В интервью (http://www.bbc.com/news/technology-28886465) изданию BBC Эндрю Льюмен (Andrew Lewman), руководитель проекта Tor, рассказал (http://www.bbc.com/news/technology-28886462) о том, что в АНБ и Центре правительственной связи Великобритании ведётся скрупулёзная работа по анализу исходных текстов Tor с целью поиска уязвимостей, которые можно было бы использовать для компрометации анонимной сети и её пользователей. Интересно, что сведения о выявляемых ошибках и потенциальных проблемах в дизайне протокола не удаётся удержать в секрете, так как данные оперативно становятся известны разработчикам Tor благодаря утечкам информации от неизвестных доброжелателей, имеющих доступ к отчётам о ходе аудита и считающих, что Tor должен оставаться надёжной платформой для обеспечения анонимности.
Подобные сведения поступают анонимно практически каждый месяц. Разработчики не имеют возможности уточнить детали, но сообщения содержат достаточные намёки или ссылки на участки в коде, на которые следует обратить внимание. Утечкам способствует особенность работы системы отслеживания ошибок Tor, которая позволяет отправлять сообщения о проблемах в анонимном режиме. Таким образом, разработчикам Tor удаётся достаточно быстро устранять выявляемые спецслужбами ошибки. Сообщается, что в настоящее время Tor пользуется примерно 2.5 млн человек в день, число загрузок пакета Tor Browser за прошлый код оценивается в 150 млн.
Дополнительно, разработчики проекта Tor сообщили (https://blog.torproject.org/blog/isec-partners-conducts-tor-...) о получении от компании iSEC Partners отчёта с анализом текущих средств обеспечения защиты Tor и оценкой возможных путей усиления безопасности. Кроме оценки защищённости протокола, в рамках исследования также была изучена история возникновения и исправления уязвимостей в браузера Firefox, лежащего в основе Tor Browser, а также в используемых библиотеках и мультимедийных кодеках. Исследование проведено по заказу Фонда открытых технологий (https://www.opentechfund.org/).
В качестве представленных в отчёте рекомендаций по усилению безопасности можно отметить задействование средств рандомизации адресного пространства на платформах Windows и OS X (в Linux рандомизация включена), стимулирование к поиску уязвимостей через участие в соревнованиях, подобных Pwn2Own, рекомендации по применению Microsoft Enhanced Mitigation Experience Toolkit для усиления безопасности версии для Windows, замена в Firefox подсистемы распределения памяти с jemalloc на ctmalloc/PartitionAlloc, задействование средств для блокировки уязвимостей, связанных с обращением к уже освобождённым областям памяти (use-after-free).
Кроме того, на основе анализа истории уязвимостей в Firefox, был сформирован список возможностей, в реализации которых всплывает больше всего уязвимостей. Для повышения безопасности предлагается реализовать средство для выборочного отключения проблемных возможностей (https://trac.torproject.org/projects/tor/ticket/9387#comment:43) путем предоставления пользователю кнопки для выбора уровня безопасности. Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень - отключение WebAudio и asm.js. Третий уровень - отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень - отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика. Из более отдалённых планов упоминается применение sandbox-изоляции в Tor Browser.
URL: http://www.bbc.com/news/technology-28886465
Новость: http://www.opennet.me/opennews/art.shtml?num=40432
>ДоброжелателиЧто-то неубедительно. *пошел расчехлять фидонет*
у и расчехляй свой фидоет.
Главное, чтобы остальные его тоже пошли расчехлять, а то будете в одиночестве самому себе по Фидонету файлы пересылать.
> Что-то неубедительноПравильно. Tor не следует использовать для ответственных применений - он не удержится против сильной персонализированной атаки против лично вас.
> *пошел расчехлять фидонет*
е забудь прописать реалэйм, иаче модератор тебе [!] выпишет...
> е забудь прописать реалэймВасилий Зябликов, чо.
> иаче
фу. съедалась только заглавная русская «Н». будь аутентичен.
> Василий Зябликов, чо.А я думал что Пупкин. Тот, что города Мухосранска.
> фу. съедалась только заглавная русская «Н». будь аутентичен.
Ну мне стыдно все время писать капсом как блондинке, пришлось немного пожертвовать аутентичностью :). А так - классический вариант это "Е ЛАМЕР, СОФТ АСТРОИЛ".
> Что-то неубедительно. *пошел расчехлять фидонет*Да, давайте замутит свой nntp-сервачек
> Что-то неубедительно. *пошел расчехлять фидонет*всё просто: им (анб и прочие цру) нужен хороший тор, который не поломают их оппоненты. потому как свой разрабатывать долго и дорого, а агентурные сотрудники в нём сильно нуждаются.
но если они будут явно оплачивать его разработку, оппоненты использование тора перетащут в уголовно наказуемые деяния и пользоваться тором не получится.
поэтому они обеспечивают высококачественный тестинг на очень-очень высоком уровне. разница между исследованием и тестингом - в штатных доброжелателях.
а спонсоров либо и так хватает, либо втихаря.
Всё правильно сказал.
>> Что-то неубедительно. *пошел расчехлять фидонет*
> всё просто: им (анб и прочие цру) нужен хороший тор, который не
> поломают их оппоненты.Это высший уровень понимания ситуации и умения чужими руками сделать то, что нужно тебе, не тратя на это ни копейки. Каждый в меру своего понимания работает на себя, а в меру непонимания - на того, кто знает и/или понимает больше.
в АНБ тоже хотят свою защищённую анонимную болталку с преферансом и гейшами...
Зачем же их тогда палить?
> для усиления безопасности версии для Windows, замена в Firefox подсистемы распределения памяти с jemalloc на ctmalloc/PartitionAllocДело пахнет киросином
но мы-то знаем, что они просто хотят получить 4млн рублей от ФСБ...
EMET-ом следует вообще прикрывать любой софт, который взаимодействует с сетью (не для проверки обновлений, конечно, а для получения и отображения/воспроизведения контента). Чертовски полезная штука, но требует некоторой настройки.
>BBCВоенно-воздушные силы?
>АНБАгенство национальной (которой из?) безопасности
>iSECЭ?
Рекомендую что-то с этим сделать. Да, я понимаю, что задача нетривиальная, но даже написание АНБ в оригинале помогло бы.
Нехорошо. Примите к сведению. Объяснять в чём лажа подробней ведь не надо, надеюсь?!
Новость не о чем.
Новость неучам.
Штирлиц думал не о чём.
Неочём занервничало.
Абракадабра подобная "Lorem ipsum ..."
Что-то тут не вяжется. Если бы такие сливы имели место, Льюман бы о них помалкивал в тряпочку. Раз он такое говорит - значит, просто пытается спровоцировать АНБ и ШКПС побегать за чёрной кошкой в тёмной комнате, где её нет.
> Если бы такие сливы имели место, Льюман бы о них помалкивал в тряпочкуЕсли и не так, чего стого?
На Tor то помои льют без остановки, с чего бы им в обратку чутка не бросить...
Для разнообразия! =)
>Доброжелатели из АНБ информируют разработчиков Tor о выявляемых проблемахОй какие же они няшечки! А вы на них всякие гадости говорили! Стыдно!
сотрудник-"предатель" != организация
что то не вяжется, ага, похоже на пиар-завесу для прикрытия других дыроктипа - "они расслабятся, и будут верить нам, разоблачателям дырок"
Доброжелатели из АНБ!
> сведения поступают анонимноТак анонимно или от "доброжелателей в АНБ"?
imho, ложь это всё.
Отнюдь! АНБ сообщает разработчикам тора о проблемах в ПО, взамен разработчики раздают клиентам входные ноды,подконтрольные АНБ. Ложь ненужна.
А доброжелатели из Тоr информируют АНБ об новых проблемах )))
> Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень - отключение WebAudio и asm.js. Третий уровень - отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень - отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика.Ждём статьи о том, как поотключать всё это...
К сожалению в Китае Тор не помогает получить доступ к ютюбу
В Китае нет ютуба? Похоже открыт секрет их экономического роста.
> В Китае нет ютуба? Похоже открыт секрет их экономического роста.По такой логике - если жить в пещерах, экономический рост зашкалит до небес.
> По такой логике - если жить в пещерах, экономический рост зашкалит до
> небес.вообще-то уже там статусы на стенах рисовали.
> В Китае нет ютуба? Похоже открыт секрет их экономического роста.у них свои аналоги есть
"Доброжелатели" из АНБ информируют разработчиков Tor о выявляемых проблемах ...Всё абсолютно логично. Госдеп использует tor для общения своих агентов влияния и "цветных" революционеров. Система tor им необходима для дестабилизации независимых стран и устранению неугодных режимов.
В силу недавнего заявление намерений МВД РФ о взломе tor, спецслужбам сша и британии дали приказ усилить безопасность этой программы. Вот они и сообщают о проблемах.
Сама система tor есть квазианонимна, в неё заложена архитектурная бага и как минимум сша и германия ею пользуются для деанонимизации.
ящерики отакэ!
> ящерики отакэ!Бывает так, что даже желание сделать гадость невольно приносит благо. При всей одиозности оппонента он попал пальцем в небо и насчет алгоритмов не так уж и неправ. Поэтому tor годится чтобы никто не узнал кто и где порево смотрел. Но если ты кому-то серьезно насолил - атакущие с достаточными ресурсами имеют некие шансы, отличные от ноля.
> Сама система tor есть квазианонимна, в неё заложена архитектурная бага и как
> минимум сша и германия ею пользуются для деанонимизации.Там более 1 бага на уровне алгоритмов. Да и направление только развивается, ему надлежит пройти большой путь.
Мир изменился. Информация хочет течь свободно. Но некоторые к этому не готовы и пытаются всячески корежить нам сети. Но, как вы понимаете, все эти потуги типа роскомназдора и блокировок - это что-то типа требований ходить в городской черте перед автомобилем с флагом, и не более 6 км/ч. Ну а дело уважающих себя инженеров - нагнуть все это лобби политиканов и аферистов, обеспечив свободные потоки информации. А дальше ими могут пользоваться кто угодно и как угодно. Примерно как кто угодно пользуется воздухом на планете.
P.S. а атаки на сеть Tor требуют ресурсов и не приводят к 100% результату. То-есть, отловить пару особо навязших на зубах криминалов - при сильном желании конечно можно. Но вот массовая слежка - таки срывается. Даже для США. АНБ по этому поводу назвало тор "вонючкой" в утекших документах.