16.9.13

Computing eavesdropping probability on an "Ideal" TOR network

First of all, consider this TOR network as an "ideal" one (http://en.wikipedia.org/wiki/Ideal_gas)

We know agencies (e.g. NSA) run a number of both rely and exit nodes of the TOR network and is not very difficult to understand the reason :)
Number of running total nodes nodes(R) and exit nodes(E) is freely available[1].
Default number of hops (h) randomically chosen  inside TOR network is equal to 3: 2 (h-1) relay nodes and 1 exit node.



Unique paths ($N$) between a Tor client (Alice) and a chosen destination(Bob) is given by the number of combination[2] of $h$ distinct elements of set $R$ multiplying the number of exit nodes, minus those chains where is present the same exit nodes more than once:


$N = \dbinom{R}{h-1}E - \dbinom{R-1}{h-2}E$


in this case $h \ll R$ so we could apply the approximation: 

$for\ n \ll k: \dbinom{n}{k} \approx \frac{n^k}{k!} $


thus:

$N = \dbinom{R}{h-1}E - \dbinom{R-1}{h-2}E \approx \frac{R^{h-1}}{(h-1)!}E - o(R^{h-1})$

$N \approx \frac{R^{h-1}}{(h-1)!}E$

At the time of writing these values are:

$R = 4202$

$E = 934 $

assume:


$h = 3 $


We can easily find the N value


$N = \dbinom{4202}{2}934 - \dbinom{4201}{1}934 \approx \frac{4202^2}{2!} \cdot 934 \approx 8 \cdot 10^{9} $


We know an "ideal TOR network" is a strong tool for anonymization, and even if some of the nodes we’re using are compromised we could feel quite safe. Obviously, in case the entire path is compromised every recipient: sender, destination and payload of the session is no longer secret. Let’s calculate the probability a connection over TOR is fully eavesdropped by controlling due a full compromised chain:


By definition probability($p$) of an event is given by:


$p = \frac{Number\ of\ Favorable\ Outcomes}{Total\ Number\ of\ Possible\ Outcomes} $


in this case $p$ is given by the ratio between the number of possible unsafe chains($N_c$) and the total number of possible chains($N$).


$p = \frac{N_c}{N} \approx \frac{R_c^{h-1}}{R^{h-1}}\cdot\frac{E_c}{E} = \left (\frac{R_c}{R} \right )^{h-1}\cdot\left (\frac{E_c}{E} \right )$

where $N_c$ and $E_c$ are respectly the numbers of compromised relay and exit nodes.

let's call ratios $\frac{Rc}{R}$ and $\frac{Ec}{E}$ respectly $Q_R$ and $Q_E$ and here it is our simple and beautiful equation:


$\boldsymbol{p = Q_R^{h-1}\cdot Q_E}$


It is worth calculating the "best strategy" in deploying malicios nodes in order to maximize $p$:
$p \approx \frac{R_c^{h-1}}{R^{h-1}}\cdot\frac{E_c}{E} $

the number of "evil" nodes to be deployed is $R_c$ both relay and exit nodes: $E_c$ is a subset of $R_c$.

$E_c = R_c \cdot z$


where $z$ is the ratio between relaying nodes and exit nodes.

$p \approx \frac{R_c^{h-1}}{R^{h-1}}\cdot\frac{R_c \cdot z}{E} ; 0 \le z \le 1$
$p(z) \approx \frac{R_c^{h} \cdot z}{R^{h-1} \cdot E}$

it's trivial to find maximum value of $p(z)$ is at $z=1$, in other words when all the to-be-deployed nodes are setted as exit nodes.
Once achieved this piece of information let's calculate how many new nodes must be deployed in a TOR network in order to gain a given probability of fully eavesdrop someone.


the previous formulas could be rewritten in function of "evil nodes"($R_c$) and due to the previous result these nodes will be all exit nodes ($z=1; R_c=E_c$):

$p(R_c) \approx \frac{R_c^h}{(R+R_c)^{h-1} \cdot (E+R_c)}$

and rewrite this in term of normalized $R_c$ :

$X = \frac{R_c}{R} ; R_c = R \cdot X$
$p(X) \approx \frac{(R \cdot X)^h}{(R+R \cdot X)^{h-1} \cdot (E+R \cdot X)}$

here is a plot of the formula above:



x-axis represents how many "evil" exit nodes has been deployed versus the "good" nodes;
for instance: if it has been deployed 2000 "evil" nodes and there are 1000 "good" nodes already deployed the corresponding value on x-axis  is 2 (2000/1000).

The graph shows clearly must be deployed a large number of evil exit nodes in order to have a reasonable probability to eavesdrop someone.
In order to have a 50% of chance to eavesdrop someone must be deployed a number a of evil nodes greater about four times the number of "good" exit nodes or taking control of 4/5 of the total exit nodes...

Conclusions

TOR is a great tool for anonymity, and its power comes from its distributed nature.
This short paper is merely a mathematical analysis of an "ideal TOR Network", a simplified network model useful to show some important properties of it.
Probability of being eavesdropped on a TOR network is dependent of number of compromised nodes:


$\boldsymbol{p = Q_R^{h-1}\cdot Q_E}$

next, the "optimous" strategy in deploying "evil" nodes in order to maximize $p$ is to configure them all as exit nodes

$p \approx \frac{R_c^{h}}{R^{h-1} \cdot E}$
this result is as trivial as interesting:
in order to maximize efforts to find "evil" nodes, looking for them among exit nodes would be a good strategy too.


The last consideration should convince us deploying new "evil" nodes in order to eavesdrop someone isn't a good strategy at all.
Let's consider the "at the time of writing" number of exit nodes in the real TOR network:
$E = 934$

a potential attacker, in order to gain 50% probability to eavesdrop someone, needs to deploy about 4000 own nodes, or compromise about 750 "good" nodes.
If I was the attacker I would keep a low profile and invest resources and time in a good strategy aimed to compromise "good" nodes and not, actually, in a baroque, expensive and noisy nodes mass deploying.




[1] e.g. http://torstatus.blutmagie.de/

13.8.13

Può essere tutto pubblico?

Lo ammetto, provocare mi piace, provocare un dibattito, una discussione, un dissenso  nell'epoca dei contenuti premasticati e predigeriti scrivere qualcosa di provocatorio può perfino sembrare rivoluzionario.
Non vuole questa essere una dissertazione alta fra ciò che è il bene ed il male, tale discussione va lasciata a benpensanti e religiosi tanto sarebbe la tipica discussione nella quale è il relativismo a far da padrone e non altro.

Mi interrogo da tempo su cosa sia e a cosa porti il fenomeno del whisteblowing, di cosa ha comportato Assange con Wikileaks e l'ultimo caso in ordine temporale dal caso Snowden.
Ripeto, non è lo scopo di queste righe giudicare l'operato di costoro, ma stiamo ai fatti: entrambi hanno reso pubblico qualcosa che non era destinato ad esserlo.
Wikileaks per primo portò alla luce migliaia di documenti riservati, molti dei quali con nomi e cognomi di persone coinvolte in operazioni segrete in territori pericolosi, altri con commenti riservati di varie diplomazie riguardanti singoli politici o governi stranieri.
La politica è l'arte del dire e del non dire. Un politico che mente è un pessimo politico ma un politico che omette una verità è a volte destinato a divenire uno statista.

Il punto centrale del mio interrogativo è: “può essere tutto pubblico?”

La risposta è complessa, verrebbe da dire che la sua complessità è inversamente proporzionale alla sua lunghezza.
Può un gruppo dirigente, un capo di stato, un presidente, o chiunque abbia un ruolo di responsabilità permettersi di divulgare tutto?
E' davvero un atto di grande responsabilità pubblica divulgare qualunque interlocutorio, accordo o informazione?
Fin dove si può arrivare e quanto oggettivo può essere il metro di giudizio per scegliere ciò che può essere pubblico e ciò che non lo è?

La storia della seconda guerra mondiale ci ricorda che l'esito di quella guerra non è mai stato scontato. L'incubo nazista era un incubo vero, l'Europa era praticamente crollata, l'Unione Sovietica resisteva ad alcuni degli assedi più terribili dell'epoca moderna, Parigi capitolava di fronte all'avanzata nazista. la Gran Bretagna rimane l'ultimo straccio d'Europa non occupato, ma anche in quel caso la situazione non è rosea.
La popolazione britannica è stremata, l'impegno profuso nel fronteggiare l'avanzata nazista ha ridotto l’Inghilterra in ginocchio. Gli alti vertici del governo sapevano, e oggi lo sappiamo per certo, che l'invasione nazista era imminente e il manifesto "Keep calm and carry on"[1] è una testimonianza di quella, non recondita, possibilità.
La seconda guerra mondiale però è il contesto dove per la prima volta l'informatica, anzi la teoria dell'informazione, cambia la storia. C'è un nome, noto ai più che leggeranno queste righe, Alan Turing. Matematico, informatico, diciamo un hacker ante litteram e d è proprio per questo motivo che lo chiamo in causa. Di Alan Turing è ben noto il contributo, dal punto di vista strategico, che diede alla Gran Bretagna grazie al suo lavoro di decodifica del codice enigma.
Tale vantaggio strategico per ovvie ragioni non fu divulgato. Lo stesso Churchill pur sapendo dell'imminente attacco della città di Coventry non fece predisporre alcunché al fine di preservare tale vantaggio, questa scelta costò la vita a 1.236 persone, non possiamo sapere come sarebbe andata la storia se si fosse sacrificato quel segreto per salvare più di mille persone..
Lo stesso Turing lavorò nel segreto più totale, e di quello che risultò essere il più grande attacco crittoanalitico della storia se ne seppe qualcosa solo dopo la fine della guerra. In quella circostanza in gioco c'era la responsabilità di un primo ministro non solo di fronte al suo popolo, ma di fronte alla storia.
La storia non si fa con i se, ma non è errato dire che all'esito della seconda guerra mondiale e la caduta del Reich contribuiscono l'operato di un hacker come Turing, un primo ministro e di un segreto.

La storia è disseminata di segreti, come segreti sono tutti gli incontri fra USA e URSS che durante la guerra fredda hanno sempre impedito l'escalation nucleare. Come segreto, ma ormai storicamente accettato, è stato l’accordo fra USA e URSS per porre fine alla dittatura di Ceausescu in Romania, accordo segreto perché non sarebbe mai stato accettato dal popolo americano e quello russo, uno perché convinto anticomunista e quindi posizionato su posizioni antisovietiche e antisocialiste, l'atro perché la dittatura bulgara ufficialmente era nel solco del socialismo e quindi "vicina" all'URSS.
La storia è andata diversamente. Ceausescu e la moglie, gli artefici di una delle più folli e atroci dittature della storia, furono catturati e fucilati; sarebbe accaduto se di quegli incontri, in primis Ceausescu, ne fosse venuto a conoscenza?

L'elenco sarebbe lungo, ma bastano pochi esempi per porsi di fronte ad un dubbio, è sacrificabile la verità di fronte ad un benessere generale? E qual è la misura? Ritengo che la misura oggettiva non possa esistere e tutto è in mano a chi in quel momento ha l'onere della responsabilità; non è definibile responsabilità pubblicare tutto e ascoltare il parere di un popolo impaurito; se durante la crisi dei missili di Cuba il popolo americano fosse stato interpellato sul da farsi, avrebbe quasi all'unanimità chiesto di nuclearizzare la Russia.

Torniamo all'oggi, Assange, Snowden e altri, persone che sicuramente hanno avuto coraggio, sacrificando la propria libertà per la verità. Ma fin dove è possibile spingersi? Sono felice che il progetto PRISM sia oggi di dominio pubblico, ma quanti documenti, fra quelli rilasciati pubblicamente, hanno minato i fragili rapporti diplomatici fra potenze mondiali? Siamo in un mondo che non è prono alla pace e una relazione diplomatica rappresenta un punto di stabilità per tutti.

I concetti assoluti, come le misure esatte, hanno probabilità nulla di essere corretti. Un consistente pezzo della mia cultura proviene dal grande, sfaccettato, indefinibile mondo della subcultura informatica, e ringrazio questo mondo di avermi insegnato che non c'è il bene e il male, che i confini fra questi sono evanescenti e che esiste una grande differenza fra etica e morale, l’hacker è libero ed essere liberi non coincide sempre con l’essere moralmente integri o eticamente corretti. La libertà ha il costo della fallibilità, del non rispondere al metro comune di valutazione delle azioni e quindi nemmeno alla legge, ma nessuno ha mai avuto ne’ la pretesa ne’ il desiderio di rinunciare a quella libertà per guadagnarsi il proprio ruolo nella società, però questa è materia già affrontata in altri anni, basterebbe rileggere il manifesto di The Mentor [2].
L’hacktivismo da questo punto mi terrorizza, nonostamte lo reputi una grande conquista, nasce su un postulato tanto assoluto quanto debole, ovvero quello di utilizzare il proprio essere hacker per "nobili fini": la difesa dei diritti umani, la libera circolazione delle informazioni ecc ecc, ma in più conia un termine per definire il sottoinsieme di un mondo che della sua eterogeneità faceva la propria forza. Volendo essere ortodossi, però, in questo mondo socialmente accettato dell’hacktivismo c’è certamente un posto per Assange e Snowden, ma non c'è affatto per Turing, che tutto fece fuorché divulgare informazioni, anzi collaborò con un governo in guerra e indirettamente fu complice di un evitabile massacro. 
  
I princìpi assoluti non mi appassionano, pertanto  la domanda posta all’inizio, tanto breve quanto complessa: “può essere tutto pubblico?” non ha motivo di essere posta e per tale motivo la risposta è semplicemente: “no”.
Da qui mi permetto di derivare un’altra considerazione riguardo coloro che affermano che il mondo sarebbe un luogo migliore se tutto fosse pubblico, anche di fronte a tale asserzione la risposta è “no”.

Per cambiare il mondo occorre compiere delle scelte e la proposizione “tutto deve essere pubblico” non prevede una scelta, bensì prevede una procedura … e le procedure cari amici le lascio ai burocrati, gli hacker fanno ben altro.



7.3.11

mac vs DOS (Umberto Eco)

MAC vs DOS


Non si è mai riflettuto abbastanza sulla nuova lotta di religione che sta sotterraneamente modificando il mondo contemporaneo.

Il fatto è che ormai il mondo si divide tra utenti del computer Macintosh e utenti dei computer compatibili col sistema operativo Ms-Dos. È mia profonda persuasione che il Macintosh sia cattolico e il Dos protestante. Anzi, il Macintosh è cattolico controriformista, e risente della "ratio studiorum" dei gesuiti. È festoso, amichevole, conciliante, dice al fedele come deve procedere passo per passo per raggiungere - se non il regno dei cieli - il momento della stampa finale del documento. È catechistico, l'essenza della rivelazione è risolta in formule comprensibili e in icone sontuose. Tutti hanno diritto alla salvezza.

Il Dos è protestante, addirittura calvinista. Prevede una libera interpretazione delle scritture, chiede decisioni personali e sofferte, impone una ermeneutica sottile, dà per scontato che la salvezza non è alla portata di tutti. Per fare funzionare il sistema si richiedono atti personali di interpretazione dei programma: lontano dalla comunità barocca dei festanti, l'utente è chiuso nella solitudine dei proprio rovello interiore.


Mi si obietterà che, col passaggio a Windows, l'universo del Dos si è avvicinato alla tolleranza controriformistica del Macintosh. È vero: Windows rappresenta uno scisma di tipo anglicano, grandi cerimonie nella cattedrale, ma possibilità di subitanei ritorni al Dos per modificare un sacco di cose in base a bizzarre decisioni: in fin dei conti si può conferire il sacerdozio anche alle donne e ai gay.

Naturalmente cattolicesimo e protestantesimo dei due sistemi non hanno nulla a che fare con le posizioni culturali e religiose degli utenti. Ho scoperto un giorno che il severo e tormentato Fortini usa il Macintosh, cose da non credere. Però c'è da chiedersi se alla lontana, col tempo e con le nespole, l'uso di un sistema piuttosto che l'altro non porti anche a profonde modificazioni interiori. Davvero si può usare il Dos e tifare per la Vandea? E inoltre: Céline avrebbe scritto con Word, Word Perfect o Wordstar? Cartesio avrebbe programmato in Pascal?

È il linguaggio macchina, che decide al di sotto del destino di entrambí i sistemi o ambienti che dir si voglia? Eh, quello è veterotestamentario, talmudico e cabalistico. Ahi, sempre la lobby ebraica...

Umberto Eco (1994)


Questa Bustina è di sei anni fa. Nel frattempo le cose sono cambiate. I vari releases hanno portato Windows 95 e 98 a diventare decisamente cattolico-tridentini, insieme a Mac. La fiaccola del protestantesimo è passata nelle mani di Linux. Ma l'opposizione rimane valida. (1999)

6.11.08

5 novembre

Remember, Remember
The fifth of November,
The gunpowder treason and plot.
I know of no reason
Why the gunpowder treason
Should ever be forgot.

14.8.08

FASCISMO reloaded

Indignato, e come dicevano i saggi l'idignazione è l'ira di dio... quindi sacra per definizione

riporto testualmente:

"

Fascist state censors Pirate Bay

We're quite used to fascist countries not allowing freedom of speech. A lot of smaller nations that have dictators decide to block our site since we can help spread information that could be harmful to the dictators.

This time it's Italy. They suffer from a really bad background as one of the IFPIs was formed in Italy during the fascist years and now they have a fascist leader in the country, Silvio Berlusconi. Berlusconi is also the most powerful person in Italian media owning a lot of companies that compete with The Pirate Bay and he would like to stay that way - so one of his lackeys, Giancarlo Mancusi, ordered a shutdown of our domain name and IP in Italy to make it hard to not support Berlusconis empire.

We have had fights previously in Italy, recently with our successful art installation where we had to storm Fortezza in order to get our art done. And as usual, we won. We will also win this time.

We have already changed IP for the website - that makes it work for half the ISPs again. And we want you all to inform your italian friends to switch their DNS to OpenDNS so they can bypass their ISPs filters. This will also let them bypass the other filters installed by the Italian government, as a bonus. And for the meanwhile - http://labaia.org works (La Baia means The Bay in Italian).

And please, everybody should also contact their ISP and tell them that this is not OK and that the ISPs should appeal. We don't want a censored internet! And the war starts here..."


Tempi bui, tempi bui...

5.8.08

Random



presa ovviamente dal geniale:
http://xkcd.com/

ciauuuuuuuuuuuuu