15.10.2014 | 16:05

Marcin Rybak

A czy Ty też zostałeś nabity w Anonaboxa?

Od kilku dni, w prawie wszystkich (pseudo)technicznych mediach autorzy rozpływają się nad projektem Anonabox, który zebrał już ponad pół miliona dolarów na kickstarterze. Czy to rewelacja na miarę sieci TOR, czy może rozdmuchana historia z kasą w tle?

Anonabox to projekt urządzenia, które w prosty sposób tj. poprzez wpięcie źródła internetu do jednego gniazdka, a do drugiego własnego sprzętu ma zapewniać anonimowy dostęp do sieci poprzez Tora.

Po pierwsze primo

Gdy przeczytaliśmy o tym projekcie to  od razu pomyśleliśmy o kilku urządzeniach, które już są na rynku, oferują to samo a nawet więcej, a niektóre nawet wyglądają tak samo choć kosztują 60% mniej. W szafce autora spoczywa również urządzenie oparte o OpenWRT, może trochę większe, ale za to z wbudowaną baterią, które bez problemu staje się ruterem Tor, a po podpięciu modemu 3G nawet w pełni mobilnym ruterem.

Po drugie primo ultimo

Na subreddicie privacy powstał wątek w którym osoba o nicku htilonom zwraca uwagę na to, że cały projekt Anonabox może być oszustwem ubranym w ładne słowa jak anonimowość, Tor, OpenSource i OpenHardware. Autor projektu August Germar informuje również, że obecna postać Anonabox to już czwarta generacja. Pokazuje przy okazji jak wyglądały poprzednie wersje urządzenia, czym radośnie strzela sobie w kolano po raz pierwszy.

Cztery generacje anonabox

Cztery generacje anonabox

Użytkownicy reddita bez problemu odnaleźli zbieżność urządzenia generacji pierwszej z urządzeniem PC Engines ALIX:

PC Engines ALIX  - czyli znajdź różnicę wersja 1

PC Engines ALIX – czyli znajdź różnicę wersja 1

drugiej z Oolite:

Oolite - czyli znajdź różnicę wersja 1

Oolite – czyli znajdź różnicę wersja 2

oraz czwartej z dostępnymi na AliExpress za 20$ chińskimi podróbkami TP-LINKa WR703n które są urządzeniem NEXX WT3020A z procesoremMIPS 24KEc V5 580Mhz z układem Mediatek MT7620N SoC, oraz 16MB pamięci ROM i 64MB RAM:

NEXX WT3020A - czyli znajdź różnicę wersja 4

NEXX WT3020A – czyli znajdź różnicę wersja 4

Ask Me Anything, czyli strzał drugi

Autor August Germar rozpoczął również AMA na reddicie, gdzie próbował udowodnić, że projekt jest jego, tylko obudowa jest identyczna.  Publikując kolejne zdjęcia przestrzelił sobie drugie kolano. Po analizie fotografii (w zeszycie z datą, z otwartym urządzeniem, na czole autora) użytkownicy reddita bez problemu odnaleźli ślady wskazujące, że urządzenie że nie jest tym, czym być powinno.

Oznaczenie wskazujące prawdziwego producenta Anonabox

Oznaczenie wskazujące prawdziwego producenta Anonabox

Oczywiście prośba o pokazanie kompletnego schematu zakończyła się odpowiedzią: To co posiadam to plik pcb, który może być otwarty w edytorze pcb. (…) Uparcie próbowałem wyeksportować to do pdf’a lub jpg, ale obecnie nie mam czasu aby ten problem rozwiązać. Ze swej strony sugerujemy użycie przycisku PrtSc na klawiaturze.

404 zgłoś się

Błąd 404 strony Anonabox sugeruje, że projekt jest powiązany z torrouter.

Błąd 404 strony Anonabox prowadzi do projektu torouter

Błąd 404 strony Anonabox prowadzi do projektu torouter

Również przygotowane otwarte „źródła” (które są nakładką na katalog /etc/), udostępniane w ramach projektu pokazują, że konfiguracja routera ma wpisane na stałe hasło roota:

root:$1$KFYf8Udr$Ox892v9QYSdFL7bQA71iJ0:16352:0:99999:7:::

które nie jest zbyt trudne do złamania:

$1$KFYf8Udr$Ox892v9QYSdFL7bQA71iJ0:developer!
Session.Name...: cudaHashcat
 Status.........: Cracked
 Input.Mode.....: File ([redacted])
 Hash.Target....: $1$KFYf8Udr$Ox892v9QYSdFL7bQA71iJ0
 Hash.Type......: md5crypt, MD5(Unix), FreeBSD MD5, Cisco-IOS MD5
 Time.Started...: Wed Oct 15 13:23:08 2014 (24 mins, 2 secs)
 Speed.GPU.#1...: 324.3 kH/s
 Recovered......: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
 Progress.......: 546832385/1196843344 (45.69%)
 Rejected.......: 1/546832385 (0.00%)
 HWMon.GPU.#1...: -1% Util, 65c Temp, 52% Fan
Started: Wed Oct 15 13:23:08 2014
Stopped: Wed Oct 15 13:47:11 2014

Aktualizacja 23:00

Przeanalizowany udostępniony kod źródłowy (który swoją drogą „zapożyczony” jest od grugq), zawiera kilka rażących wpadek bezpieczeństwa.

  • Domyślna konfiguracja wifi – tworzy otwartą sieć:
config wifi-iface
 option device 'radio0'
 option mode 'ap'
 option encryption 'none
 option ssid 'anonabox'
 option network 'lan'
  • Klucze sshd nie są generowane przy pierwszym uruchomieniu, a są stałe dla każdego urządzenia. Klucze te służą do „identyfikacji” serwera ssh i pomagają wykrywać ataki MITM.
  • dostęp do ssh również na porcie 99
# iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 99 -j REDIRECT --to-ports 22

Obudowa znajdująca sie na obrazku reklamowym to kiepski „fotoszop” obrazka z AliExpress:

Autor Anonabox posiada również zdolności grafika

Autor Anonabox posiada również zdolności grafika

Aktualizacja 17.10.2014

Zgodnie z oczekiwaniami społeczności projekt na kickstarterze został zawieszony, wszystkie wpłaty zostaną zwrócone dotującym. Kickstarter zrobił naszym zdaniem bardzo dobry ruch, choć za 400 tys. USD można byłoby przeprowadzić całkiem solidną przebudowę OpenWRT właśnie pod kątem NEXX WT3020A, i faktycznie zrobić z tego ciekawy i niedrogi router TOR’a.

Anonabox został zawieszony na KS.

Anonabox został zawieszony na KS.

200% cukru w cukrze

Anonimowość i prywatność są obecnie pożądanymi wartościami dodanymi, i nie mielibyśmy nic do powiedzenia, gdyby ktoś w ładnym opakowaniu oferował wszystko to wprost z pudełka dla każdego laika (a dodatkowo ze sprzętowym przełącznikiem „chcę zostać exit node w sieci TOR”). Opisywanie jednak lekko zmodyfikowanego chińskiego gotowca jako w pełni autorski produkt z otwartym sprzętem i oprogramowaniem będący efektem czterech lat ciężkiej pracy to nadużycie. Dzięki czujności społeczności która walczy o anonimowość na co dzień takie buble szybko wychodzą na jaw i są w pełni weryfikowane, zarówno pod kątem zaszytych tylnych furtek jak i obietnic autora. Tymczasem licznik na kickstarterze tyka – zazdrościmy!

Powrót

Komentarze

  • 2014.10.15 16:25 ffatman

    Frazeonazi pisze:

    „radośnie strzela sobie w kolano”
    SOBIE możemy strzelić W STOPĘ, W KOLANO komuś.

    Odpowiedz
    • 2014.10.15 16:38 Marcin Rybak Odpowiedz
      • 2014.10.15 17:09 Duży Pies

        W projekt i budowę TOR-a zaangażowana była amerykańska armia. Zawsze mnie to niepokoiło. Skoro US Army, to prawdopodobnie także NSA, mimo że różne służby nie zawsze się kochają, to jednak często ze sobą współpracują.
        .
        Ja gdybym pracował w 3-literowych służbach, to myślałbym tak: dajmy ludziom sieć anonimizującą, czyli dajmy ludziom złudne poczucie anonimowości; zamiast myśleć o własnych rozwiązaniach, niech korzystają z naszych, niech się głupio cieszą i poddają inwigilacji. Być może brzmi to paranoicznie. Ale kilka lat temu gdyby ktoś pisał w Sieci o PRISM lub XKeyScore, o inwigilacji na zaprojektowanej przez NSA/GCHQ, to zostałby wyśmiany i nazwany paranoikiem. Po Snowdenie, po tym co ujawnił, już nikomu nie chce się śmiać. Sieć TOR jest zbyt atrakcyjna by służby jej nie inwigilowały. Dlatego mnie niepokoi. Fascynuje i niepokoi.

        Odpowiedz
        • 2014.10.16 02:39 Krzysiu

          Miałem podobne przemyślenia. Co chwilę pojawia się temat tego, że służby specjalnie nie są w stanie złamać Tor*. Dla niektórych przecieki z narzekań NSA na Tor są dostatecznym dowodem. No ale jakby złamali Tor, to też by im było coś takiego na rękę.

          Moim zdaniem ich słowa nie świadczą, że złamali Tor i tak samo nie świadczą, że nie złamali. Nie słyszałem nic o tworzeniu przy pomocy armii i nawet tego nie weryfikuję, bo myślę, że puenta jest identyczna: zakładać, że Tor jest otwarty, więc szczególnie uważać. Nawet jeśli mówią prawdę, to nie dowiemy się szybko, jak im się uda.

          A sama anonimowość sieci Tor to w pewnym sensie mit. Nawet jeśli Tor jest bezpieczne, a ludzie są łapani przez ich własne błędy, to każdy prędzej czy później popełni jakiś błąd. Nie ma Tor bez człowieka, więc błędy też bym postrzegał jako słabość sieci. Potem tylko kwestia czy służbom zależy, żeby złapać, czy nie.

          A teraz tok myślenia jak w firmach, które nie zabezpieczają przed social engineering. Sieć z przerośniętymi zabezpieczeniami, ale każdy przez telefon poda dane. Niektóre firmy, które się przed tym zabezpieczają, wliczają czynnik ludzki jako słabość sieci.

          * Tor, nie „TOR”, bo chociaż pierwotnie było to skrótowcem, to nazwa została zmieniona na zwykły wyraz

          Odpowiedz
        • 2014.10.17 09:36 Ahmed

          Niepokoi Cię to, że w Tora zaangażowana była armia USA ? Mnie niepokoi to, że twórcą SELinux jest NSA….

          Odpowiedz
          • 2014.10.17 12:06 Duży Pies

            Kolega pisze: „twórcą SELinux jest NSA”
            .
            Gwoli ścisłości:
            „SELinux” to technologia, która pozwala na podniesienie poziomu bezpieczeństwa Linuksa jako całości. Nie jest to więc osobny system operacyjny, a dodatek, który może stanowić uzupełnienie każdego systemu spod znaku „pingwina” opartego na jądrze 2.6.x. (SELinux dla jądra 2.4 nie jest już rozwijany).
            .
            SELinux można włączać do woli, to nie jest jakiś przymus.
            Oczywiście, na myśl że NSA tam grzebała, każdemu powinna się zapalić czerwona lampka w głowie. Z tym że przynajmniej oficjalnie wiemy że tam NSA grzebała. A w ilu miejscach jeszcze grzebała i nie mamy o tym pojęcia? Prawdopodobnie w Windowsach, Androidzie i w wielu protokołach sieciowych jest sporo tylnich furtek. Do czasu aż ktoś je znajdzie, potem są spalone – ale jest ich tyle, że NSA ma ich spory zapas na wiele najbliższych lat.
            .
            Jak żyć? Nie ma gotowej recepty, trzeba stosować kombinację różnych technik, tylko tak można osiągnąć pewien poziom bezpieczeństwa. Spore nadzieje daje system rozwijany przez Joannę Rutkowską: http://theinvisiblethings.blogspot.com/ Zobaczymy co przyszłość przyniesie, szykuje się ciekawie!

          • 2014.10.17 16:03 steppe

            Proszę, tylko bez festiwalu paranoi ;)
            NSA nie tylko szpieguje, ale pełni również rolę doradczą w temacie zabezpieczeń :)
            Publikują na przykład poradniki, jak podnieść bezpieczeństwo routerów, systemów itp. Nie można siać paniki i wywalać wszystkich tych dokumentów do kosza, naprawdę się przydają.
            Co do dylematu: stopa czy kolano – jak się człowiek postara, to i w plecy sobie może strzelić, chociaż nie ze wszystkiego ;)

      • 2014.10.16 17:45 HecSec

        Strzelić sobie w stopę brzmi naturalnie i realnie, stare filmy o kowbojach są tego przykładem ale jak trafić we własne kolano!

        Odpowiedz
  • 2014.10.15 16:46 heliar

    Zostać nabitym w anonboksa? Równie dobrze można napisać, że zostałem nabity w facebooka, windowsa itp. Branża IT jest przesiąknięta złodziejstwem i kombinatorstwem od początku istnienia gwizdka kapitana Crunch’a…

    Odpowiedz
  • 2014.10.15 16:50 gość Maciej

    No to się wkur**lem. Zbrodnia popłaca można powiedzieć panie bocian o pseudonimie czapla.

    Odpowiedz
  • 2014.10.15 16:51 gość Maciej

    że też ja nie moge życ na normalnej PŁANECIE :D

    Odpowiedz
  • 2014.10.15 18:37 Nożeszkur

    Aż mi ciśnienie skacze jak taki cfaniak zarabia, co za podludzie płacę kasę za ten szit?

    Odpowiedz
  • 2014.10.15 18:48 majster

    Chyba też polecę z takim projektem :D

    Odpowiedz
  • 2014.10.15 20:09 Domin

    generalnie to chwila roboty. Co prawda nie robilem na openwrt, ale na raspberry pi. Dziala jak powinno.
    Polecam

    Odpowiedz
  • 2014.10.15 20:21 Wykop

    Dlaczego kradniesz cudze artykuły?

    Odpowiedz
    • 2014.10.15 20:27 Marcin Rybak

      tzn konkretnie czyje?

      Odpowiedz
  • 2014.10.15 21:59 Michał

    „primo ultimo” że co?
    Ni to łacina ni polski. Nie ma czegoś takiego jak primo ultimo, jest za to primo – po pierwsze, secudno – po drugie, tertio po trzecie.

    Odpowiedz
    • 2014.10.15 22:04 Marcin Rybak Odpowiedz
      • 2014.10.16 10:13 Ninja

        Jestem w pracy, YT tu nie działa. Link do „nic nie słyszę, bo jakiś debil drze się przez megafon”? ;p

        Odpowiedz
        • 2014.10.16 10:19 Marcin Rybak

          Z3S – nowa jakość napisów. Napisy zostały specjalnie dopasowane do Twojej wersji filmu.

          (…) Po pierwsze primo, przyszliście do pracy a nie na papierocha, pogaduchy i strojenie głupich min. Po drugie – primo – w tych kartonach są fajerwerki warte 30 tysięcy dolarów USA, a w tym domu fajerwerki odpalam tylko ja.
          A po trzecie – primo ultimo – nikt nie otwiera tych drzwi.

          A dlaczego?

          Bo tam jest zamknięty Rambo.

          A kto to jest rambo?

          Nie twoja sprawa, bambo. (…)

          Odpowiedz
          • 2014.10.16 17:08 Gruby

            Czy Z3S czytają sami, kurna, wielcy filolologowie? Nie macie nic konstruktywnego do dodania w komentarzu to po co pysk otwierać?

          • 2014.10.16 22:36 Adam

            Odpowiedzią jest prawo trywialności Parkinsona: http://gynvael.coldwind.pl/?id=431

    • 2014.10.16 12:56 Anonimus

      gimby nie znajo, ale do wywyższania się zawsze pierwsi :)

      Odpowiedz
  • 2014.10.15 23:27 Hubal

    Hahaha Czy to jasne !!!!!!!

    Odpowiedz
  • 2014.10.16 08:13 Gagatka

    Teraz wszyscy są mądrzy. Zaufana Trzecia Strona pisze o „pseudotechnicznych” serwisach, ale sama nieco przemilcza fakt, że tych ustaleń dokonali ludzie z Reddita. To nie jest tak, że wszyscy dali się nabrać, a ZTS nie. Po prostu trzeba było czasu na zrobienie tych ustaleń.

    Oczywiście, dobrze że to opisujecie, ale rzetelność kazałaby zauważyć, że najważniejszych ustaleń dokonali ludzie, którzy musieli mieć nieco czasu na ocenę wciąż świeżego projektu.

    Odpowiedz
    • 2014.10.16 10:07 Adam

      „nieco przemilcza fakt, że tych ustaleń dokonali ludzie z Reddita” WTF? Reddit jest przez wszystkie przypadki odmieniany w prawie każdym paragrafie tego artykułu i 4 razy wskazany jako źródło informacji.

      Odpowiedz
      • 2014.10.16 20:13 wartościowy komentator

        kolejne żenujące kłamstwo – nie ma wołacza! :D

        Odpowiedz
    • 2014.10.16 21:43 dzk

      o czym ty pie.rdolisz? przecież cały ten artykuł mówi o tym, że to internauci właśnie wyczaili gostka! ty czytałeś to w całości w ogóle? czy ty w ogóle wiesz, gdzie jesteś w tej chwili?? :D

      Odpowiedz
  • 2014.10.16 11:18 Robert

    A może to projekt NSA?

    Odpowiedz
    • 2014.10.16 19:29 zdegustowany

      Tor to produkt CIA, więc nie byłoby nic dziwnego w tym, że NSA też chce wziąć udział w zabawie ;-)

      Odpowiedz
  • 2014.10.16 12:51 Dev0

    Zajebisty przekręt, normalnie „Wilk z KickStarter’a” :D

    Odpowiedz
    • 2014.10.17 08:40 maslan

      W tej tematyce, polecam pierwszy odcinek 18 sezonu south park „Go Fund Yourself” – zakładają firmę na kickstarterze żeby zebrać kasę „na robienie niczego”.

      Odpowiedz
  • 2014.10.17 13:03 Ppp

    Co w przypadku jeśli zostanie potwierdzone że to kłamstwo. Kickstarter to blokuje i oddaje wszystkim kasę? Zawsze się zastanawiałem jak oni to weryfikuje.

    Odpowiedz
  • 2014.10.18 10:31 Zenobiusz

    Ten routerek na mediateku nie jest klonem 703n, bo on jest oparty na atherosie. Takim klonem jest np. Gl-iNet lub Fast…

    Odpowiedz
  • 2014.11.12 14:17 Margot

    Rewelacyjny projekt, ale bardzo źle zrobiony technicznie. Brakuje nam dobrych , niezawodnych routerów z szyfrowaniem.

    Odpowiedz

Zostaw odpowiedź do Anonimus

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

A czy Ty też zostałeś nabity w Anonaboxa?

Komentarze