Taggat med: tor

Tor utsatt för storskaligt angrepp

Angrepp mot TorTor gick igår ut och varnade för ett angrepp som pågått mellan Januari 2014 och Juli 2014 som går ut på att trafik modifieras på så sätt att det är möjligt att identifiera klienter som ansluter till gömda tjänster (hidden services).

Denna typ av attack är känd sedan tidigare och går under benämningen traffic confirmation attacks. Även så appliceras en Sybil attack som går ut på att påverka Tor-nätverket i större skala och uppnå HSDir (hidden services directory) samt Guard (entry guard). 

För en entry-guard så är den riktiga IP-adressen känd och Tor-huvuden kan ändras på så sätt att dom senare går att identifiera och para ihop med en specifik circuit.

Det är i dagsläget oklart om det är forskare från Carnegie-Mellon Universitet som genomfört denna attack (skulle ha presenterats på Blackhat Las Vegas). Forskningen har även äventyrat säkerheten på Tor-nätverket eftersom namnet på den gömda tjänsten  skickades via TLS och kunde på så sätt läsas av Tor-relän.

Även är det oklart hur den information som har insamlats har använts. Totalt så har 115 stycken relän skapats av angriparen vilket motsvarar 6.4% av kapaciteten för Guards.

Tor har infört ett antal olika åtgärder i form av buggfixar i mjukvara men även så måste administrativa åtgärder införas såsom en större spridning på vilka relän som tillåts.

Uppdatering: Även så har en 0-dagarssårbarhet identifierats i I2P-delar av operativsystemet Tails som påverkar anonymiteten.

Delar av NSA:s övervakningskod läckt

Gårdagens stora nyhetshändelse i framförallt tyska medier var att programkod från XKEYSCORE läckt. Att XKEYSCORE är kodord för den del av NSA som sköter övervakning av datatrafik är något som har visat sig från tidigare läckor från Edward Snowden.

Att just NSA skulle inrikta sig mot att försöka avlyssna delar av Tor-nätverket är ingen direkt nyhet och om nu denna läcka är från NSA så kan vi bara anta att inriktningen mot Tor bara är en bråkdel av allt som finnes.

Programkoden som har läckt är regler för vad XKEYSCORE ska titta närmare på, bl.a. så tittar man på TLS-certifikatdelen x509 subject eller DNS-namn som tillhör bridges.torproject.org. Även så söker man efter LinuxJournal, MixMinion samt Tails.

Programspråket C++ finnes inbäddat samt så används Boost och mapreduce (troligtvis  Apache Accumulo).

Frågan är dock om detta verkligen kommer från NSA då det finns en del som talar emot detta, bl.a. kommentarer från utvecklare/analytiker om personliga åsikter samt så finns regler för ”five eyes” (FVEY) vilket också är publik information som läckt tidigare.

Sen är det även ett godtagbart mål då USA troligtvis aldrig kommer att bekräfta eller förneka att dessa regler existerar.

Programmeringsmässigt så innehåller koden massvis av fel i regexpar, felstavningar samt så blandas kod med regler.

En av de IP-adresser som förekommer i regelverket tillhör grannlandet Norge: AS2119 Telenor Norge AS.

XKEYSCORE-Regler

Tor Instant Messaging Bundle (TIMB)

Tor-projektet har börjat arbetet med att ta fram en egen säker meddelande-funktion (instant messaging). Projektet går under namnet TIMB eller Tor Instant Messaging Bundle.

Projektet började med en genomgång av olika meddelande-klienter för att välja den som är lättast att anpassa gällande säkerhet, kryptering och hackbarhet (modifiering).

Valet föll på Instantbird och även om Instantbird ej stödjer OTR (Off-the-Record) så kommer det att läggas till.

Instantbird fungerar på flertalet plattformar såsom Linux, Windows och Mac OS X och är baserat på Mozillas XULRunner.

Protokoll som kommer att stödjas är troligtvis IRC samt XMPP från början, detta pga att Tor ej vill använda sig av libpurple som annars stödjer en större mängd chatt-protokoll.

Utvecklingen av TIMB kan du följa här:

Tor inför ScrambleSuit

ScrambleSuit är resultatet av forskning från Karlstad Universitet där målet var att hitta något sätt att gömma trafik över nätverket från anonymiseringsnätverket Tor. Men även att förhindra aktiva förfrågningar såsom exempelvis Kinas stora brandvägg använder sig av för att hitta Tor-noder.

ScrambleSuit

Med den nya versionen av obfsproxy så är ScrambleSuit integrerad:

obfsproxy 0.2.6 was released last week and adds ScrambleSuit to the set of available pluggable transports. Bridge operators are now called to update their software and configuration. At least Tor 0.2.5.1-alpha is required. The latest version of obfsproxy can be installed from sourcepip and Debian unstable.

There must be a critical mass of bridges before ScrambleSuit is made available to the Tor users who need it, so please help!

Så förutom bättre skydd mot detektion av Tor-trafik med hjälp av DPI (Deep Packet Inspection) så måste även ett lösenord användas för att ansluta till ingångsnoder. Detta för att försvåra för aktiva förfrågningar där syftet är att upptäcka ingångsnoder.

Forskarna har även tänkt på möjligheten att berätta lösenordet till en ingångsnod över telefon så har därför valt A-Z samt 0-9 enbart versaler.

ServerTransportOptions scramblesuit password=LLDNOWV7I4P6RKFJMDEMIY2GNU2IQISA

Här kan du läsa mer om ScrambleSuit:

Ny version av Tor Browser

Tor browserny version av Tor Browser har släppts och det är inte så jättemycket nytt utan mestadels nya versioner av tillhörande mjukvara samt buggfixar.

All Platforms

Bug 10447: Remove SocksListenAddress to allow multiple socks ports. Bug 10464: Remove addons.mozilla.org from NoScript whitelist
Update Torbutton to 1.6.5.5
Bug 9486: Clear NoScript Temporary Permissions on New Identity
Bug 10403: Include Arabic translations
Update Tor Launcher to 0.2.4.3
Bug 10403: Include Arabic translations
Update Tor to 0.2.4.20
Update OpenSSL to 1.0.1f
Update NoScript to 2.6.8.12
Update HTTPS-Everywhere to 3.4.5

Windows

Bug 9259: Enable Accessibility (screen reader) support

Mac

misc: Update bundle version field in Info.plist (for MacUpdates service)

Ladda hem den nya versionen här:

https://blog.torproject.org/blog/tor-browser-351-released

Ny attack mot Tor

Forskare vid amerikanska militären har släppt en ny forskningsuppsats där bl.a. följande framgår:

Our analysis shows that 80% of all types of users may be de-anonymized by a relatively moderate Tor-relay adversary within six months. Our results also show that against a single AS adversary roughly 100% of users in some common locations are de-anonymized within three months (95% in three months for a single IXP)

Läs rapporten i sin helhet nedan (PDF1,9 MB):

Tor users get routed

Användningen av Tor har fördubblats

Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:

Tor användare

 

Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:

  • The Pirate Bays webbläsare Pirate Browser som använder Tor
  • Människor är rädda för underrättelsetjänster såsom NSA i samband med läckor från Snowden
  • Google Play öppnade nyligen för användare från Syrien. Dessa kan då använda Tor-klienter i Android-telefoner
  • En av de länder som ökat mest är Vietnam (se statistik här)
  • Skadlig kod (botnet) som nyttjar Tor

Så verifierar du din Tor-nedladdning

Tor onionSom Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.

Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.

Ladda hem GPG

Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:

Ladda hem signaturfil

För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.

Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:

Tor signatur

Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (Darwin)

iQEcBAABAgAGBQJSCd8wAAoJEEFvBhBj/uZZHQ0IAOkqrN0pHh7J4RAcKJ/541Xv
egmffh1tYkookNhMxyd9jGlJ1K1nnVMt33zFxq1wgOfIQ7qqZtJVzXHH4OpK3FXm
XCG+OvB5IJvxEs+dB901YsEA/eIGoL/SskVWAIF9V9Zj4b+DfP5XHQnbSU20SoTy
Qit4T6KzWYubds1eQspJuTaa5yQjFCe97YH7Ov9gerSYlW/qMM87R+8ubF4Q82YI
mocm88znrScemV+i7SnLh3irhM9kLoaxxtuu8tem5Eg4bKOIS+BEUKQxq4ljgo6y
VUYvbsNdzTwGTBj8CVgUYzAMGLJ65Lx6Fy5zQn0amkM3qv+FFo/SWnu6AXzYHko=
=KA9u
-----END PGP SIGNATURE-----

Verifiera nedladdningen

Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Då bör du erhålla följande meddelande tillbaka:

gpg: begõr nyckeln 63FEE659 frÕn hkp-servern pool.sks-keyservers.net
gpg: nyckel 63FEE659: publika nyckeln "Erinn Clark <[email protected]>" impor
terades
gpg: hittade inga nycklar med f÷rbehÕllsl÷st f÷rtroende
gpg: Totalt antal behandlade enheter: 1
gpg: importerade: 1 (RSA: 1)

Nästa steg är verifieringen och här har vi signaturfilen och nedladdningsfilen i samma katalog:

gpg --verify tor-browser-2.3.25-12_en-US.exe.asc tor-browser-2.3.25-12_e
n-US.exe

Och vi får då följande meddelande tillbaka:

gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id
63FEE659
gpg: Korrekt signatur frÕn "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur!
gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren.
Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6
59

Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”

Läs vidare på Tor-hemsidan här:

Gratis VPN (med hjälp av Tor)

gratis VPN med TorEn av de populärare sökningarna till denna sida är hur man hittar och använder gratis VPN. Det finns så klart flertalet alternativ och den gyllene regeln när det gäller gratis VPN är att du får vad du betalar för: Är det gratis så får du en tjänst därefter.

Det bästa alternativet enligt mig när det gäller ett kostnadsfritt VPN är så klart Tor (The Onion Router). Projektet skapades med hjälp av medel från amerikanska militärens US Naval Research Laboratory. Att det just är en lök i logotypen samt att lök ingår i namnet för Tor är för att krypteringen sker enligt en lökprincip: kryptering/säkerhet i flera lager.

Söker du ett VPN. Testa då OVPN genom denna länk >

Sedan 2004 så ligger projektet under EFF och svenska biståndsmyndigheten Sida har medverkat med stora medel genom åren.

Så kommer du igång med gratis VPN och Tor

Att börja använda Tor är mycket enkelt i dess enklaste utformning som enbart är en webbläsare.

Första steget är att ladda hem och installera Tor och dess inbyggda webbläsare från följande länk:

Innan du klickar på filen du har laddat hem så bör du verifiera att din nedladdning av Tor är korrekt. Detta genomförs lättast med GPG och jag har skrivit en guide till detta som du hittar här.

Efter du verifierat din nedladdning är det bara att klicka på filen du har laddat hem, om du har Windows så får du först en varningsruta enligt följande där du bara klickar på Kör:

Installera Tor

Sen får du välja vart Tor ska installeras. För enkelhetens skull så kan man installera Tor direkt under en katalog på skrivbordet men vi väljer c:\test\tor

Tor installation katalog

Sedan är installationen klar. Som du märker så installeras Tor inte som ett vanligt program utan ligger enbart i en katalog och en avinstallation kan då ske genom att katalogen raderas.

För att sedan starta Tor så går du till mappen där du installerat programmvaran och klickar på ”Start Tor Browser”:

Starta Tor

Sedan väntar du ett tag så startas Tor och statusen uppdateras löpande med vad som händer med etableringen av din krypterade anslutning:

Tor igång

Och sedan startas webbläsaren och bekräftar att du är ansluten anonymt samt vad din anonyma IP-adress är:

Ansluten till Tor

Obs: Läs detta innan du använder Tor

Innan du använder Tor så bör du även läsa igenom de varningar som är utfärdade om vad du inte bör göra under tiden då du är ansluten till Tor: