De diensten? Je moet geen mening overnemen van clowns, dat is nergens goed voor.

Er bestaat voor zover ik weet geen enkel empirisch wetenschappelijk onderzoek, die deze stelling ondersteund. Het zijn slechts aannames, die men tegenwoordig te vaak als maatstaf accepteert voor wat men onder feiten en waarheid verstaat.

Ik zou eerder stellen dat TOR een gevolg is van 'falende' technologie in plaats van een oorzaak. Internettechnologie 'faalt' als het wordt misbruikt door overheden om vrije vergaring van informatie te beperken. Te weten: informatie en communicatie die bedreigend is voor de continuïteit van een maatschappijvorm die door repressie van de bevolking wordt voortgezet. Misschien is het meest extreme voorbeeld Noord-Korea.

Hoe bizar het oog mag klinken: Internet in zijn huidige vorm verdwijnt nooit zolang het de exploitatie biedt voor de commercie in al haar vormen. Feitelijk is het blokkeren van reclame door de eindgebruiker een belangrijkere aanval op het huidige internet dan het blokkeren door overheden van bepaalde websites.

Facebook bijvoorbeeld bestaat bij de gratie van ad's. Ban de ad's en Facebook's verdienmodel valt om.

Zolang de navelstreng, de symbiose, tussen social media en de reclame consortiums onaangetast blijft is het huidige internet dientengevolge even onaantastbaar.

Dat is de paradox. Of je het nu prijst of verafschuwt: Het internet is even wankel of sterk - net zoals je het wil noemen - als een beursnotering van een machtig internationaal georiënteerd bedrijf: een multinational, of die nu Shell of Microsoft of IBM of Ahold heet.
Ahold, klinkt absurd als je het spinneweb van de commercie niet in zijn breedste vorm doorziet.
In feite zorgt o.a. Ahold ervoor dat ik naast het toetsenbord van IBM waarop ik deze post aan het typen ben een kop koffie heb staan, mits Shell ervoor zorgt dat de vrachtwagentjes kunnen blijven rijden.

Alles in de (onze) wereld hangt aan elkaar. Zowel virtueel (internet) als in de realiteit die het weerspiegeld.
Trek imaginair ergens de stekker uit of ga internationaal bepaald (nog afgezien van hoe dat geregeld gaat worden...) extreme voorwaarden aan het gebruik van internet stellen die zodanig rigoureus zijn dat zelfs TOR invalide wordt, en het kaartenhuis gaat wankelen.

Niet. Het hele punt van goed beschermde versleutelde communicatie is dat anderen niet kunnen zien waar het over gaat. Dan is het genoemde onderscheid maken dus ook niet mogelijk, want om dat te kunnen maken moet je iets over de inhoud ervan weten, en dat wordt nou juist afgeschermd. TOR zou niet doen wat het beoogt te doen als dat wel zou kunnen.

"eindeloze captcha's"

Dat is niet een gevolg van TOR zelf, maar van het feit dat je op die site komt via een IP-adres dat vaak door botjes ook wordt gebruikt.

Je ziet dat ook als je gebruik maakt van proxies (zelfs in je eigen bedrijf). Ook Google gooit dan met regelmaat een bot-controle uit, want ze willen simpelweg niet dat iemand de hele site leeg loopt te lepelen op een geautomatiseerde manier.

--

Er zit nogal een groot gat tussen 'anoniem' proberen te zijn en total control. Bijvoorbeeld een wisselend IP-adres weer kunnen krijgen bij je provider, om te voorkomen dat als je een keer niet ingelogd iets post op wikipedia jouw IP-adres op die manier terug te herleiden is tot jou.

Ook Apple met Safari biedt anonieme proxy diensten aan nu, als het gaat om trackers op sites of op verzoek geheel. Want soms wil je gewoon even niet dat jouw zoekopdracht meteen allemaal handige reclame gaat tonen daarop (bijvoorbeeld als je een leuk cadeau zoekt voor je partner, etc.).

Net als in de supermarkt: je loopt daar in princiepe semi-anoniem, kunt betalen met contanten, maar als je de boel begint te overvallen ben je nog wel te traceren.

Op het moment dat men zich moet identificeren zul je controle door de staat krijgen. Dat lijkt me een logisch gevolg. Ik vind dat persoonlijk heel onwenselijk omdat de overheid die gevormd wordt door een lappendeken van organisaties met werknemers die dan in staat zijn om te kijken waar je voorkeuren liggen. En niemand is te vertrouwen ook niet alle ambtenaren er is altijd een percentage wat zich misdraagt.

Dit kan in het slechtste geval van invloed zijn op je leven in alle vormen. Ik zit niet echt te wachten op een sociale controle zoals dat in China gebeurt. Ik ben pro handhaving maar er zijn grenzen.

Ik wil kunnen kijken waar ik wil (met in acht neming van de ethiek, normen waarden en ja dus ook wetten)

Ik heb er geen zin dat ervan mij een model wordt opgesteld omdat ik zeer willekeurig ben en overal interesse in hebt. Om mijzelf denk ik te verrijken en constant kennis te vergaren. Deels heeft iedereen een vaste set van voorkeuren en ook ik ontkom daar niet aan en eens in de zoveel tijd probeer ik andere gebieden te ontdekken en daar kennis van te vergaren.En ik vind het zeer onprettig c.q. onbehaaglijk als er een big brother over mijn schouders meekijkt. Ik doe thuis s'avonds ook de gordijnen dicht voor meer privacy.

En ook tor is helaas ook niet absoluut waterdicht evenals een vpn want je moet ze maar op hun blauwe ogen geloven. En ik geloof niet en al helemaal een ander niet.

Dus ja ik ben een voorstander van privacy en dat wil ik niet laten vergallen door andere oorzaken.

Kijk naar al die apt's tegenwoordig. Ze weten het en kunnen er niks tegen doen. Dus volgens mij liggen de prioriteiten wel even ergens anders dan elke burger op internet te gaan controleren.

Waarom zou je de muizen tellen terwijl de olifant je huis plat trapt en er niks tegen doet?

Al met al vind ik het monitoren van internetgedrag van de burger een buiten proportionele maatregel en sla je de plank volledig mis. De controle (wat een illusie is) groeit naarmate men vermoedt dat de burger ongehoorzaam is of er een vorm van winstbejag is en dat heeft een oorzaak. Zou je daar niet eens aan werken denk ik dan. Is het niet een vorm van projectie van je eigen falen?

Ik vind dat traceerbaarheid op het internet in het algemeen verbeterd moet worden.
"onbespied info te benaderen" dat klinkt zo lekker onschuldig, net als "tibetaanse vrijheidsstrijders", maar helaas als
je dit soort infrastructuur optuigt ontaardt het al snel in "ontraceerbaar andermans systemen kunnen aanvallen" en
"communiceren met slachtoffers van ransomware zonder gepakt te kunnen worden".
Dat is misbruik wat het "goede doel" ver in belang overtreft, en als netwerken als Tor daar niks tegen willen of kunnen
ondernemen dan vind ik dat ze moeten verdwijnen.
("lawful interception" en andere informatieverzoeken door justitie moeten altijd mogelijk zijn in zo'n service en als deze
daaraan niet willen voldoen moeten ze als kwaadwillend en kwaadaardig bestempeld en behandeld worden)

@ waterlelie (10:45),

Volgens onderzoek van de ploeg achter de zoekmachine intelx.io, ztten Tor verborgen diensten vol met spam websites.
Tor exit nodes worden gebruikt om het verkeer van eindgebruikers te monitoren, het vervolgens te versleutelen en te "minen" (retention, o.a. bij NSA en bij/voor andere diensten).

Tor-diensten worden gebruikt om te kunnen hacken, spam te versturen en verder voor allerlei frauduleuze activiteiten.
Tor-verkeer is dus ongewenst verkeer. Daarom blokkeert intelx.io iedereen die hen benadert vanaf een Tor-adres.

Ze brengen het echter wel in beeld - https://github.com/intelligenceX/ip2tor

Tot zo ver de ploeg van de zoekmachine van Peter Kleissner, eens de grootste l33t hacker van Oostenrijk.


Volgens mij persoonlijk kun je dit namelijk even zo goed beweren over van alles wat er op internet gebeurt. ;)

Tijdens hun zgh. kleurenrevolutie waren Egyptische dissidenten maar wat blij over Tor te kunnen beschikken.

Met het veroordelen van Tor is het als met het veroordelen van "nep nieuws",wat grootcommercie, NGO's,
diensten en denktanks, regeringen en interessen niet zo goed uitkomt of met de info,
die ze liever van het publiek willen weghouden of manipuleren, betitelen ze dat steeds als als nepnieuws of conspiracy.

Zij verspreiden immers nimmer leugens, nog veroorzaken ze false flags e.d..
Natuurlijk niet of in ieder geval als ze het doen, zo immens, dat niemand bij z'n volle verstand het wenst te geloven.

Ongemonitord verkeer is dus voor hen in aanleg "gevaarlijk verkeer".
Iedereen moet onder een zekere vorm van controle gehouden worden, is het niet goedschiks dan kwaadschiks.

Waterlelie, jij zegt, dat Tor niet aantoonbaar slechter is dan ander verkeer in aanleg.
Maar zijn er hier ook tegenstanders van het nog enigszins vrije Internet?
Ik doel dus op de Internet-BOA's van de toekomst? En ja ze zijn hier op security.nl ook al gearriveerd.

Gaat u op de werkvloer uw medewerkers met BYOD blokkeren,
als u ziet dat ze Tor browser of Brave met Tor gebruiken?

Persoonlijk denk ik,dat in een doorgezette "uitsluitings- en tweedelingsmaatschappij",
Tor steeds belangrijker zal worden om de 'overheids-wurgslang" met haar controle-behoeften te kunnen ontgaan (circumvent).

Hoe staan jullie hierin? Doe je mee de nieuw ervaren apartheid of niet?

#sockpuppet

Er is een goede kans dat zoekmachines en clouddiensten (hoe wou je anoniem inloggen luntrus?) TOR exit nodes blokkeren vanwege de acties van eerdere gebruikers van die nodes.

Tot ze er genoeg van hebben en de directory ophalen waarin alle exit nodes staan.

Niks conspiracy dus. Gewoon normale abuse.

Interessante link volgens mij:
https://prostasia.org/blog/should-the-tor-network-be-shut-down/

Houdt vast aan tor als browser?
Detecteer en maak een eind aan cybercrime.

Houdt vast aan degelijke end-to-end-encryptie.
Buig dus niet voor globale monitoring en surveillance.

Vrij en onverveerd moeten wij zijn,

luntrus

Maar willen we dan hier ook zoiets als in Mainland China en nu ook reeds in Hong-Kong?, zie:
https://www.technologyreview.com/2012/04/04/186902/how-china-blocks-the-tor-anonymity-network/

Bij ons gebeurt het ook reeds maar veel subtieler en indirecter en via een paar niet direct traceerbare tussenstappen.
Bijvoorbeeld: add to any (mal-ads), cdn scripts, cloud-, canvas fingerprinting, Javascript Behaviour etc., zoals:
redirections, encoded scripst, trackers, requests to external domains.

Ook durf ik te beweren dat soms cybercrime wordt ingezet door het regime als de aanpassingen niet te snel worden geaccepteerd (ja ook ransomware aanvallen). De Amerikaanse pijplijn aanval, die nu zorgt voor exorbitante prijzen,
omdat men weet dat de groene agenda een echte kink in de pijplijn en en de winst kan veroorzaken.

Het eerlijke van het Chinese systeem is in ieder geval, dat iedere burger direct weet waar ie aan toe is.
En na de lange mars zijn ze er kennelijk snel aan gewend geraakt, net als nu binnen Honk Kong
en straks wellicht op Formosa.

Als Google je hele profilering en alle data van je, waar het over beschikt, afstaat aan de zoveel "eyes",
denk je dat je nog in zekere zin privacy bezit, maar zit je feitelijk reeds binnen eenzelfde panopticum.

Je ziet de mysterieuze gasten, die je binnen deze info-gevangenis
(bubbel, manipulatie, censuur, fact-checking, fake-news)
van het systeem houden, niet direct, maar en grosso modo is het effect hetzelfde.

Aan globale tendenties zien we dat de bovenstaande systemen,
China en de rest van de zogenaamde vrije wereld,
elkaar al aardig beginnen te naderen - gratis diensten aanbieden voor allerlei data en "besnuffelen"
(soms letterlijk via iets in de zoldering).

Nu ziet met de opkomst van digitale controle systemen via persoonlijke QR-codes,
waar van alles op den duur "aangehangen" kan worden.

Kennelijk willen we zo'n maatschappij met z'n allen, want ruim 70% loopt onnadenkend zo'n
soort totalitair geregelde toekomstmaatschappij binnen zonder veel verzet of bedenken.

Ben ik nu de enige persoon maar, die terug wil naar alles kunnen blokkeren, waardoor ik afgeleid wordt,
van wat mij interesseert.

Ook met mijn persoonlijk afgeregelde user.js op TamperMonkey,
die steeds weer met een nieuwe update door Google verwijderd zal worden,
want strookt kennelijk niet met de voorwaarden van hun gebruikersbeleid.

Wees eerlijk tegen je eindgebruikers.
Probeer hen niet op alle mogelijke manieren een oor aan te naaien.

I rest my case,

multi anoniem

Er is een groot onderscheid tussen "anderen kunnen niet zien waar het over gaat" en "anderen (zelfs de communicatie
partner) kunnen niet zien wie je bent". Dat eerste heeft een legitiem belang, dat tweede nauwelijks en biedt veel te
veel mogelijkheden voor misbruik. Een netwerk als Tor is alleen geoorloofd als het intern logs bijhoudt die door
de bevoegde instanties kunnen worden opgevraagd als er misbruik gemaakt is. Als Tor daar niet aan meewerkt vind
ik dat het moet worden verboden en actief ontmanteld.

Hohoho Luntrus, even een vroege kerstman aan het woord met uw welnemen:
Verouderde woorden prikkelen de fantasie.
Dus dat iedereen wel even weet wat je in feite beweert met je afsluitende zin: "Vrij en onverveerd moeten wij zijn":
https://www.trouw.nl/nieuws/verouderde-woorden-in-het-volkslied-prikkelen-de-fantasie-soms-tot-het-uiterste~b96aaa0f

Onverveerd betekent dus niet (zoals veel mensen denken) "onbuigzaam",
maar onverveerd betekent: onverschrokken, nergens voor terugdeinzend.

Overigens Tor blokkeren en plagen met capcha's is potentiële klanten verliezen die soms ook als reclameboodschapper dienst doen.
Er zijn betere manieren om de echt ongewenste gasten (met valse intenties) buiten te sluiten.
Veel mensen gebruiken Tor alleen voor hun eigen privacy en hebben niets kwaads in de zin.

Hoe zinvol is het om obfsproxy aan tor toe te voegen?

Dit kan het netwerkverkeer als gewoon verkeer spoofen. (obfuscatie-proxie - pluggable transport proxy)
Handig bijvoorbeeld om vanuit China een Zweedse tor-node te nunnen benaderen.

Wat zit er nog meer in de pijplijn om ons van blokkeren te vrijwaren?

Dan is er nog 4everproxy, een manier om tor-sites te benaderen zonder tor geinstalleerd te hebben.
Hoe veilig is deze laatste proxy-dienst? Iemand?

luntrus

Ik vind het gewoon een punt van beleefdheid om jezelf kenbaar te maken als je iemand bezoekt. Als je een gemeentehuis of bank binnenstapt wordt het ook niet gewaardeerd dat je dat met bivakmuts doet.

Zelf haal ik ook periodiek de lijst met tor exitnodes op en zet die in mijn blocklist. Ik ga er vanuit dat mensen die hun identiteit niet prijs willen geven, niets goeds van plan zijn op onze server.

@ Briolet,

Goed dat jij dat doet, is je volste recht, zoals ik alle bitcoin telefoon spammers uit Delhi met IP meld.

Iemand, die via een anonimiseringsdienst een website wil bezoeken, doet dat omdat hij niet zeven meldingen van een canvas fingerprint extensie wil krijgen, scripts locaal moet herschrijven, tracking moet onderbinden en weet wat er allemaal nog gebeurt. Ook hebben heel erg veel websites tegenwoordig Google analytics en facebook trackers aanstaan.
URLs opschonen dus. In dat geval vraagt Briolet ook niet of ik wellicht zijn bijzondere websites zonder dit soort grappen wenst te bezoeken en daar zijn nu juist anonimiseringsdiensten voor gebruikt.

Ik ben het ook met je eens dat als ik Internet misbruik voor een of ander nefarisch doel, men mij echt de toegang tot Internet moet kunnen ontzeggen of een dienst waar ik van gebruik maak (bulletproof of niet, waar die staat).

Maar het werkt twee kanten op.

Tegenwoordig hebben we te maken met meer ongerijmdheden, dan we ooit gewend waren.

Een masker dragen is tegenwoordig niet zo'n probleem en in zekere omstandigheden zeker gewenst.

Alleen met zo'n digitaal masker willen ze je niet op hun netwerk zien. Vreemd?

En wie zijn precies de bevoegde instanties in Iran? In Afghanistan? In China? Noord-Korea? Oké, in het laatste land zal nauwelijks internettoegang zijn, maar je krijgt het idee.

Als je gelooft dat elk denkbaar regime per definitie legitiem is en iets om je aan te onderwerpen dan is er geen bezwaar tegen die logs. Als je gelooft dat er legitiem verzet tegen een regime mogelijk is dan kan het niet toegankelijk zijn van de communicatie, en zelfs het niet kunnen zien wie communiceert, heel belangrijk en zelfs van levensbelang zijn.

Het is niet zo dat logs alleen voor goede en niet voor slechte regimes toegankelijk zijn. Zoiets is technisch simpelweg niet te implementeren, omdat het menselijke waardeoordelen betreft, en mensen kunnen het er al niet over eens worden wat goed is en wat slecht. De garantie dat logs er voor kwaadaardige regimes niet zijn is het feit dat ze er helemaal niet zijn. Het hele TOR-netwerk is ontworpen om dat soort garanties te kunnen leveren. Zelfs een TOR-node die zich er niet aan houdt en toch logt levert zelfstandig niets op. Pas als alle nodes op de route loggen én die logs voor dezelfde partij beschikbaar zijn is die beveiliging doorbroken.

En ja, dat zet meteen ook de deur open voor misbruik, en dat wordt dan onvermijdelijk ook beschermd. Ook hier kan de techniek onmogelijk het onderscheid maken tussen legitiem gebruik en misbruik, alweer omdat dat een menselijk waardeoordeel is dat niet door techniek geregeld kan worden. De garanties die legitieme gebruikers krijgen zijn er onvermijdelijk ook voor misbruikers.

Net als bij sterke encryptie, waar TOR natuurlijk zwaar op leunt, is het alles of niets: ofwel hebben gebruikers de garantie dat het TOR-netwerk niet verraadt met wie ze communiceren, ook misbruikers, ofwel is die garantie er niet en dan is die er meteen ook niet tegen een kwaadaardig regime of tegen criminelen.

In de discussies over sterke encryptie, waar regelmatig wel ergens op de wereld politici wettelijk toegang toe willen regelen, zie je dat de politici die dat voorstellen redeneren dat er een tussenweg is. Maar waar je hier tegenaan loopt is niet de eindeloos onderhandelbare werkelijkheid waar politici in leven, dit is wiskunde: als het niet kan dan kan het ook echt niet, en als het wel kan dan kan het ook echt wel. Dat is fundamenteel en absoluut, zonder mitsen of maren, zonder ruimte voor onderhandeling of compromis. Het is wiskunde, en wiskundig bewijs laat zich niet met argumenten overtuigen dat het toch niet helemaal waar is, het is wat het is.

Vooraanstaande cryptografen wijzen er keer op keer op dat werkelijk elke manier om selectief toegang tot versleutelde data te regelen voor overheden (of voor wie dan ook) een zwakheid oplevert die de encryptie effectief onderuit haalt. De hele bestaansreden voor sterke encryptie is dat zwakheden gegarandeerd misbruikt worden en er dus helemaal niet moeten zijn. En dit geldt ook voor TOR, dat is ontworpen om behalve de inhoud van de communicatie ook de gevolgde route ervan ontraceerbaar te maken, op basis van principes die net zo wiskundig en absoluut zijn als die van de encryptie zelf.

Dus wat kies je? Wat weegt zwaarder? De mogelijkheid voor een dissident tegen een kwaadaardig regime om zich tegen dat regime te verzetten of de mogelijkheid voor een overheid om de communicatie van misdadigers in te zien? Bedenk dat voor dat kwaadaardige regime die dissident een misdadiger is. Als je dissidenten beschermt bescherm je ook misdadigers, als je misdadigers traceerbaar maakt maak je ook dissidenten traceerbaar, zonder tussenweg die de bescherming tegen de goeien zwak maakt en tegelijkertijd tegen de kwaaien sterk houdt. Dat kan niet omdat je het menselijke onderscheid tussen goed en kwaad niet in wiskunde kan implementeren.

Met een keuze die absoluut zwart/wit is: waar kies je voor?

@anoniem 05:14: sterk verhaal! Complimenten!

De standaard Tor exit policy, het open 'deurbeleid' van een Tor uitgang, is nogal ruimhartig ingesteld. De beheerder van een Tor exit kan echter kiezen voor een ReducedExitPolicy, waardoor de kans op misbruik sterk wordt gereduceerd:

https://gitlab.torproject.org/legacy/trac/-/wikis/doc/ReducedExitPolicy

Wat ook zou helpen en ook bij ransomware is elevated encryption level.

Dus bron en ontvanger (bijv. een CIO) hebben voor het ontvangen beschikking over een speciale encryptie-sleutel,
die alleen voor hen geldt.

Men zou bijvoorbeeld alle IP's met een abuse verleden op een fail2ban lijst kunnen plaatsen.
Dit om onderscheid te kunnen maken tussen the good, the bad & the ugly.

China doet dit mijn eigen preferente staats-entry-nodes.

Uiteindelijk zullen de "forces that be" niemand meer ongecontroleerd, gemonitord en gesurveilleerd op Interwebz toelaten.
Dan leven we allemaal in een soort van globaal panopticum.

luntrus

Een paar dingen aan het huidige TOR zijn heel bijzonder (imho):

1) Ze staan toe dat uitgerekend Facebook https://en.wikipedia.org/wiki/Facebook_onion_address op hun netwerk zit.
Dat is volgens facebook "(...) makes it easier for Facebook to differentiate between accounts that have been caught up in a botnet and those that legitimately access Facebook through Tor."

Eigenlijk zit Facebook (wat ik toch zie als de anti-privacy) op het netwerk, juist om te voorkomen dat botjes via dat netwerk uitkomen op hun site en ze dat niet makkelijk kunnen wegpoetsen (e.g. capcha's dus voor iedereen die daar wel vandaan komt).

2) Sommige mensen gebruiken TOR om te bankieren lees ik wel eens: dat is nou net iets waar je niet wilt dat je op ook maar enige manier anoniem bent (want dan kan iedereen bij je geld, wordt het ontraceerbaar als geld weg is, etc.). In een wereld zonder criminaliteit of in perfecte authenticatie overigens geen punt, maar helaas is dan niet deze aardbol/huidige versie internet.

3) het 'dark web' kleeft er nogal aan vast: dus negatieve inslag. En dat lees je ook behoorlijk terug in de gebruikersstatistieken qua content dat erop zou staan (zie bron hieronder). Als daar actiever op gestuurd zou worden zou het een schonere wereld worden, die dan veel sneller omarmt wordt. Zelfs telegram doet dat nog (zie nieuws vandaag).

4) TOR is ontwikkeld door de een staatsmacht om hun communicatie te beschermen (bron: https://en.wikipedia.org/wiki/Tor_(network)). Terwijl de gebruikers denk ik weinig hebben met dat soort diensten.

Al met al zie ik zelf dus niet meteen een aanlokkelijk iets in de huidige versie.

Ja maar je kan de duivel niet gaan uitdrijven met Beelzebub.
Waar tor de duivel en Facebook Beelzebub is.

Waarom gebruiken sommige ook eerlijke mensen tor, omdat er naar hun visie geen alternatief bestaat.
Het alternatief is niets met Internet delen, maar dat houdt in dat je er geen gebruik van kan maken.

Er zijn buiten facebook nog meer instanties met een specifiek tor-adres.
Brave met tor-toegang ebn hun bitcoin for preferrred ads policy.

De orthodox-christelijke visie van Brendan Eich, die vanweg zijn rechtse idealen weggebonjoured werd bij Mozilla,
waarvan akte. Heb je wel de ontwerper van JavaScript op straat gezet. (pun intended).

Wij weten eigenlijk niet exact hoeveel gevaar men nu loopt als gemiddelde Internet-eindgebruiker
om gemonitord, getracked, gefingerprint, gewidget, gesurveillerd/gesleepnet te worden.

Ik denk als ieder duidelijk onder ogen had, wat er onder de kap van de browser gebeurde,
men harder om bescherming hiertegen zou mekkeren. (Ctrl+Shift+I en Shift + Escape)
met een sniffer onder de browser laten lopen word je wel het een en ander gewaar.

Snowden en Assange hebben het verschil hierin niet kunnen maken.

Dus to tor or not to tor, that is the question.

luntrus

Iedereen die een tor service op wil zetten kan dat doen. Aan de beschrijving ervan op de website van het Tor Project te zien is het los van de handelingen die je er zelf voor moet doen een volautomatisch proces. Het zit helemaal niet zo in elkaar dat services worden toegelaten of geblokkeerd door wie dan ook. Er is geen oordeel over de service mogelijk omdat het netwerk de inhoud niet kent, en techniek kan ook geen morele oordelen vellen, daar heb je menselijke moderatoren voor nodig. Dat botst fundamenteel met de uitgangspunten van het netwerk, het is er juist op gericht dat er niets te manipuleren valt aan de communicatie. Dus ook Facebook kan er gebruik van maken.

Je lijkt te denken dat als je via het Tor-netwerk bij de website van je bank uitkomt je daar opeens zonder verder authenticatie kan bankieren. Dat is klinkklare onzin, die bankwebsite vereist nog steeds dat je aanlogt, je digipas/scanner/whatever als tweede factor gebruikt, en dat je transacties digitaal ondertekent. Dat alles wordt niet door Tor uitgeschakeld. Als Tor dat zou kunnen uitschakelen zou elke bankwebsite per definitie zo lek als een mandje zijn. Dan maakt het niet uit of je als rekeninghouder via Tor te werkt, het volstaat dat degene die je rekening leegrooft dat doet. Zo werkt het dan ook niet.

Bij Tor gebruiken voor je bank vraag ik me af wat die mensen precies denken te beschermen. Vertrouwen ze hun bank niet? De bank ziet sowieso wie er is aangelogd en wat die doet, daar verandert Tor niets aan. Zijn ze bang dat een derde partij waarneemt dat ze hun bank bezoeken? De HTTPS-verbinding is versleuteld, en je bankwebsite bezoeken is zo alledaags dat je echt geen aandacht trekt door dat te doen. Ik zie niet in wat Tor toevoegt. Maar ik zie ook niet in wat voor kwaad het zou kunnen.

Alleen is het Tor-netwerk zo opgezet dat er niet te sturen valt. Bij Telegram valt iets te sturen omdat gebruikers een herkenbaar account hebben. Bij Tor is de anonimiteit zo ver doorgevoerd dat er niets meer te sturen valt. Het idee daarachter is dat alles wat het netwerk aan informatie over de gebruiker heeft potentieel misbruikt kan worden om de identiteit van die gebruiker te achterhalen. Met informatie die het netwerk om te beginnen niet heeft kan dat niet misgaan, dus zorgt men dat die informatie er niet is. Maar met informatie die er niet is valt niets te sturen, dus dat kan dan ook niet.

Lees ook de reactie van gisteren 5:14 over hoe een waardeoordeel over wat wel en niet toelaatbaar is helemaal niet door wiskunde en techniek gemaakt kan worden.

Het punt is dat je dit soort dingen niet in technologie kan opnemen zonder dat je precies de dingen die Tor beoogt te bereiken ermee compromitteert. Dat is een fundamentele tegenstrijdigheid.

Dat wil niet zeggen dat het protocol en de implementatie niet deugen. Het Wikipedia-artikel dat je noemt linkt in voetnoot 3 naar een Businessweek-artikel waarin Paul Syverson, een van de bedenkers van Tor bij het US Naval Research Laboratory, aan het woord komt:

https://web.archive.org/web/20140329174719/http://www.businessweek.com/articles/2014-01-23/tor-anonymity-software-vs-dot-the-national-security-agency

Dit dient een volslagen ander doel dan een opsporingsdienst heeft die criminelen of staatsgevaarlijke sujetten in de kraag probeert te vatten: hier gaat het niet om het onderscheppen van communicatie maar juist om het voorkomen dat dat kan gebeuren. Omdat ook camouflage daar onderdeel van uitmaakt moest Tor veel breder gebruikt worden dan alleen door de marine, en heeft men het daarom buiten de marine gebracht, het is open source zodat iedereen die dat wil kan zien hoe het werkt, inclusief mensen met heel veel verstand van encryptie en communicatie. Dat is iets om je vertrouwen of wantrouwen op te baseren.

Gek hè? De ene overheidsdienst kan dingen doen die een heel andere kant opgaan dan wat een andere overheidsdienst nastreeft. De US Navy heeft zomaar een andere agenda dan bijvoorbeeld de FBI als het op verborgen communicatie aankomt. Dat komt omdat de US Navy een totaal andere taak heeft dan de FBI, en beide organisaties doen dingen die hun eigen taak dienen.

Ben je je er trouwens van bewust dat de NSA zich behalve met het kraken van versleuteling ook met het ontwikkelen van sterke encryptie bezighoudt? Dat is namelijk ook in het landsbelang. Het soort tegenstelling dat je ziet tussen de US Navy en de FBI zie je bij NSA zelfs binnen één dienst.

Dat labeltje "staatsmacht" dat je aan Tor plakt zegt dus op zich nog niet veel. Het is niet zo dat binnen een staat alle neuzen dezelfde (repressieve) kant op staan. Er zijn allerlei onderdelen, subonderdelen sub-subonderdelen etc. bezig met hun eigen taken en dat levert neuzen op die heel verschillende kanten op staan. Dat geldt voor elke organisatie, zelfs individuele mensen doen vaak genoeg tegenstrijdige dingen, omdat ze het ene moment met het ene doel bezig zijn en het andere moment met het andere doel. En hoe meer mensen je hebt, hoe groter een organisatie, hoe meer taakverdeling er is, hoe diverser het wordt. "De staat" of "de overheid" is gigantisch groot, daar gebeuren ontzettend veel verschillende dingen, en ook ontzettend veel dingen die tegenstrijdig lijken of ook echt tegenstrijdig zijn. Het is geen strak georganiseerd en coherent geheel is waarin alle neuzen dezelfde kant op staan, de werkelijkheid van grote organisaties is complex en chaotisch.

Ik denk dat je je oordeel baseert op argumenten die niet kloppen, maar je hebt het volste recht op je eigen oordeel en afwegingen daarvoor, natuurlijk. Ik heb alleen wat tegenargumenten gegeven, en hoop dat die je aan het denken zetten erover.

Ik vind die verhalen over regimes KUL en ik kies voor traceerbaarheid in de strijd tegen criminelen op en buiten internet.
Dat vind ik veel en veel zwaarder wegen dan "regimes".

Ik ben daar voor! En wel omdat de wereld heeft aangetoond niet zonder zo iets te kunnen functioneren.
Als er een paar generaties goed gemonitord en gesurveilleerd is en de kwaadaardigen zijn door evolutie uitgestorven
kan er wel weer een keer naar ongecontroleerd internet gekeken worden.

Zelf zie ik (nieuwe anoniem) Tor Hidden Services apart van het oorspronkelijke Tor netwerk.

Het verschil is of de bezoeker van een website anoniem is of de website zelf. In het laatste geval is er echt een groot probleem zoals we zien met alle illegale dingen die daar, naar wat ik gelezen heb, plaatsvinden. Bovendien zijn Tor Hidden Services verre van anoniem tegen de grote veiligheidsdiensten omdat je zo'n service gaat 'oplichten' als je die vele malen per seconde gaat bezoeken. Een Tor Hidden Service moet immers bestaan op het 'echte' internet en door de Hidden Service plat te gooien heeft dit effect op de echte server in het echte internet. Andersom ook, als de echte server plat gaat is de Hidden Service ook plat. Ik heb er geen illusies over dat de grote veiligheidsdiensten, die ook aftappen in de grote internetknooppunten als de AMS-IX, dit zouden kunnen. Het is niet veilig te houden, voor niemand.

Wat ook in het verleden is gebeurd is dat de Tor Hidden Services zijn gehackt door de FBI bijvoorbeeld. En dat de website hierop vervolgens is aangepast met malware om bezoekers te identificeren. 0-2 voor Hidden Services wat mij betreft. Een browser als Firefox is zo complex en groot dat er altijd wel een manier is om te achterhalen bij welk computer systeem de bezoeker vandaan komt.

Tor bestond in de Tweede Wereldoorlog nog niet, maar stel je eens voor, bij wijze van gedachtenexperiment: de situatie dat de Britse GCHQ, RAF en de SOE jullie koene verzetshelden in de polder geen radiozenders, geen codeboeken, geen wapens --- en geen Zweeds wittebrood -- in de schoot hadden geworpen. Hoeveel extra doden had dat in de winter onder de hongerende Nederlandse bevolking opgeleverd? De geallieerden hadden jullie ook in de koud kunnen laten verekken.

Allereerst dank voor dit beeld. Het is goed om ook deze gedachten te lezen.

Een nadeel als je TOR als klant van een bank gebruik, zo kan ik mij voorstellen, is dat de bank 'bijzonder' tor-verkeer niet meer als 'bijzonder' gaat zien voor jouw. Dus daar waar ze bij een iets vreemdere transactie normaliter nog kunnen terugvallen op te kijken of het bijvoorbeeld wel vanuit jouw normale IP adres komt (die houden ze echt wel bij). Maar als je zelf ook vanuit TOR komt (of varianten overigens) missen ze dus die mogelijkheid (als ze je al toegang geven, maar dat komt vooral door die botjes die ook over die exit nodes komen enzo dan).

Dat geldt ook voor winkels en andere sites die steeds vaker jouw account serieus nemen, om jouw data goed te beschermen. Ook al log je met 2 factor in, een beetje login systeem probeert ook nog een context te bepalen (en sommige zoals gmail slaan dan een beetje door).

Ik hoor overigens ook wel eens van exit nodes die stripssl grapjes uithalen en dan het verkeer kunnen inspecteren, dus het blijft ook goed oppassen dan. Past dat dan weer in het beeld dat ze die ook niet weten uit te bannen?


Klopt dan de aanname dat als ik TOR gebruik (met exit nodes etc) ik die staatsdienst help met hun verkeer geheim te houden? Wat dat zou ze dus niet lukken als niemand het gebruikt? Ik woon niet in die staat namelijk....

Maar waarom werkt dan het schakelen van twee vpn's. Niet als ik via 4everproxy bijvoorbeeld benader via epic encryopted proxy, allebei in Londen bijvoorbeeld, levert dit een voortdurende out of time op.

Vroeger kon je nog verschillende proxies achter elkaar zetten en dat gaf toch wel wat privacy voordeel.

Is the surveillance behoefte op Interwebz door de "forces that be" nu tegenwoordig zo groot, dat dat niet meer lukt.
Dat betekent dan dat doe zogenaamde proxies van alles en nog wat loggen (onder wettelijke overheidsdwang neem ik aan).

Onbespied en onversleuteld over de wereld is iets uit een ver verleden (van voor 2001).

De ontwikkelingen in ongunstige zin, althans voor de eindgebruikers, gaan in een ijzelingwekkend tempo.

luntrus

Kan je ook uitleggen waarom je die verhalen over regimes KUL vindt?

Iemand vindt dit KUL als hij volledig blind geloven wil in wat officiële kanalen hem of haar presenteren als de onverbloemde waarheid. Daar blindelings in meegaan getuigt van onvoorstelbare naïviteit.
Dat hebben mensen geweten die kritiekloos ongeveer tachtig jaar geleden met gestrekte arm de bezetters begroetten. Er bestaan voor hen slechts hoaxes en nep-nieuws. Geregeerd door semi- en ware criminelen, die boven de wet staan, verwachten ze oplossingen via nog meer controle, monitoren en surveillance. Lever alle vrijheid in en verkommer daarna lekker goedgelovigen.

Misschien omdat we allemaal wereld burgers zijn, die gescheiden worden door eikels die grenzen en lijntjes trekken, zodat ze hun baantje behouden. In de werkende wereld worden menig namelijk uitgekotst.

Zo had ik enkele jaren geleden nog nooit de term 'lul met vingers' begrepen, totdat ik naast iemand stond die daaraan voldeed.

Deze website werkt zelf hard aan mee. Ik zie namelijk dat vanuit de “hide my ip” service van het onlangs gelanceerde dienst van Apple in iOS 15 ook wordt geblokkeerd. Deze website is dus niet bereikbaar als je vanuit de Apple service het IP gebruikt van Apple via de Safari browser.

Verder zal Tor alleen maar in populariteit winnen. Ik zie dit echt zomaar verdwijnen, bovendien bestaan er allerlei manieren om vanuit een zwaar surveilance staat (zoals China) via een bridge het Tor netwerk op kan. Tor zelf is soms de enige manier om veilig te communiceren, dit is ook in belang van de staats diensten zelf (die actief zijn in het buitenland). Leuk is dat Surf (belangrijke speler in Nederland rondom internet en digitalisering) heeft zelf ook een exitnode heeft.

In de verte zie ik overigens ook i2p opkomen, dit project is er lang, maar begint te winnen aan terrein. Ik zie dat het niet lang duurt voordat i2p en Tor samen gebruikt worden.

Delen van data is een wereld als ipfs en de blockchain erg geschikt. Probeer maar eens een decentrale netwerk van 10.000 nodes down te krijgen.

Down krijgen lukt, maar daar is echt een geweldig pak geld.voor nodig. Kijken of het aangekondigde neerhalen van internet, zoals professor Schwab suggereert en profeteert, ook binnenkort zo zal gebeuren. Ransomware, digitale afpersing, data breaches everywhere zijn wel al tekenen aan de wand. En we centraliseren alleen maar met alle eieren in 1 mandje.
luntrus

Oefen eens op tot met de Online Profile Creator van hilebol
en test hier: https://hidemy.name/tr/proxy-checker

luntrus

Hoe kan een hacker poort 8888 connecties overnemen?

De meeste Tor nodes zijn gewoon terug te voeren op bedrijven en particulieren die ze runnen.
Als daar een verbod op komt met bijbehorende straffen is het snel afgelopen hoor!

Lees het Wassenaar Convenant eens, voordat je onzin braakt.

Je bedoelt Freenet?

Bij TOR kan bijvoorbeeld de FBI een hidden service bezoeken op dezelfde manier als dat een 'pedofiel' dat doet. En de website waarop de pedo site gehost wordt kan op dezelfde manier gehackt worden als een website op het gewone internet. Het zijn dezelfde protocollen en dezelfde software. Alleen de 'netwerk layer' is anders.

Het zou niet best zijn als een hidden service die je bezoekt niet zou werken in een normale webbrowser. Vroeger had je nog geen TOR browser maar installeerde je een proxy op je computer waar je met de Netscape browser naar toe surfde. Deze proxy werkte toen met het protocol SOCKS.

Anoniem 16:41