Silk Road – anonym marknad
Jag har läst väldigt mycket om denna Silk Road.
Såvitt jag förstår, finns det ganska stora begränsningar eller säkerhetshål i BitCoin-systemet.
Ah, såg precis att HexLax postade det som jag hade läst. Från en av BitCoins utvecklare, nonetheless.
Någon som har använt sig av Silk Road och kan berätta hur marknaden ser ut i Sverige? Har ni testat att köpa något, och hur fungerade det? Tänker nog själv inte börja rota i Silk Road, men är nyfiken på hur det fungerar här
1) bitcoins är inte anonyma! En av de som är djupt insyltad i BitCoins har förklarat hur spårningen går till och det är inte vidare mycket arbete som krävs för att ta reda på vilken bitcoin som hamnat hos vem.
2) TOR är inte anonymt eller ospårbart, för er som känner till soppan kring ett säkerhetshål i BSD vet vad jag talar om. Hälften av alla TOR servrar blev infiltrerade och var under kontroll av någon okänd. Vem vet man inte riktigt men skulle det t ex vara polisen så hade de under minst ett halvår full insyn i vad folk surfade på som körde TOR.
3) Säkerheten är bara så bra som du gör den, oavsett hur försiktig du är när du surfar så handlar det om hur anonym du är utanför nätet. Drar du till dig uppmärksamhet kommer polis att luska ut vad du gör om dagarna oavsett vilken kryptering du har på dina hårddiskar eller uppkopplingar.
Vad jag hört om silkroad är att de är hyffsat pålitliga, brev fastnar i tullen men jag tror inte att det kommer av försäljaren utan att köparen har haft hyss för sig som gör att tull och polis bryr sig.
@fractal-256 wrote:
2) TOR är inte anonymt eller ospårbart, för er som känner till soppan kring ett säkerhetshål i BSD vet vad jag talar om. Hälften av alla TOR servrar blev infiltrerade och var under kontroll av någon okänd. Vem vet man inte riktigt men skulle det t ex vara polisen så hade de under minst ett halvår full insyn i vad folk surfade på som körde TOR.
Har du någon länk om det?
@Someshta wrote:
@fractal-256 wrote:
2) TOR är inte anonymt eller ospårbart, för er som känner till soppan kring ett säkerhetshål i BSD vet vad jag talar om. Hälften av alla TOR servrar blev infiltrerade och var under kontroll av någon okänd. Vem vet man inte riktigt men skulle det t ex vara polisen så hade de under minst ett halvår full insyn i vad folk surfade på som körde TOR.
Har du någon länk om det?
Sök på BSD och SSH så kommer du att hitta lite att läsa. Man vet inte riktigt vad syftet med att infiltrera servrarna var, det kan ha rört sig om spamservrar eller sk driveby hacking av någon ryss som inte bryr sig om vad han hackat.
Jag hittar inget. Vilken BSD är det det handlar om (det finns något dussin olika), och hur kan någon överhuvudtaget veta att hälften av alla Tor-noder blev infiltrerade?
Kortfattat fanns det en “bugg” i FreeSSH som FreeBSD, OpenBSD och de flesta BSD distributionerna använder. Denna bugg användes för att sno cerifikat och nycklar som man sedan kunde använda för att Bruteforca lösenorden till datorer som körde OpenSSH. I slutändan visade det sig att en hel drös med BSD servrar över hela världen var infiltrerade och 3 av 5 TOR servrar var övertagna av någon okänd.
En kort förklaring skriven lite sne…
Är det det här du menar?
https://blog.torproject.org/blog/tor-project-infrastructure-updates
In early January we discovered that two of the seven servers that run directory authorities were compromised (moria1 and gabelmoo), along with metrics.torproject.org, a new server we’d recently set up to serve metrics data and graphs. The three servers have since been reinstalled with service migrated to other servers.
[…]
I read that Tor’s encryption keys were compromised, is this true?
No. The operating systems were compromised, not tor. The tor source, and running Tor Directory Authorities were left untouched. It appears the attackers didn’t realize what they broke into — just that they had found some servers with lots of bandwidth. We’ve generated new Directory Authority keys out of an abundance of caution.Does this mean someone could have matched users up to their destinations?
No. By design, Tor requires a majority of directory authorities (four in this case) to generate a consensus; and like other relays in the Tor network, directory authorities don’t know enough to match a user and traffic or destination.Det var alltså två av sju katalogservrar (de datorer som håller koll på vilka Tor-noder som finns och skickar ut listor på dem till alla Tor-användare) som hade hackats. Katalogservrarna kan inte på något sätt se vem som kopplar upp sig vart genom Tor – i bästa (värsta) fall kan de se en del av de IP-nummer som använder Tor, men de kan inte se till vad det används. Det som en katalogserver skulle kunna göra är att skicka ut fejkade listor som bara innehåller noder som kontrolleras av samma person eller organisation och sedan logga alla som kopplar upp sig mot de noderna, men i det här fallet hade det inte heller gått eftersom alla Tor-klienter alltid dubbelkollar alla listor hos minst fyra katalogservrar.
Someshta:
Det du postat är inte i närheten av vad som skedde, troligen är det folket bakom TOR som inte vill att folk tappar förtroendet för nätverket som skrivit ihop det där. Sök lite så kommer du förstå hur omfattande hacket var, inte bara TOR servers blev rootade utan en stor del av de som kör x-BSD fick blåsa ut sina servrar och installera om.Det är det enda relevanta jag hittar om jag söker efter “tor” och “ssh”. Det finns flera andra liknande artiklar men de beskriver samma sak.
OpenSSH används på många fler system än BSD-varianterna, bland annat i stort sett alla Linux-servrar i världen.
@fractal-256 wrote:
Someshta:
Det du postat är inte i närheten av vad som skedde, troligen är det folket bakom TOR som inte vill att folk tappar förtroendet för nätverket som skrivit ihop det där. Sök lite så kommer du förstå hur omfattande hacket var, inte bara TOR servers blev rootade utan en stor del av de som kör x-BSD fick blåsa ut sina servrar och installera om.Ursäkta men istället för att folk ska sitta och behöva leta efter artikeln så posta artikeln så folk kan läsa, har du läst den förut kan det inte vara något problem att hitta igen länken.
— snip —
Det närmsta jag kan hitta är: http://thehackernews.com/2011/10/tor-anonymizing-network-compromised-by.html
men det är ändå oändligt mycket säkrare med TOR än VPN om man anser sig behöva / vill ha hög säkerhet.
De två enklaste sättet att få tag på någon som använder vpn:
1) beordra en kommersiell VPN att göra som man säger och samtidigt belägga dem med munkavle. De flesta samarbetar med all sannolikhet om de får välja mellan att själva hamna i klistret och få sin verksamhet nedlagd vs att bara ge ut lite info i smyg och samtidigt få ett löfte om att det inte kommer läcka ut till några kunder.
2) Har man tillgång till trafikdata (som t.ex. fra har och därmed alla deras uppdragsgivareoch och alla de samarbetar med) så är det en barnlek att härleda ditt ip genom mängd data och tidpunkter för trafiken till/från vpn burken. Spelar ingen som helst roll om det är krypterat eller inte, räcker med att ha storlekar och timestamps.
Båda dessa vpn attacker är givetvis välkända. Med TOR är du säker mot båda. (onion routing är ju specifikt designad för att skydda mot trafikanalys, medans en vpn inte har en chans mot sådant)
Så VPN är bara säkert för fildelning? Eller inte ens då? Hyfsat falsk marknadsföring de kör med i så fall.
Ja, om de nu marknadsför sig som “säkra”.
En svensk vpn är väl det sämsta man kan använda, iom att om ärendet skulle klassas som “av synnerligen vikt” så har de rätt att titta på full trafikdata till/från den och kan då lätt koppla ihop trafiken mellan vpn och t.ex. swecan med trafiken mellan dig och vpn…
Blir ju mer komplicerat om den ligger i annat land då de bara har tillgång till ena halvan och måste byta rådata med rätt “främmande makt” får att få hela förloppet.
Så sammantaget handlar det ju om hur prioriterat något ärende är ifall det är värt att lägga resurser/påtryckningar för att härleda ip.
Fildelning och småodlingar visst, men det är ju knappast rekommenderat att via en vpn uppkoppling t.ex. diskutera hur du får tag på stora mängder konstgödsel eller hur du bygger solidstate raketmotorer och annat som kan ge terror-vibbar.
När vi ändå är inne på ämnet säkerhet och säkra betalningar. Finns det någon säker approach ö.h.t. när det kommer till att ta emot pengar från kunder som en säljare?
Visst finns det möjlighet att slussa kontanterna genom företag och så. Men utöver det? Enda jag kan komma på just nu är mutual trust modellen vilken i sig inte är speciellt säker och sannolikheten för lurendrejare blir större ju större kundbas som existerar.
Log in to reply.
