Известная сеть для анонимизации трафика Tor (https://www.torproject.org/), программное обеспечение для которой распространяется в исходных текстах под свободной лицензией, подверглась (https://blog.torproject.org/blog/tor-project-infrastructure-...) взлому. В инфраструктуре проекта злоумышленники получили контроль над двумя из семи серверов директорий и над сервером накопления статистики metrics.torproject.org. После обнаружения факта вторжения администраторы проекта, вывели пораженные машины из сети и выполнили полную переустановку программного обеспечения, вместе с обновлением идентификационных ключей.
На одном из взломанных хостов находились GIT и SVN репозитории проекта. Предварительный анализ активности злоумышленников показал, что они успели только настроить вход по SSH ключам и использовали захваченные серверы, имеющие высокоскоростное соединение с сетью, для организации атаки на другие хосты. Никаких следов подстановки данных в репозитории исходных текстов Tor не зафикс...URL: https://blog.torproject.org/blog/tor-project-infrastructure-...
Новость: http://www.opennet.me/opennews/art.shtml?num=25117
Интересно, только сегодня все переустановил!
> над двумя из семи серверов директорийЦентрализованные сервера директорий - зло по определению. Слишком лакомые мишени.
Более того - стоит понимать что оператор TOR Exit Node может видеть все что вы шлете. И поэтому если он решит заграбастать ваш пассворд от кульной аси или ваш красивый мыльник - ну извините пожалуйста. С другой стороны трафф так или иначе проходит по не особо доверяемой территории и на самом деле протоколы просто должны это учитывать.
Помнится несколько лет назад кто-то организовал Exit Node с целью проверки количества пересылаемой учетной информации в открытом виде. В итоге попались аккаунты каких-то членов из правительства или что-то в этом роде...
> Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.Это "by design". Просто надо понимать, что Tor только позволяет обеспечить анонимность (скрыть источник данных). Сами даные при этом не защищены от просмотра или подмены. Tor имеет смысл использовать с протоколами, которые сами обеспечивают такую защиту: https, например.
>или подмены. Tor имеет смысл использовать с протоколами, которые сами обеспечивают
>такую защиту: https, например.не поможет, http://www.opennet.me/opennews/art.shtml?num=20390
Так там проблема не в https, а в пользователях. Надо быть идиотом, чтобы посылать пароли в открытую через Tor.
Была вот, кстати, когда-то история:
http://www.wired.com/politics/security/news/2007/09/embassy_...
>не поможет, http://www.opennet.me/opennews/art.shtml?num=20390Не принимается. В случае пар закрытый-открытый ключ, в случае заблаговременного безопасного обмена этими парами "всё будет хорошо". Например.
Тор интересен анонимизацией. На Кубе, например, или в Китае, читать и слушать по радио мировые новости и изучать историю... В ТОР имхо интереснее всего сокрытие "кто передавал", а не "что передавал".
Именно так, для чего придумывались все эти ссш изначально, как раз что бы не слать пароли открытым текстом. Тор тут не причем, но имхо писать о том, что открыто ни чего посылать нельзя, надо как можно чаще, что бы в зубах завязло, в инстинктах впечаталось "открыто отослал - значит уже потерял".
Да что ты будешь делать. Именно сегодня загрузил себе запрещённое классное зоонекропедосадомазокопропорновидео с обезьянками извращенками через Tor, как TOR взломали! И зря мучился с 2 килобайтами в секунду - всё равно теперь посадят.
Для *таких* вещей есть gnutella.
>зоонекропедосадомазокопропорновидеоВидеоуроки по Windows 7? =)
>>зоонекропедосадомазокопропорновидео
>
>Видеоуроки по Windows 7? =)префикс "некро" тогда забыли
а флаг китая/ирана почему не разместили?
симулянты совсем облинились?
Идея проста до безобразия, но бьет очень точно.
Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
Кстати отсылка к обмену ключами безопасно заранее конечно правильная, но только ИМХО где это видано ? Ну в банк-клиентах, и то (УЖАС) не во всех... А уж на всяких там сайтах... предполагается что HTTPS это панацея и если в начале стоит, то типа пароли можно бить в окошки без опаски, и это вдалбливают везде и всем вполне компетентные люди. Ну а выше собственно было показано чего это все стоит на самом деле... Кстати первая же и самая интересная цель с точки зрения наживы для выходного tor-сервера - PayPal - в большнстве аккаунтов привязаны реальные кредитки, достаточно логина и пароля и делай с ними что хочешь, причем совершенно анонимно... Хозяин даже если есть SMS оповещение не успеет ничего сделать, как счет выпотрашат...