Onderzoekers annuleren lezing over aanval op Tor-netwerk
Twee beveiligingsonderzoekers die een manier hadden gevonden waardoor het voor slechts 3.000 dollar mogelijk was om gebruikers van het Tor-anonimiseringsnetwerk te identificeren en de locatie van Tor-servers te ontdekken hebben besloten hun lezing tijdens de Black Hat conferentie te annuleren.
Het Tor-netwerk laat gebruikers hun IP-adres verbergen en maakt het mogelijk om gecensureerde websites te bezoeken. Het wordt dan ook veel gebruikt door activisten, journalisten, mensen in totalitaire regimes en internetgebruikers die hun privacy belangrijk vinden. Er zouden volgens beveiligingsanalist Michael McCord en wetenschapper Alexander Volynkin van de Carnegie Mellon Universiteit fundamentele kwetsbaarheden in het ontwerp en de implementatie van Tor aanwezig zijn.
Gecombineerd met de gedistribueerde aard van het Tor-netwerk zou het daardoor mogelijk zijn om Tor-gebruikers zelfs met een klein budget te identificeren. De aangekondigde lezing kreeg de afgelopen weken veel aandacht in de media, maar gaat nu niet door. Volgens een woordvoerder van de Black Hat conferentie zou de lezing op verzoek van advocaten van de Carnegie Mellon Universiteit zijn teruggetrokken, zo meldt Reuters.
Verzoek
Tor-ontwikkelaar Roger Dingledine laat weten dat het verzoek om de lezing te annuleren niet van het Tor Project afkomstig is. Ook zou het Tor Project niet hebben geweten dat de lezing zou worden teruggetrokken. Wel zijn er nog de nodige vragen over de aanval. De onderzoekers zouden informeel op vragen van het Tor Project wel wat informatie hebben gegeven, maar zouden nooit de slides of een beschrijving van de aanval zelf hebben verstrekt.
Dingledine stelt dat het Tor Project onderzoek naar het Tor-netwerk juist aanmoedigt, zolang dit op verantwoorde wijze gebeurt en de ontwikkelaars eventueel gevonden problemen ook te horen krijgen. "Onderzoekers die ons in het verleden over problemen hebben ingelicht hebben gemerkt dat we zeer behulpzaam zijn in het oplossen van de problemen en het over het algemeen prettig samenwerken is." Wat er nu met de presentatie gaat gebeuren is nog onbekend.
Dit lijkt me inderdaad een gevalletje...betaald zwijgen...
Aangezien de advocaten van CMU erbij betrokken zijn, kan het ook wat anders zijn. Wat dacht je van een dissident/activist in een land dat probeert internetcensuur op te leggen. Stel dat hij 'verdwijnt' doordat zijn overheid van deze technieken gebruik maakt. Er zijn dus ook nog moreel-ethische en mogelijk juridische consequenties aan het vrijgeven van deze informatie.
Neemt niet weg dat zwijgen op de lange duur ook niet gaat helpen.
Security through Obscurity = nog steeds verdwijnende dissidenten maar dan weten WIJ in ieder geval hoe.
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
Kuch, kuch,
Op mijn machine (Linux Debian) maak ik een verbinding met een VPN, daarna Tor, en verder geen Java, en Javascript
en natuurlijk geen cookies. Mediacontent rip ik via een online ripper, en youtube bekijk ik in zover mogelijk enkel in HTML5
Dan nog JonDoNym en een paar Add-ons als BetterPrivacy, HTTPS everywhere, Adblock Edge enz.
Dat lijkt mij dan ook ruim voldoende om Tor trackers te omzeilen, of die cancas stealing techniek.
Trouwens zo werk ik al heel wat jaartjes
dus al denk je nog zo veilig te zijn, je hebt het mis.
gewoon doordromen allemaal :P
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
Dat lijkt mij dan ook ruim voldoende om Tor trackers te omzeilen, of die canvas stealing techniek.
Trouwens zo werk ik al heel wat jaartjes
Nou, bijna. Ook in debian stable zonder scripting met alle door mij geteste grote browsers is het nog steeds mogelijk gebruik/misbruik te maken van afgeleide vorm van fingerprint tracking. Dit is waarschijnlijk hetgeen nu is ontdekt en (even) wordt dood gezwegen. Totdat er browser fixes zijn, zip ik mijn mond.
En ja, ook ik gebruik Debian. Je bent natuurlijk op christelijke tijden van harte welkom op irc freenode #debian-offtopic.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
