Domanda:
Quanto posso fidarmi di Tor?
Freedom
2010-12-09 18:35:02 UTC
view on stackexchange narkive permalink

Quanto posso dipendere da Tor per l'anonimato? È completamente sicuro? Il mio utilizzo è limitato all'accesso a Twitter e Wordpress.

Sono un attivista politico indiano e non mi piace la libertà di stampa come fanno i paesi occidentali. Nel caso in cui la mia identità venga compromessa, il risultato può essere fatale.

Non proprio una risposta, ma nota che Tor garantisce solo * l'anonimato *, mentre qualsiasi informazione che invii (inclusa la tua password) sarà liberamente esposta.
Solo un (ovvio) commento: sii molto vigile sull'uso di SSL (HTTPS) tramite Tor. Twitter FX ha un'impostazione dell'account opzionale per utilizzare sempre SSL, che dovresti usare. Considera anche plugin del browser come "HTTPS Everywhere" di EFF e inserisci manualmente gli URL nella barra degli indirizzi con il prefisso HTTPS: //.
Dai un'occhiata a questo articolo: https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext
Penso che se hai javascript abilitato in tor, puoi usare del codice per rivelare il tuo indirizzo ip.
è vero?
https://www.eff.org/pages/tor-and-https
Suggerirei di utilizzare Tor anche tramite una VPN, in modo che il tuo ISP, che potrebbe essere controllato dallo stato, non possa vedere che lo stai utilizzando.
http://www.counterpunch.org/2014/07/18/the-nsa-wants-you-to-trust-tor-should-you/
Mi fiderei tanto quanto qualsiasi altro programma software sponsorizzato e avviato dal governo.
@TecBrat Per dirla in modo molto gentile, l'articolo di counterpunch è spazzatura, come praticamente tutti i loro articoli sulla tecnologia (specialmente nucleare, pesticidi, ecc.).
@curiousguy Sono diventato più attento alle mie fonti di notizie nel corso degli anni.Non ho motivo di difendere il counterpunch e il dubbio dovrebbe essere lo stato predefinito di qualsiasi "notizia" che leggiamo.
Puoi dire a qualcuno di usare Windows senza un antivirus / sicurezza Internet eppure gli dici di usare TOR per proteggere la sua identità.cosa succede se hai uno spyware?Anche l'utilizzo di applicazioni come le app torrent esporrà sicuramente il tuo IP indipendentemente dal fatto che tu stia utilizzando Tor o meno.
@FiascoLabs Non è più sponsorizzato e avviato dal governo del mouse del computer Logitech, che proviene da DARPA.La Marina ha escogitato il concetto di _onion routing_, tuttavia nessun dipendente della Marina lavora su Tor e il codice sorgente è interamente sotto il controllo del Tor Project.
Cinque risposte:
#1
+80
user502
2010-12-09 19:23:24 UTC
view on stackexchange narkive permalink

Tor è migliore per te che per le persone nei paesi i cui servizi di intelligence eseguono molti nodi di uscita di Tor e fiutano il traffico. Tuttavia, tutto ciò che dovresti presumere quando usi Tor è che, se qualcuno non sta facendo un'analisi statistica pesante del traffico, non può correlare direttamente il tuo IP con l'IP che richiede risorse sul server.

Questo lascia molti, molti metodi per compromettere la tua identità ancora aperti. Ad esempio, se controlli la tua normale posta elettronica mentre usi Tor, i malintenzionati possono sapere che quell'indirizzo è correlato ad altre attività Tor. Se, come ha detto @Geek, il tuo computer è infetto da malware, quel malware può trasmettere la tua identità al di fuori del tunnel Tor. Se raggiungi anche una pagina web con un difetto XSS o CSRF, qualsiasi altro servizio web a cui hai effettuato l'accesso potrebbe subire il furto delle loro credenziali.

In conclusione, Tor è meglio di niente; ma se la tua vita è in pericolo, usa un computer ben protetto per accedere a Twitter e WordPress che lo utilizzano e non usare quel computer per nient'altro.

Grazie. Da parte mia uso Linux anche se non sono bravo.
Cosa significa in realtà "trasmettere la tua identità al di fuori del tunnel TOR"?
@Pacerier "Ciao, sono , abito a
."
@Pacerier Ad esempio, un trojan di accesso remoto sul sistema sarebbe sia a conoscenza dell'esecuzione di Tor che possibilmente un percorso diretto a Internet. Potrebbe esporre tutte queste informazioni nel traffico del server C&C. Generalmente questi non sono controllati dallo stato, ma le versioni di Snowden lo rendono abbastanza fattibile, non dovresti scommettere la tua vita su di esso.
E le CODE?
Tor rappresenta l'anonimato casuale se utilizzato senza misure aggiuntive contro la fuga di dati in Internet.Anche se utilizzi il pacchetto del browser Tor, esporrai molto "rumore".Soprattutto se utilizzato su sistemi operativi commerciali che si basano su servizi basati su cloud, inviando telemetria e sincronizzando frequentemente i dati. Tails è un modo molto comodo per rendere più difficile per alcune parti identificarti.Ma molto probabilmente non aiuterà contro gov.attacchi.Se vuoi lavorare in modo anonimo, tutto ciò che può comunicare con il mondo esterno deve essere disabilitato e l'accesso fisico al computer deve essere limitato.
Se vuoi fare un ulteriore passo avanti, dovresti considerare che l'utilizzo di tali strumenti potrebbe renderti sospetto.E questo non dovrebbe essere sottovalutato.Se utilizzato con il tuo ISP, l'ISP può e può rilevare che stai utilizzando TOR.Oltre a tutte le altre decisioni, dovresti essere consapevole che la sicurezza non è conveniente e che devi cambiare il modo in cui usi la tecnologia ei servizi.Un indirizzo di posta statico?Dimenticalo!Portare un telefono mentre si desidera navigare in Internet?Dimenticalo!Utilizzare lo stesso punto di accesso a Internet più di una volta?Dimenticalo!Utilizzi il tuo dispositivo "anonimo" per il lavoro e i giochi tutto il giorno?Dimenticalo!
Il meglio che puoi fare è usare qualcosa come "Disconnect" Linux su un computer con porte tecnicamente disabilitate (eccetto una USB per lo scambio dati), connettività di rete tecnicamente disabilitata (Bluetooth, Wifi, GPS, 3G, LAN) e disco rigido rimosso.Dovresti anche essere molto severo con l'accesso fisico a questa macchina.Soprattutto non usare mai chiavette USB straniere, non lasciarlo incustodito o lasciare che altri ci giochino, anche se sono tuoi amici.
Ma anche se desideri eseguire questa procedura: Tieni presente che le pagine Web di download potrebbero essere contraffatte e compromesse.I giocatori governativi possono falsificare i certificati e potrebbero essere in grado di giocare l'uomo nel mezzo durante l'accesso e il download.Anche la verifica della firma / hash potrebbe non riuscire in questo caso.Quindi dovresti prendere in considerazione la verifica utilizzando il Web di fiducia pgp per ottenere maggiore sicurezza di ricevere un'immagine ISO non manomessa.
#2
+41
0xC0000022L
2013-09-13 22:35:22 UTC
view on stackexchange narkive permalink

Chiamata del 2013

Penso che questa domanda meriti una nuova risposta dopo quello che sappiamo ora. Date le fonti finanziarie del progetto Tor e ciò che abbiamo imparato sull'inserimento di backdoor da parte della NSA (ad esempio vedi qui) getta un'ombra sull'affidabilità del progetto.

Dal rapporto annuale dello scorso anno (collegato sopra):

excerpt from the fiscal report of the Tor project for 2012

Tuttavia, tieni presente che il governo degli Stati Uniti afferma di voler consentire a tutti i tipi di persone in tutto il mondo per comunicare senza essere ostacolato dalla censura nazionale locale. Probabilmente tu stesso rientri in quella categoria. Ovviamente non preclude le loro intercettazioni, ma darebbe una motivazione per finanziare il progetto oltre alle potenziali intenzioni più oscure a cui si potrebbe pensare alla luce delle recenti fughe di notizie riguardanti la sorveglianza globale.

Inoltre, questa recente pubblicazione ("Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries") su come gli utenti identificabili mettono un grande punto interrogativo sull ' utilità di Tor wrt anonimato. Apparentemente questa è una tua grande preoccupazione.

Non so quali risorse il governo indiano (supponendo che sia il tuo "avversario") abbia a disposizione, ma è certamente un fattore da considerare.

Detto questo, penso che in combinazione con altre misure come re-mailer, crittografia, VPN e così via, potresti probabilmente evadere con successo per alcuni, forse anche per molto tempo. Quindi Tor sarà utile come un thread in una rete di sicurezza . Ma tieni presente che questo thread potrebbe rivelarsi inefficiente, quindi non lasciare che sia l'unico tipo di thread nella tua rete di sicurezza.

Questa è una risposta cospirativa davvero pessima, che essenzialmente chiama le finanze e afferma che influisce sulla sicurezza di uno strumento open source, specialmente quando si parla di un programma NSA non correlato.Quindi ti colleghi a un singolo (dei tanti) documenti di ricerca che funzionano solo in un ambiente di laboratorio, cioè senza il jitter naturale e la latenza del mondo reale.
@forest sì, anche le intercettazioni della NSA nel mondo erano una semplice teoria del complotto fino a quando un informatore non ha deciso di fischiare.E questo nonostante ci siano stati predecessori di Snowden per varie, diciamo, diciamo, azioni discutibili da parte di agenzie di tre lettere.Quello che ho scritto è che getta un'ombra sull'affidabilità, ma che potrebbero non esserci secondi fini oltre a consentire la comunicazione dei dissidenti.Fammi indovinare, il [Dual_EC_DRBG] (https://en.wikipedia.org/wiki/Dual_EC_DRBG) è presumibilmente anche solo una cospirazione.
Vero, se l'avessi inquadrato nel modo in cui inquadrate la mia risposta, sarebbe brutto e cospiratorio.Ma ho dato una prospettiva e mi attengo alla mia risposta.Finché combini il tuo utilizzo di Tor con altre misure di sicurezza, è uno strumento prezioso.Quando la domanda sarebbe stata SHA-1 invece di Tor, la menzione di un singolo documento di ricerca che mostra come ridurre considerevolmente il lavoro necessario per un attacco preimaging di successo renderebbe questo uno studio meno rilevante?Non credo proprio.La sicurezza è sempre forte quanto il suo anello più debole.E quindi queste cose dovrebbero essere considerate.
#3
+35
David Bullock
2011-02-01 19:03:21 UTC
view on stackexchange narkive permalink

Dovresti anche stare attento al fatto che il tuo ISP è in grado di vedere che "il tuo indirizzo IP" sta usando Tor, anche se non può dire cosa stai utilizzando Tor per . Se le condizioni sono così ostili che potresti essere sospettato semplicemente perché sembri clandestino, allora dovresti fare attenzione a usare Tor ovunque tranne che su una connessione Internet che può essere fortemente associata a te.

Puoi usare un bridge offuscato per nascondere questo fatto al tuo ISP.Ecco a cosa servono.
#4
+22
Rory Alsop
2010-12-09 18:59:49 UTC
view on stackexchange narkive permalink

Ti offre una protezione notevolmente maggiore rispetto alla navigazione diretta. Ci sono alcuni punti deboli identificati che offrono potenziali percorsi per attaccare il tuo computer, tuttavia questi possono essere mitigati usando la normale protezione sulla tua macchina (es. Patch / av aggiornati, eseguito come utente non privilegiato ecc.) Ma l'unica vera debolezza in termini di compromissione della privacy sembra essere il seguente:

  • Dato un numero sufficiente di nodi, un'organizzazione potrebbe fare stime ragionevoli sull'identità di un individuo monitorando il comportamento su vari siti web. Penso che sia ragionevole presumere che le agenzie di 3 lettere negli Stati Uniti abbiano questa capacità, ma non vorrei indovinare altre.

In sintesi, non hai un un'enorme quantità di opzioni, quindi TOR è probabilmente quello che consiglierei, ma potresti fornire una protezione aggiuntiva collegandoti da posizioni diverse ed evitando di accedere a twitter e wordpress nella stessa sessione? (a meno che, ovviamente, i due non debbano essere collegati?)

Non credo proprio che la macchina statale impiegherebbe così tanto tempo a scoprire la mia identità, ma grazie per il consiglio.
In tal caso Tor probabilmente è giusto per te :-)
#5
+5
Geek
2010-12-09 18:41:50 UTC
view on stackexchange narkive permalink

Non si può dire che Tor possa risolvere tutti i tuoi problemi. Ci possono essere molti modi per compromettere la tua identità, diciamo che hai un worm nel tuo sistema? Dato che accetti di essere un attivista politico, ci sarebbero così tante persone pronte a sfruttare il tuo computer.

Uso Linux e il laptop che uso per il mio lavoro è completamente isolato.
L'uso di Linux non è, ovviamente, una soluzione al malware sul tuo sistema. L'isolamento è, ovviamente.
Molto interessante. Quale sistema operativo Suse, Redhat, Fedora, Ubuntu? Pensi che non abbiano vulnerabilità?
Non sono affatto avanzato nella sicurezza, ma, sebbene possa essere migliore della tua normale macchina Windows, "Linux" (quale?) _Non_ è uguale a "sicuro". Ci sono sistemi operativi che cercano di essere più "sicuri di default", ad es. http://www.openbsd.org/security.html


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...