Томас Уайт (Thomas White), управляющий кластером из 15 выходных узлов сети Tor, предупредил (http://permalink.gmane.org/gmane.network.tor.user/34619) сообщество о потере контроля над своей серверной инфраструктурой и блокировке учётной записи хостинг-провайдером. В один прекрасный момент все его серверы, размещённые у одного провайдера, перестали отвечать на запросы. Позднее некоторые из серверов были включены, но оказались недоступны по сети. В настоящее время все обслуживаемые кластером выходящие узлы выведены (http://article.gmane.org/gmane.network.tor.user/34625) из сети Tor и до окончания разбирательства помещены в черный список. На серверах также размещались зеркала некоторых скрытых сервисов Tor, которые были запущены в отдельных виртуальных машинах.
Судя по имеющимся логам, непосредственно перед выключением было зафиксировано подключение к серверам неизвестного USB-устройства и открытие корпуса серверов. Вначале у владельца кластера превалировало предположение, что его серверы отключены провайдером по требованию правоохранительных органов, но позднее данная гипотеза была признана (http://article.gmane.org/gmane.network.tor.user/34630) не такой вероятной, как казалось на первый взгляд.
Служба поддержки провайдера пока никак не прокомментировала возможность отключения по требованию правоохранительных органов, но подтвердила, что учётная запись была заблокирована после выявления факта неавторизированного доступа. Владелец кластера утверждает, что пользовался только защищённым каналом связи для управления серверами через KVM-консоль. Кроме того, это не объясняет причин, по которым было произведено открытие корпуса.Сообщается также, что зафиксирована очистка большой порции логов. После возобновления доступа к накопителям будет проведен детальный аудит системы на предмет возможного внесения закладок. Утверждается, что серверы были сконфигурированы с учётом всех рекомендаций по обеспечению безопасности узлов Tor, т.е. на серверах не хранились какие-либо привязанные к пользователям данные и опасности для компрометации пользователей сети Tor нет. Прекращение работы 15 выходных узлов никак не скажется на производительности сети Tor, так как всего в Tor более тысячи (http://torstatus.blutmagie.de/#Stats) выходных узлов.
URL: http://permalink.gmane.org/gmane.network.tor.user/34619
Новость: http://www.opennet.me/opennews/art.shtml?num=41319
Прикольно. Кому-то припекает от Тора. Надо размещать сервера в бункере с доступом по отпечаткам, никак иначе :-)
> Надо размещать сервера в бункере с доступомлучше без доступа... в интернет :)
одних отпечатков будет явно недостаточно ;)Можно ещё зонды в стратосферу выводить. Дешевле. Достать сложней.
"Бук" не согласен
Зависит от высоты, размеров сервера и прочего. Если пускать пачку микронод с вафлей или даже спутники как гугл - бук может и не достать, да и зело накладно получится. Хотя наверное прикольно потратить ракету за кучу деньжищ на 20-баксовую платку.
> Хотя наверное прикольно потратить ракету за кучу деньжищ на 20-баксовую платку."о, халявные мишени для проверки наших дронов с пиротехникой!" :]
> "о, халявные мишени для проверки наших дронов с пиротехникой!" :]С другой стороны "возможность заказать доставку фейерверков в любую точку за всего 20 баксов" неплохо смотрится с любой стороны, даже относительно тарифов почтовиков.
Ракете по сути пофигу во что попадать, т.к. "контрастность" этого чудо-куба да ещё и излучающего wifi немаленькая, попадать прицельно тоже не нужно, другое дело что дорого на такие ненужные вещи ракеты тратить, тренировки ради разве что, а вот в качестве мишеней для разрабатываемых лазерных установок вполне сойдут ;).Другое дело что эти кубики бесполезны будут для самой идее размещения, это да...
Если иметь в виду стоимость работы самого лазера и стоимость эксплуатации мобильного средства базирования цена уничтожения дешевеих стратосферников всегда будет на несколько порядков выше цены самих стратосферников. К тому же что бороться с ними будут государства увеличивает на еше 1-3 порядка стоимость самой борьбы (нормальный коефицент воровства для военной индустрии развитых стран).
> ещё и излучающего wifi немаленькая, попадать прицельно тоже не нужно, другое
> дело что дорого на такие ненужные вещи ракеты тратить, тренировки ради разве что,А еще получится нехилое поле для лайфхака вида "заказ мощной и дорогой ракеты в нужную точку - всего 20 баксов". При этом даже перехват упрвления не требуется - само прилетит куда надо :)
>> ещё и излучающего wifi немаленькая, попадать прицельно тоже не нужно, другое
>> дело что дорого на такие ненужные вещи ракеты тратить, тренировки ради разве что,
> А еще получится нехилое поле для лайфхака вида "заказ мощной и дорогой
> ракеты в нужную точку - всего 20 баксов". При этом даже
> перехват упрвления не требуется - само прилетит куда надо :)20 баксов да правда, пришлите адрес для заказа 10-ка на орбите, для экспериментов :)
> Ракете по сути пофигу во что попадать, т.к. "контрастность" этого чудо-куба да
> ещё и излучающего wifi немаленькая,Следует понимать что чудо-куб излучающий wi-fi нынче может иметь габарит меньше SD карточки. Какая там у него контрастность, говорите?
>> Ракете по сути пофигу во что попадать, т.к. "контрастность" этого чудо-куба да
>> ещё и излучающего wifi немаленькая,
> Следует понимать что чудо-куб излучающий wi-fi нынче может иметь габарит меньше SD
> карточки. Какая там у него контрастность, говорите?и сколько месяцев он такое может излучать, с мощностью достаточной что-бы его сигнал "WiFi" можно было использовать, особенно если учесть вышеозвученные цели ;). Тут как то пришлось поучаствовать в разработке одного (вроде как телекомуникационного) спутника для китайцев, немаленькая такая "штучка"
> "Бук" не согласенУничтожение серверов в этом деле не самое страшное, гораздо хуже когда кто-то получает доступ к информации, особенно скрытый. После всего этого инцидента я бы больше не стал пользоваться этими серверами.
Во-первых, гугль это и делает. А, во-вторых, это как журналистика: серьезный бизнес, богачи/корпорации дают большущие деньги, конечно же, не просто так, не для того, чтоб люди там занимались независимо тем, что им нравится. Те, кто выделят миллионы на сервера и технологии, поддержку - будут иметь некий БИЗНЕС-ПЛАН и расчеты на прибыль. Вероятно, ТОР производит какой-то продукт, с продажи которого они и получат эту прибыль? Нет. Тогда кто мог бы быть единственным заказчиком? Спецслужбы, больше к этом мире некому.
Секретарь Общественной палаты Александр Бречалов:
https://www.facebook.com/permalink.php?story_fbid=7576534943...
... 18 декабря Барак Обама подписал закон, по которому США выделит $60 млн на обеспечение нецензурируемого доступа в интернет в России и на поддержку российских медиа. ... В 2010 году фонд решил помочь Ливии, выделив $183,900 на развитие демократии. Что случилось через год? Революция. ...
чтой то как то дешего революция стоит
> чтой то как то дешего революция стоитТак дурное дело не хитрое. Ну печеньки ещё надо приплюсовать, но в принципе да, видимо не дорого. Как и бутылка водки, например. Тоже стоит не дорого, а зла от неё может быть несоразмерно её цене.
Скорее бы уже...
Сколько рекламы Тора... Не мытьём так катаньем.Кому-то так нужен Тор, что он содержит кластер из аж пятнадцати выходных нод (интересно, зачем) И так насолил кому-то, что до его невзламываемого кластера добрались. Выяснить физическое местоположение анонимного кластера вплоть до стоечки оказалось возможно :)
Предположу, что если известны имя и фамилия владельца/управляющего (а если еще и место проживания), выявить физическое местоположение кластера становится куда легче :)
Да. и наследил по полной, с отключением от сети и прочими плюшками, как первоклассник... Это прям шаблонная новость из западных СМИ. Походу действовал агент из Кремля. Обычно они пользуются урановыми заражениями несчастных жертв и прочими извращениями, "чтобы никто не догадался". Такая же нелепость.
И оставляют на месте преступления матрешки, балалайки и пустые бутылки с надписью Russian Vodka, очевидно же!
Дык и я об этом! Бред! Не стали бы так топорно делать.Да и если задуматься, бери - делай свои ноды и контролируй выход сколько влезет! Какого рожна понадобилось лезть к нему на сервера, да ещё и столько шума наделав? Только для рекламы.
> Да и если задуматься, бери - делай свои ноды и контролируй выход
> сколько влезет! Какого рожна понадобилось лезть к нему на сервера,За тем, что у него зеркалировались какие-то сайты и наверняка таки какие-то данные.
Тебя не смущает что это выходные ноды ?
Походу припекло не владельцу кластера :)
Господин, которому Вы ответили, знает достоверно, что найти IP выходной ноды тора абсолютно невозможно.
Это сарказм?
А чем это, блин, еще может быть на техническом-то ресурсе?
> А чем это, блин, еще может быть на техническом-то ресурсе?Это может быть просто безграмотным и необоснованным мнением, составленным на основании своей левой пятки и напетого Рабиновичем.
Таких заявлений навалом, даже на технических ресурсах.
А если учесть предыдущие реплики и тон сообщения?
> А если учесть предыдущие реплики и тон сообщения?Да, я виноват.
Точнее, во всём виновато моё косноязычие :) Я имел ввиду именно то, что серваки находились там, где "злоумышленникам" добраться до них оказалось легче чем хозяину. И то, чего я искренне не могу понять - зачем? Ради чего надо было искать физический доступ к серверам "пострадавшего"? Тор такой неприступный и закрытый? Создать свои подконтрольные ноды и рулить как захочется составляет какую-то проблему? У тех кому это нужно никаких проблем не возникнет с организацией такой сети.
Вот-вот, а ещё есть сборки Тора с дырявыми браузерами ;)
Очередной онолитек. Положение выходных нод никто и не скрывает, если что. Это и невозможно.
> Выяснить физическое местоположение анонимного кластера вплоть до
> стоечки оказалось возможно :)ви таки писатель, ви таки не имели ведеть шо речь таки про ВЫХОДНЫЕ сервера?
таки ужо поимейте напряжение мозга и поймите почему вы таки сказочный егупоп ...
> таки ужо поимейте напряжение мозгаон не может. то есть, может и рад был бы напрячь, да нечего.
шифровать ФС надо, тогда не будет закладок и ифу не достанут
И фс шифровать, если проц разрешает...
> шифровать ФС надо, тогда не будет закладокНе очень понятно как одно коррелирует с другим. И если что, имеючи доступ через бэкдор к системе с шифрованым диском - можно инфо с диска прочитать. ВНЕЗАПНО.
>непосредственно перед выключением было зафиксировано подключение к серверам неизвестного USB-устройствада, физический доступ большая брешь...
CONFIG_GRKERNSEC_DENYUSB = y
или даже
CONFIG_GRKERNSEC_DENYUSB_FORCE = y
для серверов в датацентрах теперь обязательно.
# CONFIG_USB is not set , только хардкор!
> # CONFIG_USB is not set , только хардкор!Да уж, отстрелив себе iKVM -- хардкору не убавишь.
>> # CONFIG_USB is not set , только хардкор!
> Да уж, отстрелив себе iKVM -- хардкору не убавишь.Насколько знаю KVMы работают без участия ОСи
>>> # CONFIG_USB is not set , только хардкор!
>> Да уж, отстрелив себе iKVM -- хардкору не убавишь.
> Насколько знаю KVMы работают без участия ОСиIPMI SP вывешивают виртуальные/проброшенные HID и сидюк через USB...
> IPMI SP вывешивают виртуальные/проброшенные HID и сидюк через USB...Весь этот IPMI для начала похож на один большой бэкдор. Ибо проприетарная фирмвара которая может дофига всего. И без исходников.
> Весь этот IPMI для начала похож на один большой бэкдор. Ибо проприетарная
> фирмвара которая может дофига всего. И без исходников.Скажем так -- если припрёт, я знаю, куда идти за железом, IPMI-фирмварь к которому делают люди, которым можно доверять. Но это совсем отдельный случай.
А толку-то? Раз флешка была воткнута перед выключением, значит использовалась для загрузки, монтирования дисков и просмотра их содержимого, тут только шифрование ФС поможет.
> А толку-то? Раз флешка была воткнута перед выключением, значит использовалась для загрузки,Там было "неизвестное устройство".
Как всунуть троян на флеху и дыры в протоколе USB обсуждали тут много раз.
> А толку-то? Раз флешка была воткнута перед выключением, значит использовалась для загрузки,
> монтирования дисков и просмотра их содержимого, тут только шифрование ФС поможет.Согласен.
Ну и что там можно увидеть? /boot отдельной партицией с initrd с фиксированной настройкой сети и запуском dropbear с известными хозяину (ну теперь уже не только) секретными ключами? При нормальной перезагрузке сервера (у нормального прова бывает очень редко) подключаемся, расшифровываем root, запускаем систему! (Вот как отличить нормальную перезагрузку от "ненормальной"? Это уже другая тема.)
И видать удаленное логгирование было настроено.
Эти спецы, видать, спаяли на коленках USB-подставу, и думали "ща воткнем и поедем"! А там видать гранаты не той системы оказалисЪ ;)Вот хостер теперь, как отмываться то должен? Это же "бабло, которое побуждает даже зло", но не человеческую (я бы так сказал (мягенько)) "глупость" :(
> А толку-то? Раз флешка была воткнута перед выключением, значит использовалась для загрузки,А прикинь - она могла использоваться и для прошивки немного пропатченного BIOS. Который немнонго пропатчивает операционку, например.
>> А толку-то? Раз флешка была воткнута перед выключением, значит использовалась для загрузки,
> А прикинь - она могла использоваться и для прошивки немного пропатченного BIOS.
> Который немнонго пропатчивает операционку, например.Он там уже стоит, флешка просто ключ активации ;)
> Он там уже стоит, флешка просто ключ активации ;)Я думаю что ключ активации можно и менее глупый придумать. Ну там magic packet например.
>> Он там уже стоит, флешка просто ключ активации ;)
> Я думаю что ключ активации можно и менее глупый придумать. Ну там
> magic packet например.нет смысла, вы думаете было желание "скрыть"? Так в таком случае лучшее решение - пожар...
паяльник берем и выпаиваем все с мамы ))
Начиная с сокета под проц.
А у меня на plus.google.com сегодня не заходит, причём гугл поиск работает, гугл мэил работает, да и вообще всё работает.
Неужели плюсач могли добавить в блок лист или опять проблема с DNS у прова, подскажите, плиз?
>проблема с DNS у прова?да.
>>проблема с DNS у прова?
> да.кстати, можно локальный кеширующий днс поднять, чтоб не париться с прововским. У них ДНСы почему-то всегда глючные. Или пропишите еще лучше себе как ДНС - общие, гуглевские там, ОпенДНСа и т.п.
А провайдеру это ничего попортить не может?
В локалке, до модема, другие компы есть ещё.
> А провайдеру это ничего попортить не может?Не должно. Если, конечно, вы не будете поднимать DHCP-сервер на интерфейсе к прову.
> В локалке, до модема, другие компы есть ещё.
Если они не будут прописывать себе в качестве DNS ваше сервак, они его даже не заметят. А если будут, то тоже вряд ли что-то изменится.
А на безопасности как отразится?
Серьезного импакта не вижу. Если, конечно, не указывать в качестве апстримного DNS непонятно чьи серваки.
пасиб
> кстати, можно локальный кеширующий днс поднять, чтоб не париться с прововским.или dnscrypt, например, использовать. а на провайдерские DNS возложить вялый.
По себе не меряйте в смысле "вялого" :D
Через Тор? А-ха-ха-ха-ха-а-а-а-а-а!!!! так вот для чего он нужен :)
Вас же предупреждали что будет атака на TOR. Вот она и случилась.
> Вас же предупреждали что будет атака на TOR. Вот она и случилась.Это не она. Читайте текст новости хоть чуть-чуть.
> Это не она. Читайте текст новости хоть чуть-чуть.Видимо сломать directory сервера не получилось - отжали 15 серверов. По принципу "не съем так понадкусываю".
nslookup plus.google.com 208.67.222.222
Server: 208.67.222.222
Address: 208.67.222.222#53Non-authoritative answer:
*** Can't find plus.google.com: No answer
OpenDNS многие банят, особо ОПСОСы
OpenDNS это вообще вполне себе коммерческая контора, несмотря на приставку Open. Лучше пользоваться бесплатными и (что самое важное) анонимными DNS-серверами от энтузиастов. Смотреть в сторону OpenNIC (обычные DNS) и DNSCrypt (зашифрованный канал связи с DNS-сервером, требующий установки спецсофта). Лично я давно уже на роутере поднял DNSCrypt.
А разве через DNScrypt прову не видно какие сайты посещает юзер? Не поможет ведь, заблочат
Да блин, в том то и непонятка, где трабл. Мой пров слишком мелкий заниматься такой травлей. Кеш-прокси собственный то же самое стал давать, почему и полез поглядеть, что где. Вообщем, ни OpenDNS, ни братский DNS в ростелекоме не сработал. Есть еще VPS в Голландии, но он недоступен (без объяснения причин и комментов ТП) уже 8 часов. Таким образом я потерял нить. Может что-то связано со сроком жизни записей. Подожду до завтра. Резольвят сей домен, по моим наблюдениям, только гугловские DNS. И вообще, все это не по теме... Простите за флуд.
Пока писал, трабл решился. Бес паники. Просто кто-то действительно время жизни попутал. А предлагаемых IPшников в ответе DNS стало в два раза больше. Гугл работал. Удалите, плиз, это неконструктивное обсуждение.
> Да блин, в том то и непонятка, где трабл. Мой пров слишком мелкий заниматься такой травлей.traceroute смотри, может выше стоящие.
>[оверквотинг удален]
> почему и полез поглядеть, что где. Вообщем, ни OpenDNS, ни братский
> DNS в ростелекоме не сработал. Есть еще VPS в Голландии, но
> он недоступен (без объяснения причин и комментов ТП) уже 8 часов.
> Таким образом я потерял нить. Может что-то связано со сроком жизни
> записей. Подожду до завтра. Резольвят сей домен, по моим наблюдениям, только
> гугловские DNS. И вообще, все это не по теме... Простите за
> флуд.
> Пока писал, трабл решился. Бес паники. Просто кто-то действительно время жизни попутал.
> А предлагаемых IPшников в ответе DNS стало в два раза больше.
> Гугл работал. Удалите, плиз, это неконструктивное обсуждение.А TorDNS заюзать?
имхо, всякие мутным махинации с выходными нодами происходят намного чаще (раз в десять), просто в остальных случаях этого никто не замечает
Вскрыли корпус, а логи почистить забыли. Вангую: уборщица задела провода и разлила воду на стойку, открыла чтоб протереть, потом админ заметил и воткнул сетевой кабель на место.
А флешку зачем втыкать?
видать уборщица и на диске убиралась, у неё на флешке метла, совок и тряпка с мистером пропером.
> видать уборщица и на диске убиралась, у неё на флешке метла, совок
> и тряпка с мистером пропером."Ишь, нагадють тут своим логами! Места свободного от них нет!"
ХЗ. При возможности сначала вытащить питание и вытащить диски...
Может это был аппаратный троян (badflash или как там)
- баб Мань, а вы в серверной убирались?
- да, милок, убиралась в серверной в хлам...
> Вскрыли корпус, а логи почистить забыли.Если не поленились смотреть реакцию на chassis intrusion, то уж логи явно складывали не [только] локально. Причём это разумная, полезная и на удивление пренебрегаемая практика.
загружаться не хотелось
Необходимо было создать md5 список всех файлов на сервере. После того как систему "скомпрометировали" - сверить старый и новый списки. Найти все новые или измененные файлы - как два пальца!
>Необходимо было создать md5 список всех файлов на сервере. После того как систему "скомпрометировали" - сверить старый и новый списки. Найти все новые или измененные файлы - как два пальца!про 2 пальца
http://xakep.ru/2013/10/13/md5-hack/
ну по сша-1 и т.д. вы уж сами погуглите, ладно?
А какое отношение это имеет к данной теме? Слышали звон...
>А какое отношение это имеет к данной теме? Слышали звон...К теме самое отдаленное. К вашим же необоснованным надеждам на возможность надежной проверки неизменности файлов по контрольным суммам самое прямое, естественно.
> Необходимо было создать md5 список всех файлов на сервере. После того как
> систему "скомпрометировали" - сверить старый и новый списки. Найти все новые
> или измененные файлы - как два пальца!как хорошо, что ты, со своим-то умищем, не админ.
вас так и будут подрачивать торовцы, пока не одумаетесь.
Над freenet никак нельзя получить контроль, потому что
инфа находится по настоящему везде и нигде.
Или всё проще, - кто-то с какой-то целью хочет скомпрометировать хостинг-провайдера...
да не, просто все зайдут по ссылке.
а там - варианты вида: 1. "мы вас посчитали". 2. эксплорит/буткит/APT. 3. кговавые империалистический убийцы прийдут к вам домой и убьют вашую собаку, сьедят рыбок и раскажут вам про чудеса systemd.
Это навряд ли. Пройти в дата-центр незамеченным - из ряда шпионских боевиков. Это их рук дело. Очень сложно отказать спецслужбам если им что-то очень нужно. А убеждать они умеют. Все еще сомневаетесь? Паяльник в ж* еще никто не отменял! Даже в обычном МВД могут дать "лишку". Но тут вас может спасти высокий социальный статус. С спецслужбами картина иная. Если вы привлекли их интерес - нечего хорошего не жди. Деанонимизация - это такой приз ради которого пойдут на все!
> Это навряд ли. Пройти в дата-центр незамеченным - из ряда шпионских боевиков.
> Это их рук дело. Очень сложно отказать спецслужбам если им что-то
> очень нужно. А убеждать они умеют. Все еще сомневаетесь? Паяльник в
> ж* еще никто не отменял! Даже в обычном МВД могут дать
> "лишку". Но тут вас может спасти высокий социальный статус. С спецслужбами
> картина иная. Если вы привлекли их интерес - нечего хорошего не
> жди. Деанонимизация - это такой приз ради которого пойдут на все!Причём есть много способов и более "гуманных", всё же пытки если и применяются системно, это совсем крайняя мера.
Ваша правда. Обычно можно просто договориться. Пытки - для особо упертых личностей. Так или иначе, но они получат то что им нужно.
> Так или иначе, но они получат то что им нужно.Для того чтобы применять пытки - надо, очевидно, знать к кому их применять. А вот в этом кандидаты на их применение обычно не заинтересованы и стараются всячески увильнуть.
А повально пытать все 6 миллиардов получается как-то излишне ресурсоемко.
> Деанонимизация - это такой приз ради которого пойдут на все!надо им было про телефонный справочник рассказать. а то Томас так надёжно спрятался…
Для полноты картины только "козла отпущения" и не хватает. Но и он скоро появится.