• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    _HABU_
    _HABU_ --- ---
    GINTA: Víceméně souhlas, ale tohle je .ch doména a Švýcaři jsou trochu jiná sorta. Ti si přes plot jen tak koukat nenechají.
    GINTA
    GINTA --- ---
    JEDI: já nevěřím ničemu co není open source :))))
    JEDI
    JEDI --- ---
    Hoj,

    jste schopen mi nekdo vypsat pár rizik, používání aplikace THREEMA?
    https://threema.ch

    Díky moc
    ENKIE
    ENKIE --- ---
    Takze jakys-takys diskusak s forama i postou lze ciste pomoci SFTP jako Tor hidden service zrealizovat, ale je to tezkopadne pro uzivatele, kteri ale na oplatku ziskaji znacne soukromi, i vuci adminovi toho serveru.

    Nakonec jsem pouzil mod_sftp v ProFTPD, protoze oproti OpenSSH nabizi potrebny moznosti nastaveni. Pokud by mel nekdo zajem se inspirovat (ja nic takoveho verejne provozovat nechci), tak vyhradne testovaci sluzba bezi na:

    hostname: gntfcnhrv3gkdo4k.onion, port: 30667, username: sftp.anon, heslo: anon

    V Linuxu je to snadne:
    # torsocks sftp -P 30667 sftp.anon@gntfcnhrv3gkdo4k.onion

    Nebo pripadne rovnou primountovat, takovy sdileny cloud storage v Onion space :)
    # torsocks sshfs -p 30667 sftp.anon@gntfcnhrv3gkdo4k.onion:/ /mount-point

    V souboru SignUp.txt je navod k registraci a pouzivani, vytvoreni PGP a GPG klicu atp. - pro Windows. A taky zde:

    SFTP hidden service - Pastebin.com
    http://pastebin.com/AJ87JSK0
    ENKIE
    ENKIE --- ---
    Tak jsem si ted objednal Raspberry Pi a zkusim to v praxi :) To pak vyfotim, je to velke jen jako hodne tlusta kreditni karta.

    Taky jsem trochu experimentoval s temi hidden services. TFTP je bohuzel nevhodne, protoze je omezene na UDP a Tor neumi UDP tunelovat. Taky v nem neni zadna autentizace a nepodporuje hierarchickou strukturu adresaru. I kdyz ta autentizace by se dala asi resit pomoci stunnel nebo ssh a klientskych certifikatu.

    FTP je naprosto nevhodne jako hidden service, protoze pri behu otevira vic spojeni a je s tim velky bordel v aktivnim i pasivnim rezimu, nepouzitelne.

    Idealni je ovsem SFTP . To pracuje vzdy jen v ramci jednoho spojeni, a OpenSSH je jedna z nejprozkousenejsich aplikaci. A je v nem kvalitni autentizace pomoci hesel i klicu. Zkousel jsem to rozchodit jako hidden service a prekvapilo me, jak dobre se to da nastavit a jak rychle a pouzitelne to je, velmi ciste reseni.

    Funguje to dobre i s Tor Software Bundle a Filezillou ve Windows, nastaveni je trivialni i pro lamu, staci nastavit SOCKS proxy. Urcite mnohem lepsi nez probugovana PHP fora na webserveru a probugovany Firefox na klientu.

    Da se tak pouzitelne i kdyz trochu nepohodlne implementovat v podstate cokoliv - obdoba blogu (anonymous pristup pro ctenare), obdoba diskusniho fora s registracemi uzivatelu a jejich GPG klicu, sdileni souboru - chce to jen trochu myslet, pripadne si neco zautomatizovat skriptovanim. A vse mnohem zabezpecenejsi, nez je tomu na webu. Konkretne jsem zkousel tohle:

    Pro server: Tor (vytvoreni hidden service), OpenSSH (omezene na chrooted sftp-server)

    Pro klient - windows - zakladni setup: Tor Software Bundle (tor socks proxy), Filezilla (sftp klient)

    Pro klient - windows - pokrocilejsi setup: Putty (ssh klice - puttygen, pageant), Gpg4Win (public key signing&encryption sdilenych souboru), Perl (skriptovani - Net::SFTP)

    Zatim si jeste nejsem uplne jistej, ze to OpenSSH jako hidden service neleakuje nejaka data (hostname v klicich atp.). Az to cele rozchodim, postnu sem .onion adresu :))
    ENKIE
    ENKIE --- ---
    OVERDRIVE:

    Lepsi volba je koupit si nejaky open source micro pocitac - treba Raspberry Pi za nejakych 30€ je ted v mode - a ten mit doma pod zamkem. Resp. idealne mit dva tyto pocitace - jeden pro Tor server a jeden pro Tor klient. Je taky vhodny, aby ten pocitac nemel vubec zadnou moznost leakovat data radiem - pres wifi, bluetooth. Proste cim jednodussi a otevrenejsi hardware, tim lepsi. Naopak VM nejsou vubec jednoducha a byvaji v nich diry.

    A taky pokud mozno nepouzivat pro komunikaci web browser ani jinou slozitou/deravou aplikaci. Lepsi je neco naprosto jednoducheho. Treba posilat si pres TFTP sifrovane soubory. (FTP servery jsou zbytecne slozite a mely vzdy v sobe diry.) A samozrejme na tom Tor klientu odriznout zcela pristup k Internetu, aby videl jenom ten Tor server a nemohl nijak leakovat verejnou IP adresu.

    Btw, pokud clovek nema zcela pod kontrolou fyzicky pristup k pocitaci, je automaticky nutne ten pocitac povazovat za nezabezpeceny/sledovany/hacknuty, a tudiz nema cenu na nem provozovat Tor. A tyka se to i realneho zeleza umisteneho u providera.

    Takhle nejak bych ja navrhoval co nejvice bezpecny globalni komunikacni system zalozeny na Onion siti. Je to ovsem trochu nepohodlne z pohledu bezneho uzivatele zhyckaneho webem.
    ENKIE
    ENKIE --- ---
    Attacking Tor: how the NSA targets users' online anonymity | World news | theguardian.com
    http://www.theguardian.com/world/2013/oct/04/tor-attacks-nsa-users-online-anonymity
    LUDO
    LUDO --- ---
    LUDO: akurat ma ale zaujima co ma Ruiu doma za mikrofony a jakto ze je jediny :)
    LUDO
    LUDO --- ---
    :: OSEL.CZ :: - Počítačový super-virus badBIOS se šíří zvukem
    http://www.osel.cz/index.php?clanek=7252
    OVERDRIVE
    OVERDRIVE --- ---
    komentar k JavaScript sestrelum uzivatelu TORu.



    Ideally you need Tor to be in a routing box, not your computer so that there
    is no way for your computer to connect to the non Tor network, so your
    computer doesnt even know its physical IP and has no power to disclose it.

    Or simulate that setup in software you need Tor on the main machine, and a
    VM that has access to and knowledge only of Tor network for connectivity. Do not put ANY identifying information inside the vm. That rules out vmware
    because they leak in your disk serial number as a result of a microsoft law
    suit. (Microsoft accused them of making it easy for people to share windows
    serial numbers, because the "is this the same machine" calculation based on
    various HW serial numbers always comes up with the same answer in a virtual
    machine at that level.) Similarly the VM must not know your physical network
    card MAC addresses etc.
    OVERDRIVE
    OVERDRIVE --- ---

    xkcd COMIX [predchozi prispevek] : v kterem z tech okenek se tak nejvic poznavate?

    21 hlasy od 21 respondentů

    OVERDRIVE
    OVERDRIVE --- ---
    KRISHNA
    KRISHNA --- ---
    pokud byste nekdo chteli virtual, tak mam vlastni server v datacentru, dal bych vam pristup pres vSphere, vlastni IP.. Bezi mi tam treba IPfire s OpenVPN, na dalsim VM tor relay, na dalsim webhosting, na dalsim mailserver...
    OVERDRIVE
    OVERDRIVE --- ---
    ZAPPO: uplne souhlasim, to byl vzdy muj velky problem, ze postavit server nakonec neni az takovej problem, ale mit jej kam pichnout, aby byl dostupny, potazmo, aby nechcip jen co umre disk v PCcku na kerem to bezi... jasne.
    Ale dnes jsou moznosti ruzne. Nemusis treba server stavet na realnem zeleze, ale klidne u nejakeho providera, ktery nabizi jen uplne nesuppoerteny, ale vysoce dostupny virtual... kdeco.
    Taky si treba muzes odkladat data sifrovane na nejaky cloud, nebo dokonce na nekolik.
    Moznosti je spousta.

    Protoze za a] je to prilis siroke tema na to, abych to rozvadel tady
    b] nemam k tomuhle auditu prava, abych delal nastenku a jeho majitel zda se byt mrtve id

    tak jsem se rozhodl, ze zalozim diskuzi, kam bych vas rad pozval: [ cPUNK BOX - server self-sufficient punk ought to be running ]

    [pokud nekdo nema premiovku a nemoh by si booknout, ale audit jej zajima, tak napiste, dam vam nejakej kus sve premiovky, den, dva ;]

    Berte to tak, ze ten audit je sestersky k tomu, co jsme udelali z tohohle, takze s ohledem na bezpecnost a sobestacnost, ale zaroven jeste na pouzitelnost, takze ne crypto-overkill
    ZAPPO
    ZAPPO --- ---
    OVERDRIVE: Já tam vidím hlavně sekundární problémy - dostupnost, zálohování. Zatímco u google a podobných služeb je za tím robustní infrastruktura, takže ztráta emailů/dat je málo pravděpodobná, samodomo řešení buď bude hodně drahý nebo riskantní jak svině.
    OVERDRIVE
    OVERDRIVE --- ---
    nekdo se tu ptal na nejake vyhledavani na Onion network: 3g2upl4pq6kufc4m.onion


    ZAPPO: AQUARIUS: dik, ted zrovna neco takoveho rozbehavam u sebe doma, sam budu referovat co jsem objevil...
    Zapo: pokud bys mel nejake konkretni implemntace, co bys sam doporucil, sem s tim...
    AQUARIUS
    AQUARIUS --- ---
    ZAPPO: mozna muze bejt zajimavy k tomu provozovat i sslh.
    ZAPPO
    ZAPPO --- ---
    OVERDRIVE: Podle mě chceš určitě
    - mail
    - dns (včetně nějakých statických vlastních recordů, jinak mirror něčeho slušnýho)
    - ssh server (i pro tuneling)
    - vpn

    Zvažoval bych
    - nějakou formu IM (jabber, IRC), ale potřebuješ podporu OTR a vůbec si být jistej, jak secure to je v komunikaci s někým jiným
    - Tor (pokud využíváš, jen pro altruismus bych to neběhal)
    - a já bych tam asi chtěl mít nějaký základní tooly (nmap, nessus atd)
    - jsem proti pgp, co jsem s tím naposledy blbnul, tak mám pocit, že různý prodeje, forky a podobně to nechaly v nepoužitelným stavu

    A rozhodně je zajímavá varianta, rozběhnout si tam i nějakou variantu remote desktop a mít tam všechny programy co využíváš - s rozběhlou fulldisk encryption, šifrovaným accessem atd a pracovat a fungovat JEN z toho...
    OVERDRIVE
    OVERDRIVE --- ---
    Davam sem kopii [zatim] 3 emailu z cpunks.org mailing listu, protoze ten dotaz mi pripadne velmi rozumny, stejne jako obe pripominky.
    Rad bych znal mistni nazor na tema... tedy jake sluzby rozbehat, kdyz uz si stavim vlastni domaci server, ktery by mel pokryt vsechno mozne, co bezne pouzivame na rekneme Open Internetech?
    Samozrejme by to bezelo na GNU/Linux, to je jasne... takze nejake doporuceni?




    I'm currently working on both chef cookbooks and dockerfiles for a bunch of old services I used to run in the good old days (pre 2000) of cypherpunks. Boring stuff like qmail, tinydns, pgp keyserver. But I'm dying to know what fancy new services people are operating these days.
    Any distributed chat ops? Blob/file storage? Remailers? Bitcoin pools? In another vein, what ops do you think a self-sufficient punk ought to be running?
    I'm thinking I absolutely need:
    - Tor endpoint
    - vpn endpoint (openvpn?)
    - smtp/imap sever (what's modern?)
    - file/blob server (tahoe-lafs, camlistore?)
    - jabber server (ejabberd?)
    --
    ~j


    A word of caution: I have run both a high throughput remailer, and a low-bandwidth (3mb) TOR exit node, both in the early through mid aughts. If you are serious, you need to get you legal house in order, as you will be spending a fair bit of your time with the feebies. Make sure you have an attorney who reallyunderstands what you are doing, and make sure s/he's got a hefty retainer ($5,000.00 seemed to be about right). Also, and most importantly, make sure this legal beagle is willing to both give you their direct cellphone/pager #, but that they are willing to actually drop everything and go get your ass out of the pokey at 03:00! And yes, 03:00-06:00 really is the favorite "raid time" for a certain testosterone addled federal police agency. Don't get me wrong, I'm not saying don't do it: I think *everyone* should, at least for a years or so, for a variety of technical, political, and other reasons. But you *cannot* go in unprepared! //Alif


    I think we need more hidden services to make the darknet more attractive, less exits. The open Internet has been dead for a while, time to accept it. Running a non-exit relay from home is still worthwhile, since it raises the bar for physical access, and also increases the traffic background. Decentral search is pretty important, we could really use lots of YaCy nodes as hidden services -- indexing not just the hidden web, of course. I wish there was a library of different privacy-based appliances in virtual formats (.ovf) which are kept up to date for easy deployment (even though running it on bare iron would be preferable). That would seem to be a lot of work, though, and run into trust issues.
    INF1466
    INF1466 --- ---
    STEMBUS: EPICFAIL :)) a vyhodnocovat uzivatele bude ten novej armadni skynet :)
    Army Researching Network System That Defends Against Social Engineering - Slashdot
    http://it.slashdot.org/...s-against-social-engineering?utm_source=rss1.0mainlinkanon&utm_medium=feed
    Kliknutím sem můžete změnit nastavení reklam