Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

Mozilla werkt aan een update om een beveiligingsgat te dichten dat gebruikers van de Tor-browser zou kunnen ontmaskeren. De Tor-browser draait op een aangepaste versie van Firefox. De javascript-exploit zou in staat zijn om mac-adressen, hostnamen en ip-adressen te ontfutselen.

TOR logo (über)Volgens een anonieme mededeling op de Tor-community wordt de javascript-exploit nu publiekelijk ingezet om gebruikers van de Tor-browser te ontmaskeren. "De werking is niet helemaal duidelijk, maar het krijgt toegang tot VirtualAlloc in kernel32.dll en gaat vanaf daar verder", stelt hij of zij. Het enige dat een slachtoffer hoeft te doen om getroffen te worden, is een geïnfecteerde webpagina bezoeken.

Tor-hoofd Roger Dingledine reageert op de posting door te zeggen dat Mozilla al op de hoogte is van het beveiligingsgat en werkt aan een update, maar dat hij niet overtuigd is dat de Tor-browser ook getroffen wordt. Dat moet later nog bepaald worden, volgens hem.

The Register schrijft dat de tool sterk lijkt op een andere Tor-exploit uit 2013. Beide tools maken via http verbinding met een ip-adres op poort 80 waarna ze het mac-adres, de hostnaam en het ip-adres van het doelwit doorsturen. Het ip-adres waar de gegevens heen gingen, zou toebehoren aan een virtual machine bij de Franse hostingpovider OVH. De Tor-exploit uit 2013 werd ook door de FBI gebruikt om criminelen op Tor te ontmaskeren.

Of de FBI ook deze exploit heeft gebruikt bij Operation Playpen, is niet duidelijk. De FBI weigert namelijk prijs te geven met wat voor malware het precies de identiteiten van duizenden kinderporno-verspreidende Tor-gebruikers heeft weten te achterhalen. De twee methodes hebben wel gemeen dat ze tot op heden ongepatcht zijn en Tor-gebruikers hun ip-adres ontfutselen.

Moderatie-faq Wijzig weergave

Reacties (68)

Tor is leuk voor als je anoniem wilt zijn. Maar ik denk dat het naÔef is te denken dat je veilig bent voor de FBI of NSA. Want daar hebben ze genoeg mensen fulltime op dit soort software zitten om exploits te vinden. En denk maar niet dat ze die delen, die komen gewoon in de kast "zero day exploits" en worden dan gebruikt op het moment wanneer het nodig is.
De vorige exploit, waar dit artikel ook over gaat, werkte alleen op Windows machines met TOR. Nadat de exploit op de onion site had gedraaid, maakte de PC buiten TOR verbinding om naar een machine van de FBI. De FBI kon zo zien welke IP adressen de onion site bezochten. Niet wat de inhoud van de communicatie was.

Er zijn verschillende oplossingen om dit soort exploits tegen te gaan:
- Gebruik TOR op Linux en zet Javscript uit via de ingebouwde NoScript plugin. De meeste Firefox TOR exploits, waaronder deze hierboven, richten zichten tot nu toe op Windows icm Javascript.

- Zet eerst een VPN verbinding aan en maak daarna verbinding met TOR. Als er een IP adres lekt en je VPN is goed ingesteld, dan ziet de aanvaller het IP exit adres van de VPN server en nog niet je eigen IP adres.

- Gebruik een OS zoals Tails waarbij alle communicatie via TOR gaat, ook niet HTTP verkeer dat buiten de TOR browser omgaat.
Opmerkelijk dat het Tor Project vroeger JavaScript standaard had uitgeschakeld. Tegenwoordig is dat niet meer, met als hoofdreden dat je de kans hebt dat websites daardoor niet meer goed functioneren. Dus klaarblijkelijk functionaliteit boven veiligheid?

Ik vind dat als je een website onder Tor hebt draaien, je als webbouwer er maar voor moet zorgen dat deze ook zonder JavaScript werkt.

https://www.torproject.org/docs/faq#TBBJavaScriptEnabled
Why is NoScript configured to allow JavaScript by default in Tor Browser? Isn't that unsafe?
We configure NoScript to allow JavaScript by default in Tor Browser because many websites will not work with JavaScript disabled. Most users would give up on Tor entirely if a website they want to use requires JavaScript, because they would not know how to allow a website to use JavaScript (or that enabling JavaScript might make a website work).

There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!). But there's a third issue: websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

Ultimately, we want the default Tor bundles to use a combination of firewalls (like the iptables rules in Tails) and sandboxes to make JavaScript not so scary. In the shorter term, TBB 3.0 will hopefully allow users to choose their JavaScript settings more easily — but the partitioning concern will remain.

Until we get there, feel free to leave JavaScript on or off depending on your security, anonymity, and usability priorities.

[Reactie gewijzigd door biglia op 30 november 2016 11:15]

Ik vond het ook bizar dat ze Javascript standaard aangezet hebben. Veiligheid lijkt mij juist belangrijker dan of een pagina helemaal goed toont. Het kan iemand z'n leven kosten.
Ik vind dat als je een website onder Tor hebt draaien, je als webbouwer er maar voor moet zorgen dat deze ook zonder JavaScript werkt.
Zoals ik die documentatie lees gaat het hier niet om "echte Tor sites" (blabla.onion adressen), maar om reguliere sites waarbij de gebruiker ervoor kiest om via Tor te gaan. Met jouw redenering zou in feite elke site op het hele Internet rekening moeten houden met scriptblockers.
Most users would give up on Tor entirely if a website they want to use requires JavaScript
Oftewel: JS enablen is slecht, JS disablen is nog slechter, want dan zullen veel gebruikers overstappen op een andere browser (en dus Tor helemaal niet gebruiken).
Facebook: facebookcorewwwi.onion
WikiLeaks: suw74isz7wqzpmgu.onion
Freedom of the Press Foundation: freepress3xxs3hk.onion
DuckDuckGo: 3g2upl4pq6kufc4m.onion

In bepaalde landen is het prettig als je deze en andere sites kunt bereiken zonder dat de autoriteiten je op het spoor kunnen komen.

Wat is trouwens illegaal? In de UAE is drank verboden, in IndonesiŽ mag je geen drugs bezitten, in Tobago krijgen homosexuelen gevangenisstraf, in Singapore krijg je 1000 dollar boete als je met kauwgom wordt betrapt. Criminaliteit wordt vaak met onethische kwesties in verband gebracht maar strikt genomen is het niet meer dan een definitie in de wet en die wet is in ieder land anders. In Texas kijken ze niet op als je met je shotgun het restaurant in wandelt. Moet je in Nederland eens proberen...

We kunnen overal een mening over hebben maar de wereld is lang niet zo zwart-wit als meestal gedacht wordt.
Je mist mijn punt. Die sites die je noemt zijn gewone sites.

En in bepaalde landen gelden andere wetten dan in andere landen. Maar we kunnen stellen dat sites die huurmoordenaars en kinderporno aanbieden meer onder de aandacht liggen van de veiligheidsdiensten dan facebook. Zo zullen deze ook nep-sites met dat soort inhoud aan maken, of sites hakken en van bepaalde inhoud voorzien

Dus als je van dat soort sites weg blijft, zul je waarschijnlijk ook niet op pagina's komen die de genoemde exploit gebruiken.
Wat zijn 'gewone' sites? En hoe definieer je kinderporno? Meisjes van 15 om mee te videochatten? In Thailand mag het dus waar ligt de grens? M.i. bestaan er geen universele grenzen aan het toelaatbare. Het enige wat ik wil zeggen is dat van een willekeurige site, of dat nu een .onion site is of een reguliere URL, niet zonder meer vastgesteld kan worden of deze illegaal is of niet. Zelfs binnen Nederland, waar bijv de vrijheid van meningsuiting niet absoluut is, ligt het juridisch lastig als het om bepaalde zaken gaat. Wordt Wilders straks schuldig bevonden of vrijgesproken? Niemand die het weet. Discussies zoals o.a. Wilders ze voert, kun je net zo goed op een internetforum voeren en dan zou het zomaar kunnen dat een dergelijke website waar in feite niets anders dan maatschappelijke discussies worden gevoerd als illegaal wordt bestempeld omdat de deelnemers categorisch wetten blijken te overtreden. Maar hoewel ik het categorisch oneens ben met de mening die Wilders aanhangt, vind ik wel dat de discussie gewoon gevoerd moet kunnen worden. Mensen moeten namelijk de vrijheid hebben om altijd hun mening te kunnen uiten. Anders gaat het ondergronds en krijg je rare toestanden.

De oplossing zou internationale wetgeving zijn om integraal voor alle VN-landen de grenzen vast te stellen. Dan krijg je een universeel kader waarbinnen je alles kunt toetsen. Ik denk alleen niet dat het realistisch is om te verwachten dat zoiets deze eeuw al lukt.
Laten we ons aan de wetten van het land houden waar we ons in begeven.
Maar je weet zelf wel of je legaal /illegaal of op het randje bezig bent. Want als volwassene chatten met een 15 jarige op een speciale site hiervoor...... Sorry, maar dan ben je in mijn ogen gewoon fout bezig. er is ook zoiets als gezond verstand en moraal enzo. Maar ook dat is natuurlijk niet definieerbaar.
Heel veel zaken, als het bijv om politiek of sexuele moraal gaat, zitten in een grijs gebied waarbij het gewoon helemaal niet makkelijk is vast te stellen of je inderdaad op dat zogenaamde randje zit. En dan is er nog het verschijnsel dat iets wat vandaag legaal is morgen illegaal is en je ervoor wordt opgepakt.

Wat in jouw ogen fout is, is bij een ander gewoon geaccepteerd, en andersom. Daarvoor bestaat gewoon geen universeel handboek. De wereld is wat dat betreft bijzonder kleurrijk en dat is maar goed ook!
In jouw ogen wel.
In die van vele moeders in West-Afrika niet; zij zien hun dochters liever bijtijds de deur uit gaan. Want wat als hun dochter op haar 18e/20e nog vrijgezel is?

Schaamte, schande, oh en ach...

Landen waar uithuwelijking nog schering en inslag zijn, zijn in uw ogen waarschijnlijk ook verwerpelijk. Terwijl onze hele bourgeoisie van inteelt aan elkaar hangt en "uithuwelijking" dan wel niet meer bestaat, maar "zachte dwang" wel degelijk tot de gangbare praktijken behoort...
Hmmm. Volgens mij is dit iets voor een ander soort forum. Als je in Nederland onder zachte dwang laat leiden, dan moet je ook eens nadenken waar je mee bezig bent en hulp zoeken. Dat kan namelijk hier.

[Reactie gewijzigd door gjmi op 30 november 2016 21:44]

Feit, completely off-topic.
En dat gebeurt dus ook regelmatig; mensen die uit die kringen stappen, simpelweg omdat ze niet mee willen in die eeuwenoude tradities. Naarmate je zuidelijker gaat, wordt het erger...
Wat zijn 'gewone' sites? En hoe definieer je kinderporno? Meisjes van 15 om mee te videochatten? In Thailand mag het dus waar ligt de grens?
Waarom moet er altijd gezocht worden naar de grens, waarom kan er niet gewoon met verstand gekeken worden?
In jouw vraag ligt simpelweg de grens in Thailand ergens anders dan in NL.
Wordt Wilders straks schuldig bevonden of vrijgesproken? Niemand die het weet. Discussies zoals o.a. Wilders ze voert, kun je net zo goed op een internetforum voeren en dan zou het zomaar kunnen dat een dergelijke website waar in feite niets anders dan maatschappelijke discussies worden gevoerd als illegaal wordt bestempeld omdat de deelnemers categorisch wetten blijken te overtreden.
Onzin, je hebt geen flauw benul waar het proces Wilders over gaat als je denkt dat hetzelfde opgaat voor een discussie op internet.
De oplossing zou internationale wetgeving zijn om integraal voor alle VN-landen de grenzen vast te stellen. Dan krijg je een universeel kader waarbinnen je alles kunt toetsen. Ik denk alleen niet dat het realistisch is om te verwachten dat zoiets deze eeuw al lukt.
Dan heb je het nog alleen maar binnen de VN en niet over de hele wereld. Maar snap je wel de gevolgen van wat je hier wenst?
Want in principe wil jij dus 1 wereldleider hebben die alles bepaalt...
Waarom moet er altijd gezocht worden naar de grens, waarom kan er niet gewoon met verstand gekeken worden?
In jouw vraag ligt simpelweg de grens in Thailand ergens anders dan in NL.
Waarom mag hier niet over nagedacht worden? Niemand zoekt hier een grens op. Lees anders de discussie nog eens door. Het gaat er puur over om eens na te denken over zaken die we vaak als evident ervaren maar dat niet altijd zijn.
Onzin, je hebt geen flauw benul waar het proces Wilders over gaat als je denkt dat hetzelfde opgaat voor een discussie op internet.
Het gaat erover dat mensen kunnen verschillen van inzicht en dat er zelfs in Nederland af en toe een rechtszaak nodig is om te toetsen of iets illegaal is of niet.
Dan heb je het nog alleen maar binnen de VN en niet over de hele wereld. Maar snap je wel de gevolgen van wat je hier wenst?
Want in principe wil jij dus 1 wereldleider hebben die alles bepaalt...
De VN zŪjn de hele wereld, op een tiental kleinere landen na. Internationale wetgeving bestaat allang zonder dat daar een enkele wereldleider voor nodig is dus jouw opmerking is wat betreft nogal uit de lucht gegrepen. Overigens stel ik ook helemaal niet voor dat we dat zouden moeten bewerkstelligen. Het is slechts het gevolg van de wens of de idee van sommigen dat internationaal gelijke normen gesteld zouden moeten worden als het om criminaliteit gaat. Dat is namelijk waar je impliciet om vraagt als je bepaalde websites als absoluut crimineel wilt bestempelen en waar ik persoonlijk helemaal geen behoefte aan heb omdŠt ik snap dat dat onzinnig is.
[...]
Het gaat erover dat mensen kunnen verschillen van inzicht en dat er zelfs in Nederland af en toe een rechtszaak nodig is om te toetsen of iets illegaal is of niet.
Wat ik al zeg, je snapt niets van dat proces.
[...]
Dat is namelijk waar je impliciet om vraagt als je bepaalde websites als absoluut crimineel wilt bestempelen en waar ik persoonlijk helemaal geen behoefte aan heb omdŠt ik snap dat dat onzinnig is.
Ok, benoem man en paard dan eens? Wie wil bepaalde websites absoluut als crimineel bestempelen? Want eigenlijk zie ik alleen jou ermee komen...
Dus of je bent een discussie aan het voeren met een punt wat je zelf onzinnig vind enkel wat je wel zelf erin hebt gebracht, of je mag de persoon aanwijzen die het er volgens jou ingebracht heeft.
Met alle respect maar ik vind je nogal vooringenomen. Omdat ik hier niet helemaal alles uitkauw snap ik maar niks van. Dergelijke opmerkingen voegen ook helemaal niets toe aan een discussie. Het zijn dooddoeners die al veel te vaak langskomen op internet. Dus inderdaad, benoem man en paard eens? Reageer dan eens inhoudelijk waarom jij dat proces in deze context geen goed voorbeeld vindt? Oftewel gun een ander jouw diepere inzicht als dat zoveel beter is.

Voor de rest haal je mijn woorden omtrent illegale sites totaal uit hun verband. Ik voel me ook niet geroepen om er nog inhoudelijk op te reageren omdat alles er al over gezegd is. Voor de rest heeft het helemaal geen zin om een semantische discussie op gang te brengen omdat jij heel goed weet dat dat alleen maar in eindeloze discussies uitmondt die geen enkel doel dienen. En als je het antwoord al denkt te weten waarom vraag je er dan nog naar?

[Reactie gewijzigd door 2fish op 1 december 2016 12:53]

Bing werkt ook prima via Tor tegenwoordig.
wat is dit voor rare opmerking van een tweaker; alsof alle tor inhoud illegaal is

er zijn tich informatieve websites, politieke website en sociale kringen. Denk hierbij aan communicatie over regiem wat aan onderdrukking doet (een turkije, china etc.) Sociale kringen die in het reguliere web niet 'kunnen' - denk aan anorexia, mensen met bepaalde stoorning. Dan heb ik het nog niet eens gehad over alle globale pagina's waar de hoster 'onbekend' wil blijven - heeft nog nietsm et illegale content te doen - wel met informatie die gepubliceerd wordt waarvan 'men' niet gevonden wil worden.

[Reactie gewijzigd door himlims_ op 30 november 2016 10:10]

Vrijwel alles wat op TOR gedaan wordt is crimineel. Dat omvat moord, afpersing, drugs- en wapenhandel. Er worden ook dingen gedaan die niet overal crimineel zijn: porno in Iran, politieke kritiek in Turkije, wiet in de VS en wapenhandel in NL. Van sommige van die dingen vinden wij dat ze ten onrechte als crimineel bestempeld worden, maar dat doet er niet aan af dat ze wel degelijk crimineel zijn. Je niet bezig houden met criminele zaken is dus zeker een goed advies, als dat mogelijk is.

Als jij vindt dat jouw politieke kritiek, wapenhandel of moord niet crimineel zou moeten zijn, kun je inderdaad TOR gebruiken, en moet je je heel bewust zijn van de risico's die daar aan kleven.
wapenhandel, moord ?? daar gaat het helemaal niet over.

er wordt hierboven gesuggereerd dat -alles- op tor illegaal is. dat is helemaal niet zo, tor biedt meer dan een underground marktplaats.

misschien keertje zelf gebruiken zul je dit ook ervaren. er zijn veel politieke en informatieve pagina's. die geen fck met is/wapen- mensenhandel etc. te doen hebben

[Reactie gewijzigd door himlims_ op 30 november 2016 10:57]

Ik heb een periode een exit-node gedraaid, en meegekeken met het verkeer. Ik heb vrijwel geen legaal verkeer aangetroffen. 40% van het verkeer is torrent trackers (en dat zal vast niet gaan over linux isos), 40% van het verkeer is comment spam. De overige 20% is voor het grootste deel niet te identificeren (versleuteld, niet http, etc).

Ten minste 80% van het verkeer dat via exit nodes loopt is in mijn steekproef illegaal. Ik heb geen legaal verkeer aangetroffen. Het zou kunnen dat die overgebleven 20% uiterst braaf is, maar die aanname lijkt me wat naÔef.

Op het dark web (*.onion) zijn de sites die serieus onderhouden worden de handelsplaatsen voor illegale waar en diensten. Opnieuw, het zou kunnen dat er ook legale sites bezocht worden, maar gezien de onderhoudstoestand van die sites vinden de beheerders dat zelf niet waarschijnlijk. (grote uitzondering is DuckDuckGo)

Het is ook logisch: er zijn niet echt goede reden om legaal verkeer over TOR te routeren. Het is heel veel langzamer en omslachtiger, en HTTPS is hoogst waarschijnlijk even veilig, mits je de te bezoeken site vertrouwt (wat meestal het geval is).
ik zeg helemaal niet dat alles illegaal is. Ik bedoel maar dat de FBI en dergelijke niet geinteresseerd is in gebruikers die sites bezoeken die gewoon legaal zijn, en je er van uit kunt gaan dat deze exploits niet op websites met legale inhoud staan.
NAief lijkt niets voor niks op Lief... ;-)
Tor op een router ipv op de machine waar je browser op draait dan kan je ip nooit lekken via de browser. Je kunt hiervoor een raspberry pi gebruiken of bijv een kant en klare invizbox kopen.

Een andere tip om geen x86 processor te gebruiken maar bijv PowerPC, Itanium, sparc, mips een exploit geschreven voor de veel meer gebruikte x86 of ARM zal dan niet werken.

[Reactie gewijzigd door (id)init op 30 november 2016 09:42]

Je bedoeld gewoon te zeggen zorg dat je achter een NAT zit. Want direct denken dat als je router TOR draait dat je dan veilig zit klopt niet.

Met IPV6 doe je niet meer aan NAT, maar krijgt elke PC gewoon een internet routable adres, je router krijgt dan een "ruim" subnet ipv een /32 subnet zoals dat nu gebeurt bij ipv4 (dus feitelijk 1 IP). Bij IPV6 krijg je volgensmij al vrij snel gewoon een complete /96 (dus het hele IPV4 netwerk qua adressen) Wat ik weer jammer vind, zo zijn we ook weer binnen no-time door ipv6 heen (er word zelfs al met /64 gestrooid in de cloud omgevingen).
Nee dat bedoel ik niet. Je verbreekt de normale verbinding tussen PC en router en plaatst daartussen een router waarop tor draait. Browser kan dan alleen het lokale adres lekken dat de tor router aan je PC geeft. Meestal iets in de reeks 192.168.xxx.xxx. Het is niet 100 procent waterdicht maar je bent wel beschermd tegen browser exploits zoals die nu tegen tor gebruikers worden gebruikt.

o.a. Spiegel online heeft een handleiding hoe je zoiets met een raspberry pi maakt.
http://www.spiegel.de/net...s-sponionpi-a-907568.html

[Reactie gewijzigd door (id)init op 30 november 2016 12:07]

Tor op een router ipv op de machine waar je browser op draait dan kan je ip nooit lekken via de browser. Je kunt hiervoor een raspberry pi gebruiken of bijv een kant en klare invizbox kopen.
Of containters, of Qubes, Whonix, Subgraph OS. Meteen een machine aanschaffen die Qubes R4 volledig ondersteunt.
Een andere tip om geen x86 processor te gebruiken maar bijv PowerPC, Itanium, sparc, mips een exploit geschreven voor de veel meer gebruikte x86 of ARM zal dan niet werken.
Security by obscurity
Kleine toevoeging: draai die Tails distro van een SD-kaartje of een USB stick in een laptop zonder harde schijf ;)
Mooi al die technieken. Maar ik sla alle techniek weg welke je opnoemt met een simpele statement: "Elke vorm van software in de wereld bevat exploits, of heeft op dit moment een exploit". Dus er zijn gewoon heel veel "nog" niet gevonden zero day exploits in TOR. Of er zijn gewoon zero day exploits die de FBI of NSA op dit moment op de plank heeft liggen die nog niet gedicht zijn of gevonden door mensen die belangen hebben om die exploit te dichten.
Inderdaad. En als je normale websites bezoekt is dat niet iets waar de FBI en aanverwanten zich voor interesseren. Alleen als je je met illegale zaken bezig houd, en websites bezoekt die daarin faciliteren, zijn ze geÔnteresseerd, en dan mogen ze van mij elk bedenkbare exploit gebruiken om je echte identiteit te achterhalen.
"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."
Het is niet iets waar ze zich voor interesseren, maar grote kans dat jij ook een keer in een digitaal sleepnet terecht komt omdat je 2e of 3e contact van iemand bent waar ze zich wel in interesseren. Ik heb weinig behoefte aan dat iemand bij de FBI/NSA mijn webgedrag loopt mee te kijken ookal 'heb ik niets te verbergen'. Domste argument ooit.
Ik heb weinig behoefte aan dat iemand bij de FBI/NSA mijn webgedrag loopt mee te kijken ookal 'heb ik niets te verbergen'
Hoewel het vervelend is dat ze mee kunnen kijken, wordt het pas een probleem als ze iets met die informatie gaan doen. Als je "niets te verbergen hebt", zal dat niet snel gebeuren.
Domste argument ooit.
Don't do that. Niemand heeft ooit zijn mening veranderd nadat 'ie dom genoemd is.

[Reactie gewijzigd door kvdveer op 30 november 2016 10:50]

Ook al heb ik niets te verbergen, de overheid hoeft niet alles klakkeloos te kunnen zien, en al helemaal niet omdat diezelfde overheid maar al te vaak een dubblele agenda heeft.

Zelfs iemand of een organisatie die ik volledig vertrouw hoeft niet alles van mij te weten cq mee te kijken, ik heb recht op privacy en hecht daar veel waarde aan. En vertrouwen in overheden en EU en soortgelijken ben ik allang kwijt geraakt.

En idiote wetgevingen die tegen de mensenrechten ingaan zoals in sommige landen, zouden eigenlijk constant overtreden moeten worden. Dat is niet crimineel, verre van dat, het is bijna een soort plicht als mens zijnde om de bewoners van dat soort landen een veilig platform te beiden om de ondemocratisch opgelegde wetten te kunnen omzeilen.

Dan heb ik nog liever dat bedrijven als Google en Microsoft mijn gegevens zien, die zijn toch alleen geinteressseert om geld aan mij als persoon te verdienen, niet om me te controleren, mijn vrijheden en rechten in te perken of misschien zelfs te straffen voor iets wat nu nog normaal is.
Onze overheid heeft ook niet als doelstelling om je vrijheden en rechten in te perken of je te straffen voor iets dat nu normaal is.
Controle door de overheid van bepaalde zaken is daarentegen juist een van de middelen is om de rechtsstaat te beschermen en te waarborgen. De zelfsturende burger bestaat namelijk niet, net zomin als zelfsturende bedrijven bestaan.

Natuurlijk denk jij dat je geen bescherming nodig hebt tegen de grote bedrijven die het alleen om geld gaat. Nuance: het gaat ze om jouw geld. En juist omdat het ze om geld gaat is de morele drempel bijna afwezig om op welke wijze dan ook financieel voordeel te krijgen uit jouw gegevens. En dat streven kan nog wel eens hele vervelende gevolgen hebben, want bedrijven zijn ook niet beperkt door middel van democratische waarborgen
Ik zeg ook niet dat onze huidige overheid onze vrijheden in wil perken.,
En tot op zekere hoogte vind ik het ook okay dat er een bepaalde mate van controle is.

Zelfs als men wel mijn privť correspondentie zou kunnen lezen zonder dat dit direct te linken is aan mijn persoonsgegevens zou ik er nog mee kunnen leven.
Bijvoorbeeld afluisteren van telefoongespreken met toestemming van de rechter als er een gegrond vermoeden bestaat voor zware criminele activiteiten. (Georganiseerde misdaad of terreur cellen) dan vind ik dat wel okay.
Maar dat de overheid bij voorbaat al doodleuk alles kan meelezen gaat echt te ver. Nu kan het de overheid weinig schelen of iemand Rutte voor rotte vis uitmaakt. Maar als er ooit een wat minder democratische regering zou zitten, dan is die wet niet meer terug te draaien.

Om maar een onschhuldig voorbeeldje te noemen, tot voor enkele jaren terug was het legaal om muziek/video waar dan ook vandaan te halen ongeacht de bron. Nu is het toch wel degelijk illegaal geworden.
Dus een legale bezigheid waar een groot deel van de mensen zich mee bezighield was onder druk van EU ineens strafbaar. Of dit terecht is , is helemaal niet relevant. Er is altijd wel een reden te bedenken om een wet goed te praten.

Zolang belangen van multinationals of religieuze ideologieen een hogere prioriteit hebben dan universele mensenrechten vertrouw ik niemand mijn gegevens toe.
*Zucht*

Hoezo boeit het je niet dat iemand misschien met je mee zit te kijken? Hoe kan het iemand NIET boeien dat mensen met je mee zitten te kijken? Daar kan ik echt NIET bij. :(

Stel, je zit achter je PC en er staat iemand over je schouder mee te kijken, vind je dat relaxt? Kleine kans. Waarom vind je het dan ineens wel prima als er iemand meekijkt zonder dat je het door hebt? Is toch eigenlijk nog veel erger. Dat kun je toch zelf ook bedenken.

Met je 'Don't do that'. Je schiet meteen bij me in m'n allergie }:O

[Reactie gewijzigd door spokje op 30 november 2016 11:19]

Ik ben met je eens dat "heb ik niets te verbergen" het meest naive argument is dat gebruikt word. Wat ook naief is is dat je aan een digitaal sleepnet kunt ontkomen.

Als de belastingdienst aan de kant van de weg foto's maakt van kentekenplaten om te zien of je met je auto op de weg zit zonder dat je belasting hebt betaald. Dan zit je in feite ook in een sleepnet situatie. Je ontkomt er niet aan.

Je kunt het natuurlijk wel zoveel mogelijk voorkomen.
Als Donald Trump over een paar maanden het bekijken / beluisteren van produkten van de amerikaanse muziek- en filmindustrie auteursrechtelijk beschermde content via andere dan door de eigenaars van die muziek geautoriseerde apps illegaal maakt ('om piraterij tegen te gaan'), mogen ze dan ook elke denkbare exploit gebruiken om jouw echte identeit te achterhalen als jij je met dit soort illegale activiteiten bezighoudt ? Of ga jij je dan als modelburger gedragen ?

Voor de duidelijkheid: ik keur alle misbruik van kinderen af, en trouwens van mensen en dieren in het algemeen, maar elk soort instantie (overheid, FBI, NSA, bedrijven) zal proberen zijn macht over andere mensen uit te breiden, ten koste van de rechten van die andere mensen. Om al die 'andere mensen' (wij dus) te beschermen, moeten instanties (en ook wijzelf) ons allemaal aan regels houden. Als we sommige mensen op voorhand die bescherming ontzeggen, dan woekert dat principe langzaam voort, totdat niemand meer beschermd is. Het gaat niet snel, en we merken amper dat het gebeurt, maar het gebeurt wel zeker. De enige manier om dat te voorkomen, is om regels te hebben en die te handhaven, ook als het handhaven van een regel een keertje mensen beschermt die we eigenlijk willen straffen.
Als Donald Trump over een paar maanden het bekijken / beluisteren van produkten van de amerikaanse muziek- en filmindustrie auteursrechtelijk beschermde content via andere dan door de eigenaars van die muziek geautoriseerde apps illegaal maakt ('om piraterij tegen te gaan'), mogen ze dan ook elke denkbare exploit gebruiken om jouw echte identeit te achterhalen als jij je met dit soort illegale activiteiten bezighoudt ? Of ga jij je dan als modelburger gedragen ?
Ik betaal nu al voor auteursrechtelijk beschermde content en dat zal ik blijven doen. Dat heeft niets met model burger gedreag te maken, maar mensen betalen voor hun werk. Ik krijg ook graag betaald voor mijn werk. die mensen die muziek/boeken/films maken kunnen dat ook niet zonder geld. Helaas beseffen veel mensen dat niet. En misschien zou alles veel goedkoper kunnen als iedereen ook daadwerkelijk betaalde voor dat soort materiaal.
Ik ben gelukkig niet de enige die er zo over denkt. Ik denk dat heel veel tweakers ook direct of indirect afhankelijk zijn van betalende klanten. Denk bijvoorbeeld aan alle tweakers die software maken. Hun salaris wordt betaald doordat klanten licenties kopen. Stel dat die klanten zich hetzelfde gaan gedragen als veel tweakers zelf doen...
Van een aantal zaken is wettelijk vastgelegd dat ze strafbaar zijn dus illegaal. Drugs, wapens , moord, kinderporno, het is algemeen wel bekend wat er nu illegaal is. Alleen is dat per land verschillend, zo zullen wapens in de VS over het algemeen gewoon verhandeld kunnen worden terwijl dat hier strafbaar is. Kinderporno was hier nog geen 20 jaar geleden gewoon toegestaan/gedoogd maar ook dat is nu illegaal.
Wat illegaal is wil nog weleens schuiven aan de hand van welk bewind er wordt gevoerd en hoe de publieke opinie veranderd. In Turkije is momenteel alles illegaal wat niet positief is voor het huidige bewind. Kritiek hebben op de leiders, of misschien wel een tegenbeweging organiseren, is dan illegaal en kan zelfs tot de dood leiden.
Exploits hebben geen geweten, deze werken of ze werken niet. Het is de mens die ze toepast en iedereen, met tenminste een beetje gezond verstand, zou zich moeten afvragen wie nu controleert of dergelijke exploits voor de juiste zaken wordt ingezet en dat het niet wordt gebruikt om bijvoorbeeld tegenstanders uit de weg te kunnen ruimen. Ik vind dat wel een punt van zorgen want wie controleert de controleur of de staat? Niets te verbergen hebben is een dooddoener want als de geschiedenis ons iets geleerd zou moeten hebben is dat het wel degelijk van belang is om een aantal zaken voor jezelf te houden, en dat hoeft niet eens iets illegaals te zijn, althans nu nog niet illegaal.
Zal mij niks verbazen dat 25+% nodes direct van hun komen.
Voortaam nog alleen maar binnen een VM, via VPN op tor surfen dus!
binnen een VM heeft geen zin, gezien je exit alsnog door je huis router gaat, wat je kunt doen is een TOR node laten draaien op een vpn server, en hier met je PC verbinding naar maken (bij voorkeur dus TOR op een linux vpn server ivm exploits voor windows) Dan gaat jouw verkeer voor de PC "normaal" het internet op, terwijl de VPN server het over TOR leid.
Jou oplossing heeft weer een ander risico. Met name als iemand jou al op het oog heeft. Die VPN tunnel tussen jou en je tor node kan gemakkelijk geÔdentificeerd worden. De tor node draait op een machine ergens in een datacenter, buiten jou zicht. Die machine kan dus relatief gemakkelijk gecompromitteerd worden en zo al jou tor communicatie aan een tegenstander onthullen.

De VM oplossing kan wel werken, het beste met 2 virtuele machines.
De eerste is de browser VM. Deze heeft alleen een virtuele netwerkverbinding met de 2de VM.
De 2de VM is de tor router VM. Deze heeft 2 virtuele netwerkadapters. 1 voor het virtuele netwerk met de browser PC, de andere voor het verkeer naar buiten, zoals gebruikelijk. De tor router VM mag via die tweede virtuele netwerkadapter wel verbinden met je echte netwerk en zo het tor verkeer naar buiten laten.

Dat helpt al heel wat, maar als je het goed wilt doen draai je op beide VM's ook nog een applicatie firewall die op de browser VM alles blokkeert, behalve verkeer van de browser applicatie naar de tor router VM. Op de tor router VM wordt ook alles geblokkeerd, behalve inkomend verkeer van de browser PC op het virtuele netwerk naar het tor router proces op de tor router port, en uitgaand verkeer van het tor router proces naar het echte netwerk.

Op die manier kan de browser nooit direct met de buitenwereld communiceren en per ongeluk je IP adres onthullen. En omdat hij zelfs je IP adres niet weet kan hij deze ook niet lekken als hij gehackt wordt.
Net klaar met lezen van het voorgaande artikel. hah.
even ontopic tho; Als je TOR gebruikt, is het altijd aangeraden om Java/scripts etc uit te zetten. Als je die uit heb staan, gaat dit lek dan nog steeds op?
Lijkt me niet, aangezien JavaScript standaard uitstaat in de TOR Browser. Ik snap dan ook niet dat ik hier zoveel moeilijk gedoe lees. Er wordt van tevoren gewaarschuwd dat JavaScript jouw identiteit kan achterhalen. De enige reden die ik kan bedenken waarom je JavaScript zou gebruiken, is omdat je bij sommige websites alleen maar in kan loggen met behulp van JavaScript |:(. Nu kan je JavaScript wel tijdelijk aanzetten, en dan inloggen, en vervolgens weer JavaScript uitschakelen. En dan nog moet je op een geÔnfecteerde pagina zitten, en Windows gebruiken, wil je achterhaald worden.
Typisch gevalletje "Reacties op je eigen reactie kan je niet modereren." Maar wel een +1.
Ik snap inderdaad ook niet dat er zo moeilijk over gedaan wordt. Het wordt immers (zoals je zegt) aangegeven in de browser, op de site etc. Het lijkt me toch een domme/cruciale fout als je dan toch je Java-script aan zet.
Typisch gevalletje "Reacties op je eigen reactie kan je niet modereren." Maar wel een +1.
Wat bedoel je daar exact mee? :p Dat als je mij kon modereren, een +1 had gegeven?

Vaak wordt het overdreven, en tegenwoordig kunnen exploits en andere lekken alleen maar misbruikt worden als het een domme fout is van de gebruiker (zoals in dit voorbeeld, dat je JavaScript moet gebruiken, ťn een geÔnfecteerde website moet bezoeken).
Juist, dat bedoel ik :P
En zoals je zegt; vaak is het een user-error/oversight.
Staat java/scripts niet standaard uit in TOR?
Ok. En hoe moet ik dat uitzetten dan?

Ben nieuw met TOR en wil graag weten hoe ik veilig kan werken ermee.
Er zit op je knoppenbalk een knop met een S (van scripts) waarmee je Javascirpt kan uitzetten.
'Kernel32.dll' wordt genoemd, betekent dat dat het lek alleen bij Windows gebruikers werkt?
Mwa, eigenlijk niet te zeggen zonder meer informatie. Het gaat wel om javascript en een browser die op beide platforms meer overeenkomt dan verschilt.
Ja

"According to security researchers who analyzed the code, it exploits a memory corruption vulnerability that allows malicious code to be executed on computers running Windows."
.....

"Yabut went on to say the code is "100% effective for remote code execution on Windows systems." The exploit code, the researcher added, adjusts the memory location of the payload based on the version of Firefox being exploited. The versions span from 41 to 50, with version 45 ESR being the version used by the latest version of the Tor browser. The adjustments are an indication that the people who developed the attack tested it extensively to ensure it worked on multiple releases of Firefox. The exploit makes direct calls to kernel32.dll, a core part of the Windows operating system."

http://arstechnica.com/se...-to-one-fbi-used-in-2013/
Mijn theorie over deze exploit:

Met VirtualAlloc kun je bepaalde gebieden in het geheugen op 0 plaatsen (je reserveert een gebied en deze wordt op 0 gezet). Met het op 0 zetten van een stukje geheugen zou je ook beveiliging in Firefox kunnen weghalen uit het geheugen, zoals de beveiliging om CORS verzoeken te doen (en met een CORS verzoek richting file://C:/Windows/System32/Config zou je het hele register kunnen downloaden.
Sterker nog, je zou misschien ook gewoon de hele tor-routing weg kunnen halen uit het geheugen waardoor je gewoon met een clearnet ip de site bezoekt, zo hebben ze ook direct je IP-adres en kunnen ze vanuit daar met een warrant wel de nodige informatie krijgen over deze bezoeker...
Volgens mij is dat veel te ingewikkeld, aangezien je niet precies weet welke geheugenadressen je moet overschrijven. 1 verkeerd adres en de hele browser crasht.
Het klinkt eigenlijk veel simpeler dan dat. Javascript kan gewoon requests sturen via HTTP (onderdeel van veelgebruikte AJAX functionaliteit, en is dus geen exploit maar gewoon hoe het web werkt). Vervolgens kun je over die verbinding alles sturen wat je wilt. Daar kan een browser verder niks aan doen zonder 95% van de websites kapot te maken. Hoe ze dan aan je mac adres en hostname komen weet ik niet, maar IP adres is triviaal om te achterhalen.
Ik denk dat de exploit dus zit in het kunnen achterhalen van mac adres en hostname, niet meer dan dat.
Ja dat stukje hoort ook bij mijn verhaal maar dat komt na het achterhalen van de gegevens. Ik gaf een manier om het MAC adres en het IP-adres te achterhalen. Alles wat jij met javascript doet verloopt gewoon via de TOR routing en zal dus niet jouw eigen MAC adres en clearnet IP adres laten zien. Mijn bericht was de enige verklaring die ik kon geven in samenwerking met deze statement:

"De werking is niet helemaal duidelijk, maar het krijgt toegang tot VirtualAlloc in kernel32.dll en gaat vanaf daar verder", stelt hij of zij.

VirtualAlloc is geen functie om geheugen te lezen, enkel om een gebied te reserveren en mogelijk te misbruiken om een gebied op 0 te zetten.
Als ze dit nu patchen zullen ze vast en zeker intussen wel weer een ander lek hebben gevonden. Bij de FBI vinden het veel te leuk om mensjes te bespioneren, daar gaan ze echt niet mee stoppen hoor :+
Natuurlijk doen ze het dan weer onder het excuus van Kinderporno en Terrorisme... Standaard kwats verhaal.

[Reactie gewijzigd door _-SaVaGe-_ op 30 november 2016 09:21]

Velen onder ons, waaronder ondergetekende, gebruiken TOR puur als informatieplatform, informatie die je nergens anders vindt. Ik ben niet bepaald onder de indruk van dit gegeven, ik heb niets te verbergen en vrijwel iedereen in mijn omgeving weet dat ik frequent inlog op TOR. Enkel zij die (illegale) handeltjes hebben via TOR, die moeten zich zorgen maken.
Dit werkt dus niet al je Linux gebruikt ;)

Het werkt ook niet als je Javascript uitzet.

[Reactie gewijzigd door ArtGod op 30 november 2016 20:53]


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True