Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
[Uwaga] Atak na sieć Tor?
22.12.2014, 16:50
Post: #1
[Uwaga] Atak na sieć Tor?
Na liście dyskusyjnej projektu Tor pojawił się wpis Thomas'a White'a:
https://lists.torproject.org/pipermail/t...36067.html
Thomas White stracił kontrole nad serwerami wyjściowymi Tor i usługami które prowadził. Są poszlaki, że jakieś służby maczały w tym swe łapska.
Cytat:-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Dear all,

Many of you by now are probably aware than I run a large exit node
cluster for the Tor network and run a collection of mirrors (also ones
available over hidden services).

Tonight there has been some unusual activity taking place and I have
now lost control of all servers under the ISP and my account has been
suspended. Having reviewed the last available information of the
sensors, the chassis of the servers was opened and an unknown USB
device was plugged in only 30-60 seconds before the connection was
broken. From experience I know this trend of activity is similar to
the protocol of sophisticated law enforcement who carry out a search
and seizure of running servers.

Until I have had the time and information available to review the
situation, I am strongly recommending my mirrors are not used under
any circumstances. If they come back online without a PGP signed
message from myself to further explain the situation, exercise extreme
caution and treat even any items delivered over TLS to be potentially
hostile.

The mirrors in concern are:

https://globe.thecthulhu.com
https://atlas.thecthulhu.com
https://compass.thecthulhu.com
https://onionoo.thecthulhu.com

http://globe223ezvh6bps.onion
http://atlas777hhh7mcs7.onion
http://compass6vpxj32p3.onion

77.95.229.11
77.95.229.12
77.95.229.14
77.95.229.16
77.95.229.17
77.95.229.18
77.95.229.19
77.95.229.20
77.95.229.21
77.95.229.22
77.95.229.23
77.95.224.187
89.207.128.241
5.104.224.15
128.204.207.215


I will do my best to keep this list updated on the situation as it
develops. If any of the mirrors or IPs do come back online, I would
welcome anyone who is capable of doing so checking for any malicious
code to ensure they are not used to deploy any kind of state
malware/attacks against users should my theory prove to be the case.

At this moment in time I am under no gagging orders or influence from
external parties/agencies. If no update is provided within 48 hours
you may draw your own conclusions.

Regards,
T


- --
Activist, anarchist and a bit of a dreamer.

Current Fingerprint: E771 BE69 4696 F742 DB94 AA8C 5C2A 8C5A 0CCA 4983
Key-ID: 0CCA4983
Master Fingerprint: DDEF AB9B 1962 5D09 4264 2558 1F23 39B7 EF10 09F0
Key-ID: EF1009F0

Twitter: @CthulhuSec
XMPP: thecthulhu at jabber.ccc.de
XMPP-OTR: 4321B19F A9A3462C FE64BAC7 294C8A7E A53CC966
-----BEGIN PGP SIGNATURE-----
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=GZKT
-----END PGP SIGNATURE-----

The Register ostrzega:
STAY AWAY: Popular Tor exit relays look raided
USB plugged into Atlas, Global servers before control was lost


Na razie niewiele wiadomo. Ja zalecam wszystkim torowiczom, do zablokowania tych węzłów wyjściowych.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
23.12.2014, 2:57
Post: #2
RE: [Uwaga] Atak na sieć Tor?
Pojawiło się wyjaśnienie.
https://lists.torproject.org/pipermail/t...36084.html
Nie wiem co o tym sądzić.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
23.12.2014, 6:26
Post: #3
RE: [Uwaga] Atak na sieć Tor?
ja bym na wszelki wypadek zakwalifikował jako spalone...
nikomu i niczemu nie można ufać...
a serwery trzymać u siebie i bronić jak twierdzy... otoczyć zasiekami drutem kolczastym, polem minowym trzymać w bunkrze i same serwery zaminować...

ŚLEBODA ABO ŚMIERZĆ!!!
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
23.12.2014, 19:15 (Ten post był ostatnio modyfikowany: 23.12.2014 20:35 przez mlot.)
Post: #4
RE: [Uwaga] Atak na sieć Tor?
Cześć

Moim zdaniem sieć Tor jest zbyt scentralizowana i już przez to mało wiarygodna. Nie powinno się opierać wiarygodności tej sieci wyłącznie na kryptografii. Gdyby ten człowiek miał serwery sieci u siebie w domu to tego typu atak na nie byłby prawie niemożliwy, a przynajmniej jednoznaczny z jawnym atakiem na niego, jego mienie, naruszeniem "miru domowego" i takie tam. Gdyby zamiast tych serwerów było dwadzieścia razy więcej węzłów o dwudziestokrotnie mniejszym pasmie w prywatnych mieszkaniach w różnych częściach globu to jakość usługi w sensie zapewnianego pasma by nie zmalała a anonimowość by, moim zdaniem, wzrosła niebotycznie. Wydaje mi się, że Tor nie będzie istniał jako realna alternatywa dla osób chcących anonimowo korzystać z sieci jeśli się nie zdecentralizuje na zasadzie: zamiast jednego dużego węzła w centrum danych dwadzieścia małych w domach prywatnych osób. Obecnie operatorzy usług internetowych oferują nam "kosmiczne" do niedawna przepływności na łączu abonenckim. Pamiętam czasy, kiedy Polska była połączona łączem 2Mb/s ze światem (chyba przez firmę Telia ze Szwecji), a ja się wtedy łączyłem z internetem przez modem 2,4kb/s. Teraz mam kilkadziesiąt megabitów uploadu i kilkukrotnie więcej downloadu na łączu abonenckim... Myślę, że powinno to zachęcać do uruchamiania małych węzłów Tor na tych łączach. Laptop na którym mam uruchomiony węzeł Tor zużywa około 30W energii elektrycznej. Kosztuje mnie to jakieś 15 zł miesięcznie przy działaniu węzła 24h/dobę. Czyli mój wkład finansowy w sieć to 15zł miesięcznie. Chyba nie jest to jakaś nieakceptowalna kwota dla ludzi rzeczywiście chcących wesprzeć wolne słowo? Wiele komputerów domowych i tak działa 24h bo ludziom po prostu nie chce się ich wyłączać, a użycie ich jako węzłów sieci nie wyklucza przecież korzystania z nich w innym celu, wtedy koszty są zerowe. Na czymś podobnym bazował niegdyś projekt Seti@Home. Może powinien powstać jakiś jego odpowiednik, taki Tor@HomeSmile Oczywiście różnica jest zasadnicza bo Tor działa w czasie rzeczywistym, ale czasy się zmieniły... Jednak zmieniły się też domowe komputery i domowe łącza, warto pomyśleć, bo bez decentralizacji wiarygodność i popularność Tora raczej będzie tylko spadać.

mlot
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
23.12.2014, 21:34 (Ten post był ostatnio modyfikowany: 23.12.2014 22:13 przez mlot.)
Post: #5
RE: [Uwaga] Atak na sieć Tor?
Na poparcie moich słów, cytat z postu, do którego się odniosłem:
"
77.95.229.11
77.95.229.12
77.95.229.14
77.95.229.16
77.95.229.17
77.95.229.18
77.95.229.19
77.95.229.20
77.95.229.21
77.95.229.22
77.95.229.23
77.95.224.187
89.207.128.241
5.104.224.15
128.204.207.215
"
Czy dwanaście początkowych adresów nie wygląda podobnie? Być może właściciel tych węzłów potrafiłby uzasadnić to celem zwiększenia przepływności sieci, ale ograniczył anonimowość. Jeden dostawca, jedna lokalizacja... Nie sprawdzałem tego bo nikt mi za to nie płaci ale jeżeli część tych węzłów działało jako wyjściowe, a część jako wejściowe to narażał użytkowników na szczególne niebezpieczeństwo dekonspiracji. Tak mi się wydaje jako laikowi. Ja się na prawdę na tym nie znam, ale staram się myśleć. Z tego co widzę to w PL też są dwa hiper szybkie węzły Tor-a z których jeden jest exit, a drugi nie i ma flagę "guard", więc jest chyba duże prawdopodobieństwo, że zostanie "entry"?. Ciekawe, że obydwa są u jednego właściciela. Przynajmniej tak podaje "whois", ale ja się na tym nie znam, mogę się mylić... Nikogo nie oskarżam ale jeśli istotą sieci Tor ma być zapewnienie anonimowości,a nie tylko przekonania o tym, to musimy dążyć do jej decentralizacji...
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
24.12.2014, 0:33 (Ten post był ostatnio modyfikowany: 24.12.2014 1:07 przez kr2y510.)
Post: #6
RE: [Uwaga] Atak na sieć Tor?
@młot

1) Kolejne adresy świadczą o tym, że kupował hosting u jednego dostawczy. Problem z węzłami jest taki, że zbyt duże pasmo wyjściowe oznacza dużą ilość połączeń, obciążając tym samym procesor. Na dziś, by uzyskać pasmo >1G trzeba overclockować procesor zapewniając mu ekstra chłodzenie. Kupując hosting w serwerowni w racku, jest to praktycznie nie możliwe.

2) Centralizacja sieci ma zarówno dobre jak i złe strony. Zdecentralizowana sieć oznacza mało połączeń na węzłach i w konsekwencji mniejszą anonimowość. Moim zdaniem najlepiej by było, gdyby węzły wejściowe i mostki były u ludzi w domach, węzły pośredniczące i mostki u dostawców, a węzły wyjściowe różnie.
Na dziś niestety, trzeba samemu umieć zarządzać zaufaniem. Dla zwykłych użytkowników Tora jest to trudne. Sad

(23.12.2014 6:26)GAZDA napisał(a):  ja bym na wszelki wypadek zakwalifikował jako spalone...
Bez paniki.
Wprawdzie Jacob Appelbaum napisał:
https://lists.torproject.org/pipermail/t...36074.html
Kod:
Thank you for reporting this possible compromise. Hopefully the
thieves will be brought to justice!

It sounds like if possible, one should very carefully consider if they
want to have USB enabled in their kernel. If possible, remove it or
replace it with a module that logs details on devices - perhaps
triggering a panic?

I've rejected your relays like so:

# torrrc changes
# thecthulhu reports unknown compromise December 21st, 2014
AuthDirReject 77.95.224.187
AuthDirReject 89.207.128.241
AuthDirReject 5.104.224.15
AuthDirReject 128.204.207.215

# approved-routers changes
# thecthulu reports compromise december 21st, 2014
!reject D78AB0013D95AFA60757333645BAA03A169DF722
!reject 6F545A39D4849C9FE5B08A6D68C8B3478E4B608B
!reject 5E87B10B430BA4D9ADF1E1F01E69D3A137FB63C9
!reject 0824CE7D452B892D12E081D36E7415F85EA9988F
!reject 35961469646A623F9EE03B7B45296527A624AAFD
!reject 1EA968C956FBC00617655A35DA872D319E87C597
!reject E5A21C42B0FDB88E1A744D9A0388EFB2A7A598CF
!reject 5D1CB4B3025F4D2810CF12AB7A8DDDD6FC10F139
!reject 722B4DF4848EC8C15302C7CF75B52C65BAE3843A
!reject 93CD9231C260558D77331162A5DC5A4C692F5344
!reject A3C3D2664F5E92171359F71931AA2C0C74E2E65C
!reject 575B40EF095A0F2B13C83F8485AFC56453817ABF
!reject 27780F5112DEB64EA65F987079999B9DC055F7C0
!reject 54AA16946DB0CF7A8FA45F3B48A7D686FD1A1CEF
!reject 1EB8BDA15D27B3F9D4A2EDDA58357EA656150075
!reject 17A522BC05A0D115FC939B0271B8626AAFB1DDFF
!reject 1324EC51FBFA5FD1A11B94563E8D2A7999CD8F57

All the best,
Jacob
...ale ja uważam, że te niepewne węzły nadal mogą pracować jako węzły pośredniczące, o ile jako tako kontrolujemy wejście i wyście. Kontrola wejścia i wyjścia jest ważniejsza. Bezpieczeństwo sieci Tor zasadza się na tym, by węzły na trasie nie były w żaden sposób ze sobą skorelowane.
Ja mniejszym zaufaniem, jako węzeł wyjściowy, darzę węzeł Kaspersky Lab w Rumunii.

(23.12.2014 6:26)GAZDA napisał(a):  a serwery trzymać u siebie i bronić jak twierdzy... otoczyć zasiekami drutem kolczastym, polem minowym trzymać w bunkrze i same serwery zaminować...
To sytuacja idealna, ale nie zawsze się tak da. Wystarczy, że te serwery będą monitorowane, a informacja o incydencie zdąży zawczasu dotrzeć do wszystkich zainteresowanych.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
24.12.2014, 1:20
Post: #7
RE: [Uwaga] Atak na sieć Tor?
Ci też bredzą?
https://ipredator.se/guide/torserver#intro
To nie te czasy co kiedyś, dziś całą moc pożera AES.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
24.12.2014, 10:36 (Ten post był ostatnio modyfikowany: 24.12.2014 11:31 przez mlot.)
Post: #8
RE: [Uwaga] Atak na sieć Tor?
(24.12.2014 1:20)kr2y510 napisał(a):  Ci też bredzą?
https://ipredator.se/guide/torserver#intro
To nie te czasy co kiedyś, dziś całą moc pożera AES.

Nie odnoszę się do treści z linka, ale do ostatniego zdania. Przy przepływności 2,5MB (megabajta) / s proces tor zużywa na węźle wyjściowym około 40% czasu procesora jednego rdzenia taniego laptopa taktowanego zegarem 2.2GHz. To jest dobrze napisany program i widocznie biblioteka openssl jest też dobrze napisana. Nie ma żadnego uzasadnienia dla nieuruchamiania węzłów na łączach abonenckich. Nie trzeba mieć sprzętowego wsparcia dla AES. Flash doprowadza procesory do "zwisu" z powodu nadmiernej temperatury, nie Tor... Trzeba sobie uświadomić, że ludzie idą w uzyskiwanie niewykorzystanych przepływności. Płacą za kolejne megabity korzystając z tego godzinę dziennie... Twórcy Seti@Home sobie to uświadomili i wykorzystali to, ale im chodziło o czas pracy procesora, a nam chodzi o przepływność i "uptime"...
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
24.12.2014, 23:04 (Ten post był ostatnio modyfikowany: 24.12.2014 23:06 przez Madlock.)
Post: #9
RE: [Uwaga] Atak na sieć Tor?
ISP-y polscy oferują spore szybkości internetu, ale żeby zrobić węzeł Tora, to trzeba obejść problem zmiennego IP i problem dostarczanego z usługą crapowatego rutera (a raczej konfigurację nowego lepszego i open sourcowego). Zwykły user, w tym ja, ma z tym problemy.
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
25.12.2014, 0:42
Post: #10
RE: [Uwaga] Atak na sieć Tor?
ja miałem stałe ip jak jeszcze miałem stacjonarny net...

ŚLEBODA ABO ŚMIERZĆ!!!
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości