Tak jsem si ted objednal Raspberry Pi a zkusim to v praxi :) To pak vyfotim, je to velke jen jako hodne tlusta kreditni karta.

Taky jsem trochu experimentoval s temi hidden services. TFTP je bohuzel nevhodne, protoze je omezene na UDP a Tor neumi UDP tunelovat. Taky v nem neni zadna autentizace a nepodporuje hierarchickou strukturu adresaru. I kdyz ta autentizace by se dala asi resit pomoci stunnel nebo ssh a klientskych certifikatu.

FTP je naprosto nevhodne jako hidden service, protoze pri behu otevira vic spojeni a je s tim velky bordel v aktivnim i pasivnim rezimu, nepouzitelne.

Idealni je ovsem SFTP . To pracuje vzdy jen v ramci jednoho spojeni, a OpenSSH je jedna z nejprozkousenejsich aplikaci. A je v nem kvalitni autentizace pomoci hesel i klicu. Zkousel jsem to rozchodit jako hidden service a prekvapilo me, jak dobre se to da nastavit a jak rychle a pouzitelne to je, velmi ciste reseni.

Funguje to dobre i s Tor Software Bundle a Filezillou ve Windows, nastaveni je trivialni i pro lamu, staci nastavit SOCKS proxy. Urcite mnohem lepsi nez probugovana PHP fora na webserveru a probugovany Firefox na klientu.

Da se tak pouzitelne i kdyz trochu nepohodlne implementovat v podstate cokoliv - obdoba blogu (anonymous pristup pro ctenare), obdoba diskusniho fora s registracemi uzivatelu a jejich GPG klicu, sdileni souboru - chce to jen trochu myslet, pripadne si neco zautomatizovat skriptovanim. A vse mnohem zabezpecenejsi, nez je tomu na webu. Konkretne jsem zkousel tohle:

Pro server: Tor (vytvoreni hidden service), OpenSSH (omezene na chrooted sftp-server)

Pro klient - windows - zakladni setup: Tor Software Bundle (tor socks proxy), Filezilla (sftp klient)

Pro klient - windows - pokrocilejsi setup: Putty (ssh klice - puttygen, pageant), Gpg4Win (public key signing&encryption sdilenych souboru), Perl (skriptovani - Net::SFTP)

Zatim si jeste nejsem uplne jistej, ze to OpenSSH jako hidden service neleakuje nejaka data (hostname v klicich atp.). Az to cele rozchodim, postnu sem .onion adresu :))

Attacking Tor: how the NSA targets users' online anonymity | World news | theguardian.com
http://www.theguardian.com/world/2013/oct/04/tor-attacks-nsa-users-online-anonymity

LUDO: akurat ma ale zaujima co ma Ruiu doma za mikrofony a jakto ze je jediny :)

:: OSEL.CZ :: - Počítačový super-virus badBIOS se šíří zvukem
http://www.osel.cz/index.php?clanek=7252

komentar k JavaScript sestrelum uzivatelu TORu.



Ideally you need Tor to be in a routing box, not your computer so that there
is no way for your computer to connect to the non Tor network, so your
computer doesnt even know its physical IP and has no power to disclose it.

Or simulate that setup in software you need Tor on the main machine, and a
VM that has access to and knowledge only of Tor network for connectivity. Do not put ANY identifying information inside the vm. That rules out vmware
because they leak in your disk serial number as a result of a microsoft law
suit. (Microsoft accused them of making it easy for people to share windows
serial numbers, because the "is this the same machine" calculation based on
various HW serial numbers always comes up with the same answer in a virtual
machine at that level.) Similarly the VM must not know your physical network
card MAC addresses etc.

ZAPPO: uplne souhlasim, to byl vzdy muj velky problem, ze postavit server nakonec neni az takovej problem, ale mit jej kam pichnout, aby byl dostupny, potazmo, aby nechcip jen co umre disk v PCcku na kerem to bezi... jasne.
Ale dnes jsou moznosti ruzne. Nemusis treba server stavet na realnem zeleze, ale klidne u nejakeho providera, ktery nabizi jen uplne nesuppoerteny, ale vysoce dostupny virtual... kdeco.
Taky si treba muzes odkladat data sifrovane na nejaky cloud, nebo dokonce na nekolik.
Moznosti je spousta.

Protoze za a] je to prilis siroke tema na to, abych to rozvadel tady
b] nemam k tomuhle auditu prava, abych delal nastenku a jeho majitel zda se byt mrtve id

tak jsem se rozhodl, ze zalozim diskuzi, kam bych vas rad pozval: [ cPUNK BOX - server self-sufficient punk ought to be running ]

[pokud nekdo nema premiovku a nemoh by si booknout, ale audit jej zajima, tak napiste, dam vam nejakej kus sve premiovky, den, dva ;]

Berte to tak, ze ten audit je sestersky k tomu, co jsme udelali z tohohle, takze s ohledem na bezpecnost a sobestacnost, ale zaroven jeste na pouzitelnost, takze ne crypto-overkill

OVERDRIVE: Já tam vidím hlavně sekundární problémy - dostupnost, zálohování. Zatímco u google a podobných služeb je za tím robustní infrastruktura, takže ztráta emailů/dat je málo pravděpodobná, samodomo řešení buď bude hodně drahý nebo riskantní jak svině.

nekdo se tu ptal na nejake vyhledavani na Onion network: 3g2upl4pq6kufc4m.onion


ZAPPO: AQUARIUS: dik, ted zrovna neco takoveho rozbehavam u sebe doma, sam budu referovat co jsem objevil...
Zapo: pokud bys mel nejake konkretni implemntace, co bys sam doporucil, sem s tim...

ZAPPO: mozna muze bejt zajimavy k tomu provozovat i sslh.

OVERDRIVE: Podle mě chceš určitě
- mail
- dns (včetně nějakých statických vlastních recordů, jinak mirror něčeho slušnýho)
- ssh server (i pro tuneling)
- vpn

Zvažoval bych
- nějakou formu IM (jabber, IRC), ale potřebuješ podporu OTR a vůbec si být jistej, jak secure to je v komunikaci s někým jiným
- Tor (pokud využíváš, jen pro altruismus bych to neběhal)
- a já bych tam asi chtěl mít nějaký základní tooly (nmap, nessus atd)
- jsem proti pgp, co jsem s tím naposledy blbnul, tak mám pocit, že různý prodeje, forky a podobně to nechaly v nepoužitelným stavu

A rozhodně je zajímavá varianta, rozběhnout si tam i nějakou variantu remote desktop a mít tam všechny programy co využíváš - s rozběhlou fulldisk encryption, šifrovaným accessem atd a pracovat a fungovat JEN z toho...

Davam sem kopii [zatim] 3 emailu z cpunks.org mailing listu, protoze ten dotaz mi pripadne velmi rozumny, stejne jako obe pripominky.
Rad bych znal mistni nazor na tema... tedy jake sluzby rozbehat, kdyz uz si stavim vlastni domaci server, ktery by mel pokryt vsechno mozne, co bezne pouzivame na rekneme Open Internetech?
Samozrejme by to bezelo na GNU/Linux, to je jasne... takze nejake doporuceni?




I'm currently working on both chef cookbooks and dockerfiles for a bunch of old services I used to run in the good old days (pre 2000) of cypherpunks. Boring stuff like qmail, tinydns, pgp keyserver. But I'm dying to know what fancy new services people are operating these days.
Any distributed chat ops? Blob/file storage? Remailers? Bitcoin pools? In another vein, what ops do you think a self-sufficient punk ought to be running?
I'm thinking I absolutely need:
- Tor endpoint
- vpn endpoint (openvpn?)
- smtp/imap sever (what's modern?)
- file/blob server (tahoe-lafs, camlistore?)
- jabber server (ejabberd?)
--
~j

---

A word of caution: I have run both a high throughput remailer, and a low-bandwidth (3mb) TOR exit node, both in the early through mid aughts. If you are serious, you need to get you legal house in order, as you will be spending a fair bit of your time with the feebies. Make sure you have an attorney who reallyunderstands what you are doing, and make sure s/he's got a hefty retainer ($5,000.00 seemed to be about right). Also, and most importantly, make sure this legal beagle is willing to both give you their direct cellphone/pager #, but that they are willing to actually drop everything and go get your ass out of the pokey at 03:00! And yes, 03:00-06:00 really is the favorite "raid time" for a certain testosterone addled federal police agency. Don't get me wrong, I'm not saying don't do it: I think *everyone* should, at least for a years or so, for a variety of technical, political, and other reasons. But you *cannot* go in unprepared! //Alif

---

I think we need more hidden services to make the darknet more attractive, less exits. The open Internet has been dead for a while, time to accept it. Running a non-exit relay from home is still worthwhile, since it raises the bar for physical access, and also increases the traffic background. Decentral search is pretty important, we could really use lots of YaCy nodes as hidden services -- indexing not just the hidden web, of course. I wish there was a library of different privacy-based appliances in virtual formats (.ovf) which are kept up to date for easy deployment (even though running it on bare iron would be preferable). That would seem to be a lot of work, though, and run into trust issues.

STEMBUS: EPICFAIL :)) a vyhodnocovat uzivatele bude ten novej armadni skynet :)
Army Researching Network System That Defends Against Social Engineering - Slashdot
http://it.slashdot.org/...s-against-social-engineering?utm_source=rss1.0mainlinkanon&utm_medium=feed

Tajný dokument NSA odhaluje plány na zničení sítě Tor – Živě.cz
http://www.zive.cz/...-170877/default.aspx#utm_medium=selfpromo&utm_source=zive&utm_campaign=RSSfeed

KRISHNA: deep wiki, evil wiki, a ruzny dir-y.