CIBERSEGURIDAD

Anonabox regresa en medio de la reacción de la comunidad

El controvertido proyecto de enrutador de hardware de anonimato anonabox regresó hoy en medio de una reacción mordaz de las comunidades más amplias de seguridad y anonimato.

Anteriormente, el proyecto se suspendió de Kickstarter después de que los expertos de la industria y los profanos desmentieran las afirmaciones de que el proyecto utilizaba hardware completamente personalizado. El proyecto ha resurgido en el sitio de crowdfunding. Indiegogo, donde hasta ahora ha recaudado más de $ 11,000.

Las afirmaciones hechas por la encarnación anterior del proyecto, que resultaron ser falsas, incluyeron: Una afirmación de que el proyecto se basaba en hardware 100% Open Source, que resultó no ser cierta cuando las placas utilizadas en las imágenes alojadas en el El sitio del proyecto se identificó como el mismo que una plataforma cerrada System-on-Chip ya disponible en el sitio de compras chino. Aliexpress por poco más de $ 20.

También hubo una afirmación adicional de que el proyecto se basó en un 100% de software de código abierto cuando el único «código fuente» publicado era una colección de archivos de configuración. Entre los pocos archivos de configuración proporcionados, se encontraron vulnerabilidades sustanciales, incluido un punto de acceso inalámbrico abierto sin cifrar y una contraseña predeterminada trivialmente descifrada en todos los dispositivos.

Otra afirmación fue que todo el tráfico que pasó a través del popular software de anonimato Tor fue desacreditado trivialmente al observar la configuración del firewall. Eso parecía estar mal implementado y permitió que pasara algo de tráfico.

Finalmente, hubo una afirmación ridícula de que todas las comunicaciones estaban encriptadas, considerada una afirmación ridícula ya que solo el tráfico enviado a través de Tor estaba encriptado, e incluso entonces solo en el momento de ingresar a Tor. El tráfico de usuarios todavía se enviaba a Tor utilizando una red inalámbrica abierta y sin cifrar por defecto, lo que la hacía menos segura que usar algo como el paquete de navegador Tor.

Cualquier dispositivo que use Tor para proporcionar anonimato enfrentará algunas limitaciones inherentes a su capacidad para proporcionar un anonimato genuino, algo que tanto Capa y Portal proyectos han considerado. En la versión del sitio web de anonabox en el momento de escribir este artículo, la página de características afirma que «esta es la forma más segura de usar Tor».

A lo largo de toda esta debacle, muchos investigadores y profesionales de la industria, incluido yo mismo, hemos opinado que los problemas con el proyecto anonabox pueden haber sido causados ​​por la falta de experiencia especializada en seguridad demostrada en proyectos similares como PORTAL, o la experiencia de adoptar un enfoque abierto como el proyecto Cloak.

Tras la suspensión del proyecto Kickstarter, el hecho de que esto haya resurgido en Indiegogo junto con los planes para lanzar el dispositivo a la venta de forma independiente sin participar o responder adecuadamente a la reacción de la comunidad solo conducirá a más acusaciones de que el equipo involucrado está llevando a cabo una estafa.

El exjefe de Tor e investigador de privacidad, Runa Sandvik, no está de acuerdo y confirma que el grupo de LinkedIn no era oficial cuando se muestra la cita anterior, dijo Runa a través de Gorjeo que: «August Germar vuelve a hacer afirmaciones falsas».

Al momento de escribir este artículo, una búsqueda en el foro tor.stackexchange.com no encontró evidencia de contribuciones de Germar.

Adrian Wade, del proyecto Cloak, se ofreció a «pagar los $ 51 que está pidiendo y ofrecerle públicamente un debate», mientras que el usuario de Twitter y reddit @htilonom dijo: «Tal vez sea para bien, la gente tiene que aprender a no confiar en las estafas».

Algunos miembros de la comunidad de seguridad en general han sido más severos en sus evaluaciones. El autodenominado entusiasta de los perros y rompedor de cosas @semibogan acusó al proyecto anonabox de ser «solo c * nts ladrones».

En el momento de redactar este artículo, el sitio web actual está dispuesto a impulsar sus credenciales de código abierto e incluso proporciona un enlace a una página para descargar el código, sin que se proporcione ningún paquete de código fuente real, por supuesto. Queda por ver si anonabox alcanzará o no sus objetivos de financiación.

Mientras tanto, la comunidad sin duda continuará desanimando a las personas para que apoyen este o proyectos similares.

Steve Lord es director técnico de Mandalorian

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
Cerrar