Tor Project udostępnił właśnie wersję beta swojego nowego projektu, internetowego wieloplatformowego komunikatora korzystającego z sieci Tor. To ciekawa alternatywa dla innych, obecnych już na rynku rozwiązań.
Od czasu rewelacji ujawnionych przez Edwarda Snowdena potrzeba komunikacji pomiędzy internautami została wzbogacona o dodatkowy, ważny element – poufność przekazywanych treści. Tym oczekiwaniom wychodzą naprzeciw autorzy nowych rozwiązań komunikacyjnych, do których dołącza własnie Tor Project.
Wiele protokołów, jedno narzędzie
Sztandarowy produkt Tor Project to przeglądarka Tor Browser, która jest po prostu odpowiednio przerobionym i zabezpieczonym Firefoksem. Także i w przypadku Tor Messengera zdecydowano się skorzystać z istniejącego rozwiązania. Wybór padł na Instabirda – wieloplatformowy komunikator obecny na rynku już od jakiegoś czasu. Oczywiście Instabird został istotnie zmodyfikowany. Przede wszystkim dodano do niego warstwę zapewniającą, ze cała komunikacja będzie przesyłana wyłącznie przez sieć Tor. Oczywiście już wcześniej można było przekierowywać połączenia komunikatorów do sieci Tor, jednak nowe narzędzie sprawia, że staje się to dużo prostsze. Druga istotna zmiana to dodanie protokołu OTR, zapewniającego dodatkową warstwę szyfrowania, uwierzytelnienia i zaprzeczalności (brak możliwości udowodnienia kto był stronami rozmowy po jej zakończeniu). Inne ulepszenia to między innymi wyłączenie aktywnych linków w wiadomościach – ich kliknięcie może ujawnić tożsamość użytkownika.
Tor Messenger obsługuje takie protokoły jak IRC, XMPP, Google Talk, Facebook Messenger, Twitter, Yahoo i Odnoklassniki. Niestety korzystanie z części z nich za pomoca sieci Tor może być utrudnione (nie każdy serwer przyjmuje połączenia), ale spróbujemy Wam pokazać, jak już dzisiaj można Tor Messengera zastosować w praktyce.
Zapraszamy na nasz kanał IRC
Zacznijmy od prostego scenariusza, czyli anonimowej wizyty na naszym oficjalnym kanale #z3s w sieci IRCNet. Po zainstalowaniu Tor Messengera i jego uruchomieniu pojawia się ekran znany użytkownikom Tor Browsera, na którym trzeba określić, czy od razu łączymy się z siecią Tor, czy też korzystamy wcześniej z różnych sztuczek, by ominąć dodatkowe mechanizmy cenzury. W Polsce nie ma problemu z połączeniami bezpośrednimi, zatem wybieramy opcję Connect.
Po nawiązaniu połączenia uruchomi się kreator kont wraz z listą protokołów. Wybieramy tam IRC.
W kolejnym kroku wybieramy pseudonim oraz serwer (polecamy irc.atw-inter.net ponieważ wygląda na to, że akceptuje połączenia z sieci Tor).
Następnie program zapyta nas o hasło do tego profilu – możemy zostawić je puste oraz alias – tu możemy wpisać dowolne znaki, które pokażą się tylko nam jako oznaczenie naszej osoby. Kiedy już wszystko jest ustawione (w tym opcja by łączyć się automatycznie z tym kontem) wystarczy kliknąć Finish.
To byłby faktycznie koniec, gdyby serwer irc.atw-inter.net korzystał z podpisanego certyfikatu – lecz najwyraźniej nie korzysta, ponieważ po kilkudziesięciu sekundach próby nawiązania łączności dostaniemy taki komunikat:
Niestety nie znaleźliśmy do tej pory serwera IRC, który wpuszcza ruch z sieci Tor i posługuje się zaufanym certyfikatem. Nie pozostaje nam zatem w tej sytuacji nic innego jak wybrać opcję Add Exception i dodać certyfikat do listy akceptowanych wyjątków (możemy też łączyć się bez szyfrowania, ale lepsze już szyfrowanie niezaufane niż jego całkowity brak). Po dodaniu certyfikatu program powinien połączyć się z serwerem. Gdy zobaczymy napis Connected, możemy w głównym oknie aplikacji wybrać menu File i polecenie Join Chat (lub nacisnąć Ctrl+J). W nowym oknie wystarczy wybrać opcje jak poniżej i kliknąć OK. Powinno pojawić się okno naszego kanału IRC.
Czy było prosto? Raczej niekoniecznie, choć na pewno trochę prościej, niż tunelując połączenia IRC przez własną konfigurację Tora. Czy było bezpiecznie i anonimowo? W miarę.
To nie wszystko
Oczywiście IRC nie został stworzony z myślą o zachowaniu 100% anonimowości i poufności konwersacji. Dużo lepiej nadaje się do tego celu protokół XMPP z rozszerzeniem OTR. na jednym ze zrzutów ekranu widać nasze konto – proponujemy jako samodzielnie wykonywane ćwiczenie próbę nawiązania z nami bezpiecznej łączności.
Komentarze
Chwilka, za moment wparuję na wasz kanał przez TM. Mam nadzieję, że jest tam ktoś inny oprocz opów ;p
Avira rzyczy, że instalator zawiera trojana (TR/ATRAPS.GEN). SHA zgadza się,.
Zresztą raport VT
https://www.virustotal.com/pl/file/89f98cfdf1d162792d9e5a5e86a28152ba0300b1a7a8fc398c2e7001be2fb0db/analysis/
Pewnie biblioteki Tora są rozpoznawane.
Honeypot FBI albo NSA, nie używać!
a ty długo tak już umykasz tym mackom siepaczy z FBI? ależ im musiałeś zaleźć za skórę…
On mysli, Ty nie. I tyle.
zapomniałeś dać linka do yt, otwierający mi oczy. :D
FBI albo NSA otworzą Ci oczy :)
Poważni ludzie polecają xD
https://twitter.com/daeshiCat/status/659828638423085056
Coś jest nie tak. Po instalacji proces instantbird.exe startuje po czym znika. Win8.1×64. Nie widzę logów.
Nigdy nie dotkne tego muslimskiego chlamu,
SiemaTy i muslimowo!
No jestem ciekaw jak chca zapewnić prywatnosć i anonimowość w przypadku FB Massengera.
Dzięki OTR – będzie wiadomo kto z kim (zakładając, że obie strony mają odpowiedni soft), ale nie o czym.
Życzę powodzenia w wyjaśnianiu typowemu userowi fb czy gt co to OTR i po co to – prędzej nakłoni się go do banalnie prostej instalacji i użytkowania Tox’a przez którego nie tylko poklika ale również poogląda rozmówcę z zachowaniem całkiem niezłego poziomu prywatności.
Umożliwienie integracji w tym konkretnym komunikatorze z serwisami takimi jak fb czy gt bez jednoczesnego wymuszenia OTR („szyfrowania”) nie wróży dobrze jego userom.
Slysze TOR, kojarze NSA.
Może i mają dobre intencje (chcą aby sieć się rozrastała co w teorii ma zapewnić większe bezpieczeństwo użytkowników – abstrahując od bezpieczeństwa samej sieci) ale zupełnie nie tędy droga aby jednocześnie integrować się z fb czy gt (w ogóle oferować taką możliwość) – zamiast tego badziewia mogli zaimplementować/stworzyć własny komunikator typu Tox który nie dosyć że nie muli i zajmuje ułamek zasobów (w porównaniu do tej korowy) to umożliwia także rozmowy video.
Jako alternatywę, do bezpiecznych pogawędek polecam program cryptocat (www.crypto.cat) Działa jako wtyczka do przeglądarek i używa protokołów OTR/mpOTR.
XMPP daje fajne możliwości ale fb oficjalnie blokuje dostęp z zewnątrz, zalecając korzystanie ze swojego (pewnie dlatego że nie mogą czytać) (co ciekawe w ramach testu zrobiłem 2 nowe konta na fb i „rozmawiałem” między nimi za pośrednictwem tor messangera, po przelogowaniu już nie mogłem) ta sama operacja dla google w ogóle się nie powiodła. Każda kolejna próba fb/g kończyła się alertami bezpieczeństwa i blokadami itp.
Co ciekawe dla nie zaTORowanego komunikatora XMPP google działa bez problemu, można szyfrować OTR, fb w ogóle się nie łaczy