Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Submitter: thepillow86

De makers van de Anonabox, een netwerkapparaatje dat dataverkeer via Tor routeert en op Kickstarter wordt gepromoot, zouden oplichters zijn, zo stellen diverse critici op Reddit. De makers zouden het hardwareontwerp niet zelf hebben ontwikkeld en het kastje zou onveilig zijn.

Volgens een van de criticasters hebben de ontwikkelaars van de Anonabox ten onrechte gesuggereerd dat zij een eigen hardwareontwerp hadden ontwikkeld, terwijl de onderdelen kant-en-klaar in Chinese webwinkels zouden zijn te vinden. Hij somt in zijn bericht de uitgebreide kritiek van een eerdere posting van woensdag op. In een interview met Wired geeft August Germar, een van de initiatiefnemers van de Anonabox, toe dat het ontwerp afkomstig is van een Chinese oem, terwijl hij op Kickstarter een ander verhaal hield.

Naast onenigheid over het hardwareontwerp zouden de Anonabox-ontwikkelaars ook liegen met de claim dat het apparaatje geheel opensource is. Er wordt juist gevreesd dat er in de Chinese netwerkchips achterdeurtjes zijn aangebracht, al is daar geen hard bewijs voor.

Ook op softwaregebied is er kritiek: de Anonabox zou onveilig zijn omdat er onder andere een ssh-deamon op draait waardoor de firmware in theorie door derden kan worden aangepast. Ook wordt een open wifi-netwerk aangeboden en het root-wachtwoord zou ook een achterdeurtje kunnen zijn.

De kritiek komt op een moment dat de Anonabox veel succes heeft op Kickstarter en in de media. De makers streefden naar een opbrengst van 7500 dollar, maar inmiddels is meer dan 600.000 dollar, omgerekend 470.000 euro, opgehaald.

Het project vertoont grote gelijkenis met het Portal-project dat half augustus tijdens beveiligingsbeurs Def Con werd geopenbaard en dat een software-image voor de kleine en goedkope router GL.iNet omvat om standaard via Tor internetverkeer te anonimiseren. De Anonabox zou deze Tor-package ook gebruiken.

Anonabox

Moderatie-faq Wijzig weergave

Reacties (49)

Ik wilde deze ook bestellen, maar het kastje is inderdaad te koop op Aliexpress voor 18USD, maar dan heb je wel 4mb flash terwijl 8mb gewenst is. Om deze 8mb te breiken moet je de flash chip eraf zien te weken en een andere flash chip erop solderen. Al heb ik een ad gezien met 8mb flash, maar die ad was verlopen en een reactie van de producent/fabrikant heb ik nog niet gekregen.

Ik zou 66USD kwijt zijn aan het kastje, maar ik twijfel enorm. De critici hebben in deze gewoon gelijk en de kans bestaat dat het wordt gecanceld.
Zoals ook al in ťťn de reacties op de Reddit pagina is geschreven, kan je dit prima zelf doen op een Raspberry Pi: https://learn.adafruit.com/onion-pi/overview. Dan heb je toch wat meer zekerheid dan met dit apparaat.
Maar dat is dan verre van plug-and-play voor je grootmoeder! En daarnaast, krijg je het in zo'n klein, afgewerkt kastje?
Ik heb mijn pledge van $66 ook gecanceled en wacht de reactie van de ontwikelaars verder af. Ik vind het product best leuk, maar als er dergelijke twijfels bij komen kijken, dan wil ik toch liever de kat even uit de boom kijken.
Heb zojuist deze besteld:

http://www.aliexpress.com/snapshot/6289384342.html

en de Tor firmware heb ik hier gedownload:

http://www.gl-inet.com/w/?p=492&lang=en

of kan je zelf compilen met de instructies op eenzelfde pagina. Totale kosten...23 euro.
Maar dat kan je grootmoeder niet, en voor het gemak betaalt ze dan dus een paar tientjes extra voor als ze anoniem wil Internetten. Voor jou is jouw oplossing vast beter, maar dat betekent niet dat het Kickstarter-ding slecht is.
Ik denk dat de meeste grootmoeders niet weten wat Kickstarter is, hoe het werkt, wat Tor is, hoe dat werkt, en waarom je Łberhaupt zoveel moeite zou willen steken in het anoniem houden van je websurfgedrag.

Ik bedoel, als je nog dagelijks ziet dat (vaak oudere) mensen blindelings in de meest knullige phishing-pogingen trappen en daarmee klakkeloos hun bankgegevens op straat gooien, verwacht ik niet dat ze zich hier druk over gaan maken.
Het was de spreekwoordelijke grootmoeder! Leek me grappiger in dit verband dan "een leek".
En dat verandert mijn reactie, hoe, precies? Jij denkt dat dit bij leken beter gaat, blijkbaar?
Deze TOR-router is bedoeld voor mensen die weten wat een router is en wat TOR is, maar die geen kennis hebben van hoe routers werken en hoe je daar een TOR-systeem op zou moeten installeren. Of mensen die daar geen zin in of geen tijd voor hebben. Dat is de doelgroep, en voor hen kan deze router nuttig zijn.
Waar zeg ik dat het Kickstarter-ding slecht is? Ik heb zelfs aangegeven dat ik hem wilde bestellen, maar enorm twijfel omdat het wellicht gecanceld wordt.
O okee, dat heb ik even gemist. Ik dacht dat je suggereerde dat het hele project slecht was omdat je precies hetzelfde zelf zou kunnen samenstellen voor minder geld.
Daarnaast is de vraag of het zin heeft om Privacy gerelateerde hardware in de V.S. te bstellen, aangezien uit de documenten van Snowden bleek dat hardware (van o.a. Cisco) regelmatig bij de U.S. Customs door de NSA automatisch kan worden "geupgrade"...

Mensen die dit product bestellen zijn dan een interessante doelgroep.
Waarom? Je kunt ook gewoon contact opnemen met de fabriek waar ze vandaan komen en een bestelling plaatsen met een andere flashchip. Bestel er genoeg, dan is dat geen enkel probleem.
heb je mijn reactie wel gelezen?
Al heb ik een ad gezien met 8mb flash, maar die ad was verlopen en een reactie van de producent/fabrikant heb ik nog niet gekregen.
Torberry op een raspberry pi doet hetzelfde

https://code.google.com/p/torberry/
Ik zou dit echt niet willen. Worden ook al je login gegevens via TOR verstuurd met websites die geen HTTPS ondersteunen.
dat Linksys routertje brengt mij op het idee om de ontwikkelaars van de alternatieve router-firmware eens te bevragen of ze TOR niet standaard in de router kunnen implementeren....
Waarvoor zou je dat willen? TOR is software en verandert regelmatig. Het lijkt me een aanzienlijk risico iets dergelijks door de firmware van een hardware-router te laten regelen. En vooral als dat dan Cisco/Linksys moet worden. Een consumentenrouter is meestal de locatie waar je data binnenkomt en naar buiten gaat. Daarbij is moeilijk te controleren of het ding echt eerlijk en transparant is.
Als je serieus anoniem wil zijn lijkt het me in ieder geval zaak geen enkel stukje controle uit handen te geven. Als dit een trend wordt is Tor straks volgens mij net zo anoniem en veilig als de gemiddelde software-omgeving van een smartphone waarbij de OS-maker de boel regeert en de eindgebruiker buitensluit.

[Reactie gewijzigd door blorf op 16 oktober 2014 18:16]

Het theoretisch voordeel van TOR inbouwen in de router is dat de router kan garanderen dat alle data wordt verstuurd over TOR.

Als je de TOR software op je computer installeert, moet je alle software die je gebruikt zo configureren dat de lokale TOR server als proxy wordt gebruikt. In de browser is dat makkelijk, maar hoe zit het met DNS requests? Of Skype? Java applets? Flash videos? PDF files in Adobe Reader? Windows Update?

Al deze toepassingen kunnen gegevens lekken. Dat probleem is moeilijk op te lossen als de TOR server en andere applicaties op hetzelfde systeem draaien, want als TOR direct met het internet kan verbinden, kunnen andere applicaties dat ook. Vandaar de wens om TOR te draaien op een los apparaat wat tussen de internetverbinding en de computer van de gebruiker in zit.

Merk op dat de Anonabox precies zo'n apparaatje is: het wordt geplaatst tussen de router en je computer. Met dat idee is niet zoveel mis.

[Reactie gewijzigd door Soultaker op 16 oktober 2014 21:20]

Is het niet zo dat het afgeraden wordt TOR te gebruiken en om vervolgens op bvb Facebook te surfen? Is een router waar alles door gepompt wordt langs TOR dan niet onveiliger dan een aparte TOR-browser?

Houd in het achterhoofd dat privacy in sommige landen het verschil tussen leven en dood kan betekenen.
Ik moest er even over nadenken maar als je inderdaad openbare profielen gebruikt via Tor zal een exit-node kunnen verraden dat jij TOR gebruikt. Al deze exit-nodes somehow (op den duur niet ondenkbaar) gebacktraced kunnen worden zouden ze eventueel ander verkeer ook op jou kunnen 'verhalen'.

Als je het dus vaak genoeg doet zal er een profiel gemaakt kunnen worden van jou op het tor-netwerk. Volgens mij moet je op Tor nog steeds zo 'Anoniem' mogelijk rondsluipen.

Daarnaast lijkt facebook me geen pretje omdat de exit-nodes steeds verschillen en facebook al 'schrikt' als je even in het buitenland je FB bekijkt. Dat kan je uitzetten maar dan weet je weer niet wat echt verdacht is

[Reactie gewijzigd door ultimasnake op 16 oktober 2014 23:57]

Lijkt mij makkelijk op te lossen met een netwerk driver die er tussen gaat zitten, en je bestaande verbindingen kabel/wifi/etc vervangt.
Een paar jaar terug had ik https://www.gargoyle-router.com/ op een WNDR3700 draaien, deze heeft een TOR-exitnode functie dat je kunt aanzetten.
Ik denk dat de meeste mensen een client willen zijn en geen exitnode. Dit houdt namelijk in dat de activiteit die plaatsvind op het TOR-netwerk wordt getraceerd naar jouw IP, voor velen niet echt wenselijk.
Dan ben ik benieuwd hoe dat zit met de voorwaarden van Kickstarter.
Oftewel, word dit idee nu alsnog doorgevoerd of niet?

Zoniet zouden de donateuren dan terug betaald worden?
Bij kickstarter wordt het geld pas afgeschreven als de periode verstreken is en het doel bereikt is, het laatste is in dit geval al gehaald maar indien voor het einde van de periode blijkt dat het oplichterij is dan zal er geen geld afgeschreven worden en hoeft er dus ook niemand terugbetaald te worden.
Iedereen die het er niet mee eens is kan ook zijn deelname weer terugtrekken, dat lijkt me op zich oplossing genoeg.
Zou het doel van 7500 dollar niet erg weinig zijn geweest als ze daadwerkelijk een nieuwe router 'from scratch' hadden ontwikkeld?
raspbian installeren en een tor daemon. Vervolgens plak je met node.js de config files aan een web-interface en laat je een doosje rond een rpi ontwerpen, het is dan ook niet meer dan twee maanden werk voor ťťn persoon.
Klopt. Volgens het artikel beloofden ze echter een volledig nieuw hardwareontwerp. Lijkt me toch een stuk duurder om zoiets te ontwikkelen.
Uitermate eigenaardige kritiek punten die hier niet goed worden uitgelegd.

De voornaamste lijkt te zijn dat het om oplossing gaat waarvan de oorsprong niet goed duidelijk is.

[Reactie gewijzigd door fevenhuis op 16 oktober 2014 17:49]

De bron zal wel een concurrent zijn op Reddit, netwerk opslag/tor/cloud doosjes groeien als paddenstoelen en ze zouden allemaal genialer zijn dan elkaar. Uiteindelijk draaien ze allemaal op dezelfde hardware (rpi niveau) met dezelfde software (raspbian). Dat ze elkaar maar lekker bezighouden.
Kan iedereen is stoppen met roepen dan kan je grootmoeder het niet meer.. :O
Je grootmoeder zal dit uberhaupt niet willen want die zal voor 90% toch niet weten wat Tor is en als jij diegene bent die oma net heeft uitgelegd wat Tor nu eigenlijk is kun je het ding net zo goed zelf instellen en maakt het dus niks meer uit wat er nu eigenlijk tussen hangt :P
Er zijn echter wel genoeg grootmoeders die zich van vroeger nog herinneren wat privacy is, en heel veel verhalen horen over lekken en misbruik van het internet. Ook al voorkom je lang niet al die problemen met TOR, het kan grootmoeders wel degelijk aanspreken.

@hieronder: dat is een heel goed punt!

[Reactie gewijzigd door mae-t.net op 18 oktober 2014 21:45]

Ik heb ook niet gezegd dat grootmoeders niet denken aan privacy natuurlijk :)
Ik zei alleen dat 90% van de grootmoeders niet zullen weten wat TOR is ;)

En als je toch moet uitleggen wat TOR is kun je het net zo goed zelf installeren.
Zit ook in tomato usb http://tomato.groov.pl
Kan je per vlan of ip aangeven wat via tor moet..
Ik kan me helemaal vinden met de critici, als je hier Kerckhoffs principe op loslaat;

A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.

http://en.m.wikipedia.org/wiki/Kerckhoffs's_principle

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True