zskk
g/Security

@akerro: http://niebezpiecznik.pl/post/deanonimizacja-tora-przez-cisco-netflow-z-80-skutecznoscia/
ty dalej bedziesz smudzil o tym ze tor nie zostal skompromitowany?

#
szarak

@zskk: doczytaj temat na z3s, ładnie opisali ten atak i ... Nie jest to wcale takie oczywiste

#
szarak

@zskk: http://zaufanatrzeciastrona.pl/post/ataki-korelacyjne-na-uzytkownikow-sieci-tor-i-ich-rzeczywista-skutecznosc/
(Super, w mobilnym widoku nie mam przycisku edytuj.)

#
borysses

@zskk: https://blog.torproject.org/blog/traffic-correlation-using-netflows

Maja racje z tym, ze ataki korelacyjne nie są nowe (pamietam pierwszy art na ten temat gdzieś z okolic 2008) i ze zwykle są mało dokładne. Jednak wydaje mi się, ze samo to, ze jest tyle false positiwow nie jest powodem do radości. Z każdą kontrolowaną parą węzłów wzrasta dokładność ataku. Do tego dochodzi pytanie ile zdradzi user agent. No i wiele zalezy od OS-u. Na windzie system ma unikalne ID, co chwila laczy sie z serverami MS a dodatkowo Skype, One Drive i Office robią to samo... ISP tez wiedza kto i gdzie wchodzi w cebulkę...

TOR już od dawna nie jest wystarczającym narzędziem do ukrywania tożsamości i zdecydowanie nie polegałbym na nim gdybym robił coś nielegalnego.

#
gethiox

@zskk: nie wiem czy żarobliwie i na złość piesełowi dać UV, czy być poważnym i zaoferować DV. Chyba wstrzymam się od głosu.

Pokaż ukrytą treść usuń konto
#
zskk

@szarak: @borysses: @gethiox: w momencie, w którym sieć da się skompromitować chociazby w 5% to jest juz o 5% za dużo. Tutaj mówimy o innym nawet rzędzie wielkości, co skutcznie wykreśla tą technologię z kategorii bezpieczenstwo.

#
akerro

@szarak: @borysses: @gethiox: @zskk: tak ;) ten atak był znany osobom siedzącym w Torze od dawna, był nawet opublikowany i ładnie opisany na jakimś onionwym forum które przeglądałem 3 lata temu, mogę Ci podać inne metody pozwalające zidentyfikować ukryty serwer albo użytkownika o których xr ani z3s jeszcze nie napisali ;) Jakby ktoś chciał użyć timig attack na prawdziwym środowisku... a w laboratoryjnym false positive wynosiło 6% to kicha, chyba wiesz, że 6% to niesamowicie duża liczba jak na false posivite? Jeśli ma taki próg w środowisku laboratoryjnym w idealnych warunkach i przygotowanym systemie gdzie atakujący oczekuje danego ruchu... to w realnym środowisku atak nie ma sensu. Podrzucę inny przykład czym jest false positive w ComputerScience, jeśli masz algorytm wykrywania (nie rozpoznawania) twarzy, i algorytm na data-set dostarczonych przez naukowców ma false posivite 1 na 1 000 000, to algorytm jest totalnie chujowy i możesz swoją pracę naukową już wyrzucić, bo nikt poważny tego nie użyje. W CS (przynajmniej wg. źródeł które czytałem) false positive na poziomie 1 na 1 000 000 000 jest godny zaakceptowania, w środowisku laboratoryjnym, wiadomo, poza nim może wynosić kilka razy więcej np. 4 na 1 000 000 000.
https://blog.torproject.org/blog/traffic-correlation-using-netflows

Tor is kill, bo kaczkie cytuje niebezpiecznika.
Chcesz skrypt w pythonie, który po zostawieniu na kilka godzin zwróci listę KILKU publicznych adresów IP, wskazujących gdzie może być atakowany ukryty serwis? Gdzieś mam na dysku. W 2010 na podany adres onion zwracał mi 3 adresy IP, co jest już znacznie większą dokładnością identyfikacji niż w tym raporcie ;)

Atak nie jest nowy, był znany od dawna, ale nikomu do tej pory nie chciało się robić PoC, teraz nikt poza mediami się tym atakiem nie przejmuje za bardzo. Jak chcesz być bezpieczny przed timing atack to używaj FreeNetu ;) jak po 20minutach załaduje się strona htmla to nie jesteś podatny ;D

A i jeszcze jedno, atak jest skierowany dla osób, które używają Tora do komunikacji z clearnetem. onion<->onion już nie pójdzie, onion<-> i2p też nie.

#
borysses

@akerro: Środowisko idealne i warunki laboratoryjne to jedno, ale taki wujaszek Józef, to miałby w dupie, że w celu pozbycia się jednego dysydenta jako koszt poszłoby od rykoszetu kilkadziesiąt innych, niekoniecznie winnych obywateli ;)

W zeszłym roku opisano dwa ataki deanonimizujące wykorzystujące topology leaks. Oczywiście znowu problem dotyczy zetknięcia cleer i dark webu, ale widać, że udaje się uzyskiwać zadowalającą z punktu widzenia aparatu śledczego (bo naukowo wciąż słabą) dokładność.

btw: ExperimenTor
: A Testbed for Safe and Realistic Tor Experimentation

#
akerro

@zskk: @borysses: Autor papieru naukowego;

I am here to myself clarify all misconceptions. Firslty, they have blow it a bit out of proportion by saying that "81% of Tor traffic", which is not true. It was only 81.4% of our experiments, and we have spoken about this upfront in our paper. Secondly, its only a case of experimental validation and the challenges involved in it that is the highlight of the paper. In my thesis I have also tried to address how to solve this particular attack, which might work for other attacks as well...

Thanks for the note. Indeed it is unfortunate when some journalist grabs at a new paper, misinterprets it, and uses it to produce more ad revenue or whatever it is journalists prioritize these days.

Is Tor kill?

#
zskk

@akerro: stary, jesli dopuszczasz nawet mozliwosc ze ktos w 0.1% przypadku dobrze wytypuje zrodlowe ip, to znaczy ze tor nie moze byc uznany za bezpieczny. kropka. nie obchodzą mnie false positive.

#
akerro

@zskk: wiesz w jaki sposób działają ukryte serwisy? Wiesz, że anonimowość ruchu to był cel dla którego tworzono sieć Tor? Jeśli myślisz że to były założenia TOR to mylisz go z FreeNetem.

#
borysses

@akerro: Nie jest kill, ale nie jest też uniwersalną czapką niewidką w internetach :) Zwłaszcza jak się nie wie jak z niego korzystać.

#