Critici beschuldigen makers van populaire Tor-router van oplichterij

De makers van de Anonabox, een netwerkapparaatje dat dataverkeer via Tor routeert en op Kickstarter wordt gepromoot, zouden oplichters zijn, zo stellen diverse critici op Reddit. De makers zouden het hardwareontwerp niet zelf hebben ontwikkeld en het kastje zou onveilig zijn.

Volgens een van de criticasters hebben de ontwikkelaars van de Anonabox ten onrechte gesuggereerd dat zij een eigen hardwareontwerp hadden ontwikkeld, terwijl de onderdelen kant-en-klaar in Chinese webwinkels zouden zijn te vinden. Hij somt in zijn bericht de uitgebreide kritiek van een eerdere posting van woensdag op. In een interview met Wired geeft August Germar, een van de initiatiefnemers van de Anonabox, toe dat het ontwerp afkomstig is van een Chinese oem, terwijl hij op Kickstarter een ander verhaal hield.

Naast onenigheid over het hardwareontwerp zouden de Anonabox-ontwikkelaars ook liegen met de claim dat het apparaatje geheel opensource is. Er wordt juist gevreesd dat er in de Chinese netwerkchips achterdeurtjes zijn aangebracht, al is daar geen hard bewijs voor.

Ook op softwaregebied is er kritiek: de Anonabox zou onveilig zijn omdat er onder andere een ssh-deamon op draait waardoor de firmware in theorie door derden kan worden aangepast. Ook wordt een open wifi-netwerk aangeboden en het root-wachtwoord zou ook een achterdeurtje kunnen zijn.

De kritiek komt op een moment dat de Anonabox veel succes heeft op Kickstarter en in de media. De makers streefden naar een opbrengst van 7500 dollar, maar inmiddels is meer dan 600.000 dollar, omgerekend 470.000 euro, opgehaald.

Het project vertoont grote gelijkenis met het Portal-project dat half augustus tijdens beveiligingsbeurs Def Con werd geopenbaard en dat een software-image voor de kleine en goedkope router GL.iNet omvat om standaard via Tor internetverkeer te anonimiseren. De Anonabox zou deze Tor-package ook gebruiken.

Anonabox

Reacties (49)

Yzord 16 oktober 2014 17:59

Ik wilde deze ook bestellen, maar het kastje is inderdaad te koop op Aliexpress voor 18USD, maar dan heb je wel 4mb flash terwijl 8mb gewenst is. Om deze 8mb te breiken moet je de flash chip eraf zien te weken en een andere flash chip erop solderen. Al heb ik een ad gezien met 8mb flash, maar die ad was verlopen en een reactie van de producent/fabrikant heb ik nog niet gekregen.

Ik zou 66USD kwijt zijn aan het kastje, maar ik twijfel enorm. De critici hebben in deze gewoon gelijk en de kans bestaat dat het wordt gecanceld.

CurlyMo @Yzord • 16 oktober 2014 18:08

Zoals ook al in één de reacties op de Reddit pagina is geschreven, kan je dit prima zelf doen op een Raspberry Pi: https://learn.adafruit.com/onion-pi/overview. Dan heb je toch wat meer zekerheid dan met dit apparaat.

Cerberus_tm

@CurlyMo • 16 oktober 2014 20:16

Maar dat is dan verre van plug-and-play voor je grootmoeder! En daarnaast, krijg je het in zo'n klein, afgewerkt kastje?

Q-collective

@Yzord • 16 oktober 2014 18:15

Ik heb mijn pledge van $66 ook gecanceled en wacht de reactie van de ontwikelaars verder af. Ik vind het product best leuk, maar als er dergelijke twijfels bij komen kijken, dan wil ik toch liever de kat even uit de boom kijken.

Yzord @Q-collective • 16 oktober 2014 18:21

Heb zojuist deze besteld:

http://www.aliexpress.com/snapshot/6289384342.html

en de Tor firmware heb ik hier gedownload:

http://www.gl-inet.com/w/?p=492&lang=en

of kan je zelf compilen met de instructies op eenzelfde pagina. Totale kosten...23 euro.

Cerberus_tm

@Yzord • 16 oktober 2014 20:17

Maar dat kan je grootmoeder niet, en voor het gemak betaalt ze dan dus een paar tientjes extra voor als ze anoniem wil Internetten. Voor jou is jouw oplossing vast beter, maar dat betekent niet dat het Kickstarter-ding slecht is.

Seal64 @Cerberus_tm • 17 oktober 2014 07:00

Ik denk dat de meeste grootmoeders niet weten wat Kickstarter is, hoe het werkt, wat Tor is, hoe dat werkt, en waarom je überhaupt zoveel moeite zou willen steken in het anoniem houden van je websurfgedrag.

Ik bedoel, als je nog dagelijks ziet dat (vaak oudere) mensen blindelings in de meest knullige phishing-pogingen trappen en daarmee klakkeloos hun bankgegevens op straat gooien, verwacht ik niet dat ze zich hier druk over gaan maken.

Cerberus_tm

@Seal64 • 17 oktober 2014 08:21

Het was de spreekwoordelijke grootmoeder! Leek me grappiger in dit verband dan "een leek".

Seal64 @Cerberus_tm • 18 oktober 2014 09:41

En dat verandert mijn reactie, hoe, precies? Jij denkt dat dit bij leken beter gaat, blijkbaar?

Cerberus_tm

@Seal64 • 18 oktober 2014 20:16

Deze TOR-router is bedoeld voor mensen die weten wat een router is en wat TOR is, maar die geen kennis hebben van hoe routers werken en hoe je daar een TOR-systeem op zou moeten installeren. Of mensen die daar geen zin in of geen tijd voor hebben. Dat is de doelgroep, en voor hen kan deze router nuttig zijn.

Yzord @Cerberus_tm • 16 oktober 2014 20:37

Waar zeg ik dat het Kickstarter-ding slecht is? Ik heb zelfs aangegeven dat ik hem wilde bestellen, maar enorm twijfel omdat het wellicht gecanceld wordt.

Cerberus_tm

@Yzord • 16 oktober 2014 20:44

O okee, dat heb ik even gemist. Ik dacht dat je suggereerde dat het hele project slecht was omdat je precies hetzelfde zelf zou kunnen samenstellen voor minder geld.

Verwijderd @Yzord • 16 oktober 2014 18:47

Daarnaast is de vraag of het zin heeft om Privacy gerelateerde hardware in de V.S. te bstellen, aangezien uit de documenten van Snowden bleek dat hardware (van o.a. Cisco) regelmatig bij de U.S. Customs door de NSA automatisch kan worden "geupgrade"...

Mensen die dit product bestellen zijn dan een interessante doelgroep.

StefanTs @Yzord • 16 oktober 2014 19:42

Waarom? Je kunt ook gewoon contact opnemen met de fabriek waar ze vandaan komen en een bestelling plaatsen met een andere flashchip. Bestel er genoeg, dan is dat geen enkel probleem.

Yzord @StefanTs • 16 oktober 2014 20:03

heb je mijn reactie wel gelezen?

Al heb ik een ad gezien met 8mb flash, maar die ad was verlopen en een reactie van de producent/fabrikant heb ik nog niet gekregen.

Verwijderd 16 oktober 2014 18:42

Torberry op een raspberry pi doet hetzelfde

https://code.google.com/p/torberry/

Eloy 16 oktober 2014 19:08

Ik zou dit echt niet willen. Worden ook al je login gegevens via TOR verstuurd met websites die geen HTTPS ondersteunen.

boner 16 oktober 2014 17:46

dat Linksys routertje brengt mij op het idee om de ontwikkelaars van de alternatieve router-firmware eens te bevragen of ze TOR niet standaard in de router kunnen implementeren....

blorf @boner • 16 oktober 2014 18:15

Waarvoor zou je dat willen? TOR is software en verandert regelmatig. Het lijkt me een aanzienlijk risico iets dergelijks door de firmware van een hardware-router te laten regelen. En vooral als dat dan Cisco/Linksys moet worden. Een consumentenrouter is meestal de locatie waar je data binnenkomt en naar buiten gaat. Daarbij is moeilijk te controleren of het ding echt eerlijk en transparant is.
Als je serieus anoniem wil zijn lijkt het me in ieder geval zaak geen enkel stukje controle uit handen te geven. Als dit een trend wordt is Tor straks volgens mij net zo anoniem en veilig als de gemiddelde software-omgeving van een smartphone waarbij de OS-maker de boel regeert en de eindgebruiker buitensluit.

[Reactie gewijzigd door blorf op 22 juli 2024 19:31]

Soultaker

@blorf • 16 oktober 2014 21:18

Het theoretisch voordeel van TOR inbouwen in de router is dat de router kan garanderen dat alle data wordt verstuurd over TOR.

Als je de TOR software op je computer installeert, moet je alle software die je gebruikt zo configureren dat de lokale TOR server als proxy wordt gebruikt. In de browser is dat makkelijk, maar hoe zit het met DNS requests? Of Skype? Java applets? Flash videos? PDF files in Adobe Reader? Windows Update?

Al deze toepassingen kunnen gegevens lekken. Dat probleem is moeilijk op te lossen als de TOR server en andere applicaties op hetzelfde systeem draaien, want als TOR direct met het internet kan verbinden, kunnen andere applicaties dat ook. Vandaar de wens om TOR te draaien op een los apparaat wat tussen de internetverbinding en de computer van de gebruiker in zit.

Merk op dat de Anonabox precies zo'n apparaatje is: het wordt geplaatst tussen de router en je computer. Met dat idee is niet zoveel mis.

[Reactie gewijzigd door Soultaker op 22 juli 2024 19:31]

Robin H @Soultaker • 16 oktober 2014 23:01

Is het niet zo dat het afgeraden wordt TOR te gebruiken en om vervolgens op bvb Facebook te surfen? Is een router waar alles door gepompt wordt langs TOR dan niet onveiliger dan een aparte TOR-browser?

Houd in het achterhoofd dat privacy in sommige landen het verschil tussen leven en dood kan betekenen.

ultimasnake @Robin H • 16 oktober 2014 23:56

Ik moest er even over nadenken maar als je inderdaad openbare profielen gebruikt via Tor zal een exit-node kunnen verraden dat jij TOR gebruikt. Al deze exit-nodes somehow (op den duur niet ondenkbaar) gebacktraced kunnen worden zouden ze eventueel ander verkeer ook op jou kunnen 'verhalen'.

Als je het dus vaak genoeg doet zal er een profiel gemaakt kunnen worden van jou op het tor-netwerk. Volgens mij moet je op Tor nog steeds zo 'Anoniem' mogelijk rondsluipen.

Daarnaast lijkt facebook me geen pretje omdat de exit-nodes steeds verschillen en facebook al 'schrikt' als je even in het buitenland je FB bekijkt. Dat kan je uitzetten maar dan weet je weer niet wat echt verdacht is

[Reactie gewijzigd door ultimasnake op 22 juli 2024 19:31]

drdelta @Soultaker • 17 oktober 2014 07:57

Lijkt mij makkelijk op te lossen met een netwerk driver die er tussen gaat zitten, en je bestaande verbindingen kabel/wifi/etc vervangt.

Madshark

@boner • 16 oktober 2014 18:17

Een paar jaar terug had ik https://www.gargoyle-router.com/ op een WNDR3700 draaien, deze heeft een TOR-exitnode functie dat je kunt aanzetten.

thomasmoors @Madshark • 16 oktober 2014 19:16

Ik denk dat de meeste mensen een client willen zijn en geen exitnode. Dit houdt namelijk in dat de activiteit die plaatsvind op het TOR-netwerk wordt getraceerd naar jouw IP, voor velen niet echt wenselijk.

John Doos 16 oktober 2014 17:44

Dan ben ik benieuwd hoe dat zit met de voorwaarden van Kickstarter.
Oftewel, word dit idee nu alsnog doorgevoerd of niet?

Zoniet zouden de donateuren dan terug betaald worden?

Botloos @John Doos • 16 oktober 2014 17:50

Bij kickstarter wordt het geld pas afgeschreven als de periode verstreken is en het doel bereikt is, het laatste is in dit geval al gehaald maar indien voor het einde van de periode blijkt dat het oplichterij is dan zal er geen geld afgeschreven worden en hoeft er dus ook niemand terugbetaald te worden.

Jeroen @Botloos • 16 oktober 2014 18:08

Iedereen die het er niet mee eens is kan ook zijn deelname weer terugtrekken, dat lijkt me op zich oplossing genoeg.

skinpatch 16 oktober 2014 18:07

Zou het doel van 7500 dollar niet erg weinig zijn geweest als ze daadwerkelijk een nieuwe router 'from scratch' hadden ontwikkeld?

analog_ @skinpatch • 16 oktober 2014 19:07

raspbian installeren en een tor daemon. Vervolgens plak je met node.js de config files aan een web-interface en laat je een doosje rond een rpi ontwerpen, het is dan ook niet meer dan twee maanden werk voor één persoon.

skinpatch @analog_ • 16 oktober 2014 19:33

Klopt. Volgens het artikel beloofden ze echter een volledig nieuw hardwareontwerp. Lijkt me toch een stuk duurder om zoiets te ontwikkelen.

fevenhuis 16 oktober 2014 17:48

Uitermate eigenaardige kritiek punten die hier niet goed worden uitgelegd.

De voornaamste lijkt te zijn dat het om oplossing gaat waarvan de oorsprong niet goed duidelijk is.

[Reactie gewijzigd door fevenhuis op 22 juli 2024 19:31]

analog_ @fevenhuis • 16 oktober 2014 19:05

De bron zal wel een concurrent zijn op Reddit, netwerk opslag/tor/cloud doosjes groeien als paddenstoelen en ze zouden allemaal genialer zijn dan elkaar. Uiteindelijk draaien ze allemaal op dezelfde hardware (rpi niveau) met dezelfde software (raspbian). Dat ze elkaar maar lekker bezighouden.

jimmy87 16 oktober 2014 23:08

Kan iedereen is stoppen met roepen dan kan je grootmoeder het niet meer..

Je grootmoeder zal dit uberhaupt niet willen want die zal voor 90% toch niet weten wat Tor is en als jij diegene bent die oma net heeft uitgelegd wat Tor nu eigenlijk is kun je het ding net zo goed zelf instellen en maakt het dus niks meer uit wat er nu eigenlijk tussen hangt

mae-t.net @jimmy87 • 17 oktober 2014 16:30

Er zijn echter wel genoeg grootmoeders die zich van vroeger nog herinneren wat privacy is, en heel veel verhalen horen over lekken en misbruik van het internet. Ook al voorkom je lang niet al die problemen met TOR, het kan grootmoeders wel degelijk aanspreken.

@hieronder: dat is een heel goed punt!

[Reactie gewijzigd door mae-t.net op 22 juli 2024 19:31]

jimmy87 @mae-t.net • 18 oktober 2014 21:07

Ik heb ook niet gezegd dat grootmoeders niet denken aan privacy natuurlijk

Ik zei alleen dat 90% van de grootmoeders niet zullen weten wat TOR is

En als je toch moet uitleggen wat TOR is kun je het net zo goed zelf installeren.

idovitz 17 oktober 2014 09:15

Zit ook in tomato usb http://tomato.groov.pl
Kan je per vlan of ip aangeven wat via tor moet..

morrowyn 17 oktober 2014 09:32

Ik kan me helemaal vinden met de critici, als je hier Kerckhoffs principe op loslaat;

A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.

http://en.m.wikipedia.org/wiki/Kerckhoffs's_principle

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (49)

Sorteer op:

Weergave: