Компания Exodus Intelligence передала (https://tails.boum.org/security/Security_hole_in_I2P_0.9.13/) разработчикам дистрибутива Tails сведения об уязвимости, о наличии эксплоита для которой сообщалось (http://www.opennet.me/opennews/art.shtml?num=40252) несколько дней назад. Проблема проявляется в используемой в дистрибутиве реализации анонимной сети I2P 0.9.13 (http://geti2p.net), которая не предлагается для использования по умолчанию (по умолчанию в Tails используется Tor, который не подвержен проблеме). Проблема позволяет деанонимизировать пользователя и узнать его реальный IP-адрес.
Для успешного проведения атаки пользователь Tails должен включить режим работы через сеть I2P и открыть в web-браузере специально оформленную атакующим web-страницу. Проблема проявляется в том числе и в выпущенной на днях версии Tails 1.1 (https://tails.boum.org/news/version_1.1/index.en.html). В качестве временного решения проблемы рекомендует удалить пакет i2p (apt-get purge i2p) или отключить выполнение JavaScript через дополнение NoScript. Патч с исправлением проблемы в I2P пока не подготовлен из-за отсутствия детальной информации о методе эксплуатации.
Дистрибутив Tails (https://tails.boum.org) (The Amnesic Incognito Live System) основан на пакетной базе Debian и выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Анонимный выход обеспечивается системой Tor, в качестве опции может использоваться I2P. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование с использованием TrueCrypt. В обычном Live-режиме на носителях не оседает никакая информация. Более того, присутствует защита от анализа остаточных данных в оперативной памяти компьютера - в процессе завершения работы или при извлечении носителя, вся оперативная память очищается.Выпуск Tails 1.1 примечателен (https://tails.boum.org/news/version_1.1/index.en.html) переходом на пакетную базу Debian 7 (Wheezy), поддержкой загрузки на системах с UEFI и использованием в качестве базового графического окружения fallback-режима GNOME3. Вместо OpenOffice в поставку теперь входит офисный пакет LibreOffice.
Закамуфлированный режим рабочего стола, позволяющих стилизовать оформление текущего сеанса на невинно выглядящий экран Windows, переведён с оформления Windows XP на внешний вид рабочего стола Windows 8. Для загрузки подготовлен iso-образ (https://tails.boum.org/download/index.en.html), способный работать в Live-режиме, размером 1Гб.
URL: https://tails.boum.org/security/Security_hole_in_I2P_0.9.13/
Новость: http://www.opennet.me/opennews/art.shtml?num=40276
> В качестве временного решения проблемы рекомендует удалить пакет i2pЧтобы жаба и без дыр... :)
> на внешний вид рабочего стола Windows 8
Ужас! Ну нет бы хоть семерку...
Кому не нравится жаба:
https://github.com/PrivacySolutions/i2pdправда, под фряху на VPS у меня не собралось, а на бубунте оно не может выползти из-под ната. Зато активно развивается.
> Кому не нравится жаба: https://github.com/PrivacySolutions/i2pdИспользует boost :( Та же ява, только в профиль.
> Использует boost :( Та же ява, только в профиль.В бусте по крайней мере не чинят по 30 дыр в каждой новой версии.
Это плюс или минус?
> Это плюс или минус?Наверное все-таки плюс. Хотя буст тоже редкостный переросток.
> Кому не нравится жаба:
> https://github.com/PrivacySolutions/i2pdнет, спасибо. это ещё хуже.
> нет, спасибо. это ещё хуже.Хуже жабы быть не может, извините. Невъ...й рантайм в котором чинят по 30 дыр - анонимности ни разу не товарищ.
>> нет, спасибо. это ещё хуже.
> Хуже жабы быть не может, извините.запросто: node.js
> запросто: node.jsХм... да, признаю, пожалуй я погорячился. А там еще питоны и руби всякие есть, хипстерам еще есть куда улучшить результат :).
А что хуже node.js ?
похапэ в любом виде.
> правда, под фряху на VPS у меня не собралось,Так написано - gcc 4.6 и новее.
На любом языке можно написать дырявое приложение, на "жабе" такое сделать на порядок труднее.
Вы наверное хотели сказать "на порядок проще". Java ведь общепризнанный гигант по количеству неприкрытых уязвимостей.
> Вы наверное хотели сказать "на порядок проще". Java ведь общепризнанный гигант по
> количеству неприкрытых уязвимостей.Вообще говоря, действительно, Java - достаточно продуманный язык (именно если говорить о языке). К сожалению, лёгкость нагромождения абстракций порождает их безумное использование, что влечёт усложнение кода и, как следствие, уязвимости там и сям.
Ну и плюс обилие ошибок в стандартной библиотеке, которые не фиксятся месяцами и более...
> безумное использование,При чем же здесь Java?
> При чем же здесь Java?"Создайте систему, которой сможет пользоваться даже дypaк и только дypaк захочет ей пользоваться". Посмотри кто на яве программит и какого качества и продуманности их код. А потом подумай - хочешь ли ты полагаться на такой гомнокод для защиты твоей тушки от невзгод внешнего мира...
>> При чем же здесь Java?Я только "вырвал" кусочек фразы некоего оратора. Надеясь, что этого будет достаточно для отражения сути. (Необходимо сделать скидку на реализацию виртуальной машины Java.)
> "Создайте систему, которой сможет пользоваться даже дypaк и только дypaк захочет ей
> пользоваться".Это большая и сложная тема, оставим.
> Посмотри кто на яве программит и какого качества и продуманности
> их код. А потом подумай - хочешь ли ты полагаться на
> такой гомнокод для защиты твоей тушки от невзгод внешнего мира...ИМХО, на Java кодят программеры разных мастей и пород (предполагаю, что и качество и продуманность кода в общей массе будет иметь распределение Гаусса).
В i2p нечасто находят "дырки", ИМХО. Но это только реализация, а есть еще сама идея!
А что есть лучшего, на данный момент?
> В i2p нечасто находят "дырки", ИМХО.Вы просто не интересовались вопросом.
> еще сама идея!
ЧСХ, и там достаточно суровая лажа. Как впрочем и у Tor. Вообще, их баги обладают некоей суперсимметрией из-за того что логика работы алгоритмов не так уж фундаментально отличается.
>> В i2p нечасто находят "дырки", ИМХО.
> Вы просто не интересовались вопросом.Да, вопросом практически не интересовался.
>> еще сама идея!
> ЧСХ, и там достаточно суровая лажа. Как впрочем и у Tor. Вообще,
> их баги обладают некоей суперсимметрией из-за того что логика работы алгоритмов
> не так уж фундаментально отличается.В чем на Ваш взгляд заключается самая "суровая лажа" в алгоритме i2p? И как с ней жить, так что бы она сильно не парила.
Баги не рассматриваем, их можно исправить.
>> В i2p нечасто находят "дырки", ИМХО.
> Вы просто не интересовались вопросом.а я интересовался.
>> еще сама идея!
> ЧСХ, и там достаточно суровая лажа.сказал — как отрезал! чёткое какое описание того, в чём именно лажа. всё, после таких аргументов немедленно сношу I2P.
> на "жабе" такое сделать на порядок труднее.Вот как раз за счет такой точки зрения там и случаются многочисленные лажи - за жабиста рантайм подумает! При серьезных требованиях к программам это разумеется воздается - глюкавой программой, где грабли по всей площади. А бонусом еще и рантайм где менее дюжины CVE за релиз - не урожай.
> Чтобы жаба и без дыр... :)ты-то, конечно, самый умный и уже написал I2P-роутер на си.
> ты-то, конечно, самый умный и уже написал I2P-роутер на си.Я достаточно умный для того чтобы не содержать в системе гуано типа явы и флеша.
i2p вообще-то всегда предупреждает, что жабаскрипт палит ip, и его надо выключать
> жабаскрипт палит ipКакого хрена?
> его надо выключать
А чего не телнетом сразу тогда браузить?!
>Какого хрена?палит твой ip, идиот
>А чего не телнетом сразу тогда браузить?!
иди книжки читай, которые марьванна на лето задала
> палит твой ip, идиотСам по себе JS - кусок кода выполняемый в браузере. И работает через тот же прокси что и браузер, стало быть. Произвольные сокеты он вообще не умеет создавать (иначе хакеры давно бы уже заддосили все вокруг).
> иди книжки читай, которые марьванна на лето задала
Ценный совет от крутого гуру, не иначе? :)
>> его надо выключать
> А чего не телнетом сразу тогда браузить?!гофер чёткая вещь. вот бы ему вторую молодость вернуть :)
> гофер чёткая вещь. вот бы ему вторую молодость вернуть :)Вот пусть четкие пацанчики^W стариканчики им и пользуются.
и пользуемся, чо.
> и пользуемся, чо.Пользуйтесь, чотенькие. Хотя припереть невъ...й бажный рантайм с кучей уязвимостей чтобы потом поверх этого допотопного гофера ворочать - это конечно эталон осмысленного инженерного решения :).
*Теперь* предупреждает и предлагает выключать. В качестве временного решения, пока не выйдет 0.9.14 с фиксом. А до эксплоита никто особо выключать не предлагал.2014-07-24: Vulnerability found in I2P based on JS and XSS
The Exploit Dealer Exodus Intelligence has found a vulnerability in I2P and made this public after trying to sell it. The I2P team got notice of this issue today and works on a fix to be included in next stable I2P version 0.9.14. The issue is based on JS and XSS, so disable Javascript in your browser or using NoScript will render this exploit useless on a quick fix. I2P base function is NOT afflected by this issue, it is a pure browser based problem.
> i2p вообще-то всегда предупреждает, что жабаскрипт палит ip, и его надо выключатьпридурки cannot into documentation.
> придурки cannot into documentation.Хорошие вещи - FAILSAFE, а придypoк прежде всего тот кто в чувствительном софте раскладывает грабли. Разминировать софт - удовольствие ниже среднего. Да и сапер, как известно, ошибается 1 раз.
прикинь: I2P таки fail-safe. говорю как человек, который помогал делать инсталлы и писать доки.
> прикинь: I2P таки fail-safe.Ответственно заявляю - вранье.
> говорю как человек, который помогал делать инсталлы и писать доки.
Как человек, интересовавшийся архитектурой разных вещиц такого плана - имею отметить что разработчики этой фигни сказочные ДЛБ и сделали ряд абсолютно глупых багов в дизайне на ровном месте. Справедливости ради - разработчики Tor тоже на похожие грабли вставали. А ява так - дополняет общую достаточно неприглядную картину, лишний раз намекая что всерьез на этот кусок гомнокода надеяться не надо. Потому что получилось блоатваре, в котором без поллитра разобраться вообще невозможно. Да еще требующее мегадырявый рантайм.
>> прикинь: I2P таки fail-safe.
> Ответственно заявляю - вранье.у-ла-ла!
> Как человек, интересовавшийся архитектурой разных вещиц такого плана - имею отметить что
> разработчики этой фигни сказочные ДЛБ и сделали ряд абсолютно глупых багов
> в дизайне на ровном месте.перечислить сможешь? zzz будет рад узнать и починить.
> перечислить сможешь?В том то и проблема что могу.
> zzz будет рад узнать и починить.
Часть уже заметили. Но "заметили" и "полностью починили" - очень разные вещи. Дело в том что там нет простых и стопроцентных фиксов. А некоторые вещи я и вовсе не знаю как чинить, настолько там фундаментальные проблемы.
>> перечислить сможешь?
> В том то и проблема что могу.вперёд.
да хоть примеры бы привел, интересно же
Не очень понятно как можно спалить свой IP если он внутренний?
Получается что JS обращается к I2P и та сама отдает свой реальный ИП?
А зачем вообще такой функционал в I2P присутствует - или это жабьи грабли?
Уязвимость в панели маршрутизатора I2P.
Вроде как позволяет незаметно подсунуть I2P-плагин.
> Уязвимость в панели маршрутизатора I2P.
> Вроде как позволяет незаметно подсунуть I2P-плагин.ну да, если сидеть за техникой не приходя в сознание, ещё и не такое может случиться.
> ну да, если сидеть за техникой не приходя в сознание, ещё и
> не такое может случиться.Ну да, ты мог подходить к дому с миноискателем и в костюме химзащиты. А тот кто подложил мину, налил синильной кислоты и рассыпал споры сибирской язвы перед твоей хатой - пай-мальчик и ни в чем не виноват, разумеется.
для идиотов на сайте i2p написаны инструкции по применению. простым и понятным языком Цивилизации. впрочем, идиоты инструкций не читают.
> для идиoтов на сайте i2p написаны инструкции по применению.Ими можно подтереться с чистой совестью. Там туева хуча "торообразных" грабель прямо на уровне архитектуры, парочка из которых вообще эпик фэйл показывающий что люди элементарно не думали с позиций атакующего. Зато это за них сделали другие. А думай они с этих позиций - они бы к яве на пушечный выстрел не подошли, для начала. Ворпос: накулкуа нам солдаты, которые не умеют стрелять? От чего они нас защитят?
>Не очень понятно как можно спалить свой IP если он внутренний?Как-то так: http://zhovner.com/jsdetector/
Или так: https://dl.dropboxusercontent.com/u/1878671/enumhosts.html
> Не очень понятно как можно спалить свой IP если он внутренний?
> Получается что JS обращается к I2P и та сама отдает свой реальный
> ИП?
> А зачем вообще такой функционал в I2P присутствует - или это жабьи
> грабли?Действительно, как Вас может деанонимизировать выполнение произвольного кода, загружаемого из сети, который вообще говоря может работать с диском и сетью? =/
и каким образом I2P виноват в том, что разработчики — дебилы?
хинт: аутпрокси в I2P включают только идиоты.
> и каким образом I2P виноват в том, что разработчики — дeбилы?Да у тебя вечно никто ни в чем не виноват :). Подорвался на мине? Сам дypaк! Мог же таскать с собой миноискатель. И вообще, тому кто юзает программы на жабе для анонимизации доверия - ноль целых, хрен десятых. Ибо в этом переростке десятки дыр, уж наверняка NSA пришлет сплойт в бубен при необходимости. Забыв уведомить отстальных о том что в дополнение к вон тем 30 починенным CVE был 31-й, заныканый под ковер.
Вообще-то если ты не заметил, NSA и прочие зачастую не парятся со взломом анонимизатора а просто долбят эксплойтом и дальше могут делать все что угодно, хоть все файлы юзера спереть.
> Да у тебя вечно никто ни в чем не виноват :)в данном случае — уж точно не I2P. но ты же кода I2P не читал, про то, как *реальные* сплойты на него сделать — не знаешь. но мнение имеешь. ну, расскажи zzz, как у них всё плохо: я с удовольствием почитаю.
> в данном случае — уж точно не I2P. но ты же кода I2P не читал,Я что, больной? Я в принципе не собираюсь пользоваться программами на яве. Но у меня есть свои методы...
> про то, как *реальные* сплойты на него сделать — не знаешь.
Вот тут ты неправ, Кэп. Были практические использования багов в алгоритмике этой буиты. Кстати некоторые баги настолько фундаментальны что почти одинаково кусают Tor и I2P, в силу более-менее похожей логики работы. Если тебе интересно - давай куда-нибудь в приватик?
> но мнение имеешь. ну, расскажи zzz, как у них всё плохо: я с удовольствием почитаю.
О части вещей они и сами уже вроде в курсе. Только фиг с два они это просто и быстро починят.
>> в данном случае — уж точно не I2P. но ты же кода I2P не читал,
> Я что, больной?не читал, но знаю!
> - давай куда-нибудь в приватик?
arisu@neko.im, например.
А для чего вообще использовать анонимайзеры? Это же неудобно. Лучше уж объявить бойкот самим поделиям копирастов, как решил один мой хороший знакомый, и пользоваться только открытыми общедоступными ресурсами (ПО, музыка, кино, книги). А незаконный контент (******* *****, **********, ******* и т.п.) нормальному человеку может быть интересен только с научной точки зрения, по крайней мере я так считаю.
1. i2p это не просто обычный анонимайзер, это целая анонимная скрытосеть, с собственными ресурсами.
2. «Незаконный контент» тут не при чём, разве что краешком, как побочка. Во главу угла другое ставилось.
3. Не хочешь — не используй. Тем более, что ты, похоже, ни фига не понимающий школьник.
Ну, по поводу школьника - учиться никогда не поздно - я этим уже более 30 лет занимаюсь ;-)
Просто я воспитывался на сетях обязательной деанонимности - когда полиси обязывало указывать пользователей сети реальные имя и фамилию - из-за этого у меня и возникло стойкое непонимание стремления современной школоты во что бы то ни было скрыть свои данные. Ну не вижу я необходимости что-либо делать анонимно - я и мыло в форме ответа на данной площадке указываю реальное, да и вообще, по мнению некоторых местных жителей меня можно назвать "сетевым эксгибиционистом" - я мало того, что веду собственный блог под реальным именем, так ещё и на hh.ru храню своё резюме.
забавно, я тоже рос на фидо. тем не менее, необходимости раскрывать персональные данные не понимал никогда.