MUXX: dik, neznal jsem, prostuduju

Exclusive: Secret contract tied NSA and security industry pioneer| Reuters
http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220

NYX: no, mozno to nebude az take nerealne [ LUDO @ Anonymita na internetu :: TOR - FREENET - FREEPROXY - ... ]

wtf :)
New attack steals e-mail decryption keys by capturing computer sounds | Ars Technica
http://arstechnica.com/.../12/new-attack-steals-e-mail-decryption-keys-by-capturing-computer-sounds/

GINTA: To je zrovna blbost.
SAMGARR: Přesně

Koupil jsem si ji pred casem, ale zjistil jsem, ze jsem jediny, a ze nemam nikoho, komu bych potreboval zabezpecene psat :DD No co uz, nenadelam nic .)

MARTASTAIN: OK, ale zrovna Threema spadá pod http://www.kaspersystems.ch a ti sídlí v Zürichu. Na druhou stranu nemohu soudit, jak je na tom Threema s bezpečností, jen podotýkám, že Švýcarům bych věřil.

Jinými slovy vím o tom hovno, ale mám potřebu se k tomu vyjádřit. ;)

_HABU_: .ch domena stoji u forpsi 29 EUR na rok.

GINTA: Víceméně souhlas, ale tohle je .ch doména a Švýcaři jsou trochu jiná sorta. Ti si přes plot jen tak koukat nenechají.

Hoj,

jste schopen mi nekdo vypsat pár rizik, používání aplikace THREEMA?
https://threema.ch

Díky moc

Takze jakys-takys diskusak s forama i postou lze ciste pomoci SFTP jako Tor hidden service zrealizovat, ale je to tezkopadne pro uzivatele, kteri ale na oplatku ziskaji znacne soukromi, i vuci adminovi toho serveru.

Nakonec jsem pouzil mod_sftp v ProFTPD, protoze oproti OpenSSH nabizi potrebny moznosti nastaveni. Pokud by mel nekdo zajem se inspirovat (ja nic takoveho verejne provozovat nechci), tak vyhradne testovaci sluzba bezi na:

hostname: gntfcnhrv3gkdo4k.onion, port: 30667, username: sftp.anon, heslo: anon

V Linuxu je to snadne:
# torsocks sftp -P 30667 sftp.anon@gntfcnhrv3gkdo4k.onion

Nebo pripadne rovnou primountovat, takovy sdileny cloud storage v Onion space :)
# torsocks sshfs -p 30667 sftp.anon@gntfcnhrv3gkdo4k.onion:/ /mount-point

V souboru SignUp.txt je navod k registraci a pouzivani, vytvoreni PGP a GPG klicu atp. - pro Windows. A taky zde:

SFTP hidden service - Pastebin.com
http://pastebin.com/AJ87JSK0

Tak jsem si ted objednal Raspberry Pi a zkusim to v praxi :) To pak vyfotim, je to velke jen jako hodne tlusta kreditni karta.

Taky jsem trochu experimentoval s temi hidden services. TFTP je bohuzel nevhodne, protoze je omezene na UDP a Tor neumi UDP tunelovat. Taky v nem neni zadna autentizace a nepodporuje hierarchickou strukturu adresaru. I kdyz ta autentizace by se dala asi resit pomoci stunnel nebo ssh a klientskych certifikatu.

FTP je naprosto nevhodne jako hidden service, protoze pri behu otevira vic spojeni a je s tim velky bordel v aktivnim i pasivnim rezimu, nepouzitelne.

Idealni je ovsem SFTP . To pracuje vzdy jen v ramci jednoho spojeni, a OpenSSH je jedna z nejprozkousenejsich aplikaci. A je v nem kvalitni autentizace pomoci hesel i klicu. Zkousel jsem to rozchodit jako hidden service a prekvapilo me, jak dobre se to da nastavit a jak rychle a pouzitelne to je, velmi ciste reseni.

Funguje to dobre i s Tor Software Bundle a Filezillou ve Windows, nastaveni je trivialni i pro lamu, staci nastavit SOCKS proxy. Urcite mnohem lepsi nez probugovana PHP fora na webserveru a probugovany Firefox na klientu.

Da se tak pouzitelne i kdyz trochu nepohodlne implementovat v podstate cokoliv - obdoba blogu (anonymous pristup pro ctenare), obdoba diskusniho fora s registracemi uzivatelu a jejich GPG klicu, sdileni souboru - chce to jen trochu myslet, pripadne si neco zautomatizovat skriptovanim. A vse mnohem zabezpecenejsi, nez je tomu na webu. Konkretne jsem zkousel tohle:

Pro server: Tor (vytvoreni hidden service), OpenSSH (omezene na chrooted sftp-server)

Pro klient - windows - zakladni setup: Tor Software Bundle (tor socks proxy), Filezilla (sftp klient)

Pro klient - windows - pokrocilejsi setup: Putty (ssh klice - puttygen, pageant), Gpg4Win (public key signing&encryption sdilenych souboru), Perl (skriptovani - Net::SFTP)

Zatim si jeste nejsem uplne jistej, ze to OpenSSH jako hidden service neleakuje nejaka data (hostname v klicich atp.). Az to cele rozchodim, postnu sem .onion adresu :))

Attacking Tor: how the NSA targets users' online anonymity | World news | theguardian.com
http://www.theguardian.com/world/2013/oct/04/tor-attacks-nsa-users-online-anonymity

LUDO: akurat ma ale zaujima co ma Ruiu doma za mikrofony a jakto ze je jediny :)

:: OSEL.CZ :: - Počítačový super-virus badBIOS se šíří zvukem
http://www.osel.cz/index.php?clanek=7252

komentar k JavaScript sestrelum uzivatelu TORu.



Ideally you need Tor to be in a routing box, not your computer so that there
is no way for your computer to connect to the non Tor network, so your
computer doesnt even know its physical IP and has no power to disclose it.

Or simulate that setup in software you need Tor on the main machine, and a
VM that has access to and knowledge only of Tor network for connectivity. Do not put ANY identifying information inside the vm. That rules out vmware
because they leak in your disk serial number as a result of a microsoft law
suit. (Microsoft accused them of making it easy for people to share windows
serial numbers, because the "is this the same machine" calculation based on
various HW serial numbers always comes up with the same answer in a virtual
machine at that level.) Similarly the VM must not know your physical network
card MAC addresses etc.