Het lijkt mij behoorlijk ingewikkeld worden om dit te decrypten (er zijn vast specialisten hier die dat beter weten te vertellen), maar het kon nog weleens een uitdaging worden om dit voor elkaar te krijgen.

Voor zover ik weet kun je op 1 device niet een tunnel in een tunnel leggen. Als je je router een tunnel laat opzetten met een endpoint en je legt bijvoorbeeld via je laptop direct een VPN tunnel naar een achterliggend endpoint (over de tunnel die je router heeft gelegd), dan gaat dat volgens mij wel lukken. Een derde wordt dan wel een theoretisch verhaal.
Of zijn er trucs om dit toch op 1 device te laten slagen?

Natuurlijk wel: van je telefoon met ipsec naar huis (en daarvandaan het internet op). Je benadert een https site. Denk je niet dat dat een tunnel in een tunnel is?

Of met je telefoon met openvpn naar huis (en daarvandaan het internet op). Je benadert een https site. Denk je niet dat dat een tunnel in een tunnel is?

:)

Alles valt of staat met de instellingen. Als je met preshared keys werkt dan ben je kwetsbaar. Certificate based gaat al een stuk beter. Perfect Forward Secrecy nog beter.

Keylengte en algoritmes spelen ook een rol. Er zijn legio algoritmes die echt nog niet te kraken zijn, en bij een fatsoenlijke inrichting laten die geen downgrade attacks toe.

Maar vanwaar de obsessie met vpn's? Ga tor gebruiken. Dan is dit voor je opgelost.Het doel van een VPN is het opzetten van een Virtual Private Network. Het aan elkaar naaien van VPN's maakt de zaak complex maar de eerste de beste configuratiefout kan de hele beveiliging verwijderen. KISS rules.

Ben jij bereid om een VPN provider op zijn blauwe ogen te geloven? Ook de Zweedse? Verdiep je eerst eens in de wetgeving daar, dan kom je verrassende resultaten tegen. Zoek maar eens op 'FRA law Sweden'.

<alu hoedje op>
Ik denk dat Zweedse vpn providers niet hoeven te loggen omdat dat al voor ze geregeld is.
</alu hoedje op>

Laat maar zitten die vpn's. Regio blok omzeilen: ja. Bescherming: nee.

Ik maak mijn eigen OpenVPN servers die niks loggen ;) dus het gaat nu even niet om Zweedse. Ik wil weten of een driedubbele verbinding makkelijk is te decrypten zoals dat in het nieuwsbericht staat.

Uhm, dit word meestal gedaan door virtual boxing en het heet VPN chaining.
Het is moeilijker en de gebruiker gaat fouten maken omdat ze laks worden uiteraard.
Verder is dit meer voor criminelen dan voor normaal gebruik :)
Daarom denk ik ook dat het een reden heeft waarom u dit vraagt, maar blijkbaar niet zo slim even op een search engine te zoeken hoe het precies heet.

Het is grappig dat je dit zegt, want in je eerste post "heb je laten vertellen" over VPNs en nu beweer je eigen te hosten/maken.
VPN chaining is teveel werk voor de normale mens
Efficiënt = Nee
Crimineel = Ja
https://www.secure-computing.net/wiki/index.php/OpenVPN/VpnChains

En voor het zelf opzetten dan wil je de wet weten in het bepaalde land + datacenter policy + zorgen dat je niet gecompromised word + anoniem betaald hebben + nog vele andere dus voor een normaal mens teveel moeite ^^.

Ik vraag me af waarom mensen het zo interessant vinden of een VPN onderweg te decrypten is.
Als je wilt weten wat er gecommuniceerd wordt dan ga je gewoon kijken aan de andere kant van de VPN!
Daar komt alles er weer leesbaar uit.

In feite maakt een VPN het helemaal niet veiliger (veiliger voor wat voor dreiging??) als je een VPN afneemt bij een
partij waarvan je alleen de website kent en helemaal niet weet wat er aan de andere kant gebeurt. "wij loggen niks"
en "wij geven niks door aan de NSA" maar misschien is dat VPN bedrijfje stiekem wel een werkmaatschappij van de NSA
en maak je het hen met je VPN juist veel makkelijker, doordat je je verkeer panklaar bij hen aflevert in plaats van dat
ze moeilijk moeten doen met een tap van het verkeer naar je huis!

Als je werkelijk zo paranoia bent dat je alles wilt verbergen en verhullen dan snap ik niet waarom je kunt vertrouwen op
een extern bedrijf waarvan je alleen de naam en website maar kent, en geen idee hebt wat zich er afspeelt...

Laten we het even ontopic houden en de vraag bestuderen. Is het makkelijk om te decrypten wanneer er een connectie wordt gemaakt op de gevraagde manier?

Waarom moet alles crimineel zijn als het jullie meteen niet zint? Waarom is een gezonde interesse voor beveiliging meteen een crimineel gegeven? Zijn veiligheidexperts/onderzoekers allemaal ineens criminelen? Of zijn de meeste van jullie zo "bekrompen" dat jullie alleen op zo'n vraag kunnen komen wanneer jullie zelf iets crimineels in gedachten zouden hebben? Over wie zegt dat dan meer? Over jullie zelf of mij?

En dan de tip, gebruikt Tor want dan ben je veilig. Waanzinnig gewoon haha....degene die hier serieus denken dat Tor veilig is, zou zich er wat meer in moeten gaan verdiepen. Tor is niet veilig, Tor is een obstakel, that's all.

Maar goed, de vraag is gesteld omdat ik een passage uit de opgegeven link opvallend vond en ik me dus af vroeg tot in hoeverre zoiets kan reiken. Waarom er ineens Zweedse VPN providers erbij gehaald worden en de daarbij behorende wetgeving, is mij totaal een raadsel. Enige wat ik vroeg was of er VPN providers zijn die alsnog je unieke IP van je provider doorgeeft wanneer je vanaf hun VPN naar een andere verbinding maakt.

Waarom is de interesse in een potentieel crimineel netwerk gezond? Gegeven je opmerkingen hoor jij niet tot de categorie veiligheidsexpers/onderzoekers. Toon eerst maar eens aan dat Tor zo onveilig is als jij nu roept.

Encryptie downgraden? Hoe doe je dat met goede instellingen?

Welke andere vpn providers dan die zweedse worden opgehemeld (niet in dit topic, maar in vrijwel ieder ander vpn topic).

Wat jij wilt is anonymous werken. Waarom kies je daarvoor een vpn?

Maar om antwoord te geven: je maakt meer punten die kwetsbaar zijn (de endpoint en startpoint van de nieuwe vpn). KISS. Als die punten van jou zijn is er bekend wie wat doet. Die punten zijn compromitteerbaar. Als die punten niet van jou zijn weet je niet wat er met de ontsleutelde data gebeurt. Je creëert een groter probleem dan je oplost.

Vraag je eerst eens af wat je wilt bereiken. Ga dan (en dus daarna pas) eens nadenken over oplossingen in plaats van met een oplossing te beginnen voor een niet-bestaand probleem.

Laten we even als voorbeeld onze Overheid nemen, of NSA of AIVD.
Laten we even stellen dat de VPN echt niks logt, waar je een account hebt,
of we hebben een eigen VPN. Dus met een eigen VPN is het blauwe ogen
dan ook opgelost.

Nu je terug naar jouw vraag, met een antwoord.

Er zijn instancies die toch willen weten waar mensen naar toe surfen.
Een ISP ziet enkel het IP-adres van de VPN, en NIET welke site(s) je bezoekt.
Door de pakketjes te decrypten, zouden ze dan misschien wel in staat
zijn te echte website te achterhalen. In ons Nederland hebben we ja ook een
Wet bewaarplicht en wil de Overheid maar graag weten wat we zoal op het internet doen.

Met andere woorden ze kunnen niet zomaar even aan de andere kant van de VPN
kijken. Daar zorgt de encryptie voor. Stel het je voor als een glazen buis.
Je ISP ziet jouw intikte website die door de glazen buis gaat. Nu zorgt een
VPN ervoor dat de glazan buis zwart of troebel word waardoor ze niks meer zien.

Dan iets voor de andere anoniem.
Dan over die Zweedse VPN's of andere VPN's, ze kunnen inderdaad wel loggen
en iets doen voor de NSA. Maar die kans is 50%, en wie zegt dat jij gelijk hebt?
Niet alle VPN's zijn slecht hoor, net zoals niet ieder mens een terrorist is
of kwaad in de zin heeft.

Mocht je op Mullvad doelen, (en de FRA wetgeving) dan weet je dus echt niet
waar je over praat. Ik zou zeggen neem eens contact met Daniel of Fredrik op.

Je kunt ook zeggen Jacob Appelbaum (Tor-develloper) werkt samen met de NSA.
Of Bruce Sneier of de EFF, en BOF........maken ons iets wijs. Of Snowden
zegt dat TrueCript, Tor, Tails, en wat allemaal niet te kraken is.

Kijk dat kun je ook paranoia noemen. Je vertrouwt nooit iets, en NIKS is goed.

Ik denk dat een hoop mensen ook een VPN abbo nemen uit protest, en om Wifi
gluuders geen kans te geven in de stad, of voor de bewaarplicht.
En al die mensen die gewoon van een VPN gebruik maken, hebben dan uiteindelijk
nog nog te vrezen. Want al zou een instancie het verkeer kunnnen decrypten
dan zien ze nog enkel dat we gewoon wat onschudige website bezoeken.

Waarom hebben we daarvoor een VPN nodig dan?

Ik heb bijvoorbeeld een VPN omdat het mijn ISP, en overheid geen bal aangaat
waar ik naar toe surf, of dat nu security, of nu.nl, en welke andere site dan
ook.

Iedereen heeft recht op privacy, en een VPN kan daar best aan bijdragen.

Maar in een heel groot deel van je leven vertrouw je op anderen.
Van de bus die je neemt, tot de verzekeraar, tot de Notaris, tot je vrienden.

Tot slot, ik neem aan dat jij privacy ook belangrijk vind toch?

Soms heb je geen keuze, net zoals jij op je smartphone vertrouwd, of ander device.
Of ken je de mensen die het ding hebben ontworpen?
Welke zoekmachine(s) gebruik jij dan? En hoe weet JIJ wat er zich afspeelt?
Je maakt toch gebruik van Internet, en ik mag aannemen dat je dan weet wat er allemaal
speelt, zeker als je security.nl bezoekt.

Als je nu als antwoord geeft, ik gebruik geen VPN, en van mijn mogen ze alles weten
dan is het wel heel erg, en begin je iets last te krijgen van Alzheimer.

Dan nog voor de anoniem van 12:16.

Tor is niet veilig, Tor is een obstakel schrijf je.
Waar blijft je uitleg???????? Ben je slimmer dan de Tor mensen?
Weet je meer over Tor, dan de Tor mensen? Of heb je gewoon een artikel
gelezen over Tor? En gaat dit artikel dan ook over de versie van vandaag?

Tor schijnt volgens de NSA papers een doorn in hun ogen te zijn.
Ze kunnen een bepaalde Tor gebruiker een keer heel even volgen maar dan niet meer.
Doordat Tor te vaak wisselt van IP, word het dus ontzettend lastig mensen nog
te traceren.

Dus Tor is heel wat veilig dan je zou denken.
Tevens staat het zelfs in de NSA papers.

Zoek eens op Jacob Appelbaum op Youtube, genoeg info die je dus niet eens
wist, maar wel roept dat Tor niet veilig genoeg is.

Als ze Appelbaum gaat volgen word je heel wat slimmer, en ben je gelijk
wat meer op de hoogte van alles op gebied van NSA, anonimiteit e.d.

Het is jammer dat er altijd zoveel bullshit wordt verspreid door die paranoide VPN fans!
Daardoor lijkt het net of zij de enigen zijn die de wijsheid in pacht hebben en de anderen, die vinden ze allemaal maar dom.
(of zeggen ze van dat ze Alzheimer hebben, wat dat er mee te maken heeft snap ik al helemaal niet)

Hoe kun je nou ooit een discussie voeren als er gesteld wordt dat "providers een bewaarplicht hebben om op te slaan
naar welke sites je allemaal surft"??
Of dat alle providers dat zouden gaan loggen en vastleggen van alle klanten?

Ik denk dat de kans dat een Nederlandse provider alles logt wat jij doet kleiner is dan dat die obscure VPN provider
met een in paranoia-land bekende naam dat doet, of dat er aan de buitenkant van zijn server een tap van de veiligheids
diensten hangt.

En als jij "zelf een VPN begint" dan moet die van een jouw punt A naar een punt B lopen wat jij aangeschaft hebt op
jouw naam. Dus wat schiet je daar mee op als men een oogje op jou heeft? Helemaal niks.

Maar als je er gelukkig van wordt, ga gerust zo door hoor! Alleen informeer je wat beter, wil je?

Enigste wat ik hieraan zou willen toevoegen is inderdaad als je zelf een/paar VPN servers zou hosten, dan log je waarschijnlijk met je eigen IP in via SSH dus dan schiet het uiteraard helemaal niks op om een VPN chain te gebruiken ( vaak gebruik je vpn chains om dingen te doen die je niet op jou eigen IP zou willen doen, maar ook niet op 1 VPN daarom krijgen mensen meteen een crimineel zicht op dit topic :) )

Zozo, wat een kriegelige mensen hier.

Laten we het eerst over Tor hebben. Welke in de eerste plaats is ontwikkeld voor en in opdracht door....tadaaa.....de Amerikaanse overheid. Eerst door de USNLL en daarna doorontwikkeld door DARPA. Juist, dat hele enge bedrijfje welke momenteel bezig zijn met enge projecten. Er gaat onder de kritische mensen in dit topic geen lampje branden? Of dacht men dat de Amerikaanse overheid zomaar een tool online gooit waarbij ze hun eigen ruiten ingooien voor wat betreft terrorisme bestrijding? Zeg eens eerlijk?

Laten we het dan eens hebben over de nodes die je kan draaien voor Tor. Volgens jullie kunnen alleen echte liefhebbers van Tor zo'n node opzetten, toch? Niemand die er aan denkt dat er inmiddels tientallen nodes worden gedraaid door geheime diensten. Waarbij het confisqueren van Tor servers inmiddels een deel van het stappenplan is tegen Tor gebruikers. Zie Tor mail die door de FBI is geconfisqueerd in 2013. 2013 beste mensen....dat is inmiddels al weer 2 jaar geleden.

Laten we het vervolgens eens hebben over Silk Road, welke afhankelijk was van zijn anonimiteit door Tor. Wat is daar inmiddels van overgebleven? Silk Road 1 &2 zijn opgerold, alsmede andere black markets. Daarbij zijn er tig dealers die niet in de US woonden ook inmiddels veroordeelt voor hun aandeel ondanks PGP gebruik via Tor. En dat kan allemaal, want Tor is ECHT heel veilig hoor.

Moet ik nog verder gaan? Of zullen we voor het gemakshalve er maar gewoon vanuit gaan dat Tor gewoonweg NIET veilig is? Of denken de heren critici dat men in de afgelopen 2 jaar na de confisqueren van Tor mail er op achteruit is gegaan met het "decrypten" van Tor door de diensten? Tor mail is door de FBI in beslag genomen. Een instantie die zakelijks gewijs een hekel hebben aan de CIA en NSA. Je bent echt serieus op je achterhoofd gevallen als je denkt dat Tor je anonimiteit op het internet vergroot.

Vandaar mijn stelling: Tor is NIET veilig, Tor is een obstakel.

Dan de VPN. Ik maakte dit topic om een passage in een artikel te bespreken en of het hebben van een doorgelinkte VPN chain dat dan bemoeilijkt. Waarom wil ik dat weten? Omdat ik dat gewoon WIL weten. Het is een interesse die ik heb en waarom? Omdat ik een recherchebureau heb die voorlichting geeft aan bedrijven en andere recherchebureaus over hoe men anoniem kan zijn op het internet. Digitale recherche is mijn hobby alsmede mijn interesse en ook nog eens mijn werk en ik loop graag voorop in mijn voorlichting naar anderen toe.

Maar nee hoor, de heren critici hier denken weer dat ik een crimineel ben en zulke vragen niet zou kunnen stellen zonder dat er een criminele gedachte achter zit. Zo is de USA ook tegen Dhr. Zimmermann begonnen toen hij zijn PGP wilde exporteren. Het lukraak beschuldigen van activiteiten waar niet eens een wettelijke basis voor was.

Vervolgens roept er eentje:

En als jij "zelf een VPN begint" dan moet die van een jouw punt A naar een punt B lopen wat jij aangeschaft hebt op
jouw naam. Dus wat schiet je daar mee op als men een oogje op jou heeft? Helemaal niks.

Voor jullie info, ik heb tig servers draaien overal in de wereld die OpenVPN draaien en waarvan de servers niet op mijn naam staan. Vertel mij dan eens, hoezo schiet ik daar dan niks mee op? Als ik op 1 server inlog vanuit mijn providers IP waarvan de logs door gerouteerd worden naar /dev/null en ik verbind vervolgens nog een 2 keer door naar servers elders in de wereld die niet op mijn naam staan, maar waar ik wel toegang heb tot de logs (die ook gedumpt worden), hoe wilt dan in godsnaam degene die een oogje op mij hebben zien wat ik dan doe?

Kraam dus geen onzin uit als men zelf niet weet hoe je ECHT anoniem op het internet kan zijn, maar hou het ontopic en ga eens AUB in op de vraag die ik stelde in mijn beginpost. Iemand zomaar beschuldigen van criminaliteit is een zware beschuldiging die nergens op gebaseerd is behalve gestoeld op je eigen achterdochtigheid. Ik had verwacht hier een serieuze discussie te kunnen openen over een passage die mij opviel, maar ik kan maar beter naar Wilders Security gaan dan naar deze kinderopvang (no offense Security.nl mods....ik vind de opzet van Security.nl TOP!).

Je claimt een recherche bureau te hebben. Heb je een recherchevergunning? Zo ja, ok. Zo nee: je doet aan verboden activiteiten (crimineel dus, ook al is het met de beste bedoelingen), het is vergunningsplichtig voor het geval je het niet wist. Hobbyisme is ronduit gevaarlijk, je vernietigt sporen.

https://www.justis.nl/producten/particuliere-beveiliging-en-recherche/vergunning-aanvragen/

Als je je kennis van een forum moet halen zit je niet op de juiste plek. Aanvullende info via een forum: ok. Basis informatie van forum: no go. Huur een professional in. Of beter nog: huur een groep professionals in.

Je krijgt antwoorden die je niet wilt horen, en daar reageer je onterecht nogal geagiteerd op.

Jouw stellingen ('Tor is onveilig', 'ik heb servers over de hele wereld die niet op mijn naam staan', etc) worden niet onderbouwd. Dat je toegang hebt tot de logs wil niet zeggen dat je _alle_ logs ziet, of dat de logs ongefilterd zijn. Je ontbeert wantrouwen in dit opzicht. Onterecht, geloof niet alles wat je ziet.

Dat Jacob Appelbaum zegt dat Tor niet veilig genoeg is betekent niet dat het onveilig is. Verbetering kan namelijk altijd.

Silk road is *NIET* neergehaald doordat Tor gekraakt is. Silk road is neergehaald doordat de oprichter enkele cruciale fouten heeft gemaakt waardoor hij niet zo anoniem was als hij dacht te zijn.

Het concept van Tor is juist dat je niet weet of de exit nodes veilig zijn, het boeit niet. Het zijn exit nodes. Het verkeer vanaf de exit nodes is sowieso niet meer anoniem (ten opzichte van de laatste exit node).

Als we ingaan op de vraag die je stelde (herhaald, en door diverse posters gedaan, soms meermaals door dezelfde anoniem).

Herhaling van het antwoord op je vraag: Nee, het is bij een correct opgezette verbinding *NIET* mogelijk een downgrade attack te doen. Hoeveel chains er ook zijn.

O, en voor de duidelijkheid: je kunt niet anoniem werken op het internet.

De reden dat een VPN compleet zinloos is voor 99% van alle consumenten die het gebruiken: omdat je eenvoudig te identificeren bent doordat je browser settings uniek zijn, zie https://panopticlick.eff.org -> "test me"

En dan bedoel ik dus wat bereft privacy.

Is een wiskundig vraagstuk. Wordt versleutelde data moeilijker te ontsleutelen als het meerdere kezen versleuteld is. Ja en nee, het kost enkel meer tijd om te decrypten, maar maakt het niet ingewikkelder.
Dan laat ik mij even niet in met het vraagstuk of werking van de individuele encryptie standaarden al bekend zijn bij overheden.

Verder is het interessant om je te realiseren dat de keten nooit sterker is als de zwakste schakel. Je pc en de te bezoeken website zijn ook schakels.

En nee, op het Internet ben je nooit volledig anoniem. Je moet tenminste extreem veel kennis van alle schakels (inclusief misschien wel de hardware van jouw pc en uiteindelijk tik jij iets in op je pc, dus ben je niet anoniem.

Je moet jezelf ook afvragen voor wie je je probeert te verbergen.
Overheden hebben toegang tot de netwerken die je gebruikt en via die netwerken mogelijk zelfs toegang tot jouw LAN, criminelen niet altijd.

Hallo,

je schrijft: "ik heb een recherchebureau wat voorlichting geeft aan
bedrijven en andere recherchebureaus over hoe men anoniem kan zijn op het
internet. Digitale recherche is mijn hobby alsmede mijn interesse en ook
nog eens mijn werk en ik loop graag voorop in mijn voorlichting naar anderen
toe"

Sorry hoor, maar dan weet dus net niet genoeg over Tor.
Je weet wel meer dan de gemiddelde gebruiker echter het laatste stukje
bewijslast weet je niet. Alu-hoedje en geen verder onderzoek gedaan.
Iemand hier gaf je al de tip om een te zoeken op Youtube naar
Meneer Appelbaum, of Roger Dingledine enz.

Ik ga niet lopen beschuldigen, of je voor gek zetten of wat dan ook
maar vind je kennis over Tor toch iets aan de magere kant. Je moet
eigenlijk meer kennis vergaren over hoe men gebruikers achter bijv.
Tor mail, en/of Silk Road heeft kunnnen oppakken. Enkel iets lezen
over Silk Road en Tor mail is niet iets te weinig, en heel zeker
als recherchebureau. Wil je op security.nl hier over meepraten,
doe dan je huiswerk heel goed, want juist sommige mensen zijn zeer
goed geinformeerd zonder maar een recherchebureau te hebben omdat je
niet de enige bent met interrese in dit soort zaken.
Dit is echt een must!

Tor is inderdaad ontwikkeld door de Amerikanen marine, zodat deze
onderling anoniem gegevens konden uitwisselen. Denk aan Politie,
NSA zelf, FBI en anderen om mensen anoniem te kunnen opsporen
of om anoniem onderzoek te doen, zonder een spoor achter te laten.
Land van herkomst, en dienst doen niet te zake, wel of software
open-source is. En of Darpa enge of (duistere zaakjes) doet staat
los van Tor, want we praten enkel alleen over Tor, en niet over de rest
zoals robots, laserwapens, AI, e.d. Als jij een ding fout doet,
wil het nog lang niet zeggen dat alle dingen die je doet fout zijn.

Terug naar Tor en de ontwikkeling ervan.
Tor is ontwikkel door de Amerikaanse Marine, daarna Darpa.
Later (ik dacht in 2004) heeft de marine de code vrijgegeven.
Weer iets later hebben Roger Dingeldine, Jacob Appelbaum, en nog een paar andere
het project overgenomen en zijn Tor gaan doorontwikkelen.
Zie Wikipedie of een andere bron.
Omdat het een open-source project is kan men de broncode
door spitten op bijv. backdoors of bugs e.d.

Vorig jaar waren er ook artikelen over TrueCript, of FreeBDS waar een backdoor
in zou zitten. Ook bullshit, en een hoop gedoe om niks. Om TrueCript was
zelfs een hoop gedoe omdat iemand wist wie de programmeurs waren.
Genoeg alu hoedjes die riepen niet te vertrouwen. Ook weer open-source, maar al die
gekken die de source code niet kunnen analyseren. En wat is ook weer gebleken,
TrueCript is safe genoeg, terwijl een hoop mensen ondanks toch op zoek gaan naar
iets anders. Die mensen hebben naar mijn idee een iets te hoog Alu hoedje gehalte.
Het is ook hier weer open-source, maar de meeste mensen hebben niet de kennis
om de code door te spitten of te analyseren, maar roepen wel iets wat niet klopt.
Wie heeft er dan gelijk uiteindelijk?

Sinds 2004 (mits je de kennis hebt) kun je Tor controleren, en of Tor te
vertrouwen is. Maar aan je reactie te zien vertrouw je dus open-source niet eens?
Wel vreemd voor iemand met een hobby en interrese in dit soort zaken.
Juist jij zou moeten wat de voordelen van open-source zijn.
Of was je te snel in je oordeel? Kan best maar reageer dan ook even als dit zo
was.

Heel vreemd dat je roept, zonder het te kunnen onderbouwen.
"Of dacht men dat de Amerikaanse overheid zomaar een tool online gooit waarbij
ze hun eigen ruiten ingooien voor wat
betreft terrorisme bestrijding? Zeg eens eerlijk?"

Ik zeg het nog eens: Tor is open-source!!!!!
Je kunt de broncode doorspitten. Of leer hoe het moet voor je een hoop mensen
gaat beschuldigen, want ergens doe je dat wel. Je steekt anders aardig van wal.
En ook ik zeg, bekijk echt eens wat content van (langer dan 20 minuten) van Appelbaum,
Dingledine, en cryptogeleerden.

Kort door de bocht, uit hun eigen documenten (NSA).

NSA: almost impossible to crack: Tor, OTR, TrueCript, Tails and PGP.
NSA: hard to crack: Redphone

Dat je een recherchebureau hebt is prima, maar als je echt serieus voorlichting
wilt geven, en dan zeker aan derden zorg dat je zaken als deze zeker weet, en
ga wat dieper in op zaken als Tor, exit-nodes, maar heel zeker als diensten
Tor users oppakken, over Silk Road, en Tor mail. Zeer belangrijk is om te
weten hoe een Tor gebruiker, of Tor mailer word opgepakt, en waardoor. M.a.w welke
fouten heeft deze gemaakt? Was het dommigheid? Was het toeval?
In de digitale recherchewereld, en opsporing zijn het juist de specifieke
kleine dingen die er toe doen. Weet je hoe een recherchebureau of rechercheteam te
werk gaat, dan heb je als crimineel al een hoop gewonnen en weet je wat je
juist niet moet doen, en wat wel. Iedereen kan hier wat van leren, en hoe meer men
weet, hoe lastiger een opsporingsdienst het heeft of krijgt.

Op deze site zitten een klein aantal mensen met een hoop kennis.
Enkele met een te hoog alu hoedje gevoel (naar mijn idee dan) en enkele
die het iets beter zien.

Tor word in veel landen gebruikt met een streng regime, waar de overheid
mensen achter Tor niet hebben kunnen oppakken doordat ze juist Tor hebben
gebruikt. Zelfs hier in Nederland weet onze Politie niets te doen als mensen
Tor of TrueCript gebruiken. Van TrueCript zijn er genoeg voorbeelden te vinden
hier op de website.

Misschien dat 95% van alle Tor gebruikers gewoon wat webpagina's via Tor
bezoekt, en dan weet de laatste node nog steeds niet wie ik ben.
Het laatste stukje is niet interresant (zolang je je niet met naam, adres
of anders indentificeert) Zelfs al draait de NSA wat exit-nodes
(en kunnen ze met groot geluk) zien welke site ik bezoek) dan nog hebben ze er
niks aan. Hoe meer Tor gebruikers, hoe nog moeilijker het voor ze word.
Laat staan dat ze dezelfde gebruiker kunnen monitoren.
(Ligt ook een beetje aan de kennis van de gebruiker, en of zijn machine clean
is natuurlijk)
De meeste Tor gebruikers gebruiken het misschien gewoon omdat het kan, en Tor is
super easy geworden. Niet alle Tor gebruikers zijn klokkenluiders, journalisten
of mensen die iets aan de kaak willen stellen.

Dan over SilkRoad (lees opmerking anoniem 08:43) ook hier weet je dus
niet het fijne van wat ik erg jammer vind, maar anoniem 08:43 legt het prima uit.

Tor mail.
Ook hier hebben mensen fouten gemaakt! Tevens zijn er meerdere maildiensten
dan enkel Tor mail! Idem (anoniem 08:43) legt het prima uit zo te lezen.
Tor en email kunnen prima samen gaan, zolang je javascript maar niet uitzet.
Je zijn een paar webbased maildiensten waar je prima over kunt mailen.
Als ik het zou doen, dan wist ik het wel hoor.
Open Wifi, of internetcafe > VPN > Tor > Webproxy > Webbased Mail.
Ik verwed mijn huis erom dat iemand me kan achterhalen.
En dan roepen mensen wel eens wat is het toch allemaal moeilijk om anoniem
een mail te versturen. Als je veel kennis van iets hebt, en de moeite neemt
om dingen te analyseren dan OPSEC weet toe te passen dan is het niet eens
moeilijk.

Heb je trouwens de afleveringen van Peter R. de Vries gezien over stalkers?
Misschien wel, zoniet allemaal domme gewone mensen die fouten hebben gemaakt.
Als je al zo dom bent om iemand een aantal jaar te stalken vanuit thuis, gewoon
via je eigen ISP dan ben je dus niet voorzichtig genoeg geweest, en B heb je echt een
steekje los. En maak je het echt te bont, zonder kennis van een en ander dan vraag
je er zelf om. En dan pas komt iemand als Peter R de Vries eraan te pas.
En moet je eens kijken wat een gedoe het allemaal is om iemand te kunnen achterhalen
die niet eens zijn ding over Tor deed.

Dan als laatste over Tor, de NSA kan me misschien een keer traceren, fijn
voor hun, laat ze vooal doorgaan met geld over de balk te gooien.
Ik durf te wedden dat jij (of anderen) het niet kunnen, en dan hoef je enkel mijn
echte IP-adres van mijn ISP te achterhalen. Ik wil je een mail sturen, of ik bezoek
je website of wat jij wilt. Sterker nog, ik bied je een hele hoop euro's als
je mijn ISP's IP-adres kunt achterhalen.

Challenge accepted?

P.S. ik neem je niks kwalijk hoor, maar weet waarover je praat zonder een alu
hoedje op te hebben zeker in het geval van Darpa en Tor.

Je bent nooit te oud om te leren.
Ook ik bekijk naar veel content van Jacob, op aanraden van mensen hier trouwens.
En op een gegeven moment raak je er ook een beetje aan verslingerd zelfs.

Een alu hoedje op hebben is niet eens ze heel slecht zolang je werkelijkheid
van fictie kunt onderscheiden. Ik doel dan weer op die enge zaakjes van
Darpa. Verder is het zaak om veel onderzoek te doen, en te kijken hoe iets precies
is gegaan.

Veel succes met je recherchebureau trouwens.

:-)

http://www.techworm.net/2015/07/with-proxyham-you-can-connect-anonymously-to-wi-fi-2-5-miles-away.html

Tor garandeert niet dat het 100% veilig is hebben ze nooit gedaan, geen een VPN provider gaat voor jouw de bak in dus ook geen 100% zekerheid. Er bestaat geen 100% zekerheid waarom gaat men op het internet dat nu verwachten en dan nog graag allemaal gratis. Tor -> VPN veiliger dan VPN -> Tor beschermt anonimiteit zover mogelijk VPN de data. Je kan ook SSH -> Tor -> VPN hoe meer eigen hops hoe veiliger je het maakt natuurlijk altijd blijven checken of het niet ergens lekt.

Er zijn VPN's die ik echt wel vertrouw, en waar geen logs zijn, valt ook weinig te claimen c.q.ondrzoeken.
Mullvad heeft drie jaar terug nog een bevel gekregn om logs te verstrekken (weet ik van Fredik van Mullvad)
Ze hebben de dienst netjes verteld dat ze die logs niet konden overhandigen omdat ze die A niet bewaren, en B
geen VPN ISP zijn, dus ook niet bij de wet verplicht waren om mee te werken. Na deze mededeling hebben ze nooit
meer iets vernomen van die opsporingsdienst. Geloof je dit verhaal niet, stuur dan maar een mail naar Mullvad.
Maar iedereen moet zelf bepalen welke VPN hij wel in vertrouwen neemt. Ik doe geen gekke dingen, maar heb in deze
een hoog vertrouwens gehalte. Wat andere mensen van Mullvad vinden zal me echt worst zijn. Je hebt van die mensen
die geen een VPN vertrouwen. Er zijn er ruim 100 a 150, dus dat ze allemaal niet deugen lijkt me wel heel kort door de bocht.

100% veilig kan best, maar eigenlijk bedoelen we anoniem.

Ga naar internetcafe (stad met geen camera's, of zoek een open acces point (wifi)
Mullvad mag je eerste keer gratis proberen (dacht 2 of 3 uur aan een stuk) zonder registratie.
Je kunt dus gewoon hun client downloaden en even installeren. Daarna Tor erover een en klaar ben je.
Geen enkel spoor naar jouw toe. Je kunt als je het echt bont wilt maken zelfs ergens een goedkope tablet kopen voor je
eenmailige (hack) actie. Je zult wel contant moeten betalen, geen naam en adres moeten achter laten(vor garantie of dergelijke) enz. Geen socail mede site of mail moeten checken met deze tablet, smartpone of notebook.

Een echt goede hacker weet wel nog een aantal van deze super simpele trucks op Snoden of Appelbaum niveau.
Tevens zijn er genoeg mensen die nog steeds geen wpa of wpa2 hebben op hun Wifi, dus hoe simpel wil je het hebben.
Het spoor wat je dan achterlaat gaat dan via de slecht beveiligde persoon. Uiteindelijk vinden ze misschien een device
print (maar ook dit is te omzeilen) en gaat de slecht beveiligde persoon weer vrijuit. Maar uiteindelijk komen ze niet bij mij uit. Het is maar een ID, om aan te tonen dat het best makkelijk kan zijn.

Als dit geen 100% anonimiteit is dan zeg het maar.
Alles valt en staat met wat je weet.

Misschien niet voor dagelijks gebruik, maar daar ging het ook even niet om.

Deze discussie heb ik al tientallen malen gevoerd met mede ICT mensen, en tja uiteindelijk kreeg ik dan
toch wel gelijk. (niet dat het daar om gaat, maar hoe meer kennis je hebt, hoe makkelijker het is.

Maar zeg maar als het niet klopt :-)

Ook 100% anonimiteit bestaat niet, een VPN is daar trouwens niet voor en zeker de Merica bedrijven zijn volgens wet verplicht data te verstrekken zonder dat ze hierover enig publieke mededeling mogen maken (Ook al zeggen ze wij kunnen geen gegevens vrij geven zijn ze het volgens hun wetten verplicht en doen dat ook).

Daarom Tor eerst dan VPN omdat dan ip hebt van Tor dus als VPN moet bekend maken ze alleen Tor exit hebben. Tor is ook wel te achterhalen maar dan moeten ze aan beide zijde entry/exit gaan monitoren. Daarvoor hebben ze bezit nodig van deze servers en er zijn teveel die door niet regeringen worden gedraaid.

Het is inderdaad ook dat Mullvad geen Amerikaans bedrijf is maar zweeds, anonimiteit verschilt hoe de persoon er mee omgaat.
Het begint al om geen social media te hebben en nooit ingeschreven te staan bij social media en natuurlijk geen gmail / hotmail te gebruiken voor velen ( bedrijven die even je naam googlen / collega's noem maar op )
Voor overheid geldt het zelfde eigenlijk maar daar komt veel extra bij kijken.
Over browser fingerprinting kan je eigenlijk niet veel doen als je een USB live install van bv mint/ubuntu/tails(over tor) neemt en dan gaat browsen terwijl je hardeschijf er niet inzit met windows 7/8 ect.
Er zijn veel dingen die je kan doen vanaf wifi punten die niet sterk beveiligd zijn en dan via VPN + VM + VPN+ Remote server + VPN + TOR of VPN + VM + VPN + TOR zo kan je eindeloos lang doorgaan als je dit over een live cd/usb doet is er weinig terug te vinden bij jou waarschijnlijk en daar komt ook de nodige MAC spoofing bij.
Natuurlijk bestaat 100% niet maar je kan het wel proberen.
Nogmaals zou dit voor de normale gebruiker teveel tijd kosten en nutteloos zijn.

Mullvad gebruikt OpenVPN die kan je in stellen via proxy 127.0.0.1 port 9050 of 9150 ligt eraan wat voor Tor (bundle of vidalia) je gebruikt (met bundle firefox niet afsluiten)

'Nope'
https://www.torproject.org/docs/faq.html.en#Proxychains

Tor heeft het al ingebouwd maar dan veiliger.
Nog een stapje verder, tor en vpn combineren dan?
Maar hoe en wat is het verschil?
https://trac.torproject.org/projects/tor/wiki/doc/TorPlusVPN

Succes

Onderzoek: meeste VPN-diensten lekken IPv6-verkeer
https://www.security.nl/image/view/9096

https://www.security.nl/posting/433992/Onderzoek%3A+meeste+VPN-diensten+lekken+IPv6-verkeer

Dus simpel IPv6 uitzetten in de adapter + router als het kan verder geen problemen ?
Als dat het is het maar een matig stukje nieuws want dit zou iedereen moeten weten die een VPN gebruikt :)

http://securityaffairs.co/wordpress/38397/hacking/sniffing-traffic-tor-traffic.html

Onderzoek was met login en daar kan tor je niet beschermen, met een login laat je een ...afdruk achter die te herleiden is. Dit kan op tor of clearnet dus onderzoek van 0

zou
Een weinig overtuigende aanname

Veilige verbinding over HTTPS of http ?

Hoe kan het dat in het artikeltje 'Traffic in Tor network is being sniffed in the exit nodes ' geen enkele keer gesproken wordt over hoe de setup er precies uitzag?
Alle internetverkeer dat niet versleuteld is, dus ook bij gebruik van een gewoon browsertje, kan altijd overal afgeluisterd worden.

Daarom is het best practice om gebruik te maken van HTTPS verkeer als dat belangrijk is, dat geldt ook voor Torbrowser verkeer.
Als jij op een veilige verbinding zit via HTTPS verkeer wordt er versleuteld verkeer gesniffed dat je dan nog moet zien te ontsleutelen.

Probeer je met een MITM het HTTPS verkeer te onderbreken dan is dat (voorzover mij bekend) zichtbaar in je browser omdat je dan tot aan de MITMer op een HTTP verbinding zit.
Heel misschien (maar dat weet ik niet) zou het wel mogelijk zijn voor de MITM er ook naar jou HTTPS verkeer aan te bieden maar het lijkt me dat het dan toch om een ander certificaat zou gaan.

Lekker boeiend dat aangehaalde artikel, weer eens een duidelijke poging om de aandacht af te leiden van wanneer problemen bij VPN besproken worden (what's new?).

'Conclusie' :

- 137.319 inlogpogingen waarbij er 16 keer een snif geconstateerd werd, geeft een statistisch nogal lage kans van 0,000116517

Met daarbij

- Bij gebruik van HTTPS is dat nog lager dan een kans van 0,000116517 omdat je verkeer dan eerst ontsleuteld zal moeten worden of onzichtbaar onderbroken.

Nieuwswaarde, nul komma nul want we wisten al dat onbeveiligde verbindingen afgeluisterd konden worden.
Daar zijn het namelijk onbeveiligde verbindingen voor.

Mits je toegang tot het root certificaat hebt kun je https prima man-in-the-middle breken. Raad eens waar sommige overheden toegang toe hebben?

Show tits or it didn't happen! En duidelijk geen verstand van hoe goede config van certificaten op servers wordt gedaan.

Grapjurk. Ik breek al verkeer sinds zeg 2005. Ooit van Blue Coat gehoord? Wat denk je wat er gebeurt als je niet eigen certificaat (+gepushd client certificaat) maar een root certificaat gebruikt? Nou? Nou?

Om je (en niet alleen jou) even uit de droom te helpen:
http://www.zdnet.com/article/how-the-nsa-and-your-boss-can-intercept-and-break-ssl/

En zo gebeurt het ook.

Geef jij de garantie dat een bepaalde 3 letter organisatie geen toegang heeft tot root certificaten van grote Amerikaanse partijen? Ik niet.

Zal niet zeggen dat ik het truukje zelf bedacht heb, want dat heb ik niet. Maar eenvoudig is het wel. Veel eenvoudiger dan menigeen denkt.

Gisteren, 18:55 door Anoniem hier,

Geen idee.

Voor de concrete beeldvorming bij je statement / suggestie :

Wat gebeurt er dan als de techniek waaraan je refereert wordt toegepast en ik bezoek als jouw MITM slachtoffer bijvoorbeeld ING bank.

Wat zie ik dan in mijn urlbalk? :

Een https verbinding?
Met exact hetzelfde groene EV certificaat (plus slotje) als ik zou zien wanneer er geen MITM zou plaatsvinden?
Geen verschil te zien?
Nou? nou?

Dat stukje ben ik wel erg benieuwd naar en zou ik graag simpel en zonder bijbehorende bravoure zien uitgelegd.
Nu heeft het nog een beetje veel van een drieletter woord beginnend met een F maar is het mij (in ieder geval) concreet in niet helder wat de praktische consequentie is van je suggestie.

Wel of geen verschil zichtbaar bij jouw voorgestelde MITM op die HTTPS verbinding (met niet te vergeten de HSTS implementatie die inmiddels meer en meer banken toepassen).

Ben benieuwd, zonder dollen.

Wou nou niet doen wie de grootste heeft maar kom voort uit Hack-Tic als deze prehistorie je wat zegt. Misschien voel je je beter als je deze form invult https://cyberguerrilla.org/butthurt/butthurt.php

Ik dateer van voor hack-tic. Niets bijzonders dus. Maar je hebt blijkbaar nooit van Blue Coat gehoord, of van MITM voor SSL gehoord dat je een aanval op mijn persoon denkt te moeten doen.

Anoniem 18:26: als de root CA certificaten worden gebruikt dan zie je het dus gewoon absoluut niet. Dat is de kern. Lees het stukje eens, daar staat het prima uitgelegd. Google vertelt e meer, net als verhalen over Blue Coat. In NANOG is er recent een grote discussie geweest over ISP's die al dan niet menen verkeer te moeten breken, dat is vast nog wel terug te vinden.

Als je niet een root CA certificaat gebruikt, maar zelf een certificaat laat tekenen (en dat kan!) dan kun je iedere site met groen certificaat laten verschijnen, dat is het verraderlijke. Er zijn zat bedrijven die verkeer breken voor virusinspectie. Valt het iemand van de gebruikers op? Nee.

HSTS? Geen idee, nog niet over nagedacht, maar ik vermoed dat het niet helpt. Het is nog niet al te gebruikelijk om dat aan te zetten, kijk maar eens met ssllabs en schrik daar van. Net als hoe weinig PFS nog maar wordt gebruikt.

Het is ongeveer even moeilijk als het herleiden/decrypten van 1 VPN verbinding, enige verschil is dat je dat 3x moet gaan doen. Is dat geen simpele logica ? ;)

Neenee, ohnee!

Ik stel je heel concrete (simpele) vragen naar aanleiding van een simpel voorbeeld die jij ook inzichtelijk en concreet gaat beantwoorden zonder er deze keer voor weg te lopen en mij het internet op te sturen.
Vond dat ene artikel al genoeg en jij maakt een statement dat ik graag onderbouwd wil zien naar aanleiding van een praktische situatie.
Kom op nou, verantwoordelijkheid nemen voor wat je suggereert, geen doorverwijsloket gaan spelen.

De situatie vraag was

Daarbij volgen de extra vragen, vooruitlopend op je mogelijke vasthoudendheid:

- Hoe kan het dan dat de fraude afneemt bij banken, of dat uberhaubt MITM interceptie dan niet een totale (commerciële) hit onder criminelen is? Als het zo makkelijk is dan
kan het niet anders dat alle passwords van van alles en nog wat al in handen zijn van derden.
Dat weet men goed verborgen te houden.

- Hoe kan het dan dat veronderstelde criminaliteit op het dark web dan niet geheel is opgeschoond? Appeltje eitje dan.

- Waarom wordt er dan nog massaal gejengeld over het lastige van encrypted verkeer als het eigenlijk helemaal geen probleem is dat volgens jouw nog niet nader bevestigde (doe het zelf sinds 2005) methodetje makkelijk is te onderbreken?

Hele concrete vragen die jij als voorhaktikker met gemak eventjes voor de leken hier kunt uitleggen en onderbouwen.

Hopelijk leest ING, de rest van de banken en eigenlijk alle instituten die afhankelijk zijn van versleuteld verkeer ook even mee met Anoniem, want het is best een scope die je daar hebt!

Wat betreft HSTS, dat stond in het middel punt van de belangstelling toen Brenno de Winter aantoonde dat je inderdaad kon MITM en op de lijn omdat .. nou ja, kijk de uitzending zelf maar.

S-je verloren onderweg?
https://www.security.nl/posting/389177/Bank+https+aanval+op+TV


Geen concreet antwoord op de vraag beschouw ik als : "mijn opmerking (de jouwe dus) was inderdaad wat te enthousiast.
Het kan niet omdat het eigenlijk geen realistische bewering is. Laat dat van 2005 enzo maar zitten"

Ook 'prima', al heb ik liever een overtuigend antwoord,
we wachten het af.


(kunnen we daarna weer terug naar vpn)

Vermoedelijke NSA constructie (dus niet zo maar voor iedereen beschikbaar, niet voor criminelen, maar ook niet voor jou of mij):
client ---> mitm site met geldig root certificaat, omdat het root certificaat is: groen slotje bij client.- mitm site staat inline in pad naar destination.

mitm site naar destination: normale ssl verbinding.

Kortom: niets anders dan standaard SSL verkeer breken via een SSL proxy (in dit geval zelfs inline)

Normaal breken:

client (met eigen ca certificaat van root ca mitm) --> mitm site met eigen root certificaat --geen groen slotje--

mitm site naar destination: normale ssl verbinding.

Iedere financiële instelling heeft dit voor zijn eigen gebruikers omdat webverkeer gescanned moet worden op virussen. Dat hoef ik niet te gaan uitleggen aan ING, Rabo, ABN of SNS. Die weten dit echt wel en gebruiken het. Er zijn diverse aanbieders van apparatuur die dit standaard kan: BlueCoat, Barracuda (https://techlib.barracuda.com/bwf/configsslinspection7), websense (https://www.websense.com/content/support/library/deployctr/v76/dic_wcg_deploy_issues.aspx), etc.

De enige juiste manier om het goed te doen lijkt het gebruik van DNSSEC, SSL en dus DANE, maar dan nog...heb het nog niet geanalyseerd. (http://blather.michaelwlucas.com/archives/2012)

Luie mensen help ik niet verder. Zoek het verder zelf maar uit, je was al te lui om het document te lezen wat je werd aangereikt.

Los van het feit dat er een onuitroeibaar brede misvatting bestaat over luiheid, domheid en intelligentie,
ik aangegeven had het stuk wel gelezen te hebben maar het plaatje niet rond te hebben gekregen
(hint gegeven : "geen idee" . 'Digitale certificaat kunde' zat niet in mijn vakkenpakket ooit),
komen we in de richting van het eindantwoord.

Help ik je nog verder op weg naar het verkrijgen van een definitief antwoord want je bent nog steeds niet geheel specifiek.

Wederom het voorbeeld van ING Bank, dit staat er bij ING in de url :

Dit te zien bij een klik op het certificaat

Het certificaat meer specifiek : Certificate Viewer:"www.ing.nl"

Dan hebben we nog de "details" van het certificaat van ING.NL met alle "certificate details" die ik ff niet ga overtypen,
want 'You get the picture' (anders weet de certificaatmaster jij het zeker te vinden).


Nou, heb ik hierboven de ing.nl certificaat info allemaal op een rijtje gezet voor je,
rest de vraag die je nog steeds niet geheel beantwoordde :

is deze certificaat informatie dan in haar geheel (inclusief alle fingerprints en details) allemaal exact nagebootst door jouw aanvallers naar keuze?

Deze vraag kan je dan zelfs met een ja of nee (of weet niet) beantwoorden (over luiheid, pardon, gemak gesproken).


Mogelijke antwoorden van jouw zijde anders samengevat :

a) Ja alle certificaat informatie exact het zelfde inclusief de fingerprints

b) Nee dat niet (alleen een groen kleurtje in de url balk, wel niet exact dezelfde omschrijving in de url balk)

c) weet niet / niet uitgezocht

d) ... ?


Ik ben nog steeds benieuwd naar het antwoord (ook nog steeds interessant voor VPN), van jou of van anderen die er meer verstand van hebben.
Elkaar helpen waar de kennis ontbreekt (en je statements inzichtelijk onderbouwen), dat was dacht ik de lol van deze site en een forum.

Ik wacht wederom af op het (hopelijk nu definitieve) verlossende antwoord als onderbouwing van je eerdere beweringen
(a,b,c of d?).

Groet,
van een niet hacker/tikker/certificaatspecialist met interesse hoe het zit

a. want de betreffende organisatie heeft toegang tot *alle* certificaten.

of

d. Een nieuw certificaat. Maar omdat je altijd via het gebroken pad gaat kun je niet zien dat er een andere handtekening staat. De handtekening is valide (want officieel ondertekend).

Het antwoord staat echt in mijn verhaal.

Dank voor het antwoord want het stond namelijk niet expliciet in je verhaal,
hooguit de impliciete suggestie en ik wilde 'voorkomen dat er via die wijze handig onderuit gedraaid werd'.
Wat dat betreft zijn kamerdebatten en antwoorden van politici heel leerzaam.

Goed, terug naar Tor (of VPN) betekent dat nog steeds een relatief probleem ("sprak 'a-techie' tegen zelfbenoemde 'hackertikker'. Eens kijken waar we uitkomen).


Het lijkt mij een relatief probleem, omdat :

1) Niet iedereen bij die Root certificaten kan vanwege een zekere (nogal hoge) drempel.

Maar vooral,
dat dit soort attacks twee extra belangrijke voorwaarden hebben waaraan ook nog voldaan moet worden :

2) Namelijk dat je vooraf moet weten dat iemand naar die MITM-val-site gaat of dat binnen een bepaalde periode het target die specifieke site gaat bezoeken.
(wat op zich kan en een bekende tactiek is om door middel van phishing links het target te verleiden een bepaalde pagina te bezoeken).

En zeker :

3) Dat je moet weten over welke exitnode dat verkeer dan gaat, ervan uitgaande dat we het daar nog steeds over hebben want dat was namelijk waar het onderzoekje van die 'onderzoeker' over ging : interceptie op een Tor exitnode.

Maar en dus,
het aardige is dat een dergelijke aanpak geenszins gelijk staat aan de suggestie dat Tor verkeer in zijn algemeenheid te onderscheppen is.

Waarom niet?
Omdat :

3) 'Jij' als interceptor helemaal niet vooraf weet welke sites ik ga bezoeken op dag X als ik niet in je phishing attack (met dat linkje) trap.
(of wou je preventief alle Root certificaten op de wereld ff lenen/'ownen').

4) 'Jij' als interceptor een ander nog belangrijker probleem hebt,
namelijk dat de gekozen exitnode door Torbrowser willekeurig is en elke 10 minuten verandert.

Zowel jij als ik weten niet welke exitnode gekozen wordt als ik een willekeurige site ga bezoeken!
Je interceptie mogelijkheid is gebonden aan de exitnode, dan zul je dus flink aan de bak moeten met het toe-eigenen van exitnodes (stiekem en langzaam want anders valt het op want het wordt door de community in de gaten gehouden

https://blog.torproject.org/
https://lists.torproject.org/pipermail/tor-relays/2015-July/007310.html


Ergo 1,

Wat je beweert dat zou kunnen blijkt in de praktijk een zekere nogal relatieve dreiging te zijn.
Een dreiging die in de marge categorie tussen 99-punt-nog-wat% en 100% zit,
of,
tamelijk nogal erg afhankelijk is van de voorwaarde dat met zekerheid is vast te stellen dat ik op tijdstip x precies website x bezoek, precies over exitnode x ga en daarbij ook nog data over de lijn gooi die voor mij persoonlijk identificerend is.

(.................tja,.. daar heb je wel een punt................?)

Het kost me dan ook geen enkele moeite om je in je promille puntjes gelijk te geven.
Sterker nog, er zijn nog wel meer dergelijke (algemeen bekende) manieren om Tor security te onderbreken.
Bijvoorbeeld beheer van entry node en exitnode op hetzelfde moment (krijg het maar georganiseerd).

Torproject is zelf overigens heel open over de kwetsbare punten in het Tor-systeem en geeft op basis daarvan ook duidelijke adviezen, o.a. : schakel ook maar geen plugins als Flash en Java in.

Het realistische gehalte binnen de meer algemene discussie over meer algemene security en privacy is van een buitengewoon marginaal niveau : alleen belangrijk als je te maken hebt met een klopjacht omdat je target bent van een land dat werkelijk de capaciteiten heeft dat (onopgemerkt) te kunnen uitvoeren en dat ook wil.
Categorie E.S.
Val ik niet in, jij?

Dreigingen dichter bij huis
De lijst met meer basale tactieken om Tor anonimiteit te breken zoals die voornamelijk door kleinere overheidsdiensten worden gebruikt laat zich lezen als een lijst van een aantal standaard technische en social engineering trucjes die eenvoudig te voorkomen zijn.
Dat is een apart topic waard (of niet) en ga ik hier verder niet uitwerken om redenen die ik eveneens laat voor wat het is.


Ergo 2 en Terug naar de VPN discussie,

Ondanks jouw punt waarvan ik voorlopig maar aanneem dat het waar is (ik hoor nog niemand met kennis van zaken beweren dat het niet waar is) en aantekeningen die je kunt hebben bij het gebruik van Torbrowser op het gebied van security, denk ik dat ondanks je/de promille procent punt bezwaren het gebruik van Torbrowser in relatieve zin nog steeds veilig is en voordelen biedt.

Niet voor niets werd dus ergens Tor geopperd (door mij overigens) als een veiliger alternatief voor een VPN chain omdat het verkeer van entry node tot exit node versleuteld is.

Daarbij is je chain van nodes (hops) ook nog eens niet statisch maar dynamisch : de samenstelling van de ketting verandert steeds (entry node wat trager), dat lukt niet met je vaste VPN ketting opstelling.
Ziedaar het voordeel, encrypted chain en een wisselende chain waar je niets voor hoeft te doen (gratis ook nog).


Samenvattend :

Torbrowser heeft voordelen en is relatief goed opgewassen tegen dreigingen.

Welke software is er eigenlijk exact 100% secure?
Cliché en voorspelbaar maar weer eens herhalend : uit de omkering dat de volle 100% security in software niet gehaald wordt volgt nog niet het bewijs en ook de suggestie niet dat software zeer, nogal, impertinent onveilig is!

Als het over Tor gaat wordt gek genoeg dat wel geprobeerd en alleen voor Tor wordt die maatstaf telkens weer exclusief van stal gehaald terwijl niemand, in ieder geval niet door Torproject zelf wordt beweerd dat deze software 100% veilig is.
Dat kan ook niet, voor geen enkele software, want de vraag begint al waartegen je je wil beveiligen.

Op de best interessante vraag van topic starter of het kan en de moeite van het nemen waard is om een VPN chain in elkaar te knutselen denk ik dat er andere, veiliger en comfortabeler alternatieven zijn (voor die anonimiserende chain) als bijvoorbeeld het gebruik van Torbrowser, of nog mooier en veiliger; het gebruik van een Tails live DVD.

Daarmee zeg ik niet dat het niet nog veiliger kan of dat er nog wel praktischer en betere alternatieven zijn, dat mag weer een ander doen.


Zou topic starter nog meelezen / mee durven doen?
Het is zijn/haar topic tenslotte.

https://www.youtube.com/watch?v=s9fByRmAHgU

Jacob Appelbaum doet het enkel op deze manier
VPN with ot without VPN Chaining, after that Tor.

Dus zoals al door ene anoniem beschreven EERST
de VPN, en pas DAARNA Tor.

Bij de meeste VPN IPS's moet je je namelijk registeren
of je hebt geen mogelijkheid om niet anoniem te betalen.
Dus doe je gekke dingen over de VPN, en de VPN
bewaart toch logs, en een overhiedsdienst krijgt die
logs dan komen ze al gelijk uit bij jouw. Dus Tor
voor de VPN is niet eens aan te raden.

Bekijk de hele video voor een beetje info over
deze dingen. Het meeste gaat echter over
andere methoden zoals Redphone, PGP,
Gibberbot ect.

Nu kunnen mensen hier roepen wat ze willen
maar ik vertrouw meer op Jacob Appelbaum
en andere specialisten dan op een aantal
mensen hier op dit forum.

En het is dat Appelbaum met de NSA, FBI
en CIA te maken heeft, en heeft gehad, en
iemand hier op het forum niet.

Appelbaum is een echte researcher, (en
kan programmeren) en de meeste mensen
hier niet. Appelbaum research gaat tot de
hardware, en kan dit tevens beter anyliseren
dan iemand hier dan maar ook.

Maar ook dit is een persoonlijke keuze.

Voor mij is het daarom heel simpel.

Follow Appelbaum :-)

Anno 2015 kan je bij de meeste VPNs anoniem betalen door : geld op te sturen of met bitcoins.
Natuurlijk is niets 100% betrouwbaar, de meeste fouten denk ik worden door de mens zelf gemaakt door bv ergends in te loggen met persoonlijke informatie of DNS leaks / MITM en noem maar op.
Ben het eens met jou antwoord dat het een persoonlijke keuze is maar dat niemand hier iets kan vind ik wel jammer dat weten we niet.
Fijne dag

@anoniem 17-7 19:40

In mijn post van 3-7-2015 22:37 raadde ik al aan om Tor te gaan gebruiken.
Er zit geen meerwaarde in VPN's en al helemaal niet in gechainde vpn's.

Voor consumenten gebruik is dat goed genoeg. Ik denk dat ik afdoende
duidelijk heb gemaakt dat je niet veilig bent en veilig zult worden
voor overheidsbemoeinis (van de grote boze nsa), gelukkig zijn
vooralsnog de meesten van ons daar niet interessant genoeg voor.
Niemand weet echter of hij/zij echt niet interessant genoeg is. Aandacht
in dit forum voor dit onderwerp kan het zo maar triggeren. ;)

En ja, ik ben poster die TLS MITM'en aandroeg. En de dreiging voor een
thuisgebruiker is inderdaad niet groot. Zakelijke gebruikers daarentegen
hebben heel erg vaak te maken met openbreken van de verbinding.
Check maar eens of er een van de genoemde devices actief is op je
bedrijfsnetwerk. Overigens moet scanning met openbreken van TLS door de
ondernemingsraad zijn gegaan.

Mijn stelling: vpn's zijn niet echt privacy verhogend (en daar ook niet primair voor bedoeld (geweest)), Tor is dat wel.

Nee dat heb je niet
Nee dat heb je niet
Nee dat heb je niet

Ook niet door er een '(pot)sierlijke draai aan te geven'
kom nou toch.


De theoretische mogelijkheid tot corrumperen van.. staat namelijk nog steeds niet gelijk aan dat het ook gebeurt.
En al helemaal niet in de mate die jij suggereert!
Jouw suggestie dat " je niet veilig bent en veilig zult worden" is daarmee slap suggestief ge-*** .

Daar waar ik uitgebreid de moeite heb genomen om in te gaan op je suggestie dat Tor niet veilig is,
draai je er nu even met een gemakzuchtige draai onderuit zonder in te gaan op de argumenten die je suggestie tegenspraken
(en nu ineens handig met een deel van mijn argumentatie meesurfen omdat die je wel goed uitkomen? Kom nou).

Nou gaat het me op zich niet om mijn gelijk of zelfs jou specifiek als persoon, maar wel om suggestie van zaken die je eerst doet (terwijl je ook nog kennis hebt van TOR?), en vervolgens helemaal niet hard kan maken.
Dat is wat er keer op keer aan de hand is op fora zodra Tor ter sprake komt.
Moet je gewoon niet doen.
Ook niet met je tech-spierballenbluf, en zeker niet als je zogenaamde aanhanger bent van Tor(browser).
Waar ik alleen al daarom ook geen bal van geloof, anders had ik een en ander niet zo uitgebreid met argumenten te hoeven weerleggen wel?

Niemand veilig?
Nou ik 'ken' er wel een die dat toch is gelukt.
Ik heb niet goed genoeg mee kunnen kijken op de schermen van E.S. tijdens de Citizenfour film om te kunnen zien wat hij nu voor systemen gebruikte.
Tor, Tails?
Het leek een moment op iets Ubuntu achtigs vanwege een paars lila desktop. Gebruikte hij dan wel Tor?
Wie het weet mag het zeggen.

Hoe dan ook, deze 'sneeuwruimer' had niet de minste natie achter zich aan en zit toch echt niet op een plek waarvan jij suggereert dat je daar per definitie belandt als er een natie met dergelijk technische capaciteiten achter je aan zit.
Hoe kan dat nou?
Zo zijn er vele dissidenten die hun vrijheid hebben dankzij deze TOR techniek (anders is het gauw afgelopen hoor met gebruik van Tor), een techniek die voortdurend weer verfijnd wordt vanwege ontdekte hiaten, zoals dat gaat met software.

Ergo
Daaruit de luie conclusie trekken dat het uiteindelijk allemaal toch niet echt veilig is, is op geen enkele wijze constructief te noemen en al helemaal niet van iemand die eerst schermt met het hebben van ruime ICT (Hack?) kennis en onder verwijzing van ... artikelen op het internet nog eens flink probeert aan te dikken.

Het in extremen trekken van discussies met een soort stoere tech bluf houding is dus buitengewoon, bui-ten-ge-woon storend op fora.
Wat schieten we ermee op? Niets.
Waar dus geen meerwaarde in zat waren de posts die na je (nu geclaimde) eerste post zijn gekomen, ook niet met een draai mee naar Tor nu die je ineens wel goed uitkomt (geef dit soort gedrag zelf maar een naam).

Een (overigens onterecht) verwijt van luiheid boeit me niet zo, het onnodig verdoen van de tijd van anderen wel.
Man man.
Pffft...

Maar goed, hopelijk hebben de lappen aan extra tekst en discussie die dit gekost heeft wel haar toegevoegde waarde gehad voor de VPN topic starter en andere lezers en eventuele misverstanden rondom Tor(browser).
Een goede keuze kan je immers alleen maken op basis van goede en voldoende informatie en het afwegen van voors en tegens.

Gegroet.

oa. anoniem 17-07 19:40
(even geen zin meer om de eigen bijdragen hier allemaal bijelkaar te zoeken en te noemen).

Primo: Je hebt geen enkel argument aangedragen. Alleen onwetendheid, onwil en uitgebreid tonen dat je niet bereid bent om te begrijpen wat er wordt geschreven. Nog even afgezien van je onwil om overige documentatie te lezen. Ik denk dat het verhaal van barracuda, websense en bluecouat redelijk overtuigend is. Het middel om ssl te breken is gewoon te koop. Dat is geen tech bluf, maar realiteit. De realiteit ontkennen is je kop in het zand steken.

Secundo: je gooit een aantal reacties van anoniemen door elkaar. Ik heb helemaal nergens gesuggereerd dat Tor onveilig is. Integendeel. Ik ben fervent voorstander van Tor. Ik vertrouw niet op vpn's voor privacy. Daar zijn ze niet voor gemaakt en voor bedoeld. Ik geloof niemand op zijn blauwe ogen dat hij niet logt. Niemand. Behalve mezelf, maar dan ben ik weer niet anoniem. Overigens heb ik geen anonimiteit (als in Tor) nodig. Ik gebruik wel vpn's, maar dat is om mijn communicatie met en binnen bedrijfsnetwerken binnen diezelfde bedrijfsnetwerken te houden. De kans dat die betreffende vpn's worden gekraakt door hackers is nhil. De kans dat die door de overheid (ook de Nederlandse) gekraakt kan worden is 1. De kans dat dat ook daadwerkelijk gebeurt is bijna 0. De impact is in het geval van kraken door overheid 0. Dus: boeijuh.

Kortom: begrijpend lezen is en blijft moeilijk, zeker als er meer reacties met dezelfde naam (maar zeker niet dezelfde persoon!) zijn. Daar zit vermoedelijk je verwarring. Ik heb maar een beperkt aantal malen gereageerd. Minder dan jij nu blijkt te denken.

Nogmaals, nergens in MIJN reacties heb ik kritiek op Tor. Alle reacties die dat wel hebben zijn (eigenlijk per definitie) niet van mij. Ik heb wel gereageerd op vpn's en de (on)zin van chaining. Ik denk dat je aan de hand van de schrijfstijl wel moet kunnen herkennen welke reacties wel en welke niet van mij zijn. Als je het niet gelooft maak ik wel een lijstje voor je...

yup, meeste mensen die ooit worden gepakt of wat dan ook komt door menselijke fouten te onvoorzichitig / een fingerprint achterlaten.
Het zelfde met hard drive encryption criminelen met makkelijke wachtwoorden die gebruteforced kunnen worden zijn opgepakt de rest "nog" niet.

Hallo,

VPN(s) kunnen heel zeker bijdragen aan iemands privacy.
Een aantal van de betere VPN's staan het toe om bijv. torrents
over te downloaden. De filmmaatschappijen vinden dit niet leuk
maar kunnen er vrij weinig aan doen, en zien VPN's als een
bedreiging. Dit weet bijna iedereen , dus daar hoeven we niet
eens over te bekvechten.

Als je twee of drie url's kunt vinden waar een VPN de IP's
van gebruikers aan die filmmaatschappijen heeft gegegeven
dan...........kom maar op. HideMyAss teld niet eens mee
want die gaf info aan de FBI over de SONY hacker.

VPN's helpen ook tegen zoiets als de 'wet bewaarplicht' met andere
woorden, onze of een andere overheid kan niet meer zien naar welke
site's je zoal gaat. Dus ook je privacy is hiermee beter beschermd.
Ook hier hoeven we niet over te bekvechten, en ook dit is bekend.

Zodra men een verbinding met een VPN maakt ziet de ISP enkel het IP-adres
van de VPN, en niet meer de IP-adressen van de website's die mensen
bezoeken. De hele bewaarplicht is inmiddels van tafel
maar er schijnt een andere vorm van de bewaarplicht
te komen. Los van discussie.

Dus met deze soort van privacy heb je eigenlijk ook een vorm van
anonimiteit in het geval van de wet bewaarplicht en bescherming tegen
Brein e.a.

Maar los van dit gebruik je zelf ook VPN's, om je te beschermen
schrijft je zelf. Of het gevaar groot of klein, is maakt dus
eigenlijk wel iets uit, want je wilt toch bereiken dat je data safe
is. Met safe bedoelen met niet door derden in te kijken. Dus eigenlijk
maakt je alles veiliger zodat derden data niet kunnen inzien, hacken,
bemachtigen. Dat noem ik dus ook je privacy beschermen.


Uit wikipedia: https://en.wikipedia.org/wiki/VPN
VPNs allow employees to securely access their company's intranet while
traveling outside the office. Similarly, VPNs securely connect geographically
separated offices of an organization, creating one cohesive network.
VPN technology is also used by individual Internet users to secure their
wireless transactions, to circumvent geo restrictions and censorship,
and to connect to proxy servers for the purpose of protecting personal
identity and location.

Dan een aantal woorden uit een klein stukje van Wiki:
* securely access.
* secure their wireless transactions.
* to circumvent geo restrictions.
* to circumvent censorship.
* protecting personal identity and location.

M.a.w door het beveiligen van protocolen (poorten en data) kunnen
we bereiken dat we meer privacy en anonimiteit hebben.

Dus een VPN draagt hier zeker aan bij.

Jammer dat je alle VPN's over een boeg gooit zonder je echt in de goede
te verdiepen. Er zijn er meer dan 150 of meer, en die zijn allemaal slecht
en loggen echt allemaal? Geloof je echt wat je schrijft?

Zover ik weet was het HideMyAss en misschien nog eentje die iets deden wat
mensen niet leuk vonden. HideMyAss heeft zelfs in hun policy staan te loggen.
Als je dan SONY over de VPN gaat hacken, en zonder een policy te lezen,
en te gaan lopen opscheppen op een forum, dan vraag je er zelf om.

Vaak (hopen) en denken mensen dat een VPN een wonderwiddel is om illegale
dingen over te doen, en daar zijn ze juist niet voor uitgevonden.
Maar om nu te roepen een VPN draagt niet bij een privacy of anonimiteit
vind ik ook weer onzin.

Heren, dames, de stelregel bij security is: ik geloof het pas als het bewijsbaar is en bewezen wordt. Al het andere is per definitie niet betrouwbaar. Dat kwartje valt wel bij de professionals, maar niet bij menig poster hier.

De stelregel is NIET: ik geloof een vpn provider als hij zegt dat hij niet logt. Derhalve draagt een vpn NIET bij aan security en dus privacy. Al roept de provider nog zo hard dat hij zeker niet logt. Bewijs! En dat is onmogelijk. Het is erg naief om je ISP niet te vertrouwen en een vpn provider wel.

Ja, een vpn kan handig zijn om geofencing te omzeilen. Ja een vpn kan handig zijn om je te onttrekken aan het blikveld van sommige grote organisaties. Is het onfeilbaar? Zeker niet. Heeft chaining zin? Ik heb al meermaals betoogd van niet.

BTW: onderzoek eens waarom sommige vpn providers uit Zweden vertrokken zijn, zoals blackvpn. Zou daar geen reden voor zijn?

Les 1 security: wantrouw alles. Zet paranoid mode aan in plaats van uit.

Dus als SSL te breken is en makkelijk of te koop is waarom word er dan nog steeds via bankingbots geld gestolen, en waarom word er dan niet massaal veel geld gestolen bij de banken??
Als een organisatie/persoon het kan dan kunnen meer mensen het..
En voor bedrijf VPNs is het makkelijker om bij het einde te gaan luisteren ( server in Amsterdam of w/e ) dan om de encryptie te breken, er zijn zoveel mogelijkheden dus beetje naïef om tezeggen dat je bedrijfsVPN geheel veilig is en andere niet...

Begrijpend en volledig lezen valt niet echt mee, he. Wat was ook al weer de opmerking over certificaten? Iets met niet voor normale mensen en ook niet voor criminelen beschikbaar, dus niet inzetbaar om gewoon SSL verkeer te breken?

Zucht.


Naief? Kwestie van goed inrichten en weten wat je doet. Het is tenslotte al een jaartje of 30 mijn vak. Ook het jouwe of zit je nog op school?

Verdiep je eens in ipsec of OpenVPN, en dan liefst geïmplementeerd op OpenBSD, Kijk daarna eens of het endpoint makkelijker is of encryptie. Gokje: geen van beide.

Dat was op zich een verstandig idee geweest
maar inmiddels wel mosterd na de maaltijd.

Helaas is door je opstelling en (al snel) weinig respectvolle toon de discussie dusdanig verziekt dat het je op andere wijze toch nog lukt om er onderuit te komen.
Want wie heeft er nu zin om een discussie aan te gaan met iemand die het niet eens kan opbrengen te lezen wat er op deze forumpagina geschreven staat en denkt het met een grote mond en blijvend stug negeren te kunnen redden:
ik ga de gegeven (simpel te volgen) argumenten niet weer herhalen, ze staan er allemaal zwart op wit.

Tja dan houdt het dus wel op,
en dat was waarschijnlijk ook precies je bedoeling bij wat (onderbouwde) tegengas uit onverwachte hoek (van een 'a-techie').

Wat betreft het zogenaamd fervent voorstander van Tor zijn.
Als je dat nou werkelijk zo zou zijn geweest, en als het nou werkelijk zo zou zijn dat je een ter zake doende security punt had,
dan had je beter in plaats van hier een halve stoere vent uit te hangen, heel veel beter kunnen proberen een hele vent uit te hangen op de Torproject pages met constructieve bijdragen.

Het doel van de Tor community is om die Tor techniek nog veiliger te krijgen.
Daarvoor is input en kennis nodig.
Wanneer jij die kennis van vermeende grote gaten in Tor security werkelijk hebt en volhardt in je standpunten, wees dus dan ook 'de man' en maak het aanhangig binnen de Tor community in plaats van hier rookgordijnen op te werpen door met verwijzingen naar artikeltjes te schermen maar niet werkelijk in te gaan op (en weg te lopen voor) gegeven tegen argumenten hier.

Torproject pages, tja dan had je wel nog meer tegengas gehad.
En ja daar moet je wel tegenkunnen.

Succes ermee joh,
met je Tor voorstanderschap
(en je zandbak).

17-07-2015, 19:40 door Anoniem
(die als Tor gebruiker dit VPN topic voor gezien houdt)

Alles is te hacken/kraken/breken eventually maar dat zou je ook moeten weten als je 30 jaar in je vak zit, als het niet direct kan dan gemanipuleerd of exploiteren.
En voor geld doen mensen de raarste dingen, daarom gebeuren er ook best veel inside job hacking related stuff kijk maar naar afgelopen 1-2 jaar aan grote hacks.

Ik hoef je niets te bewijzen, ik heb mijn stellingen afdoende onderbouwd, Als toegegeven a-techie geef je geen tegengas, je komt met kretologie, je hebt blijkbaar geen flauw idee waar je het over hebt. Je doet de ene aanname na de andere. Je hebt geen idee op welke fora en met welke software ik actief ben, toch weet je te vertellen dat ik daar input had kunnen en moeten geven. Bijzondere glazen bol heb je.

Ik werp geen rookgordijnen op met artikeltjes. Ik onderbouw mijn uitspraken met artikelen, die jij niet wenst te lezen en/of te begrijpen. Je gooit vpn's door elkaar, je gooit anoniemen door elkaar, je verwart vpn met ssl. Je gaat als a-techie op deze manier niet verder komen om a-techie af te worden.

Veel plezier met je vpn's en met je tor. Dat je nog lang anoniem en a-techie mag blijven.

Hi,

Ik begrijp je stelregel wel, maar er zijn twee soorten van VPN's.

De VPN ISP, en de VPN die geen ISP is, in het geval van die Zweedse
"Mullvad" is deze weer net geen ISP.

Bij de wet zijn enkel VPN ISP verplicht te loggen, en de meeste van
deze hebben dit ook netjes in hun policy staan.

Die Zweedse (Mullvad) hoort daar dus niet bij, dus daarom loggen ze
ook niet.Hier was iemand (ben even te lui om te zoeken) die vertelde geen
enkele VPN (ISP) te vertrouwen, jammer om zoiets te zeggen zonder
ook het bewijs te kunnen leveren, laat staan om eens het verhaal
van de andere kant te controleren. (bellen, mailen, twitter of een andere
vorm. En ja, hoe wil iemand met toch goede bedoelingen als Mullvad
dan dit bewijs leveren? Moeten ze een webcam gaan ophangen bij de
server waar je in de configuratie kun zien dat logging uitstaat?
Gaat wel een beetje erg ver toch?

Het is zoals als zeggen: Geen enkele emaildienst is te vertrouwen'
We weten inmiddels van LavaBit dat Ladar de grootste problemen
had, en maatregelen had getroffen om de privacy van zijn klanten
te beschermen tegen de FBI (NSA). Hij is zelfs zover gegaan om zijn
dienst te stoppen om de rest van zijn klanten te beschermen.
Ladar (van LavaBit) heeft zelfs gesproken bij de hearings van de
Europese Unie hoe de FBI, en NSA te werk gingen en gaan, en wat
te doen tegen zulke schurken als FBI, NSA.
Zie video: begint ergens bij de 12de minuut.
https://www.youtube.com/watch?v=2qwhB-u7PiI

We kunnen ook gaan roepen geen enkele encryptieprogramma is safe.
Hoeveel soorten van encryptie programma's vind je met Google?
Juist een hele hoop, terwijl er best een paar als safe mogen
worden bestempeld.

Terug naar de VPN's dan maar weer.
Met ander woorden: 'Naar mijn inziens zijn er best VPN's die te
vertrouwen zijn. Onze eigen Brenno de Winter maakt er gebruik van.
Jacob Appelbaum maakt er gebruik van (in chaining nog wel te verstaan)
en daarna Tor, en The Grugq maakt er ook gebruik van.
Bekijk video OPSEC beneden, ergens op het laatst.
https://www.youtube.com/watch?v=9XaYdCdwiWU
En zelfs The Grugq gebruikt Mullvad wel eens, maar dan via via via.
M.a.w. al deze mensen, en nog een paar, die erop vertrouwen, en
veel veel veel meer te verliezen dan de normale security.nl vraagsteller.
En ik vertrouw meer op het oordeel en kennis van deze mensen, dan
op een oordeel van iemand hier, dus ik niet ken, en niks te verliezen
hebben. Brenno de Winter en Jacob Appelbaum werken met bronnen die ze
moeten beschermen, dus die weten heus wel hoe de vork in de steel zit.
Maar beide zeggen ook wel weer wat jij een beetje zegt, het kunnen
vertrouwen op de blauwe ogen van.
Maar ik weet wel dat beide heren Mullvad ook gebruiken.
Dus waarom in zee gaan met een andere?
Wat voor deze twee goed genoeg is (met of zonder Tor) is voor mij
dan al heel zeker genoeg. Die het niet vertrouwd? Tja zoek maar dan
naar iets anders, genoeg andere diensten zoals FreeNet, JAP, I2P, Tor
en zo is er een heel scale buiten deze vier.

Punt twee je schrijft: 'Het is erg naief om je ISP niet te vertrouwen
en een vpn provider wel.'

De Wet Bewaarplicht is pas afgeschaft, en we weten dat een ISP bij
de wet werd verplicht bepaalde gegevens op te slaan. Het is dus niet echt
de ISP die we niet vertrouwen, maar het is de Wet die een ISP verplicht
om deze dingen op te slaan. Het zit dus in het systeem dat overheden hebben
opgericht. Als je dus weet dat een ISP aan deze Wet hoort te voldoen,
dan vertrouw IK dus geen enkele ISP omdat hij juist moet loggen.
Je kunt dus iets aan doen, door bijvoorbeeld een een VPN als Mullvad te nemen
of een andere naar eigen voorkeur.

Wat betrefd Mullvad, en het is al heel vaak ter discussie gekomen hier.
Mullvad is dus nogmaals GEEN ISP, en hoeft in het geval van bijv.
een Nederland overheidsverzoek (of ander land) niet eens mee te werken.
Ik praat enkel over Mullvad en niet over een andere ISP. Als ze doen
(wat ik ook niet kan bewijzen) wat ze claimen dus niet loggen,
dan heb je dus berijkt wat je wil in het geval Nederlanders die de wet
bewaarplicht willen omzeilen. Hoe het zit of zat met BlackVPN?
Geen idee, want deze VPN gebruik ik niet, en heb me er ook nooit in
verdiept, dus ga er ook niks over roepen of zeggen.

Misschien moet iemand maar even een email sturen.
A) Over waarom ze zijn vertrokken, en B) of BlackVPN een VPN ISP is of niet.
Verder speculeren heeft dus geen enkele zin.

Als laatste, in mijn geval wantrouw ik niet alles, wel veel, maar
mocht Mullvad dan toch loggen, (daar gaan we weer :-() dan gaat de verbinding
alsnog ALTIJD over Tor (al een jaartje of vier) dus wat dat betrefd zit het met
mijn 'paranoid mode' wel goed hoor.

Ik snap ook eigenlijk niet waarom mensen nog Firefox, en of Opera
gebruiken met al hun Add-ons, en 1, 2, of meer browserprofielen
gebruiken. Aan Tor alleen heb je meer als genoeg.

Je ISP ziet niet wat je doet.
Trackers krijgen geen kans. Kun je zelf regelen naar gelang.
Je kunt telebankieren.
Je kunt Youtube in HTML5 bekijken (of streaming van VLCPlayer 'Ctrl + N')
en Youtube URL plakken.
En voor normaal surfen voldoet het ook prima.
Hoezeer je gevolgd wilt worden ligt puur aan je jezelf hoe je Tor gebruikt
en instelt dus met NoScript en security settings.

Als emaildienst kun je Scriptmail gebruiken, zonder NoScript uit
te zetten, dus wat wil je nog meer? Dus de fingerprint is als al die
andere 5000 Tor users.
https://panopticlick.eff.org/

Mijn test:
Within our dataset of several million visitors, only one in 324 browsers
have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys
8.34 bits of identifying information.

Dan zonder JavaScript aan te zetten valt er bar weinig
te achterhalen van een Tor gebruiker.
Test maar op bijv. http://browserspy.dk/

Maar ik ga niemand iets opdringen, en heel zeker geen VPN, en zeg
enkel wat ik weet, en iedereen moet zelf maar wat research doen.
Ik gebruik wel meer VPN's, en andere dingen, maar mensen zijn op
vandaag zo lui, dat ik niet alles op een presenteerblad presenteer.

De een geloofd in God, de ander in .......

Ik, als topicstarter, ben zeer verheugd te mogen lezen dat dit een aangename discussie teweeg brengt op Security.nl. Wat ik wel jammer vind is dat de gehele vraag in mijn beginpost genegeerd wordt, maar so be it.

Toch zie ik een onderwerp die eens wat dieper besproken cq. onderzocht kan worden. Wie zou in een praatgroep willen bespreken hoe men het veiligst en zo anoniem mogelijk op het internet kan vertoeven? Tor, VPN, i2p, noem maar op wat er te bespreken is, maar ik heb na aanleiding van dit draadje wel de behoefte om eens te bespreken wat nu echt waar en niet waar is omtrent anonimiteit op het internet.

Ik heb een aantal keer antwoord gegeven op je vraag.

Je verbinding decrypten is voorbehouden aan sommige overheden, maar alleen als dat heel erg nodig is. Lees terug in de thread hoe dat gedaan kan worden (bluecoat en dergelijke technieken). Het wordt lastiger, maar niet onmogelijk als er self-signed certificates worden gebruikt, maar er is geen enkele reden om te veronderstellen dat ze die certificaten niet hoeven af te geven na een decryptiebevel (met gag-order).

De eerste vpn provider in de keten kent het originele adres. Dat kunnen ze (al dan niet wettelijk verplicht, daar gaan ze jou^H^H^Hons niet van in kennis stellen) doorgeven aan de volgende in de keten, enzovoorts, en zo verder.

De beste methode? Vertrouw niet op VPN's. Vertrouw op Tor, maar hou updates in de gaten. En als je er een beter gevoel bij krijgt: gebruik een vpn in combinatie met tor.

Hi, lijkt me ook wel leuk, echter een praatgroep? Hoe stel je je dat voor?
Jij komt misschien uit Amsterdam, en ik uit Zeeland. Beetje ver reizen dan toch.

Misschien beter om hier een paar aparte topics te gaan starten lijkt me een beter voorstel.

Maar waar wil je beginnen?
Op browserniveau alleen al zijn er een paar de stempel privacy vriendelijker mee krijgen.
Ook over deze browsers kun je een hele tijd discusseren.

De een gebruikt JonDoFox, de ander vind FireFox met Add-ons zat, weer iemand anders gebruikt
The WhiteHat Aviator Web Browser, weer een ander Epic Privacy Browser, en weer iemand anders
gebruikt de SRWare Iron Browser enz.

Maar OK, Tor lijkt mij het beste en het meest simpel, en zeker als we weten dat meneer Appelbaum
en Snowden het aanraden.

Rest dan nog waar je het verder over wil hebben?
VPN chaining is al een beetje besproken, en de meningen verschillen nog steeds.

Dan VPN, en dan Tor ook daar zijn weer verschillende meningen over.
Ik luister en kijk wat experts op dat gebied zeggen, en zelf gebruiken, en dat gebruik ik dan.
Ik mijn geval dus eerst de VPN, en daarna pas Tor.

Bij een aantal VPN's moet men zich aanmelden of registeren of is er een ander vorm van identificatie.
Dus je bent dan al gelijk te indentificeren mocht een opsporingsdienst info van iemand willen vergaren.
Mist de VPN dan logs verstrekt.

In het geval je eerst de VPN gebruikt, en daarna Tor, dan heb je dit risico al een beetje uitgesloten.
Hoofdzaak is eigenlijk ook voor alle niet forums, webwinkels, of maildiensten waar men zich met naam, adres, en
woonplaats bekend maakt.

Het valt wel steeds op dat sommige mensen het gelijk koppelen aan terrorisme, bedreiging, kiddoporn, of weet ik
veel. Het kan natuurlijk allemaal, maar voor een aantal mensen is het gewoon leuk om te weten.

En met een auto kun je ook iemand omver rijden, en met een stalen of houten balk sla je ook iemand dood.
Ben je lid van een schietclub dan kun je ook een hoop schade aanrichten mocht je willen, dus mensen moeten
dan ook niet gelijk een vergelijk gaan treffen. Veel is mogelijk op het internet.

Maar start maar weer een topic zou ik zeggen, ik ben weer van de partij.

Browserfingerprints via Tor dan maar? Ook iets waar mensen van denken dan een NSA je via die manier mee
kan achterhalen. Ik zeg van niet.

Laat maar horen wat je wilt.

Jou IP is ook al bekend bij elke VPN als je de VPN aanzet, ten tweede wie registeerd zich nog met zijn/haar echte gegevens?