Vlákno názorů k článku Postřehy z bezpečnosti: můj mobil, váš mobil od Jimmy Prudic - Dalsi krasny priklad uzitecnosti TORu.
-
Petr M (neregistrovaný)
TOR zabrání jenom vyzrazení IP adresy, ze které se připojuješ. Musíš ho ale tunelovat skrz standardní připojení (drát nebo rádio). Jak ti pomůže, když
1) Uteče tvoje identita od poskytovatele připojení, který tě bez těch údajů prostě nepřipojí (nesmí připojit) a někdo je zneužije bez ohledu na to, že ti data tečou tunelem do TORu?
2) Jak ti pomůže TOR prrti té zranitelnosti torrent klienta, když tunelem stáhneš nějaký skript do autorun a po bootu/loginu odešle pravou identitu toho, kdo ten soubor stáhl, bez ohledu na to, jestli to šlo do komplu přímo nebo TORem?
3) jak ti pomůže anonymní připojení na webu Kaspersky, když se stejně přihlašuješ na děravou službu a někdo jiný se může připojit místo tebe, nezávisle na tom, odkud a jak na to lezeš?
4) Jak by pomohlo učitelům používání TORu před tím, aby jim někdo nabořil systém?
5) Jaký je rozdíl mezi tím, když se někdo naboří do nezaheslovanýho systému přes TOR nebo bez něj - pominu-li ztížení vyšetřování?
6) Jak by připojení k Amazonu přes TOR zabránilo tomu, aby někdo vydával bláboly tvým jménem?
7) Ten sadistický pedofil byl aktivní v nějaké komunitě a chytli jenom ho. To znamená, že se musel sám nějhak provalit. Pravděpodobně sociální inženýrství od poldů. Jak vlastně TOR chrání proti sociálnímu inženýrství?
8) jak pomáhá TOR proti dírám v technologiích M$?
9) jaký je rozdíl mezi tom, že někdo stáhne Coldroot přes TOR nebo normálně z webu?
10) Zabrání nějak použití TORU prodeji a používání falšovaných certifikátů?A vůbec, je tam v článku něco, co by TOR dokázal sám o sobě vyřešit?
-
Ravise (neregistrovaný)
> TOR zabrání jenom vyzrazení IP adresy, ze které se připojuješ. Musíš ho ale tunelovat skrz standardní připojení (drát nebo rádio).
TOR chrání taky před tím, aby poskytovatel/někdo jiný na trase věděl, k čemu se připojuješ.
> 1) Uteče tvoje identita od poskytovatele připojení, který tě bez těch údajů prostě nepřipojí (nesmí připojit) a někdo je zneužije bez ohledu na to, že ti data tečou tunelem do TORu?
Rozumím tomu dobře, že jde o identitu k poskytovateli, ne k nějaké třetí službě? To je tak nějak problém poskytovatele.
> 2) Jak ti pomůže TOR prrti té zranitelnosti torrent klienta, když tunelem stáhneš nějaký skript do autorun a po bootu/loginu odešle pravou identitu toho, kdo ten soubor stáhl, bez ohledu na to, jestli to šlo do komplu přímo nebo TORem?
Dětem (a blbcům) sirky do ruky nepatřej. TOR (The Onion __Router__) tě fakt nemůže ochránit před tím, co na svém počítači (byť nevědomky) uděláš.
> 3) jak ti pomůže anonymní připojení na webu Kaspersky, když se stejně přihlašuješ na děravou službu a někdo jiný se může připojit místo tebe, nezávisle na tom, odkud a jak na to lezeš?
Citlivá informace může být právě to, že lezeš na web Kaspersky. Nebo, když jsme u toho, facebooku. Třeba proto, že normální přístup je blokovaný. Dál viz ad 2. TOR tyhle věci řešit nechce. Podsunutý argument.
> 4) Jak by pomohlo učitelům používání TORu před tím, aby jim někdo nabořil systém?
Podsunutý argument. TOR nechrání server (leda že by to byl server čistě v TORu), ale klienta.
> 5) Jaký je rozdíl mezi tím, když se někdo naboří do nezaheslovanýho systému přes TOR nebo bez něj - pominu-li ztížení vyšetřování?
Podsunutý argument.
> 6) Jak by připojení k Amazonu přes TOR zabránilo tomu, aby někdo vydával bláboly tvým jménem?
Viz ad 4.
> 7) Ten sadistický pedofil byl aktivní v nějaké komunitě a chytli jenom ho. To znamená, že se musel sám nějhak provalit. Pravděpodobně sociální inženýrství od poldů. Jak vlastně TOR chrání proti sociálnímu inženýrství?
Viz ad 2.
> 8) jak pomáhá TOR proti dírám v technologiích M$?
Nepomáhá. Nic nepomáhá. Když máš díru v přehradě, můžeš hráz zvyšovat jak budeš chtít, a stejně ti bude prosakovat.
> 9) jaký je rozdíl mezi tom, že někdo stáhne Coldroot přes TOR nebo normálně z webu?
Že ti ho musí podstrčit přímo stránka, na kterou jdeš. Nestane se to po cestě. Dál ad 2.
> 10) Zabrání nějak použití TORU prodeji a používání falšovaných certifikátů?
Hm, moooožná by mohlo, kdyby se všechno převedlo na TOR služby. Zprávu pro doménu nemůžeš přečíst, pokud nemáš k doméně klíč. Žádná další vrstva zabezpečení by už potřeba nebyla.
Ale k věci - viz ad 4.
> A vůbec, je tam v článku něco, co by TOR dokázal sám o sobě vyřešit?
Jestli na vrtání používáš vodováhu, nediv se, že nic nevyvrtáš.
-
Petr M (neregistrovaný)
Podívej se napřed na koho/co reaguju.
ad 1) Jo, je to problém poskytovatele, s TORem nesouvisí.
ad 2) Přesně tak. TOR nechrání před blbostí, v rukou blbce jenom způsobí škodu ostatním.
ad 3) Není to podsunutý argument, ale otázka. Bezpečností problém byl na straně serveru, ne v tom, že někdo zjistil, kdo na to leze. A pokud server není v síti TOR, tak stejně last mile valí mimo TOR, takže průšvih na serveru se zase TORu netýká.
Btw, že lezeš na web placené služby (komerčního produktu) je veřejná informace - platba kartou nebo převodem a TOR tam nemá smysl.
ad 4) Není to podsunutý argument, ale otázka. Mám síť v rámci instituce, kde je několik klientů a server. Jak ochrání server proti lokálnímu útoku, když klienti ven ze sítě jedou přes TOR?
ad 5) Není to podružný argument, ale otázka. Týpek A leze na server přímo, provede SQL injection a stáhne DB uživatelů. Týpek B použije TOR, připojí se z nějakýho exit node, provede SQL injection a stáhne DB uživatelů. Jaký je rozdíl z pohledu majitele webu (cvičně si to stáhni k GDPR).
ad 8) Souhlas. Proti tomu nechání TOR (jak se snaží dokázat svým blábolem Jimmy Prudic), ale Linux, BSD a iOS.
ad 9) Tohle neřeší jenom TOR, ale i https, vpn,... Vzhledem k tomu, že https začíná být standard, tak strkat obálku do jiné obálky, aby tam někdo něco nepřipsal, ztrácí smysl.
ad 10) Blbost. Pokud chceš něco nabízet, musí mít klíč všichni potenciální zákazníci. Jak to zajistíš?ad "Jestli na vrtání používáš vodováhu, nediv se, že nic nevyvrtáš."
Já TOR nepoužívám, pro mě nemá smysl. Jenom jsem se snažil zjistit, kam Jimmy Prudic s tou glorifikací TORu jako jedinýho bezpečnostního nástroje míří.On totiž TOR je ekvivalent toho, když si z ulice přes zahradu k domovním dveřím uděláš tunel ze dřeva, aby drbna od vedle neviděla, kdo k tobě chodí na návštěvy. A v podání některých to bednění stačí k tomu, aby nezamykali dveře a je jim jedno, že sousedka prostě může koukat na ulici na konec tunelu... nebo poslat známýho, aby se k té společnosti přidal a nabonzoval jí, kdo tam byl.
Prostě TOR jako univerzální bezpečnostní řešení je stejně na vodě, jako NAT coby bezpečnostní řešení.
-
Ravise (neregistrovaný)
> Podívej se napřed na koho/co reaguju.
Právě, myslím že Jimmy Prudič to myslel tak, že TOR používají teroristi a pedofilové. No, já používám TOR taky, a nespadám ani do jedné z těch skupin.
> ad 9) Tohle neřeší jenom TOR, ale i https, vpn,... Vzhledem k tomu, že https začíná být standard, tak strkat obálku do jiné obálky, aby tam někdo něco nepřipsal, ztrácí smysl.
V případě TORu neví ani jeden uzel na cestě víc, než od koho to dostal a kam to má předat (narozdíl od https, kde je doména známá).
> ad 10) Blbost. Pokud chceš něco nabízet, musí mít klíč všichni potenciální zákazníci. Jak to zajistíš?
Nevím jestli tomu rozumím úplně dobře, ale veřejný klíč = adresa.onion, a k ní patří soukromý klíč, kterým to majitel adresy rozšifruje.
-
Petr M (neregistrovaný)
"V případě TORu neví ani jeden uzel na cestě víc, než od koho to dostal a kam to má předat (narozdíl od https, kde je doména známá)."
Aha. Takže uzel má dva nějaký identifikátory, ale nevidí do zprávy.
Router někde v klasické síti při transportu HTTPS (nebo čehokoliv šifrovanýho) vidí jenom rozsypaný jedničky a nuly a k tomu dvě čísla. IP adresu zdroje a cíle.
Jediný rozdíl je v tom, že u IP adresy (prefixu) se dá dohledat, komu patří (reverzní DNS záznam, policejní žádost providerovi). Vypátráš maximálně barák/byt, ale už ne stroj (NAT, IPv6 Privacy Extension). Takže u nás nemá TOR smysl, pokud neděláš něco nelegálního. Zatím (ješitný stařec a agent STB jsou na dobré cestě).
-
Ravise (neregistrovaný)
Ten rozdíl je v tom, že u TORu jednotlivý uzly, co si zprávu předávají mezi sebou, nepoznají, jestli ten, kdo jim tu zprávu předal, je jejím autorem nebo jenom jedním v zástupu krys. Stejně tak i dopředu. Nevíš, jestli to předáš adresátovi nebo další kryse.
TOR třeba dosáhne na server za NATem (běžně používám proto, abych se u mého [censored] poskytovatele doma mohl dostat dovnitř). Třeba tohle s pomocí HTTPS nedám :)
> Takže u nás nemá TOR smysl, pokud neděláš něco nelegálního.
A kdo je poslušný zákonu, tak se nemá čeho bát? Heh.
U nás TOR "nutný" není, ale je fajn posílat do sítě i naprosto legální zprávy, které nafukují objem. Pak se totiž nedá automaticky předpokládat, že TOR==zajímavé (pro stát, třeba), nebo jakákoliv podobná rovnost.
