Question:
Dans quelle mesure puis-je faire confiance à Tor?
Freedom
2010-12-09 18:35:02 UTC
view on stackexchange narkive permalink

Dans quelle mesure puis-je compter sur Tor pour mon anonymat? Est-ce complètement sécurisé? Mon utilisation est limitée à l'accès à Twitter et Wordpress.

Je suis un militant politique indien et je ne jouis pas de la liberté de la presse comme le font les pays occidentaux. Si mon identité est compromise, le résultat peut être fatal.

Ce n'est pas vraiment une réponse, mais notez que Tor n'accorde que * l'anonymat *, alors que toutes les informations que vous envoyez (y compris votre mot de passe) seront librement exposées.
Juste un commentaire (évident): soyez très vigilant sur l'utilisation de SSL (HTTPS) via Tor. Twitter fx a un paramètre de compte facultatif pour toujours utiliser SSL, que vous devez utiliser. Pensez également aux plugins de navigateur tels que "HTTPS Everywhere" d'EFF, et entrez manuellement les URL dans la barre d'adresse avec le préfixe HTTPS: //.
Jetez un œil à cet article: https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext
Je pense que si javascript est activé dans tor, il peut utiliser du code pour révéler votre adresse IP.
Est-ce vrai?
https://www.eff.org/pages/tor-and-https
Je suggérerais également d'utiliser Tor via un VPN, afin que votre FAI, qui peut être contrôlé par l'état, ne puisse pas voir que vous l'utilisez.
http://www.counterpunch.org/2014/07/18/the-nsa-wants-you-to-trust-tor-should-you/
Je lui ferais confiance autant que tout autre programme logiciel parrainé et lancé par le gouvernement.
@TecBrat Pour le dire très gentiment, l'article de contre-poinçon est des ordures, comme à peu près tous leurs articles sur la technologie (en particulier le nucléaire, les pesticides, etc.).
@curiousguy Je suis devenu plus attentif à mes sources d'information au fil des ans.Je n'ai aucune raison de défendre le contre-coup, et le doute devrait être l'état par défaut de toute "News" que nous lisons.
Vous pouvez dire à quelqu'un d'utiliser Windows sans antivirus / sécurité Internet tout en lui disant d'utiliser TOR pour protéger son identité.Et si vous aviez un logiciel espion?L'utilisation d'applications telles que les applications torrent exposera certainement votre IP, que vous utilisiez Tor ou non.
@FiascoLabs Elle n'est pas plus parrainée et initiée par le gouvernement que votre souris d'ordinateur Logitech, qui vient de la DARPA.La marine a proposé le concept de «routage des oignons», mais aucun employé de la marine ne travaille sur Tor et le code source est entièrement sous le contrôle du projet Tor.
Cinq réponses:
#1
+80
user502
2010-12-09 19:23:24 UTC
view on stackexchange narkive permalink

Tor est meilleur pour vous que pour les personnes vivant dans des pays dont les services de renseignement gèrent beaucoup de nœuds de sortie Tor et reniflent le trafic. Cependant, tout ce que vous devez supposer lorsque vous utilisez Tor, c'est que si quelqu'un ne fait pas d'analyse statistique de trafic lourd, il ne peut pas directement corréler votre adresse IP avec l'adresse IP qui demande des ressources au serveur.

Cela laisse beaucoup, beaucoup les méthodes de compromission de votre identité sont toujours ouvertes. Par exemple, si vous vérifiez votre courrier électronique normal en utilisant Tor, les méchants peuvent savoir que cette adresse est corrélée avec d'autres activités de Tor. Si, comme l'a dit @Geek, votre ordinateur est infecté par un malware, ce malware peut diffuser votre identité en dehors du tunnel Tor. Si vous accédez même à une page Web avec une faille XSS ou CSRF, tous les autres services Web auxquels vous êtes connecté pourraient voir leurs identifiants volés.

En bout de ligne, Tor vaut mieux que rien; mais si votre vie est en jeu, utilisez un ordinateur bien sécurisé pour accéder à Twitter et WordPress en l'utilisant, et n'utilisez pas cet ordinateur pour autre chose.

Merci. Pour ma part j'utilise Linux même si je ne suis pas doué pour ça.
Que signifie réellement «diffuser votre identité hors du tunnel TOR»?
@Pacerier "Bonjour, je suis , j'habite à
."
@Pacerier Par exemple, un cheval de Troie d'accès à distance sur le système serait à la fois conscient de l'exécution de Tor et éventuellement d'une route directe vers Internet. Il pourrait exposer toutes ces informations dans le trafic de son serveur C&C. Généralement, ces derniers ne sont pas contrôlés par l'État, mais les versions de Snowden le rendent suffisamment faisable, vous ne devriez pas parier votre vie dessus.
Qu'en est-il de TAILS?
Tor est un anonymat occasionnel s'il est utilisé sans mesures supplémentaires contre la fuite de données sur Internet.Même si vous utilisez le bundle du navigateur Tor, vous exposerez beaucoup de "bruit".Surtout s'il est utilisé sur des systèmes d'exploitation commerciaux qui reposent sur des services basés sur le cloud, soumettent des données de télémétrie et synchronisent fréquemment les données. Tails est un moyen très pratique de rendre plus difficile pour certaines parties de vous identifier.Mais cela n'aidera probablement pas contre le gouvernement.attaques.Si vous souhaitez travailler de manière anonyme, tout ce qui peut communiquer avec le monde extérieur doit être désactivé et l'accès physique à l'ordinateur doit être restreint.
Si vous souhaitez aller plus loin, vous devez considérer que l'utilisation de tels outils peut vous rendre suspect.Et cela ne doit pas être sous-estimé.S'il est utilisé avec votre propre FAI, le FAI peut et peut détecter que vous utilisez TOR.En plus de toutes les autres décisions, vous devez être conscient que la sécurité n'est pas pratique et que vous devez changer la façon dont vous utilisez la technologie et les services.Une adresse mail statique?Oublie!Vous avez un téléphone tout en souhaitant surfer sur Internet?Oublie!Utiliser le même point d'accès Internet plus d'une fois?Oublie!Utilisez votre appareil "anonyme" pour toute la journée de travail et de jeux?Oublie!
Le mieux que vous puissiez faire est d'utiliser quelque chose comme "Déconnecter" Linux sur un ordinateur avec des ports techniquement désactivés (sauf un USB pour l'échange de données), une connectivité réseau techniquement désactivée (Bluetooth, Wifi, GPS, 3G, LAN) et un disque dur retiré.Vous devez également être très strict avec l'accès physique à cette machine.Surtout, n'utilisez jamais de clé USB étrangère, ne la laissez pas sans surveillance ou laissez les autres jouer avec - même pas, si ce sont vos amis.
Mais même si vous souhaitez effectuer ces étapes: sachez que les pages Web de téléchargement peuvent être falsifiées et compromises.Les joueurs gouvernementaux peuvent simuler des certificats et peuvent jouer l'homme au milieu lors de l'accès et du téléchargement.Même la vérification de la signature / du hachage peut échouer dans ce cas.Vous devriez donc envisager de vérifier en utilisant le Web de confiance pgp pour obtenir plus de sécurité que vous recevez une image ISO non modifiée.
#2
+41
0xC0000022L
2013-09-13 22:35:22 UTC
view on stackexchange narkive permalink

Appel 2013

Je pense que cette question mérite une nouvelle réponse après ce que nous savons maintenant. Compte tenu des sources financières du projet Tor et de ce que nous avons appris sur la NSA, l'insertion de portes dérobées (par exemple voir ici) jette une ombre sur la fiabilité du projet.

D'après le rapport annuel de l'année dernière (lien ci-dessus):

excerpt from the fiscal report of the Tor project for 2012

Cependant, gardez à l'esprit que le gouvernement américain affirme vouloir permettre à toutes sortes de personnes dans le monde entier pour communiquer sans être gênés par la censure nationale locale. Vous appartenez probablement vous-même à cette catégorie. Cela n'empêche bien sûr pas de les écouter, mais cela donnerait une motivation pour financer le projet autre que les intentions potentiellement plus sombres auxquelles on pourrait penser à la lumière des récentes fuites concernant la surveillance mondiale.

De plus, cette publication récente ("Les utilisateurs sont acheminés: la corrélation du trafic sur Tor par des adversaires réalistes") sur la façon dont les utilisateurs identifiables mettent un gros point d'interrogation sur l ' utilité de Tor wrt anonymat. Apparemment, c'est une de vos grandes préoccupations.

Je ne sais pas de quelles ressources le gouvernement indien (en supposant que ce soit votre «adversaire») dispose, mais c'est certainement un facteur à prendre en compte.

Cela dit, je pense qu'en combinaison avec d'autres mesures telles que les re-mailers, le cryptage, le VPN, etc., vous pouvez probablement vous échapper avec succès pendant certains, voire très longtemps. Ainsi, Tor sera utile comme un fil dans un filet de sécurité . Mais sachez que ce fil peut s'avérer inefficace, alors ne le laissez pas être le seul type de fil de votre filet de sécurité.

Il s'agit d'une très mauvaise réponse conspiratrice qui appelle essentiellement des finances et prétend qu'elle affecte la sécurité d'un outil open source, en particulier lorsque vous mentionnez un programme non lié à la NSA.Ensuite, vous créez un lien vers un seul (parmi de nombreux) documents de recherche qui ne fonctionnent que dans un environnement de laboratoire, c'est-à-dire sans la gigue et la latence naturelles du monde réel.
@forest oui, l'écoute de la NSA sur le monde était aussi une simple théorie du complot jusqu'à ce qu'un dénonciateur décide de dénoncer.Et cela malgré l'existence de prédécesseurs à Snowden pour diverses actions, disons «discutables», par des agences à trois lettres.Ce que j'ai écrit, c'est que cela projette une ombre sur la fiabilité, mais qu'il n'y a peut-être pas d'arrière-pensées autres que de permettre la communication des dissidents.Laissez-moi deviner, le [Dual_EC_DRBG] (https://en.wikipedia.org/wiki/Dual_EC_DRBG) est probablement aussi simplement une conspiration.
Certes, si je l'avais encadré de la façon dont vous définissez ma réponse, ce serait mauvais et conspirateur.Mais j'ai donné du recul et je maintiens ma réponse.Tant que vous combinez votre utilisation de Tor avec d'autres mesures de sécurité, c'est un outil précieux.Alors que la question aurait porté sur SHA-1 au lieu de Tor, est-ce que la mention d'un seul article de recherche montrant comment réduire considérablement le travail nécessaire pour une attaque de préimagerie réussie en ferait une étude moins pertinente?Ne pense pas.La sécurité est toujours aussi forte que son maillon le plus faible.Et donc ces choses devraient être considérées.
#3
+35
David Bullock
2011-02-01 19:03:21 UTC
view on stackexchange narkive permalink

Vous devez également faire attention au fait que votre FAI est en mesure de voir que "votre adresse IP" est en utilisant Tor, même s'il ne peut pas dire ce que vous en utilisant Tor pour . Si les conditions sont si hostiles que vous pourriez être soupçonné simplement pour avoir semblé clandestin, alors vous devez prendre soin d'utiliser Tor partout sauf sur une connexion Internet qui peut être fortement associée à vous.

Vous pouvez utiliser un pont obscurci pour cacher ce fait à votre FAI.C'est à cela qu'ils servent.
#4
+22
Rory Alsop
2010-12-09 18:59:49 UTC
view on stackexchange narkive permalink

Cela vous donne beaucoup plus de protection que la navigation directe. Il existe des faiblesses identifiées qui offrent des routes potentielles pour attaquer votre ordinateur, mais elles peuvent être atténuées en utilisant une protection normale sur votre machine (c.-à-d. Patch / av à jour, exécuter en tant qu'utilisateur non privilégié, etc.) mais la seule vraie faiblesse en termes de compromission de la confidentialité semble être le suivant:

  • Avec suffisamment de nœuds, une organisation pourrait faire des estimations raisonnables quant à l'identité d'un individu en suivant le comportement sur divers sites Web. Je pense qu'il est raisonnable de supposer que les agences de trois lettres aux États-Unis ont cette capacité, mais je ne voudrais pas deviner les autres.

En résumé, vous n'avez pas une énorme quantité d'options, donc TOR est probablement ce que je recommanderais, mais vous pourriez fournir une protection supplémentaire en vous connectant à partir de différents endroits et en évitant d'accéder à Twitter et wordpress dans la même session? (à moins bien sûr que les deux ne soient censés être liés?)

Je ne pense vraiment pas que l'appareil d'État passerait autant de temps à découvrir mon identité, mais merci pour les conseils.
Dans ce cas, Tor est probablement fait pour vous :-)
#5
+5
Geek
2010-12-09 18:41:50 UTC
view on stackexchange narkive permalink

Vous ne pouvez pas dire que Tor peut résoudre tous vos problèmes. Il peut y avoir plusieurs façons de compromettre votre identité, disons que vous avez un ver dans votre système? Puisque vous acceptez que vous soyez un activiste politique, il y aurait tellement de gens prêts à exploiter votre ordinateur.

J'utilise Linux et l'ordinateur portable que j'utilise pour mon travail est complètement isolé.
L'utilisation de Linux n'est bien sûr pas une solution aux logiciels malveillants sur votre système. L'isolement est, bien sûr.
Très intéressant. Quel OS Suse, Redhat, Fedora, Ubuntu? Pensez-vous qu'ils n'ont pas de vulnérabilités?
Je ne suis en aucun cas avancé en matière de sécurité, mais, bien que cela puisse être meilleur que votre boîte Windows moyenne, "Linux" (lequel?) N'est pas égal à "sûr". Il existe des systèmes d'exploitation qui essaient plus dur d'être "sécurisés par défaut", c'est-à-dire. http://www.openbsd.org/security.html


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...