Re: [Lista Criptica] Sobre fallas de seguridad en TOR

Delete this message

Reply to this message
Autor: Dhole
Data:  
Dla: Criptica - Llista de debat
Temat: Re: [Lista Criptica] Sobre fallas de seguridad en TOR
On 16-07-31 01:18:13, guifipedro wrote:
> Una correcció que trobo necessària en el teu discurs. Crec que tots la
> compartim però fora bo que quedés escrita
>
> S'està invertint molts diners a vigilar a tota la població a nivell
> mundial. Els mètodes de vigilància fora de tor són més efectius que
> dins. Tor no és la seguretat absoluta, però és l'obstacle dins d'aquest
> programa global. I això crec que és lo que s'ha d'explicar.
>
> No s'ha d'explicar que tor sigui 100% segur, sino que tor és una manera
> de mostrar el nostre suport a l'anonimitat a internet, a fer més difícil
> la nostra identificació (pel gran número), a que hagin de dedicar més
> recursos per trobar-nos; per tant, a desincentivar, a desmotivar aquests
> intents de vigilància massiva.


Em sembla super important recalcar aixo que explica en guifipedro. I no
només aplica a Tor! Aplica a qualsevol aplicació de les que recomanem,
que intenten protegir les nostres dades. No existeix cap aplicació 100%
segura. El que fem usant aquestes aplicacions i plataformes és pujar el
llindar en la dificultat que tindria algú en espiar-nos / atacar-nos.
Sovint amb un petit canvi en un sistema s'aconsegueix que ja no sigui
viable la vigiància massiva, i això ja és un gran pas!

>
> On 07/30/2016 03:32 PM, kakakak wrote:
> > Bon dia!
> >
> > Com sempre ens decantem a parlar de TOR com la panacea x defensar la
> > nostra privacitat, el recomanem a tothom i l'usem a diari. El defensem i
> > inclús mirem cap a un altre costat cuan surten cada cop més noticies de
> > com el govern dels USA es el mes gran mecenes x a que el projecte
> > segueixi avançant.
> >
> > Hem vist en diverses ocasions com la privacitat ha estat vulnerada usant
> > diferents tipus d'atacs (alguns d'ells només assequibles a grans governs).
> >
> > En el següent article [1] s'exposa un nou vector d'atac en que la falla
> > de seguretat està en les webs i hidden services que visitem. Una altra
> > cosa a tenir en compte alhora d'usar TOR.
> >
> > Salutacions!
> >
> > [1]
> > http://www.adslzone.net/2016/07/29/una-hacker-descubre-que-cientos-de-paginas-de-la-dark-web-no-son-del-todo-anonimas/


Pel que fa a la seguretat de Tor, a part de mirar la part tècnica, que a
vegades és difícil d'avaluar perquè sempre hi ha una mica d'especulació
entre els atacs teòrics i quins resultats reals tindrien a la teoria, jo
recomanaria complementar-ho amb un anàlisis dels diferents casos on
s'han desanonimitzat usuaris de Tor. Per exemple, en una operació que
va fer la FBI per a descobrir usuaris d'unes pàgines que distribuien
imatges de caire il·legal, o la la desanonimització de l'administrador
de SilkRoad.

En el primer cas el FBI va usar un exploit del Firefox per poder
desanonimitzar als usuaris, servit des d'un servidor que controlaven.
En el segon, van descobrir a l'administrador després de molt de temps
seguint-li la pista i trobant correlacions amb antics missatges que
habia escrit amb un altre pseudonim, que van aconseguir lligar amb la
identitat real de la persona. És a dir, en cap dels dos casos es va
aprofitar cap vulnerabilitat de la xarxa Tor en sí.

Això no vol dir que la xarxa Tor sigui 100% segura en anonimitat, però
es prou difícil trencar-ho que els atacants busquen vies alternatives.

Si voleu més informació sobre aquests casos que comento puc buscar links
on analitzen més en detall el tema.

I pel què fa al finançament per part del govern dels USA al projecte
Tor, doncs és un fet totalment cert del qual crec que mai s'han intentat
amagar. Si bé és veritat que fa mig any que han començat una campanya
per intentar reduir el finançament del govern a base d'augmentar el
finançament per altres medis, com donacions personals i d'organitzacions.

També s'ha de veure que el govern dels USA no es una sola identitat,
tant hi ha gent que vol espiar totes les comunicacions i desanonimitzar
Tor, com hi ha gent que valora la anonimització i la llibertat a
internet i per això acaben destinant diners per Tor.

Vull dir també, que també hi ha molts altres projectes que reben
finançament del govern dels USA, tot i que potser no sigui la major font
de finançament com passa amb Tor. La Open Technology Fund [1], fundada
pel govern nord-americà ha finançat a projectes com Tor, Open Whishper
Systems (Signal), Cryptocat, GlobalLeaks, The Guardian Project, Briar,
Qubes OS i Tails.

Sí que s'ha d'anar amb compte una mica amb els origens dels
finançaments, perquè pot ser que qui finança tingui unes intencions
concretes i intenti encaminar el projecte cap allà. Però jo penso que
un factor més important aquí és que hi hagi transparència en quant a
a les fonts de finançament i en quant a les influències d'aquest
finançament en el projecte.


[1] https://en.wikipedia.org/wiki/Open_Technology_Fund

--
Dhole