La versione su https://github.com/onionmail/onionmail non è aggiornata!
Visti i recenti attacchi per scoprire l'ogranigramma di OnionMail project da parte di alcune entità statunitensi, si preferisce seguire le specfiche del progetto Furamide.
In pratica l'accesso in scrittura del programma principale è permesso agli sviluppatori fidati.
Su github era possibile scoprire il momento in cui gli sviluppatori modificavano il software per attaccare i server di prova.
Le modifiche sul git esterno sono prese in considerazione ed eventualemnte integrate nel programma principale, questo per evitare backdoor e altra fuffa.
Il sorgente più aggiornato si torva su: github ed all'interno del pacchetto APT.
Quello futuro sul git interno. É scaricabile con tutto lo spazio sviluppatori dalla sezione download (aggiornato settimanalmente).
Se vuoi accedere chiedi.
Se vuoi ricopmpilare OnionMail, puoi farlo dai sorgenti che ci sono su github e su quelli del pacchetto.
Lo sviluppo di OnionMail 2 al momento è visibile solo agli sviluppatori interni. Questo perchè girano su rete tor dei server di test e si vuole impedire a NSA o chi per essi di interferire prima che la versione successiva sia pronta (vedi vicenta TorMX).
Con l'update della versione c'è l'update del repository ecc...
Questa politica di sviluppo è stata cambiata da ottobre 2015.
Di cosa hai bisongo per compilare OnionMail:
- Il codice sorgente. (Puoi trovarlo nella sezione download o sul pacchetto).
- JAVA
- Si consiglia di usare eclipse (Non è la scelta migliore, ma visto che abbiamo iniziato così...) .
- TOR (per configurare l'hidden service).
- Puoi richiedere l'attivazione di alice e bob, che sono i server di prova.
- Comunicaci gli hidden service che evitiamo di aggiungerli alla directory.
Parteciapre allo sviuppo:
Basta chiedere, la mail la trovi alla sezione contatti.Gruppi di lavoro:
- Se apri un nodo di entrata/uscita sul computer dove sviluppi, tieni conto di quanto scritto sopra.
- Usa il git interno, quindi chiedi utilizzando gli indirizzi nella sezione contatti.
- Non rinominare nulla. Chiedi lo facciamo noi.
- Puoi richiedere l'attivazione di alice e bob.
- OnionMail (Applicazione server).
- APT (Pacchetti, wizard lato server).
- TAILS Wizard
- Web (onionmail.info)
- Traduzioni
- SysOp (Se vuoi gestire un server).
- Test (Test, verifiche sicurezza).
- OnionMail Web (Sviluppo interfaccia web).
- Directory (OnionMail directory e progetti collaterali).
OnionMail provviene dal progetto InerNos sviluppato ai tempi come applicazione Android. Le librerie più antiche hanno una struttura un po strana rispetto al classico stile JAVA perchè sono state tradotte paro paro da un altro linguaggio e perchè InterNos tentava di offuscare il codice JAVA una volta compilato. Poi aveva delle pratiche molto strane come per esempio usare le eccezioni come nomrale sistema di eventi che terminavano i thread.Codaccio:
InterNos era un sistema p2p crittato con una sua rete che tra le altre cose supportava anche SMTP.
Oggi il core di InterNos è stato riscritto per produrre un progetto che al momento non è ancora pubblico. Si tratta forse del successore di OnionMail, oppure forse la storia farà in modo che sia qualcosa di diverso, oppure no, non lo vedremo mai.
Tuttavia alcuni nomi di membri sono stati tronchati perchè erano troppo lunghi. Ad esempio bytePoke è diventato semplicemente Poke (ispirato al vecchio C64).
Il supporto per la rete InterNos è stato rimosso il 23 ottobre del 2013. Da questo nasce il progetto OnionMail, che prende parte del codice sorgente da TORDnsLocalProxy, un programmino che permetteva di usare exim4 sia su tor che su Internet attraverso un proxy dinamico che era anche server DNS. Quest'ultimo era il primo arcaico sistema mail che poi in futuro sarebbe diventato OnionMail.
Tutte le funzioni MxAccuShifter ecc, che all'epoca erano multiplexerBytesAccumulatorAndShifter (meglio il nome attuale francamente), sono le stesse del protocollo InterNos, che funzionava attraverso lo scambio di messaggi crittografati. Oggi sono usate in OnionMail come salva e carica, mentre in InterNos si occupavano di crittare, multiplare, diversi array di byte in un messaggio singolo, con magic number e verifica crittografica.La rete:
(In OnionMail tutto questo è stato semplificato).
Alcuni noteranno alcune funzioni tipo file_get_bytes, e penseranno che siano ispirate a PHP (file_get_contents). In questo caso non si sbagliano.
Alcune parti di codice provvengono da altri linguaggi.
Il progetto è partico come esperimento, ma si è rivaleto di successo anche prima del previsto. Allo stato attuale è in lavorazione OnionMail 2 che dovrà essere il programma definitivo.
Il bootstrap della rete è andato abbastanza bene. Siamo partiti dal mes3hacklab con alice e bob, poi sono arrivati anche altri server. Dal hackmeeting 2014 è stata ufficialmente aperta la directory. (Non ha alcuna importanza per il funzionamento della rete è solo una lista di server).Gli attacchi, TorMX, quindi Furamide:
In poco tempo ne sono stati aperti circa 50. Altri non sono durati, altri sono rimasti. Ora ci sono circa una trentina di serve pubblici ed altrettanti di nascosti.
Dopo gli attacchi alla rete Tor, alcune agenzie di sicurezza americane tentavano di scannerizzare diversi server OnionMail (tramite TOR, tramite Internet su TorMX e OnionMail, i server di uscita).
Poveretti, ancora con shellshock, poodle, ecc... (gia testati, non funzionavano. OnionMail non usa OpenSSL).
Tant'è che alla fine su alcuni server è presentato il protocollo vulerabile SSL, ma se lo usi simula e chiama i sysop, gli amministratori di sistema.
La cosa divertente è accaduta così:
Vedendo l'indirizzo ip di un server exit di prova, hanno tentato di entrare in un computer di uno viluppatore, fatto prove ecc...
Peccato che era tutto loggato con un wireshark aperto perchè si stavano sviluppando dei protocolli sperimentali. Dico ma se fai degli attacchi, li devi proprio fare in faccia a qualcuno che ti logga e fa debug di tutto e ti sgamma in tempo reale???
LOL.
Dopo questo episodio si è pensato di usare una piccola modalità di paraculaggio, ispirata al progetto non pubblico Furamide:
Jeremy Bentham nel 1971 ipotizzava il Panopticon (un concetto, un carcere, un modello, un istituto psichiatrico). La cosa fu poi ripresa da Focoault. (Consiglio la lettura del libro "Sorvegliare e punire").
Dunque il Panopticon, tra le altre cose, apparentemente, si fonda sull'incertezza di essere sorvegliati. Così l'osservatore ottiene potere mentale sulla mente dei cracerati attraverso la strumentalizzazione della paura. Ma fa anche reverse sui carcerati attuando tecniche per l'esercizio del potere sui corpi docili. (Ecco per essere con OnionMail occorre sessere corpi opachi).
L'idea di Furamide è:Rendere il panopticon come un teatro dove tra i carcerati ci sono degli attori, creando nel sorvegliante l'incertezza che ciò che stà guardando sia una recitazione, creando così confusione nella mente del Grande Fratello come non era mai stato fatto prima.Quindi si arriva al git interno ed al git esterno. I server di prova passano attraverso NTU.
Quando TorMX è stato chiuso, è stato riaperto il giorno dopo come server di prova per gli attacchi. NTU girava tutto al vero server di debug. É stata un esperienza interessante.
Su Furamide si stanno sperimentando attività di invio e ricezione di messaggi email con PGP, dove p oppure q non sono primi ed i messaggi contengono dati sensibili oportunamente generati a caso.
Una piccola parte del progetto è stata anche implementata in OnionMail. Questa produce in RAM gli artefatti di OnionMail con chiavi del server, chiavi e pasword degli utenti, ecc... assolutamente plausibili e falsi.
Proteggere l'identità degli sviluppatori è una cosa che diventa importante. Quando codi su OnionMail cerca di non usare il tuo stile, credi di essere qualcunaltro. (Non esagerare come è stato fatto su InterNos).
