[e-privacy] Tor come mezzo per rubare password ?

Marco A. Calamari marcoc1 at dada.it
Tue Sep 11 13:24:24 CEST 2007 

Su Punto Informatico oggi appare una notizia interessante
 su intercettazioni di password realizzate (come sostiene
 l'articolista) tramite nodi Tor.

http://punto-informatico.it/p.aspx?i=2061642

L'articolo e' interessante e merita di essere letto ma
 riscopre l'acqua calda ed e' inutilmente, anzi dannosamente,
 anzi erroneamente, scandalistico, in un certo senso
 simile alla stampa alla "Novella 2000"

Da un punto di vista di news non ci sono novita';
 chi segue la lista Tor certo le ha gia' sentite tutte,
 e se ha avuto pazienza si e' anche letto i paper
 relativi.

Da un punto di vista tecnico non ci sono novita'.

L'attacco viene portato da nodo di uscita, ed e' possibile
 solo se:

1) si comunica in chiaro (http) che rende solo piu'
 produttivo un attacco gia' possibile sniffando sulla rete locale
 del server o sul suo upstream, permettendo di sniffare password
 e di controllare traffico come lo si puo' fare su un
 server web.

2) si comunica in https E si accetta un certificato
 compromesso con cui il nodo di uscita sta tentando
 di realizzare un attacco MitM. Solo chi non ha
 idea di come funzioni la Rete e Tor puo' trovarci
 qualcosa di nuovo.

Percio' niente panico, tutto normale come prima.

I coltelli affilati vanno usati tenendoli dalla
 parte del manico, altrimenti ci si puo' tagliare.

So be careful, as usual .....

Marco

-- 

+--------------- http://www.winstonsmith.info ---------------+
| il Progetto Winston Smith: scolleghiamo il Grande Fratello |
| the Winston Smith Project: unplug the Big Brother          |
| Marco A. Calamari marcoc at marcoc.it  http://www.marcoc.it   |
| DSS/DH:  8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B |
+ PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698 ----------+

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 307 bytes
Desc: This is a digitally signed message part
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20070911/faee2925/attachment.pgp>

More information about the E-privacy mailing list