Author Topic: Public Beta: StealthNet 0.8.7.4  (Read 23819 times)

0 Members and 1 Guest are viewing this topic.

Offline jean-roger

  • Advanced
  • ***
  • Posts: 284
  • Karma: +10/-19
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #15 on: December 24, 2009, 01:54:18 PM »
Falsche Meldung beim Laden von SN 0.8.7.4 Beta
Erst seit ein paar Minuten und nicht seitdem diese Beta erschienen ist, bekomme ich beim Laden diese Meldung:
Une plus nouvelle version de StealthNet est disponible. Voulez-vous la télécharger ?
Eine neuere Version von StealthNet ist verfügbar. Möchten Sie diese downloaden ?

Im Log steht jedoch richtig:
15:50:37: StealthNet 0.8.7.4 BETA Anonymous File Sharing est démarré, établissement des connexions…
15:50:38: Mise à jour de la base de données de la recherche: 0 sur 0 entrées supprimées.
15:50:47: StealthNet 0.8.7.4 BETA Anonymous File Sharing will be closed
15:50:49: StealthNet 0.8.7.4 BETA Anonymous File Sharing has been closed


Wenn ich bejahe, komme ich auf die 0.8.7.3 mit http://www.stealthnet.de/fr_download.php

Ich habe alle Dateien im Stealthnet Verzeichnis nachgeprüft: alles ist in Ordnung. Also warum diese Meldung und warum erst heute !

An T.Norad : "Une plus nouvelle version de" ist grammatikalisch falsch, bitte durch "Une version plus récente de" ersetzen
« Last Edit: December 24, 2009, 03:11:15 PM by jean-roger »
Verbessertes Win98se und Winxp sp3 "Coccinelle"
Beide, separat, mit Framework 2.0.50727.42

Offline jean-roger

  • Advanced
  • ***
  • Posts: 284
  • Karma: +10/-19
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #16 on: December 25, 2009, 02:15:50 AM »
Diese sogenannte "neue" Version wurde auch heute gegen eins auf www.stealtnet.fr erwähnt. Ist es eine falsche Meldung oder wäre die 0.8.7.4 Finale (so früh) vor der Tür ?
Verbessertes Win98se und Winxp sp3 "Coccinelle"
Beide, separat, mit Framework 2.0.50727.42

Offline T.Norad

  • Elite
  • *****
  • Posts: 1625
  • Karma: +21/-1
  • StealthNet Developer
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #17 on: December 25, 2009, 07:12:44 AM »
Falsche Meldung beim Laden von SN 0.8.7.4 Beta
Erst seit ein paar Minuten und nicht seitdem diese Beta erschienen ist, bekomme ich beim Laden diese Meldung:
Une plus nouvelle version de StealthNet est disponible. Voulez-vous la télécharger ?
Eine neuere Version von StealthNet ist verfügbar. Möchten Sie diese downloaden ?

Im Log steht jedoch richtig:
15:50:37: StealthNet 0.8.7.4 BETA Anonymous File Sharing est démarré, établissement des connexions…
15:50:38: Mise à jour de la base de données de la recherche: 0 sur 0 entrées supprimées.
15:50:47: StealthNet 0.8.7.4 BETA Anonymous File Sharing will be closed
15:50:49: StealthNet 0.8.7.4 BETA Anonymous File Sharing has been closed


Wenn ich bejahe, komme ich auf die 0.8.7.3 mit http://www.stealthnet.de/fr_download.php

Ich habe alle Dateien im Stealthnet Verzeichnis nachgeprüft: alles ist in Ordnung. Also warum diese Meldung und warum erst heute !

An T.Norad : "Une plus nouvelle version de" ist grammatikalisch falsch, bitte durch "Une version plus récente de" ersetzen

Die Updatemeldung wird über bestimmte Einträge in einer Datenbank gesteuert. Diese Datenbank liegt bei Lars.
Dazu müsste also Lars etwas sagen können.
Die Zeit ist das Feuer in dem wir verbrennen.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: Public Beta: StealthNet 0.8.7.4
« Reply #18 on: December 25, 2009, 11:01:32 AM »
Ich war beim Aufräumen der genannten Datenbank etwas zu eifrig...

Die 0.8.7.4 BETA habe ich gleich mit raus gelöscht, deshalb kam diese Meldung. Kam, da ich den Eintrag wieder hinzugefügt habe.

Offline jean-roger

  • Advanced
  • ***
  • Posts: 284
  • Karma: +10/-19
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #19 on: December 25, 2009, 01:51:04 PM »
Lars und T.Norad, vielen Dank für eure Erklärungen !
Verbessertes Win98se und Winxp sp3 "Coccinelle"
Beide, separat, mit Framework 2.0.50727.42

Offline Mity

  • Regular
  • **
  • Posts: 45
  • Karma: +1/-2
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #20 on: December 25, 2009, 10:53:28 PM »
Das heißt Lars hat die alleinige Kontrolle über die Verteilung von Updates?
Könnte also theoretisch allen (die sich nicht vorher informieren und das Update einfach annehmen) eine nach seinen Wünschen veränderte 'neuere' Version 'unterschieben'?  ???

Offline ContractSlayer

  • Elite
  • *****
  • Posts: 605
  • Karma: +4/-0
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #21 on: December 25, 2009, 11:12:13 PM »
Posted by: Mity
Quote
Könnte also theoretisch allen (die sich nicht vorher informieren und das Update einfach annehmen) eine nach seinen Wünschen veränderte 'neuere' Version 'unterschieben'?
Was soll daran sein? Schließlich ist Lars derjenige, der das Rshare Netzwerk Programmiert hat. Außerdem muss man neu erscheinende StealthNet Version installieren. Bei einen Update-Meldung wird man auf die StealthNet Seite Verlinkt. Der Download sowie die Installation einer neueren Version musst du selber ausführen.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: Public Beta: StealthNet 0.8.7.4
« Reply #22 on: December 26, 2009, 01:43:36 PM »
Das heißt Lars hat die alleinige Kontrolle über die Verteilung von Updates?
Könnte also theoretisch allen (die sich nicht vorher informieren und das Update einfach annehmen) eine nach seinen Wünschen veränderte 'neuere' Version 'unterschieben'?  ???

Nein, ich habe nur die Kontrolle über die Update-Anzeige.

StealthNet zeigt daraufhin eine Hinweisbox an, die eine URL enthält, die ich nicht vorgeben kann, sondern die vom StealthNet-Client stammt.

Zugriff auf stealthnet.de, wo die neuen Versionen verbreitet werden, habe ich auch nicht. Mir gehört nur rshare.de.

Viele Grüße,

Lars

Offline Mity

  • Regular
  • **
  • Posts: 45
  • Karma: +1/-2
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #23 on: December 26, 2009, 10:26:11 PM »
Dann hätte also zumindest eine einzelne Person die 'Macht' Updates zu behindern  ???
Wer hat denn die Kontrolle über stealthnet.de? Könnte denn von da aus eine einzelne Person manipulierte Programmdateien verbreiten?

P.S.: Ich will hier niemandem die Absicht zu böswilligen Taten unterstellen, sondern möchte nur die Aufmerksamkeit auf andere Stellen als die sonst offensichtlichen und vielbedachten lenken, an denen Sicherheitsprobleme auftauchen könnten  :)

Offline Markus

  • Administrator
  • Elite
  • *****
  • Posts: 5740
  • Karma: +25/-8
    • View Profile
    • http://www.planetpeer.de
Re: Public Beta: StealthNet 0.8.7.4
« Reply #24 on: December 26, 2009, 11:01:28 PM »
Dann hätte also zumindest eine einzelne Person die 'Macht' Updates zu behindern  ???
Selbst wenn: Für was sollte das gut sein?

Quote
Wer hat denn die Kontrolle über stealthnet.de? Könnte denn von da aus eine einzelne Person manipulierte Programmdateien verbreiten?
Generell ist es bei Open Source-Projekten immer denkbar, daß ein beteiligter Entwickler schädlichen Code implementiert. Doch wozu sollte er das tun? Alle Entwickler, die sich momentan an der Weiterentwicklung von StealthNet beteiligen, sind schon etwas länger dabei, und jeder hat die Möglichkeit, sich den Sourcecode von StealthNet herunterzuladen und ihn auf eventuelle vorhandene Backdoors zu untersuchen. Davon mal abgesehen wäre ich in diesem Fall der Bösewicht, da ich neue produktive Builds erstelle und diese an das Team zum Testen weitergebe; T.Norad veröffentlicht dann diese neuen Builds auf stealthnet.de.

Wer uns nicht vertraut, sollte sich auch StealthNet nicht von der Homepage und den offiziellen Mirrors herunterladen - mehr kann und will ich dazu auch gar nicht sagen.
« Last Edit: December 26, 2009, 11:56:13 PM by Markus »


Cheers,
Markus

Offline xStream

  • Elite
  • *****
  • Posts: 320
  • Karma: +5/-0
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #25 on: December 26, 2009, 11:48:21 PM »
Gegenfrage: Erklär mir mal wie das anders gehen sollte!?

Offline Crunch

  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #26 on: December 27, 2009, 07:07:37 AM »
Thanks to dev for this release of SN :)

Offline snsnsnsn

  • Advanced
  • ***
  • Posts: 273
  • Karma: +10/-13
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #27 on: December 27, 2009, 07:40:21 AM »
Quote
Selbst wenn: Für was sollte das gut sein?

Ihr verharmlost existierende Probleme, vielleicht weil sie schon da waren ?  ;D

Bei JAP, einem Web-Anonymisierer, wurde der Betreiber durch das BKA angewiesen, eine Hintertür einzubauen. Diese wurde erst zufällig und viel zu spät gefunden.

Da wir immer wieder hören daß das Internet kein rechtsfreier Raum ist, dürfte klar sein, daß auch Schäuble ein bischen vorrausplant. Ein Netzwerk jetzt in der Entwicklungszeit dürfte am angreifbarsten sein. Die heutigen Fehler könnten ewig bleiben oder zumindest helfen die Programmierweise zu analysieren und somit in der Zukunft Aufschluß auf künftige Funktionen geben. Deswegen ist es warscheinlich daß sie schon an SN rumbasteln, denn anonyme Tauschbörsen sind der Tod der Demokratie.

Die Vorgehensweise ist folgende:
Wer Straftaten mit SN begeht wird immer die neueste Version benutzen. Am ersten Tag gibt es vielleicht 20 Updates, der Straftäter ist statistisch, oder nachweisbar, weil z.B. das neue Protokoll benutzt wird, darunter.
Nun wird der Betreiber der Webseite an diesem Tag angewiesen, das Programm mit dem Bundes- oder einem Wirtschaftstrojaner zu infizieren. Er muß es machen und hat höchste Schweigepflicht. Niemand erkennt es. Die 20 Unschuldigen interessieren nicht, zumal ja warscheienlich das Programm nur dann zurückpingt wenn der Dateiname X auf dem Rechner vorhanden ist. Nach ein paar Tagen wird die Version im Web vielleicht ausgetauscht aber dann ist es zu spät. Besonders in Deutschland in dem Stealthnet gehostet/besessen wird ist es am gefährlichsten weil nicht nur der deutsche Staat, sondern auch Aliierte wie z.B. USA beliebige Anweisungen an die Staatsanwaltschaft geben können.
Das verhindern von Updates könnte ebenfalls hilfreich sein wenn ein bestimmter Fehler "zu früh" beseitigt werden soll.

Lösung:
SN sollte wie bisher die Datei runterladen. Danach läd es von Stealthnet.de und einer ausländischen Webseite eine Textdatei mit der Prüfsumme herunter. Nur wenn beide Prüfsummen gleich sind ist das Programm echt, dies wird gemeldet. Um zu verhindern daß das Programm infiziert ist muß es also in 2 Ländern kompiliert werden. Also wie bisher in D und zur Kontrolle im Ausland. Beide Prüfsummen werden unabhängig ins Netz gestellt.
Um den Aufwand zu veringern wird kein neues Installerpaket installiert sondern nur die Programmdateien überkopiert. Diese Dateien erstellt ja jeder Entwickler in einem Durchlauf.
Der Aufwand ist bestimmt nicht zu groß, es gibt ja glaube ich auch ausländische Entwickler ? Aber ein irgendwann ganz sicherer eintretender Schaden kann so verhindert werden.

Offline xStream

  • Elite
  • *****
  • Posts: 320
  • Karma: +5/-0
    • View Profile
Re: Public Beta: StealthNet 0.8.7.4
« Reply #28 on: December 27, 2009, 11:30:41 AM »
FYI: Schäuble ist seit paar Monaten kein Innenminister mehr ;)

Also erstens bin ich mir ziemlich sicher, dass die Prüfsummen nach Compilevorgängen auf verschiedenen Rechnern unterschiedlich wären und ansonsten würde dein Modell auch wieder auf vertrauen uns gegenüber basieren. Die einzige Möglichkeit eine trojanerfreie Version von StealthNet zu bekommen ist den Code selbst zu reviewen und dann zu compilern. Wobei du das dann am besten mit Mono unter Linux machen solltest, denn .NET und Windows sind Closed Source und somit könnten da auch Trojaner eingebaut sein.. ich hoffe du merkst, dass du immer ein Stück Vertrauen entgegen bringen musst.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: Public Beta: StealthNet 0.8.7.4
« Reply #29 on: December 27, 2009, 12:51:06 PM »
Ich gehe auch davon aus, dass sich der Bundesfinanzminister nicht (mehr) für diese Dinge interessiert.

Weiterhin könnte man auf diese Art und Weise auch argumentieren, dass dir Linux und MONO auch nichts nützt. Vielleicht ist ja auch schon deine Hardware selbst mit einer entsprechenden Firmware ausgestattet, die deine Befürchtungen wahr werden lassen könnte.

Die heutige Hardware bietet da durchaus Spielräume. Gestern habe ich beispielsweise ein EFI-Update auf meinen Rechner geladen. Die Datei war 19 Megabytes groß! Da könnte man doch Vieles verstecken, oder etwa nicht?