IBM fa shopping in Italia

Re: Come sempre, niente panico.
- Scritto da: contrario alla policy
Questo "confirmation attack" non è solo quello.
Tant'è che sarà rilasciato un aggiornamento del
software Tor, in quanto Tor rende possibili in
questo caso l'attacco nelle modalità
utilizzate... quindi Tor è (o almeno è stato
fin'ora) buggato con un bug che semplifica(va)
una tipologia di attacco, che come hai detto già
è molto difficile da contrastare su basi
puramente
teoriche.Bugs in Tor, come su ogni altro tool di sicurezza, ce ne sono sempre stati e ce ne saranno anche in futuro (esempio recente: il bug in I2P che ha messo in crisi Tails).E, come già sucXXXXX, normalmente verranno fixati.Tutto sta a vedere quanto è grave e quanto è rimediabile il bug.
Il fatto che sia stato scoperto che questo
attacco era da mesi in esecuzione, non esclude
che non c'è ne siano poi altri;Non lo si può escludere neppure per nessun altro strumento, per esempio nè per Freenet nè per I2P.Quindi non è un'argomentazione molto efficace.
ma sopratutto non
si può sapere <b
per davvero </b

che cosa è riuscito a fare chi ha lanciato
l'attacco. Se davvero è stato solo in grado di
sapere al massimo quali IP si connettevano a un
qualche hidden server. Certo torproject (l'oste)
dice che il vino e buono, quindi loro dicono che
la massimo è stato possibile solo quello. Ma
secondo loro fino a ieri nemmeno questo bug nel
protocollo di Tor esisteva. Il fatto che ci sia
"il rischio" che con questo attacco alcuni hidden
service siano stati localizzati, significa che
non sono(erano) poi così tanto <b
hidden
</b
. Praticamente è l'ammissione di un
fallimento per
Tor.Non certamente per il lato client (Tor Browser), la cosa preoccupante può essere il lato hidden services.Se non si saprà entro poche settimane di altri bust a danno di gestori di hidden services se ne potrà concludere che o l'attacco non era stato fatto dall'FBI e simili oppure che non era poi così efficace.In ogni caso, Tor dovrà certo prendere provvedimenti per ridurre l'efficacia di attacchi analoghi.


crittografia con hidden volumes (in due
parole:

TrueCrypt è ancora più importante di Tor per

Lascia perdere Truecrypt. Pensa solo a Tor.
Immagina di usare Tor su un computer senza hard
disk, partendo da un DVD. Vedi che Truecrypt non
c'entra
niente.Occhio, questo è un punto FONDAMENTALE.E' verissimo che TrueCrypt non c'entra niente con Tor, ma l'ho opportunamente citato per dire una cosa di cui troppi non si rendono conto: il vero motivo che fa finire nei veri e grossi guai la gente non è l'essere deanonimizzati (con Tor, con I2p, con Freenet ...) ma l'essere trovati con archivi (di qualsiasi genere siano) "compromettenti".L'avere l'IP deanonimizzato è un guaio ma, come dovrebbe essere chiaro anche se forse non lo è a tutti, l'IP non identifica una persona ma solo una connessione internet. Connessione che può essere usata anche da altri oltre al titolare, a sua insaputa (familiari o attraverso la diffusissima violazione del wi-fi). E questo lo sanno bene pure gli inquirenti, per i quali è infatti fondamentale trovare degli archivi sui supporti dell'indagato.Se non li trovano (e se li si crittografa in modo forte e con tools affidabili, ad oggi NON li trovano!) possono al massimo mandare a giudizio il soggetto, se hanno tempo da perdere, ma ben difficilmente riusciranno a farlo condannare.Perciò: TrueCrypt (ovvero la crittografia forte) è anche "più importante" di Tor, Freenet o I2P (ovvero la navigazione anonima).Da una falla di Tor ecc. ci si può "salvare", si può trovare una "giustificazione", da archivi compromettenti trovati sul PC è quasi impossibile farlo.Chi non capisce questo aspetto fondamentale, chi crede che la cosa principale sia la pur importante navigazione anonima e si fa trovare con archivi "critici" in chiaro (come si direbbe faccia il 90% almeno degli indagati, a leggere le cronache), è destinato a finire dietro le sbarre.Anche per questo motivo, è giusta l'attenzione ai bug dei tool anonimizzatori ma senza isterismi. Non sono loro, gli anonimizzatori, la linea di difesa più forte: è la crittografia.


Giusto non fidarsi ciecamente di Tor, ma è

comunque il meglio oggi disponibile

i2p ha un protocollo migliore e più sicuro.
Anch'esso potrebbe supportare proxy per accedere
alla rete internet esterna e funzionare "come
Tor".
Nonostante I2P sia migliore, è meno usato e
purtroppo è realizzato in
java.
La pubblicità senza senso pro-Tor fa soffocare
sempre più
i2p.L'hai detto tu: I2P è realizzato in Java, vale a dire è basato sul più incredibile "colabrodo di sicurezza" che sia stato inventato negli ultimi decenni.Non vorrei usare un tool "di sicurezza" basato su Java neppure se mi pagassero, anche se il protocollo fosse effettivamente migliore.Prenderò eventualmente in considerazione I2P se e quando questo verrà eventualmente riscritto con linguaggi più seri, tipo C++.Fino ad allora non lo voglio neppure vedere (tra l'altro, l'ho comunque provato prima di disinstallarlo e non mi piace neppure l'interfaccia).


possibili bugs su componenti usati, come
quello

famigerato di Javascript dell'anno

scorso.

Un altro motivo per scartare Tor. Se questi
buffoni lasciano javascript attivo nel loro
"browser sicuro", significa che non hanno capito
una
mazza.Su questo ti devo purtroppo dare ragione, con tristezza.Ma non so se gli sviluppatori di Tor Browser sono gli stessi che sviluppano il protocollo Tor, non ci metto la mano sul fuoco.Comunque, si, è uno di quei segnali che fanno capire che anche nel team di sviluppo di Tor non sono tutti delle aquile (ma lo stesso vale anche per altri tools, vedi quelli di Tails che schifano TrueCrypt).
Tor è stato ereditato dagli attuali sviluppatori,
mica l'hanno inventato loro. Io non mi fiderei
mai di uno che dice di fornire un bunker
antiatomico e poi vedo da me che ci lascia una
porta di
legno.
Per fidarsi di uno così bisogna proprio essere
messi molto
male.Il fatto è che se non "ti fidi" di Tor non puoi fidarti di nessun altro.Non certo di I2P (vedi quanto detto sopra), non di Freenet (idem: scritto in Java! e quanti lo usano? quanto è testato?), chi altro rimane tra i tools di anonimato che non siano eventualmente fatti da cantinari (quelli "sentiammè, ci ho questo tools che è unaXXXXXta, l'ho fatto io con il Michele, è meglio de Tor ...")?Risposta: NESSUNO.E dato che la gente normalmente e quotidianamente finisce nei guai non per aver usato Tor ma per NON per averlo usato (!!!), la linea di condotta è semplice: usare Tor per l'anonimato, usare TrueCrypt 7.1a per l'ancora più importante difesa della privacy degli archivi.