Aja, dom flesta här har väl hört/läst om alla 100 lösenord som postades öppet nyligen. Email-konton som tillhört regeringar osv från olika länder...

Men nu när han avslöjat hur det gick till. http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/
Jag hade inte en aning om att folk satt och sniffade trafik på TOR nätverket! Trodde det var bland det säkraste, förutom nått öppet wlan nånstans...
Att tor var mer säkert än proxys osv..

Men vadå, vemsomhelst kan alltså starta tor-nods, sen sitta och sniffa massa trafik? Och folk har sniffat all "anonym" trafik hela tiden?
Måste kolla upp det här lite noggrannare. Nån som är insatt får gärna förklara också...
Av klippen jag såg trodde jag det var enklare. Att vilken 15 årig flicka somhelst skulle kunnat göra detta från hemmet...
Känns ändå som Dan förenklat en sak som inte är så jättenkelt eller att vemsomhelst kunnat göra det.
Jag hade iallafall inte en aning om detta, har inbillat mig att tor vart säkert.

edit: http://wiki.noreply.org/noreply/TheOnionRo...itEavesdroppers

Saken är den att Tor aldrig varit säkert utan kryptering och det har inte varit någon direkt hemlighet.
Ska man surfa med Tor får man helt enkelt fixa kryptering, i annat fall kan man räkna med att det sitter någon som sniffar trafiken helt enkelt.

hehe jag har helt missat det.
Hur undviker man att detta händer då? Förklara gärna mer ang krypteringen...
edit: Förutom SSL..

TOR är anonymt - ja. Helt säkert - nej.
Datan som skickas via TOR är inte skyddad i det sista ledet (dvs. from exit-node till destination), internt är den - annars skulle det vara väldigt lätt att spåra dig via loggar osv..

Inget konstigt, så har det alltid varit. Samma sak med vanliga proxys fast då kan den som driver proxyn se vem som gör vad, något som inte går om man kör en exit-nod i Tor.

En mycket viktig sak i sammanhanget... Tor ger säkerhet i form av ANONYMITET, inte KONFIDENTIALITET. Förstår inte ens hur förvirrningen kan uppstå i det fallet

Värt att notera är man inte kan köra vilken tor NOD som helst utan just en exit-node, vilket kan vara lite riskabelt eftersom det ser ut som du besöker en hel massa sidor som egentligen är saker du skickar för TORs räkning.

i övrigt är det ingen nyhet utan något som man vetat sen man designade TOR.

Ah jag kollade in det där lite mer. Så man kan alltså inte undvika att folk sniffar trafik på slut-noderna? Även om dom inte har en aning om vart det kommer ifrån. Men vadå, det räcker alltså med att logga in på valfri sida, och dom får tag i användarnamn och lösenord.

Anna23_sthlm : qwerty www.lunarstorm.se osv..

hmm, även om peronens ip är anonymt och dom inte har en aning om vart det komemr från får dom ju massa info. Regeringarna hade alltså vart säkrare om dom inte använt tor?

Ja, det hade de ju faktiskt varit. Saken är ju den att Tor gömmer bara din IP-adress, så om du loggar på en sida med ditt användarnamn så är du ju inte anonym längre.

Förhindra att exit-noder loggar går inte, men om den sista biten är kryptered så kan de ändå inte tyda sina loggar så det är vad man får göra i så fall. Så logga inte in någonstans där din identitet kan bli röjd eller inloggningsuppgifter kan bli stulna genom Tor, man gör bevisligen bäst i att anta att alla loggar. Dock så är allt krypterat från början till slut med hidden services.

ah nä jag har lärt mig det nu. Jag som inbillat mig att TOR både gav anonymitet och konfidentalitet...
Det lär ju varit fler som missat detta, eller knappt funderat på att folk loggar lösenord osv över tor. Även om dom inte vet vart trafiken kommer från. Går ju att ta reda på senare också..
Sen lyckades ju HD moore skriva nått som kunde spåra personer över tor förut... Den snubben är riktigt grym..
aja, hursomhelst det som dan gjorde...Det var väl bra iom att dom måste fixa säkerheten och kryptera eller köra över ssl, men det han gjort går ju ändå inte att undvika som jag förstått det...Känns mer som han sökte uppmärksamhet eller nått...
Och det där med att en 15 årig flicka kan göra det hemifrån håller jag inte med om. Tycker han förenklade allt i media...aja, känns mer som han sökte uppmärksamhet. Men det var väl ändå bra att han la ut allt. Om det nu finns en lösning att skydda sig, annars känns det rätt meningslöst.

ah, då har man lärt sig nått nytt. mm..

Ah okej, så hur krypterar man sista biten då? Förutom SSL.. så dom inte kan sniffa/tyda sina loggar?
Vad menar du med:
Dock så är allt krypterat från början till slut med hidden services?

aja, ska kika på det här lite mer sen;) Nu käk.

Om tjänsten du ansluter till inte erbjuder kryptering så går det ju inte att få hela anslutningen krypterad från din dator till servern, men om du kan använda HTTPS med en webtjänst så skall du vara skyddad om den är rätt inställd.

Hidden services är krypterat hela vägen från början till slut så det kan bara avlyssnas på din dator eller på servern som kör tjänsten samt är anonymt så bättre än så blir det inte. Kika lite på vad det är så hänger du med, det är inte svårt. Förresten det som Bifrost använder när det kör över Tor.

Notera också att det föreligger en extrem MitM möjlighet för TOR-exit noder.
Så det räcker inte med vilket protokoll som helst för att säkra sig.

Även SSL bygger på förtroenden.
Nyckelförhandlingen kan göras på ett antal olika sätt:
1 - Ingen identifierar sig, överföringen kan inte avlyssnas med framgång, men inget skydd mot MiM
2 - Servern identifierar sig, enfaktorsautentisering, där man då vet att servern är den den utger sig för att vara. Hur många av er LÄSER faktiskt informationen i SSL-certet? Jag vet att jag bara gör det första gången jag ska hantera korttransaktioner eller när banken uppdaterat sin webbplats...
3 - Klienten identifierar sig (kan vara nog så viktigt i vissa lägen, där det är viktigt att t.ex. inte felaktig information matas in i en databas eller så, där däremot serverns identitet är en andrahandsfråga, ingen annan har t.ex. nytta av att snatta åt sig nyhetstelex eller så
4 - Tvåpartsautentisering, alla signerar med privata nycklar, och alla har varandras publika certifikat. Ovanligt annat än för företags webbtjänster för internbruk och sånt.

Så läs "hänglåset" eller köp grisen i säcken

Det er ikke lenge siden at dem kunne spore ca 46% av tor brukerene. Både avsender og motaker.
Dette pga av ett sikkerhets hull.
Rapporten:

Tjaba. Japp, jag läste på lite om Hidden services och så igår och mer detaljerat hur det fungerar. ..
Jao, kom att tänka på tor-pluginet senare efter jag postat inlägget;)
Edit: Och HD Moore är grym. Lite sent ute, men jag hitta länken efter jag läste om Dan/DEranged security där..
http://www.securityfocus.com/news/11447/1
http://ha.ckers.org/blog/20070309/tors-privacy-broken/

äh, onödig post. my bad

Jag har ett antal sidor som jag ofta besöker, den stora majoriteten av dessa är HTTPS annars faller dom ofta in i en kategori av sidor som jag inte kommer besöka igen eller sidor som jag stänger ner. Det finns plugins till firefox som krypterar det du skriver i den (detta är dock bara lokalt informationen skickas fortfarande inte krypterat över internet) ni bör prova dessa, dom är trotts allt mycket trevliga att ha!
Tor funkar ju som ett LAN i stort sätt, självklart är det möjligt att sniffa dessa precis som det är möjligt att sniffa LAN. (Nu använder TOR en del andra tekniker m.m. som gör det anonymt osv. som LAN oftast inte erbjuder, men ni fattar grejen). Jag skulle rekommendera er att koppla via SSH-Tunnel istället, det använder jag och det funkar jättebra för mig!