[Tutorial] Tortilla + TOR = + privacidad.

Iniciado por #!drvy, 4 Marzo 2014, 09:20 AM

0 Miembros y 2 Visitantes están viendo este tema.

#!drvy

#10
Citars cierto que es muy fácil para gobiernos tener controlado a quienes utilizan esta herramienta

No exactamente. Veras, CUALQUIERA en tor puede ser un nodo de salida. Yo mismo puedo serlo, tu puedes serlo todos podemos serlo. Los gobiernos (al menos en teoría), no pueden intervenir a cualquiera así por que si.

Controlar quien la utiliza es posible solo si lo haces mal, dejando por ejemplo los plugins tipo flash y java activado y que estos hagan sus propias peticiones fuera de la red de TOR.

Precisamente para esto sirve Tortilla.

Ahora, que tiene sus vulnerabilidades (sobre todo en el lado del navegador), si.. pero vamos si se siguen de manera correcta las instrucciones de uso y se toman precauciones... no es tan fácil.

Citarestoy confiando más en las VPN que yo mismo gestiono.

Bien, es cierto que tu VPN sera mas segura (siempre y cuando tengas pleno control sobre ella).. pero recuerda que no todo el mundo puede permitirse una VPN.. y las que hay por ahí son de dudosa reputación.


Hay que tener en cuenta que TOR fue diseñado precisamente para que sea casi imposible rastrear el origen de la conexión...




Cita de: shargon en 17 Octubre 2014, 07:36 AM
Alguien me puede ecplicar como firmarlo sin prueba?
No quiero depender de usarlo en modo pruebas. Windows 8.1
Gracias

El controlador no esta firmado por ninguna persona/organización reconocida por Microsoft. O activas el modo TESTING o no puedes usarlo de normal. Por supuesto, si tienes tus propios certificados, lo puedes compilar y firmar tu mismo.

Saludos

kaiserr

Buen aporte :)
Uno más que lo añade a sus marcadores  ;-)

тαптяα


DaniPhii

Anda, no conocía de nada Tortilla, tendré que probarlo... :D

Zedmix

Cita de: #!drvy en 19 Octubre 2014, 16:08 PM
No exactamente. Veras, CUALQUIERA en tor puede ser un nodo de salida. Yo mismo puedo serlo, tu puedes serlo todos podemos serlo. Los gobiernos (al menos en teoría), no pueden intervenir a cualquiera así por que si.

Controlar quien la utiliza es posible solo si lo haces mal, dejando por ejemplo los plugins tipo flash y java activado y que estos hagan sus propias peticiones fuera de la red de TOR.

Precisamente para esto sirve Tortilla.

Ahora, que tiene sus vulnerabilidades (sobre todo en el lado del navegador), si.. pero vamos si se siguen de manera correcta las instrucciones de uso y se toman precauciones... no es tan fácil.

Bien, es cierto que tu VPN sera mas segura (siempre y cuando tengas pleno control sobre ella).. pero recuerda que no todo el mundo puede permitirse una VPN.. y las que hay por ahí son de dudosa reputación.


Hay que tener en cuenta que TOR fue diseñado precisamente para que sea casi imposible rastrear el origen de la conexión...




El controlador no esta firmado por ninguna persona/organización reconocida por Microsoft. O activas el modo TESTING o no puedes usarlo de normal. Por supuesto, si tienes tus propios certificados, lo puedes compilar y firmar tu mismo.

Saludos

Estoy completamente de acuerdo contigo, es más no me planteaba escribir este tema por que no quería crear un debate paralelo, como bien dices cualquiera puede convertirse en un nodo salida, el problema es lo que dice, que la "teoría" dice que no pueden intervenir, pero en estos tiempos confiar en herramientas que te ofrecen un anonimato casi al 100% almenos te cuestionas de quien ha creado esa herramienta y con que intención.

Saludos y felicidades, ahora me pondré con tortilla.
Conciencia, Compromiso, Rebeldia y Solidaridad



Wickown

Actualmente suelo usar siempre las VPN, y me va bastante bien, aunque parece que esto también sirve, parece efectivo, después haré un par de pruebas.

Gracias por compartirlo drvy.

bavo08

La herramienta parece últil, pero todo si TOR funciona bién...

Leí por ahí que los "Nodos de Salida" de TOR los puede poner cualquiera y hacer spoffy (o algo así), es decir básicamente leer todo el tráfico saliente hacia los que navegan y conocer por ende sus IP originales así como lo que enrutan por ellos, ¿esto es así? porque cuando me pongo a pensar, ¿quien paga los servidores TOR? ya que si lo comparamos con un Proxi público TOR funciona bastante rápido, es decir, hay mucha infraestructura detrás. No dudaría que estuviera "patrocinado" por un gobierno de turno en los Nodos de salida.

Como no soy idoneo en este tema, planteo mi duda / debate.

¡Excelente artículo!

#!drvy

#17
Citarpero en estos tiempos confiar en herramientas que te ofrecen un anonimato casi al 100% almenos te cuestionas de quien ha creado esa herramienta y con que intención.

Si la verdad es que inspira algo de desconfianza el hecho de que haya sido un proyecto de DARPA pero bueno... el hecho de leer que hasta la NSA (con un presupuesto cercano al infinito xD) tiene dificultades y tiene que usar 0-days para el Tor Browser (fork de firefox) también da cierto grado de confianza.

De todos modos obviamente hay que andarse con ojo.. sobre todo después de todos los ataques que han conseguido efectuar sobre la red de Tor.

http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29#Weaknesses




CitarLeí por ahí que los "Nodos de Salida" de TOR los puede poner cualquiera y hacer spoffy (o algo así), es decir básicamente leer todo el tráfico saliente hacia los que navegan y conocer por ende sus IP originales

No exactamente. Veras como nodo de salida si es cierto que puedes hacer sniffing y de ahí puedes descubrir información sobre cual es el sitio al que se quiere conectar alguien o incluso capturar datos pero de ahí a conseguir la IP original del que hizo la solicitud no es fácil.

Tor por diseño hace unos saltos y usa lo que se llama Onion routing. Es decir, pasa por varios puntos antes del nodo de salida. Quizas esta imagen te ayude a entenderlo.



Como ves, todo el trafico va cifrado y saltando de nodo en nodo (donde es descifrada una capa) hasta llegar a su destino. De esta forma, el Router C (nodo de salida) no tiene ni idea de donde proviene el paquete.

http://es.wikipedia.org/wiki/Encaminamiento_de_cebolla

Citar¿quien paga los servidores TOR?

Creo que tienes mal concepto de como funciona la red de Tor. Los "servidores" los ponen los que deciden ser nodos (ya sea de entrada/salida o middle), es decir, cualquiera xD

http://es.wikipedia.org/wiki/Tor#Componentes


Citarya que si lo comparamos con un Proxi público TOR funciona bastante rápido

Hmmm yo no me atrevería a decir eso.. muchas veces te puedes topar con nodos bastante lentos e incluso incapaces de transmitir los paquetes antes de un timeout.  

Realmente depende mucho de si ese proxy es utilizado por mucha gente, de la banda ancha de la que dispone etc..etc.. Quizás comparado proxies muy transitados Tor funcione mejor pero no porque sus "servidores" sean mejores sino porque tiene muchos de ellos y elige rutas distintas cada vez que te conectas.. algo así como un balanceador de carga xD.




Se me olvido aclarar. La mayoría de las veces, se consigue identificar al emisor original no por fallos en la estructura del onion routing sino por el simple hecho de que dicho emisor enviaba datos personales de forma no segura a través de Tor.

Tor realmente no fue diseñado para proteger tus datos sino para proteger su procedencia. Si no los cifras ni utilizas otras medidas, conectarte a facebook a través de http con tu usuario real no es buena idea xD

En otras palabras: De nada sirve irte al fin del mundo para ocultarte si luego de llegar vas enviado cartas a todo el mundo dando tus datos personales y tu dirección xD

Saludos

Wickown

Dejaré esto por aquí y me retiraré lentamente...

http://foro.elhacker.net/noticias/iquestbuscabas_proteccion_tor_introdujo_malware_en_tu_ordenador-t424765.0.html

PD: Sé que no tiene mucho que ver con este tema, pero sólo es para informar a los que les interesa TOR y todo lo relacionado.

moikano→@

Una cosa quería preguntar.

Hace poco recopilé unos scripts que servian para pasar todo tu tráfico local por tor. Incluido el dns. En la misma página de tor explican como hacerlo en linux.

https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

Incluso con un Raspberry pi sería fácil hacer un router que vaya directamente todo con tor. Como el annonabox, que al final resulto ser un timo.

La pregunta es. En que se diferencia esto con tortilla? Aparte de que tortilla lleva su instalador y es para windows claro.