Az analízis során arra jutottak, hogy vannak olyan rosszindulatú személyek, akik a számítógépükre feltelepítik a kilépő Tor proxyt, majd a tunnelből kilépő kapcsolatok egy részén közbeékelődéses támadást indítanak a felhasználó ellen, amikor az például banki ügyeit kívánja intézni.
Az analízist úgy végezték, hogy a kapcsolódást végrehajtották a Tor hálózaton egy adott kilépő proxyn keresztül, illetve Tor nélkül, és a kapott certificate-eket összevetették. Ahol a két certificate különbözött, ott a kilépési pont megpróbált közbeékelődni.
Az EFF is felhívja a figyelmet arra a Tor szoftver oldalán, hogy a hálózat használata sem garantálja a magánszféra védelmét.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Közbeékelődés... Én is arra használom. :)
- A hozzászóláshoz be kell jelentkezni
"közbeékelődéses támadás"
Ez a MITM?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Szerintem az akart lenni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igen. A probléma ráadásul súlyosabb mint elsőre tűnik, mert certificate (azaz pl. https) különbözőség esetén még fel is tűnhet, ha valaki a cél szervernek adja ki magát, de sima plain-text protokolloknál ez ki sem derül, hisz nem kell mást csinálnia a támadónak, csak sniffelni a forgalmat...
Lényegében arról van szó, hogy a Tor akár veszélyesebb is tud lenni, mint egy sima internet kapcsolat, mert *bárki* csinálhat egy Tor szervert, ahol beállíthatja, hogy kifele is enged kapcsolatokat (sokan reject *:* beállítást használnak, így a láncban csak középen helyezkednek el, tehát kizárólag egyfajta átjátszóként funkciónálnak a Tor szerverek között és csak titkosított adatokat látnak). Ha viszont valaki kifele is enged kapcsolatokat, akkor ő lehet _kilépő_ szerver is (ahonnan kapcsolat a cél szerver fele már ugyanabban a formában halad, ahogy a kliens programot (pl. böngészőt vagy levelező klienst) elhagyta, tehát plain-text protokoll esetén titkosítatlanul) és bármit láthat és módosíthat.
Mi is csináltuk kiváncsiságból hónapokkal ezelőtt ilyet és tényleg hihetetlen, hogy rengeteg ember "biztonságos Tor" felkiáltással lekéri pop3-on a leveleit, majd belép a http-n a féltve örzött jelszavával a kedvenc weboldalára... :)
A leírásban meg az szerepel, hogy nyilván ezt sokan tovább fokozzák és egyfajta https tunnelt is képeznek (szerintem ssh-val is megteszik ezt ;) és aki nem figyel arra, hogy a cél szerver tanúsítványa (digitális aláírása) megegyezik a valódival, annak a titkosítottnak hitt csatornájába ugyanúgy belelátnak vagy akár bele is módosíthatnak, hisz nem a valódi cél szerverrel kommunikál, csak ezzel a kilépő szerverrel, amelyik kititkosítva látja a kapcsolatot, majd ő egy másik titkosított kapcsolatot hoz létre a célszerverrel amely fele továbbjátsza (az esetleg már módosított) kommunikációt.
- A hozzászóláshoz be kell jelentkezni
A TOR célja az anonimitás, nem a biztonság. Bármelyik elhagyásával a másik tökéletesre csinálható.
- A hozzászóláshoz be kell jelentkezni
Remélem nem engem akartál ezzel felvilágosítani... :)
A hozzászólásom pont arról szólt, hogy az emberek hajlamosak rosszul, téves céllal, hamis biztonságérzettel használni ezt az eszközt.
- A hozzászóláshoz be kell jelentkezni
nem a "bűnözők" ellen véd, hanem a "rend őrei" ellen ... vagyis nem véd, elrejt.
ezt csak szubjektíven lehet értékelni ... ki ki mérlegelje hogy kinek a kezébe adná szívesebben hétvégi berugásáról szóló körleveleit... bankolni fölösleges, iwiwet nézegetni nem, üzletre ilyet nem használ senki, magánszférámba meg ne túrjanak olyanok akiknek ez a munkájuk, nem csak egyszerűen perverz beteg állatok
viszont, szerencsére ténylegesen fontos dolgokat azért valamennyire vagy teljesen titkosítva küldözgetik ... pl mit kezdenek egy sha1-es plain text jelszóval? vagy md5-össel 7 forráskarakterrel?
- A hozzászóláshoz be kell jelentkezni
Attól függ, hogy azaz sha1 vagy md5 hash milyen környezetben van használva és hogyan történik vele az authentikáció. :)
Aki meg iwiw tag, annak már úgyis mind1, felesleges Tor-ral lassítania magát... ;P
- A hozzászóláshoz be kell jelentkezni
Igen az. Szerintem jó fordítása az angol kifejezésnek.
__________________________________________________________
Az életben csak egy dolog a szép, de az épp nem jut eszembe.
- A hozzászóláshoz be kell jelentkezni
szerintem korrekt, de neha celravezeto, ha az egyertlmuseg erdekeben zarojelben melleirjuk az eredeti kifejezest
de ez csak uff :)
szep forditas, grat
--
Bow down and admit defeat. | Old, weak and obsolete.
- A hozzászóláshoz be kell jelentkezni
De ez így van magyarul, legalábbis mindenhol így olvastam eddig, nem értem mi a meglepődés oka. Olyan mintha meglepődnénk azon a szón hogy "merevlemez".
- A hozzászóláshoz be kell jelentkezni
oks, legközelebb megfogadom a tanácsodat.
__________________________________________________________
Az életben csak egy dolog a szép, de az épp nem jut eszembe.
- A hozzászóláshoz be kell jelentkezni
Tor nélkül nem lehet így közbeékelődni?
Vagyis mi van ha a szolgáltatómnál ékelődnek közbe?
- A hozzászóláshoz be kell jelentkezni
Az szolgáltatód már alapból közbe van ékelődve:))) Tehát bármikor bele nézhetne a forgalomba, de nyugodt lehetsz, hogy nem a te titkosítatlan jelszavaidat figyelik éjjel-nappal.
- A hozzászóláshoz be kell jelentkezni
csak botnet-be szervezik a géped :)
- A hozzászóláshoz be kell jelentkezni
+1 :D
- A hozzászóláshoz be kell jelentkezni
na arra leszek kíváncsi, bár kétségkívül rossz jel ha a szolgáltatótól egy csomó X-P-s gép akar megosztáskat keresni a gépemen xD
- A hozzászóláshoz be kell jelentkezni