Pytanie:
Jak bardzo mogę ufać Torowi?
Freedom
2010-12-09 18:35:02 UTC
view on stackexchange narkive permalink

Jak bardzo mogę polegać na Tor, jeśli chodzi o anonimowość? Czy jest to całkowicie bezpieczne? Moje użytkowanie ogranicza się do dostępu do Twittera i Wordpressa.

Jestem działaczem politycznym z Indii i nie cieszę się wolnością prasy, tak jak w krajach zachodnich. W przypadku ujawnienia mojej tożsamości, wynik może być fatalny.

Niezupełnie jest to odpowiedź, ale pamiętaj, że Tor zapewnia tylko * anonimowość *, podczas gdy wszelkie wysyłane informacje (w tym twoje hasło) będą swobodnie ujawniane.
Tylko (oczywisty) komentarz: bądź bardzo czujny przy używaniu SSL (HTTPS) przez Tor. Twitter fx ma opcjonalne ustawienie konta, aby zawsze używać SSL, którego powinieneś używać. Weź również pod uwagę wtyczki przeglądarki, takie jak „HTTPS Everywhere” EFF, i ręcznie wprowadź adresy URL na pasku adresu z prefiksem HTTPS: //.
Zajrzyj do tego artykułu: https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext
Myślę, że jeśli masz włączony javascript w Tor, może użyć kodu do ujawnienia twojego adresu IP.
czy to prawda?
https://www.eff.org/pages/tor-and-https
Sugerowałbym również używanie Tora przez VPN, aby Twój dostawca usług internetowych, który może być kontrolowany przez stan, nie widział, że go używasz.
http://www.counterpunch.org/2014/07/18/the-nsa-wants-you-to-trust-tor-should-you/
Ufałbym mu tak samo, jak każdemu innemu programowi sponsorowanemu przez rząd i zainicjowanym przez rząd.
@TecBrat Mówiąc bardzo uprzejmie, artykuł będący odpowiednikiem jest śmieciem, podobnie jak prawie wszystkie ich artykuły o technologii (zwłaszcza nuklearnej, pestycydach itp.).
@curiousguy Z biegiem lat zacząłem uważać na moje źródła wiadomości.Nie mam powodu, aby bronić kontrpunktu, a wątpliwości powinny być stanem domyślnym wszystkich „Wiadomości”, które czytamy.
Możesz powiedzieć komuś, aby używał systemu Windows bez oprogramowania antywirusowego / zabezpieczeń internetowych, a jednocześnie powiesz mu, aby używał TOR do ochrony swojej tożsamości.co jeśli masz oprogramowanie szpiegowskie?Również korzystanie z aplikacji, takich jak aplikacje torrent, z pewnością ujawni Twój adres IP, niezależnie od tego, czy używasz Tora, czy nie.
@FiascoLabs Nie jest bardziej sponsorowana i inicjowana przez rząd niż mysz komputerowa firmy Logitech, która pochodzi z DARPA.Marynarka wojenna wymyśliła koncepcję _onion routingu_, jednak żaden pracownik marynarki nie pracuje nad Torem, a kod źródłowy jest całkowicie pod kontrolą projektu Tor.
Pięć odpowiedzi:
user502
2010-12-09 19:23:24 UTC
view on stackexchange narkive permalink

Tor jest lepszy dla Ciebie niż dla ludzi w krajach, których służby wywiadowcze obsługują wiele węzłów wyjściowych Tora i węszą ruch. Jednak wszystko, co powinieneś założyć podczas korzystania z Tora, to to, że jeśli ktoś nie przeprowadza ciężkiej analizy statystycznej ruchu, nie może bezpośrednio skorelować twojego adresu IP z zasobami żądającymi adresu IP na serwerze.

To pozostawia wiele, wiele metody narażania Twojej tożsamości są wciąż otwarte. Na przykład, jeśli sprawdzisz swój normalny adres e-mail podczas korzystania z Tora, złoczyńcy mogą wiedzieć, że ten adres jest skorelowany z inną aktywnością Tora. Jeśli, jak powiedział @Geek, Twój komputer jest zainfekowany złośliwym oprogramowaniem, może ono ujawnić Twoją tożsamość poza tunelem Tor. Jeśli nawet trafisz na stronę internetową z błędem XSS lub CSRF, dane uwierzytelniające innych usług internetowych, do których jesteś zalogowany, mogą zostać skradzione.

Podsumowując, Tor jest lepszy niż nic; ale jeśli twoje życie jest zagrożone, użyj dobrze zabezpieczonego komputera, aby uzyskać dostęp do Twittera i WordPressa za jego pomocą i nie używaj tego komputera do niczego innego.

Dziękuję Ci. Ze swojej strony używam Linuksa, chociaż nie jestem w tym dobry.
Co właściwie oznacza „rozgłaszaj swoją tożsamość poza tunelem TOR”?
@Pacerier „Cześć, jestem , mieszkam w
.”
@Pacerier Na przykład trojan zdalnego dostępu w systemie byłby zarówno świadomy działania Tora, jak i prawdopodobnie miałby bezpośrednią trasę do Internetu. Mógłby ujawnić wszystkie te informacje w ruchu na serwerze C&C. Generalnie nie są one kontrolowane przez państwo, ale dzięki wydaniom Snowdena jest to wystarczająco wykonalne, nie powinieneś stawiać na to swojego życia.
A co z OGONAMI?
Tor jest zwykłą anonimowością, jeśli jest używany bez dodatkowych środków zapobiegających wyciekowi danych do Internetu.Nawet jeśli korzystasz z pakietu przeglądarki Tor, będziesz narażony na wiele „szumów”.Zwłaszcza jeśli jest używany w komercyjnych systemach operacyjnych, które opierają się na usługach w chmurze, przesyłają dane telemetryczne i często synchronizują dane. Tails to bardzo wygodny sposób na utrudnienie niektórym stronom identyfikacji Ciebie.Ale najprawdopodobniej nie pomoże to przeciwko rządowi.ataki.Jeśli chcesz pracować anonimowo, wszystko, co może komunikować się ze światem zewnętrznym, musi być wyłączone, a fizyczny dostęp do komputera musi być ograniczony.
Jeśli chcesz pójść o krok dalej, weź pod uwagę, że korzystanie z takich narzędzi może wzbudzić podejrzenia.I nie należy tego lekceważyć.W przypadku korzystania z własnego usługodawcy internetowego może on i może wykryć, że używasz TOR.Oprócz wszystkich innych decyzji, powinieneś mieć świadomość, że bezpieczeństwo nie jest wygodne i musisz zmienić sposób korzystania z technologii i usług.Statyczny adres e-mail?Zapomnij o tym!Masz przy sobie telefon i chcesz surfować po Internecie?Zapomnij o tym!Używać tego samego punktu dostępu do internetu więcej niż raz?Zapomnij o tym!Używasz „anonimowego” urządzenia do całodziennej pracy i gier?Zapomnij o tym!
Najlepsze, co możesz zrobić, to użyć czegoś takiego jak „Disconnect” Linux na komputerze z technicznie wyłączonymi portami (z wyjątkiem jednego USB do wymiany danych), technicznie wyłączoną łącznością sieciową (Bluetooth, Wi-Fi, GPS, 3G, LAN) i usuniętym dyskiem twardym.Powinieneś także być bardzo rygorystyczny, jeśli chodzi o fizyczny dostęp do tego komputera.Szczególnie nigdy nie używaj zagranicznych pendrive'ów, nie zostawiaj ich bez nadzoru lub pozwól innym bawić się nimi - nawet nie, jeśli są Twoimi przyjaciółmi.
Ale nawet jeśli chcesz wykonać następujące czynności: Pamiętaj, że strony internetowe pobierania mogą być sfałszowane i zagrożone.Gracze rządowi mogą fałszować certyfikaty i mogą grać w człowieka w środku podczas uzyskiwania dostępu i pobierania.W takim przypadku nawet weryfikacja podpisu / skrótu może się nie powieść.Dlatego powinieneś rozważyć weryfikację przy użyciu zaufanej sieci pgp, aby uzyskać większe bezpieczeństwo, ponieważ otrzymasz niezakłócony obraz ISO.
0xC0000022L
2013-09-13 22:35:22 UTC
view on stackexchange narkive permalink

Telefon 2013

Myślę, że to pytanie zasługuje na nową odpowiedź po tym, co wiemy teraz. Biorąc pod uwagę źródła finansowe projektu Tor i to, czego dowiedzieliśmy się o wstawianiu backdoorów przez NSA (np. patrz tutaj), rzuca cień na wiarygodność projektu.

Z raportu rocznego za zeszły rok (link powyżej):

excerpt from the fiscal report of the Tor project for 2012

Należy jednak pamiętać, że rząd USA twierdzi, że chce umożliwić wszystkim ludziom na całym świecie, aby komunikować się bez obciążeń lokalnej cenzury. Sam prawdopodobnie należysz do tej kategorii. Nie wyklucza to oczywiście podsłuchiwania ich, ale dałoby motywację do finansowania projektu inną niż potencjalne mroczniejsze zamiary, o których można by pomyśleć w świetle ostatnich przecieków dotyczących globalnego nadzoru.

Ponadto, ta ostatnia publikacja („Użytkownicy są przekierowywani: korelacja ruchu w Torze przez realistycznych adwersarzy”) o tym, jak identyfikowalni użytkownicy stawiają duży znak zapytania na użyteczność Tor wrt anonimowość. Najwyraźniej jest to twój duży problem.

Nie wiem, jakie środki dysponuje rząd Indii (zakładając, że jest to twój „przeciwnik”), ale z pewnością jest to czynnik, który należy wziąć pod uwagę.

Wszystko to powiedziawszy, myślę, że w połączeniu z innymi środkami, takimi jak re-mailery, szyfrowanie, VPN i tak dalej, prawdopodobnie można z powodzeniem omijać niektóre, być może nawet bardzo długo. Zatem Tor przyda się jako jeden wątek w sieci bezpieczeństwa . Pamiętaj jednak, że ten wątek może okazać się nieefektywny, więc nie pozwól, aby był to jedyny rodzaj nici w Twojej sieci bezpieczeństwa.

To naprawdę zła konspiracyjna odpowiedź, która w istocie odwołuje się do finansów i twierdzi, że wpływa na bezpieczeństwo narzędzia open source, zwłaszcza gdy wspomina się o niepowiązanym programie NSA.Następnie podajesz link do jednego (z wielu) artykułów naukowych, które działają tylko w środowisku laboratoryjnym, tj. Bez naturalnych drgań i opóźnień w świecie rzeczywistym.
@forest tak, podsłuchiwanie świata przez NSA było również tylko teorią spiskową, dopóki jeden z sygnalistów nie zdecydował się na gwizdek.I to pomimo istnienia poprzedników Snowdena dla różnych, powiedzmy, „kwestionowanych” działań podejmowanych przez trzyliterowe agencje.Napisałem, że rzuca cień na wiarygodność, ale nie może być żadnych innych motywów niż umożliwienie komunikacji dysydentom.Niech zgadnę, [Dual_EC_DRBG] (https://en.wikipedia.org/wiki/Dual_EC_DRBG) jest prawdopodobnie również zwykłą konspiracją.
To prawda, że ułożyłem to tak, jak sformułowałeś moją odpowiedź, to byłoby złe i konspiracyjne.Ale dałem perspektywę i trzymam się mojej odpowiedzi.Dopóki łączysz korzystanie z Tora z innymi środkami bezpieczeństwa, jest to cenne narzędzie.Gdyby pytanie dotyczyło SHA-1 zamiast Tora, czy wspomnienie o jednym artykule badawczym pokazującym, jak znacznie zmniejszyć ilość pracy potrzebnej do udanego ataku wstępnego obrazowania, uczyniłoby to mniej istotnym badaniem?Nie myśl tak.Bezpieczeństwo jest zawsze tak silne, jak jego najsłabsze ogniwo.Dlatego te rzeczy należy wziąć pod uwagę.
David Bullock
2011-02-01 19:03:21 UTC
view on stackexchange narkive permalink

Powinieneś także uważać na fakt, że twój dostawca usług internetowych może zobaczyć, że 'twój adres IP' używa Tora, nawet jeśli nie może powiedzieć, kim jesteś używając Tora do . Jeśli warunki są tak wrogie, że możesz zostać podejrzany po prostu za to, że wydajesz się być potajemny, powinieneś uważać, aby używać Tora wszędzie, z wyjątkiem połączenia internetowego, które może być silnie z tobą powiązane.

Możesz użyć zaciemnionego mostu, aby ukryć ten fakt przed dostawcą usług internetowych.Po to są.
Rory Alsop
2010-12-09 18:59:49 UTC
view on stackexchange narkive permalink

Zapewnia znacznie lepszą ochronę niż bezpośrednie przeglądanie. Istnieją pewne zidentyfikowane słabości, które oferują potencjalne ścieżki ataku na twój komputer, jednak można je złagodzić, używając normalnej ochrony na twoim komputerze (tj.aktualizacja łatki / av, uruchamianie jako użytkownik nieuprzywilejowany itp.), wygląda następująco:

  • Biorąc pod uwagę wystarczającą liczbę węzłów, organizacja może dokonać rozsądnych szacunków dotyczących tożsamości osoby, śledząc zachowanie na różnych stronach internetowych. Myślę, że rozsądne jest założenie, że trzyliterowe agencje w USA mają taką możliwość, ale nie chciałbym zgadywać o innych.

Podsumowując - nie masz ogromną liczbę opcji, więc TOR jest prawdopodobnie tym, co bym polecił, ale możesz zapewnić dodatkową ochronę, łącząc się z różnych lokalizacji i unikając dostępu do Twittera i WordPressa w tej samej sesji? (chyba że te dwa mają być połączone?)

Naprawdę nie sądzę, żeby aparat stanowy spędził tyle czasu na odkrywaniu mojej tożsamości, ale dziękuję za radę.
W takim przypadku Tor prawdopodobnie jest dla Ciebie odpowiedni :-)
Geek
2010-12-09 18:41:50 UTC
view on stackexchange narkive permalink

Nie możesz powiedzieć, że Tor może rozwiązać wszystkie twoje problemy. Istnieje wiele sposobów na ujawnienie swojej tożsamości, powiedzmy, że masz robaka w swoim systemie? Skoro zgadzasz się, że jesteś działaczem politycznym, byłoby tak wielu ludzi gotowych do wykorzystania twojego komputera.

Używam Linuksa, a laptop, którego używam do mojej pracy, jest całkowicie odizolowany.
Używanie Linuksa nie jest oczywiście rozwiązaniem problemu złośliwego oprogramowania w systemie. Oczywiście izolacja.
Bardzo interesujące. Który system operacyjny Suse, Redhat, Fedora, Ubuntu? Myślisz, że nie mają luk w zabezpieczeniach?
W żadnym wypadku nie jestem zaawansowany w bezpieczeństwie, ale chociaż może być lepszy od przeciętnego komputera z systemem Windows, „Linux” (który?) Oznacza, że ​​_nie_ oznacza „bezpieczny”. Istnieją systemy operacyjne, które bardziej starają się być „domyślnie bezpieczne”, np. http://www.openbsd.org/security.html


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 2.0, w ramach której jest rozpowszechniana.
Loading...