Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Facebook brengt de komende dagen een update van zijn Android-app uit, waarin een optie wordt toegevoegd om het verkeer via het Tor-netwerk te laten lopen. Gebruikers moeten daarvoor ook de Orbot proxy-app installeren.

Facebook heeft sinds oktober 2014 een url waarop het sociale netwerk te benaderen is via de Tor-browser, zonder dat daar een exitnode voor nodig is. Volgens de dienst is er een aanzienlijke groep mensen die hier gebruik van maakt en is er vanuit die groep ook vraag naar een optie om het verkeer van de Facebook-app via het Tor-netwerk te laten verlopen.

Volgens Facebook heeft een stagiair het project in de zomer geïnitieerd en is het uitgevoerd door het in Londen gevestigde Protect and Care-team van het sociale netwerk. In een note geeft Facebook uitleg over de functie. Het gaat nog om een experiment en het netwerk vraagt aan gebruikers om feedback te geven om de Tor-ondersteuning nog verder te kunnen verbeteren.

Om Facebook over Tor in te kunnen schakelen op Android dienen gebruikers eerst de Orbot van het Tor Project te downloaden en middels deze app een verbinding tot stand te brengen. Vervolgens kan de functie in de Facebook-app ingeschakeld worden. Het ontvangen van notificaties is vervolgens niet meer mogelijk, gezien deze niet over het Tor-netwerk verstuurd kunnen worden.

Facebook-app voor Android met Tor-ondersteuning

Moderatie-faq Wijzig weergave

Reacties (38)

Wat is exact het nut hiervan? Tor wordt gebruikt voor anonimiteit, maar facebook is daar toch het tegenovergestelde van? Of ben ok nu gek..
Het kan inderdaad wat tegenstrijdig overkomen. Tor heeft daar zelf een uitgebreide uitleg over geschreven, toen Facebook in 2014 met het eigen Tor-adres kwam.

Het kan bijvoorbeeld van pas komen in landen waar Facebook niet bereikbaar is. Of op moment dat Facebook onbereikbaar wordt gemaakt door een regering om wat voor reden dan ook. Ook zorgt het ervoor dat een gebruiker Facebook kan gebruiken, zonder dat de provider (of overheden via massasurveillance) hier weet van heeft.

Je kunt Facebook natuurlijk ook redelijk passief gebruiken, om alleen dingen te lezen. Maar zelfs als je dingen plaatst, doe je dat via Tor anoniemer. De provider kan bijvoorbeeld niet zien vanaf welke locatie jij een statusupdate plaatst.
Heeft Facebook op verzoek niet de plicht connectiegegevens te delen van de gebruiker? Daarmee ben je toch juist niet meer anoniem op Tor?
Facebook weet alleen het ip van de exit node van de gebruikers. Tussen de gebruiker zit ene entry node en een heleboel relay nodes voordat de exit node verbdinding maakt met facebook. Elke node heeft een eigen ip address....Overheden moeten dus elke node een voor een verplichten om gegevens over te staan, maar deze nodes staan wereldwijd verspreid dus dat wordt lastig. Daarnaast bewaren veel nodes helemaal geen gegevens.
Behalve dat je dus nu niet via een exit node werkt, sinds facebook op het tot netwerk een adres heeft (uit het artikel)
  • zonder dat daar een exitnode voor nodig is.
Dat is inderdaad ook de eerste opmerking die bij mij opkwam. Maar ergens was dit te verwachten aangezien de meeste mensen maar één aspect van het tor netwerk kennen.

Bij het gebruik van Tor heb je eigenlijk 2 use cases.

1. Je gebruikt het Tor netwerk om een reguliere site / IPV4- / IPV6-adres te bezoeken ( zoals bv: domein.tld of 1.2.3.4): Hierbij maakt jouw computer verbinding met het Tor netwerk waarbij het de data encrypteert. En dankzij de specifieke netwerkopbouw van het Tor-net, wordt jouw data ook geanonimiseerd. Alle pakketten vloeien over drie nodes die elkaar aanspreken, laten we zeggen via een tor-ip, om zo tot de gewenste eindlocatie te komen. De laatste node in de tor-relay, de exit-node, maakt op een reguliere manier verbinding met het doeladres en is dus kenbaar voor die partij.

2. Je gebruikt het Tor netwerk om sites op het Tor-netwerk te bezoeken. Op dit moment maakt jouw pc verbinding met het Tor-netwerk, en volgt dezelfde manier van verbinden zoals hierboven omschreven. Enkel is er hierbij geen exit-node want de traffic blijft binnen het Tor-netwerk. Websites die willen hosten op het Tor-netwerk dienen een hidden service aan te maken zodat een .onion adres voor de host kan worden aangemaakt. Hierbij gaat een proces gepaard waarbij introductiepunten tot de service worden gekoppeld die geshared zijn in de Tor-directory listing.

Analogie hoe tor werkt: Jij, 'Persoon A stuurt een geheime anonieme brief in een enveloppe voor 'Persoon E'. Bovenop de enveloppe schrijf je aan wie de enveloppe moet worden gegeven, 'persoon E' in dit geval. Vervolgens steek je die enveloppe in een nieuwe enveloppe met daarop als bestemming 'persoon D'. Je doet dit nog tweemaal voor persoon C en B. Persoon B kan alleen zien dat jij een brief geeft aan persoon C maar niet de inhoud, enzovoort... 'Persoon E' weet niet wie de afzender is tenzij vermeldt in de brief. Teruggaand naar Tor, het netwerk beveiligingsprotocol zorgt ervoor dat de nodes, de tussenpersonen, geen enveloppes kunnen openmaken die niet bestemd zijn voor hun door het toepassen van een nieuwe laag encryptie bij elke tussenpersoon.
Opgepast, in usecase 1 zal de exit-node, D naar E, de verstuurde data of de brief kunnen inzien tenzij de data versleuteld was bij verzending (bv. https). Maar sowieso zal de eindpartij bekend zijn. In usecase 2 vervalt dit euvel volledig.


So remember kids: Tor-to-Tor is the future way to go :)

Edit: na enkele privéberichten over de werking even de analogie erbij gepost.

[Reactie gewijzigd door kdegussem op 20 januari 2016 04:23]

Veel dank voor je uitleg, duidelijk. Maar jouw opmerking:
Tor-to-Tor is the future way to go
Ik heb eerder eens gelezen, helaas geen bron meer, dat de capaciteit in het Tot netwerk qua verbindingssnelheid beperkt is. Als zo'n grote partij als Facebook, met zo ontzettend veel gebruikers, nu het netwerk op gaat. Zou dat niet veel gevolgen kunnen hebben voor de bereikbaar binnen het netwerk als er inderdaad fors gebruikt van wordt gemaakt?
Binnen het Tor netwerk is de snelheid gewoon goed te noemen.
Pas als je exitnodes wilt gaan gebruiken, ga je snelheidsissues merken.
ik denk dat FB wel een eigen exitnode heeft staan ( dus eerder een entrynode ) dus de snelheid zal niet drastisch omlaag vallen.
Hmm, niet helemaal correct. Omdat hidden services een zes hops gebruiken t.o.v. de drie hops voor een verbinding via een exit node.
(reden is dat zowel de locatie van de service verborgen moet blijven (drie hops) als de locatie van de bezoeker (ook drie hops). In het 'midden' ontmoeten de partijen elkaar.

Dit is ook de reden dat de tor ontwikkelaars zorgen hebben over de performance van hidden services en men aan het nadenken is over opties om een manier om alleen anonimiteit voor de bezoeker te garanderen (bruikbaar voor bv Facebook, maar ook de Debian repositories die via het apt-transport-tor package te gebruiken zijn (en tamper-proof zijn wegens het tekenen en versleutelen).
Ik neem aan dat als Facebook actief gebruik gaat maken van het Tor-netwerk dat ze ook eigen nodes toevoegen. Facebook heeft wat dat betreft de capactiteit en resources om Tor een stuk groter te maken dan wat het nu is. Win-win lijkt me.
De reden dat ik dit laatste zinnetje er had bijgezet is dat omdat het Tor protocol de meest hedendaagse tracking mogelijkheden belemmert. Zijnde van profiling voor advertenties, werken op een hotspot public wifi tot overheidscontrole.

Nu je haalt wel een interessant punt aan: de bandbreedte die Tor ter beschikking heeft is onderworpen aan de mensen die ook bandbreedte delen met het netwerk. Elke gebruiker van Tor is niet per direct ook een vrijwilliger binnen het netwerk. Dat wil zeggen dat je niet automatisch jouw verbinding deelt om te functioneren als entry, exit of middle node voor het netwerk. Verbruiker vs. Participant, zeg maar.

Nu op dit moment is de throughput van het Tor-netwerk ongeveer 175Gbit/s (bron). Dus qua capaciteit kan dit al tellen.

Hoe meer mensen mee participeren hoe sneller het netwerk ook zal worden. Door te participeren, zorg je er ook voor dat het moeilijker is om het slachtoffer te worden van timing- of tagging-attacks waarbij traffic analyse bij het begin en eindpunt ervoor kan zorgen dat d.m.v. statistiek, jij kan worden geidentificeerd ondanks de beveiliging.
Dat is dus het mooie van 1 app... Je geeft toestemming dat je locatie (/gps) aangesproken mag worden door de app en de app kan de locatie gegevens ophalen en versturen via tor.

Zo ongeveer elke grote data-collecting company weet onderhand wel dat connectie-gegevens vrij waardeloos zijn op smartphones vergeleken met wat de app zelf kan raadplegen (vanwege provider ingezette proxy's maar ook verschil tussen masten en waar ze het internet opgaan etc. etc.) oftewel FB heeft al lang geleerd dat de waarde van confectiegegevens vrij laag is en dat dus een transport mechanisme dat dat helemaal niet meer heeft niet zo erg is.

In principe zou FB het goed willen doen dan zouden ze een losse .tor app uitbrengen met losse security rechten zodat je echt kan kiezen tussen secure of non-secure ipv non-secure vs gedeeltelijk secure vanwege eerdere toestemmingen die je hebt gegeven toen je op non-secure zat.
Ik gebruik nu zo'n 2 jaar de mobiele site: https://m.facebook.com/?sk=h_chr en dat werkt prima. De toevoeging '?sk=h_chr' zorgt dat nieuwste posts bovenaan staan, i.p.v. gesorteerd op 'Top stories'.
De app van Facebook gebruik ik allang niet meer, met de mobiele website kan ik hetzelfde als met de app.

Scheelt batterij, geen irritante notificaties altijd (ja, die kun je uitzetten maar gaan vaak na een update toch weer vanzelf aan) en geen app meer op m'n telefoon die onnodig veel van mij wil weten.
Sleep de snelkoppeling op je homescreen en je merkt amper verschil in het starten van de app, of deze mobiele site.

[Reactie gewijzigd door ThinkPad op 20 januari 2016 10:14]

Dit doe ik ook, hoewel ik ook Instagram gebruik, dan wel de app, en ook nog eens whatsapp, dus wat maakt het uit... Maar goed, als je dan Facebook in je browser gebruikt, en je gebruikt Chrome op je Android telefoon, wat geef je dan weg aan Google? Daarom gebruik ik Firefox. Hoe dat zit op de iPhone weet ik even niet, maar ik geloof dat Firefox ook daar een browser heeft, die dan wel webkit gebruikt voor rendering, maar toch.
Alle browsers op mobiele apparaten gebruiken volgens mij webkit. Safari en Chrome iig. Firefox weet ik niet, maar die is op iOS eigenlijk bijzonder traag.

Maarja. Ook al gebruik je een tor ("VPN") tunnel . Op het moment dat je geen Torbrowser gebruikt en gewoon toestemming geeft voor locatie data kunnen "ze" alsnog zien waar je zit. Dat de tunnel veilig is betekent niet dat de rest het dan ook automatisch is.
Er is geen sprake van een exit node. Facebook is namelijk bereikbaar via een onion URL. Maar heel veel zal dat niet uitmaken, want je kunt interne nodes natuurlijk ook als exit zien in dit geval.
momenteel enkel met de VS en een paar andere schimmige overheden
Anonimiteit is altijd relatief. Ik ken jou niet, maar jouw ouders kennen jou wel. Voor mij ben jij anoniem, voor hen niet.

Zo ook met Tor. Het anoniem zijn op de website die je bezoekt is slechts 1 use-case. Het kan ook zijn dat je niet wil dat je ISP meekijkt, of de overheid van het land waar je je bevind, etc. maar dat je Facebook wel vertrouwd.
Met gebruik van aliassen of dummy accounts kan Facebook ook gebruikt worden in dictatoriale en anderszins onzuivere regimes. Zowel voor communicatie in privé sfeer als voor organisatie van weerstand en demonstraties, met mogelijk bereik van internationale steun. Heeft bijvoorbeeld in de Arabische lente best een grote rol gespeeld, toen. Op deze manier kan dat net iets veiliger, gok ik.
Een dummy account voorkomt geen dns blokkade, iets wat je met Tor wel omzeilen kan.
Dummy accounts mogen toch niet? Je moet toch je eigen naam gebruiken?
"Privacy is more about control than it is about secrecy" - Bruce Schneier.

Het gaat in dit geval om anonimiteit bij het gebruik van Facebook t.o.v. overheden en spionagediensten. Dat iemand bereid is om anonimiteit en/of privacy op te geven bij Facebook, betekent nog niet dat diezelfde persoon daartoe bereid is bij de overheid.
Misschien een domme vraag. waarom kunnen er geen notificaties verstuurd worden via tor?
Facebook kan zijn notificaties en door gebruikers gestuurde berichten toch op 'tor' servers opslaan tot het moment dat de gebruiker zijn telefoon verbinding maakt met het tor netwerk om te kijken of er nog iets op te halen valt ? of denk ik nu heel raar
Omdat push notificaties op Android in eerste instantie via Google (of via Apple voor iOS) lopen en niet direct via de Facebook app. Om push notificaties via TOR te ontvangen zou Google dat dus in Android zelf moeten ondersteunen, daar kan Facebook verder niks aan doen.

Als alternatief zou de Facebook app op de achtergrond kunnen blijven draaien en regelmatig checken of er notificaties zijn, maar dat gaat ten koste van het data- en batterij-gebruik. Deze "oude" manier van notificaties willen de meeste mensen juist vanaf.
Je krijgt wel notificaties op het moment dat je inlogt in de app, maar geen notificaties als je Facebook op de achtergrond draait.
Ik vermoed omdat het via TOR niet mogelijk is vanuit Facebook om een verbinding te openen met de telefoon (voor push berichten), maar alleen de andere kant op (telefoon naar Facebook, pull berichten), en het systeem voor notificaties gebouwd is op push berichten.

Dus waarschijnlijk is het systeem van Facebook best aan te passen zodat het wel werkt, maar is de doelgroep daar te klein voor.
Simpel gezegd omdat notificaties via Google of Apple-servers verlopen.

En die doen het niet via .tor

Dus als je het wel zou toestaan (op de standaard manier) dan zou een ISP / Overheid niet zien dat jij naar FB gaat (want tor), maar wel dat FB jou notificaties verstuurt wat op zich een vreemde situatie zou zijn en verder onderzoek zou vereisen als het echt niet toegestaan is.

Alternatief is dat FB zelf een compleet eigen push-notificatie systeem gaat bouwen om enkel via tor te gaan communiceren maar dat zijn dan weer geen standaard notificaties en het is vrij veel werk.
Is Tor lang geleden al niet 'onveilig' verklaard? Tuurlijk kan ik het mis hebben, maar als het waar is, krijg je er niet meer veiligheid of anonimiteit door.
Wat binnen Tor als onveilig verklaard is, is het gebruik van exit nodes. Het is heel eenvoudig om een exit node te spoofen en alles wat over die exit node gaat is niet echt anoniem meer.

Facebook kan echter gebruikt worden zonder gebruik te maken van een exit node aangezien Facebook zelf een aanwezigheid heeft binnen het Tor netwerk.
Als ik het dan goed begrijp kan een overheid een exit node opzetten.
Maar, gezien mijn data eerst door(geen idee of er een minimum op zit?) een aantal relay nodes gaat weten ze nog niet waar het vandaan komt. Tenzij ik in die data persoonlijke gegevens verstuur. Correct?

En in dat geval zou ik dus niet moeten gaan internetbankieren over Tor, toch?

Ben er nog niet helemaal in thuis maar ik weet wel dat hoe meer gebruikers er zijn, hoe sneller het netwerk word :)
Wel het protocol is niet compomised maar is wel enkele keren aangevallen geweest. Hidden Services die gesloten werden en opgedoekt werden in raids, hebben hun kiem gevonden in menselijke fouten en bad security practice van de site admins. De werkelijkheid is dat we niet weten hoe veilig het wel is. Toch, wanneer je ziet wat je kan vinden op het Tor-net, zou je kunnen zeggen dat de incentive voor het kraken van dit netwerkmodel er is, maar dat het niet lukt of het was reeds volledig opgedoekt geweest. Als men de beveiliging van Tor heeft kunnen kraken met bv. een SSL/TSL-backdoor of iets dergelijks, dan zou ik er van uitgaan dat Tor gevaarlijker is dan het reguliere internet, enkel en alleen omdat de te verzamelen data veel kleiner is in de Tor-groep dan het internet in zijn geheel. Maar dat wil tegelijk ook zeggen dat alle traffic van elke ISP compromised is.

Uiteindelijk is OPSEC een intensieve taak, en hangt het af van jouw eigen scénario en situatie. Wanneer je hierna toch concludeert dat je nood hebt aan een zeer goede security approach dan zou ik opteren voor combinatie van VPN en TOR, samen met een betrouwbare browser, geen flash, een stricte firewall en proxychains voor elke app die je gebruikt.

[Reactie gewijzigd door kdegussem op 20 januari 2016 04:35]

Lol. Dit bericht klinkt inderdaad enigszins ironisch.
Maar toch heeft het wel degelijk meerwaarde dat FB gebruikt kan worden via TOR natuurlijk.

Het heeft voor en nadelen. Als nadeel heb je natuurlijk dat als je TOR gaat gebruiken en je constant bent ingelogd op Facebook, dat TOR dan voor geen meter helpt bij privacy bescherming oid natuurlijk.
Aan de andere kant, als je in een regime zit dat Facebook blokkeert of iets zorgt ervoor dat je, terwijl TOR noodzakelijk is voor je veiligheid, je echt op FB moet kunnen inloggen (al dan niet met een anonieme account): dan helpt het wel dat je er gewoon bij kan, in plaats van dat je met een enorm scala aan beveiligingscontroles en IP bans te maken krijgt.

Ook kan het handig zijn bij overheden die heel veel censuur toepassen.
Zo is FB al een paar keer geblokkeerd in Turkije. Dan kan je op een VPN gaan hangen, maar dat kost nog wel eens geld. TOR niet. Wel zo handig dan. :)

[Reactie gewijzigd door WhatsappHack op 19 januari 2016 22:30]

Opent Tor niet voor iedere app een andere route door het Tor netwerk dan, als je de Android versie gebruikt? In de desktop browser heeft in ieder geval elk domein een andere route door het netwerk.
Facebook en tor. Dat klinkt als dwijlen met de kraan open ;)
Is er iets met de tweakers site er staat alleen nieuws van gisteren op de site?
Oke, is inmiddels net veranderd.
Hij stond ook erg lang op read only, dat heb ik nog niet vaker meegemaakt.

[Reactie gewijzigd door pkleingu2 op 20 januari 2016 09:31]

Wat ik niet begrijp is dat hele volksstammen niet weten dat "elk" programma die ik tegen kom op je android je ID opvraagt van je telefoon en vaak nog meer :z . Wat er mee gedaan wordt lijkt me duidelijk en met grijze wolken omgeven.
Nu ga je met 1 van die programma's het TOR netwerk op, zeg Chrome .. ff naar facebook.
Het lijkt me dat XPrivacy zijn geld dubbel en dwars waard is :) je kunt het afvragen van veel dingen blokken.. soms te veel dan werkt het proggie niet meer :+
Een slimme keuze van Facebook om landen waar het is geblokkeerd de mond te snoeren. :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True