Security Professionals - ipfw add deny all from eindgebruikers to any

Ineens veel meer TOR exits

22-09-2020, 10:47 door Anoniem, 29 reacties
Waarom neemt het aantal TOR exits ineens zo toe?
Zijn dat allemaal geheime diensten die hun eigen exitpoints opzetten zodat ze kunnen meekijken met het verkeer?
Of is er een of andere actie geweest om een hoop exitpoints op te zetten binnen die community juist om het lastiger te maken voor anderen om een aanmerkelijk deel van het verkeer te kunnen zien?
Reacties (29)
22-09-2020, 11:48 door Anoniem
Waarom neemt het aantal TOR exits ineens zo toe?

Heb je hier een bron bij ? Zeg niet dat het niet klopt, maar maakt het interessanter. Btw, denk niet enkel aan overheden. Zo zijn criminelen bezig met SSL stripping van Tor Nodes, bijvoorbeeld om crypto currency traders te kunnen hacken. Brengt geld op ?
22-09-2020, 12:26 door Anoniem
Meer kwaadaardige exit nodes. Meer SSL stripping op exit nodes.
Trust wordt steeds moeilijker in een wereld, waar reeds een volle hete cyberoorlog woedt. Uiterste voorzichtigheid geboden dus.
#sockpuppet
22-09-2020, 12:47 door Anoniem
Ik denk niet dat de CIA tolereert dat zij minder nodes hebben als de vijand (dat is de rest van de wereld). Als er dan opeens een nieuwe speler komt, dan krijg je dit.

Ik heb overigens niet geverifieerd dat er meer nodes zijn maar het is er wel het politieke klimaat naar.

Neem in herinnering dat Onion Routing uiteindelijk een project was van de US Navy. Ze hebben het vast niet uit liefdadigheid met de wereld gedeeld.
22-09-2020, 13:00 door Anoniem
Er is geen noemenswaardige toename in het aantal exit nodes te zien op https://metrics.torproject.org/relayflags.html?start=2018-09-22&end=2020-09-22&flag=Running&flag=Exit. Ik denk dat je wat duidelijker moet zijn waar je dit vandaan hebt.
22-09-2020, 13:36 door Anoniem
Door Anoniem: Er is geen noemenswaardige toename in het aantal exit nodes te zien op https://metrics.torproject.org/relayflags.html?start=2018-09-22&end=2020-09-22&flag=Running&flag=Exit. Ik denk dat je wat duidelijker moet zijn waar je dit vandaan hebt.
Wat denk jezelf? Gewoon FUD!
22-09-2020, 14:20 door Anoniem
Waar komt zo'n posting dan vandaan. Wat is de bedoeling? Agent? Trollen? Chinees verhaal? Destabilisatie en demoralisatie?
J.O.
22-09-2020, 15:15 door Anoniem
https://www.youtube.com/watch?v=95QfumZMerM

Hier het juiste antwoord!!!!!!!!
22-09-2020, 16:18 door Anoniem
Tor is net als alles in deze wereld nooit echt veilig geweest, maar dat is het punt niet. Net zo min als dat deze site kwetsbaar is voor bepaalde login.php kwetsbaarheden bij bepaalde pentests.
Een gebruiker heeft altijd een eigen verantwoordelijkheid, zeker in een tijd waar alleen de savvy user zich weet te redden. De rest is al verloren eer ze begonnen zijn.
luntrus
22-09-2020, 17:50 door Anoniem
Door Anoniem: Er is geen noemenswaardige toename in het aantal exit nodes te zien op https://metrics.torproject.org/relayflags.html?start=2018-09-22&end=2020-09-22&flag=Running&flag=Exit. Ik denk dat je wat duidelijker moet zijn waar je dit vandaan hebt.
Ik download de file https://check.torproject.org/exit-addresses en zie dat het aantal exit adressen daar de laatste dagen verdubbeld is van ~1300 naar 2540 nu.
Dat komt niet tot uiting in die grafiek, die loopt kennelijk achter of deugt niet.
Het viel me op omdat de blocklist die ik gebruik hierdoor veel langer wordt (TOR exit nodes geef ik geen toegang tot mijn systemen).
22-09-2020, 18:50 door Anoniem
Door Anoniem: Waarom neemt het aantal TOR exits ineens zo toe?
Zijn dat allemaal geheime diensten die hun eigen exitpoints opzetten zodat ze kunnen meekijken met het verkeer?
Of is er een of andere actie geweest om een hoop exitpoints op te zetten binnen die community juist om het lastiger te maken voor anderen om een aanmerkelijk deel van het verkeer te kunnen zien?

U bedoelt Tor? Of is er ook een TOR netwerk?
22-09-2020, 19:34 door Anoniem
Door Anoniem: Meer kwaadaardige exit nodes. Meer SSL stripping op exit nodes.
Trust wordt steeds moeilijker in een wereld, waar reeds een volle hete cyberoorlog woedt. Uiterste voorzichtigheid geboden dus.
#sockpuppet
Dat lijkt me wel het meest waarschijnlijk ja. Er is onlangs nog over bericht op security.nl:
https://www.security.nl/posting/667877/Tor+Project+bevestigt+grootschalige+aanval+met+malafide+exitnodes
22-09-2020, 19:34 door Anoniem
Door Anoniem: Er is geen noemenswaardige toename in het aantal exit nodes te zien op https://metrics.torproject.org/relayflags.html?start=2018-09-22&end=2020-09-22&flag=Running&flag=Exit. Ik denk dat je wat duidelijker moet zijn waar je dit vandaan hebt.
Als je de "Running" lijn in je grafiek uitzet zie je duidelijker dat de exits gegroeid zijn van 825 naar 1393, dat is een behoorlijke groei! Vooral vanaf 11-2-2020 maakt het ineens wat rare sprongen.

Speculeren naar de oorzaak doe ik niet, misschien maar eens het nieuws van rond die tijd bekijken ...
22-09-2020, 20:04 door Anoniem
Door Anoniem:

U bedoelt Tor? Of is er ook een TOR netwerk?

Ik denk dat je wel begrijpt wat er bedoelt wordt.

De ontwikkelaars gebruiken zelf idd Tor. Maar als je uitgaat van de afkorting “The Onion Router” is het niet raar dat mensen “TOR” gebruiken terwijl ze Tor bedoelen.
22-09-2020, 20:07 door Anoniem
Je kunt zelf de aard van Tor exit nodes kwalificeren via torhoney en torexit.
# sockpuppet
22-09-2020, 21:42 door Anoniem
Controleer Tor exit nodes tegen een Honey pot lijst met een script als honeytor. Ook te gebruiken als.greasemonkey user script.
#sockpuppet
23-09-2020, 04:08 door Anoniem
Door Anoniem:
Door Anoniem:

U bedoelt Tor? Of is er ook een TOR netwerk?

Ik denk dat je wel begrijpt wat er bedoelt wordt.

De ontwikkelaars gebruiken zelf idd Tor. Maar als je uitgaat van de afkorting “The Onion Router” is het niet raar dat mensen “TOR” gebruiken terwijl ze Tor bedoelen.
DUG...De Ui-Geleider tbv het donkere netwerk.
23-09-2020, 09:09 door Anoniem
Installeer toriptables versie 3,
luntrus
23-09-2020, 12:18 door Anoniem
Gewoon TOR volledig blockeren in je firewalls. Scheelt je zoveel bagger op je aangeboden services.

In Nederland niet noodzakelijk, dus gewoon blockeren op je firewalls.
23-09-2020, 14:06 door Anoniem
Anoniem blokkeert alles, want is overtuigd dat zijn queries nooit hier controversieel zullen zijn. Ik hou toch liever wat verborgen voor de ganse wereld en alleman. Mijn ware identiteit voor cybercriminelen en onbetrouwbare overheden of Groot Commerciële Corporaties.

Zo af en toe een zoektocht via Tor modus in Brave moet kunnen. Ik deel al alles met adware track en trace. Te goed van vertrouwen heeft al veel ellende gebracht.
23-09-2020, 14:08 door Anoniem
Door Anoniem: Gewoon TOR volledig blockeren in je firewalls. Scheelt je zoveel bagger op je aangeboden services.

In Nederland niet noodzakelijk, dus gewoon blockeren op je firewalls.

Daar was het ook voor. Ik had gisteren om 17:50 een reactie geplaatst met uitleg maar die is pas vanochtend vrij gegeven.
Door die firewall constructie viel het op (omdat het een probleem gaf) dat er ineens veel meer waren.
In die reactie schreef ik 2540 maar dat klopt niet helemaal: er zijn wel 2540 exit nodes maar kennelijk zit een deel
ervan achter NAT, dus het aantal exit ADRESSEN (relevant voor de firewall) is maar ongeveer 2050.
Echter een week geleden was dat nog 1300. Dus toch wel een behoorlijke groei.
23-09-2020, 14:19 door Briolet
Waarom neemt het aantal TOR exits ineens zo toe?

Wat noem je een toename? In de periode 2015-2019 tel ik er steeds tussen de 6800 en 7000 exit-nodes. Ik tel er vandaag 7603. In januari waren het er ook al meer dan normaal (7221). Er is inderdaad een toename van 10%.

Deze toename is al eerder dit jaar gemeld:
https://www.security.nl/posting/667877/Tor+Project+bevestigt+grootschalige+aanval+met+malafide+exitnodes
23-09-2020, 15:50 door Anoniem
Door Briolet:
Waarom neemt het aantal TOR exits ineens zo toe?

Wat noem je een toename? In de periode 2015-2019 tel ik er steeds tussen de 6800 en 7000 exit-nodes. Ik tel er vandaag 7603. In januari waren het er ook al meer dan normaal (7221). Er is inderdaad een toename van 10%.

Dus die file https://check.torproject.org/exit-addresses die ik al genoemd had die klopt niet?
Want daar staan 2540 exit adressen in waarvan 2049 uniek.

Let op ik ben niet geinteresseerd in het totaal aantal nodes, alleen in exit-nodes. Waar haal jij dat grotere aantal (en ik neem aan de bijbehorende adressen) dan vandaan?
23-09-2020, 18:08 door Briolet
Door Anoniem:Dus die file https://check.torproject.org/exit-addresses die ik al genoemd had die klopt niet?
Want daar staan 2540 exit adressen in waarvan 2049 uniek.

Waarschijnlijk heb jij de goede lijst. Ik download al jaren de lijst van deze site: https://www.dan.me.uk/tornodes. Maar dan blijkbaar de full list. Ik gebruik alleen de link naar de tekst pagina zelf en zet die lijst dan weer in mijn firewall om de server te beschermen.
23-09-2020, 18:17 door Anoniem
Door Briolet:
Door Anoniem:Dus die file https://check.torproject.org/exit-addresses die ik al genoemd had die klopt niet?
Want daar staan 2540 exit adressen in waarvan 2049 uniek.

Waarschijnlijk heb jij de goede lijst. Ik download al jaren de lijst van deze site: https://www.dan.me.uk/tornodes. Maar dan blijkbaar de full list. Ik gebruik alleen de link naar de tekst pagina zelf en zet die lijst dan weer in mijn firewall om de server te beschermen.

Ja maar als je (net als ik) geen behoefte hebt aan mensen die via TOR (of Tor of tor of whatever) op je server komen dan hoef je toch alleen de exit adressen te blokkeren en niet de hele lijst? Of zie ik dat verkeerd?
23-09-2020, 18:52 door Anoniem
Door Briolet:
Waarschijnlijk heb jij de goede lijst. Ik download al jaren de lijst van deze site: https://www.dan.me.uk/tornodes. Maar dan blijkbaar de full list. Ik gebruik alleen de link naar de tekst pagina zelf en zet die lijst dan weer in mijn firewall om de server te beschermen.
Deze lijst klopt zeker niet, ik draai zelf een tor node die absoluut geen exit is en die staat wel in deze lijst.
23-09-2020, 18:56 door Anoniem
Door Anoniem:
Waarom neemt het aantal TOR exits ineens zo toe?

Heb je hier een bron bij ? Zeg niet dat het niet klopt, maar maakt het interessanter. Btw, denk niet enkel aan overheden. Zo zijn criminelen bezig met SSL stripping van Tor Nodes, bijvoorbeeld om crypto currency traders te kunnen hacken. Brengt geld op ?

Ik zie bij gewoon TLS ook veel aanvallen op mijn IPs. Ook als ik switch naar een andere verbindingen.

Als je getarget wordt zie je veel https retransmissions en SSL teardowns, cypher spec change requests en DUPs van pakketjes die niet bestaan dus gewoon ergens door een box in the middle worden geprod met DPI injection. Dit is al zeker 10 jaar het geval. Meerdere providers en ja meerdere routers, smartphones en systemen aan de client side.

Het gebeurt bijv bij bezoekjes aan TLS webwinkels, internet bankieren, Nederlandse overheidssites (niet alle) maar niet bij Amazon of Google. Heel frappant en het lijkt gewoon op een geautomatiseerd systeem.

Het zorgt alleen voor wat packetloss wat irritant is. Als je iets van me moet weten, ik heb ook een deurbel.
23-09-2020, 22:35 door Anoniem
Zo dubbel allemaal. Tor anti- congestie maatregelen aan de ene kant samen met disturb tor acties door cybercrime bestrijders alsmede de-anonimizeringspogingen door surveillance-diensten.

Daarnaast providers die voor abonnementen met geprefereerde diensten net equality mogen doorbreken. Https Everywhere kan zelfs niet globaal dwingend worden opgelegd.

Hoe kan het ooit wat veiliger worden voor de eindgebruiker die toch zekere privacy en anonimiteitsbehoeften koestert. Veelal vanwege het gemeen dat alleen kijkt naar gratis en het aanhangende prijskaartje daarbij kennelijk vergeet. Je data die je device afvliegen.
luntrus
24-09-2020, 00:06 door Anoniem
Al waren al de exit nodes honeypots, zolang je niet je personalia over TOR verstuurt of op een andere manier je clearnet-identiteit verspreidt, -al is het maar Gmail waar verschillende logins aan gekoppeld zijn-. ben je even anoniem als zijnde dat het géén honeypots zijn.
Maarja, lieden als boefjes, cokejunkies en pedofielen zijn doorgaans redelijk digibeet, erg inhalig/klikgraag, makkelijk over te halen materiaal te uploaden en wapperen niet zelden met -al dan niet gestolen- creditcards, gebruikssporen her en der achterlatend. (Follow the money!) Dát is dan ook het enige nut van de vermeende bovengenoemde honeypots als hosts of exit nodes.
Ik wil maar zeggen, degene die wordt gepakt ivm activiteit over het robuuste TOR, heeft daar in 99,9% van de gevallen zelf aandeel in. Uitgaande van vrijwaring van zaken als malware en rootkits, dat wel.

Naast realtime monitoren -behoorlijk slaapverwekkend, kan ik je vertellen-, kunnen 'ze' verder niets. zolang je bijv. geen financiële transacties uitvoert of langs je facebookvrienden crawlt, is er weinig aan de hand. Want zaken als encryptie- en timing attacks heeft het Torproject erg goed gemitigeerd deze dagen.
Niks bijzonders aan de hand dus. Zaken verschuiven nu eenmaal mettertijd...
24-09-2020, 19:20 door beatnix
Tor op zichzelf is niet zo betrouwbaar, ongeacht welke exitnodes men eventueel krijgt te configureren, hoewel dat wel verschil maakt qua veiligheidsniveau, zeker in combinatie met ook entry nodes en nog meer in combinatie met andere maatregelen zoals VPN/WiFi bijvoorbeeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.