Nieuws

Tor komt met "meldpunt" voor kwaadaardige relays

dinsdag 29 juli 2014, 12:21 door Redactie, 4 reacties

Het Tor Project heeft een pagina online geplaatst waarin wordt uitgelegd hoe gebruikers van het netwerk kwaadaardige, verkeerd ingestelde of andere defecte relays kunnen melden. Via het Tor-netwerk kunnen internetgebruikers hun IP-adres verbergen, wat de anonimiteit online kan beschermen.

Het Tor-netwerk is uit verschillende relays opgebouwd, ook wel nodes genoemd. Dit maakt het zeer lastig om de identiteit van gebruikers te achterhalen. De laatste node die een verzoek van een Tor-gebruiker naar het internet doorstuurt is de exit-node. Het komt weleens voor dat er kwaadaardige exit-nodes zijn, die bijvoorbeeld het verkeer van Tor-gebruikers proberen af te luisteren of kwaadaardige code injecteren.

Gebruikers kunnen dergelijke exit-nodes melden door een e-mail naar bad-relays@lists.torproject.org te sturen. Verschillende Tor-ontwikkelaars zullen dan kijken of het probleem gereproduceerd kan worden, waarna er contact met de beheerder wordt gezocht. Als die niet bereikbaar is krijgt de exit-node het stempel "BadExit", wat ervoor zorgt dat Tor-gebruikers er geen verbinding meer mee maken. Ook kan er besloten worden om de omschrijving van de exit-node in z'n geheel te verwijderen, waardoor de node zo goed als onzichtbaar wordt.

De Tor-ontwikkelaars melden dat ze regelmatig het Tor-netwerk op rotte appels scannen, maar dat ze ook van Tor-gebruikers afhankelijk zijn in het melden van dit soort nodes. "Veel kwaadaardige relays zijn dankzij onze gemeenschap ontdekt, dus iedereen bedankt voor de inzet en waakzaamheid", zo laten de ontwikkelaars op de meldpagina weten.

Consumentengroepen tegen trackingplannen Facebook

Instagram-accounts nog steeds te kapen via open wifi-netwerk

Reacties (4)

29-07-2014, 12:43 door Security Scene Team

laat ze beginnen met het opruimen van nsa exit nodes.

29-07-2014, 14:40 door Anoniem

Minimaal 50% van de exit-nodes is in bezit van partijen (vrij in de te vullen) die een reden hebben om data af te vangen of te manipuleren.

29-07-2014, 15:15 door Anoniem

Wat opmerkingen

- Zelf controleren
lijkt me een technische aangelegenheid.

Eenvoudig en simpel alternatief is het bezoeken van de site blutmagie, deze geeft een goede indicatie van bad exit nodes met duidelijke rode bars (doorscrollen).
http://torstatus.blutmagie.de

De opschoonacties van het Tor project lijken te werken want een aantal bad exit nodes van een tijd geleden staan er nu niet meer op.
Daarnaast zijn het er minder, 2x rusland, 2x verenigde staten, 1x hong kong waarvan 1x ru en 1x vs op de lijst zijn blijven staan als bad exit node.
Raar dat die dan niet zijn aangepakt.

- Wat betreft de selectieargumenten
van mogelijke bad exit nodes toch iets even geheel quoten

https://blog.torproject.org/blog/how-report-bad-relays

What is a bad exit?

A bad exit is one that either doesn't work properly or snoops on users. This can be either through maliciousness or misconfiguration. Some common examples are...

* Tampering with exit traffic in any way. This might be accidental (such as an anti-virus filter) or malicious (commonly SSLStrip, which replaces https:// links with http:// to snoop on traffic).
* Using a DNS provider that censors its results (such as ?OpenDNS).
* Only allowing plain-text traffic (for instance, just port 80). There's no good reason to disallow its encrypted counterpart (like port 443), making these relays highly suspect for sniffing traffic.
* Performing a ?Sybil attack, which means flooding the network with new relays in an effort to deanonymize users. If you want to run multiple relays then that's great! But please be sure to set the ?MyFamily parameter.

Het tweede detectie punt is best opvallend, gebruik van opendns, daar is volgens mij op het gebied van privacy hier ook al eens wat over opgemerkt.

- Meer browser opties
Wat mij betreft zou het een wenselijke optie zijn om in de browser te kunnen kiezen voor a) opstart connecties en b) exit nodes buiten het eigen taalgebied wat de 'lol' van het meekijken bemoeilijkt, andere taal betekent moeten vertalen.

a) Opstart connectie filteren lijkt me goed te doen voor een functie in de browser, nu is dat helaas niet instelbaar en moet je maar afwachten welke standaard opstart connectie adressen de Torbrowser je geeft.

b) zou omgekeerd implicatie kunnen hebben voor het herleiden van de oorsprong van de gebruiker wat weer te vermijden is door meer landen uit te sluiten. Geen probleem, een lijst van landen waar je liever niet mee van doen wil hebben is zo gemaakt.
Dan zou weer het risico van profiling kunnen ontstaan, de soort selectie van landen die je hebt gemaakt, maar de vraag is of dat van buitenaf meetbaar is.

- Nederlandse Exit nodes + entry guards

Maakt een dergelijke combinatie ineen niet juist mogelijk misbruik makkelijker mogelijk? Hoe kan ik een grootgrutter als snel com eigenlijk beoordelen? Waarom heeft deze zoveel nodes onder haar beheer?

Naar mijn idee zou je beter geen gebruik maken van Nederlandse / Belgische entry guards of exit nodes. meer algemeen geen nodes of entry guards in het land waarin je zit.

De Nederlandse of belgische exit nodes kan je niet bepalen, dus niet omzeilen, weigeren of blokkeren is het vermoeden.
De Nederlandse entry guards bepaalt de torbrowser voor je, hooguit kan je een opstart verbinding niet toestaan wat weer slechter is voor de werking van de Torbrowser geloof ik. Wel kan je af en toe opnieuw de browser de entry guards laten kiezen in de hoop dat er een keer een reeks van niet Nederlandse entry guards ontstaat.
Maar bijvoorbeeld moldavie, ukraine en polen heeft. Over vooruitgang valt te twisten.

- Whats in a name?
Kijkend naar de blutmagie combinatielijst van entry guards en exit nodes op selectie country domain nl.
Aardig voorbeeld van een paar namen boven elkaar in de selectie lijst, nogal contrastrijk:

NLTorThanksSnowden hosted.by.pcextreme [92.63.174.101]
rejozenger tor-exit.krikkit.nl [94.142.245.231]
FuckEdSnowden tor-exit-node.xzyqvk.co.uk [85.17.197.69]

Helaas kan je exit nodes dus niet zelf blokkeren maar guards geloof ik weer wel, het soort onzin van de laatste 'beheerder' wekt weinig vertrouwen en kan vermoed ik met ip direct in elke blocklijst.
Op de exit node lijst komen hier en daar nog soms nog wel andere namen voorbij die de wenkbrauwen doen fronsen.
Maar wat moet en kan je ermee, naamgeving is hooguit een kleine indicatie.

Filteren op vele hele lage snelheden en de allerhoogste zou ook nog een optie kunnen zijn, maar hoe?

Zomaar wat extra gedachten bij de Torbrowser techniek.

29-07-2014, 16:04 door Anoniem

Door Anoniem: Minimaal 50% van de exit-nodes is in bezit van partijen (vrij in de te vullen) die een reden hebben om data af te vangen of te manipuleren.

Waar heb je die wijsheid vandaan?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer