» »

Facebook prek domene .onion omogočil prijavo iz Tora, kot prvi dobil SSL-certifikat

Facebook prek domene .onion omogočil prijavo iz Tora, kot prvi dobil SSL-certifikat

Alec Muffett je v Facebooku odgovoren za Tor

Facebook - Facebook je prvo večje podjetje, ki je postavilo lastno vstopno točko na domeni .onion za uporabnike omrežja Tor. Na ta način želijo omogočiti enostavno uporabo svojih storitev tudi prek anonimizacijskega omrežja Tor. Dostop do strani je mogoč na naslovu facebookcorewwwi.onion, če uporabljate Tor.

Uporaba Facebooka prek omrežja Tor je bila doslej otežena zaradi Facebookovih mehanizmov za zaščito uporabnikov. Kadar ti zaznajo poizkus prijave iz neznanih brskalnikov in z neznanih IP-številk v tujih državah, se račun začasno zaklene. Na ta način je mogoče preprečiti številne napade, a to docela izniči uporabnost Tora, saj je poanta anonimizacije prav prijava prek nesledljivih priključkov po celem svetu.

Uporaba Facebooka prek omrežja Tor je nujna v številnih državah, kjer je internet nadzorovan ali kjer so blokirane nezaželene zahodne strani, med katerimi je praviloma tudi Facebook. Z dostopom prek omrežja Tor se povežemo neposredno v Facebookove strežnike, s čimer se izognemo nevarnosti prisluškovanja in prestrezanja prometa. Hkrati je Facebook pridobil SSL-certifikat za novo domeno, tako da so podatki še dodatno šifrirani. Facebook pravi, da je to najenostavnejša rešitev za zagotovitev varnega prenosa tudi med strežniki podjetja (uporablja ga na primer njihov load balancer). Facebook je prvi uporabnik domene .onion, ki je pridobil certifikat zanjo.

Pomembno je poudariti, da Facebook še vedno ve vse o uporabnikih. Uporaba Tora in SSL zaščiti pred zunanjim vohljanjem, medtem ko na Facebooku nismo nič bolj anonimni. Prav tako Facebook miri vse, ki so zastrigli z ušesi ob pregledu lične domene .onion. Facebook ni razbil ključa, temveč je kot vsi ostali generiral kopico domen z besedo facebook in izbral najlepšo, pri čemer so imeli precej sreče.

23 komentarjev

RejZoR ::

Lol, to je tko nekako kot bi imel na glavi črno masko, da te folk ne prepozna, ampak na majci bi imel pa napisan svoje pravo ime in priimek...
Angry Sheep Blog @ www.rejzor.com

erunno ::

RejZoR je izjavil:

Lol, to je tko nekako kot bi imel na glavi črno masko, da te folk ne prepozna, ampak na majci bi imel pa napisan svoje pravo ime in priimek...

Stvar vsakega uporabnika posebej je, zakaj želi uporabljati FB preko TOR- v nekaterih primerih je to metoda da prideš preko blokade. Kot na primer v Rusiji čez 2 meseca, ko bodo zablokirali Twitter, Facebook in google.

carota ::

Z dostopom prek omrežja Tor se povežemo neposredno v Facebookove strežnike, s čimer se izognemo nevarnosti prisluškovanja in prestrezanja prometa.

Ameriške špijonske službe pa imajo neposredni širokopasovni dostop do teh podatkov ... Tako da jim ni treba prestrezati ali prisluškovati, dobijo na pladnju.

dice7 ::

lažje nardiš fejk profil

Mesar ::

Ja sej te pol ven zaklene če ga ne potrdiš še s telefonsko :))
Your turn to burn!

ulemek ::

Moral bi te peljati na ta naslov facebookcorewwwi.onion prek gatewaya kot je npr. .to, torej https://facebookcorewwwi.onion.to

RejZoR je izjavil:

Lol, to je tko nekako kot bi imel na glavi črno masko, da te folk ne prepozna, ampak na majci bi imel pa napisan svoje pravo ime in priimek...

Če sklepaš iz pogoje uporabe, res. Oni ne dopuščajo šaljivih profilov kot npr. to dovoli Twitter.

Zgodovina sprememb…

  • spremenilo: ulemek ()

ulemek ::

Mesar je izjavil:

Ja sej te pol ven zaklene če ga ne potrdiš še s telefonsko :))

Zelo tvegano za aktivista, kjer imajo vladne sluzbe popoln nadzor nad internetom. Običajno temu prisostvuje enak nadzor mobilnih omrežij.

Imaš pa telefonske št., na katere lahko prejmeš sms onljne. Ampak to uporabiti je loterija in ponovno v nasprotju s FB pravili

http://receive-sms-online.com

ulemek ::

Sem pa osebno precej skeptičen o poštenosti in skladnosti z duhom anonimnosti njihove poteze.

Kot vemo, so brskalnik in z njim povezane programske komponente najpogostejši vektor napada pri razkrivanju anonimnosti.

Vemo tudi, da Facebook sodeluje z ameriškimi in izraelskimi oblastmi ter prejema za to plačilo. Nenazadnje pa ima tudi sam veliko virov na voljo, kar je potrebno za razvoj orodij in tehnik pri napadu na brskalnike ter nenazadnje odkrivanju ali kupovanju neobjavljenih ranljivosti.

Veselo objavljanje vašega statusa prek tor omrežja!

Sergio ::

Vemo tudi, da Facebook sodeluje z ameriškimi in izraelskimi oblastmi ter prejema za to plačilo.


Vir?
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

GTX970 ::

FISA
http://www.dailymail.co.uk/sciencetech/...

btw, če delijo podatke Američanov, jih še toliko manj skrbi, če gre za druge državljane
http://www.theguardian.com/world/2013/s...
http://www.techtimes.com/articles/15861...

ulemek ::

Sergio je izjavil:

Vemo tudi, da Facebook sodeluje z ameriškimi in izraelskimi oblastmi ter prejema za to plačilo.


Vir?


A je to šala?

Sej je že nekdo za mano poiskal vire. Mislim, da si spraševal, če se v pythonu res da napisati znameniti Hello World! program ...

AndrejO ::

ulemek je izjavil:

Vemo tudi, da Facebook sodeluje z ameriškimi in izraelskimi oblastmi ter prejema za to plačilo.

Fail.

Dihidrogen oksid je pogost vzrok smrti. Ali podobna alternativa: "pretepate ženo redno, ali samo ob vikendih?"

Fail, ker impliciraš, da Facebook želi sodelovati s katerimi koli oblastmi na način, ki bi presegal zakonodajo, ki ji je podložen in to ne glede na to, da bi škodil njihovem poslovnem modelu.

Prejemanje ali neprejemanje plačila je nerelevantno. Če bi zavrnili kritje stroškov izvršitve zaprosila/odredbe (oz. ekvivalenta tega, kar poznaš v Sloveniji kot zaprosilo/odredbo) ga ne bi prejemali, se bi tvoj stavek glasil "Facebook sodeluje z ameriškimi in izraelskimi oblastmi in jim za to niti ne zaračuna."

Če ne želiš zavajati, potem zapiši tako, kot se temu gre: "ameriške/izraelske/britanske/nemške/slovenske/iranske/kitajske/... oblasti lahko bodisi z zakonodajo, bodisi z grožnjo tajnih sodnih pregonov prisilijo podjetja na svojem ozemlju v ravnanja, ki predstavljajo kršitev nekateri človekovih pravic."

V Sloveniji je bil takšen primer ZEKom, ki je vse operaterje prisilil, da so popolnoma zastonj sodelovali z oblastmi in na svoje stroške hranili metapodatke po leto dni in tudi več. Kakšni loleki, da so kar zastonj pomagali kršiti človekove pravice, mar ne?

Zgodovina sprememb…

  • spremenil: AndrejO ()

ulemek ::

AndrejO, nikakor. Stavek je brez odvečnih komentarjev, zakaj bi temu bilo tako. Implikacijo ti lahko vidiš, vsake oči imajo svojega malarja, a jaz je nisem zapisal.

Mislil pa sem na drugo implikacijo, da bodo za morebitne stroške napada na uporabnikove brskalnike dobili sredstva in bi lahko postali del bolj aktivne (torej napadalne) infrastrukture.

Vse po črki zakona in ker so v to prisiljeni. Tako kot tvoj delodajalec.

A tega še vedno nikakor ne odobravam. Da se to pač dogaja. In zato še ne pomeni, da ne smem zagovarjati neuporabe tega oz. svariti pred povsem možnimi scenariji/grožnjami (pa pustiva ob strani, kdo jih plača in kdo koga v kaj prisili).

Nikdar in nikjer pa nisem naivno zapisal, kako je pri nas oh in sploh super, resnično verjamem, da skupaj s sosedi ližemo nekomu rit in se celo požvižgamo na lastno ustavo (ter veselo o državljanih RS poročamo Gospodarjem).

Zgodovina sprememb…

  • spremenilo: ulemek ()

AndrejO ::

ulemek je izjavil:

AndrejO, nikakor. Stavek je brez odvečnih komentarjev, zakaj bi temu bilo tako. Implikacijo ti lahko vidiš, vsake oči imajo svojega malarja, a jaz je nisem zapisal.

Sodelovanje se vedno najprej razume kot voljno. Če to ni, dobi pridevnik. Npr. "prisiljen v sodelovanje". Dihidrogen oksid ubija! Brez odvečnih komentarjev.

ulemek je izjavil:

Mislil pa sem na drugo implikacijo, da bodo za morebitne stroške napada na uporabnikove brskalnike dobili sredstva in bi lahko postali del bolj aktivne (torej napadalne) infrastrukture.

Pretepaš ženo med vikendi, ali vsak dan?

Izjava "država je dolžna kriti materialne stroške" nima povezave s trditijo, da bodo kar nenadoma sodelovali pri napadih na lastne uporabnike. Brez dokaza, seveda. Če bi država imela ustrezen zakonodajni mehanizem, da to doseže brez kritja materialnih stroškov, bi to morali storiti brez teh "sredstev".

Čeprav se delaš finega, ko govoriš o temu, kako imajo vsake oči svojega malarja, nato znova impliciraš, da je kritje stroškov finančna podpora in, da ima to nekakšno povezavo z njihovo "voljnostjo" pri temu sodelovati s čemer znova namigneš, da je bil Facebook sodelavec po lastni izbiri in ne pod prisilo.

ulemek je izjavil:

Vse po črki zakona in ker so v to prisiljeni. Tako kot tvoj delodajalec.

Moji trije zadnji delodajalci, če smo že pri temu. Če pogledaš ZKP, pa čisto vsi moji in tvoji delodajalci. Še več. Kar jih je v Sloveniji, vse to počno ali bi počeli za državo popolnoma zastonj! Kako bi šele potem to bila udarna novica: "Facebook zastonj sodeluje pri ..."

Vrži tale finančni del ven in poglej kaj konkretno takšen ukrep prinese v splošnem, ne samo za eno storitev, ki nama je morda osebno bljak.

ulemek je izjavil:

A tega še vedno nikakor ne odobravam. Da se to pač dogaja. In zato še ne pomeni, da ne smem zagovarjati neuporabe tega oz. svariti pred povsem možnimi scenariji/grožnjami (pa pustiva ob strani, kdo jih plača in kdo koga v kaj prisili).

Ravno to, kdo v koga kaj prisili je jedro problema. Če bi podjetja to delala zaradi nekega "patriotizma", potem imaš težavo s podjetji. Če podjetja to počno, ker preprosto nimajo izbire, potem imaš težavo z državami, kjer se nahajajo. Ne moreš pa slabe volje zaradi enega ravnanja (masovno zboranje in obdelava osebnih podatkov) posploševati na drugo ravnanje (prisilno izdajanje teh podatkov državam).

Konkreten korak je zanimiv in zagotovo pozitiven iz vidika, da neko podjetje sprejema ukrepe, ki raznim tajnim agencijam po celotnem svetu preprečujejo prikrito prestrezanje komunikacij. Nekaj, kar je zagotovo vredno pohvale in posnemanja.

Je pa res, da to ni razlog, da bi začel uporabljati njihovo storitev, ki zaradi tega ni nič boljša ali bolj varna pred ukrepi "domicilnih" držav.

ulemek je izjavil:

Nikdar in nikjer pa nisem naivno zapisal, kako je pri nas oh in sploh super, resnično verjamem, da skupaj s sosedi ližemo nekomu rit in se celo požvižgamo na lastno ustavo (ter veselo o državljanih RS poročamo Gospodarjem).

Nič hudega, ko zapišeš "Facebook", impliciraš, da je težava primarno pri tem podjetju in primarno v ZDA. Bodi toliko dosleden in povej, da je to globalen problem, ki ga je potrebno reševati tudi v Sloveniji.

ulemek ::

AndrejO, z vsem napisanim se skoraj do potankosti strinjam. Nisem v moralnem smislu kazal na FB.

Sem kazal na FB kot na okno tveganja, skozi katerega te lahko ustrelijo. In temu je tako. Zato sem s čisto stvarnimi in verjetnimi pomisleki pokazal na to, da je taka raba oz. bolje raba takih strani precej tvegana.

AndrejO ::

In s tem se strinjam tudi jaz osebno. Konkreten korak mi je zelo všeč, nikakor pa to ne odstrani ali spremeni vseh ostalih zadržkov pri uporabi tovrstnih storitev, ne glede na ponudnika ali državo.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Mesar ::

Bistvo je, da ima FB še vedno velik problem z fake acc-ji (tudi zato ker jih marsikdo abusa za brezplačno oglaševanje) in da z lastnim TOR nodom to lažje nadzirajo, hkrati pa uporabnikom TORa omogočijo dostop kar jim je v interesu glede na trende in glede na to da živijo z prihodki od oglaševanja.
Your turn to burn!

ulemek ::

Kaj lahko lažje nadzorujejo z lastno vstopno točko? Račune? Tega res nisem razumel.

Mesar ::

Uporabniške račune ja.
Your turn to burn!

ulemek ::

Mesar je izjavil:

Uporabniške račune ja.

What the blip do you know? Kako?

MrStein ::

Nikakor. Edino kar zdaj vedo, je da je dostop 100% preko TOR, prej pa so morali source IP iskati v (ne nujno ažurni) tabeli tor exit node naslovov, da bi vedeli.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mesar ::

> Edino kar zdaj vedo, je da je dostop 100% preko TOR

Sej je to dovolj. Pa za te uporabnike uvedejo "spamerske" limite in so jim že fejst pristrigli peruti...

Govorimo seveda iz vidika spamerja, za navadnega uporabnika to pomeni mogoče kakšno obvestilo, če koga zanese pri dodajanju prijateljev ali pošiljanju/postanju vsebin.
Your turn to burn!

Zgodovina sprememb…

  • spremenil: Mesar ()

MrStein ::

Če je še kdo dvignil obrv ob TOR naslovu facebookcorewwwi.onion , je tu "razlaga": https://lists.torproject.org/pipermail/...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Delite informacije s Slo-Techom varno in anonimno: Kako uporabljati Tor in SecureDrop (strani: 1 2 )

Oddelek: Novice / Obvestila
6230601 (26159) matijadmin
»

Turčija blokira Tor (strani: 1 2 )

Oddelek: Novice / NWO
6421162 (17834) matijadmin
»

Facebook prek domene .onion omogočil prijavo iz Tora, kot prvi dobil SSL-certifikat

Oddelek: Novice / Varnost
239390 (5792) MrStein
»

Anonimnost na Svetovnem Spletu

Oddelek: Omrežja in internet
73224 (2837) primus1024
»

Iran blokiral TOR, popravek na voljo še isti dan

Oddelek: Novice / Varnost
85186 (3590) poweroff

Več podobnih tem