Názory k článku
Ptejte se vývojáře sítě Tor
-
Existuje Orchid java klient, který by měl být +/- kompletní. Je to i jako knihovna.
Navíc Tor control protocol pro lokální proxy je popsán podrobně v torspec. Je to jednoduchý textový protokol, není problém ho použít v javě.
Příště víc googlit a míň nadávat, ju?
-
anonymous (neregistrovaný)
No toho googlenia bolo dost... Orchid poznam a je celkom fajn, ale chybaju mu veci ako Hidden Services.
Proxy nechcem a nemozem pouzit z bezpecnostnych dovodov pac sa ti na nu moze napichnut hociaka ina aplikacia (nehovoriac o tom, ako som spominal, ze nechcem podla moznosti loadovat ziadne C kniznice). -
Na SOCKS5 proxy poskytovanou Tor klientem se dá nastavit heslo - viz nastavení Socks5ProxyPassword. Tím se omezí, které aplikace můžou a nemůžou mluvit s proxy. Podobně pro control protocol se může použít hashed password nebo cookie.
Hidden services se budou velmi brzy překopávat, resp. už se překopávají. Ale to je projekt na dlouho.
Jinak oblíbený jazyk vývojářů je Python (kromě C, v kterém je samotný Tor), takže dost pochybuji, že někdy brzy "full-featured" Java implementace vznikne. Pokud to třeba někdo z komunity nenapíše, nebo nerozšíří Orchid.
-
Ne všechny exit nody jsou nasazany lumpama :-) Ale vážně, operátory nodů (bridge, relay i exit) lze poznat osobně na různých konferencích. Např. nedávno na CCC i FOSDEMu měli meeting, bývají na mnoho dalších konferencích.
Jinak samozřejmě "zlé exit nody" existují, v nedávné práci Spoiled Onions jich našly asi 20 (z několika tisíc).
Jinak pro ISP nebo "law enforcement" je mnohem jednušší sledovat/měnit pakety na routeru.
(Sorry že odpovídám otázky pro aagbsn, ale tohle se dokola z pochopitelných důvodů probírá na tor-talk mailinglistu.)
-
A kde jsem napsal, že jich NSA má jenom 20? V práci bylo, že se jich cca 20 našlo. To implikuje spodní mez. Doporučoval bych věnovat větší pozornost psanému textu. Navíc operátorů několika desítek relayů a exitů znám osobně, takže vím, že ty nody jsou OK. Exity jsou monitorovány vůči určitým známkám špatného správání skripty.
Stejně je jednodušší ty pakety odchytávat a modifikovat na backbone, než se srát s provozováním exit nodů. Na to se vyvíjí dokonce specializovaný HW (custom programmable logika) místo obyčejného "off-the-shelf" HW.
A ten odhad: já si myslím, že NSA má přesně 7 a půl exitnodu. Je to stejně nesmyslné a ničím nepodložené hausnumero jako váš odhad "1/5".
-
Mirek (neregistrovaný)
Ahoj,
lumpové na exit nodech je až příliš uměle vytvořená obava, realita je však mnohem uspokojivější pro uživatele toru. Osobně se znám s Phillipem Winterem z torprojectu a jsme defakto dennodenně na irc v kontaktu ať už v souvislosti věcí okolo toru nebo naší jiné společné aktivity. Je to již poměrně dlouhou dobu, co jsme v provozu zkoušeli jeden neoficiální plugin vývojaře tor projektu, přičemž tento plugin globálně monitorovat exit nody a poměrně rychle dokázal vyhodnotit podezřelé nody, které byly následně kontrolovány. Nevím, zda se o tom torproject oficiálně zmiňuje či nikoliv z taktických důvodů, ale rozhodně apeluji na to, aby se lidé přestali bát této obavy, že někdo na exit nodech bude zaznamenávat provoz. A to nepočítám jak moc náročný a technicky nákladný je takový záznam provádět. -
volani.webnode.cz (neregistrovaný)
Jaký je výkon a režie..
Jak je bezpečné používat jiné anonymizéry jako je AN.ON, ultrasurf atd, a jestli je vhodné je kombinovat s TORem dohromady..
A pak jak bezpečné je provozovat TOR server u sebe a proč není udělána výchozí instalace už jako server+klient (s minimálním nastavením pro BFU) aby se zvýšilo množství serverů a tedy i rychlost.
A také jestli je nějak kontrolováno, zda koncový TOR server neprovádí cenzuru či není v síti která je cenzurována..A pak také jak je pro NSA a další šmíráky či služby dbající na bezpečnost a mravní hygienu důležití co se přenáší a nebo jestli je pro ně důležitější kdo s kým.. :) Tedy jak moc stačí šifrovat obsah a kašlat na to jak a kudy data tečou.
A pak otázka: kde mají autoři TORu mailové schránky :) Chtěl bych někde freemail schránku která budí zdání bezpenosti..
Ale darkmail.info ani mail na mega.co.nz ještě spuštěné nejsou.Také dotaz: zda není důležité klást větší důraz na bezpečnost OS a firmware i u síťových prvků.
-
Finanční zprávy a daňová přiznání mají na webu. Department of State, Department of Defense jsou celkem velké zdroje financí. Za rok 2012 je státní financování asi 60% příjmů, zbytek jsou soukromé granty apod.
Oni schválně už dlouho dávají zprávy o financích veřejně, právě aby bylo všechno co nejvíc transparentní.
Taky je důležité zdůraznit, že placených vývojářů a operátorů je jenom několik, drtivá většina jsou dobrovolníci.
(BTW tohle by byla lepší otázka na Andrewa Lewmana, který je ředitelem a tím pádem zodpovědný za financování.)
-
StiFF.cz (neregistrovaný)
Dobrý den,
Dělám diplomovou práci na téma korelace dat na vstupu a výstupu sítě Tor. Protože se jedná o síť s nízkým zpožděním doručení dat, je Tor zranitelný vůči analýze časových charakteristik datových toků. Zajímalo by mě z pozice útočníka, který má k dispozici vstupní a výstupní datový tok, jaké proměnné zde hrají roli, zejména ty vlastnosti Toru, které přispívají k největšímu zkreslení těchto charakteristik datových toků.
Momentálně autoři uznávají zranitelnost vůči korelačním útokům a Tor neimplementuje na svých směrovačích strategie, které by explicitně měnily charakteristiku přeposlaného datového toku (zpoždění, změna pořadí paketů, zarovnání velikosti, zahazování paketů). V souvislosti s tím by mě zajímalo, jestli mají vývojáři v plánu nasadit nějaké metody, které by charakteristiku datových toků explicitně měnily.
Díky
