HTTPS, IMAPS, SSH, XMPP sorglos über Tor tunnel.

[inne]

Hallo,

kann man obige Protokolle sorglos durch Tor tunneln? Was sind eure Meinungen/Gedanken dazu?

[DeletedUserReAsG]

Die genannten Protokolle kann man sowohl mit sicherem, als auch mit unsicherem Algo nutzen.

[inne]

Okay, also es kommt auch auf die Anwendung an.

Firefox hat bspw. unsichere Verschlüsselungsverfahren deaktiviert. Wie schaut das bei Icedove aus, das kann ja jetzt auch XMPP Chat?

[tomi89]

Es sollte zumindest ein vertrauenswürdiger Exit-Server festgelegt werden.

Außerdem würde ich besonders bei Tor auf das Addon HTTPS-Everywhere (mit aktiviertem SSL-Observatory!) oder Perspectives setzen.


Firefox (und andere) hat nicht mal safe negotiation aktiviert, weil einige Admins immernoch unfähig sind sich darum zu kümmern.

Mit diversen Opensourcetools lässt sich das ausnutzen.

Betr. Schalter:
security.ssl.require_safe_negotiation
security.ssl.treat_unsafe_negotiation_as_broken

Und Firefox besitzt eine Liste mit Seiten, welche auf RC4 oder eine unischere TLS Version zurückfallen dürfen, weil sie anders nicht funktionieren würden.

Betr. Schalter:
security.ssl3.*_rc4_*
security.tls.unrestricted_rc4_fallback
security.tls.insecure_fallback_hosts.use_static_list
security.tls.insecure_fallback_hosts

[eggy]

"hardcoded" würde heißen, fest im Source - kannst Du da bitte mal die Codestelle zeigen?

[tomi89]

"hardcoded" würde heißen, fest im Source - kannst Du da bitte mal die Codestelle zeigen?

Hardcoded war das völlig falsche Wort, sorry, wird editiert.

Es könnte auch in einer Sql Datei drinne stehen, weis ich jetzt nicht.

[wanne]

kann man obige Protokolle sorglos durch Tor tunneln? Was sind eure Meinungen/Gedanken dazu?

Würde für XMPP SSL verwenden. Sonst sollte das alles sicher sein.

Ansonsten ist das TOR Netzwerk jetzt nicht wirklich viel unsicherer als irgend ein anderer Anschluss. Zwar kann da prinzipiell jeder einen Exit Node aufstellen, aber die werden aktiv überwacht. Wenn da jemand aktive Angriffe fährt fliegt der ziemlich schnell. Hatte da auch noch nie was sehen können. (Im Gegensatz zu diversen VPN und vor allem HTTP-Proxy Anbietern, wo das wohl üblich ist, dass man erstmal Angriffe gegen TLS oder ähnliches fährt. Ich meine, dass sich da auch einige Mobilfunkprovider schon dabei erwischen haben lassen.)
Insofern ist würde ich jetzt nicht total panki schieben wegen unsafe_negotiation ö.ä. Trotzdem tust du dir eigentlich immer einen Gefallen, wenn man treat_unsafe_negotiation_as_broken setzt.

[eggy]

Ansonsten ist das TOR Netzwerk jetzt nicht wirklich viel unsicherer als irgend ein anderer Anschluss. Zwar kann da prinzipiell jeder einen Exit Node aufstellen, aber die werden aktiv überwacht.

Aehm, falsch. (außer Du meinst mit "aktiv überwacht" was anderes)

Dass ne ganze Menge von Exitnodes mitschneiden sollte inzwischen landläufig bekannt sein. Ein etwas älteres aber immer wieder gern zitiertes Beispiel der Berichterstattung findest Du hier: http://www.heise.de/security/meldung/An ... 73525.html

Rate mal warum es Exitnodes gibt, die z.B. nur http 80 erlauben wollen? Na woran könnte das wohl liegen?

[tomi89]

Das gruselige ist halt, dass es beim ersten Angriff schon schlecht aussehen kann.

Gerade jetzt, wo dieser ganze HTML5 Kram kommt.

Hatte gerade erst irgendwo von einem via MitM, ich glaube durch Metasploit, injizierbaren Javascript Keylogger gelesen (hatte nix mit Tor zu tun).

Der benutzt bestimmt dieses neue Keyboardevent im Browser.

Da kann man bald sein Debian noch so stark abhärten, den Browser sandboxen und fällt doch irgendwelchen Möchtegernhackern zum Opfer.

Man kann nur hoffen das schnellstmöglich Quic und und DANE/TLSA breiten Einsatz finden.

Bis dahin bin ich gerne paranoid und meide grundsätzlich fremde WLANs und Exitserver.

[wanne]

Dass ne ganze Menge von Exitnodes mitschneiden sollte inzwischen landläufig bekannt sein.

Abhören ist was anderes. Das mehr oder weniger alle Professionellen Anbietern auch so. http://wiki.vorratsdatenspeicherung.de/Speicherdauer.

Bis dahin bin ich gerne paranoid und meide grundsätzlich fremde WLANs und Exitserver.

Erwischt worden beim Unterschieben von Schadcode (Entschuldigung das heißt da nicht Schadcode sondern Optimierung von deinem Weberlebnis, sonst wäre das ja strafbar.) in JS sind eben T-Mobile und Vodafone nicht irgendwelche Tor-Nodes.
<ironie>Und den Keylogger hatte doch MS eingebaut?</ironie>
Aber ich weiß, es ist immer hundert mal sicherer einem Mann mit Anzug zu vertrauen, der nicht mal verrät in welchem Land er seine Internetleitungen verlegt hat, als irgend welchen überprüften Privatleuten. Schließlich hat er ja nen Anzug. Und an dem Bild wird sich auch nichts ändern wenn man nochmal 20k von denen mit der Hand in der Keksdose erwischt. Da wird sich immer eine total blausieble Antwort finden lassen, warum das nur zum Wohle des Keksdosenbesitzers war.
Sorry aber ich sehe echt schon lange keinen Grund mehr dem Anschluss Vodafone mehr zu vertrauen als irgend welchen Tor-Exit Node Betreibern. Das war vor ein paar Jahren mal anders, da hat man gemeint, dass der Imageverlusst zu groß wäre, wenn das raus kommt. Nachdem da sich aber mittlerweile mehr oder weniger jede Woche einer erwischt wird, kommt das nicht mal mehr in den Zeitungen. Da wird nichts mehr verloren.
Wie gesagt, du kannst jetzt zig Methoden erzählen, wo man da eingreifen könnte. Dein Hausanschluss ist halt genau keinen Pfurtz sicherer. Ganz im gegenteil, wenn dir dein ISP deinen Rechner verseucht kräht da kein Hahn danach. Wenn das bei Tor passiert, gefährdet der zumindest keinen 2. mehr.
Die Reaktion ist genauso sinnvoll, wie in Zukunft mit dem Motorrad zu fahren weil, Autofahren so gefährlich ist.
Btw. wenn du dir die Sperrlisten von Tor anguckst, dann sind das meistens ziemlich offensichtlich die ISPs, die da scheiße bauen, nicht die wirklichen Node-Anbieter.

[inne]

Betr. Schalter:
security.ssl.require_safe_negotiation
security.ssl.treat_unsafe_negotiation_as_broken
security.ssl3.*_rc4_*
security.tls.unrestricted_rc4_fallback
security.tls.insecure_fallback_hosts.use_static_list
security.tls.insecure_fallback_hosts

Ich habe jetzt mal folgende Datei installiert und hoffe das alles richtig eingestellt ist:

Code: Alles auswählen

$ cat /etc/iceweasel/pref/mydebian.js 
pref("security.ssl3.ecdh_ecdsa_rc4_128_sha", false);
pref("security.ssl3.ecdh_rsa_rc4_128_sha", false);
pref("security.ssl3.ecdhe_ecdsa_rc4_128_sha", false);
pref("security.ssl3.ecdhe_rsa_rc4_128_sha", false);
pref("security.ssl3.rsa_rc4_128_md5", false);
pref("security.ssl3.rsa_rc4_128_sha", false);
pref("security.ssl.require_safe_negotiation", true);
pref("security.ssl.treat_unsafe_negotiation_as_broken", true);
pref("security.tls.unrestricted_rc4_fallback", false);
pref("security.tls.insecure_fallback_hosts.use_static_list", false);
pref("security.tls.insecure_fallback_hosts", "");

Mal sehen wie ich das noch erweitern kann. Kann ich hier auch die Einträge von z.B. FoxyProxy-Standard vorkonfigurieren?

[inne]

Code: Alles auswählen

/etc/iceweasel/pref/mydebian.js 

Kann man solche Dateien auch in ~ tun?

[rendegast]

Noch etwas paranoider müßte ein lock auf diese prefs,
damit ein wildgewordenes addon sich die settings nicht doch zurechtbiegt.
zBsp.
https://support.mozilla.org/en-US/questions/971481
http://kb.mozillazine.org/Locking_preferences

[inne]

[inne]

Muss ich diese SSL-Härtung auch für Icedove setzen und wie sind dort die Namen?

[AndreK]

Es sollte zumindest ein vertrauenswürdiger Exit-Server festgelegt werden.

Außerdem würde ich besonders bei Tor auf das Addon HTTPS-Everywhere (mit aktiviertem SSL-Observatory!) oder Perspectives setzen.


Firefox (und andere) hat nicht mal safe negotiation aktiviert, weil einige Admins immernoch unfähig sind sich darum zu kümmern.

Mit diversen Opensourcetools lässt sich das ausnutzen.

Betr. Schalter:
security.ssl.require_safe_negotiation
security.ssl.treat_unsafe_negotiation_as_broken

Und Firefox besitzt eine Liste mit Seiten, welche auf RC4 oder eine unischere TLS Version zurückfallen dürfen, weil sie anders nicht funktionieren würden.

Betr. Schalter:
security.ssl3.*_rc4_*
security.tls.unrestricted_rc4_fallback
security.tls.insecure_fallback_hosts.use_static_list
security.tls.insecure_fallback_hosts

Solche Tipps halte ich für gefährlich. Jetzt magst Du einen planlosen wie den thread opener damit wohl völlig befriedigen weil der planlos ist und offenbar seine Pornosurferei vor Mutti oder dem Arbeitgeber damit verstecken will. Aber würdest Du wirklich einem sagen wir mal Iraner einen solchen Tipp machen wollen, wobei Du weist das der Tipp schreckliche Konsequenzen haben könnte? Es gibt diese Art von Tipps zu hunderten auf der Tor mailing list. Meist abgegeben von irgend welchen amerikanischen Kids denen es nur darum geht facebook oder reddit anonym anzusurfen. Solche Aussagen sind dort im Hunderterpack dokumentiert. Tor ist heute mainstream und bald tod. Ansonsten was für Spezialisten und die NSA.

[rendegast]

Aber würdest Du wirklich einem sagen wir mal Iraner einen solchen Tipp machen wollen, wobei Du weist das der Tipp schreckliche Konsequenzen haben könnte?

Im Zweifelsfall ja.

Betr. Schalter:
security.ssl.require_safe_negotiation
security.ssl.treat_unsafe_negotiation_as_broken
...
...
security.tls.unrestricted_rc4_fallback
security.tls.insecure_fallback_hosts.use_static_list
security.tls.insecure_fallback_hosts

Hier ist mir die Funktion (der letzteren drei) in keiner Weise klar oder mir verständlich reagierend bei Einwirkung meinerseits (als Tool zur Kontrolle verwende ich calomel).
ff verbindet sich oder nicht, nach Neustart oder ohne, und die Systematik ist mir nicht einleuchtend oder nachvollziehbar.
Die Liste der rc4-Hosts existiert in der libxul einkompiliert, statt als separate einfache Textdatei,
somit kann ich sie nicht einfach durch Leeren einer solchen Datei zurücksetzen.
Die Liste ist ein security-Ding, unterscheidet sich aber in den aktuellen esr und current Firefox
(naja, die Hosts/Domains in der Liste dürften den verfolgten Iraner weniger interessieren).
Durch das Hin- und Herwürfeln der Option in der Diskussion sollte dem verfolgten Iraner klar werden, daß hier ein Osterei lauert.
Zumindest calomel sollte als Tool im Gedächtnis hängenbleiben.