Lördag den 16:de Februari så går Stockholm Cryptoparty av stapeln. Vi har även skrivit om detta förut. Kolla in Wikin för uppdaterad information:
Nu finns en fin poster som du kan skriva ut och hänga upp på din arbetsplats, stan eller skola:
Sparvnästet hackerspace anordnar tillsammans med DFRI ”Föreningen för digitala fri- och rättigheter” ett CryptoParty i Stockholm.
Dagen den 16:de Februari 2013 kommer att bli fullsmockad med intressanta föreläsningar och workshops och redan nu är ett antal fastställda:
När det gäller Tor-föreläsningen kommer Linus att hålla en grundkurs om Tor; en teknik för att vara anonym på nätet:
Vi börjar från början. Inga förkunskaper krävs. Workshopen inleds med en kort presentation av Tor; hur tekniken fungerar, vad olika termer betyder och vad man måste göra för att själv kunna använda Tor. Efter det testar vi att installera Tor Browser Bundle, det enklaste sättet att komma igång. Ta med din egen dator! Slutligen diskuterar vi några av de risker som finns med att använda Tor.
För mer information se CryptoParty.org. Observera att lokal ej är fastställd ännu.
Tails, The Amnesic Incognito Live System är nu ute i en ny version, nämligen 0.14. Tails baseras på Linux och innehåller en mängd funktioner och förbättringar för anonymitet.
Tails innehåller även anonymiseringsmjukvaran Tor förinstallerat. Tails bränns ut till CD-skiva som används för att starta upp datorn med.
Större genomförda förändringar:
För hela changelog se här: http://git.immerda.ch/?p=amnesia.git;a=blob_plain;f=debian/changelog;hb=refs/tags/0.14
Gabriella Lahti på Radio1 intervjuar den svenska utvecklaren Linus Nordberg om Tor, the onion routing network.
Tor själva beskriver Linus på följande sätt:
Linus Nordberg, Advocate, Developer
Swedish advocate for Tor, anonymous communications research, and employee at NORDUnet. Works on implementing IPv6 in Tor.
Här nedan kan du lyssna på avsnittet. Även så medverkar Dan Egerstad i slutet av sändningen.
För att använda ett gratis VPN så rekommenderar vi Tor. Med hjälp av Tor så kan du surfa anonymt och gratis, det enda som krävs är att du laddar hem och installerar dess klient. En nackdel dock kan vara att det går trögt att surfa då bandbredden kan vara begränsad på många exitnoder.
Sedan klickar du bara och extraherar samt startar klienten via Play-knappen så startas automatiskt webbläsaren Firefox och visar ett meddelande att du är ansluten till Tor-nätverket.
Så lätt är det att komma igång och använda Tor som ett gratis VPN.
Här kan du ladda hem Tor-klienten och dess tillbehör:
Uppdatering för att förtydliga: Tor krypterar ej mellan slutpunkter om du använder dess publika noder och går ut mot Internet. Du kan läsa mer här på engelska.
Diktaturen Iran ökar filtreringen av Internettrafik där man bl.a. försöker förhindra användningen av anonymiseringsnätverket Tor. Tor är dock snabba och släpper en ny mjukvara vid namn Obfsproxy som döljer Tor-trafik som vanligt Internetsurf.
Den nya obfuskeringsmjukvaran kan hjälpa mellan 50 och 60 000 användaren i Iran att nå ut. Mellan Feb. 8 och Feb. 9, antalet anslutningar till Tor gick från över 50 000 ner till 20 000 och sedan ner till nästan noll anslutningar på Fredag, Feb. 10.
I dagsläget finns det redan runt 300 stycken installationer av Obfsproxy som hjälper användare i Iran.
Följande graf visar antalet Tor-anslutningar från Iran per dag:
För mer information se obfsproxy-sidan på Torproject.org eller detta blogginlägg.
En annan mjukvara som också används flitigt i Iran för att kringgå diktaturens filtrering är Hotspot Shield.
Just nu så pågår hackerkonferensen 28c3 i Berlin och föreläsningar finns bl.a. på konferensens YouTube-kanal.
Här kan du se en video om anonymiseringsnätverket Tor:
Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:
McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.
Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.
Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.
Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.
Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.
Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.
IT-säkerhetsforskarna Thai Duong och Juliano Rizzo hittade ett nytt sätt att använda en gammal sårbarhet i TLS <= 1.0 där CBC används som går ut på att injicera känd klartext i en krypterad SSL 1.0-session vilket gör att det går att knäcka anslutningen på ca 10 minuter.
Detta påverkar ej anonymiseringsnätverket Tor. Samt så påverkar detta ej TLS version 1.1 men dock används denna version ej i stor utsträckning.
Värt att notera är även att Googles servrar ej påverkas av detta då de använder RC4 och inte CBC-läge i sin SSL/TLS.
Läs mer hos ISC/SANS, Slashdot, The Register, Threatpost.
Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.
Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare som gör det möjligt att tvinga fram https.
HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.
Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere
Regeringen har sedan tidigare beslutat att avsätta 150 miljoner kronor till projekt som stödjer demokratisering och yttrandefrihet på Internet.
Ett av dessa projekt som får pengar genom UD och Sida är krypterings och anonymiseringsnätverket Tor (Tails). Förutom Tor så får även The Tactical Technology Collective, Freedom House, Civil Rights Defenders och Meedan dela på de 30 miljoner som nu Sida betalar ut.
– Censur och online-kontroll tenderar att öka. Det svenska biståndet ska bidra till att internet fungerar som ett verktyg för transparens, ansvarsutkrävande och positiv förändring för människor som lever i fattigdom och förtryck, säger Charlotte Petri Gornitzka.
Det är i dagsläget oklart hur mycket pengar som går till Tor av dessa 30 miljoner. Carl Bildt om yttrandefrihet och demokrati på Internet:
Läs även:
Anonymiseringsnätverket TOR håller en Hackfest då frivilliga träffas och hjälper till att utveckla mjukvaran. Det är fritt för vem som helst att närvara. Eventuellt så bjuds det på dricka och pizza.
May 14 2011 – 10:00am
May 14 2011 – 6:00pm
För lokaler står .SE som återfinnes på Ringvägen 100 i Stockholm. Läs mer:
Det rapporteras att användningen av anonymiseringstjänster och mjukvaror såsom Tor ökar i Egypten. Sverige är med på ett hörn eftersom Sida stödjer Tor.
Följande statistik visar direktanslutna Tor-användare till nätverket:
Mer statistik finnes på Tor-bloggen.
En säkerhetsbrist har tvingat anonymiseringsmjukvaran Tor att släppa en uppgradering. Den nya versionen heter 0.2.1.29 och täpper igen en heap-overflow samt åtgärdar en bugg som gör att vital information ej överskrivs i minnet. Den nya versionen åtgärdar även en sårbarhet som uppdagats i Zlib-biblioteket som kan användas för att utföra en blockeringsattack (DoS). Changelog här.
Om du vill se det vi skrivit om Tor tidigare kan du göra det här.
Vi kan även rapportera att Tor används flitigt i Tunisien:
En ny bugg har uppdagats i hur webbläsaren Chrome och Safari hanterar FTP-proxy. Genom en speciell URL så är det möjligt att ta reda på det riktiga IP-nummer som gömmer sig på andra sidan av en Tor-anslutning.
Läs mer: Chrome and Safari leak IP address
Att surfa anonymt är något som många vill i dagsläget och här kommer en liten guide på hur du kan surfa anonymt helt gratis.
En av de vanligaste alternativen heter Tor och är så kallad ”onion routing” vilket betyder att din surfning skickas mellan ett antal olika datorer runt hela världen helt krypterad. Det enda stället där din surf-trafik går i klartext är när surf-trafiken kommer ut ur en så kallad exit-nod.
Här kan du ladda hem Tor för Windows med tillhörande installationsfiler samt ett grafiskt gränssnitt för att styra Tor-mjukvaran vid namn Vidalia:
torproject.org/dist/vidalia-bundles/vidalia-bundle-0.2.1.26-0.2.10.exe
Vi rekommenderar även läsning av Tor-FAQ:n där exempelvis följande framgår:
Doesn’t the first server see who I am?
Possibly. A bad first of three servers can see encrypted Tor traffic coming from your computer. It still doesn’t know who you are and what you are doing over Tor. It merely sees ”This IP address is using Tor”. Tor is not illegal anywhere in the world, so using Tor by itself is fine. You are still protected from this node figuring out who you are and where you are going on the Internet.
Telecomix erbjuder en tvådagars gratis kurs i darknets, onion routing, kryptografi, anonymitet och mer. Eventet kostar enbart pengar för företag. Eventet kommer att gå av stapeln på IT-universitetet i Göteborg.
Uppdatering: Det gäller den 17e juni och det är föredrag den 16 juni.
Troligtvis är det denna agenda som gäller:
Vi har många gånger tidigare skrivit hur du kan surfa anonymt på Internet men värt att poängtera är att enligt åtskilliga undersökningar så använder många dessa anonyma tjänster till att exempelvis utföra bankärenden på Internet och dylikt där den enskilde avslöjar sina uppgifter och således inte är anonym längre.
Det har även förekommit man-in-the-middle attacker på krypterad https-surf över nätverket Tor samt så har åtskilliga metoder presenterats för att avanonymisera de som surfar anonymt på Internet.
Referenser:
Som svampar i skogen har ett antal svenska anonymiseringstjänster börjat att ploppa upp, och några av de frågeställningar som alla ställer sig är:
Och garanterat svar på dessa frågor är svåra att ge, låt oss analysera frågeställningarna noggrannare. Att lita på dessa tjänster kan enbart bevisas tills det att motsatsen är bevisad, dvs att information läcker eller kommer fram som inte bör komma fram.
När det gäller punkt två så är det lite lättare, här visar nämligen undersökningar att i snitt så förloras 90% av hastigheten då en anonymiseringstjänst används vilket är mycket otrevligt för en fildelare.
Här är några av de svenska anonymiseringstjänsterna:
Och några av de utländska aktörerna:
HD Moore som är grundare av MetaSploit har lagt tid på att undersöka huruvida det är möjligt att få reda på det riktiga IP-nummret hos slutanvändare som använder sig av Tor. Resultatet är att det är möjligt om användaren inte använder sig av Tor+Torbutton+Privoxy.
Du kan testa själv om din Tor-konfiguration är säker genom att gå in på följande sajt:
http://metasploit.com/data/decloak/
”Decloak is unique in that it can obtain the DNS server addresses used by a web browser by combining the results of multiple application protocols into a single test”