Onderzoekers annuleren lezing over aanval op Tor-netwerk
Twee beveiligingsonderzoekers die een manier hadden gevonden waardoor het voor slechts 3.000 dollar mogelijk was om gebruikers van het Tor-anonimiseringsnetwerk te identificeren en de locatie van Tor-servers te ontdekken hebben besloten hun lezing tijdens de Black Hat conferentie te annuleren.
Het Tor-netwerk laat gebruikers hun IP-adres verbergen en maakt het mogelijk om gecensureerde websites te bezoeken. Het wordt dan ook veel gebruikt door activisten, journalisten, mensen in totalitaire regimes en internetgebruikers die hun privacy belangrijk vinden. Er zouden volgens beveiligingsanalist Michael McCord en wetenschapper Alexander Volynkin van de Carnegie Mellon Universiteit fundamentele kwetsbaarheden in het ontwerp en de implementatie van Tor aanwezig zijn.
Gecombineerd met de gedistribueerde aard van het Tor-netwerk zou het daardoor mogelijk zijn om Tor-gebruikers zelfs met een klein budget te identificeren. De aangekondigde lezing kreeg de afgelopen weken veel aandacht in de media, maar gaat nu niet door. Volgens een woordvoerder van de Black Hat conferentie zou de lezing op verzoek van advocaten van de Carnegie Mellon Universiteit zijn teruggetrokken, zo meldt Reuters.
Verzoek
Tor-ontwikkelaar Roger Dingledine laat weten dat het verzoek om de lezing te annuleren niet van het Tor Project afkomstig is. Ook zou het Tor Project niet hebben geweten dat de lezing zou worden teruggetrokken. Wel zijn er nog de nodige vragen over de aanval. De onderzoekers zouden informeel op vragen van het Tor Project wel wat informatie hebben gegeven, maar zouden nooit de slides of een beschrijving van de aanval zelf hebben verstrekt.
Dingledine stelt dat het Tor Project onderzoek naar het Tor-netwerk juist aanmoedigt, zolang dit op verantwoorde wijze gebeurt en de ontwikkelaars eventueel gevonden problemen ook te horen krijgen. "Onderzoekers die ons in het verleden over problemen hebben ingelicht hebben gemerkt dat we zeer behulpzaam zijn in het oplossen van de problemen en het over het algemeen prettig samenwerken is." Wat er nu met de presentatie gaat gebeuren is nog onbekend.
Dit lijkt me inderdaad een gevalletje...betaald zwijgen...
Aangezien de advocaten van CMU erbij betrokken zijn, kan het ook wat anders zijn. Wat dacht je van een dissident/activist in een land dat probeert internetcensuur op te leggen. Stel dat hij 'verdwijnt' doordat zijn overheid van deze technieken gebruik maakt. Er zijn dus ook nog moreel-ethische en mogelijk juridische consequenties aan het vrijgeven van deze informatie.
Neemt niet weg dat zwijgen op de lange duur ook niet gaat helpen.
Security through Obscurity = nog steeds verdwijnende dissidenten maar dan weten WIJ in ieder geval hoe.
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
Kuch, kuch,
Op mijn machine (Linux Debian) maak ik een verbinding met een VPN, daarna Tor, en verder geen Java, en Javascript
en natuurlijk geen cookies. Mediacontent rip ik via een online ripper, en youtube bekijk ik in zover mogelijk enkel in HTML5
Dan nog JonDoNym en een paar Add-ons als BetterPrivacy, HTTPS everywhere, Adblock Edge enz.
Dat lijkt mij dan ook ruim voldoende om Tor trackers te omzeilen, of die cancas stealing techniek.
Trouwens zo werk ik al heel wat jaartjes
dus al denk je nog zo veilig te zijn, je hebt het mis.
gewoon doordromen allemaal :P
http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block
Dat lijkt mij dan ook ruim voldoende om Tor trackers te omzeilen, of die canvas stealing techniek.
Trouwens zo werk ik al heel wat jaartjes
Nou, bijna. Ook in debian stable zonder scripting met alle door mij geteste grote browsers is het nog steeds mogelijk gebruik/misbruik te maken van afgeleide vorm van fingerprint tracking. Dit is waarschijnlijk hetgeen nu is ontdekt en (even) wordt dood gezwegen. Totdat er browser fixes zijn, zip ik mijn mond.
En ja, ook ik gebruik Debian. Je bent natuurlijk op christelijke tijden van harte welkom op irc freenode #debian-offtopic.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.