Tor misbruikt om mailwachtwoorden af te luisteren

Het Tor-netwerk, dat zijn gebruikers anonimiteit probeert te leveren, blijkt voor veel onwetende mensen juist averechts te werken. Dit kwam aan het licht toen een hacker bekendmaakte honderden mailwachtwoorden te hebben onderschept.

Dan Egerstad onthult de zwakte van het netwerk op zijn website, waarop hij uitlegt hoe hij vrij eenvoudig aan vele honderden e-mailwachtwoorden kon komen, onder andere van accounts bij ambassades en grote beursgenoteerde bedrijven.

Het idee van Tor is dat mensen anoniem kunnen worden door in plaats van een directe verbinding op te zetten met een server, al het dataverkeer door een paar willekeurige andere computers te laten lopen. Hierdoor wordt het moeilijk om te achterhalen wie de originele bron is. Als (schijn)beveiliging is het verkeer tussen de Tor-nodes versleuteld, maar er zit een fundamentele zwakte in dat systeem: de nodes zelf moeten het bericht altijd kunnen decoderen, anders zou de server die het uiteindelijk ontvangt er ook niets van snappen.

De 'hack' is eigenlijk kinderlijk eenvoudig: Egerstad heeft op vijf verschillende plaatsen licht aangepaste Tor-nodes neergezet, die naast hun normale werk ook al het verkeer dat er toevallig langskwam decodeerden en analyseerden. Specifiek zocht hij naar e-mailcommunicatie waarin woorden als 'government' voorkwamen, waarna hij al snel beet had.

Egerstad benadrukt dat het in principe geen bug of probleem van Tor is, maar dat het gebruikers zijn die niet goed begrijpen wat de aard van het netwerk is. De software kan namelijk wel de herkomst van communicatie verbergen, maar niet de inhoud. Daarvoor zijn andere tools zoals ssl bedoeld. Het gebruik daarvan is voor Tor-gebruikers - die hun communicatie toevertrouwen aan willekeurige anderen - juist extra belangrijk.

Mensen die dat niet door hebben zijn mogelijk al vaker ten prooi gevallen aan hackers. Volgens Egerstad staan er namelijk vele tientallen nodes binnen het netwerk waarvan de eigenaar onbekend of op zijn minst twijfelachtig is, waarbij de eigenaars variëren van hackergroepen en identiteitsdieven tot grote Amerikaanse bedrijven en Chinese en Russische overheidsinstanties.

Wie er allemaal meeluistert op het Tor-netwerk is onmogelijk te achterhalen, maar de boodschap is duidelijk: wie Tor gebruikt in de hoop anoniem te blijven, kan maar beter ook voor goede encryptie zorgen.

IT-banen

Reacties (66)

Fuzzillogic 10 september 2007 21:41

En dat terwijl het toch o zo eenvoudig is meestal. Een fatsoenlijk e-mailprovider biedt SMTP en IMAP via SSL/TLS aan. Simpelweg aanvinken in je client, en klaar is kees. Dat kun je dan ook veilig via Tor gebruiken, want de versleuteling loopt immers tot aan de doelserver. Wel moet je opletten dat de certificaten kloppen, maar daar moet je ook zonder Tor op letten.

4n4C0nD4 11 september 2007 00:11

Zoals er in het artikel al wordt aangegeven heeft eigenlijk bitter weinig met TOR zelf te maken. Als je je wachtwoord ingeeft in een HTTP pagina ipv een HTTPS pagina wordt het ongeëncrypteerd doorgestuurd. Het gebruik van TOR voegt *iets* extra beveiliging toe doordat de verbinding van en naar elke node wordt geëncrypteerd en dus niet door een sniffer op een onbeveiligde wifi kan worden opgevangen... maar het is en blijft een lapmiddel voor diegene die op zoek zijn naar beveiliging.

Het hoofddoel van TOR is het anonimiseren van het verkeer, niet het beveiligen ervan.
Dit is ook de reden waarom de beveiligingsonderzoeker in kwestie zijn tor node had aangepast om specifiek SMTP en POP3 verkeer te onderscheppen aangezien beide - nog steeds - meestal onbeveiligd zijn.
Dit is overigens zeer goed uitgelegd op de TOR website. Die mensen die er onveilig gebruik van maken hebben gewoon niet de moeite genomen om na te kijken waar het programma precies voor ontworpen is... anonimiseren ipv beveiligen.
Het is overigens niet haalbaar om het verkeer door TOR end-to-end te laten versleutelen, dit is iets dat op het niveau van de applicatie dient te worden gedaan.

miser 10 september 2007 21:30

Ook encryptie lijkt me geen soelaas bieden.

Zeker als overheden met redelijk ongelimiteerde resources meeluisteren, valt elke hedendaagse encryptie te kraken. Het kost misschien wel tijd en veel pc's. Maar te kraken is elke codering. Dit lijkt mij de basis van elke codering: het kunnen lezen van het gecodeerde bericht.

regmaster @miser • 10 september 2007 21:48

Niet elke vorm van versleuteling is, eenvoudig, te kraken. Waarom denk je dat overheden het liefst willen verbieden dat je met versleutelde mail werkt? Versleuteld telefoon verkeer is al verboden bij wet, en dat is niet zomaar. Blijkbaar vertrouwd men er toch niet helemaal op dat ze berichten binnen redelijke tijd gekraakt hebben.
Het grote voordeel voor overheden is dat het voor de 'gewone' man een opgave is gebleken om zijn/haar mail standaard te versleutelen want vaak ondersteund de ontvanger het niet. Een PKI infrastructuur is zo aangelegd, geen probleem (op het onderhoud na dan), maar het probleem blijft om in het bezit van publieke sleutels te komen van mensen die je voor het eerst moet mailen. SSL webmail werkt uiteraard prima maar is niet altijd als alternatief voor handen.
Dus op dit moment ziet de overheid nog geen nut om versleutelde e-mail te gaan verbieden, althans met Ernst weet je het nooit.
Totdat er een methode komt zodat iedereen standaard versleuteld kan en gaat mailen naar elkaar. Dan volgt een verbod erg snel, " mark my words".

Rembert @regmaster • 10 september 2007 23:47

Versleuteld telefoonverkeer verboden bij de wet? Sinds wanneer? De cryptofoon is voor zover ik weet gewoon legaal hoor. Het is prima af te luisteren, maar decoderen is een ander verhaal.

Standaard versleuteld mailen is vrij eenvoudig: je kunt je publieke sleutel simpel uploaden naar een 'publieke-sleutel-server'. Als iemand jou wil mailen, dan haalt je mail programma automatisch de publieke sleutel op vanaf die server en codeert je berichtje met die sleutel. Deze techniek bestaat al sinds de oertijd van PGP.

Probleem is wel dat als je intensief gecodeerde mai gaat gebruiken, je onherroepelijk de aandacht trekt van inlichtingendiensten en zal merken dat je gangen gevolgd worden. Pas als veel mensen hun privacy op waarde gaan schatten en encryptie gaan gebruiken, zal, deze aandacht minder snel onstaan (of veel verder worden geautomatiseerd).

Het gevecht om al dan geen wetgeving rondom encryptie is inderdaad nog lang niet uitgeknokt. Op dit moment is het even rustig (in het voordeel van de voorstanders van encryptie), maar ongetwijfeld zal er weer een onrustiger tijd komen waarbij de argumenten terrorisme, kinderporno, antisemitisme en drugshandel weer in stelling worden gebracht tegenover vrijheid vs. politiestaat, privacy vs. veiligheid enz.

Dutch_Razor @miser • 10 september 2007 22:04

Bij een simpele 256 bit key zijn er al 26^256 mogelijkheden (uitgaand van puur het alphabet), iets dat beide de Google Calc en mijn GR niet eens kunnen berekenen.

Aangenomen dat je over 1000 mogelijkheden 1 seconde doet, ben je al meer dan 1E97 seconden bezig, ofttewel 4.39058658 × 10^84 jaar.

Tegen die tijd boeit het me vrij weinig dat mijn mailtje wordt gelezen

Dat is natuurlijk uitgaande er geen backdoor in de encryptie zit, iets dat ook nog mogelijk is.

[Reactie gewijzigd door Dutch_Razor op 26 juli 2024 08:05]

Verwijderd @Dutch_Razor • 10 september 2007 22:41

Ik ben het helemaal met je eens, een goedgekozen sleutel zonder backdoors is alleen met heel veel geluk te kraken, want met de 26 letters van het alfabet en een (aangenomen) 50 bit key geeft al 2,2 * 10⁷⁴ mogelijkheden. Ofwel een 256 bit key geeft ruim 10⁵ mogelijkheden meer. Dat is zeer moeilijk te kraken en een mens bij zijn volle verstand zal daar zeker niet mee verder gaan wanneer de woorden uit de woordenboeken uitgeput zijn. Wanneer je ook nog cijfers en andere karakters meeneemt, moet het welhaast onmogelijk zijn.

@pinobot (onder)
Het is misschien wel zo dat onkraakbare encryptie niet gebruikt mag worden (ik weet dit niet, ik ben daarin niet zo thuis) maar er is niet veel encryptie die niet te kraken is. Zoals al aangegeven in bovenstaand voorbeeld is er wel encryptie die zeer moeilijk te kraken is een waar een gezond iemand dus niet aan zal beginnen, maar onkraakbare encryptie moet volgens mij nog uitgevonden worden en wanneer deze is uitgevonden duurt het maximaal een jaar voordat deze gekraakt is.

Onno @Dutch_Razor • 10 september 2007 22:14

Bij een simpele 256 bit key zijn er al 26^256 mogelijkheden (uitgaand van puur het alphabet), iets dat beide de Google Calc en mijn GR niet eens kunnen berekenen.

Heb je het nou over 256 bits of 256 letters?

Little Penguin @Onno • 10 september 2007 22:41

Hij heeft het over 256 letters, maar ook een key van 256 bits key - dat wat hij uiteindelijk bedoelt heeft enorm veel mogelijkheden (1.15792089* 10⁷⁷).

Verder komt ook een key-lengte van 1024 bits meer en meer in zwang en die heeft ongeveer 10³⁰⁸ mogelijkheden.

Vooralsnog zijn er bij beide versleutelingsopties meer dan voldoende mogelijkheden dus :-)

miser @Onno • 11 september 2007 20:37

De 256 key is redelijk snel te kraken. Een jaar terug was dit al het geval meen ik mij te herinneren.

Dat is de reden dacht ik dat banken hun verkeer beter moeten gaan versleutelen. En dan doen ze al met belangerijker verkeer dan dag in dag uit betalingen van meneer modaal.

Maar volgens mij is het probleem dat de meeste versleutelingen niet bewezen effectief zijn. Er zijn misschien wel veel opties voor de key (10 tot de huppeldepup z'n macht) maar daar vallen meestal al 90% van af om dat die gewoonweg te simpel worden om efficiënt te zijn. Maar zolang een key niet bewezen effectief is blijft er de mogelijkheid tot een achterdeur in de versleuteling. En is het kraken mogelijk makkelijker dan aangenomen.

burne @Dutch_Razor • 10 september 2007 22:28

26^256 is 171071270401117046474021258979311754959578850909434
19273428121820804173927945490685030278611176431096036475284
16104333020890489258846038684682166396940258695035139562910
20854554677358942886865467099565322891877906437779229289260
23470020826035045553304453094550548050639802885921226267922
03138929366162229261891939136513018183623855169089784691072
59185390237515776.

Maar wat dat nu precies voor zou moeten stellen is me niet duidelijk. Je wilt weten hoeveel combinaties je kunt maken met 26 symbolen die elk 256 waardes aan kunnen nemen?

(interessant hoe dat vreselijk niet past in de layout, zo'n groot getal..)

[Reactie gewijzigd door burne op 26 juli 2024 08:05]

Verwijderd @miser • 10 september 2007 21:38

Ook de overheid is gelimiteerd aan haar resources. Een met AES gecodeerd bericht is ook met de resources van de overheid niet binnen aanzienbare tijd te kraken.

Ik meende mij het volgende voorbeeld te herrineren (correct me if I'm wrong):
Als we in staat zouden zijn om een met DES gecodeerd bericht te decoderen binnen 1 seconden (dat duurt nu een aantal uur meende ik), dan zou het kraken van een AES bericht 148 miljoen jaar in beslag nemen.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 08:05]

Verwijderd @miser • 10 september 2007 21:39

Fout. Zo werkt het niet.

Sommige encrypties zijn niet te kraken met huidige apparatuur en de nodige tijdslengte mits de implementatie correct is en niet zo maar even te omzeilen.

Encryption 101 voor je: http://www.techworld.com/...s/index.cfm?featureid=993

engelbertus @miser • 11 september 2007 14:14

Als ej normaal gesproken niet wilt dat mensen weten wat je op internet uitspookt heb je twee opties, anoniem deelnemen, of je datat encrypten. pgp doet encryptie, handig, maar je bent meteen verdacht, omdat je je data afschermt.
tor doet aan anoniemiteit, het duurt wat langer voor men weet dat je data via tor verstuurt, en alsnog ben je verdacht.

men kan je anoniemiteit per toeval ontmaskeren omdat men niet weet wiens ( of dus welk) pakketje men moet decrypten
op het tor netwerk zou je dus alle data moeten decrypten om iets te vindemn dat je zoekt.

als je gewoon aan het vissen bent is het wat anders. dan heb je af en toe beet.

je moet dus aan beide doen om alles veilig te houden, maar op een gegeven moment wordt je encrypted tor data wel aangemerkt als verdacht men zal immers ook af en toe een ontvanger of verzender ontmaskeren omdat het pakketje die gegevens op een gegeven moment toch ook moet prijsgeven/ gebruiken om het af te leveren.

hoe dan ook. als je nu dus klakkeloos alleen tor gebruitk ben je zowiezo verdacht, en het is dubieus wie er meeluistert.

als de diverse belanghebbenden maar vaak genoeg klagen dat het verboden moet worden lijkt het alsof het een beproefde manier is om jezelf te verbergen op internet. die belanghebbenden die er over klagen weten allemaal heus wel dat de beginnende crimineel die tor gebruikt nu zichzelf al verdacht maakt, en makkelijk af te luisteren is.
dus zullen ze tor blijven promoten als moeilijk te kraken.

wie weet luistert de fbi al lang het overgrote deel van het tor-netwerk af, of is het zelfs door de fbi of iets dergelijk mee opgezet.

Josh_Uil 11 september 2007 10:04

Met TOR stuurde ik een mail naar mijzelf en zag in de header mijn IP staan. Toen heb ik TOR maar terzijde gezet.
Maar zeggen ze van koopprogramma's versleuteling niet dat de CIA ervan een passe-partout heeft?
Veilig is het alleen in het woeste gebergte van Afghanistan.

PolarWolf @Josh_Uil • 11 september 2007 10:41

Eigenlijk zeg je gewoon dat het artikel op jouw van toepassing is, want ook jij hebt niet begrepen wat TOR eigenlijk doet.

Zonder end-to-end encryptie (In de volksmond "SSL" genoemd) die op de data werkt, is verkeer verstuurd met TOR net zo transparant als elke willekeurige data transmissie. Elk pakket is door elke tussen- of eindnode zondermeer te onderscheppen. TOR doet alleen wat met de headers van IP pakketjes, niet met de payload (waar o.a. jouw email header in zit), dus daar zul je addionele maatregelen op moeten treffen.

Wil je anoniem emailen zonder SSL? Gebruik TOR om verbinding te maken met een anonymous remailer. Heb je alleen het probleem van de tussenliggende TOR nodes nog over die potentieel je berichten kunnen onderscheppen. Maar het ontvangen bericht is nagenoeg gegarandeerd niet te traceren.

Verwijderd @PolarWolf • 11 september 2007 13:38

"Elk pakket is door elke tussen- of eindnode zondermeer te onderscheppen."
Dit klopt niet. Alleen de exit node (de node die daadwerkelijk kontakt maakt met de eind server) kan de plaintext data lezen. Alle tussen nodes krijgen alleen maar encrypted data te zien.

engelbertus @Verwijderd • 11 september 2007 14:24

dat klopt wel, want een server weet nooit of het de exit server is.
dus elke server moet het pakketje kunnen decrypten. echter alleen de exit server doet dit daadwerkelijk.

zet je nu dus een -niet- exit server neer, die toch decrypt verkrijg je dus "illegaal" alle oorspronkelijk verstuurde berichten.

je moet echter uit die bercihten afleiden wie er bij hoort bij mail staat daar dan in de headers gewoon de servers en emailadressen bij.

bij surfen gewoon je login gegevens. en je ip misschien ook wel.

blorf @engelbertus • 11 september 2007 16:09

Volgens mij heeft tuinkruiden gelijk. Als alle pakketten door alle nodes gedecrypt kunnen worden is er bijna geen sprake meer van encryptie. Het is dan meer een protocol dat non-human-readable informatie verstuurt, wat bijna altijd het geval is bij internet protocollen

Dat neemt niet weg dat de inhoud van de verstuurde informatie niet versleuteld hoeft te zijn. Tor biedt alleen anonimiteit in de zin van wie met wie verbinding maakt.

Jace / TBL

Encryptie

@Josh_Uil • 11 september 2007 10:17

Vanaf je lokaal draaiende mailclient zeker.
Probeer maar eens met hotmail, dan kan je eigen IP er niet tussenstaan.

Darkprince1234 10 september 2007 21:20

Toch is een inbel verbinding dan toch beter lijkt me, of een gratis hot spot

gegarandeerde anonimiteit met die laatste.

willyb @Darkprince1234 • 10 september 2007 22:32

vergeet dan niet ook je mac-adres te spoofen... anders ben je toch echt nog steeds niet anoniem.

Wordt trouwens tijd dat je met een geregisteerd gestolen mac-adres niet meer online kunt ofzo... technisch harstikke haalbaar.

Nijn @willyb • 10 september 2007 22:38

Wellicht technisch, maar in de praktijk doet het vrij weinig. Allereerst is een MAC adres simpelweg een nummertje dat de netwerkkaart doorgeeft aan de ontvanger. Dat nummertje is makkelijk te veranderen. Als je al niet direct het nummer kan wijzigen (wat bij veel kaarten zo is), dan kun je de firmware hacken zodat het MAC adres dat staat geprogrameerd op de kaart genegeerd wordt.

Daarnaast, dan doe je al die moeite om een MAC adres te blokkeren, blijkt het vrij simpel te zijn om je hele blokkade te omzeilen. Een netwerkkaart in de computer plaatsen ipv de on-board kaart is al afdoende. Of wat dacht je van de WIFI kaart van je laptop vervangen? (Dat zijn mini-pci kaartjes)

Apache4u

@willyb • 10 september 2007 22:48

Een MAC adres van een node is buiten het eigen subnet niet bekend. Technisch is het dus haast niet haalbaar om mac's te blokken. Of iedere gateway ter wereld moet over een database met alle gestolen mac's beschikken (ook je linksys routertje thuis dus) die ook nog eens up-to-date wordt gehouden.
Daarnaast is een MAC adres zoals al opgemerkt eenvoudig te spoofen.

Toff @Apache4u • 10 september 2007 23:48

Mijn routertje thuis hoeft alleen maar mijn eigen mac's te kennen hoor (die worden als enige geaccepteerd).
Ik weet ook wel dat je er daarmee niet bent, maar het is eenvoudiger dan alle gestolen nummers blokkeren

Verwijderd @Toff • 11 september 2007 07:53

behalve als je een hot spot probeert te beheren want dan is het aantal macs dat erop mag ineens gigantisch

merethan @Toff • 11 september 2007 16:12

Vervolgens sniff ik jou netwerk even, weet ik het MAC adres van een computer van je en kan ik met MAC sproofen alsnog je netwerk op.

Verwijderd @merethan • 14 september 2007 07:29

Hoe wil je het lokale netwerk sniffen als je er in eerste instantie geen toegang tot hebt?

Auteur

Wouter Tinus @willyb • 10 september 2007 22:36

Wordt trouwens tijd dat je met een geregisteerd gestolen mac-adres niet meer online kunt ofzo... technisch harstikke haalbaar.

Nee. Mac is zoals je zelf al zegt eenvoudig te spoofen, niet gegarandeerd uniek, niet meer aanwezig na de eerste router/switch, enz.

[Reactie gewijzigd door Wouter Tinus op 26 juli 2024 08:05]

cyble @willyb • 11 september 2007 11:44

Eerst zeg je dat je niet moet vergeten je mac adres te spoofen en daarna zeg je dat ze mac adressen moeten registreren van gestolen netwerkhardware ...

Snake @Darkprince1234 • 10 september 2007 21:21

Dan ga ik liggen sniffen met m'n WLAN stickje en Wireshark.

Ben je ook zo bloot als wat

Naatan @Snake • 11 september 2007 13:12

Ik ben niet volledig op de hoogte wat wireless betreft maar volgends mij kun je met een WLAN nog niet het dataverkeer van een client naar een router onderscheppen, of je moet wel een hele speciale WLAN stick hebben.

merethan @Naatan • 11 september 2007 16:10

tcpdump? Je moet uiteraard wel de codering ongedaan kunnen maken (if any).
WLAN valt volgensmij net zo goed te sniffen als toen ethernet nog over een ongeswitchte coax ging.

jasperwillem @Darkprince1234 • 10 september 2007 23:18

Vergeet niet de beveiligingscamara's van de hot-spot uit te zetten.

Johnny @Darkprince1234 • 10 september 2007 23:19

De verbinding is wel anoniem, maar als je vervolgens je email er mee gaat ophalen geeft je wel je gebruikersnaam, wachtwoord en alle inhoud die je ontvangt en verstuurd prijs, n uit die gegevens is je identiteit hoogstwaarschijnlijk wel af te leiden, en dat is wat er hier met het Tor-netwerk ook is gebeurd.

AugmentoR @Darkprince1234 • 11 september 2007 01:05

en dan nog, TOR is in principe nog steeds net zo anoniem als je hot-spot.
dwz. zolang je geen persoonlijke informatie in je traffic stopt (zoals een e-mail adres), als je dat wel doet dan ben je via een hot-spot net zo makkelijk te tracen natuurlijk.

Olaf van der Spek 10 september 2007 21:23

Tja, helaas bieden veel providers webmail (en gewone mail) nog steeds aan zonder SSL/TLS.

Marcks @Olaf van der Spek • 10 september 2007 21:32

En je punt is? Mocht je er belang bij hebben, er zijn genoeg mailproviders die dat wel doen. Veel mail is echter niet dusdanig belangrijk dat er cryptografie bij moet komen kijken. Sterker nog, daar het overgrote merendeel van alle e-mailverkeer spam is, kan ik ze geen ongelijk geven.

Olaf van der Spek @Marcks • 10 september 2007 23:03

En je punt is?

Dat er (eigenlijk) geen reden is om access zonder encryptie te blijven aanbieden.

Wolfboy @Olaf van der Spek • 11 september 2007 01:15

Een belangrijke reden is de beduidend hogere cpu load, dat is voor de clients niet zo belangrijk maar voor servers die veel meer aanvragen behandelen is dat uiteraard wel van belang. Al wordt ook dat uiteraard steeds minder belangrijk.

TD-er

@Marcks • 10 september 2007 22:29

maar het is toch wel handig als je login gegevens versleuteld worden over gestuurd.

kamerplant @Olaf van der Spek • 10 september 2007 22:30

Waarbij Tor dus geen oplossing is voor dit probleem, aangezien de inhoud van de berichten aftapbaar blijven.

Dat is zeg maar de boodschap van dit artikel

VisionMaster @Olaf van der Spek • 11 september 2007 00:43

zelf ook al wel over geklaagt dat ik dat graag wil hebben, maar die enkele security minded tweaker die er om zeurt telt niet mee bij de ISP's.

Daarbij, kost het ook iets extra's aan bandbreedte en compter kracht, dus kan ik me voorstellen dat die 5% overhead wellicht gewoon geld kost

bartje 10 september 2007 21:25

wie bedenkt er dan ook dat bij zo'n systeem de verbinding met de computer niet geencrypt is en die met de server wel? als je zoiets opzet moet natuurlijk alles geencrypt worden anders kan je provider nog zien wat je via de tor bekijkt.
heb het systeem nooit gebruikt, mede omdat een derde onbekende partij mij niet verstandig lijkt als je anoniem wilt blijven.

Snake @bartje • 10 september 2007 21:41

Het is ook niet de bedoeling om de inhoud te encrypten bij Tor, maar de verzender!

sarcast @Snake • 11 september 2007 09:53

Jij stuurt een document over TOR, men ziet niet waar het vandaan komt. Maar in het document zelf staan wel je naw gegevens..

Encrypten lijkt me toch wel nuttig dan..

Daar gaat ook eigelijk het stukje over, het TOR netwerk doet z'n werk op zich goed, alleen gebruikers encrypten hun data niet. En omdat al je data nu via andere gebruikers moet lopen is er een groter risico op sniffen.

Verwijderd 10 september 2007 21:23

Tsja, anoniem internetten, je hebt er niet echt veel aan imho.

Alsof je bang bent dat iemand weet dat je vandaag t.net bezocht hebt. En zo zie je maar dat dit soort dingen kinderlijk eenvoudig schade aan kunnen richten

Ik neem aan dat webmail wat HTTPS gebruikt niet te onderscheppen valt. Althans, wel te onderscheppen, maar niet te lezen

[Reactie gewijzigd door Verwijderd op 26 juli 2024 08:05]

Sentry23 @Verwijderd • 11 september 2007 10:36

Helaas.. ook https webmail valt te sniffen, al is het dan wel via een man in the middle attack.
(en dat lijkt in dit geval dus ook mogelijk).

sirdupre @Verwijderd • 11 september 2007 10:51

Wat nou als je vanuit Nederland online kritiek wilt leveren op regeringen als de Russische of de Chinese, maar nog wel naar die landen op vakantie zou willen kunnen gaan.... Op zich is een beetje anonimiteit dan wellicht verstandig. Of als je kritiek wilt leveren op regeringen waar je in het land nog wel familie hebt wonen, die je niet in gevaar wilt brengen. Op zich is anoniem internetten dan toch wel een pré.

Sebast1aan @Verwijderd • 10 september 2007 21:41

Ach, als je anoniem wil bloggen dat je baas een enorme viespeuk is die het graag met dieren doet, dan is het wel handig.

Of als je een professionele spammer bent.

Of als je op tweakers.net wil posten dat MSCE'ers die het diploma serieus nemen prutsers zijn.

etc.

Niet echt good karma stuff, maar oke.

GrooV @Sebast1aan • 10 september 2007 22:57

Ik neem mijn Master of Science in Communications Engineering, best serieus hoor!

Ohh je bedoelt MCSE, http://www.microsoft.com/learning/mcp/mcse/default.mspx

Jace / TBL

Encryptie

11 september 2007 00:05

Met TOR naar een niet-SSL-beveiligde server connecten met je government logingegevens, hoe slim is dat

Als ze gewoon webmail hadden gebruikt waar je met HTTPS inlogt was er niks aan de hand, gehackte TOR-node of niet.

n4m3l355 @Jace / TBL • 11 september 2007 08:20

Het probleem is eerder dat de gebruikers onder het mom van veiligheid misschien krijgen opgelegd om Tor te gebruiken, klein detail daarbij is dat ze tevens hadden moeten uitleggen dat ze via een ssl-verbinding hadden moeten surfen. Bv naar een proxy connecten van de desbetreffende overheid. Het gaat echter fout doordat het merendeel van de gebruikers uberhaubt niet snappen wat ze nou eigenlijk doen dus veronderstellen ze dat ze goed bezig zijn.
Willen ze hier zo nodig iets aan doen dan moeten ze standaard bv laptoppies uitrusten die automatisch via Tor mbv een sll verbinding naar bv een proxy connecten, je moet niet verwachten dat de gebruiker dit doet, die snappen het principe toch niet.

VisionMaster @Jace / TBL • 11 september 2007 00:51

yeah, maar dat is onhandig

met een mail client heb je tenminste alles bij je.
gelukkig hebben we imaps op het werk. ideaal en via een ssh-tunnel kunnen we bij de interne smtp server om te mailen.

The Zep Man

Encryptie
Privacy
Netwerk en systeembeheer
Hackers

@VisionMaster • 11 september 2007 07:25

gelukkig hebben we imaps op het werk. ideaal en via een ssh-tunnel kunnen we bij de interne smtp server om te mailen.

Dat is pas onhandig. Gewoon zorgen dat je POP3/IMAP en SMTP direct gebruikt over SSL. Hoef je niet eens een SSH sessie (in essentie een SSL sessie via extra software) op te zetten.

Ow ja. Waarom gebruikt men voor gevoelige mailtjes over Tor niet GPG (of PGP voor degenen die niet-open-source software vertrouwen)?

Tor. Anonimiteit: ja. Encryptie: nee. Al is het afzend adres weg van een envelop en de brief die er in zit is niet gecodeerd, kan je soms uit de gegevens van de brief alsnog de afzender bepalen.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 08:05]

Verwijderd 11 september 2007 02:30

Ga dus ook niet op Tweakers.net met TOR, want iedere node waardoor je connect, kan dan je TnetID jatten!

Op dit item kan niet meer gereageerd worden.

Tor misbruikt om mailwachtwoorden af te luisteren

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: