Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet frnog . kapush 
On samedi 27 février 2016 00:01:43 CET Michel Py - michel@arneill-
py.sacramento.ca.us wrote:
> > frnog.kap...@antichef.net
> > Par contre, ça confirme que face à un état-nation la simple utilisation de
> > Tor ne suffit pas.
> 
> C'est bien çà qui est inquiétant : "l'exemple du chinois qui utilise Tor
> pour contourner le great firewall".
 Tu crois que le gouvernement Chinois,
> il ne lit pas la recherche de Carnegie-Mellon ? Je bloque Tor parce que
> c'est un paratonnerre à emmerdes. S'il n'y avait pas Silk road et consorts
> qui vendent des drogues dures, des armes automatiques et n'importe quoi
> d'autre, les services de renseignements du Grand Satan ne dépenseraient pas
> autant d'argent à comprendre comment çà marche. 
> Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ?

T'as raté ton troll Michel. 

Mon point portait sur sur la pente glissante que ça represente de vouloir 
scinder les usages réseau en légitimes et illicites, ce qui n'a pas de 
fondement parce que la loi s'arrête souvent à la frontière géographique d'un 
état, tandis qu'Internet n'a pas cette limitation.

J'aurais pu te prendre l'exemple de la protection des sources des 
journalistes. Un journaliste qui utilise Tor pour protéger ses sources le fait 
généralement parce que le contexte juridique ne joue pas en sa faveur (soit 
que la loi du pays du journaliste ne protège pas les sources, soit que le pays 
de la source coupe la tête de ceux qui parlent aux journalistes)..

Les services de renseignements du Grand Satan ne sont pas limités par le 
budget, c'est pas une grosse charge budgétaire les attaques sur Tor (et puis 
les silk road et consorts ça relève du FBI, pas du renseignement). Remets dans 
le contexte, les révélations Snowden, en résumé c'est: « les services de 
renseignement ont accès à une quantité phénomènale de données et  tendent à 
espionner tout le monde en permanence , et à archiver en permanence le fruit 
de cet espionnage.» Dans ce contexte là, Tor c'est juste un des petits bouts 
qui leur échappent. Logique quand on se rappelle qu'il a été conçu par les 
labos de recherche de la navy pour protéger les communication du renseignement 
US et financé par ce DARPA qui nous est cher.



> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Michel Py 
> Tristan Mahé a écrit :
> C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup de bp 
> pour obtenir une partie du trafic ?

C'est bien ce dont je me rappelais. C'est à se demander combien de noeuds Tor 
sont financés par l'argent de mes impôts ;-) peut-être que çà irait plus vite 
de compter ceux qui ne le sont pas :-(


> Lunar a écrit :
> En plus des corrections mentionnés sur le blog, il faut maintenant d'avantage 
> de bande passante
> et une plus grand anciennenté por devenir point d'entrée dans le réseau (« 
> Guard node »).

Ne pas sous-estimer les ressources des services de renseignements. Une taupe, 
çà s'installe des années à l'avance; la bande passante n'est pas un problème.


> frnog.kap...@antichef.net
> Par contre, ça confirme que face à un état-nation la simple utilisation de 
> Tor ne suffit pas.

C'est bien çà qui est inquiétant : "l'exemple du chinois qui utilise Tor pour 
contourner le great firewall".
Tu crois que le gouvernement Chinois, il ne lit pas la recherche de 
Carnegie-Mellon ?
Je bloque Tor parce que c'est un paratonnerre à emmerdes. S'il n'y avait pas 
Silk road et consorts qui vendent des drogues dures, des armes automatiques et 
n'importe quoi d'autre, les services de renseignements du Grand Satan ne 
dépenseraient pas autant d'argent à comprendre comment çà marche.

Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Lunar 
Michel Py:
> > Philippe Bourcier a écrit :
> > Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
> > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
> > Avec ca, good luck pour te retracer...
> 
> Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / 
> réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux 
> couches de la même peinture par-dessus çà empêcherait de tracer.
> 
> Est-ce que quelqu'un a vu les détails techniques expliquant comment les 
> chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? 

Les détails techniques ont été fournis sur le blog du projet lorsque la
faille a été corrigé :
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

En plus des corrections mentionnés sur le blog, il faut maintenant
d'avantage de bande passante et une plus grand anciennenté por devenir
point d'entrée dans le réseau (« Guard node »). La surveillance de
groupe de nœuds suspects a été renforcé, et les opérateurs des annuaires
éjectent maintenant dès qu'il y a un doute — là où par le passé on les
empêchait d'être utilisé comme nœud de sortie en se disait que le reste
de la bande passante était toujours bonne à prendre.

-- 
Lunar 


signature.asc
Description: Digital signature

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Lunar 
Philippe Bourcier:
> >On savait très bien qu'en plus des utilisations légitimes, il y avait
> >un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est
> >nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour
> >protéger l'anonymat.
> 
> Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
> 
> Avec ca, good luck pour te retracer...

Oui et non. Utiliser un VPN en plus de Tor rend plus facile des attaques
par corrélation de trafic. On considère que c'est plus difficile
d'écouter une connexion quelconque qu'un fournisseur de VPN. Par
ailleurs, à moins de trouver un VPN qui accepte toutes connexions sans
authentification, le compte utilisé chez le fournisseur de VPN rendre
plus facile une identification.

L'intérêt d'utiliser un VPN en sortie de Tor, c'est de contourner les
sites qui bloquent Tor de façon irréfléchie [1]. Mais d'après le
témoignage de plusieurs personnes [2], pour ce qui est de CloudFlare,
c'est pas mieux.

 [1]: 
http://arstechnica.com/tech-policy/2016/02/some-websites-turning-law-abiding-tor-users-into-second-class-citizens/
 
 [2]: https://bugs.torproject.org/18361

-- 
Lunar 


signature.asc
Description: Digital signature

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-26 Par sujet Solarus 


Le 25/02/2016 12:39, David Ponzone a écrit :
> Personnellement, je ne me mêle pas du business des autres, et je n’ai pas 
> d’avis définitif sur la techno.
L'avis définitif sur la techno c'est que DNSSEC va signer les réponses
depuis la clé racine jusqu'au bout de l'arborescence.
Ainsi toute signature modifiée sera considérée comme invalide et le
résolveur ne te renverra rien.
Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient
modifiées, incluant notamment ce genre de pratiques.

Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui
est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129).
Ainsi donc, tout le business model des DNS menteurs se casse la figure
et c'est une bonne nouvelle pour la sécurité globale des Internets.

PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui
explique les RFC mieux que moi.
http://www.bortzmeyer.org/7129.html

Solarus



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet frnog . kapush 
On vendredi 26 février 2016 21:45:40 CET Michel Py - michel@arneill-
py.sacramento.ca.us wrote:
> > Philippe Bourcier a écrit :
> > Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
> > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
> > Avec ca, good luck pour te retracer...
> 
> 
> Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds /
> réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou
> deux couches de la même peinture par-dessus çà empêcherait de tracer.

Avec une attaque uniquement basée sur Tor, ça déboucherait de chaque côté sur 
des VPNs différents. Ce qui est tout de suite moins compromettant et  du coup 
augmente le coût pour mener l'attaque à bien.

Pour accéder à un service caché Tor, comme c'est probablement le cas pour 
Brian Farrel et Silk Road 2, ça serait:
Toi ==> VPN1 ==> Tor ==> VPN2 ==> Tor => Service caché Tor


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet frnog . kapush 
On vendredi 26 février 2016 19:42:48 CET Michel Py - michel@arneill-
py.sacramento.ca.us wrote:
> Il y a quelques temps, il y eu ici du trollage sur ma décision d'inclure (à
> l'époque) les noeuds de sortie Tor dans le CBBC
> (http://arneill-py.sacramento.ca.us/cbbc).
 
> On savait très bien qu'en plus des utilisations légitimes, il y avait un
> grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est
> nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour
> protéger l'anonymat.

C'est un peu n'importe quoi ta phrase là.
Licite par rapport à quelle loi ? Parce que si tu prends l'exemple du chinois 
qui utilise Tor pour contourner le great firewall, c'est bien vu depuis 
l'occident mais puni par la loi en Chine. 

D'autre part, Tor n'a jamais prétendu être la panacée et malgré cette affaire, 
Tor reste parmi les méthodes les plus efficaces. D'après les devs, la 
vulnérabilité qui a été exploitée a aussitôt été corrigée en 2014.

Par contre, ça confirme que face à un état-nation la simple utilisation de Tor 
ne suffit pas.


> Récemment, le FBI a obtenu l'adresse IP résidentielle de Brian Farrell, un
> Américain soupçonné d'être impliqué dans le site web Silk Road 2.0 (qui
> vendait de la drogue, des armes et autres produits interdits en utilisant
> Tor).
 http://www.bbc.com/news/technology-35658761
> 
> Bon trolldi.
> 
> Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet frnog . kapush 
On vendredi 26 février 2016 13:56:44 CET Tristan Mahé - g...@remote-shell.net 
wrote:
> On 02/26/2016 01:45 PM, Michel Py wrote:
> >> Philippe Bourcier a écrit :
> >> Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
> >> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
> >> Avec ca, good luck pour te retracer...
> > 
> > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds
> > / réseaux et c'est tout chiffré et tout çà, je me demande si mettre une
> > ou deux couches de la même peinture par-dessus çà empêcherait de tracer.
> > 
> > Est-ce que quelqu'un a vu les détails techniques expliquant comment les
> > chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ?
> C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup
> de bp pour obtenir une partie du trafic ?

Voila ce que disent les devs de TOR:

« (...) The Software Engineering Institute ("SEI") of Carnegie Mellon 
University (CMU) compromised the network in early 2014 by operating relays and 
tampering with user traffic. That vulnerability, like all other 
vulnerabilities, 
was patched as soon as we learned about it. »

https://blog.torproject.org/blog/statement-tor-project-re-courts-february-23-order-us-v-farrell

À priori si tu remontes les changelogs tu devrais trouver le détail de la 
vulnérabilité en question.

signature.asc
Description: This is a digitally signed message part.

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Tristan Mahé 
On 02/26/2016 01:45 PM, Michel Py wrote:
>> Philippe Bourcier a écrit :
>> Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
>> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
>> Avec ca, good luck pour te retracer...
> Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / 
> réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux 
> couches de la même peinture par-dessus çà empêcherait de tracer.
>
> Est-ce que quelqu'un a vu les détails techniques expliquant comment les 
> chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? 
C'était pas un mix de bw correlation et d'ajout de noeuds avec beaucoup
de bp pour obtenir une partie du trafic ?
>
>
>> Raphael Jacquot a écrit :
>> tu commences trolldi a minuit toi ?
> Il est 1 heure de l'aprèm ici.
> date +%z
> -0800
>  
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Michel Py 
> Philippe Bourcier a écrit :
> Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
> Avec ca, good luck pour te retracer...

Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / 
réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux 
couches de la même peinture par-dessus çà empêcherait de tracer.

Est-ce que quelqu'un a vu les détails techniques expliquant comment les 
chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? 


> Raphael Jacquot a écrit :
> tu commences trolldi a minuit toi ?

Il est 1 heure de l'aprèm ici.
date +%z
-0800
 
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Mathieu Goessens 

Le 2016-02-26 20:42, Michel Py a écrit :

On savait très bien qu'en plus des utilisations légitimes, il y avait
un grand nombre d'utilisateurs de Tor à des fins illicites.



Source (je ne mets même pas de s) ? Ratio du nombre d'utilisateurs ?
Stats comparatives avec Internet ?

--
Mathieu Goessens


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Philippe Bourcier 


Re,


On savait très bien qu'en plus des utilisations légitimes, il y avait
un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui 
est

nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour
protéger l'anonymat.


Eh bien pour les gens qui ont des choses à cacher, il y a le classique 
:

Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet

Avec ca, good luck pour te retracer...


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/2298865


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Michel Py 
Il y a quelques temps, il y eu ici du trollage sur ma décision d'inclure (à 
l'époque) les noeuds de sortie Tor dans le CBBC 
(http://arneill-py.sacramento.ca.us/cbbc).

On savait très bien qu'en plus des utilisations légitimes, il y avait un grand 
nombre d'utilisateurs de Tor à des fins illicites. Ce qui est nouveau, c'est 
qu'il semblerait que Tor ne soit plus la panacée pour protéger l'anonymat.

Récemment, le FBI a obtenu l'adresse IP résidentielle de Brian Farrell, un 
Américain soupçonné d'être impliqué dans le site web Silk Road 2.0 (qui vendait 
de la drogue, des armes et autres produits interdits en utilisant Tor).
http://www.bbc.com/news/technology-35658761

Bon trolldi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation

2016-02-26 Par sujet Wallace 


Le 26/02/2016 07:30, Nicolas Parpandet a écrit :
> Oui je parle de retirer l'ipv4 privé !, excellente nouvelle donc, j'ai
> commencé par les résolvers dns internes, puis relai smtp c'est fait,
> du coup pour l'accès au réseau ipv4 publique, tu as utilisé plutôt un
> équipement couche élevée type proxy, ou couche basse type nat64 ? Nicolas 
Pour l'ipv4 on en attribut encore aux équipements qui délivre du service
sur Internet.
Dans les archis sympas avec LB et plusieurs front seuls les LB ont des
v4 et v6, tous les autres sont v6 au travers de proxy.
Ces serveurs ont par contre une route pour joindre internet v4 par un nat64.

Lorsque le v4 viendra à se raréfier de notre côté (on a qu'un /22) on a
prévu de faire un gros cluster de reverse proxy v4 / v6 et on
mutualisera certaines v4 de clients. Bien entendu vu qu'on a bien plus
d'ipv6 en prod que de v4 si d'ici là v4 pouvait être en perte de vitesse
ça nous arrangerait :)




signature.asc
Description: OpenPGP digital signature