Archiwa: Wolność - Strona 6 z 21

9 listopada, 20148 listopada, 2020

Własna strona w sieci Tor

Za sprawą normalnych tradycyjnych stron w sieci Tor zrobiło się ostatnio głośno z powodu Facebooka. Nie dość, że Facebook wystawił stronę oficjalnie do sieci Tor pod adresem .onion, to adres był ciekawy, a całość jest dostępna po HTTPS, czyli w wersji szyfrowanej^[1]. Mniejsza o powody, dla których to uczynili. Wydaje się, że nie tyle chodziło im o anonimowość użytkowników (nie miejcie złudzeń), co o ich prywatność i bezpieczeństwo (ukrycie lokalizacji). Plus przy okazji rozwiązali sobie problem false positives przy wykrywaniu włamań, które mieli przy użytkownikach korzystających z tradycyjnych exit node^[2]. Będzie zatem o własnej stronie w sieci Tor.

Źródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Tak czy inaczej, wygląda, że Tor został dostrzeżony przez dużych w z właściwej perspektywy, czyli po prostu jako medium transmisji, a nie odrębna sieć, używana przez złoczyńców^[3]. Myślę, że można spodziewać się kolejnych naśladowców.

Warto zauważyć, że to co zrobił Facebook to nie jest typowy hidden service w sieci Tor. W typowym chodzi o ukrycie tożsamości właściciela, miejsca hostowania itp. Czyli masa pracy poświęcona uszczelnianiu systemu i serwera WWW, która nie jest przedmiotem tego wpisu. Na stronie projektu Tor też się tym nie zajmują, ale zainteresowani znajdą tam ogólne wskazówki. Tu przeciwnie – wszystko jest dostępne, a tożsamość jest potwierdzona certyfikatem SSL, czyli wersja znacznie łatwiejsza w wykonaniu.

I właśnie takim przypadkiem zajmę się w tym wpisie. Całość opisana jest dokładnie na stronie projektu Tor. Widzę jednak, że pojawiają się pytania jak to zrobić, więc zamieszczę wersję skróconą i uproszczoną. Tak naprawdę całość sprowadza się do dwóch linii w pliku konfiguracyjnym. Zakładam, że Tor jest już skonfigurowany jako relay node lub bridge node. I nawet nie do napisania, tylko do odhashowania/edycji.

Przede wszystkim w pliku konfiguracyjnym^[4] szukamy sekcji dotyczącej hidden services, zaczynającej się od linii:

############### This section is just for location-hidden services ###

Następnie odhashowujemy/edytujemy dwie linie:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 IP_SERWERA_WWW:80

Pierwsza musi wskazywać na katalog, który musi mieć prawa odczytu i zapisu dla użytkownika na którym działa demon Tor. W Debianie wystarczy odhashować.

Druga to wskazanie który port chcemy przekierowywać i na jaki adres oraz port. IPv4 działa na pewno, IPv6 nie udało mi się skłonić do działania. Jedyna zmiana, czy też wymóg konfiguracji po stronie serwera WWW, jest taki, że musi on pozwalać na dostęp do zasobów po IP, bez podania domeny (vhosta)^[5].

Następnie należy zrestartować demona Tor i… gotowe. Pozostało jeszcze tylko sprawdzić, jaki adres ma nasz hidden service:

cat /var/lib/tor/hidden_service/hostname

Potem można już tylko zweryfikować działania serwisu za pośrednictwem adresu .onion. Jeśli nie mamy pod ręką normalnego dostępu do Tora, można posiłkować się bramką Tor2web.

[1] I całe szczęście, bo przypominam, że Tor nie szyfruje użycie Tora nie oznacza automatycznie szyfrowania danych. Co więcej, każdy węzeł, ma możliwość przechwycenia całej (co prawda zaszyfrowanej) transmisji. A exit node, jest w stanie podsłuchać nieszyfrowaną transmisję do końcowego hosta.

[2] Więcej w tym wpisie (ANG).

[3] Nie ukrywajmy, typowy użytkownik Tora kojarzył się do tej pory z nielegalnymi działaniami.

[4] W Debianie jest to /etc/tor/torrc, pewnie w Ubuntu i innych pochodnych jest analogicznie.

[5] Tu uwaga dla chcących stawiać bramki hidden service – z punktu widzenia zewnętrznego serwisu (i tylko jego, i tylko w przypadku połączeń poprzez adres .onion) mój klient Tor IP jest teraz exit node! W przypadku nadużyć za pośrednictwem sieci Tor i adresu .onion może się to skończyć wizytą policji. W przypadku serwisów, których nie jesteśmy właścicielami bezwzględnie należy mieć zgodę właściciela serwisu.

25 lipca, 201417 kwietnia, 2018

Owoc żywota twojego je ZUS?

Niecały tydzień pozostał do zakończenia najważniejszego IMO w tym roku głosowania w Polsce. Chodzi oczywiście o wybór pomiędzy OFE a ZUS. Jest to jedna z niewielu okazji do opowiedzenia się jasno za lub przeciw polityce rządu (o mądrym niegłosowaniu w tradycyjnych wyborach pisałem wcześniej). Rządu, który najpierw dał możliwość wyboru miejsca, gdzie lokujemy – niestety obowiązkowo – zarobione pieniądze, a następnie tę możliwość odebrał, zabierając połowę odłożonych przez nas składek do ZUS.

Nie ma co mieć złudzeń. Na efekt końcowy, czyli wysokość emerytury, wybór jednej lub drugiej opcji jest praktycznie pomijalny. W najbardziej pesymistycznym wariancie możemy stracić 15% składki emerytalnej. Najbardziej optymistyczny wariant trudno przewidzieć. Skuteczność inwestowania i gospodarność ZUS jest znana, więc OFE naprawdę IMO musiałyby się postarać, by wypaść gorzej. Z drugiej strony tego typu zagrywki rządu i zmiana otoczenia ekonomicznego nie poprawiają OFE warunków działania.

Niemniej, jak pisałem wcześniej, decyzja dla większości jest głównie polityczna. Kontrowersji wokół sprawy jest więcej. Nie chodzi tylko o zabranie połowy pieniędzy z OFE do ZUS. Dochodzi do tego wariant domyślny czyli zmiana dokonanego przez obywateli wyboru (pomijam tych, którzy nie wybierali OFE, tylko zdali się na losowanie). OFE otrzymały również zakaz reklamowania możliwości pozostawienia u nich składek. Czyli mamy cenzurowanie prywatnych przedsiębiorstw i podejście rządu wybory będą powtarzane tak długo, aż wybierzecie co chcemy. Bo może zapomnicie wybrać, a wtedy wybieracie nasz wariant.

Decyzja podejmowana nie jest na zawsze. Będzie można zmienić wybór za 2 lata, a potem co kolejne 4 lata. Natomiast aby jasno uzyskać efekt sprzeciwu przeciw polityce rządu należałoby zagłosować już teraz. Brak dokonania wyboru do końca lipca oznacza przeniesienie wszystkich składek do ZUS. Nie warto czekać do ostatniego dnia. Do tej pory wyboru dokonała tylko niewielka liczba uprawnionych osób, co może oznaczać kolejki w urzędach ZUS, szczególnie pod koniec miesiąca.

Po szczegóły typu wyliczenia, wzór deklaracji i inne źródła odsyłam do subiektywnego, ale solidnego wpisu OFE czy ZUS. Większość danych na końcu ww. wpisu plus bardzo dobra „bibliografia”, czyli odnośniki do innych źródeł w temacie.

19 lipca, 201417 kwietnia, 2018

Dell deanonimizuje Bitcoiny

Niedawno Dell ogłosił, że akceptuje transakcje przy pomocy Bitcoin. Mało tego, dają 10% rabatu na transakcje z użyciem BTC (do $150). Na pierwszy rzut oka jest to dobra wiadomość dla sympatyków BTC i popularyzacji Bitcoin ogólnie, ale mi się od razu zapaliły lampki ostrzegawcze. W szczególności:

We’re piloting bitcoin, the world’s most widely used digital currency, as a purchase option on Dell.com for consumer and small business shoppers in the U.S.

Czemu tylko USA? Jedną z wad Bitcoin jest możliwość prześledzenia całej historii przemieszczania się waluty, czyli zupełna kontrola przeprowadzanych transakcji. Zamawiając sprzęt z dostawą, wiążemy konto BTC (przynajmniej jedno z kont) z naszą tożsamością.

Oczywiście U.S. only może wynikać z tematów formalnych, prawnych czy organizacyjnych, ale zastanawiam się, czy nie wiąże się z łatwością/jakością śledzenia lub obszarem zainteresowania. W sumie rozsądniej byłoby zbierać dane globalnie, nawet obarczone jakimś błędem.

Oczywiście anonimowość (pozorna?) to tylko jeden z aspektów kryptowalut. Niekoniecznie najważniejszy.