I&#39;ve heard some discussion and rumors on this and I find some of the things I&#39;m hearing. Some of these include:<br>- Tor has become compromised (!)<br>- People are being advised to set up secure proxies all using the same key<br>
- Many strange things about what (all) you need to do to remain safe<br><br>It concerns me that the proxy people may be dismissing other solutions due to the large amount of press they have enjoyed from the outset and would seek to maintain that sense of importance. It would be tragic if that press turned ugly because of their inexperience.<br>
<br>Christie<br clear="all">--- <br> Disrupting paradigms since 1967<br>
<br><br><div class="gmail_quote">On Fri, Jun 26, 2009 at 1:09 PM, Ian <span dir="ltr">&lt;<a href="mailto:ian@slumbrparty.com">ian@slumbrparty.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
jake,<br>
<br>
thanks for your well constructed response. i agree with you that tor<br>
is the superior technology in terms of anonymity. although i dont know<br>
the details of this, is it possible for iran to block ips/ports so<br>
that iranian citizens cannot use tor? i would imagine there was a<br>
reason why they would ask for proxies in addition to tor. it could<br>
also be hard for some people to get the tor client software.<br>
<br>
whatever the reason, i hear you on all the complications of one-hop<br>
proxies. i was thinking that they would be ssl and no logs be kept on<br>
the server. it is, however, a high-risk proposal which is why i asked<br>
for everyone&#39;s input.<br>
<br>
thanks,<br>
<font color="#888888"><br>
ian<br>
</font><div><div></div><div class="h5"><br>
On Fri, Jun 26, 2009 at 12:53 PM, Jacob Appelbaum&lt;<a href="mailto:jacob@appelbaum.net">jacob@appelbaum.net</a>&gt; wrote:<br>
&gt; Hi,<br>
&gt;<br>
&gt; (A disclaimer: I am of course a Tor developer (<br>
&gt; <a href="http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29" target="_blank">http://en.wikipedia.org/wiki/Tor_(anonymity_network)</a> ) - I have been<br>
&gt; working on access and censorship circumvention for many years. This is<br>
&gt; an important issue for me but I generally don&#39;t bring this type of stuff<br>
&gt; to Noisebridge-discuss.)<br>
&gt;<br>
&gt; Ian wrote:<br>
&gt;&gt; do we have the bw to setup a squid proxy for <a href="http://nedanet.org" target="_blank">http://nedanet.org</a> ? it<br>
&gt;&gt; is &quot;a network of hackers formed to support the democratic revolution<br>
&gt;&gt; in Iran. Our mission is to help the Iranian people by setting up<br>
&gt;&gt; networks of proxy severs, anonymizers, and any other appropriate<br>
&gt;&gt; technologies that can enable them to communicate and organize  a<br>
&gt;&gt; network beyond the censorship or control of the Iranian regime.&quot;<br>
&gt;&gt;<br>
&gt;<br>
&gt; A few Noisebridge people have been slightly involved with the nedanet<br>
&gt; people, I&#39;m one of them but just barely. Largely, I&#39;ve been hanging in<br>
&gt; their IRC channel and helping people to setup Tor. This has gone pretty<br>
&gt; well. Many users have setup Tor servers and bridges to add capacity to<br>
&gt; the network. Additionally lots of people in Iran are using Tor as a client:<br>
&gt; <a href="https://blog.torproject.org/blog/measuring-tor-and-iran" target="_blank">https://blog.torproject.org/blog/measuring-tor-and-iran</a><br>
&gt;<br>
&gt; Why am I suggesting/promoting/hacking on Tor over http proxies?<br>
&gt;<br>
&gt; I don&#39;t think it&#39;s a good idea to setup squid proxies, it&#39;s dangerous<br>
&gt; for *everyone* involved (more on that later) and pretty difficult to do<br>
&gt; properly.<br>
&gt;<br>
&gt; Using Tor in Iran works at the moment with and *without* bridges (<br>
&gt; <a href="https://www.torproject.org/bridges.html" target="_blank">https://www.torproject.org/bridges.html</a> ). If Iran attempts to block<br>
&gt; Tor, they&#39;re in an arms race that they&#39;re unprepared to fight.<br>
&gt;<br>
&gt; Good news, Noisebridge runs more than one Tor server and has done so for<br>
&gt; quite some time! This is totally unrelated to Iran too, so it&#39;s pretty<br>
&gt; reasonable for a pending 501c3 as far as I understand the possible legal<br>
&gt; issues facing our non-profit. Here&#39;s our disclaimer page:<br>
&gt; <a href="http://tor.noisebridge.net/" target="_blank">http://tor.noisebridge.net/</a><br>
&gt;<br>
&gt; Here are two of the nodes (<a href="http://noisebridge.net" target="_blank">noisebridge.net</a> and at 83c proper):<br>
&gt; <a href="http://torstatus.kgprog.com/router_detail.php?FP=3100a70862157e5f9136b6aaeb7571745d4dc055" target="_blank">http://torstatus.kgprog.com/router_detail.php?FP=3100a70862157e5f9136b6aaeb7571745d4dc055</a><br>
&gt; <a href="http://torstatus.kgprog.com/router_detail.php?FP=5d4883662b9443aa1c4efad1f04399e9b4b7d7ac" target="_blank">http://torstatus.kgprog.com/router_detail.php?FP=5d4883662b9443aa1c4efad1f04399e9b4b7d7ac</a><br>
&gt;<br>
&gt;&gt; also, are there legal implications that we should be aware of with<br>
&gt;&gt; associating this with noisebridge? (i have no idea)<br>
&gt;&gt;<br>
&gt;<br>
&gt; I would strongly suggest not setting up one hop http (squid or<br>
&gt; otherwise) proxies. They&#39;re likely dangerous for everyone involved. At<br>
&gt; the very least:<br>
&gt; A single operator (say Noisebridge) can see all of the data<br>
&gt; A single operator can identify all of the parties involved<br>
&gt; A single operator can be easily blocked<br>
&gt;<br>
&gt;&gt; anywho, they are #irantech on freenode and the config file for the<br>
&gt;&gt; squid proxy is at <a href="http://nedanet.org/squid.html" target="_blank">http://nedanet.org/squid.html</a><br>
&gt;&gt;<br>
&gt;&gt; if can have access and such. i am willing to set this up. i just dont<br>
&gt;&gt; have access or the blessing of NB.<br>
&gt;&gt;<br>
&gt;<br>
&gt; I think running an open squid proxy is probably fine sometimes. In the<br>
&gt; case of Iran, I think it&#39;s an irresponsible action that may lead to<br>
&gt; serious consequences for users in Iran. I&#39;ve heard rumors of data<br>
&gt; recording and of course punishment. Using a such proxy (especially as<br>
&gt; suggested by nedanet people without SSL) is just ripe for recording and<br>
&gt; later open for data analysis. There *is* a real issue of police<br>
&gt; repression, serious violence and (as in the case of Neda) outright<br>
&gt; murder. Help offer secure options for users. Giving one or two people a<br>
&gt; list of all single hop proxies (as is the past and current NedaNet plan)<br>
&gt; is a *really* bad idea. It creates lists and links between *everyone*<br>
&gt; involved.<br>
&gt;<br>
&gt; Many of the people involved in Nedanet seem to be working on<br>
&gt; circumvention issues for the first time. Many of them have so far missed<br>
&gt; out on some important developments in the field of circumvention,<br>
&gt; anonymity and privacy. They haven&#39;t really thought out long term<br>
&gt; consequences of some of their choices; perhaps their bets will pay off,<br>
&gt; if not, who&#39;s left holding the bag? Likely it&#39;s the people in Iran and<br>
&gt; those people will probably be in serious trouble.<br>
&gt;<br>
&gt; Part of why I advocate for Tor is that we&#39;ve been thinking long and hard<br>
&gt; about these specific issues (though not for Iran per se). The Tor<br>
&gt; project imperfect but we&#39;re orders of magnitude better than an open http<br>
&gt; proxy. Especially one that is specifically setup to help people in Iran<br>
&gt; as opposed to a shared anonymity network where users are all blending in<br>
&gt; together.<br>
&gt;<br>
&gt; It&#39;s trivial to setup a Tor server or a bridge and I highly suggest that<br>
&gt; you do:<br>
&gt; <a href="http://www.torproject.org/docs/tor-doc-relay.html" target="_blank">http://www.torproject.org/docs/tor-doc-relay.html</a><br>
&gt; <a href="https://www.torproject.org/bridges.html#RunningABridge" target="_blank">https://www.torproject.org/bridges.html#RunningABridge</a><br>
&gt; <a href="https://wiki.torproject.org/noreply/TheOnionRouter/TorFAQ" target="_blank">https://wiki.torproject.org/noreply/TheOnionRouter/TorFAQ</a><br>
&gt;<br>
&gt; This is also a nice GUI centric walk through:<br>
&gt; <a href="https://www.sesawe.net/Setting-up-a-Tor-Bridge.html" target="_blank">https://www.sesawe.net/Setting-up-a-Tor-Bridge.html</a><br>
&gt;<br>
&gt; It&#39;s easy to rate limit Tor too, so your network isn&#39;t destroyed by<br>
&gt; helping others. Generally, the network heals itself (so you can turn it<br>
&gt; off without leaving users hanging with dead links, etc) and it&#39;s<br>
&gt; generally designed to keep your risk as a relay operator at the level<br>
&gt; you they configure.<br>
&gt;<br>
&gt; There are lots of places in the world with filtering, outright blocking,<br>
&gt; monitoring and other major real world dangers for users. If you&#39;re<br>
&gt; interested in helping those users - please jump in!<br>
&gt;<br>
&gt; Best,<br>
&gt; Jake<br>
&gt;<br>
_______________________________________________<br>
Noisebridge-discuss mailing list<br>
<a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
</div></div></blockquote></div><br>