Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал (http://www.forbes.com/sites/thomasbrewster/2014/07/21/exploi.../) о выявлении в дистрибутиве Tails (https://tails.boum.org/) (The Amnesic Incognito Live System) опасной уязвимости, позволяющей получить удалённый контроль над системой и деанонимизировать пользователя. Сообщается, что проблема присутствует во всех выпусках, включая ещё не анонсированный выпуск Tails 1.1, образы которого несколько часов назад были загружены (http://dl.amnesia.boum.org/tails/stable/tails-i386-1.1/) на FTP-сервер проекта.Tails выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Наиболее известными пользователями дистрибутива являются Брюс Шнайер и Эдвард Сноуден. Примечательно, что руководитель Exodus Intelligence ограничился голословными заявлениями о наличии проблемы и пообещал раскрыть информацию в будущем, не представив никаких доказательств наличия уязвимости. Кроме того, информация была опубликована не в специализированном издании, а в финансово-экономическом журнале Forbes.
Не исключено, что заявление является провокацией, направленной на подрыв авторитета Tails. Также возможно, что источником проблемы является Firefox, который предлагается в Tails в качестве браузера по умолчанию, и в котором сегодня были устранены 4 критические уязвимости (https://www.mozilla.org/security/known-vulnerabilities/firef...) (CVE-2014-1547, CVE-2014-1548 (https://www.mozilla.org/security/announce/2014/mfsa2014-56.html), CVE-2014-1551 (https://www.mozilla.org/security/announce/2014/mfsa2014-62.html), CVE-2014-1556 (https://www.mozilla.org/security/announce/2014/mfsa2014-59.html)).
URL: http://www.forbes.com/sites/thomasbrewster/2014/07/21/exploi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40252
Немного анализа.Цитата:Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал
Из всего ясно что Чукча продавец, а не рассказчик.
А это значит - рассказчику - заплатили - за рассказ. Кто заплатил - ясно.
Зачем - тоже ясно.
торгаши любого из родственников за тридцать серебрянников и меньше сплавят.
> А это значит - рассказчику - заплатили - за рассказ. Кто заплатил - ясно.интересная теория.
предлагаю другую:
>Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостяхтаким образом продаван какбэ намекает, что данные уязвимости и возможно даже прототипы эксплоитов у них есть и ненавязчиво предлагает своим клиентам (настоящим и будущим) пройти через кассу и отовариться.
Такие вещи не заявляют во всеуслышание, а продают по тихой кому нужно. Такие заявления повод разработчикам начать искать дырки и прикрыть их, тогда этим продавцам нечего будет продавать, а оно им надо?
А вот для того чтобы подорвать доверие к этому дистрибу, подобный вброс как раз.
Как это было с TrueCrypt, значит дистриб нормальный, можно пользоваться)
))) А это вообще кто и что?
на словах он левтолстой, а на деле… трепло.
Чувак прорекламировал себя в Форбс. Ну ок.
Чувак всегда хотел попасть в форбс, но с баблом как-то не складывалось.
Кстати, господа. Не в курсе, почему tails может не работать в qemu? Как победить?
Просто операционка не грузится, в dmesg основной системы такое появляется[428686.676436] kvm [25731]: vcpu0 unhandled wrmsr: 0x40 data 0
[428686.676444] kvm [25731]: vcpu0 unhandled wrmsr: 0x41 data 0
[428686.676448] kvm [25731]: vcpu0 unhandled wrmsr: 0x42 data 0
[428686.676451] kvm [25731]: vcpu0 unhandled wrmsr: 0x43 data 0что 1.1, что предыдущий релиз
запускаю из Arch amd64.
Эти сообщения не имеют отношения к загрузке. Копайте в другом месте.
"Лекцию о взломе Tor отменили на конференции Black Hat" может он ето имел в виду?
> "Лекцию о взломе Tor отменили на конференции Black Hat"Тем временем: http://www.vz.ru/news/2014/7/24/697069.print.html
Спасибо опеннету за хорошую подборку новостей и их переводы. Если бы не опеннет, где бы я читал например про уязвимость в Tails? Наиболее популярные в России айти-сайты с Windows-ориентированием? Там часто есть однобокость подачи информации, особенно в новостях про открытое ПО и Linux. ЛОР? Да, но он специализируется только на Linux, поэтому некоторых новостей про Open Source там нет. Разве что Хабрахабр, и всё. И иностранные айти-сайты, но я язык плохо знаю.Я не фанатею по Linux и отлично понимаю что в нём есть недостатки. Наиболее неприятный для меня - трудность установки ПО. Может оказаться что в репозитории старая версия программы. Или что есть неофициальная патченная версия, и для Linux нет готовых бинарников. И всё же назад в Windows не пойду!
> Архив содержит входящие письма за июнь-июль 2014г ... Ящик, с которого анонимные авторы выложили переписку, находится на портале gmail.com. Его знакомый заявил "Ведомостям", что это личный адрес ... Взламывание почты чиновников и известных общественных деятелей происходит регулярно. В июне 2013г. из-за взломанной почты в открытый доступ ушли материалы ЕГЭ ... В 2012г. хакер под псевдонимом Hell взломал почту и Twitter Алексея Навального. В общей сложности, как рассказал Hell, в его руки попало около 17 тыс. писем ... Ранее хакеры, называвшие себя российскими представителями движения Anonymous, заявили, что вскрыли электронную почту экс-главы Росмолодежи Василия Якеменко и опубликовали ссылку на архив, якобы содержащий его переписку с бывшим пресс-секретарем движения "Наши" Кристиной Потупчик ... Самой нашумевшей стала утечка информации, которую опубликовал экс-сотрудник американских спецслужб Эдвард Сноуден. Он сообщил прессе о тотальном контроле спецслужб за интернетом и сотовыми сетями. На родине ему предъявлены обвинения в шпионаже и краже государственной собственности, за которые грозит до 30 лет тюрьмы. Читать полностью: http://top.rbc.ru/politics/22/07/2014/937981.shtml
Поэтому буду вручную пересобирать DEB-SRC с наложенными патчами, а не пользоваться закрытым ПО! С открытого софта не уйду! Вот почему мне интересна тематика новостей Опеннета. Хочу чтобы это стало нормой для всего мира, и любой подросток устанавливал на свой комп софтины из исходного кода, накладывая открытые же патчи. Мощности процессоров позволяют. Только для этого надо сделать сам процесс проще. Gentoo для домохозяек в общем.
Эк тебя прорвало! В одном посте всех обосрал, и только "Разве что Хабрахабр" не удостоился критического замечания.
Как айтишник может не знать английский? Или на курсы запишись, или вон из профессии.
>Как айтишник может не знать английский?а можно не называть себя айтишником. Тогда и проблем никаких нет.
>Или на курсы запишись, или вон из профессии.
можно просто делать что нравится не обременяя себя "профессией".
не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения — это сейчас всё равно, что не уметь читать вообще.
> не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения
> — это сейчас всё равно, что не уметь читать вообще.можно и не уметь читать вообще)) я себе это разрешил. доказывайте мне как я неправ.
можно и в штаны себе срать. ничего «неправильного» в этом нет, но…
> можно и в штаны себе срать. ничего «неправильного» в этом нет, но…играем в свободные ассоциации? :-D
> играем в свободные ассоциации? :-DСкорее, такой hint о prerequisites и dependencies (в "софтварном" понимании).
> не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения
> — это сейчас всё равно, что не уметь читать вообще.Ты крайне неправ. Да, такой примитивный язык можно осилить за несколько недель (если нет намерения сверкать неправильными глаголами во глубине колодца времён). Но при чём здесь цивилизация, если это язык в первую очередь обмана?
Да при том, наверное, что вся современная научная литература на русский язык чаще плохо переводится, чем хорошо пишется. Так уж устроен современный мир -- хочешь быть на острие прогресса? Знай английский. Если память не изменяет, ещё в 2009 году на английский переводилось абсолютное большинство научных статей вне зависимости от языка оригинала. Не вижу причин, по которым это могло измениться. Считай это базовым образованием: уметь считать; писать и читать на родном языке; пользоваться столовыми приборами; вытирать задницу; обладать базовыми знаниями об устройстве вселенной; уметь пользоваться интернетом и разговаривать по-английски. Если что-то из этого отсутствует -- срочно восполнять пробелы. Нет, ну понятно, что дворнику всё это скорее всего не пригодится в жизни и в труде. Но столько дворников не нужно.
>Считай это базовым образованием
>разговаривать по-английскиНу ты же образованный человек, английский знаешь. Ну то что может когда-то пригодиться - еще не причина для того чтоб это изучать. Жизнь сама подкидывает необходимость действовать. Ну нет такой необходимости знать английский, если я, например, или Зеня его не знаем. Судя по переводам книг по программированию/ОС/сетям - таких как мы много. И я не готов учить то, что не хочется/не необходимо/не jff. И те кто знает английский находят в этом свой труд и удовольствие, и делают это, переводят. Все мы нужны друг другу, знающие английский и незнающие его. И мне, дворнику, нужен переводчик, чтоб из праздного любопытства почитать книгу по перлу и программировать для себя и других после работы с удовольствием. Айти мы, или не айти - зависит от результата, а не знания или незнания чего угодно, в том числе английского.
что характерно: у человека, не знающего английского, результаты — говно.
> что характерно: у человека, не знающего английского, результаты — говно.я больше не играю, у тебя одни и те же ассоциации.
а я и не играл.
> а я и не играл.ну извини, не знал что ты серьёзно.
а я всегда серьёзный. даже когда шучу.
пока что я знаю один «язык обмана»: русский.
> Но при чём здесь цивилизация, если это язык в первую очередь обмана?Это прежде всего единственный язык который является общим знаменателем у русского, испанца и китайца, повстречавшихся на просторах сети. Нет, извините, китайцу впадлу учить русский и испанский. Мне тоже как-то не с руки учить китайский и испанский. Да и испанец от перспективы учить русский и китайский не пропрется. А по английски мы попыхтим но поймем друг друга кое-как.
>> Но при чём здесь цивилизация, если это язык в первую очередь обмана?
> Это прежде всего единственный язык который является общим знаменателем у русского, испанца
> и китайца, повстречавшихся на просторах сети. Нет, извините, китайцу впадлу учить
> русский и испанский. Мне тоже как-то не с руки учить китайский
> и испанский. Да и испанец от перспективы учить русский и китайский
> не пропрется. А по английски мы попыхтим но поймем друг друга
> кое-как.Кстати хорошая причина развивать онлайн-переводчики. Открытые, конечно.
нет никакой причины это делать: быдло должно сидеть в своей резервации и не портить Цивилизованную атмосферу.
> нет никакой причины это делать: быдло должно сидеть в своей резервации и
> не портить Цивилизованную атмосферу.разве это не развитие технологий, сделать так, чтоб все общались друг с другом на своём родном языке? :)
нет. перевод невозможен без понимания смысла текста, а понимание машиной смысла текста нереально на существующих технологиях. поэтому все попытки делать «автопереводчиков» — бесполезный труд. макаку можно, конечно, долго учить вести себя за столом культурно, но в итоге макака всё равно останется макакой, а куча усилий будет спущена в помойку.
> нереально на существующих технологиях.так и я об этом.
> быдло должно сидеть в своей резервации и не портить Цивилизованную атмосферу.А бритики и так сидят в своей туманной помойке с ровными лужайками -- теперь там ещё подморозит как следует...
Если бы ты знал этот самый английский (вместе с ихней культурой) хотя бы на моём уровне, то не нёс бы эту дикую пургу. Поспрошай сваливших знакомых, каково оно там, в "цивилизации".
я знаю «этот самый английский» вполне достаточно, чтобы читать, понимать и получать удовольствие от, например, Кэррола, Толкина, Пратчета и массы других интересных людей. а ты, видать, тайком «недостающие сонеты Шекспира» пописываешь. да, писать сонеты «под Шекспира» не могу.также мне показалось, что не надо быть гением аналитики для того, чтобы понять, что я имею в виду американский английский, и центр Цивилизации — америка.
да, я помню, что твои знакомые в америке предпочитают жрать говно (почти в прямом смысле) и Страдать. а также отлично знаю, что виновата в этом не америка, а их киз в голове: они везде первым делом найдут возможность Страдать.
> я знаю «этот самый английский» вполне достаточноТак я его знал ещё в школе. :)
> также мне показалось, что не надо быть гением аналитики для того, чтобы
> понять, что я имею в виду американский английский, и центр Цивилизации — америка.А это вообще языковое недоразумение, ещё более кастрированное, чем оригинал. Цивилизацию ты перепутал с колонизацией, это разные цацки. Грубо говоря, одно может быть построено на правде, а другое должно быть построено на лжи между людьми.
> да, я помню, что твои знакомые в америке предпочитают
Это, между прочим, далеко не последние инженеры. Скажем, тот же Кирилл Колышкин явно умнее нас с тобой по формальной шкале и прочим достижениям, но сделал ещё глупее тебя -- ты свои восторги изливаешь на словах, а он взял семью и свалил. Теперь в плюсик смотреть жалко, пейзажи пополам с ностальгией по пельменям.
>> я знаю «этот самый английский» вполне достаточно
> Так я его знал ещё в школе. :)я очень рад за тебя. и что?
> А это вообще языковое недоразумение, ещё более кастрированное, чем оригинал.
ломающие новости, однако.
> Цивилизацию ты перепутал с колонизацией, это разные цацки.
не подскажешь, у кого там колонии в Индии были? неужто у америки?
> Грубо говоря, одно
> может быть построено на правде, а другое должно быть построено на
> лжи между людьми.грубо говоря, полезное информационное содержание у этого твоего абзаца отсутствует.
> Это, между прочим, далеко не последние инженеры.
и что? «инженер» — это ни разу не гарантия от простой житейской глупости, например.
> ты свои восторги изливаешь на словах
у тебя сильно перекошеное восприятие. кроме «говно» и «золото» бывает ещё много других нюансов.
> а он взял семью и свалил.
тоже решение, и не самое плохое. если куда-то Цивилизацию привести уже невозможно, то можно самому отправиться в Цивилизацию. а мне это пока не надо, вокруг меня вполне Цивилизованно. и это «Цивилизованно» неуклонно увеличивается в размерах.
> в плюсик смотреть жалко, пейзажи пополам с ностальгией по пельменям.
ну, если он не в курсе, где в Цивилизации купить пельмени и посмотреть пейзажи… как я и писал, «инженеристость» ещё ничего не гарантирует.
> не подскажешь, у кого там колонии в Индии были? неужто у америки?У бритиков. А у америки сейчас на Украине с теми же методами.
> грубо говоря, полезное информационное содержание у этого твоего абзаца отсутствует.
Жизнь покажет.
> «инженер» — это ни разу не гарантия от простой житейской глупости, например.
О чём и речь. Остаётся себе это напоминать порой.
> А у америки сейчас на Украине с теми же методами.мишенька, иди в задницу.
>>Как айтишник может не знать английский?
> а можно не называть себя айтишником. Тогда и проблем никаких нет.
>>Или на курсы запишись, или вон из профессии.
> можно просто делать что нравится не обременяя себя "профессией".Да можно вообще всё, кроме того, что действительно нельзя, да и то нет-нет, а и возникнут сомнения. Людей без профессии, не хотящих ничего знать и ничему учиться есть даже какое-то обидное название. И не зря.
> Людей без профессии, не хотящих ничего
> знать и ничему учиться есть даже какое-то обидное название. И не
> зря.нехило обобщил простое незнание английского языка и нежелание его учить. Обожемой, кому-то пофиг на английский язык, святотатство! Вон из "святыни"!))
дикарю много чего кажется ненужным. на то он и дикарь.
> дикарю много чего кажется ненужным. на то он и дикарь.ну и что?
для дикаря — ничего. именно поэтому он так и останется дикарём. натурально, дикарь не видит в своём дикарстве ничего плохого. так же, как не видит ничего плохого в том, чтобы не мыться, питаться отбросами и общаться жестами. дикарь.
> для дикаря — ничего. именно поэтому он так и останется дикарём. натурально,
> дикарь не видит в своём дикарстве ничего плохого. так же, как
> не видит ничего плохого в том, чтобы не мыться, питаться отбросами
> и общаться жестами. дикарь.чувак, я согласен. Ты продолжаешь убеждать остальных что я дикарь или себя?))
я отдыхаю, у меня перекур.
> чувак, я согласен. Ты продолжаешь убеждать остальных что я дикарь или себя?))Айтишник без знания английскорго обречен питаться информационными объедками в своей отрасли. Извините, но вся техдокументация - на английском. Так вышло.
>> чувак, я согласен. Ты продолжаешь убеждать остальных что я дикарь или себя?))
> Айтишник без знания английскорго обречен питаться информационными объедками в своей отрасли.
> Извините, но вся техдокументация - на английском. Так вышло.Да я и не против, друг, просто меня это не волнует. Если ты меня понимаешь. Меня волнует только то, с чем я сталкиваюсь. К примеру, столкнулся с перлом - нашел русскоязычную документацию. Столкнулся с слакварью - нашел русскоязычную документацию. Для углубления у меня есть любопытство и непосредственно сам перл и слакварь. Изучать английский - пустая и неинтересная трата времени. Меня не интересует ничего из того что там есть какой-то прогресс, или я не пойму очередную документацию очередного графомана, где документация в процессе разработки и он сам не знает что из этого получится; или понимать англоязычных пользователей, или читать англоязычную литературу, смотреть англоязычные фильмы... Мне хватает родного языка и русского. В том числе чтоб всем своим знакомым и незнакомым ремонтировать ПК, устанавливать системы, писать вспомогательные скрипты и утилиты, ну и прочие радостные мелочи жизни. Огромное спасибо переводчикам. Так уж получилось что они переводят то, что мне нужно.
Всё было бы хорошо, но любой перевод искажает и теряет смысл. Считай, что у тебе всю эту информацию "Рабинович напел". Техническая литература в этом плане чётче. Всё-таки не о цвете заката речь идёт, понятия исчисляемы и подчинены строгой логике. Но тем не менее даже в таких тепличных условиях переводчики умудряются напороть смешных ошибок, часто из-за банального отсутствия глубокого понятия о предмете (кто-то сказал про гармонично всесторонне развитую личноть или мне послышалось?). Ну а то, что тебя не интересует "как-то прогресс" говорит лишь об ограниченности сознания. Не стоит этим гордиться.
> Техническая литература в этом плане чётче.«функционал программы» и «использование рефлексии при написании кода» меня умиляют до сих пор, например. пока весь мир занимается детскими играми, у «пиривотчекав» на русский уже появились рефлексирующие программы, йопт.
> Всё было бы хорошо, но любой перевод искажает и теряет смысл. Считай,
> что у тебе всю эту информацию "Рабинович напел". Техническая литература в
> этом плане чётче. Всё-таки не о цвете заката речь идёт, понятия
> исчисляемы и подчинены строгой логике. Но тем не менее даже в
> таких тепличных условиях переводчики умудряются напороть смешных ошибок, часто из-за банального
> отсутствия глубокого понятия о предмете (кто-то сказал про гармонично всесторонне развитую
> личноть или мне послышалось?). Ну а то, что тебя не интересует
> "как-то прогресс" говорит лишь об ограниченности сознания. Не стоит этим гордиться.даже само чтение "заученным" языком искажает смысл, да что там, само восприятие искажает первоначальный смысл. В общем я не перфекционист. А по поводу прогресса - и не горжусь и не стыжусь этого. Мне просто пофиг: я не бегу впереди паровоза, и люблю обитать в русскоязычном сообществе со всем его содержимым. Мне хватает.
на параноиков давит
Думается, что имело место элементарное вымогательство с разработчиков дистрибутива.
а как в этом поделии заскринить екран? gnome-screensaver отказывается выполнить
gnome-screensaver --debug(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:66:21: Junk at end of value
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:125:43: Invalid animation description
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:131:17: Invalid animation description
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:1308:0: unknown @ rule
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:1393:97: 'currentColor' is not a valid color name
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:1401:32: Junk at end of value
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:1413:13: 'animation' is not a valid property name
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gtk-widgets.css:1553:17: Invalid animation description
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gnome-applications.css:90:18: Horizontal and vertical offsets are required
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: gnome-applications.css:154:39: Missing closing bracket for pseudo-class
(gnome-screensaver:9838): Gtk-WARNING **: Theme parsing error: granite-widgets.css:159:28: 'px' is not a valid color name
[gs_debug_init] gs-debug.c:106 (16:50:28): Debugging enabled
[main] gnome-screensaver.c:86 (16:50:28): initializing gnome-screensaver 3.4.1
[query_session_id] gs-listener-dbus.c:1452 (16:50:28): org.freedesktop.ConsoleKit.Manager.GeneralError raised:
Unable to lookup session information for process '9838'
[init_session_id] gs-listener-dbus.c:1473 (16:50:28): Got session-id: (null)
[gs_fade_init] gs-fade.c:883 (16:50:28): Fade type: 3** (gnome-screensaver:9838): WARNING **: Couldn't get presence status: The name org.gnome.SessionManager was not provided by any .service files
[gs_watcher_set_active] gs-watcher-x11.c:277 (16:50:28): turning watcher: ON
[listener_dbus_handle_system_message] gs-listener-dbus.c:854 (16:50:28): obj_path=/org/freedesktop/DBus interface=org.freedesktop.DBus method=NameAcquired destination=:1.119
[on_bg_changed] gs-manager.c:549 (16:50:28): background changed
xscreensaver есть?
> xscreensaver есть?Поставил. Спасибо!
Ураааа!!!
http://127.0.0.1:7657/home2014-07-24: Vulnerability Found In I2P Based On JS And XSS
The Exploit Dealer Exodus Intelligence has found a vulnerability in I2P and made this public after trying to sell it. The I2P team got notice of this issue today and works on a fix to be included in next stable I2P version 0.9.14. The issue is based on JS and XSS, so disable Javascript in your browser or using NoScript will render this exploit useless on a quick fix. I2P base function is NOT afflected by this issue, it is a pure browser based problem.
http://blog.exodusintel.com/2014/07/23/silverbullets_and_fai.../
The Vulnerable Component
The vulnerability we will be disclosing is specific to I2P. I2P currently boasts about 30,000 active peers. Since I2P has been bundled with Tails since version 0.7, Tails is by far the most widely adopted I2P usage. The I2P vulnerability works on default, fully patched installation of Tails. No settings or configurations need to be changed for the exploit to work.