Lesetipps: Julian Assange, Tor systemweit nutzen, hackende Journalisten

Kommentare zu folgendem Beitrag: Lesetipps: Julian Assange, Tor systemweit nutzen, hackende Journalisten

Thema: Funktioniert AnonSurf unter Windows ohne Probleme?

  • JA !!

Ich hatte es auf meinem Win 10 Laptop schon länger über zwei VMs von Parrot und Kali in Nutzung! Auf dem Windows selber hab ich es mal Spasses halber installiert…zuerst ging die Installation nicht 100%ig, irgendwann klappte es aber doch…nur die Funktion liess zu Wünschen übrig - entweder startete AnonSurf erst gar nicht oder es hängte sich beim Start auf…! Habs aber zuletzt hinbekommen! Und zwar lags bei mir daran, dass eine der vorhandenen Netzwerkschnittstellen als „TAP Windows Adapter V9“ konfiguriert war. Dieser Adapter wird bei der Installation von VPN-Clientsoftware angelegt :wink:
Nachdem dieser Adapter deinstalliert wurde, funktionierte AnonSurf ohne weiteres!! Was mich auch eigentlich nicht verwundert hat, denn letztendlich verwendet das Prog zwischen dem ganzen Python-Geschisse auch nur die bekannte TOR.exe, wie das TOR Browser-Bunde auch… :ok_hand:

1 „Gefällt mir“

Super, danke für deine schnelle Rückmeldung. :upside_down_face:

Wow. Ich befürworte ja normalerweise alles, was die Nutzung von guter Krypto für „Normalos“ leichter macht. Aber AnonSurf bereitet mir wirklich Bauchschmerzen.

Das hier ist schonmal absolutes No-Go:

function ip {

echo -e „\nMy ip is:\n“
sleep 1
curl „http://myexternalip.com/raw“ # Had a few issues with FrozenBox giving me the >wrong IP address
echo -e „\n\n----------------------------------------------------------------------“

Srsly, um die eigene externe IP abzufragen wird eine Clearnet-Verbindung zu einer zentralen Autorität aufgebaut? Sozusagen ein „Ping, hier bin ich, planloser Tor-Noob! Exploitet mich!!11“facepalm

Registrant Organization: http://ipinfo.io
Registrant State/Province: California
Registrant Country: US (!!!)

Domainregistrar von ipinfo.io wird mittels Briefkastenfirmadienstleister verschleiert. Voll vertrauenswürdig…

Wer jetzt dachte, das sieht schon sehr zwielichtig aus, für den habe ich gute Neuigkeiten! ipinfo.io hat eine eigene App bei Android. Komplett ranzig, letztes Update 2017. Greift GPS-Daten, Netzwerkbasierte Standortbestimmung, Mobilfunkzelleninfo und Hostname ab. Was kann da schon schief gehen??!!11

Herausgeber ist eine „IDB LLC“, Entwickler von so nützlichen Helfern wie Zip Code (selbe Perms):

Just launch the app to find out what your current zip code is!
We currently cover zip codes for the whole of the US. International postcodes coming soon.

Für die NSA ist das einfach zu schlecht. Wer mag also dahinterstecken? Das FBI? Wieauchimmer, das in AnonSurf einzubauen ist ein Totalschaden.

Eigentlich wollte ich mich noch darüber auslassen, dass AnonSurf nur Security Theater macht und bspw. das Überschreiben des Speicherinhalts keinesfalls garantiert ist.

Ich würde selbst ohne ipinfo-gate stark davon abraten. Am Ende fühlt man sich damit vielleicht sicher, aber hat das Gegenteil erreicht.

Der Tor Daemon kann von Haus aus als SOCKS5, HTTP und Transparenter Proxy fungieren und außerdem auch DNS-Anfragen beantworten. Allen Outbound Traffic darauf umzuleiten ist ein Einzeiler in iptables. Ta-Dah, Feature-Parität!

Nebenbermerkung: Wow, ich sehe gerade, das AnonSurf-Skript hantiert da mit unverschlüsselten Public Resolvern von privateinternetaccess…

Ab in die Tonne damit!

Fake Edit: wer die bei AnonSurf angepriesenen Features braucht, sollte der Einfachheit halber zu Tails greifen. Habe momentan ein Projekt am Laufen, dass in eine ähnliche Richtung geht - Mission „starke Anonymität für Normalos ermöglichen“. Werde hier posten sobald was spruchreif ist.

Meine Antwort bezog sich ja nunmal lediglich darauf, ob das Prog unter Win ebenfalls läuft - nicht mehr und nicht weniger!!

Im Übrigen fragt das Tool die eigene IP nur ab, um bei einem Stop von AnonSurf, die ursprüngliche IP-Konfiguration wieder herstellen zu können.
Das original „AnonSurf“ ist eine Entwicklung von ParrotSec…
Anonsurf ist ein Skript, das Ihren gesamten Systemverkehr durch das Tor-Netzwerk leitet. Es hilft dabei, die Identität zu verbergen, indem es unter dem TOR-Proxy durch IP-Tables getunnelt wird. Das Skript enthält Sources sowohl der Anonsurf- als auch der Pandora-Pakete von ParrotSec kombiniert in einem.

Pandora überschreibt automatisch den RAM-Speicher, wenn das System heruntergefahren wird. Pandora kann auch manuell ausgeführt werden.
Dadurch wird der gesamte System-Cache gelöscht, einschließlich aktiver SSH-Tunnel oder Sitzungen.

Das ist nicht annähernd vergleichbar mit einem echten amnesischen OS wie Tails.

Hier die glorreiche Lösung von ParrotSec:

function bomb {
echo „starting Parrot Pandora’s box "
sleep 5
echo „Pandora is dropping caches“
echo 1024 > /proc/sys/vm/min_free_kbytes
echo 3 > /proc/sys/vm/drop_caches
echo 1 > /proc/sys/vm/oom_kill_allocating_task
echo 1 > /proc/sys/vm/overcommit_memory
echo 0 > /proc/sys/vm/oom_dump_tasks
echo „Pandora is bombing RAM“
sdmem -fllv
echo " - RAM bombed“
echo „closing Parrot Pandora’s box“
}

Boah ist das cringy! „RAM BOMBED!!!11“
Noch peinlicher wird es, wenn man sich anschaut, wie „sicher“ sdmem, das (völlig unbekannte) Userspace-Tool dem du hier so blind vertrauen magst, alles sauber zu löschen, in Wahrheit ist…

The wipe algorythm is based on the paper “Secure Deletion of Data from Magnetic and Solid-State Memory” presented at the 6th Usenix Security Symposium by Peter Gutmann, one of the leading civilian cryptographers.

Ja, das Paper kennen wir wohl alle. Das war immerhin die Grundlage für den DOD-Standard zum Sicheren Überschreiben von Magnetdatenträgern (s. DBAN)[1]…
Wie nah an der Realität ist denn dieser Algorithmus? Nun, äh… da Paper ist 1996 geschrieben worden. Aber seitdem hat sich ja an der x86-Architektur oder dem Persistenzverhalten volatilen Speichers nix weltbewegendes geändert!!11

Man beachte, dass das Parrot"Sec"-Skript die getane arbeit auch nicht überprüft. Hey, Caches gedroppt, mehr kann maa eh nicht machen!

Lies bitte mal, wie man es richtig macht und überdenke dann deine Position zu AnonSurf evtl. nochmal :slight_smile:

[1] Spoiler: der tatsächliche DOD-Standard für Sicheres Löschen besteht im Shreddern der Platten mit festgelegter Partikelhöchstgröße

Und gerne nochmal…darum gehts in meiner Antwort doch nicht ! Natürlich kannst du gerne alles auseinanderpflücken, was Parrot betrifft bzw. was dann dein Tails besser macht. Bringt uns leider kein Stück in diesem Thema weiter…
Das eine bestimmte Distri es halt anders und eventuell sogar besser macht, als eine weitere Distribution, liegt doch einfach in der Natur der Sache an sich!
Im Übrigen ging es hier doch nur um das Tool AnonSurf und nicht um eine komplette Live-Linux Distribution mit ihren Funktionen - alleine deshalb bist du wohl etwas über das Ziel hinausgeschossen!
Den Vorgang, den ich mir unter https://tails.boum.org/contribute/design/memory_erasure/ anschauen sollte, ist doch Tails vorbehalten und erklärt doch nur, wie es sich selber in gewissen Situationen aus dem RAM herauslöscht bzw. die Prozesse ebenfalls dort löscht, die es selber initiiert hat im Vorfeld!

Nö, wie im Text bei Tails schon zu lesen, ist das ein Linux-Kernel-Feature. Parrotsec hätte das auch implementieren können, wenn sie mal das Handbuch gelesen hätten…

Mein Punkt ist, dass AnonSurf/Pandora halbgare Bastellösungen sind, denen man nicht seine Sicherheit anvertrauen sollte.

Wer sich wirkungsvoll gegen Cold Boot-Angriffe schützen muss, der sollte auf gar keinen Fall zu auf 24 Jahre alter Informatiktheorie basierender, ungetesteter Bastel-Technik greifen. Denn die Gutmann-Methode ist nicht nur nicht mehr zeitgemäß, sie ist hier überhaupt gar nicht anwendbar. Zum einen, da sie für Magnetspeicher konzipiert wurde, zum anderen da KASLR das „Überschreiben mit Random“ aus dem Userspace heraus völlig ad absurdum führt. Im Übrigen prinzipiell der selbe Grund warum man SSDs nur mit einem ATA secure erase sauber bekommt und nicht mit DBAN, doch ich schweife ab…

Wer Sicherheit gegen Clearnet-Leaks benötigt, sollte auf gar keinen Fall zu einem „Privacy“-Tool greifen, das die eigene Anwesenheit sogar noch freiwillig via Clearnet an den Blockwart meldet. Die korrekte technische Lösung für das Problem heitßt Isolating Proxy und kommt ohne logisch vom Client getrennten Router nicht aus.

Ich pflücke das deswegen so auseinander, weil m.M.n. nichts gefährlicher ist, als ein trügerisches Sicherheitsgefühl. AnonSurf/Pandora hat m.M.n. nach keinen seriösen Use Case. Es ist Security Theater.

Bitte nicht produktiv einsetzen!

Ich habe den Einsatz von Parrot (inkl. AnonSurf) nun mal auf einem ESXI-Host nachgestellt. Und zwar mit einer VM, in der Parrot ausschließlich als reines Live-System lief. Sowie eine VM mit fest installiertem Parrot OS. Eine dritte VM diente optional als Gateway.
Auf einem zweiten Host habe ich den vCenter Server sowie zum Monitoring den PRTG Netzwerk-Monitor eingerichtet. Lange Rede…
Ich habe in keinem Szenario, ob mit oder ohne GW, im Live-Modus sowie im fest installierten System, über PRTG feststellen können, dass sich AnonSurf im Augenblick des Starts oder kurz danach, irgendwo ins Clearnet verbunden hätte, außer zu check.torproject.org zum IP-Check! Im Gegenteil…sobald es gestartet wurde, wurde auch sämtliche Kommunikation anderer Progs deaktiviert und die zugehörigen Programme und Tasks wurden gekillt. Die Verbindung zu „privateinternetaccess“ wird zur Auswahl des Namespace genutzt, zum Bspl. ob über typische DNS oder auch HNS Systeme oder sogar über ein openNIC System aufgelöst wird. PIA ist Anbieter des Handshake Naming System, welches auf Blockchain-Technology basiert!
Unter den Gesichtspunkten kann ich beim besten Willen AnonSurf nicht als Bastelei oder als dein propagiertes „Security Theater“ bestätigen!
In meinem Szenario scheint die AnonSurf CLI aber zu funktionieren, es läuft genauso ab, wie im Code beschrieben!

function checkIP {
Get current public IP address and isConnectToTor status
DATA=curl --socks5 localhost:9050 --socks5-hostname localhost:9050 -s https://check.torproject.org/
if [ „$DATA“ != „“ ]; then
IP=echo $DATA | grep -E -o "<strong>(\S+)</strong>" | sed -e 's/<[^>]*>//g'
echo -e „${GREEN}You are connecting to Tor network\nYour IP is $IP${RESETCOLOR}“
notify „You are connecting to Tor network\nYour IP is $IP“ „security-high“
else
IP=curl -s https://check.torproject.org/ | grep -E -o "<strong>(\S+)</strong>" | sed -e 's/<[^>]*>//g'
if [ „$IP“ == „“ ]; then
echo -e „${RED}Can’t connect to internet\nPlease check your settings${RESETCOLOR}“
else
echo -e „${BLUE}You are not connecting to Tor network\nYour IP is $IP${RESETCOLOR}“
notify „You are not connecting to Tor network\nYour IP is $IP“ „security-medium“
fi
fi
}