Con TOR anonimato .. "(o presunto tale) ...” ???

[Raphael86]

Un saluti a tutti gli utenti del forum!  ...buon Natale a tt!!  ;)

giorni fa avevo aperto una discussione su “help me - con TOR è impossibile navigare !!!" x la lentezza... ma dopo vari post l'argomento principale ha subito modifiche quando un utente a detto “con tor anominato ..(o presunto tale) ...”

se volete leggere i precedenti post http://forum.ubuntu-it.org/viewtopic.php?t=348187

la discussione non è arrivata a nessuna conclusione!

“Tor non fornisce protezione contro gli attacchi end-to-end: se l'attaccante può osservare il traffico in partenza dal proprio computer, e può anche osservare il traffico in arrivo alla destinazione, potrà utilizzare delle analisi statistiche per scoprire se i due capi fanno parte dello stesso circuito.”  questo è vero se l'Ip da “nascondere” è connesso!!!

In caso contrario, e cioè:
visto come funziona tor se dopo qualke mese l'indirizzo che tor “assegna” viene preso come indirizzo “incriminato” come si procede? ….intanto gli indirizzi di tor non sono generati (o inventati) a caso ma esistono veramente .. tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti.  Quindi l'indirizzo IP è veramente intestato ad una persona fisica? O no? Se si l'indirizzo IP incriminato può essere, come conseguenza di un fatto grave come un omicidio o x terrorismo, oggetto di indagine e se il gip ke le conduce ottiene via libera del magistrato si arriva alla persona dell'IP di uno del circuito tor (la traccia). Giusto? Adesso quali le responsabilità?  Questi è in grado di fornire i dettagli delle connessioni avvenute tra i vari e numerosi nodi? In particolare è in grado di dire alle ore … del giorno.... l'indirizzo ip era collegato al ip … ke a sua volta comunicava con …. e alla fine di dire l'ip nascondeva l'indirizzo …. (mittente che navigava con tor).

Fantascienza?  ...è possibile questo?

Altri modi compromettono l'anonimato fornito da tor? (con utente non connesso, perchè a quanto pare è possibile risalire, fruttando vari attacchi, all'utente di partenza se questi è connesso al circuito tor).  

Svelate questa curiosità!

[lore20]

i nodi spesso sono distribuiti trai diversi continenti (e diverse legislazioni)... ogni nodo conosce solo chi lo precede e chi lo segue, e tor, nelle impostazioni base, non deposita log di quali connessioni vengano inoltrate da chi e per dove. quindi, a meno di non essere la CIA il KGB l'INTERPOL o chissa chi altro e avere sniffer piazzati nelle case di queste persone già da prima che la connessione incriminata venga commessa, non resta che tentare qualcosa con l'analisi dei log dei provider.
Poi bisogna ricordare che Tor cambia i propri circuiti in continuazione, secondo calcoli in parte di banda disponibile in parte casuali, quindi la stessa connessione in giorni o ore differenti seguira percorsi differenti ed uscirà con ip differenti.
Chiunque voglia rintracciare una connessione Tor si troverà in questa situazione:

1) Vedrà la connessione provenire da un IP intestato fisicamente ad una persona, la quale ha scelto volontariamente di offrirsi come Tor Exit-Node (ed ha anche scelto quali porte e quali servizi possono essere utilizzati dalla rete tor con il suo IP). È buona norma per chi offre un servizio del genere crearsi un rDNS del tipo tor-exit-node.example.com e inserire a questo indirizzo una pagina dove si spiega chiaramente che le connessione provenienti da quell'ip sono in realtà inoltrate dalla rete tor.

2) Analizzando il traffico di quell'IP vedrà che oltre a quella connessione, vi erano contemporaneamente altre connessioni attive (nel caso peggiore 5-6)

3) A questo punto bisognerà analizzare le altre connessioni che erano attive da qui 5-6 utenti verso altri utenti (e già si passa a 25-36 utenti da analizzare, in nazioni differenti, con legislazioni differenti)

Poi si dovrà andare avanti così... fino a quando?
Se l'utente che ha originato la connessione oltre ad essere un normale utente Tor è anche un Tor-Relay (punto di passaggio tra altri due nodi tor) sarà difficile capire se la connessione è stata iniziata da lui o se lui l'ha semplicemente inoltrata per conto di un altro nodo tor....

Ovviamente questo è valido se
1) Chi analizza non è a conoscenza di eventuali falle nel protocollo SSL implementato dai vari client
2) Chi effettua la connessione si assicura che non partano richieste DNS in chiaro e che non vengano inoltrati pacchetti contenti informazioni funzionali alla sua localizzazione (per esempio l'ip potrebbe essere inserito non solo nell'header, che viene mascherato da tor, ma anche nel corpo di un pacchetto, e quindi arrivare indisturbato)

[brizius]

Ciao, Raphael!

Dato che sei molto interessato a TOR, ti segnalo questa discussione:
http://forum.ubuntu-it.org/viewtopic.php?t=189116

Non è dedicata alla sicurezza, ma se sfogli tutte e 6 la pagine, qualcosa di interessante lo trovi.

[Raphael86]

Grazie lore20. Ottimo commento ben chiaro e completo. Da cui emerge chiaramente qualke limite, ma cmq rimane un ottimo strumento, se non per:

- l'analisi dei log dei provider
- eventuali falle nel protocollo crittografato
- richieste DNS dirette, senza usare il proxy Tor. Ciò compromette l'anonimato perché rivela ad un osservatore le richieste DNS fatte, e quindi le destinazioni delle connessioni. Possibili soluzioni a questo problema sono l'uso di Privoxy, o del comando 'tor-resolve' fornito con Tor
- l'ip potrebbe essere inserito nel corpo di un pacchetto. 
- commentate….. x chi ritiene di aggiungere altro o opinioni differenti in merito.

Saluti!

[Raphael86]

grz anke a brizius x le segnalazioni!

[Regulus]

Volevo aggiungere una domanda: Torbutton in firefox considera come "essenziale" disabilitare i plugin e i java script per una maggiore sicurezza (e per velocizzare il caricamento delle pagine). Questo però rende, a volte, "inutilizzabili" le pagine visitate. Che rischio si corre abilitando questi plugin? Che l'IP venga individuato...ok ma quanto più alto è il rischio?  ???

[Raphael86]

Volevo aggiungere una domanda: Torbutton in firefox considera come "essenziale" disabilitare i plugin e i java script per una maggiore sicurezza (e per velocizzare il caricamento delle pagine). Questo però rende, a volte, "inutilizzabili" le pagine visitate. Che rischio si corre abilitando questi plugin? Che l'IP venga individuato...ok ma quanto più alto è il rischio?  ???

ciao Regulus, allora il discorso è semplice (almeno!) tu dici "quanto più alto è il rischio" il rischio è DIRETTAMENTE PROPORZIONALE al numero di plugin e java script che si "attivano". questi nella maggior parte dei siti sono banner vari e pubblicità ma possono essere contatori, o altra roba che può contenere "istruzioni" ke violano la privacy (oltre ad altro pericoloso x il tuo O.S.) e cmq ottenere qualke info. Tu con tor sei a posto, nel senzo ke tor ti garantisce (nella maggior parte dei casi) la sua funzione principale e cioè nasconde il tuo ip e ne mette un'altro (detto così) e nn solo l'ip! .... ripeto se il sito è un sito particolare con script pericolosi che possono fottere e violare tor, o suoi simili, inviando e richiedendo pacchetti vari (contenenti alcune tue info importanti) allora sei fottuto.... ti hanno violato!!! ma siti di sto genere di script (ad oggi) sono rari e non si sa effettivamete cosa riescono a fare. Tor è forte e qui nn ci piove! se usi tor x mantenere la tua privacy allora dormi bene e stai tranquillo la notte!!! in caso contrario ti comunico ke tutto è possibile e quindi stai attento a ciò ke fai!!! Saluti.

[Leviathan]

in caso di BAN funziona per aggirarlo?

[Raphael86]

in caso di BAN funziona per aggirarlo?

Affermativo! alcuni forum si lo fanno. .... x ki nn lo sapesse: [il termine ban si riferisce ai meccanismi che consentono di vietare l'accesso e/o l'interazione con gli altri a un determinato utente tramite il suo Username, IP o Email].

Non è proprio corretto dire ban ma ho capito cosa intendi. alcuni siti riconoscono i programmi come tor e fanno ciò. ma non perchè sanno l'ip da "bannare".  in altro caso (contrario) con tor li fotti. ... ma devono essere forum ke nn si accorgono di tor...

[Raphael86]

ma ti bannano x l'usename? o email? se si allora anke se hai tor non puoi interagire!!! vale solo se ti bannan x l'ip che sanno! e con tor lo cambi e li fotti!

[Raphael86]

vedi se hai un ip statico allora è probabile. se è dinamico ti bannano x altro.

[Regulus]

In genere (visto che la maggior parte degli utenti internet ha IP dinamico) i ban vengono fatti sull'indirizzo mail fornito all'iscrizione...quindi...TOR non può aiutare 

[Raphael86]

In genere (visto che la maggior parte degli utenti internet ha IP dinamico) i ban vengono fatti sull'indirizzo mail fornito all'iscrizione...quindi...TOR non può aiutare 

Regulus esatto!

[Regulus]

@ Raphael86 (e tutti)

Secondo te è meglio impostare Privoxy con socks4a o socks5? Ho aperto un topic su questa domanda ma nessuno ha saputo rispondere 

http://forum.ubuntu-it.org/viewtopic.php?t=349365

[Raphael86]

@ Raphael86 (e tutti)

Secondo te è meglio impostare Privoxy con socks4a o socks5? Ho aperto un topic su questa domanda ma nessuno ha saputo rispondere 

http://forum.ubuntu-it.org/viewtopic.php?t=349365

Il protocollo di trasmissione che usa TOR è il Socks4, o meglio Socks4A.

cmq:

SOCKS4 - Utilizza unicamente l'indirizzo IP del sito web per risolvere i nomi DNS
SOCKS4A - Utilizza unicamente l'Hostname
SOCKS5 - Utilizza abitualmente l'indirizzo IP

[Regulus]

Il protocollo di trasmissione che usa TOR è il Socks4, o meglio Socks4A.

TOR supporta anche il socks5: https://git.torproject.org/checkout/tor ... nsions.txt