Taggad: tor

Tor Instant Messaging Bundle

Tor Instant Messaging Bundle (TIMB)

Tor-projektet har börjat arbetet med att ta fram en egen säker meddelande-funktion (instant messaging). Projektet går under namnet TIMB eller Tor Instant Messaging Bundle.

Projektet började med en genomgång av olika meddelande-klienter för att välja den som är lättast att anpassa gällande säkerhet, kryptering och hackbarhet (modifiering).

Valet föll på Instantbird och även om Instantbird ej stödjer OTR (Off-the-Record) så kommer det att läggas till.

Instantbird fungerar på flertalet plattformar såsom Linux, Windows och Mac OS X och är baserat på Mozillas XULRunner.

Protokoll som kommer att stödjas är troligtvis IRC samt XMPP från början, detta pga att Tor ej vill använda sig av libpurple som annars stödjer en större mängd chatt-protokoll.

Utvecklingen av TIMB kan du följa här:

Tor inför ScrambleSuit

ScrambleSuit är resultatet av forskning från Karlstad Universitet där målet var att hitta något sätt att gömma trafik över nätverket från anonymiseringsnätverket Tor. Men även att förhindra aktiva förfrågningar såsom exempelvis Kinas stora brandvägg använder sig av för att hitta Tor-noder.

ScrambleSuit

Med den nya versionen av obfsproxy så är ScrambleSuit integrerad:

obfsproxy 0.2.6 was released last week and adds ScrambleSuit to the set of available pluggable transports. Bridge operators are now called to update their software and configuration. At least Tor 0.2.5.1-alpha is required. The latest version of obfsproxy can be installed from sourcepip and Debian unstable.

There must be a critical mass of bridges before ScrambleSuit is made available to the Tor users who need it, so please help!

Så förutom bättre skydd mot detektion av Tor-trafik med hjälp av DPI (Deep Packet Inspection) så måste även ett lösenord användas för att ansluta till ingångsnoder. Detta för att försvåra för aktiva förfrågningar där syftet är att upptäcka ingångsnoder.

Forskarna har även tänkt på möjligheten att berätta lösenordet till en ingångsnod över telefon så har därför valt A-Z samt 0-9 enbart versaler.

ServerTransportOptions scramblesuit password=LLDNOWV7I4P6RKFJMDEMIY2GNU2IQISA

Här kan du läsa mer om ScrambleSuit:

Ny version av Tor Browser

Tor browserny version av Tor Browser har släppts och det är inte så jättemycket nytt utan mestadels nya versioner av tillhörande mjukvara samt buggfixar.

All Platforms

Bug 10447: Remove SocksListenAddress to allow multiple socks ports. Bug 10464: Remove addons.mozilla.org from NoScript whitelist
Update Torbutton to 1.6.5.5
Bug 9486: Clear NoScript Temporary Permissions on New Identity
Bug 10403: Include Arabic translations
Update Tor Launcher to 0.2.4.3
Bug 10403: Include Arabic translations
Update Tor to 0.2.4.20
Update OpenSSL to 1.0.1f
Update NoScript to 2.6.8.12
Update HTTPS-Everywhere to 3.4.5

Windows

Bug 9259: Enable Accessibility (screen reader) support

Mac

misc: Update bundle version field in Info.plist (for MacUpdates service)

Ladda hem den nya versionen här:

https://blog.torproject.org/blog/tor-browser-351-released

Ny attack mot Tor

Forskare vid amerikanska militären har släppt en ny forskningsuppsats där bl.a. följande framgår:

Our analysis shows that 80% of all types of users may be de-anonymized by a relatively moderate Tor-relay adversary within six months. Our results also show that against a single AS adversary roughly 100% of users in some common locations are de-anonymized within three months (95% in three months for a single IXP)

Läs rapporten i sin helhet nedan (PDF1,9 MB):

Tor users get routed

Användningen av Tor har fördubblats

Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:

Tor användare

 

Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:

  • The Pirate Bays webbläsare Pirate Browser som använder Tor
  • Människor är rädda för underrättelsetjänster såsom NSA i samband med läckor från Snowden
  • Google Play öppnade nyligen för användare från Syrien. Dessa kan då använda Tor-klienter i Android-telefoner
  • En av de länder som ökat mest är Vietnam (se statistik här)
  • Skadlig kod (botnet) som nyttjar Tor

Så verifierar du din Tor-nedladdning

Tor onionSom Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.

Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.

Ladda hem GPG

Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:

Ladda hem signaturfil

För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.

Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:

Tor signatur

Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (Darwin)

iQEcBAABAgAGBQJSCd8wAAoJEEFvBhBj/uZZHQ0IAOkqrN0pHh7J4RAcKJ/541Xv
egmffh1tYkookNhMxyd9jGlJ1K1nnVMt33zFxq1wgOfIQ7qqZtJVzXHH4OpK3FXm
XCG+OvB5IJvxEs+dB901YsEA/eIGoL/SskVWAIF9V9Zj4b+DfP5XHQnbSU20SoTy
Qit4T6KzWYubds1eQspJuTaa5yQjFCe97YH7Ov9gerSYlW/qMM87R+8ubF4Q82YI
mocm88znrScemV+i7SnLh3irhM9kLoaxxtuu8tem5Eg4bKOIS+BEUKQxq4ljgo6y
VUYvbsNdzTwGTBj8CVgUYzAMGLJ65Lx6Fy5zQn0amkM3qv+FFo/SWnu6AXzYHko=
=KA9u
-----END PGP SIGNATURE-----

Verifiera nedladdningen

Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Då bör du erhålla följande meddelande tillbaka:

gpg: begõr nyckeln 63FEE659 frÕn hkp-servern pool.sks-keyservers.net
gpg: nyckel 63FEE659: publika nyckeln "Erinn Clark <erinn@torproject.org>" impor
terades
gpg: hittade inga nycklar med f÷rbehÕllsl÷st f÷rtroende
gpg: Totalt antal behandlade enheter: 1
gpg: importerade: 1 (RSA: 1)

Nästa steg är verifieringen och här har vi signaturfilen och nedladdningsfilen i samma katalog:

gpg --verify tor-browser-2.3.25-12_en-US.exe.asc tor-browser-2.3.25-12_e
n-US.exe

Och vi får då följande meddelande tillbaka:

gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id
63FEE659
gpg: Korrekt signatur frÕn "Erinn Clark <erinn@torproject.org>"
gpg: õven kõnd som "Erinn Clark <erinn@debian.org>"
gpg: õven kõnd som "Erinn Clark <erinn@double-helix.org>"
gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur!
gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren.
Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6
59

Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”

Läs vidare på Tor-hemsidan här:

Gratis VPN (med hjälp av Tor)

gratis VPN med TorEn av de populärare sökningarna till denna sida är hur man hittar och använder gratis VPN. Det finns så klart flertalet alternativ och den gyllene regeln när det gäller gratis VPN är att du får vad du betalar för: Är det gratis så får du en tjänst därefter.

Det bästa alternativet när det gäller ett kostnadsfritt VPN är så klart Tor (The Onion Router). Projektet skapades med hjälp av medel från amerikanska militärens US Naval Research Laboratory. Att det just är en lök i logotypen samt att lök ingår i namnet för Tor är för att krypteringen sker enligt en lökprincip: kryptering/säkerhet i flera lager.

Sedan 2004 så ligger projektet under EFF och svenska biståndsmyndigheten Sida har medverkat med stora medel.

Så kommer du igång med gratis VPN och Tor

Att börja använda Tor är mycket enkelt i dess enklaste utformning som enbart är en webbläsare.

Första steget är att ladda hem och installera Tor och dess inyggda webbläsare från följande länk:

Innan du klickar på filen du har laddat hem så bör du verifiera att din nedladdning av Tor är korrekt. Detta genomförs lättast med GPG och vi har skrivit en guide till detta som du hittar här.

Efter du varifierat din nedladdning är det bara att klicka på filen du har laddat hem, om du har Windows så får du först en varningsruta enligt följande där du bara klickar på Kör:

Installera Tor

Sen får du välja vart Tor ska installeras. För enkelhetens skull så kan man installera Tor direkt under en katalog på skrivbordet men vi väljer c:\test\tor

Tor installation katalog

Sedan är installationen klar. Som du märker så installeras Tor inte som ett vanligt program utan ligger enbart i en katalog och en avinstallation kan då ske genom att katalogen raderas.

För att sedan starta Tor så går du till mappen där du installerat programmvaran och klickar på ”Start Tor Browser”:

Starta Tor

Sedan väntar du ett tag så startas Tor och statusen uppdateras löpande med vad som händer med etableringen av din krypterade anslutning:

Tor igång

Och sedan startas webbläsaren och bekräftar att du är ansluten anonymt samt vad din anonyma IP-adress är:

Ansluten till Tor

Obs: Läs detta innan du använder Tor

Innan du använder Tor så bör du även läsa igenom de varningar som är utfärdade om vad du inte bör göra under tiden då du är ansluten till Tor:

Besök även vår sponsor som säljer SSL-certifikathttps.se

Stockholm CryptoParty

CryptoPartySparvnästet hackerspace anordnar tillsammans med DFRI ”Föreningen för digitala fri- och rättigheter” ett CryptoParty i Stockholm.

Dagen  den 16:de Februari 2013 kommer att bli fullsmockad med intressanta föreläsningar och workshops och redan nu är ett antal fastställda:

  • Digitalt Källskydd
  • Finta Filtret
  • Kom igång med Tor

När det gäller Tor-föreläsningen kommer Linus att hålla en grundkurs om Tor; en teknik för att vara anonym på nätet:

Vi börjar från början. Inga förkunskaper krävs. Workshopen inleds med en kort presentation av Tor; hur tekniken fungerar, vad olika termer betyder och vad man måste göra för att själv kunna använda Tor. Efter det testar vi att installera Tor Browser Bundle, det enklaste sättet att komma igång. Ta med din egen dator! Slutligen diskuterar vi några av de risker som finns med att använda Tor.

För mer information se CryptoParty.org. Observera att lokal ej är fastställd ännu.

Anonymt operativsystem ute i ny version: Tails 0.14

Tails, The Amnesic Incognito Live System är nu ute i en ny version, nämligen 0.14. Tails baseras på Linux och innehåller en mängd funktioner och förbättringar för anonymitet.

Tails innehåller även anonymiseringsmjukvaran Tor förinstallerat. Tails bränns ut till CD-skiva som används för att starta upp datorn med.

Större genomförda förändringar:

  • Tor
  • Iceweasel webbläsaren
    • Uppgraderat iceweasel till 10.0.10esr-1+tails1, med anonymity enhancing patches from the TorBrowser applied
    • Fix Iceweasel’s file associations. No more should you be suggested to open a PDF in the GIMP
  • Hardware support
    • Upgrade Linux to 3.2.32
    • Support more than 4GB of RAM
    • Support more than one CPU core
  • Miscellaneous
    • Mostly fix memory wiping at shutdown
    • gpgApplet can now handle public-key cryptography
    • Add a persistence preset for NetworkManager connections
    • Better support setting up persistence on large USB sticks
    • Make boot faster by fixing a read-ahead bug
    • Make shutdown faster by disabling useless scripts

För hela changelog se här: http://git.immerda.ch/?p=amnesia.git;a=blob_plain;f=debian/changelog;hb=refs/tags/0.14