[e-privacy] Privacy inviando email

[vecna]

barz040 at yahoo.it wrote:
> ovviamente non si fa in due click. Mi interessava più 
> che altro sapere se i vari mezzi portano allo stesso risultato
> o ce ne uno che da maggiori garanzie.


l'analisi completa la si dovrebbe fare avendo chiaro il contesto di
rischio. da quel che vedo io, la sicurezza nell'usare TOR+webmail e
torify+telnet è virtualmente la stessa.

dico cosi' perché in entrambi i casi tu sei anonimizzato tramite TOR e
poi ti affidi ad un servizio in chiaro per inviare una mail anonima, che
continua a viaggiare in chiaro.

almeno le webmail ti danno la possibilità di collegarti e rispondere,
mentre con telnet, oltre che a dover trovare un open relay fuori dalle
blacklist, dovrai collegarti con POP3/IMAP se vuoi usare lo stesso
sistema manuale per le risposte ?

di contro uleriore le webmail sono il punto non anonimo (e più
facilmente compromettibile) della tua catena, e pertanto, se mai tu
avessi come nemico un big evil player, potresti incappare in qualche
attacco attivo veicolato proprio da quell'elemento insicuro (le ricerche
piu' complete ed attuali a riguardo, le trovi sul sito di marco bonetti:
http://sid77.slackware.it/ ). un tipo di attacco che su un SMTP/IMAP non
potresti mai ricevere. (solo perché telnet è un client così scarno e
consolidato da potersi considerare *seriamente stabile*, ma in passato è
stato vulnerabile anche lui)


gli anonymous remailer per mia personale opinione sono:

. una tecnologia non piu' mantenuta
. in una rete non piu' mantenuta
. fruibile con dei client non mantenuti

e se non si creerà un'alternativa più sicura della combinazione
TOR+hushmail, quest'ultima sarà la sua evoluzione naturale per comodità
e facilità d'uso.


Gli aspetti di javascript e di componenti attivi rientrano tra i
problemi dell'elemento insicuro, nella tua catena di fiducia,
rappresentato dal server web. questa cosa è mitigata utilizzando un
browser one-time come Portable Tor, con cache, cookie e qualunque
componente ex-novo ad ogni avvio. l'ausilio di una macchina virtuale è
uno scrupolo ulteriore, che va a parare un genere di attacchi ai danni
del client web, è indubbio che sia una pratica paranoide utile, ma le
vulnerabilità client-side vengono risolte, (se non hai contro il big
evil player), con il costante aggiornamento.


ciao,
v

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 250 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20100308/6985afa0/attachment.pgp>