Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
On samedi 27 février 2016 00:01:43 CET Michel Py - michel@arneill- py.sacramento.ca.us wrote: > > frnog.kap...@antichef.net > > Par contre, ça confirme que face à un état-nation la simple utilisation de > > Tor ne suffit pas. > > C'est bien çà qui est inquiétant : "l'exemple du chinois qui utilise Tor > pour contourner le great firewall". Tu crois que le gouvernement Chinois, > il ne lit pas la recherche de Carnegie-Mellon ? Je bloque Tor parce que > c'est un paratonnerre à emmerdes. S'il n'y avait pas Silk road et consorts > qui vendent des drogues dures, des armes automatiques et n'importe quoi > d'autre, les services de renseignements du Grand Satan ne dépenseraient pas > autant d'argent à comprendre comment çà marche. > Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ? T'as raté ton troll Michel. Mon point portait sur sur la pente glissante que ça represente de vouloir scinder les usages réseau en légitimes et illicites, ce qui n'a pas de fondement parce que la loi s'arrête souvent à la frontière géographique d'un état, tandis qu'Internet n'a pas cette limitation. J'aurais pu te prendre l'exemple de la protection des sources des journalistes. Un journaliste qui utilise Tor pour protéger ses sources le fait généralement parce que le contexte juridique ne joue pas en sa faveur (soit que la loi du pays du journaliste ne protège pas les sources, soit que le pays de la source coupe la tête de ceux qui parlent aux journalistes).. Les services de renseignements du Grand Satan ne sont pas limités par le budget, c'est pas une grosse charge budgétaire les attaques sur Tor (et puis les silk road et consorts ça relève du FBI, pas du renseignement). Remets dans le contexte, les révélations Snowden, en résumé c'est: « les services de renseignement ont accès à une quantité phénomènale de données et tendent à espionner tout le monde en permanence , et à archiver en permanence le fruit de cet espionnage.» Dans ce contexte là, Tor c'est juste un des petits bouts qui leur échappent. Logique quand on se rappelle qu'il a été conçu par les labos de recherche de la navy pour protéger les communication du renseignement US et financé par ce DARPA qui nous est cher. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Etre anonyme sur l'Internet
> Tristan Mahé a écrit : > C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup de bp > pour obtenir une partie du trafic ? C'est bien ce dont je me rappelais. C'est à se demander combien de noeuds Tor sont financés par l'argent de mes impôts ;-) peut-être que çà irait plus vite de compter ceux qui ne le sont pas :-( > Lunar a écrit : > En plus des corrections mentionnés sur le blog, il faut maintenant d'avantage > de bande passante > et une plus grand anciennenté por devenir point d'entrée dans le réseau (« > Guard node »). Ne pas sous-estimer les ressources des services de renseignements. Une taupe, çà s'installe des années à l'avance; la bande passante n'est pas un problème. > frnog.kap...@antichef.net > Par contre, ça confirme que face à un état-nation la simple utilisation de > Tor ne suffit pas. C'est bien çà qui est inquiétant : "l'exemple du chinois qui utilise Tor pour contourner le great firewall". Tu crois que le gouvernement Chinois, il ne lit pas la recherche de Carnegie-Mellon ? Je bloque Tor parce que c'est un paratonnerre à emmerdes. S'il n'y avait pas Silk road et consorts qui vendent des drogues dures, des armes automatiques et n'importe quoi d'autre, les services de renseignements du Grand Satan ne dépenseraient pas autant d'argent à comprendre comment çà marche. Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Michel Py: > > Philippe Bourcier a écrit : > > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > > Avec ca, good luck pour te retracer... > > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / > réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux > couches de la même peinture par-dessus çà empêcherait de tracer. > > Est-ce que quelqu'un a vu les détails techniques expliquant comment les > chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? Les détails techniques ont été fournis sur le blog du projet lorsque la faille a été corrigé : https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack En plus des corrections mentionnés sur le blog, il faut maintenant d'avantage de bande passante et une plus grand anciennenté por devenir point d'entrée dans le réseau (« Guard node »). La surveillance de groupe de nœuds suspects a été renforcé, et les opérateurs des annuaires éjectent maintenant dès qu'il y a un doute — là où par le passé on les empêchait d'être utilisé comme nœud de sortie en se disait que le reste de la bande passante était toujours bonne à prendre. -- Lunarsignature.asc Description: Digital signature
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Philippe Bourcier: > >On savait très bien qu'en plus des utilisations légitimes, il y avait > >un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est > >nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour > >protéger l'anonymat. > > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > > Avec ca, good luck pour te retracer... Oui et non. Utiliser un VPN en plus de Tor rend plus facile des attaques par corrélation de trafic. On considère que c'est plus difficile d'écouter une connexion quelconque qu'un fournisseur de VPN. Par ailleurs, à moins de trouver un VPN qui accepte toutes connexions sans authentification, le compte utilisé chez le fournisseur de VPN rendre plus facile une identification. L'intérêt d'utiliser un VPN en sortie de Tor, c'est de contourner les sites qui bloquent Tor de façon irréfléchie [1]. Mais d'après le témoignage de plusieurs personnes [2], pour ce qui est de CloudFlare, c'est pas mieux. [1]: http://arstechnica.com/tech-policy/2016/02/some-websites-turning-law-abiding-tor-users-into-second-class-citizens/ [2]: https://bugs.torproject.org/18361 -- Lunarsignature.asc Description: Digital signature
Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience
Le 25/02/2016 12:39, David Ponzone a écrit : > Personnellement, je ne me mêle pas du business des autres, et je n’ai pas > d’avis définitif sur la techno. L'avis définitif sur la techno c'est que DNSSEC va signer les réponses depuis la clé racine jusqu'au bout de l'arborescence. Ainsi toute signature modifiée sera considérée comme invalide et le résolveur ne te renverra rien. Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient modifiées, incluant notamment ce genre de pratiques. Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129). Ainsi donc, tout le business model des DNS menteurs se casse la figure et c'est une bonne nouvelle pour la sécurité globale des Internets. PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui explique les RFC mieux que moi. http://www.bortzmeyer.org/7129.html Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
On vendredi 26 février 2016 21:45:40 CET Michel Py - michel@arneill- py.sacramento.ca.us wrote: > > Philippe Bourcier a écrit : > > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > > Avec ca, good luck pour te retracer... > > > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / > réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou > deux couches de la même peinture par-dessus çà empêcherait de tracer. Avec une attaque uniquement basée sur Tor, ça déboucherait de chaque côté sur des VPNs différents. Ce qui est tout de suite moins compromettant et du coup augmente le coût pour mener l'attaque à bien. Pour accéder à un service caché Tor, comme c'est probablement le cas pour Brian Farrel et Silk Road 2, ça serait: Toi ==> VPN1 ==> Tor ==> VPN2 ==> Tor => Service caché Tor --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
On vendredi 26 février 2016 19:42:48 CET Michel Py - michel@arneill- py.sacramento.ca.us wrote: > Il y a quelques temps, il y eu ici du trollage sur ma décision d'inclure (à > l'époque) les noeuds de sortie Tor dans le CBBC > (http://arneill-py.sacramento.ca.us/cbbc). > On savait très bien qu'en plus des utilisations légitimes, il y avait un > grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est > nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour > protéger l'anonymat. C'est un peu n'importe quoi ta phrase là. Licite par rapport à quelle loi ? Parce que si tu prends l'exemple du chinois qui utilise Tor pour contourner le great firewall, c'est bien vu depuis l'occident mais puni par la loi en Chine. D'autre part, Tor n'a jamais prétendu être la panacée et malgré cette affaire, Tor reste parmi les méthodes les plus efficaces. D'après les devs, la vulnérabilité qui a été exploitée a aussitôt été corrigée en 2014. Par contre, ça confirme que face à un état-nation la simple utilisation de Tor ne suffit pas. > Récemment, le FBI a obtenu l'adresse IP résidentielle de Brian Farrell, un > Américain soupçonné d'être impliqué dans le site web Silk Road 2.0 (qui > vendait de la drogue, des armes et autres produits interdits en utilisant > Tor). http://www.bbc.com/news/technology-35658761 > > Bon trolldi. > > Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
On vendredi 26 février 2016 13:56:44 CET Tristan Mahé - g...@remote-shell.net wrote: > On 02/26/2016 01:45 PM, Michel Py wrote: > >> Philippe Bourcier a écrit : > >> Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > >> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > >> Avec ca, good luck pour te retracer... > > > > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds > > / réseaux et c'est tout chiffré et tout çà, je me demande si mettre une > > ou deux couches de la même peinture par-dessus çà empêcherait de tracer. > > > > Est-ce que quelqu'un a vu les détails techniques expliquant comment les > > chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? > C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup > de bp pour obtenir une partie du trafic ? Voila ce que disent les devs de TOR: « (...) The Software Engineering Institute ("SEI") of Carnegie Mellon University (CMU) compromised the network in early 2014 by operating relays and tampering with user traffic. That vulnerability, like all other vulnerabilities, was patched as soon as we learned about it. » https://blog.torproject.org/blog/statement-tor-project-re-courts-february-23-order-us-v-farrell À priori si tu remontes les changelogs tu devrais trouver le détail de la vulnérabilité en question. signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
On 02/26/2016 01:45 PM, Michel Py wrote: >> Philippe Bourcier a écrit : >> Eh bien pour les gens qui ont des choses à cacher, il y a le classique : >> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet >> Avec ca, good luck pour te retracer... > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / > réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux > couches de la même peinture par-dessus çà empêcherait de tracer. > > Est-ce que quelqu'un a vu les détails techniques expliquant comment les > chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup de bp pour obtenir une partie du trafic ? > > >> Raphael Jacquot a écrit : >> tu commences trolldi a minuit toi ? > Il est 1 heure de l'aprèm ici. > date +%z > -0800 > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
RE: [FRnOG] [MISC] Etre anonyme sur l'Internet
> Philippe Bourcier a écrit : > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > Avec ca, good luck pour te retracer... Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux couches de la même peinture par-dessus çà empêcherait de tracer. Est-ce que quelqu'un a vu les détails techniques expliquant comment les chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? > Raphael Jacquot a écrit : > tu commences trolldi a minuit toi ? Il est 1 heure de l'aprèm ici. date +%z -0800 Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Le 2016-02-26 20:42, Michel Py a écrit : On savait très bien qu'en plus des utilisations légitimes, il y avait un grand nombre d'utilisateurs de Tor à des fins illicites. Source (je ne mets même pas de s) ? Ratio du nombre d'utilisateurs ? Stats comparatives avec Internet ? -- Mathieu Goessens --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Re, On savait très bien qu'en plus des utilisations légitimes, il y avait un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour protéger l'anonymat. Eh bien pour les gens qui ont des choses à cacher, il y a le classique : Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet Avec ca, good luck pour te retracer... Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/2298865 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Etre anonyme sur l'Internet
Il y a quelques temps, il y eu ici du trollage sur ma décision d'inclure (à l'époque) les noeuds de sortie Tor dans le CBBC (http://arneill-py.sacramento.ca.us/cbbc). On savait très bien qu'en plus des utilisations légitimes, il y avait un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour protéger l'anonymat. Récemment, le FBI a obtenu l'adresse IP résidentielle de Brian Farrell, un Américain soupçonné d'être impliqué dans le site web Silk Road 2.0 (qui vendait de la drogue, des armes et autres produits interdits en utilisant Tor). http://www.bbc.com/news/technology-35658761 Bon trolldi. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation
Le 26/02/2016 07:30, Nicolas Parpandet a écrit : > Oui je parle de retirer l'ipv4 privé !, excellente nouvelle donc, j'ai > commencé par les résolvers dns internes, puis relai smtp c'est fait, > du coup pour l'accès au réseau ipv4 publique, tu as utilisé plutôt un > équipement couche élevée type proxy, ou couche basse type nat64 ? Nicolas Pour l'ipv4 on en attribut encore aux équipements qui délivre du service sur Internet. Dans les archis sympas avec LB et plusieurs front seuls les LB ont des v4 et v6, tous les autres sont v6 au travers de proxy. Ces serveurs ont par contre une route pour joindre internet v4 par un nat64. Lorsque le v4 viendra à se raréfier de notre côté (on a qu'un /22) on a prévu de faire un gros cluster de reverse proxy v4 / v6 et on mutualisera certaines v4 de clients. Bien entendu vu qu'on a bien plus d'ipv6 en prod que de v4 si d'ici là v4 pouvait être en perte de vitesse ça nous arrangerait :) signature.asc Description: OpenPGP digital signature