Ah, Tor.
Een prachtig decentraal netwerk met privacy features in theorie.
Dat het in de praktijk ongepatchde kwetsbaarheden bevat is wel jammer.

Nu is dus nog de vraag hoe veel backdoors er in zitten. ;)

Jazeker. OpenSource en backdoors. #Gaap

Tails van een thumbdrive booten of whonix draaien, ergens wifi lenen en je smartphone niet meenemen. Voordat die achterdeur benut kan worden ben je al weer foetsie.

Het was al een tijd beschikbaat, maar was nog in beta.
Ik heb het al een aantal maanden geleden geinstalleerd.

Over welke kwetsbaarheden heeft u het?
Bedoeld u de TOR-browser, TOR-netwerk of TOR-VPN?
Misschien als u een link heeft zou dat fantastisch zijn.

Ben je Jia Tan alweer vergeten?
(Ik ben er vrij zeker van dat ten minste één 3-letter-organisatie er wel een backdoor in heeft weten te slepen.)

Vroege toegang tot beta op Google Play is reeds vol.

Wat is het verschil met het al jaren bestaande Orbot?

Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen.

https://www.security.nl/posting/839152/OpenSSF+waarschuwt+ontwikkelaars+voor+social+engineering

Het hoeft niet persé een exploit te zijn, het is heel gemakkelijk om een vergissing te begaan op het TOR-netwerk zoals het inloggen op een account, het achterlaten van een email adres, persoonlijke zoekopdrachten, etc.
Tor is wel veilig, haar gebruikers alleen niet als ze het niet professioneel gebruiken, dan laten ze een hoop metadata achter.
Als men bijv. een andere browser gebruikt icm. tor kan het zijn dat men geidentificeert wordt via browser-fingerprinting, vandaar dat de TOR-browser zo specifiek is ingesteld dat het voor iedereen hetzelfde is.
Ook betalingen zoals bitcoin kunnen mensen identificeren.
Dus als een dissident wordt opgepakt na het gebruiken van het tor-netwerk is het hoogst waarschijnlijk een fout gemaakt door de gebruiker zelf.

Orbot is van "The Guardian Project" en niet van het TOR project om te beginnen, er zijn daarnaast wel wat verschillen binnenin de app zelf.

Dat was zeer incidentieel en kan op alle computers gebeuren, maar is niet specifiek gerelateert aan het TOR-project, dit had meer te maken met een verborgen exploit in de XZ-tools utilities, en heeft uiteindelijk geen schade gedaan omdat het tijdig was ontdekt door een Microsoft ontwikkelaar. (Al was het en veelvuldig gebruikte linux-tool)
Maar als u een specifiele link heeft die aanwijst dat het TOR-netwerk gecompromiteerd is, is dat zeer welkom.

Vooralsnog zijn alle mensen die opgepakt zijn zelf verantwoordelijk geweest voor het nalaten van een goede privacyhygiene op het TOR-netwerk.
Daarnaast moet het TOR-netwerk veilig zijn aangezien ook de NSA het gebruikt en er veel geld in steekt.
Sterker nog, het is mede-opgericht door de NSA. (Laat dat niemand afschrikken aangezien het tegenwoordig wordt onderhouden door vrijwilligers.

De enige exploitatie die enigszins mogelijk zou kunnen zijn is als alle TOR-nodes op een desbetreffende verbinding zijn gecompromiteerd, maar dat is nog steeds redelijk zeldzaam en de nodes worden met grote regelmaat gerouleert.

Het is hoe dan ook aan te raden om TOR te gebruiken op niet-geregistreerde apparaten die niet verbonden zijn met uw thuisnetwerk en u er noot wat persoonlijks op heeft gedaan.
Dan kan men hooguit het apparaat trianguleren (als men al gecompromiteerd is via malafide nodes, wat zeldzaam is) opsporen, maar moet men alsnog gaan uitzoeken bij welke persoon het apparaat hoort, als het apparaat al niet is vernietigd bij de aankomst van politie.

Dat is correct, een beetje zoals de Silkroad oprichter die destijds door eigen fout zijn G-Mail adres heeft laten vallen, op deze manier is de FBI hem op het spoor gekomen.
Ook hergebruikte hij zijn E-naam teveel op verschillende IP-adressen.
Wel moest er een onorthodoxe truuc worden opgezet om zijn laptop open te houden tijdens zijn arrestatie, amders zou alles nog steeds versleuteld zijn.
Vaak is het onderzoek naar mensen die het TOR-netwerk misbruiken handwerk.

Alsof er bij de niet opensource geen backdoors zitten #Gaap

Open source geeft wel meer garantie dan closed source aangezien als mensen het willen een kijkje kunnen nemen of de code kunnen auditen, maar het is inderdaad zo dat het geen vrijbrief is tegen achterdeurtjes, die kunnen er nog steeds in zitten als niemand de code nakijkt of het niet wordt gespot. (Zoals het geval met XZutils)
Wel is het zeldzamer dan met closed source.
Met vrije software kan men open source ook nog overnemen en er een eigen software van compileren.
Maar het TOR-project wordt echt wel goed nagekeken omdat er levens en veiligheid van af hangen zowel van private gebruikers als overheden.

Vaak wordt er een KP of hitman site opgezet op het darkweb om mensen die er mee aan de haal gaan op te kunnen pakken.
Dan hopen ze dat men betalingen doet voor KP die ze deanonymiseren of adresses en/of identiteiten afgeven aan de "hitman". (FBI)

Een hoofdregel met app of zonder app.

Deel niet met het internet wat je niet met iedereen en de gootsteen zou willen delen.
Zodat de data die je gedeeld hebt je later niet in je "glorious behind" kunnen komen bijten.

Alles wat u nu deelt met internet, zou te eniger tijd wel eens tegen u gebruikt kunnen worden, namelijk.

Overal komen we onveilige code tegen. Wat betreft de aanwezigheid van retirable of verouderde code: uit de beschikbare informatie over bepaalde AI blijkt dat de applicatie en haar infrastructuur bepaalde bekende beveiligingsrisico's hebben gehad, zoals hardcoded API-keys, CVRS-misconfiguraties en een gebrek aan SSL-pin op bepaalde momenten. Hoewel de scripts die men noemt waarschijnlijk niet "retireable" in de klassieke zin zijn, kunnen ze wel complexe en soms niet volledig geoptimaliseerde functionaliteit bevatten vanwege de snelle ontwikkeling en integratie van diverse externe pixels en trackingmechanismen. (Zo eerlijk was een A.I.-toepassing in feite wel om dit mee te delen na expliciet vragen).

Toon het maar aan dat er een backdoor in zit!!!!!!!