Onderzoekers schrappen sessie over 'ontmaskeren Tor-gebruikers' op Black Hat

Twee beveiligingsonderzoekers van de Carnegie Mellon University hebben een voordracht op de Black Hat-conferentie, waarin ze zouden tonen hoe ze Tor-gebruikers konden identificeren, geschrapt. Een commissie van de universiteit gaf geen toestemming.

De sessie die de twee onderzoekers op hackersconferentie Black Hat USA 2014 wilden houden, zou een 'goedkope' methode uit de doeken doen om de anonimisering van Tor-gebruikers en verborgen webservers ongedaan te maken. Die methode zou slechts enkele duizenden euro's aan apparatuur kosten.

In een aankondiging van de voordracht werd gesproken over tekortkomingen in het ontwerp en de implementatie van het Tor-anonimiseringsnetwerk, maar verdere details gaven de onderzoekers niet prijs. De universiteit waar de twee beveiligingsonderzoekers werken heeft echter de sessie verboden na aandrang van het Software Engineering Institute.

Onduidelijk is om welke reden de presentatie is geschrapt. Roger Dingledine, een van de bedenkers van de Tor-software en lid van de Tor-organisatie, stelt dat zij niets wisten over het schrappen van de sessie. De ontwikkelaar zou juist diverse vragen hebben voor het duo. Wel hoopt de Tor-ontwikkelaar dat zij in samenwerking met CERT alsnog meer informatie over eventuele kwetsbaarheden in de Tor-software kunnen vrijgeven.

Het door vrijwilligers gerunde Tor-netwerk stelt gebruikers in staat om anoniem op internet te surfen. Daarvoor worden diverse manieren van encryptie toegepast. Onder andere de NSA heeft veel belangstelling voor gebruikers van het Tor-netwerk en probeert hen via omwegen alsnog te kunnen identificeren, bijvoorbeeld door browserbugs te benutten.

IT-banen

Reacties (64)

The Underminer 22 juli 2014 17:10

Ik vraagt me de laatste tijd af wat de beste methodezou zijn om anoniem te blijven. Ik heb het idee dat je anonymiseringsdiensten daarvoor juist moet meiden.

Zei die anoniem willen blijven hebben vaak iets te verbergen, en zijn daarom interessant voor de NSA. Grote kans dat alles wat daar gebeurt onderschept wordt middels bugs/exploits en nauwlettend in de gaten wordt gehouden.

Een account aanmaken op een server die vooral gebruikt wordt door mensen met een andere doelgroep kan dan een beter alternatief zijn. Een mailaccount van een kleine Noorse internetprovider bijvoorbeeld, een forum wat door liefhebbers van knutselen. Of juist een gmail account, zodat je opgaat in de massa...

Ik hoorde laatst over activisten die heel lang onopgemerkt bleven door 1 gmail account te gebruiken en daarin berichtjes achter te laten in de drafts folder zonder te versturen. Best geniaal!

Boppo84 23 juli 2014 08:55

Beetje jammer dat niet wordt toegelicht wat CERT is. Zoals het er nu staat, klopt er namelijk weinig van. CERT is geen entiteit waarmee je kunt samenwerken. CERT staat voor Cyber Emergency Responce Team.
Het CERT waar hier naar verwezen wordt is een divisie van het Software Engineering Institute (SEI).

(SEI) is a not-for-profit Federally Funded Research and Development Center (FFRDC) at Carnegie Mellon University, specifically established by the U.S. Department of Defense (DoD) to focus on software and cybersecurity

Ik snap niet helemaal waarom de ontwikkelaars van het Tor-netwerk willen samenwerken met een organisatie die gesponsord wordt door V.S. defensie.
http://www.sei.cmu.edu/about/organization/index.cfm

[Reactie gewijzigd door Boppo84 op 26 juli 2024 20:10]

Verwijderd 22 juli 2014 13:32

Het zou heel erg positief zijn voor het TOR netwerk als deze exploits zichtbaar gemaakt worden, voor het TOR netwerk, want als dit bekend zou worden bij instellingen als de NSA dan wordt het TOR netwerk een stuk onveiliger.

De universiteit waar de twee beveiligingsonderzoekers werken heeft echter de sessie verboden na aandrang van het Software Engineering Institute.

Ik vraag me dus af wat voor belangen hetde universiteitSoftware Engineering Institute heeft bij het niet publiceren van deze exploits.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 20:10]

Verwijderd @Verwijderd • 22 juli 2014 13:46

Volgens hun eigen "About" page werken ze voornamelijk voor de Department of Defence en andere overheidsinstellingen: http://www.sei.cmu.edu/about/

De belangen van de SEI zullen dus overeenkomen met die van de overheid en lijken mij tweeledig:
* De overheid gebruikt TOR zelf en wil niet dat haar gebruikers bekend worden. (Zie ook mijn bericht hieronder.)
* De exploit kan door de overheid gebruikt worden om bepaalde figuren op te sporen en men wil een "fix" voor deze exploit dus voorkomen of uitstellen.

Verwijderd @Verwijderd • 22 juli 2014 14:01

Mbt jouw geïdentificeerde belangen:
1ste belang: is dat risico met het schrappen van deze presentatie echt vermeden? Volgens mij gebeurt dat pas als de overheid overstapt op SONATA.
2de belang: volgens is dit meer een machtspelletje: als bijv. de FBI/GCHQ/BND deze tool kan gebruiken, dan verliest de NSA een deel van de controle van informatie. Bovendien verliest TOR aan nutsfunctie.

HenkEisDS @Verwijderd • 22 juli 2014 21:31

Ik had geen idee wat SONATA is, dus heb het maar gegoogled voor mezelf en gepost voor de rest:
SONATA (software), Service-Oriented Netcoded Architecture for Tactical Anonymity (SONATA), a next generation overlay network, building further on software like TOR_(anonymity_network)
https://www.security.nl/p...oncurrent+van+Tor-netwerk

[Reactie gewijzigd door HenkEisDS op 26 juli 2024 20:10]

mrlammers 22 juli 2014 16:46

De universiteit waar de twee beveiligingsonderzoekers werken heeft echter de sessie verboden na aandrang van het Software Engineering Institute.

Security through obscurity? En ze denken dat de NSA dat nog niet weet? En dat ze dit daarom maar niet aan de grote Black Hat klok moesten hangen?
Hmm...

Plopeye @mrlammers • 22 juli 2014 18:27

Een echte "Black Hat" laat zich niets verbieden.

Verwijderd @Plopeye • 22 juli 2014 21:14

Klopt, maar vrijdag a.s. is het een jaar geleden dat een echte "black Hat-er" Barnaby Jack dood werd gevonden, een week voor een belangrijke onthulling over het hacken van pacemakers en insuline pompen via wifi.

Verstekbakker 22 juli 2014 13:31

Een conferentie met de naam 'Black Hat' dat zich aan de wetten en regels houdt, best ironisch. Ik las dit bericht vanmorgen via de Twitter van Bits of Freedom.

De ontwikkelaar van TOR wil zelfs dat het openbaar wordt, dan vind ik het wel vreemd dat het dan niet naar buiten gebracht mag worden.

0vestel0 @Verstekbakker • 22 juli 2014 13:35

Dat het BlackHat heet, betekend niet dat het crimineel is of criminele intenties heeft..
Het idee van deze conferenties is juist om ervoor te zorgen dat software makers openbaar erop gewezen worden dat er gaten in hun producten zitten. Zodat juist de criminelen hier in het geheim geen misbruik van kunnen maken.

Verstekbakker @0vestel0 • 22 juli 2014 13:41

Dat begrijp ik. Maar dat verandert de betekenis van 'Black hat' niet en de ironie icm deze actie.

deathz0rz @Verstekbakker • 22 juli 2014 20:46

Dit heeft niks met de organisatie van de conferentie te maken. In het artikel wordt duidelijk vermeldt dat het eigen instituut van de auteurs de publicatie heeft verboden.

Verwijderd 22 juli 2014 13:46

Even een gok over hoe dit zou kunnen werken: hoewel de data ge-encrypt is kun je natuurlijk op het netwerk kijken naar de hoeveelheid data die per keer wordt verstuurd. Als je dan deze informatie gaat correleren over verschillende nodes, dan kun je achterhalen welke nodes "aan elkaar gekoppeld" zijn. Misschien is het iets in die richting.

citegrene @Verwijderd • 22 juli 2014 13:51

Misschien is het meer in de trand van hoelang het duurt dat je data geencrypt is. De ene machine zal er langer over doen , dan de andere. Ik weet niet of Tor een random delay toevoegd aan het encrypte / verzonden data.

GewoonWatSpulle 22 juli 2014 13:27

De universiteit waar de twee beveiligingsonderzoekers werken heeft echter de sessie verboden na aandrang van het Software Engineering Institute.

Klinkt eerder als het Software Coverup Institute. Kwalijke zaak dat algemene veiligheids/privacy problemen in de vrije tijd niet aangekaart mogen worden.

Edit: wat Verstekbakker zegt, als twee onderzoekers dit weten zijn er vast meer die soortgelijke technieken hebben ontwikkelt.

[Reactie gewijzigd door GewoonWatSpulle op 26 juli 2024 20:10]

MBV @GewoonWatSpulle • 22 juli 2014 13:31

Stel dat de presentatie wel door was gegaan, en volgende week de volgende krantenkop was verschenen: "Honderden dissidente journalisten in Iran, Turkije, Rusland en Syrie opgepakt", wat zou dan jouw reactie zijn geweest? Het is goed gebruik om veiligheidsrisico's eerst aan te kaarten bij de verantwoordelijke organisatie, zodat de problemen opgelost kunnen worden voordat de exploit in het wild verschijnt.

RM-rf @MBV • 22 juli 2014 13:39

Het SEI is een onderdeel van de betreffende Universiteit, welke sterk samenwerkt met het Department of Defense, het amerikaanse verdedigingsministerie en leger.
http://en.wikipedia.org/wiki/Software_Engineering_Institute

Het zal vermoedelijk deze instelling vooral gaan om het beschermen vand e belangen van hun financiers, die overigens ook dit onderzoek of bepaalde data gebruikt erin gefinancierd zullen hebben...

Het is dus niet helemaal zo dat het enkel 'altruistische' goede bedoelingen zijn, maar een mengeling tussen direkte financiele belangen van instanties die ook gewoon de weg gaan 'waar het geld ligt'..
Dat hoeft verder niet erg te zijn.... TOR zelf is ooit door een Defensie-Lab en met Defensie-geld ontwikkeld (United States Naval Research Laboratory, eind jaren negentig van de vorige eeuw)

Verstekbakker @MBV • 22 juli 2014 13:38

http://nl.wikipedia.org/wiki/Security_through_obscurity

Het werkt niet. Als er een mogelijkheid is om het te kraken weet de regering van Iran, Turkije, Rusland en Syrie het vast en zeker ook al. Die hoeven echt niet te wachten op Black Hat USA 2014...

MBV @Verstekbakker • 22 juli 2014 13:45

Ik denk dat je me verkeerd begrijpt. Tor is waarschijnlijk onveilig in de absolute zin, aangezien er een methode is om het te kraken. Voorlopig is het voor veel mensen helaas het beste alternatief. Voor die mensen is het belangrijk dat de fout wordt opgelost voordat het probleem wereldkundig wordt gemaakt.

Om diezelfde reden is er ook een aparte bugtracker voor Linux security bugs, die worden pas publiek gemaakt na de fix. Of vind je dat die ook direct publiek bekend moeten zijn?

Verstekbakker @MBV • 22 juli 2014 13:51

Heel simpel: ja.

Ik ben van mening dat je alleen op die manier veilig kunt werken. Nu weet niemand precies op welke manier TOR onveilig is, dus kun je ook niet jezelf veilig houden door bepaalde "manieren van TOR" te vermijden. Wat die jongens van de KU Leuven hebben uitgevonden is waarschijnlijk al veel eerder uitgevonden door een groepje van een of andere geheime dienst. Als dat zo is wil ik als journalist in Iran, Turkije, Rusland of Syrie toch wel even weten hoe ze dat doen en of ik misschien beter even kan stoppen met het gebruik van TOR.

Ik begrijp je prima, en wat je voorstelt werkt gewoon niet.

chime @Verstekbakker • 22 juli 2014 14:01

Het probleem is dat niet-gebruik vaak niet altijd een optie is.

In het geval van Tor is dat nog relatief makkelijk.
Maar bij een bedrijf is dat vaak niet mogelijk.

Als er natuurlijk een work-around is, dan ben ik wel voorstander van directe publicatie => dan kan men zich alsnog snel veilig stellen en is het risico beperkt.
Is er geen work-around te vinden: dan ben ik eerder voorstander van het feit te stellen dat er een probleem is met een applicatie, maar daar dus niet het defect benoemen => dan kan men er zelf voor kiezen om te stoppen met gebruik of op eigen risico verder gaan.

Verstekbakker @chime • 22 juli 2014 14:07

Nogmaals, ze mogen niet naar buiten brengen wat ze hebben gevonden, dus je weet niet wat je ertegen kunt doen. Ik weet dus niet of je TOR niet meer moet gebruiken (dat is nu in elk geval wel het verstandigst, want ze zeggen niet wat er loos is) of dat je het kunt gebruiken, maar dan wel met een aanpassing in de manier waarop. Voor jou en mij is dat nu gissen.

Deze manier van 'beveiliging' is niet veilig terwijl @MBV stelt dat het een prima beveiliging is, dat wilde ik zeggen.

[Reactie gewijzigd door Verstekbakker op 26 juli 2024 20:10]

William_H @Verstekbakker • 22 juli 2014 16:33

Hoezo kan een gemiddelde gebruiker wat doen tegen een lek in software waarvan hij alleen maar weet hoe hij het een beetje moet gebruiken. Het is een beetje alsof je een lek in Android, waar nog geen oplossing voor is, vrijgeeft en dan zegt tegen alle gebruikers: "Ja, we hebben het bekend gemaakt. Dat u nu gehackt wordt is uw probleem, niet de onze. We hebben u immers verteld wat voor misbruik er gepleegd kan worden met deze software. Zoekt u het verder maar uit."
Het is ook een beetje vergelijkbaar met gelijk de politie bellen als je buren wat lawaai maken, in plaats van ze daar eerst eens vriendelijk op aan te spreken. Volgorde van escalatie, noem ik het maar even. Als er niks aan het lek gedaan gaat worden door de verantwoordelijken kun je altijd nog openbaren (+ in mijn ogen verplicht een work-aroud voor het probleem instelbaar door gewone gebruikers (dus niet gemiddelde Tweaker)).
Misschien is het je ontgaan dat afgelopen week er een heel artikel op Tweakers aan geweid is dat Exploit-kit-makers graag gebruik maken van gaten in software die ook nog niet gedicht is en dat ze daarbij meestal gebruik maken van dit soort openbaarmakingen.

Vayra @William_H • 23 juli 2014 14:36

Dit is de kern. Volgorde van escalatie.

Je kan in deze zaken (en uberhaupt in security maar ook in handhaving, kijk naar de escalatie van geweld en het zgn 'geweldsspectrum' dat leger en politie hanteert) namelijk alleen maar vooruit en niet meer terug, dus dan zijn baby steps veel verstandiger.

[Reactie gewijzigd door Vayra op 26 juli 2024 20:10]

mr.paaJ @Verstekbakker • 22 juli 2014 14:58

Hoe is het veiliger dat iedereen sowieso het lek voor de fix te weten komt in plaats van een enkeling nu misschien?

Verstekbakker @mr.paaJ • 22 juli 2014 15:04

Even serieus, heb je wel gelezen wat ik schreef?

Nogmaals, ze mogen niet naar buiten brengen wat ze hebben gevonden, dus je weet niet wat je ertegen kunt doen. Ik weet dus niet of je TOR niet meer moet gebruiken (dat is nu in elk geval wel het verstandigst, want ze zeggen niet wat er loos is) of dat je het kunt gebruiken, maar dan wel met een aanpassing in de manier waarop. Voor jou en mij is dat nu gissen.

mr.paaJ @Verstekbakker • 22 juli 2014 15:12

Niet gebruiken is nu al een optie als je zoveel risico denkt te lopen.
Waarom mogelijk gevaar omzetten in zeker gevaar door de methode aan iedere instantie bekend te maken? Daar wordt het gebruik alleen maar extra onveilig van.

Kan me voorstellen dat het gewenst is als bekend is dat ze oude data terug kunnen halen, en dan alleen dat het mogelijk is niet hoe precies, dan kun je nog proberen je land te ontvluchten.

Verwijderd @Verstekbakker • 22 juli 2014 15:22

Wat die jongens van de KU Leuven hebben uitgevonden is waarschijnlijk al veel eerder uitgevonden door een groepje van een of andere geheime dienst.

er is geen reden om aan te nemen dat dit zo is.

Als dat zo is wil ik als journalist in Iran, Turkije, Rusland of Syrie toch wel even weten hoe ze dat doen en of ik misschien beter even kan stoppen met het gebruik van TOR.

als dat zo was zouden er al veel meer journalisten opgepakt zijn.

Ik begrijp je prima, en wat je voorstelt werkt gewoon niet.

waarom niet?

casparvl @Verstekbakker • 22 juli 2014 14:13

Ik kan me wel vinden in MBV's stelling hoor. Alleereerst: je link naar die wikipedia zegt niks over het wel of niet werken van 'security through obscurity'. Alleen dát er kritiek op is. Waar je je statement 'het werkt gewoon niet' vandaan haalt begrijp ik dan ook niet. Logica verteld mij dat het, zeker in de door MBV geschetste situatie zoals bij Linux, zeker werkt.

Even kijkend naar dit geval. Jij zegt dat ze in Iran, Turkije, Rusland en Syrie dit vast al kunnen? En de NSA loopt nog steeds te prutsen met identificering via browserbugs terwijl Tor zelf ook lek zou zijn? Wat mij betreft lijkt het erop dat het hier ook werkt! Alleen niet eindeloos, dat ben ik met je eens. Ze zullen er in Iran etc. uiteindelijk ook wel uitkomen. Het punt is, door het stil te houden kun je het lang genoeg vertragen om het te fixen.

Er is natuurlijk ook een kans dat een bepaalde bug als eerste/alleen in Iran wordt gevonden. Dan kom je er hier niet of te laat achter. Dat heeft alleen met security through obscurity te maken als het gaat om het publiek zijn van de broncode. Publieke broncode kan wél een voordeel opleveren boven security through obscurity, omdat dan de káns dat ze het (alleen) in Iran vinden kleiner is. Maar dat is hier niet aan de orde voor zover ik weet: de werking van het protocol ís openbaar toch?

Verstekbakker @casparvl • 22 juli 2014 14:21

Zoals ik boven jouw reactie al schreef:

Nogmaals, ze mogen niet naar buiten brengen wat ze hebben gevonden, dus je weet niet wat je ertegen kunt doen. Ik weet dus niet of je TOR niet meer moet gebruiken (dat is nu in elk geval wel het verstandigst, want ze zeggen niet wat er loos is) of dat je het kunt gebruiken, maar dan wel met een aanpassing in de manier waarop. Voor jou en mij is dat nu gissen.

Een lek stil houden werkt niet. Het openbaar maken zorgt ervoor dat je er iets mee kunt. Nu kan iemand die de KU Leuven voor was nog even doorgaan met het gebruiken van het lek. Ik val in herhaling.

[Reactie gewijzigd door Verstekbakker op 26 juli 2024 20:10]

MBV @Verstekbakker • 22 juli 2014 14:34

Een lek stilhouden, dus alleen aan de ontwikkelaars vertellen, werkt heel vaak heel goed! Je geeft de makers een kans het lek te dichten, zodat het niet door jan en alleman misbruikt kan worden voordat er een alternatief is. Het gaat pas mis wanneer de makers zich er niks van aantrekken totdat er grootschalig misbruik van wordt gemaakt.

Zelfs als de NSA de beveiliging gekraakt heeft, dan werkt het voorlopig nog tegen pak-em-beet de Egyptische veiligheidsdiensten, na publicatie werkt de beveiliging nergens meer tegen.

Wh4ck0 @Verstekbakker • 22 juli 2014 14:43

Iemand die het lek al actief misbruikt kan hier mee doorgaan. Maar door het openbaar te maken, kunnen nieuwe mensen er ook gebruik van gaan maken. Mensen die misschien niet de kennis hebben om zo'n lek te vinden, maar het wel kunnen uitbuiten.
Stel het kost langer om het lek te fixen, dan krijg je meer mensen die het gaan misbruiken. Door het iets langer stil te houden kan het lek misschien wel gefixt worden voor het wereldwijd verspreid is.

Met alle exploits zie je gewoon dat oude lekken misbruikt worden omdat mensen niet updateten naar een nieuwe versie waarbij het lek gedicht is. als er nog geen fix beschikbaar is, is je enige manier om jezelf te beschermen dus om de software niet te gebruiken.

Ik zeg niet dat een van de oplossingen de beste is, maar de een is ook niet slechter dan de ander.

Jheroun @Verstekbakker • 22 juli 2014 14:32

Dat ben ik maar ten dele met je eens. Security through obscurity is inderdaad nonsens maar daar gaat dit niet om, niet publiceren heeft niet tot doel security te bereiken, niet publiceren heeft tot doel het probleem op te kunnen lossen voordat het in een exploitkit terecht komt.

Security bugs die worden gevonden eerst delen met de partijen die ze kunnen oplossen voordat je ze wereldkundig maakt is gewoon common sense. En ja, dat werkt wel, wellicht niet tegen door regeringen gefunde NSA achtige partijen, maar wel tegen de grote massa. Daarnaast is het geen gegeven dat een exploit die twee onderzoekers hebben ontwikkeld dus ook gevonden is door de Iraanse veiligheidsdienst.

Waarom dit verhaal in dit geval van de agenda is gehaald is onduidelijk maar security through obscurity zal zeker niet het doel zijn. Hooguit de eerder genoemde prior notice naar de TOR ontwikkelaars die wellicht de bug snel kunnen fixen. Doel van dit soort onderzoekers is natuurlijk wel dat de boel uiteindelijk veiliger wordt, niet dat er een maximaal window of exploitation ontstaat door te publiceren voordat het probleem gefixed kan worden.

Verstekbakker @Jheroun • 22 juli 2014 14:35

wellicht niet tegen door regeringen gefunde NSA achtige partijen

Dat was toch de hele reden die @MBV gaf om het juist wel stil te houden?!

Jheroun @Verstekbakker • 22 juli 2014 15:50

Nu reageer je op één specifiek voorbeeld uit een betoog. Het zou bv ook zomaar kunnen dat de NSA deze exploit nog niet kende. Speculatie over wie het wel of niet weet, wie er achter zit en wat ze willen is leuk maar dat wordt niet meer dan een welles-nietes spelletje.

Het doet ook niet ter zake of de NSA of Iran of wie dan ook dit wel of niet weten. Het punt wat ik probeer te maken is dat dit niet over security through obscrurity gaat. Ook als je niet obscure wil zijn is het een prima idee om een ontdekte bug eerst te melden bij de mensen die hem kunnen fixen. Je kan natuurlijk prima publiceren dat je een exploit hebt gevonden maar dat je de details nog niet publiceert om de developer bv een X aantal dagen te geven om de bug op te lossen voordat iedereen er los op gaat (wat bv bij Heartbleed niet helemaal denderend ging, waardoor de meeste besmettingen ontstonden nadat de exploit bekend werd gemaakt omdat er nog niet overal een fix voor was).

THA_ErAsEr @Verstekbakker • 22 juli 2014 14:14

Mensen levens zijn net iets belangrijker dan TOR veiliger maken en de bugs te openbaren.

Verstekbakker @THA_ErAsEr • 22 juli 2014 14:26

Je spreekt jezelf ontzettend tegen. Ik hoop dat je dat zelf ook inziet:

Omdat TOR veilig is, worden mensenlevens gered, daarom mag je het niet veiliger maken? Waarom iets openbaar maken veiliger is kun je hierboven al lezen, ik val in herhaling.

DohnJoe @Verstekbakker • 22 juli 2014 14:32

niemand zegt toch dat je het niet openbaar mag maken?

Er is een middenweg: gewoon eerst aan de (in dit geval TOR-) ontwikkelaars melden, met de melding dat je het na bijvoorbeeld 2 maanden openbaar maakt. Dat geeft ze de tijd om het te fixen voordat het publiek bekend wordt.

Dit wordt vaker gedaan en werkt volgens mij prima?

Atomsk @Verstekbakker • 22 juli 2014 15:03

Misschien moet je wat minder zwart-wit denken. De keuze is niet tussen onmiddellijk openbaar maken en voor eeuwig geheim houden. Je kunt het ook een paar weken stil houden en ondertussen aan een oplossing werken. Natuurlijk is het theoretisch mogelijk dat iemand anders het ook al wist en hier gedurende die periode misbruik van maakt. Dat is echte ook zo wanneer het meteen openbaart.

Door het even stil te houden breng je onwetenden niet op ideeën en maak je de situatie niet erger (ook meteen beter natuurlijk, maar dat blijf je toch houden).

Kalief @Verstekbakker • 22 juli 2014 19:51

Als je als gebruiker de bug zou weten betekent dat nog niet dat je daarom veiliger zou kunnen werken. Jij kunt de bug immers niet oplossen. En TOR is zo basic dat je ook geen alternatief kunt gebruiken.

CDL76 @MBV • 22 juli 2014 15:07

Nu ga je ervan uit dat de regeringen achtelijk zijn en niet zelf al vijf jaar weten van die bug, dat is waar Verstekbakker op doelt. Hoogstwaarschijnlijk weten de genoemde landen al lang hoe het te hacken is.

Het kan ook zijn dat een regering druk uitoefent om het niet openbaar te maken omdat dit op het moment de enige bug is die de regeringen in staat stelt om mensen op het TOR netwerk te vinden.

MBV @CDL76 • 22 juli 2014 15:13

Het lijkt me stug dat de NSA aan alle geheime diensten vertelt hoe ze (door Amerika gesteunde) dissidenten moeten ontmaskeren. En wat dan nog: waarom zou je het publiek maken zonder de TOR ontwikkelaars een kans te geven het gat te dichten?

FreshMaker @MBV • 22 juli 2014 15:44

Het lijkt me stug dat de NSA aan alle geheime diensten vertelt hoe ze (door Amerika gesteunde) dissidenten moeten ontmaskeren. En wat dan nog: waarom zou je het publiek maken zonder de TOR ontwikkelaars een kans te geven het gat te dichten?

Omdat het niet alleen de NSA is, die "slimme" hackers / ontwikkelaars in dienst heeft ?
Of denk je dat Al-Qaeda ( tegenwoordig Isis ), Irak, Iran en die landen totaal blind en onbeholpen zijn ?
Er zijn altijd wel figuren die hun principe's aan de kant zetten voor een vette payday, OOK in de hackers-community.
Die organisatie's kopen gewoon hun info, of vinden hackers die het doen.

Alleen zal je die niet direct te zien/horen krijgen op deze conventie's, hier komen de publieke figuren, die OF denken de wereld een dienst te bewijzen, OF zo naief zijn om te geloven dat het ook werkelijk een goed doel is. ( no offence )

MBV @FreshMaker • 22 juli 2014 16:33

Ik gebruik de NSA als voorbeeld, vooral omdat ik (indirect) reageer op een eerder bericht waarin wordt aangenomen dat de NSA deze hack al kent. ISIS &co is zeker niet onbeholpen, maar heeft niet de mankracht die de NSA heeft.

Maar ik stel de vraag nog een keer, die jij quote zonder hem te beantwoorden:
Stel nou dat de halve wereld deze hack al kent, wat los je op door de rest van de wereld hem ook te vertellen, ZONDER eerst de makers van TOR te vragen het veiligheidslek te fixen?

FreshMaker @MBV • 22 juli 2014 18:28

Ik zou me in kunnen denken dat de makers / developers van TOR nauwgezet volgen wat er online gebeurt mbt lekken en issues met hun software.

Het komt me iig al vreemd over dat er een securityissue is ontdekt, waar ze nog geen of te weinig info over hebben.
Zeker met deze zaken, waar toch vele gebruikers echt rekenen op een veilige omgeving, lijkt me een snelle oplossing, of in ieder geval een waarschuwing op zijn plaats
Dat maakt het speelveld weer gelijk, en kan de betreffende journalist / dissident zijn eigen afweging maken OF het verantwoord is om online te gaan.

game91 @MBV • 22 juli 2014 15:25

Ach alles is op den duur onveilig. Met Tor maak je mensen het lastiger om te achterhalen wat jij uitspookt met Tor. Het zorgt ook voor dat niet iedereen je gegevens probeert te achterhalen(moeite/tijd vs opbrengst).

In simpelste termen: een goede slot zorgt voor afschikking en kost het meer moeite om open te breken.

Verwijderd @Verstekbakker • 22 juli 2014 14:29

Maar er IS nu blijkbaar een methode het te kraken en er is nog geen enkele aanwijzing dat een staat dat heeft gedaan. MBV's argumentatie is dus zeker geldig.

Overigens is 'security through obscurity' hier natuurlijk niet van toepassing. Dat gaat enkel over het geheim houden van de beveiligings mechanismen, niet over het onderdrukken van mogelijke lekken. Staat allemaal in de link die je zelf niet geheel hebt gelezen.

Verstekbakker @Verwijderd • 22 juli 2014 14:40

er is nog geen enkele aanwijzing dat een staat dat heeft gedaan

Die is er nooit.

Verwijderd @Verstekbakker • 22 juli 2014 15:14

Wel ik denk dat alle recente informatie over de NSA toch het tegendeel bewijzen! We weten meer over de twee na grootste geheime dienst ter wereld dan we ooit geweten hebben. En in die informatie staat dat de NSA zeer geinteresseerd is in TOR en stappen heeft genomen om binnen te dringen maar zeker niet dat ze het kunnen kraken. Als TOR gekraakt zou zijn door bijvoorbeeld de Chineze overheid dan zouden journalisten echt wel merken dat bepaalde bronnen niet meer reageren.

Er is geen enkele aanwijzing dat TOR gekraakt is. Daarmee is de openbaring van een goedkope wijze binnen te dringen een groot gevaar voor de mensen die het gebruiken om veilig te blijven.

Miks @Verstekbakker • 22 juli 2014 21:21

De security through obscurity discussie gaat over beveiligingsmechanismen. En er is geen plek voor obscurity van mechanismen bij TOR. Bugs en lekken hebben veel minder te maken met deze discussie, dus de bron die je aanhaalt sluit niet echt goed aan.

In mijn ogen moeten beveiligingsmechanismen altijd volledig transparant zijn, maar bugs hoeven niet volledig bekend te zijn. Sterker nog, dit zou hackers en andere kwaadwillenden kunnen helpen zoals ook blijkt uit malware-analyses.

koelpasta @Verstekbakker • 22 juli 2014 22:10

http://nl.wikipedia.org/wiki/Security_through_obscurity

Het werkt niet.

Het werkt wel en wordt breed toegepast.
Onze wereld zit vol met security through obscurity en zou niet kunnen werken zonder.
Heb je iemand wel eens horen roepen dat iets 'on a need to know basis' is? Dat is pure security through obscurity.
Of bijvoorbeeld inside trading, dat is ook een vorm van security through obscurity.
En wat dacht je van het fabeltje dat je van worteltjes beter gaat zien? Dat was een smoes van de britten in WOII om hun bezit van radar geheim te houden.

Het werkt vaak goed voor informatie die maar een beperkte tijd geheim hoeft te blijven want, zoals er ook in het wikipedia artiekel dat je linkt staat zal het geheim een keer uitlekken.

Als er een mogelijkheid is om het te kraken weet de regering van Iran, Turkije, Rusland en Syrie het vast en zeker ook al.

Die kans is aanwezig, maar het is helemaal niet zeker dat ze deze zwakte al kennen. Na deze presentatie zouden ze het wel zeker weten.

Maarten21

@MBV • 22 juli 2014 13:38

Dat zou een beweegreden kunnen zijn.

Wat ook zou kunnen is dat deze methode al bekend bij bepaalde inlichtingendiensten en dat ze niet willen dat de Tor-organisatie deze kwetsbaarheden aanpakt.

Livecrew011 22 juli 2014 14:53

Dat ze de data opslaan dat zal best ja, maar door de enorme hoeveelheden data die word opgeslagen is het praktisch onmogelijk om dat secuur door te spitten. Daarnaast geloof ik niet dat ik belangrijk genoeg ben om 'nauwkeurig' in de gaten te houden. Ondanks dat ik vaak anti Amerikaanse uitspraken doe

FreshMaker @Livecrew011 • 22 juli 2014 15:55

Daarnaast geloof ik niet dat ik belangrijk genoeg ben om 'nauwkeurig' in de gaten te houden. Ondanks dat ik vaak anti Amerikaanse uitspraken doe

Jij bent dan misschien niet belangrijk genoeg, of ik, of zomaar iedereen op Tnet, maar jouw input en kennissenkring misschien wel.

Zoals men al vaker aangeeft, in een paar stappen heb je een connect met een totaal random persoon.
Als voorbeeld ML17 ....

Ik ken ( op dit moment ) niemand die plannen had of heeft om naar Bali te gaan.
Dus het neerhalen van die vlucht was ( behalve een nieuwsitem ) niet een ernstige impact op mijn leven.
De volgende dag kreeg ik op het werk te horen dat er gewoon 4 families in dat vliegtuis zaten, waarvan er mensen in onze firma werken.
< gezien de grootte van de organisatie, kenden die personen elkaar ook niet eens persoonlijk >
Later op de dag bleek er nog 1 persoon bij te zijn waar familie van mij regelmatig mee omging.
Allemaal onbekenden voor mij, maar dus op de één of andere manier wel gelinkt.

Jouw data en kennissenkring kan gebruikt worden om informatie terug te zoeken over die éne persoon, die jij misschien helemaal niet, of maaar nauwelijks kent.
Maar omdat jij in zijn 'kennissenkring' zit, wordt het beeld van de andere persoon completer.
Jouw interesses komen overeen, jouw sportpatroon misschien, allemaal waardevolle info voor "het grote plaatje"

[Reactie gewijzigd door FreshMaker op 26 juli 2024 20:10]

roughtodacore 22 juli 2014 14:27

Even offtopic hoor, maar was er recent niet een artikel verschenen waarin stond dat de NSA internetgebruikers extra zou tracken als deze zoektermen als TOR en TAILS zouden gebruiken?

nieuws: 'NSA richt zich op internetters die op Tails of Tor zoeken'

Dus (bijna) iedereen die in dit topic gereageerd heeft zal dus door de NSA nauwkeuriger in de gaten gehouden worden

Verwijderd @roughtodacore • 22 juli 2014 15:09

Hackers hebben er natuurlijk allang voor gezorgd dat er vanaf diverse bots duizenden keren op TOR is gezocht, waardoor de zoekterm eigenlijk helemaal niets meer zegt.

FreshMaker @Verwijderd • 22 juli 2014 15:47

Hackers hebben er natuurlijk allang voor gezorgd dat er vanaf diverse bots duizenden keren op TOR is gezocht, waardoor de zoekterm eigenlijk helemaal niets meer zegt.

Jij zegt het alsof het de waarheid is, maar nergens is er een daadwerkelijke bron DAT het is gedaan.
Het is niet zo dat hackers de 'defenders of earth internet' zijn natuurlijk.

roughtodacore @Verwijderd • 22 juli 2014 15:16

Dat dus... zorgen dat er zoveel mogelijk nep info door de filters opgepakt wordt om zodoende de resultaten te vervuilen. Wilde het toch even benoemen.

#Para mode off

born4trance @roughtodacore • 22 juli 2014 14:30

Dat doen ze anders ook wel...

Fermion 22 juli 2014 13:30

In September is er weer BruCON 2014 in Gent. Kunnen ze daar laten zien wat ze willen laten zien.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: