Veilig surfen volgens NRC next
Zonet stuurde ik deze brief aan NRC next. Het originele artikel staat nog niet online, maar ik verwacht het in Marie-Jose Klavers blog.
Subject: anonimiseren kan niet zo eenvoudig, helaas.
José Klaver beschrijft in NRC*Next van 2 januari, hoe iemand anoniem(er) het web kan gebruiken. Zijn adviezen zijn echter eerder gevaarlijk te noemen.
Sites zoals Proxy4free.com, die lijsten met gratis proxies bevatten moeten met de grootst mogelijke argwaan worden bekeken. Iedereen kan immers een gratis proxy opzetten, zowel Harry Hacker als Piet Politie. En vervolgens juist alle surf informatie, ja, zelfs bijna alle data (waaronder wachtwoorden of inloginfo voor uw bank) bekijken. Aangezien juist mensen die de moeite nemen anoniem te surfen interessant zijn voor de veiligheidsdiensten of voor hackers ben ik ervan overtuigd, helaas zonder bewijs, dat deze partijen ook daadwerkelijk proxies hebben die op die lijst staan.
Verder moeten partijen, zoals Anonymiser.com ook worden gewantrouwd: Wie kan immers waarborgen dat een veiligheidsdienst, of zelfs een lokaal rechergeteam (op zoek naar een pedofiel, bijvoorbeeld) al hun log-gegevens niet vordert? Niemand. Net zoals voor georganiseerde criminaliteit het inbreken en achterhalen van de data van deze betaalde diensten zeer interessant is. In beide gevallen zullen die betaalde "anonieme" proxies uiteraard alles in het werk stellen dit stil te houden, zulke gebeurtenissen zouden immers hun doodsteek zijn. Anonymizer.com en Behidden.com zijn op zijn minst "vaag" over deze zaken.
Een betrouwbaarder systeem is bijvoorbeeld Tor. Tor is zowel een cliënt als een server, wat zoveel betekent als: je kunt er zelf anoniem mee surfen, maar ook anderen anoniem mee laten surfen. Je gebruikt telkens willekeurige servers (willekeurige computers van hen die deelnemen aan het netwerk, dus), om via hen anoniem te surfen. Als er dan al informatie achterhaald wordt van een surfer is die verspreid over vele duizenden willekeurige computers over de hele wereld. Bovendien is de verbinding van Tor versleuteld waardoor de tussenpersonen uw data niet kunnen lezen.
Als laatste is het interessant op te merken dat diensten als MSN, een in Nederland zeer veel gebruikt chatprogramma, aan zeer strenge eisen, gesteld door de aanbieder (Microsoft, in dit geval) moet voldoen. Anonimiseringsdiensten hebben daarom geen invloed op deze chat-programma's, waardoor die, in principe, nooit anoniem of veilig kúnnen zijn.
Voor meer informatie verwijs ik u naar een zeer actieve, internationale burgerrechten-organisatie, die zich inzet voor privacy-rechten en dergelijke, het EFF. Zij hebben ook zeer veel informatie beschikbaar voor en over anoniem surfen.
Tor:http://tor.eff.org/
EFF:http://www.eff.org/Bèr Kessels -- Open Source Ontwikkelaar -- Nijmegen, Nederland
Tags: Open Source, security, Coding Corner,
Vergeet je alluminium hoedje
Vergeet je alluminium hoedje niet op te zetten! Die sites draaien op phpproxy. Toevallig opensource (https://sourceforge.net/projects/phpproxy/), als je al alles wil loggen: 9/10 gevoelige informatie wordt via md5 verstuurt (paswoorden). Alles opslaan van een php proxy is niet te doen, tenzij je dikke servers hebt met loadbalacing etc. je haalt er daarmee je kosten niet uit. Je moet weten dat zo een proxy 50gb per dag aan bandwidth gebruikt. Als je dat allemaal wil loggen moet je voor kapitalen spenderen. Verder haal je Tor aan alsof daar niets mee te loggen is... Ik heb nieuws voor je dus wel, de afzender is perfect te achterhalen: http://tweakers.net/nieuws/45752 en: http://tweakers.net/nieuws/44344. Niets is veilig maar de statements die jij hier maakt raken kant nog wal! Leuk idee maar no sigar sorry :)
Jíj trekt een aantal zaken bijelkaar die kant nog wal raken.
Jíj trekt een aantal zaken bijelkaar die kant nog wal raken.
Het inbeslagnemen van Tor servers (http://tweakers.net/nieuws/44344) heeft niets van doen met het al dan niet traceren. Sterker nog, in het artikel staat zelfs luid en duidelijk dat dat niet kan. Dat het innemen ook niet bedoeld was om anonieme lui te traceren.
Het identificeren mbv variaties in klokfrequenties is al een vrij oud principe. En in het geheel niet enkel toe te passen bij Tor (het werd al langer gebruikt in te telecom om satelliet en radar tapparatuur te identificeren). Het werkt overal, dus ook in proxy4free proxies en dus ook bij tor. Merk op dat je hiermee enkel een computer kunt *identificeren*, en niet kunt localiseren.
En dan over naar proxy4free en dergelijke lijsten. Jazeker. Veel van de gratis proxies zijn met OPen Source software gemaakt, maar dat zegt helemaal niks. Sterker nog, het betekent *juist* dat iedereen er makkelijk aan kan sleutelen, helemaal als het in de toegankelijke taal PHP is geschreven. Niemand garandeerd dus dat de proxy waarmee jij surft een vanilla phpproxy is.
Daarbij daag ik je uit om eens een whois los te laten op de proxies zoals die zijn vrijgegeven. En om die whois gegevens eens door google te halen. Je zult waarschijnlijk zien dat heel veel adressen zijn afgeschermd, dat er nog meer van op zijn minst "vage" organisaties zijn, en dat een meerderheid wel gewoon eerlijke burgerrechten organisaties of gewoon hosters zijn. Mijn punt dat ik maakte, een punt dat echt kan EN wal raakt, is dat een leek geen flauw benul heeft waar hij/zij zich in begeeft als ie gaat surfen via anonieme proxies.
Als laatste een opmerking: je hebt het over 9/10 zaken die als md5 over het net gaan. dit is pertinent onjuist. Enkel https:// is versleuteld. Al het andere gaat gewoon mooi als plain text over het net. En het allermooiste is nog wel dat als je met een proxy surft deze https:// nog te faken is ook. phishing is kinderspel als je een proxy opzet!
Kortom: mijn punt dat het zeer onveilig is om zomaar willekeurige 'gratis' proxies uit een lijst te plukken en via deze computer te gaan internetten, raakt echt wel kant en ook wal. Dat heeft niks met tinfoil hats te maken, maar met gebrek aan kennis bij een leek, waar wij, de kenners deze leek op moeten wijzen.
Nieuw commentaar posten