vězení).

Jak může být kopie kvalitnější jak originál?

Snadno, nemají ty reklamy a výhrůžky. To se do kvality taky počítá.

I pokud se pominou tyhle ptakoviny, tak pokud nekdo veme trebas audio CD a lehce ho zrepastureje, tak sice neziska "objektivne" lepsi zaznam, ale subjektivne muze ona "kopie" znit daleko lip.

BTW: Hlavni kvalitativni prinos je v tom, ze to "proste funguje" a zakaznik nemusi resit problem kde a jakym obskurnim zpusobem mu to pujde/nepujde prehrat.

Zajimavy clanek, i kdyz potrebuje pokracovani, protoze nyni zatim jen popisuje "reseni" na pul...
Uvedeny priklad pouziti na servru, co se tyce h.i.d.d.e.n. s.e.r.v.i.c.e.s - je de facto nepouzitelny :-(

Proc?
= DNS leaks

Jak uz v diskuzi naznacil "Jan Ťulák", reseni neodhaleni IP servru s bezicimi h.i.d.d.e.n s.e.r.v.i.c.e.s je pouze ve virtualizovane siti, skladajici se s nekolika virtualnimi PCs-OS, kdy jeden servr je prostrednik mezi HostOS a 1. virt. PC, ktery by mel mit 2 sitove karty.

1 karta pro spojeni s HostOS a druha pro spojeni s dalsimi virt. PCs-OS, ale nastavena jako na "internal only" - VirtuaBox, cili vnitrni sit mezi temi virt. PCs.

Na 1. virt. PC musi byt spravne a kvalitne nstavene iptables, na ostatnich -
c. 2 virt. PC by bezel Tor,
na c. 3 pak webserver (ne Apache, ten je prilis robustni a slozity pro anonymni nastaveni, resp. zamezeni veskerych moznych informaci o servru). Idealni wevservr, IMHO, nginx, lighttpd popr. cherokee.

Pristup na tyto virt. PC z HostOS nebo uplne zvenci, by mel byt pouze pres ssh.
Utocnik, popr. v budoucnu objevena prip. chyba v Tor-u by mela zpusobit pouze to, ze utocnik by mel zustat uzavren pouze v te vnitrni siti mezi c. 2 - c. 3, nemit zadnout moznost poznat HostOS...
Proto uvedeny priklad je nepouzitelny, protoze jen blazen by si Tor rovnou spustil na hlavni (HostOS) servr...

Mohli by jste p. Krcmar udelat pokracovani s podobne nastinenym scenarem, vcetne spravneho nastaveni iptables, s pouzitim v prostredi Debian (popr. pak i CentOS nebo RedHat) a s virt. sw: VirtualBox (a popr. i pak KVN apod.) ?
VirtualBox po nastaveni a vygenerovani vsech potrebnych virt. PCs/OSs lze pak z HostOS spoustet bez GUI, tedy v CLI ( VBoxManage startvm JmenoVirtPc )

Pokud nebudete delat pokracovani, ani tenhle clanek nema moc veliky smysl, protoze v teto podobe je reseni nepouzitelne.

Predem dekuji (za vsechny zajemce) za pokracovani.

P.S. Po napsani vys uvedeneho, musim pak "pul hodiny" hledat a propisovat "ty zakazane slova", pac mi to vyhazuje, ze byl prispevek vyhodnocen jako spam :-(
Udelejte s tim neco, protoze je to uz trapne a ubohe, ani smesne ne, kdyz - nevim co, jestli snad spec. znaky nebo - zkratka hledani a meneni nekterych slov, aby byl prispevek prijat :-\
Dekuji.

Z technického hľadiska by ma to tvoje riešenie zaujímalo, ale nastavovať si 3 virtuálne stroje ... to by musel byť poriadny dôvod....

Mam od jednoho typka jedno 'know-how' s pouzitim Ubuntu 9.x server verze + dokonce on pouzil i trucrypt disk, ktery nejdriv musi otevrit a ma tam obsah web stranek (webservru), z HostOS se pripaji (kdyz chce brouzdat) pouze pres ssh.

Na brouzdani staci si bud stahnout z tor stranek jejich torbrowser nebo TAILS LiveCD.
Ale pro prozvoz 24/7, abys zabranil hacku websevru nebo Tor-u...
Mas snad lepsi reseni ? :)
Sem s nim, urcite nejen me bude zajimat :)

A navic, pak kdyz to spustit v CLI, tak prumerne linux virt. OS nevezme vic RAM nez +/- 64-128 MB (musis si to vyladit tak, aby bezelo jen to nejnutnejsi). Takze se to da v pohode utahnout i na 2 GB RAM zeleze.

Lepšie nemám, skôr ide o primeranosť riešenia ku tomu čo si akože chrániš... Ak robíš fakt tvrdú protizákonnú činnosť a prípadne točíš peniaze, tak rozhodne máš pravdu. ja som skôr mal na mysli nejakú neškodnu aktivitu, že ked ťa vypátrajú tak sa nič nedeje, resp. nikomu by si za vypátranie nestál...

"...ja som skôr mal na mysli nejakú neškodnu aktivitu, že ked ťa vypátrajú tak sa nič nedeje..."
Tvuj dotaz, IMHO, neni spravne staven - jedna se pouze ciste o technicke reseni:
jestli je hidden skutecne hidden nebo ne.
Ono vzdy o neco jde, tak jako pokud mas u sebe strelni zbran, take ji muzes protizakonne pouzit nebo take ne - jde spis o technicke zvladnuti pouziti...

A Tor je velice specificka vec, ktera urcitym zpusobem funguje. To, jak a kcemu pouzijes hidden serv., je uz jijina zalezitost.
Me se jedna pouze o technickou stranku veci.

DNS leaks:
SOCKS5 umoznuje dat FQDN v connect commandu. Tor ma navic ohackovany SOCKS tak, ze umoznuje A/PTR/CNAME dotazy. Plna podpora DNS casem bude (je to potrebne napr. kvuli XMPP a SRV zaznamum).

Zatim "full DNS" lze ohackovat nainstalovanim unboundu lokalne a tunelovat dotazy na upstream resolver pres Tor se socat-em.

Zajimave cteni, ale muzes to napsat vice "cesky" ? :D LOL
Pochybuji, ze prumerny ctenar bude vubec tusit co tim myslis a uz vubec, jak to provest :D
Idealni by fakt bylo, napsat seriozni clanek - tech. reseni pro skutecne bezpecny provoz h.i.d.d.e.n. s.e.r.v.i.c.e.s...

A to jeste v clanku neni zminka o onioncat, coz by v pokracovanich bylo take zajimave, jak, kdy (a proc) (ne)kombinovat Tor + onioncat.

jezisikriste zase ta d.bilni hlaska:
"Váš příspěvek byl vyhodnocen jak spam (v textu byla použita zakázaná slova) a nebude přijat. Pokud se domníváte, že zadáváte regulérní příspěvek, pošlete nám ho prosím e-mailem do redakce na adresu redakce (zavináč) root (tečka) cz"

Vyjádřím se k hlášce o spamu: To druhé slovo se vyskytuje velmi často ve spamech, takže na něj filtr reaguje. Stačilo by použít český ekvivalent „skrytá služba“. Bohužel je to daň za to, že teď máme od spamu klid. Mimochodem jen na fórum to za posledních pár měsíců zkusilo přes 15K spambotů z Ruska. Většina z nich chrlí spam v angličtině, kde se nabízejí různé „služby,.půjčky, levné věci“ a podobně.

Ok :)
A zeptam se tedy - budete delat ty pokracovani? :)
Byla by skoda, kdyby ne, protoze - po technicke strance - je to zajimave tema.

Bude to pokračování článku nebo ne?
Mne by to také zajímalo.

Ani po tydnu zadna odpoved :O, takze asi ne.
Supr.

Podrobneji je to tady (Tails je liveCD Tor distribuce):

https://tails.boum.org/contribute/design/Tor_enforcement/

Misto unboundu pouzivaji ttdnsd, ktery se pres Tor proste pripoji ke Google DNS serverum. Tudiz vsechny DNS dotazy ze systemu jdou pres Tor.

TAILS je, pokud se nepletu, primarne urcen pro "brouzdani", podobne jako kdyz si stahnes "Tor browser" a pripojis se na Tor.

Jak by jsi si predstavil komplexni reseni (na Linuxu samozrejme, o win$ se nema asi moc smysl bavit :D), ze bys poskytoval sluzby "hidden serv..." 24/7, cili jak uz bylo zminene, musis mit spusten Tor, pak webservr a popr. db (MySql, postgree nebo Python apod.) a u vseho musis hodne nastaveni zmenit a prizpusobit speficikemu Tor prostredi.
Jak si tohle vse predstavujes jako komplex?
Pouziti TAILS to za tebe neudela, pro brouzdani, ci uz Tails spustis ve Vboxu nebo primo nabootujes z mechaniky je to ok, ale jako hidden sluzbu, IMHO ne.
Ale podivam se na ten odkaz.

A pro tu virtualizaci hraje fakt, jak uz bylo take zmineno, ze pokud by v budoucnu se objevil nejaky bug, hole atd. v Tor-u nebo ostatnich vecech (webservr, db), nesmi dojit k hacku/ovladnuti celeho (produkcniho) servru.

Ja jsem puvodne reagoval jenom na DNS leaks. Jinak reseni s tema virtualy je celkem dobre vymysleno.

Co by jeste slo udelat:

virtual 1:

- Tor, forwarduje connectiony na virtual 2 kde bezi webserver, DB, unbound
- socat tunel pres Tor na nektery verejny rekurzivni DNS, povolime aby se sem mohl pripojit unbound z vedlejsiho virtualu (treba pres redirect atp)
- do iptables by slo povolit jenom IP adresy Tor relayu. Nejak rozumne vygenerovat binarni strom skriptem, aby to nemelo linearni slozitost. Viz taky iptables target NFQUEUE (musi se ale updatovat protoze Tor directory se meni)

virtual 2:

- web server s databazi, host-only network, unbound se pripojuje na ten socat tunel slouzicimu jako forwarder, v /etc/resolv.conf adresa na 127.0.0.1 (unbound)

Extra: na virtualu 2 pouzit grsecurity (nebo neco podobneho), web server a DB dat do skupiny, ktera nemuze vytvorit TCP/UDP spojeni (na DB pujde pres local socket). A skompilovat vsechno rucne (Tor, webserver, unbound), vypnout nepotrebne featury, zapnout veci jako PIE, ASLR, mit monoliticky kernel bez modulu (zakazat navic blbosti typu firewire)... Tady mi prijde hardened gentoo jako idealni. Pro vyssi level paranoie zapnout RBAC. Bude to spousta prace, ale bylo by mozne z toho udelat distribuci, takze se to bude delat jenom jednou.

BTW proc vubec potrebujeme DNS na virtualu s web/db? Tam staci "miniserver", ktery bude odpovidat na vsechno SERVFAIL nebo NXDOMAIN.

A *rozhodne* bych se vyhnul pouzivani PHP-based veci. Krome toho, ze nemaji zrovna dobrou povest kdyz jde o bezpecnost, vyvojari PHP maji podivny pristup k opravovani chyb:

http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/

Prve, misto toho, aby opravili skutecny bug, tak to obesli limitovanim poctu promennych jenom v requestu (hashtabulky se budou pouzivat i jinde) a patchem vytvorili novou, horsi diru.

Jedne veci se bude ale obtizne ubranit:

Pokud utocnik umi kompromitovat vas Tor relay, muze napr. stylem return-to-libc zpusobit, ze relay vytvori circuit pres utocnikov relay a tudiz ukaze skutecnou IP adresu. Ale o moc lepsi to uz nebude.

Zapsal jsem si tento nápad do poznámkovníčku a připravím pokračování v tomto smyslu. Díky za tip.

jen na základě veřejného botnetu. Něco jako TorBotnet.

řekněme že mám službu, cosi v php, co pro uchovávání sessiony bude používat třeba pár cookie=ip adresa, jak je to běžné u většiny běžných aplikací. A teĎ s toho budu chtít udělat hidden service za torema a klient jest rovněž za TOR em. Jak v takové situaci lze vůbec udržet session a jak se v takové situaci bránit proti jejímu ukradení ?

Asi jedině pomocí HTTPS + session v URL (klasické stránky) nebo POSTu (AJAXové stránky)

A kcemu je dobry resit IP adresu? Normalni aplikace si session strci do cookie a zadnou IP neresi. Session = prevazne nejaky hash.

Příklad na onion.to nefunguje s https!

Zaujimala by ma mozno skor pravnicka otazka. Co ak sa pripojim do TOR siete a prave prostrednictvom mojho PC bude niekto pachat nekalu cinnost, teoreticky sa moze stat ze si cezomna bude prezerat detske P ak tomu spravne chapem. Moju IP tak lahko dopatraju, co potom ? Riesil sa uz podobny problem vo svete ? Obstoji pred sudom argument ze to nie ja ale niekto z TOR siete ? A co ak nejakemu uchylovi zhabu PC a bude v nom mat nainstalovaneho TOR klienta ktoreho nikdy nepouzil ale vsetko robil zo svojej IP ? Co potom ? posledna otazka da sa nejako tor detekovat napr obrovske mnozstvo packetov z/na random adresy ? Dakujem