» »

Iran blokiral TOR, popravek na voljo še isti dan

 V omrežje TOR vstopimo čez vstopno točko, nato se promet poda med več notranjimi relayi in končno gre ven čez izhodno točko. Znotraj omrežja je kriptiran. Za popoln nadzor omrežja bi napadalec moral obvladovati vse vhodne in izhodne točke.

V omrežje TOR vstopimo čez vstopno točko, nato se promet poda med več notranjimi relayi in končno gre ven čez izhodno točko. Znotraj omrežja je kriptiran. Za popoln nadzor omrežja bi napadalec moral obvladovati vse vhodne in izhodne točke.

vir: The H
The H - Kot poroča H Onine, naj bi iranska vlada na večer na sredo na svojih izhodnih usmerjevalnikih vklopila blokado prometa po anonimizacijskem omrežju TOR (the Onion Router). Blokada je bila še isti dan odkrita in odpravljena, s čimer se delovanje omrežja počasi obnavlja.

TOR je anonimizacijsko omrežje, ki promet od uporabnika (izvor) pa do ciljnega strežnika (ponor, npr. mail.google.com) spelje skozi večje število posrednikov, imenovanih TOR relays. Relaye poganjajo uporabniki z odvečno internetno pasovno širino (zadostuje že 20KB/s). Uporabnikovi paketki vstopijo v omrežje skozi vhodno točko, nato večkrat odskočijo čez računalnike posrednikov, in na koncu zapustijo omrežje čez izhodno točko. Ves promet od uporabnika pa do vključno izhodne točke je tudi dodatno širiran. Vsa ta infrastruktura znatno otežuje nadzor internetne komunikacije, saj nepridipravi ali vladne obveščevalne službe težko določijo, kdo je pravi izvor prometa, ter kakšna je njegova vsebina. Za to bi morali kontrolirati celotno pot skozi TOR omrežje, ali vsaj vse vhodne in izhodne točke. Teh pa je razmeroma veliko in so geografsko razpršene čez mnoge države.

TOR ves promet enkapsulira v HTTPS povezavo, ki niti ne zgleda toliko drugače od tiste z Gmailom, spletno trgovino ali slo-techom (poskusite). Manjša neprilika je bila, da so TOR relayi pri vzpostavitvi povezave (SSL handshake) ponudili certifikate, ki veljajo kvečjemu par ur. To je normalno, saj jih TOR redno zamenjuje, vendar močno izstopa v primerjavi z običajnimi SSL certifikati, ki se izdajajo vsaj za obdobje enega leta. Na to dejstvo so se obesili iranski požarni zidovi in tako učinkovito blokirali poskuse vzpostavitve TOR povezav. Popravek to razliko popravi in zdaj vrača obdobje veljavnosti 1 leta, čeprav se interno certifikat še vedno prekliče po par urah. Edina negativna posledica je, da je Iranska vlada vmesnem času pridobila prvovrstno bazo TOR hostov, tudi neobjavljenih (ti. bridges).

Avtorji so ob tej priložnosti povedali, da je tovrstnih specifik še kar nekaj, vendar jih v tej fazi ne bodo vseh popravili. Ideja je, da zanje že vejo in da jih lahko v primeru, da se kakšna vlada obesi na njih, takoj popravijo. Če pa bi zdaj polikali vse, bi bila naslednja blokada verjetno tako sofisticirana, da bi omrežje ostalo nedosegljivo za dlje časa.

Za Irance je TOR še posebnega pomena, sploh zato, ker naj bi obveščevalne službe s pomočjo pri DigiNotarju izdanih ponarejenih SSL certikatov izvajale man-in-the-middle napade na priljubljene spletne servise. Če gre promet čez TOR, se tem vladnim strežnikom na daleč izogne.

8 komentarjev

JesusChrist ::

Je pa res da zadeva deluje dokaj počasi. Ampak anonimnost je več pri določenih stvareh kot pa 20sekund :))
remember, the clock is ticking. run like no tomorrow.

gendale ::

vsi tor uporabniki poglejte na slikroad

darkolord ::

Vsa ta infrastruktura znatno otežuje nadzor internetne komunikacije, saj nepridipravi ali vladne obveščevalne službe težko določijo, kdo je pravi izvor prometa, ter kakšna je njegova vsebina. Za to bi morali kontrolirati celotno pot skozi TOR omrežje, ali vsaj vse vhodne in izhodne točke. Teh pa je razmeroma veliko in so geografsko razpršene čez mnoge države.
Samo za razmislek, nič ne preprečuje tem službam, da po celem svetu postavijo na tisoče svojih node-ov in naredijo tako, da so barve na tisti sliki zgoraj obrnjene...
spamtrap@hokej.si
spamtrap@gettymobile.si

Jupito ::

darkolord je izjavil:

Samo za razmislek, nič ne preprečuje tem službam, da po celem svetu postavijo na tisoče svojih node-ov in naredijo tako, da so barve na tisti sliki zgoraj obrnjene...


Ah, to so naredili že zdavnaj. /tinfoilhats
Oprostite, ker nisem navdušen nad tem,
da potica tokrat vsebuje le dva rjasta žeblja.
Ne! Ni važno, da je sicer odličnega okusa!

Zgodovina sprememb…

  • spremenil: Jupito ()

abcuser ::

Res je, da popolne varnosti ni. Iranske tajne službe imajo zanesljivo kar nekaj denarja in lahko vzpostavijo svoja tor omrežja itd. Je pa res, da je Tor omrežje sestavljeno iz več mehanizmov. Kot prvo se povezava od začetnega uporabnika do končnega strežnika preteče skozi več vmesnih tor strežnikov, ki so razporejeni po celotnem svetu. Vsakih 10 minut tor-klient sam vzpostavi novo povezavo preko nove poti (novih kombinacij strežnikov - kar posledično pomeni, da je z analizo mrežnega prometa zelo težko povezati enega in istega uporabnika z dvema različnima povezavama), sam uporabnik pa ima možnost, da kadarkoli klikne v aplikaciji in to izvede ročno. Torej v državi, kjer želijo omejiti dostop do informacij (oziroma onemogočiti dostop do objavljanja informacij - npr. novinarjem), končni uporabnik zanesljivo zelo pazi in zelo pogosto menjuje poti. Druga velika prednost tor omrežja je vgnezdeno enkriptiranje - princip čebule (mimogrede ikona za tor omrežje je čebula). Torej brskalnik končnega uporabnika enkriptira podatke in jih pošlje prvemu strežniku, nato prvi tor strežnik ponovno enkriptira že en enkriptirane podatke in jih pošlje naprej drugemu tor strežniku, nato drugi strežnik v verigi ponovno enkritptira že enkritpirano-enkriptirane podatke itd. Če se torej nekje v verigi pojavi vohunski strežnik, ima dejansko dostop do enkritpiranih podatkov, vse kar ve pa je vhodni in izhodni strežnik. Ranljivost tor omrežja je le v zadnjem dostopu do podatkov, ko zadnji tor strežnik dostopa do ciljnega strežnika. Ta povezava je lahko pa ne-enkritpirana! Zato je uporaba tor omrežja močno priporočljiva v povezavi s https povezavo do končnega strežnika, zato tudi pride v tor-brskalnik naložen "https everywhere" vtičnik, ki samodejno izbere https povezavo namesto http, če ciljni strežnik nudi varno povezavo.

Ker je vmes toliko dejavnikov, to seveda vpliva na odzivnost sistema (brskanje se lahko precej upočasni) in spletne strani se temu ustrezno nalagajo počasneje (razlog je tudi ta, da gre preko neoptimalne poti namenoma preko večjega števila posrednikov), ker pa je varnost-zasebnost bistvena lahko žrtvujemo odzivnost - bolje, da ti stvar dela počasi, kot pa da te zaprejo, usmrtijo itd. Sicer pa so podrobnosti tor omrežja objavljene na uradni strani projekta, če koga zanima več: https://www.torproject.org/about/overvi...

Zgodovina sprememb…

  • spremenil: abcuser ()

MrStein ::

Kaj pa če nadzirajo prvi tor strežnik?
Teštiram če delaž - umlaut dela: ä ?

Azgard ::

Kakor jaz vem ne moreš vedeti ali si prvi ali ne kot prvo. In kot drugo, če to nekako izveš, ti samo veš kdo je izvor in kdo je drugi. Še vedno pa ne ve vsebine in končnega cilja, ker je vse kriptirano.

Matthai ::

Poleg tega greš lahko gor preko Tor Bridge, ki ga sam izbereš.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Iran blokiral TOR, popravek na voljo še isti dan

Oddelek: Novice / Varnost
82727 (1131) Matthai
»

Načrti za razvoj anonimizacijskega omrežja Tor v prihodnjih treh letih

Oddelek: Novice / Zasebnost
123624 (1860) Jst
»

Tor omrežje pomaga Irancem v boju proti cenzuri in omejevanju komunikacij

Oddelek: Novice / Zasebnost
162793 (2015) Jst
»

Snakes On A Tor

Oddelek: Novice / Zasebnost
113349 (2661) jype
»

Nadzor Tor izhodnih točk (strani: 1 2 )

Oddelek: Novice / Zasebnost
756572 (5108) Matthai

Več podobnih tem