Cassandra Crossing/ Tor, lezioni di server 5

Congratulazioni per il lavoro svolto! Non sono comuni le capacità di saper rendere fruibile alle masse un discorso così complesso come il progetto tor.
Vorrei però spostare l’attenzione su alcuni aspetti che potrebbero essere vitali per i meno esperti e quindi oggetto di approfondimento per chi sta dedicando il suo (prezioso non dimentichiamolo) tempo agli altri:

Punto uno: non c’è Tor senza Privoxy, quest’ultima utilità è la più importante essendo quella di competenza di quella “cosa misteriosa” che connette la tastiera alla rete e va configurata a dovere sfruttandone tutte le potenzialità. Il progetto Tor non nasce solo per visionare in tutto anonimato, esso così soddisferebbe solo una parte degli utilizzatori (compresa quella parte marcia) esso nasce principalmente per evitare la censura e quindi permettere la pubblicazione la dove essa non è consentita, osteggiata, boicottata, oggetto di discriminazione sulla persona! Senza una conoscenza approfondita del sistema completo, la pubblicazione delle Libere Lettere di Marco Calamari apparirebbe una semplice curiosità per smanettoni e un potenziale pericolo per chi invece userebbe Tor per nobili scopi, ignorando i rischi tecnici ( e non mi riferisco a quelli legali perché dove esiste la legge esiste i diritto, esiste dunque la difesa, la replica! E’ proprio dove non esiste alcuna forma di diritto consumato che vi è più bisogno di Tor). Dunque è necessario , ma senza alcuna pretesa, approfondire, sviscerare tutta la programmazione fattibile con Tor.

Punto secondo: non c’è anonimato senza monitoraggio: è importante a mio avviso suggerire alla discussione l’approfondimento di metodo sulla gestione dell’attività tramite Tor : ovvero come un utente normale può verificare che dal suo pc escano solo le informazioni instradate dal Tor, quale metodo e atteggiamento assumere dunque sul S.O. e gli altri programmi che girano, ormai troppo spesso a nostra insaputa, sul pc? No mi riferisco solo ai componenti di Firefox, spiegati con dovizia di particolari nelle precedenti Lettere, ma anche a tutti quei programmi del S.O ed altri installati che possono compromettere l’attività eseguita con Tor. E’ drastico suggerire di chiudere tutte le porte tranne quelle in uso dal programma (e sopra di tutto è fattibile?).
I sistemi nat e dhcp influiscono?
Il router rilasciato dal provider ha codici che dialogano con il provider e associano dei marcatori all’ip in uscita/entrata?
Mac?
Come scopre un utente se è filtrato dal proprio provider?
Come evitare ( se è possibile) gli exit-node sporchi? Essi hanno dei “sintomi”?

Insomma superiamo il livello base e buttiamoci sulla sperimentazione! Passo dopo passo.

Mi chiedo quale gruppo di persone puo' avvantaggiarsi da un uso così ambiguo e poco chiaro di non meglio precisate tecnologie di ano-nimizzazione....

mi sorgono inquietanti interrogativi....

- Scritto da: kairus
> Mi chiedo quale gruppo di persone puo'
> avvantaggiarsi da un uso così ambiguo e poco
> chiaro di non meglio precisate tecnologie di
> ano-nimizzazione....
>
> mi sorgono inquietanti interrogativi....

i terroristi di al-che-id[e]a?
...ah, no! intendi alcuni nostri politici!!!! tanto si sa' già chi sono quelli che guardano i porno online....

un altro oggetto buono, che quì piace molto,
poteva essere: Tor al Tappeto!

Tratto da http://www.torproject.org/download.html.it

> 5. Tor impedisce bla bla ..., ma pone dei rischi nuovi:
> un exit node ostile o male configurato può mostrarti
> una pagina sbagliata, o inviarti di nascosto delle applet
> Java come se provenissero da domini di cui ti fidi.

Ossia: per evitare che si usi tor basta screditare la rete tor: ossia che qualcuno (a voi chi viene in mente?) tiri su alcuni exit node "male configurati" (farlocchi) che ti inviano quello che vogliono, tipo oggetti che ti loggano o installano sul tuo PC linux con FF (ma anche windows, più difficile ma possibile ) software malevolo spacciato per buono.

(storia già vista vero? ... p2p?)

In questo modo piano piano si smetterà di usare tor e si porrà il TorButton a off.

... o sbaglio?

Io.

Ora i server Tor italiani aumenteranno in modo esponenziale

Perdonate l'OT (so che oggi si discute della gestione di un router TOR), ma, sebbene ignorante in tal campo, ho letto qualcosa su pacchetti già pronti all'uso come JanusVM, xB Browser (o Torpack) ed OperaTor.

A vostro avviso, la loro preconfigurazione può essere ritenuta alla stregua di quella consigliata da Marco Calamari (sempre dettagliato e chiaro nei suoi articoli... lo comprendo pure io!) o potrebbe presentare qualche leak (si dice così, no?) tipo nei DNS e così via?

Insomma, mi chiedo se possano essere una valida alternativa (in versione portabile).

Grazie a Tutti

- Scritto da: Ignorante Informatic o
> Perdonate l'OT (so che oggi si discute
> della gestione di un router TOR), ma, sebbene
> ignorante in tal campo, ho letto qualcosa su
> pacchetti già pronti all'uso come
> JanusVM, xB Browser
> (o Torpack) ed
> OperaTor.

Torpack l'ho provato in passato ed era configurato correttamente (spetta comunque all'utilizzatore andare a verificare tutte le opzioni, non sono così numerose e ne vale la pena)
Per quanto riguarda i DNS non ho avuto necessità di verificare (alla fine lo usavo soprattuto per rapidshare e simili che ti danno un ticket per un download ogni ora e si basano solo sull'ip) e non saprei nemmeno come testarlo effettivamente (a parte mettere in piedi da qualche parte un DNS server e leggersi i log).
Ci vorrebbe un servizio automatico che faccia questo lavoro.
Se non ricordo male comunque, in FF c'è una voce nel about:config per i DNS (non è l'interfaccia dell'applicazione, ma è quella Web).

Di Operator ho letto tutto sul sito ufficiale.
Attualmente (o meglio l'ultima volta che ho controllato) è in bundle con una versione di Opera che però è vecchia e soffre di alcuni bug di sicurezza successivamente patchati.
Se non sbaglio anche la versione di Tor nel bundle Operator è "antica".
Sul sito ufficiale però ci sono le istruzioni per creare un nuovo eseguibile di Operator partendo da eseguibili aggiornati dei tre software componenti.
Quindi andrebbe usato quello.

xB Browser, mai sentito

Di JanusVM, ho letto tutta la FAQ ufficiale ma non l'ho mai provato.
Fra tutti mi sembra quello che offre il servizio migliore perchè è tutto fatto in trasparenza con una VPN virtuale locale che esce solo con TOR.
Nelle faq c'è anche scritto come verificare di averlo configurato correttamente per i DNS.
Ripeto però, che non l'ho mai provato.
L'unico fattore di rischio che vedo è che se, per qualsiasi ragione, la VPN virtuale locale si disconnettesse, tutti i programmi in esecuzione comincerebbero ad usare quella sottostante che non è anonimizzata.

- Scritto da: unaDuraLezione
>Torpack l'ho provato in passato ed era configurato correttamente (spetta comunque all'utilizzatore andare a verificare tutte le opzioni, non sono così numerose e ne vale la pena).
Beh, allora dici che anche un Utonto come me potrebbe darci un'occhiata?

>Di Operator ho letto tutto sul sito ufficiale.
Attualmente (o meglio l'ultima volta che ho controllato) è in bundle con una versione di Opera che però è vecchia e soffre di alcuni bug di sicurezza successivamente patchati.

In effetti, guardando qualche screenshot, mi era parsa un po' obsoleta (rispetto alla versione attuale).

>Sul sito ufficiale però ci sono le istruzioni per creare un nuovo eseguibile di Operator partendo da eseguibili aggiornati dei tre software componenti.
Quindi andrebbe usato quello.

In poche parole, Opera garantirebbe un qualcosa in più?

>xB Browser, mai sentito

Dovrebbe essere il nome nuovo dato a Torpack, credo

>Di JanusVM, ho letto tutta la FAQ ufficiale ma non l'ho mai provato.
Fra tutti mi sembra quello che offre il servizio migliore perchè è tutto fatto in trasparenza con una VPN virtuale locale che esce solo con TOR.
Nelle faq c'è anche scritto come verificare di averlo configurato correttamente per i DNS..
..L'unico fattore di rischio che vedo è che se, per qualsiasi ragione, la VPN virtuale locale si disconnettesse, tutti i programmi in esecuzione comincerebbero ad usare quella sottostante che non è anonimizzata.

Perdona l'ignoranza, ma, in pratica, sarebbe come creare una connessione (se non erro, in VMware) all'interno di quella usata comunemente?

Per il resto, unaDuraLezione, che dire..
sei stato molto esaustivo e ti ringrazio!

(..e chiedo scusa per il ritardo nel risponderti)

- Scritto da: Ignorante Informatic o

> Beh, allora dici che anche un Utonto come
> me potrebbe darci un'occhiata?
>

Beh, c'è solo da verificare poche impostazioni di TOR e privoxy (si trovano grossomodo in ogni tutorial che tratta i due software).
Con molta più attenzione quelle del browser (in particolare plug-in, programmi associati ai tipi Mime, gestione di estensioni e protocolli particolari).
Più o meno sono gli argomenti delle prime tre puntate di questi articoli.

> In effetti, guardando qualche screenshot,
> mi era parsa un po' obsoleta (rispetto
> alla versione
> attuale).

Non è quello il motivo
L'interfaccia di Opera è personalizzabile e Operator include una personalizzazione abbastanza spinta.

> Quindi andrebbe usato quello.
>
> In poche parole, Opera garantirebbe un
> qualcosa in
> più?

Non intendevo quello: se si vuole utilizzare operator è bene crearsi l'eseguibile aggiornato (seguendo le istruzioni) e non usare quello preconfezionato.
Quanto ad Opera è notoriamente il browser che ha meno vulnerabilità, per cui potrebbe essere un punto in più.

> >xB Browser, mai sentito
>
> Dovrebbe essere il nome nuovo dato a
> Torpack, credo
>

mhhh.. ho guardato un po' il sito ma non mi è chiaro (non c'è scritto molto)... parla di utilizzo di proxy ma non specifica quali.
Secondo me sono i loro, il che significa che devi fidarti.
E siccome loro sono solo un'organizzazione (cioè non sono distribuiti) non c'è molto da fidarsi.

> Perdona l'ignoranza, ma, in pratica, sarebbe come
> creare una connessione (se non erro, in
> VMware) all'interno di quella usata
> comunemente?

VMware serve solo perchè il server che crea la connessione e la condivide è un server Linux progettato ad Hoc.
Anche se il server è virtuale, i servizi di rete che offre (nle caso specifico solo al PC locale) sono reali.
Quindi con qualsiasi OS puoi creare una VPN che sta al di sopra della tua connessione reale.
Tale VPN punta al server Linux virtuale che esce solo attraverso TOR (che è già preconfigurato nell'immagine di VMWare).

Rimane comunque la possibilità che i DNS vengano risolti a monte, ovvero nella tua connessione reale.
Nel caso di JanusVM le istruzioni del sito spiegano come verificare e correggere.

- Scritto da: unaDuraLezione
> - Scritto da: Ignorante Informatic o
>
> mhhh.. ho guardato un po' il sito ma non mi è
> chiaro (non c'è scritto molto)... parla di
> utilizzo di proxy ma non specifica
> quali.
> Secondo me sono i loro, il che significa che devi
> fidarti.
> E siccome loro sono solo un'organizzazione (cioè
> non sono distribuiti) non c'è molto da
> fidarsi.

Beh, a naso, son d'accordo con te

Descrivono, per linee molto generali, i loro servizi (che, stando a quanto si legge, sarebbero interessanti), ma non scendono (almeno non abbastanza) nei dettagli.

> VMware serve solo perchè il server che crea la
> connessione e la condivide è un server Linux
> progettato ad
> Hoc.
> Anche se il server è virtuale, i servizi di rete
> che offre (nle caso specifico solo al PC locale)
> sono
> reali.
> Quindi con qualsiasi OS puoi creare una VPN che
> sta al di sopra della tua connessione
> reale.
> Tale VPN punta al server Linux virtuale che esce
> solo attraverso TOR (che è già preconfigurato
> nell'immagine di
> VMWare).
>
> Rimane comunque la possibilità che i DNS vengano
> risolti a monte, ovvero nella tua connessione
> reale.
> Nel caso di JanusVM le istruzioni del sito
> spiegano come verificare e
> correggere.

OK, adesso ho compreso come funziona.

Grazie ancora

sentite, se scarico firefox sono relativamente sicuro che sia quello giusto, tutti possono guardarlo e controllarlo.
ma se scarico un firefox da un'altra parte, so che tutti possono anche modificarlo, e ciò vale per tutti i prodotti open liberamente scaricabili.
ora, che sicurezza mi offre uno strumento prefigurato da una terza persona? sarebbe meglio spiegare come mettere insieme i vari programmi e poi lasciare all'utente il copia incolla e la configurazione degli stessi, ma scaricati dai siti originali, no? altrimenti non c'è controllo.
aspetto rassicurazioni.

- Scritto da: cassandrina

> irefox da un'altra parte, so
> che tutti possono anche modificarlo

sì.

> ora, che sicurezza mi offre uno strumento
> prefigurato da una terza persona? sarebbe meglio
> spiegare come mettere insieme i vari programmi

E' abbastanza semplice, basta leggere le guide nel sito di TOR.
Se non ricordo male (lo feci tempo fa) spiegano anche come configurare privoxy (poca roba anche se privoxy è complesso e potrebbe fare mille cose utili di altro genere).

> poi lasciare all'utente il copia incolla e la
> configurazione degli stessi, ma scaricati dai
> siti originali, no?

Con makeOperator puoi fare quello che dici (ma funziona solo con Opera), ovvero mettere in determinate cartelle i file dei software scaricati dai siti ufficiali e fare in modo che Operator usi quelli.
Anzi, come dicevo prima, è praticamente obbligatorio usare makeOperator se si intende usare Operator perchè il bundle già predisposto contiene software vecchio.

- Scritto da: cassandrina
> sentite, se scarico firefox sono relativamente
> sicuro che sia quello giusto, tutti possono
> guardarlo e
> controllarlo.
> ma se scarico un firefox da un'altra parte, so
> che tutti possono anche modificarlo, e ciò vale
> per tutti i prodotti open liberamente
> scaricabili.
> ora, che sicurezza mi offre uno strumento
> prefigurato da una terza persona?

Per quanto riguarda xB Browser (o Torpack,
ossia un bundle comprendente Firefox + Tor), il codice sorgente è visionabile (da chi, beato Lui, ne è capace).

Questo, almeno in teoria, dovrebbe preservare da brutte sorprese.

I dubbi permangono, però (come fatto notare da unaDuraLezione), sull'affidabilità dei Proxy usati (spero di non fare un'altra figuraccia).

Il fatto che MakeOperaTor consenta di assemblare (perdonate eventuali termini poco appropriati) il tutto, sfruttando i software scaricati dai siti ufficiali, è un bel vantaggio.

@ unaDuraLezione:

ho trovato questo..

http://en.wikipedia.org/wiki/XeroBank_Browser