» »

Anonabox vrgli s Kickstarterja

Anonabox vrgli s Kickstarterja

Kickstarter - Po tednu dni dvomov, preiskovanja in pritiska javnosti so s Kickstarterja vrgli projekt Anonabox, ki je obljubljal preprosto, odprtokodno in poceni napravo za anonimizacijo vsega internetnega prometa prek Tora. Izkazalo se je, da je avtor August Germar vsaj prikrival zelo pomembna dejstva in lagal, če ne celo načrtno goljufal.

Zamisel je bila zelo dobra. Majhna, neopazna škatlica, ki se priključi med internet in domače omrežje ter ves promet anonimizira prek Tora je po lanskih in letošnjih prisluškovalnih aferah obveščevalnih služb dvignila veliko prahu. Avtor si je zadal cilj 7500 dolarjev, a so mejo hitro presegli in nabralo se je dobrega pol milijona dolarjev. Potem pa je začelo iti navzdol.

Najprej na Redditu, kasneje pa po vsem internetu so ugotavljali, da nič ni, kot se zdi. V opisu projekta je avtor trdil, da gre za lastno strojno opremo in da je delujoči prototip že četrta generacija. Izkazalo se je, da na strojni opremi ni skorajda nič lastnega, saj gre za čip, ki ga je mogoče kupiti na Alibabi za 20 dolarjev. Dodal mu je le nekaj flasha, kar šteje bolj k lepotni dodelavi kot razvoju. Nadaljnje kopanje po internetu je pokazalo, da je tudi domnevni prvi prototip v resnici že obstoječ izdelek.

Nepravilnosti pa so tudi pri programski opremi, ki ni lastno, odprtokodno delo. Vse kaže, da gre za malenkostno spremenjeno kodo projekta OpenWRT. Obljubam navkljub avtor ni predložil kode za firmware, ampak je na voljo le nekaj konfiguracijskih datotek. V privzeti konfiguraciji ima Anonabox na stežaj odprta stranska vrata, saj se je vanj mogoče prijaviti z administratorskim geslom "developer!".

Germar se je očitkov otepal z bolj in manj posrečenimi izgovori, a je na koncu priznal, da je uporabljena strojna oprema kupljena Kitajskem in le malo prilagojena. To pa je v nasprotju s pravili Kickstarterja, ki ne dovoljuje zavajanja in priglašanja tujih izdelkov in storitev za lastne. Kickstarter je naposled ukinil projekt Anonabox in preklical vse prispevke, katerim so se podporniki zavezali.

27 komentarjev

Ribič ::

Čisto prav jim je, kaj pa zavajajo ljudi s takimi izjavami, da je hardware njihov. Res pa je, da je veliko povpraševanja po takih napravah, ki nudijo zasebnost oz. anonimnost na internetu. Sicer je možno vse narediti samostojno, vendar pa veliko ljudi nima izkušenj z postavitvijo tor-serverjev. Zanima me kateri nov projekt se bo pojavil, ki bo nadomestil tale izpadli anonabox. Glede na koičino zbranega denarja, verjamem, da se bo pojavilo kar nekaj klonov.

ender ::

Prvi "prototip", kupljen pred 6 ali 7 leti za 150€ s poštnino:
 Alix 2c2

Alix 2c2

There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

vostok_1 ::

Če se pojavi soliden tak uporabniško preprost izdelek, brez back-doorov, i'm buying.

Wisse ::

Podobno lahko funkcionira pravi router s pravim firmwarom. Gargoyle (osnovan na OpenWRT) ima recimo preprost GUI.
Seveda je treba znat flashat in prej temeljito preverit združljivost.

Spiky28 ::

In v čem je prednost pred programsko rešitvijo?
Sicer pa vsekakor podpiram širitev Tor omrežja, saj se s tem povečuje anonimnost.

Jarno ::

Izkazalo se je, da na strojni opremi ni skorajda nič lastnega, saj gre za čip, ki ga je mogoče kupiti na Alibabi za 20 dolarjev.

Za 7500$ naj bi si omislil še svojo mini tovarno čipov na vsaj 28nm. :D Ali pa jo kupil na Alibabi.
Zdaj samo še rabmo prostovoljca, ki bo igral z odprtimi kartami, zaprl stranska vrata in pokasiral svoj miljonček.
Ker zgleda gre za delujoč princip, ki se ga je lotila napačna oseba.

vostok_1 ::

Kaj je boljše PC-->VPN-->TOR ali PC-->TOR-->VPN?

jype ::

vostok_1> brez back-doorov,

Oooh, še en open source jihadist!

Looooooka ::

Najbl funny je, da ce bi lepo napisal, da nameravajo kupit prirejeno plato po nižji ceni(zaradi večjega naročila) in izboljšati luknjasto kodo openwrt-ja, pa dal lepo slikco svoje škatle in napisal, da je že zdej out of the box secure(ceprav njihova ni bila)...sploh ne bi blo problemov in bi imeli več kot dovolj denarja za realizacijo projekta + filanje lastnih žepov. Ampak neee...oni morajo bit pametni pa napisat, da imajo opensource hardware zraven pa slikat plato, kjer se točno vidi verzijo kupljenega vezja. Prav jim je. Bebci. Oziroma glede na reddit...bebcA.

čuhalev ::


Četrta generacija je malo večja od RJ45 vtičnice, pa naj bi imela kar dve. :P

Če bo kdo iskal je tole naprava 4. generacije.

vostok_1 ::

jype je izjavil:

vostok_1> brez back-doorov,

Oooh, še en open source jihadist!


Well, i admit. Največja napaka open sourca je, da ga ne obvladam. (še)

opeter ::

vostok_1 je izjavil:

Če se pojavi soliden tak uporabniško preprost izdelek, brez back-doorov, i'm buying.


Kako pa lahko preveriš, če ni backdorov?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Blinder ::

Jarno je izjavil:


Zdaj samo še rabmo prostovoljca, ki bo igral z odprtimi kartami, zaprl stranska vrata in pokasiral svoj miljonček.


Gremo se tega lotit slovenci? Naj kdo odpre startup..
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 1080 Pismo smo stari v bozjo mater. Recesija generacija

techfreak :) ::

opeter je izjavil:

vostok_1 je izjavil:

Če se pojavi soliden tak uporabniško preprost izdelek, brez back-doorov, i'm buying.


Kako pa lahko preveriš, če ni backdorov?
Obvezno bi morala v tem primeru biti zadeva odprtokodna, da si lahko vsak sam prevede.

Prepricat se sicer ne mores da backdoorov ni, je pa vsaj do neke mere mozno zadevo pregledati, pri zaprti kodi pa je precej tezje.

hojnikb ::

heh, poba je pač hotu izkoristit paranojo po snowden-u :)
Can't blame him :)
#brezpodpisa

Matija82 ::

vostok_1 je izjavil:

Kaj je boljše PC-->VPN-->TOR ali PC-->TOR-->VPN?

b. VPN je anonimen zgolj toliko kot zaupaš upravljalcu VPN-ja. Je pa šlo počaaaaaaasi kot sem to probaval (kar) nekaj časa nazaj.

Spiky28 je izjavil:

In v čem je prednost pred programsko rešitvijo?
Sicer pa vsekakor podpiram širitev Tor omrežja, saj se s tem povečuje anonimnost.


Prednost je, da se več napadov osredotoča na ranljivosti programskih rešitev (FBI-jev FF napad recimo).

Looooooka ::

Torej je ni. FF se vsaj updejta. Vecina userjev firmwara na routerju nikoli ne posodablja.
Prednost je prej to, da zadevo vtaknes v pc in dela(vsaj naj bi). Ce je dela vec kot z instalacijo tor bundla...se lahko pogovarjamo samo se o minusih.

simnov ::

Je že več denarja dobil od CIA.

ulemek ::

vostok_1 je izjavil:

Kaj je boljše PC-->VPN-->TOR ali PC-->TOR-->VPN?


Definitivno 2. varianta, ker je - kot že zapisano - VPN ponudnik anonimen le, kolikor mu lahko zaupaš.

So pa t. i. svartkast škatle še najbolj pametna rešitev, sploh, če imaš svojo mrežo teh.

Zgodovina sprememb…

  • spremenilo: ulemek ()

gobice ::

Safeplug anyone?

vostok_1 ::

Točno tako zadevo sem imel v mislih...but nič ne zgleda, da je open source.

Matija82 ::

Looooooka je izjavil:

Torej je ni. FF se vsaj updejta. Vecina userjev firmwara na routerju nikoli ne posodablja.
Prednost je prej to, da zadevo vtaknes v pc in dela(vsaj naj bi). Ce je dela vec kot z instalacijo tor bundla...se lahko pogovarjamo samo se o minusih.


Attack surface FF-ja je malo večji kot firmware routerja, TBB nima samodejnih posodobitev.

gobice je izjavil:

Safeplug anyone?


Safeplug no one.

https://www.usenix.org/system/files/con...

Zgodovina sprememb…

  • spremenilo: Matija82 ()

Looooooka ::

Attack surface FF-ja je malo večji kot firmware routerja, TBB nima samodejnih posodobitev.
.
Tale zadeva bi mogla bit opensource(software je glede na to, da so sam tujo kodo vzel), mogla met nek mehanizem za autoupdejtanje, ko je kaj kritičnega, pa vse obstoječe buge openwrt-ja bi moral nekdo pofiksat pa bi blo.
Največji problem pr takih magičnih škatlicah je ravno to, da jih folk ponavadi kupi, vtakne nekam in pozabi nanje.
Splošna populacija slo-techa je seveda izključena. Govorim o ljudeh, ki majo wifi password na papirju in je enak od prvega obiska inštalaterja...
Na take je ta osebek verjetno ciljal. Če ne bi blo geekov bi mu to skropucalo verjetno uspelo prodati kot varno anonimizacijsko napravo. Si predstavljaš, da potem proda par 100.000 kosov takega sranja in 90% kupcev ustreza temu profilu uporabnika, ki ma geslo na papirčku.
Mokre sanje hekerjev.

misek ::

Ravnokar naročil podobno škatlo za 12 €. Uporabljena pa bo za dumb firewall.

vostok_1 ::

Do tell moar!

misek ::

vostok_1 je izjavil:

Do tell moar!

To je mišljeno meni? Sam potrebujem enostaven firewall za en mrežni tiskalnik, ki ima zelo verjetno bug v mrežni opremi. Tiskalnik se namreč obesi, če dobi čudne paketke, ki so verjetno posledica skeniranja.

misek ::



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Slovenci na Kickstarterju (strani: 1 2 3 4 )

Oddelek: Loža
16638372 (8044) Okapi
»

Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )

Oddelek: Novice / Varnost
7530869 (24652) Iatromantis
»

Anonabox vrgli s Kickstarterja

Oddelek: Novice / Varnost
2712134 (6982) misek
»

Pozor, pokvarjena čebula

Oddelek: Novice / Varnost
116796 (4847) poweroff

Več podobnih tem