Toegang tot Facebook voor Tor-gebruikers
Facebook lanceert speciaal voor gebruikers van het anonieme Tor-netwerk een verborgen dienst. Via https://facebookcorewwwi.onion is het mogelijk direct met de datacenters van het sociale netwerk te communiceren.
Dat laat software-engineer Alec Muffett weten in een blogpost. “Facebooks onion-adres is een manier om toegang te krijgen tot ons sociale netwerk via Tor zonder de cryptografische bescherming kwijt te raken die de Tor-cloud biedt”, zegt hij.
[related_article id=”161920″]
SSL
Een van de bijzonderheden aan het ontwerp van Facebook is het gebruik van SSL via Tor. “We hebben besloten SSL te implementeren na overwegingen over de structuur. Zo gebruiken we bijvoorbeeld de Tor-daemon als omgekeerde proxy in een loadbalancer, en verkeer op Facebook heeft daarvoor de bescherming van SSL nodig”, gaat Muffett verder.
“Daarom verstrekken we een SSL-certificaat op basis van ons onion-adres. Dit mechanisme verwijdert de "SSL-certificaatwaarschuwing" in de Tor-browser voor dat specifieke adres. Het verhoogt tevens het vertrouwen dat de dienst echt door Facebook wordt aangeboden.”
Publieke sleutel
Gezien de manier hoe URL"s voor de verborgen diensten van Tor worden geconfigureerd, zijn er zorgen ontstaan over de manier hoe Facebook tot de publieke sleutel van zestien karakters is gekomen. De angst bestaat dat het sociale netwerk dit ook kan doen voor andere verborgen diensten.
Tor-projectleider Roger Dingledale beweert het tegendeel. “Ik heb daar met Facebook over gesproken”, legt hij uit. “Het korte antwoord is dat ze slechts op zoek zijn gegaan naar de eerste helft ("facebook"). Dat deel is slechts 40 bits. Daarom is het mogelijk om sleutels te blijven genereren waarvan de eerste 40 bits overeenkomen met de string die jij wil.”
“Nadat ze een aantal namen hadden gegenereerd die startten met "facebook", hebben ze gekeken naar de tweede helft. Uit alle mogelijkheden hebben ze de naam gekeken die het beste te onthouden is. Dat is "facebookcorewwi" geworden.” Muffett bevestigt dat het gegaan is zoals Dingledale beweert. Hij stelt daarbij dat Facebook “enorm veel geluk” heeft gehad.
Problemen
Hoewel Tor voornamelijk gebruikt wordt voor veiligheid, bescherming en anonimiteit, kent het netwerk een paar beveiligingsproblemen de laatste tijd. Eerder dit jaar waarschuwde het anonieme netwerk zijn gebruikers dat een aanvaller zes maanden lang geprobeerd heeft het verkeer te ontcijferen.
Vorige week werd tevens onthuld dat een kwaadaardige exitnode, een brug tussen het Tor-netwerk en het internet, was gevonden. Het zat verstopt in een Windows-executable, ontworpen om malware te verspreiden.
Facebook lanceert speciaal voor gebruikers van het anonieme Tor-netwerk een verborgen dienst. Via https://facebookcorewwwi.onion is het mogelijk direct met de datacenters van het sociale netwerk te communiceren.
Dat laat software-engineer Alec Muffett weten in een blogpost. “Facebooks onion-adres is een manier om toegang te krijgen tot ons sociale netwerk via Tor zonder de cryptografische bescherming kwijt te raken die de Tor-cloud biedt”, zegt hij.
[related_article id=”161920″]
SSL
Een van de bijzonderheden aan het ontwerp van Facebook is het gebruik van SSL via Tor. “We hebben besloten SSL te implementeren na overwegingen over de structuur. Zo gebruiken we bijvoorbeeld de Tor-daemon als omgekeerde proxy in een loadbalancer, en verkeer op Facebook heeft daarvoor de bescherming van SSL nodig”, gaat Muffett verder.
“Daarom verstrekken we een SSL-certificaat op basis van ons onion-adres. Dit mechanisme verwijdert de "SSL-certificaatwaarschuwing" in de Tor-browser voor dat specifieke adres. Het verhoogt tevens het vertrouwen dat de dienst echt door Facebook wordt aangeboden.”
Publieke sleutel
Gezien de manier hoe URL"s voor de verborgen diensten van Tor worden geconfigureerd, zijn er zorgen ontstaan over de manier hoe Facebook tot de publieke sleutel van zestien karakters is gekomen. De angst bestaat dat het sociale netwerk dit ook kan doen voor andere verborgen diensten.
Tor-projectleider Roger Dingledale beweert het tegendeel. “Ik heb daar met Facebook over gesproken”, legt hij uit. “Het korte antwoord is dat ze slechts op zoek zijn gegaan naar de eerste helft ("facebook"). Dat deel is slechts 40 bits. Daarom is het mogelijk om sleutels te blijven genereren waarvan de eerste 40 bits overeenkomen met de string die jij wil.”
“Nadat ze een aantal namen hadden gegenereerd die startten met "facebook", hebben ze gekeken naar de tweede helft. Uit alle mogelijkheden hebben ze de naam gekeken die het beste te onthouden is. Dat is "facebookcorewwi" geworden.” Muffett bevestigt dat het gegaan is zoals Dingledale beweert. Hij stelt daarbij dat Facebook “enorm veel geluk” heeft gehad.
Problemen
Hoewel Tor voornamelijk gebruikt wordt voor veiligheid, bescherming en anonimiteit, kent het netwerk een paar beveiligingsproblemen de laatste tijd. Eerder dit jaar waarschuwde het anonieme netwerk zijn gebruikers dat een aanvaller zes maanden lang geprobeerd heeft het verkeer te ontcijferen.
Vorige week werd tevens onthuld dat een kwaadaardige exitnode, een brug tussen het Tor-netwerk en het internet, was gevonden. Het zat verstopt in een Windows-executable, ontworpen om malware te verspreiden.