• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    CLOVICEK
    CLOVICEK --- ---
    Nevíte o nějakém "českém NYXu" nebo jiném diskuzním serveru v deepwebu? Ale český s českými uživateli, české aktivity, kauzy, apod.?
    ZAPPO
    ZAPPO --- ---
    GINTA: To je zrovna blbost.
    SAMGARR: Přesně
    FURYAN
    FURYAN --- ---
    Koupil jsem si ji pred casem, ale zjistil jsem, ze jsem jediny, a ze nemam nikoho, komu bych potreboval zabezpecene psat :DD No co uz, nenadelam nic .)
    _HABU_
    _HABU_ --- ---
    MARTASTAIN: OK, ale zrovna Threema spadá pod http://www.kaspersystems.ch a ti sídlí v Zürichu. Na druhou stranu nemohu soudit, jak je na tom Threema s bezpečností, jen podotýkám, že Švýcarům bych věřil.

    Jinými slovy vím o tom hovno, ale mám potřebu se k tomu vyjádřit. ;)
    MARTASTAIN
    MARTASTAIN --- ---
    _HABU_: .ch domena stoji u forpsi 29 EUR na rok.
    SAMGARR
    SAMGARR --- ---
    JEDI: stejne rizika jako u jakekoliv jine aplikace, napr. nikdy nevis, kdo dalsi ma klice...
    _HABU_
    _HABU_ --- ---
    GINTA: Víceméně souhlas, ale tohle je .ch doména a Švýcaři jsou trochu jiná sorta. Ti si přes plot jen tak koukat nenechají.
    GINTA
    GINTA --- ---
    JEDI: já nevěřím ničemu co není open source :))))
    JEDI
    JEDI --- ---
    Hoj,

    jste schopen mi nekdo vypsat pár rizik, používání aplikace THREEMA?
    https://threema.ch

    Díky moc
    ENKIE
    ENKIE --- ---
    Takze jakys-takys diskusak s forama i postou lze ciste pomoci SFTP jako Tor hidden service zrealizovat, ale je to tezkopadne pro uzivatele, kteri ale na oplatku ziskaji znacne soukromi, i vuci adminovi toho serveru.

    Nakonec jsem pouzil mod_sftp v ProFTPD, protoze oproti OpenSSH nabizi potrebny moznosti nastaveni. Pokud by mel nekdo zajem se inspirovat (ja nic takoveho verejne provozovat nechci), tak vyhradne testovaci sluzba bezi na:

    hostname: gntfcnhrv3gkdo4k.onion, port: 30667, username: sftp.anon, heslo: anon

    V Linuxu je to snadne:
    # torsocks sftp -P 30667 sftp.anon@gntfcnhrv3gkdo4k.onion

    Nebo pripadne rovnou primountovat, takovy sdileny cloud storage v Onion space :)
    # torsocks sshfs -p 30667 sftp.anon@gntfcnhrv3gkdo4k.onion:/ /mount-point

    V souboru SignUp.txt je navod k registraci a pouzivani, vytvoreni PGP a GPG klicu atp. - pro Windows. A taky zde:

    SFTP hidden service - Pastebin.com
    http://pastebin.com/AJ87JSK0
    ENKIE
    ENKIE --- ---
    Tak jsem si ted objednal Raspberry Pi a zkusim to v praxi :) To pak vyfotim, je to velke jen jako hodne tlusta kreditni karta.

    Taky jsem trochu experimentoval s temi hidden services. TFTP je bohuzel nevhodne, protoze je omezene na UDP a Tor neumi UDP tunelovat. Taky v nem neni zadna autentizace a nepodporuje hierarchickou strukturu adresaru. I kdyz ta autentizace by se dala asi resit pomoci stunnel nebo ssh a klientskych certifikatu.

    FTP je naprosto nevhodne jako hidden service, protoze pri behu otevira vic spojeni a je s tim velky bordel v aktivnim i pasivnim rezimu, nepouzitelne.

    Idealni je ovsem SFTP . To pracuje vzdy jen v ramci jednoho spojeni, a OpenSSH je jedna z nejprozkousenejsich aplikaci. A je v nem kvalitni autentizace pomoci hesel i klicu. Zkousel jsem to rozchodit jako hidden service a prekvapilo me, jak dobre se to da nastavit a jak rychle a pouzitelne to je, velmi ciste reseni.

    Funguje to dobre i s Tor Software Bundle a Filezillou ve Windows, nastaveni je trivialni i pro lamu, staci nastavit SOCKS proxy. Urcite mnohem lepsi nez probugovana PHP fora na webserveru a probugovany Firefox na klientu.

    Da se tak pouzitelne i kdyz trochu nepohodlne implementovat v podstate cokoliv - obdoba blogu (anonymous pristup pro ctenare), obdoba diskusniho fora s registracemi uzivatelu a jejich GPG klicu, sdileni souboru - chce to jen trochu myslet, pripadne si neco zautomatizovat skriptovanim. A vse mnohem zabezpecenejsi, nez je tomu na webu. Konkretne jsem zkousel tohle:

    Pro server: Tor (vytvoreni hidden service), OpenSSH (omezene na chrooted sftp-server)

    Pro klient - windows - zakladni setup: Tor Software Bundle (tor socks proxy), Filezilla (sftp klient)

    Pro klient - windows - pokrocilejsi setup: Putty (ssh klice - puttygen, pageant), Gpg4Win (public key signing&encryption sdilenych souboru), Perl (skriptovani - Net::SFTP)

    Zatim si jeste nejsem uplne jistej, ze to OpenSSH jako hidden service neleakuje nejaka data (hostname v klicich atp.). Az to cele rozchodim, postnu sem .onion adresu :))
    ENKIE
    ENKIE --- ---
    OVERDRIVE:

    Lepsi volba je koupit si nejaky open source micro pocitac - treba Raspberry Pi za nejakych 30€ je ted v mode - a ten mit doma pod zamkem. Resp. idealne mit dva tyto pocitace - jeden pro Tor server a jeden pro Tor klient. Je taky vhodny, aby ten pocitac nemel vubec zadnou moznost leakovat data radiem - pres wifi, bluetooth. Proste cim jednodussi a otevrenejsi hardware, tim lepsi. Naopak VM nejsou vubec jednoducha a byvaji v nich diry.

    A taky pokud mozno nepouzivat pro komunikaci web browser ani jinou slozitou/deravou aplikaci. Lepsi je neco naprosto jednoducheho. Treba posilat si pres TFTP sifrovane soubory. (FTP servery jsou zbytecne slozite a mely vzdy v sobe diry.) A samozrejme na tom Tor klientu odriznout zcela pristup k Internetu, aby videl jenom ten Tor server a nemohl nijak leakovat verejnou IP adresu.

    Btw, pokud clovek nema zcela pod kontrolou fyzicky pristup k pocitaci, je automaticky nutne ten pocitac povazovat za nezabezpeceny/sledovany/hacknuty, a tudiz nema cenu na nem provozovat Tor. A tyka se to i realneho zeleza umisteneho u providera.

    Takhle nejak bych ja navrhoval co nejvice bezpecny globalni komunikacni system zalozeny na Onion siti. Je to ovsem trochu nepohodlne z pohledu bezneho uzivatele zhyckaneho webem.
    ENKIE
    ENKIE --- ---
    Attacking Tor: how the NSA targets users' online anonymity | World news | theguardian.com
    http://www.theguardian.com/world/2013/oct/04/tor-attacks-nsa-users-online-anonymity
    LUDO
    LUDO --- ---
    LUDO: akurat ma ale zaujima co ma Ruiu doma za mikrofony a jakto ze je jediny :)
    LUDO
    LUDO --- ---
    :: OSEL.CZ :: - Počítačový super-virus badBIOS se šíří zvukem
    http://www.osel.cz/index.php?clanek=7252
    OVERDRIVE
    OVERDRIVE --- ---
    komentar k JavaScript sestrelum uzivatelu TORu.



    Ideally you need Tor to be in a routing box, not your computer so that there
    is no way for your computer to connect to the non Tor network, so your
    computer doesnt even know its physical IP and has no power to disclose it.

    Or simulate that setup in software you need Tor on the main machine, and a
    VM that has access to and knowledge only of Tor network for connectivity. Do not put ANY identifying information inside the vm. That rules out vmware
    because they leak in your disk serial number as a result of a microsoft law
    suit. (Microsoft accused them of making it easy for people to share windows
    serial numbers, because the "is this the same machine" calculation based on
    various HW serial numbers always comes up with the same answer in a virtual
    machine at that level.) Similarly the VM must not know your physical network
    card MAC addresses etc.
    OVERDRIVE
    OVERDRIVE --- ---

    xkcd COMIX [predchozi prispevek] : v kterem z tech okenek se tak nejvic poznavate?

    21 hlasy od 21 respondentů

    OVERDRIVE
    OVERDRIVE --- ---
    KRISHNA
    KRISHNA --- ---
    pokud byste nekdo chteli virtual, tak mam vlastni server v datacentru, dal bych vam pristup pres vSphere, vlastni IP.. Bezi mi tam treba IPfire s OpenVPN, na dalsim VM tor relay, na dalsim webhosting, na dalsim mailserver...
    OVERDRIVE
    OVERDRIVE --- ---
    ZAPPO: uplne souhlasim, to byl vzdy muj velky problem, ze postavit server nakonec neni az takovej problem, ale mit jej kam pichnout, aby byl dostupny, potazmo, aby nechcip jen co umre disk v PCcku na kerem to bezi... jasne.
    Ale dnes jsou moznosti ruzne. Nemusis treba server stavet na realnem zeleze, ale klidne u nejakeho providera, ktery nabizi jen uplne nesuppoerteny, ale vysoce dostupny virtual... kdeco.
    Taky si treba muzes odkladat data sifrovane na nejaky cloud, nebo dokonce na nekolik.
    Moznosti je spousta.

    Protoze za a] je to prilis siroke tema na to, abych to rozvadel tady
    b] nemam k tomuhle auditu prava, abych delal nastenku a jeho majitel zda se byt mrtve id

    tak jsem se rozhodl, ze zalozim diskuzi, kam bych vas rad pozval: [ cPUNK BOX - server self-sufficient punk ought to be running ]

    [pokud nekdo nema premiovku a nemoh by si booknout, ale audit jej zajima, tak napiste, dam vam nejakej kus sve premiovky, den, dva ;]

    Berte to tak, ze ten audit je sestersky k tomu, co jsme udelali z tohohle, takze s ohledem na bezpecnost a sobestacnost, ale zaroven jeste na pouzitelnost, takze ne crypto-overkill
    Kliknutím sem můžete změnit nastavení reklam