Подозрения о наличии опасной zero-day уязвимости в дистрибутиве Tails

22.07.2014 23:17

Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал о выявлении в дистрибутиве Tails (The Amnesic Incognito Live System) опасной уязвимости, позволяющей получить удалённый контроль над системой и деанонимизировать пользователя. Сообщается, что проблема присутствует во всех выпусках, включая ещё не анонсированный выпуск Tails 1.1, образы которого несколько часов назад были загружены на FTP-сервер проекта.

Tails выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Наиболее известными пользователями дистрибутива являются Брюс Шнайер и Эдвард Сноуден. Примечательно, что руководитель Exodus Intelligence ограничился голословными заявлениями о наличии проблемы и пообещал раскрыть информацию в будущем, не представив никаких доказательств наличия уязвимости. Кроме того, информация была опубликована не в специализированном издании, а в финансово-экономическом журнале Forbes.

Не исключено, что заявление является провокацией, направленной на подрыв авторитета Tails. Также возможно, что источником проблемы является Firefox, который предлагается в Tails в качестве браузера по умолчанию, и в котором сегодня были устранены 4 критические уязвимости (CVE-2014-1547, CVE-2014-1548, CVE-2014-1551, CVE-2014-1556).

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40252-tails

Ключевые слова: tails

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (61)

1.1, Аноним (-), 23:41, 22/07/2014 [ответить] [﹢﹢﹢] [ · · · ]

+8 +/–

Немного анализа.

Цитата:Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал

Из всего ясно что Чукча продавец, а не рассказчик.
А это значит - рассказчику - заплатили - за рассказ. Кто заплатил - ясно.
Зачем - тоже ясно.

2.3, Карбофос (ok), 00:06, 23/07/2014 [^] [^^] [^^^] [ответить]	+5 +/–
торгаши любого из родственников за тридцать серебрянников и меньше сплавят.

2.6, asavah (ok), 01:25, 23/07/2014 [^] [^^] [^^^] [ответить]

+7 +/–

> А это значит - рассказчику - заплатили - за рассказ. Кто заплатил - ясно.

интересная теория.

предлагаю другую:
>Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях

таким образом продаван какбэ намекает, что данные уязвимости и возможно даже прототипы эксплоитов у них есть и ненавязчиво предлагает своим клиентам (настоящим и будущим) пройти через кассу и отовариться.

3.19, SunXE (ok), 12:19, 23/07/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Такие вещи не заявляют во всеуслышание, а продают по тихой кому нужно. Такие заявления повод разработчикам начать искать дырки и прикрыть их, тогда этим продавцам нечего будет продавать, а оно им надо? А вот для того чтобы подорвать доверие к этому дистрибу, подобный вброс как раз. Как это было с TrueCrypt, значит дистриб нормальный, можно пользоваться)

2.23, Брат Анонпитонер (?), 14:57, 23/07/2014 [^] [^^] [^^^] [ответить]	–1 +/–
))) А это вообще кто и что?

1.2, arisu (ok), 23:55, 22/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
на словах он левтолстой, а на деле… трепло.

1.7, Аноним (-), 01:39, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Чувак прорекламировал себя в Форбс. Ну ок.

2.18, Аноним (-), 12:03, 23/07/2014 [^] [^^] [^^^] [ответить]	+/–
Чувак всегда хотел попасть в форбс, но с баблом как-то не складывалось.

1.8, Аноним (-), 05:14, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Кстати, господа. Не в курсе, почему tails может не работать в qemu? Как победить?
Просто операционка не грузится, в dmesg основной системы такое появляется

[428686.676436] kvm [25731]: vcpu0 unhandled wrmsr: 0x40 data 0
[428686.676444] kvm [25731]: vcpu0 unhandled wrmsr: 0x41 data 0
[428686.676448] kvm [25731]: vcpu0 unhandled wrmsr: 0x42 data 0
[428686.676451] kvm [25731]: vcpu0 unhandled wrmsr: 0x43 data 0

что 1.1, что предыдущий релиз

запускаю из Arch amd64.

2.10, Forth (ok), 06:47, 23/07/2014 [^] [^^] [^^^] [ответить]	+/–
Эти сообщения не имеют отношения к загрузке. Копайте в другом месте.

1.9, forsam (?), 05:36, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"Лекцию о взломе Tor отменили на конференции Black Hat" может он ето имел в виду?

2.44, Michael Shigorin (ok), 19:40, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
> "Лекцию о взломе Tor отменили на конференции Black Hat" Тем временем: http://www.vz.ru/news/2014/7/24/697069.print.html

1.11, Zenitur (ok), 07:32, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Спасибо опеннету за хорошую подборку новостей и их переводы Если бы не опеннет,... большой текст свёрнут, показать

2.21, umbr (ok), 14:05, 23/07/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Эк тебя прорвало! В одном посте всех обосрал, и только "Разве что Хабрахабр" не удостоился критического замечания.

2.33, Глас Божий (?), 22:07, 23/07/2014 [^] [^^] [^^^] [ответить]	+/–
Как айтишник может не знать английский? Или на курсы запишись, или вон из профессии.

3.35, chinarulezzz (ok), 00:23, 24/07/2014 [^] [^^] [^^^] [ответить]

+1 +/–

>Как айтишник может не знать английский?

а можно не называть себя айтишником. Тогда и проблем никаких нет.

>Или на курсы запишись, или вон из профессии.

можно просто делать что нравится не обременяя себя "профессией".

4.36, arisu (ok), 00:25, 24/07/2014 [^] [^^] [^^^] [ответить]	–2 +/–
не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения — это сейчас всё равно, что не уметь читать вообще.

5.38, chinarulezzz (ok), 00:27, 24/07/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения > — это сейчас всё равно, что не уметь читать вообще. можно и не уметь читать вообще)) я себе это разрешил. доказывайте мне как я неправ.

6.39, arisu (ok), 00:39, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
можно и в штаны себе срать. ничего «неправильного» в этом нет, но…

7.41, chinarulezzz (ok), 00:52, 24/07/2014 [^] [^^] [^^^] [ответить]	+2 +/–
> можно и в штаны себе срать. ничего «неправильного» в этом нет, но… играем в свободные ассоциации? :-D

8.59, Аноним (-), 04:49, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
Скорее, такой hint о prerequisites и dependencies в софтварном понимании ... текст свёрнут, показать

5.45, Michael Shigorin (ok), 19:43, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
> не знать языка Цивилизации в объёме, достаточном хотя бы для свободного чтения > — это сейчас всё равно, что не уметь читать вообще. Ты крайне неправ. Да, такой примитивный язык можно осилить за несколько недель (если нет намерения сверкать неправильными глаголами во глубине колодца времён). Но при чём здесь цивилизация, если это язык в первую очередь обмана?

6.46, Золотой Молох (?), 20:03, 24/07/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Да при том, наверное, что вся современная научная литература на русский язык чаще плохо переводится, чем хорошо пишется. Так уж устроен современный мир -- хочешь быть на острие прогресса? Знай английский. Если память не изменяет, ещё в 2009 году на английский переводилось абсолютное большинство научных статей вне зависимости от языка оригинала. Не вижу причин, по которым это могло измениться. Считай это базовым образованием: уметь считать; писать и читать на родном языке; пользоваться столовыми приборами; вытирать задницу; обладать базовыми знаниями об устройстве вселенной; уметь пользоваться интернетом и разговаривать по-английски. Если что-то из этого отсутствует -- срочно восполнять пробелы. Нет, ну понятно, что дворнику всё это скорее всего не пригодится в жизни и в труде. Но столько дворников не нужно.

7.50, chinarulezzz (ok), 02:19, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
>Считай это базовым образованием >разговаривать по-английски Ну ты же образованный человек, английский знаешь. Ну то что может когда-то пригодиться - еще не причина для того чтоб это изучать. Жизнь сама подкидывает необходимость действовать. Ну нет такой необходимости знать английский, если я, например, или Зеня его не знаем. Судя по переводам книг по программированию/ОС/сетям - таких как мы много. И я не готов учить то, что не хочется/не необходимо/не jff. И те кто знает английский находят в этом свой труд и удовольствие, и делают это, переводят. Все мы нужны друг другу, знающие английский и незнающие его. И мне, дворнику, нужен переводчик, чтоб из праздного любопытства почитать книгу по перлу и программировать для себя и других после работы с удовольствием. Айти мы, или не айти - зависит от результата, а не знания или незнания чего угодно, в том числе английского.

8.51, arisu (ok), 03:07, 25/07/2014 [^] [^^] [^^^] [ответить]	–1 +/–
что характерно у человека, не знающего английского, результаты 8212 говно ... текст свёрнут, показать

9.53, chinarulezzz (ok), 03:28, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
я больше не играю, у тебя одни и те же ассоциации ... текст свёрнут, показать

10.56, arisu (ok), 04:34, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
а я и не играл ... текст свёрнут, показать

11.58, chinarulezzz (ok), 04:40, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
ну извини, не знал что ты серьёзно ... текст свёрнут, показать

12.61, arisu (ok), 04:53, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
а я всегда серьёзный даже когда шучу ... текст свёрнут, показать

6.48, arisu (ok), 21:03, 24/07/2014 [^] [^^] [^^^] [ответить]	–4 +/–
пока что я знаю один «язык обмана»: русский.

6.60, Аноним (-), 04:53, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
> Но при чём здесь цивилизация, если это язык в первую очередь обмана? Это прежде всего единственный язык который является общим знаменателем у русского, испанца и китайца, повстречавшихся на просторах сети. Нет, извините, китайцу впадлу учить русский и испанский. Мне тоже как-то не с руки учить китайский и испанский. Да и испанец от перспективы учить русский и китайский не пропрется. А по английски мы попыхтим но поймем друг друга кое-как.

7.65, chinarulezzz (ok), 05:15, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
>> Но при чём здесь цивилизация, если это язык в первую очередь обмана? > Это прежде всего единственный язык который является общим знаменателем у русского, испанца > и китайца, повстречавшихся на просторах сети. Нет, извините, китайцу впадлу учить > русский и испанский. Мне тоже как-то не с руки учить китайский > и испанский. Да и испанец от перспективы учить русский и китайский > не пропрется. А по английски мы попыхтим но поймем друг друга > кое-как. Кстати хорошая причина развивать онлайн-переводчики. Открытые, конечно.

8.67, arisu (ok), 12:26, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
нет никакой причины это делать быдло должно сидеть в своей резервации и не порт... текст свёрнут, показать

9.68, chinarulezzz (ok), 12:50, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
разве это не развитие технологий, сделать так, чтоб все общались друг с другом н... текст свёрнут, показать

10.69, arisu (ok), 12:57, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
нет перевод невозможен без понимания смысла текста, а понимание машиной смысла ... текст свёрнут, показать

11.70, chinarulezzz (ok), 15:51, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
так и я об этом ... текст свёрнут, показать

9.75, Michael Shigorin (ok), 11:40, 29/07/2014 [^] [^^] [^^^] [ответить]	+/–
А бритики и так сидят в своей туманной помойке с ровными лужайками -- теперь там... текст свёрнут, показать

10.76, arisu (ok), 13:53, 29/07/2014 [^] [^^] [^^^] [ответить]	+/–
я знаю 171 этот самый английский 187 вполне достаточно, чтобы читать, понима... текст свёрнут, показать

11.77, Michael Shigorin (ok), 15:16, 29/07/2014 [^] [^^] [^^^] [ответить]	+/–
I Так I я его знал ещё в школе А это вообще языковое недоразумение, ещё б... текст свёрнут, показать

12.78, arisu (ok), 15:26, 29/07/2014 [^] [^^] [^^^] [ответить]	+/–
я очень рад за тебя и что ломающие новости, однако не подскажешь, у кого там ... текст свёрнут, показать

13.79, Michael Shigorin (ok), 14:37, 30/07/2014 [^] [^^] [^^^] [ответить]	+/–
У бритиков А у америки сейчас на Украине с теми же методами Жизнь покажет О ... текст свёрнут, показать

14.80, arisu (ok), 14:59, 30/07/2014 [^] [^^] [^^^] [ответить]	+/–
мишенька, иди в задницу ... текст свёрнут, показать

4.47, Золотой Молох (?), 20:06, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
>>Как айтишник может не знать английский? > а можно не называть себя айтишником. Тогда и проблем никаких нет. >>Или на курсы запишись, или вон из профессии. > можно просто делать что нравится не обременяя себя "профессией". Да можно вообще всё, кроме того, что действительно нельзя, да и то нет-нет, а и возникнут сомнения. Людей без профессии, не хотящих ничего знать и ничему учиться есть даже какое-то обидное название. И не зря.

5.49, chinarulezzz (ok), 02:02, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
> Людей без профессии, не хотящих ничего > знать и ничему учиться есть даже какое-то обидное название. И не > зря. нехило обобщил простое незнание английского языка и нежелание его учить. Обожемой, кому-то пофиг на английский язык, святотатство! Вон из "святыни"!))

6.52, arisu (ok), 03:08, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
дикарю много чего кажется ненужным. на то он и дикарь.

7.54, chinarulezzz (ok), 03:29, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
> дикарю много чего кажется ненужным. на то он и дикарь. ну и что?

8.55, arisu (ok), 04:33, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
для дикаря 8212 ничего именно поэтому он так и останется дикарём натурально... текст свёрнут, показать

9.57, chinarulezzz (ok), 04:39, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
чувак, я согласен Ты продолжаешь убеждать остальных что я дикарь или себя ... текст свёрнут, показать

10.62, arisu (ok), 04:53, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
я отдыхаю, у меня перекур ... текст свёрнут, показать

10.63, Аноним (-), 04:54, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
Айтишник без знания английскорго обречен питаться информационными объедками в св... текст свёрнут, показать

11.64, chinarulezzz (ok), 05:08, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
Да я и не против, друг, просто меня это не волнует Если ты меня понимаешь Меня... текст свёрнут, показать

12.71, Глас Божий (?), 16:49, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
Всё было бы хорошо, но любой перевод искажает и теряет смысл Считай, что у тебе... текст свёрнут, показать

13.72, arisu (ok), 17:01, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
171 функционал программы 187 и 171 использование рефлексии при написании к... текст свёрнут, показать

13.73, chinarulezzz (ok), 20:32, 25/07/2014 [^] [^^] [^^^] [ответить]	+/–
даже само чтение заученным языком искажает смысл, да что там, само восприятие ... текст свёрнут, показать

1.16, Нанобот (ok), 09:56, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
на параноиков давит

2.43, цирроз (ok), 11:26, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
Думается, что имело место элементарное вымогательство с разработчиков дистрибутива.

1.22, ИТаджик (?), 14:53, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а как в этом поделии заскринить екран gnome-screensaver отказывается выполнить ... большой текст свёрнут, показать

2.37, chinarulezzz (ok), 00:25, 24/07/2014 [^] [^^] [^^^] [ответить]	+/–
xscreensaver есть?

3.66, Итаджик (?), 08:41, 25/07/2014 [^] [^^] [^^^] [ответить]

+/–

> xscreensaver есть?

Поставил. Спасибо!

1.27, Аноним (-), 15:23, 23/07/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ураааа!!!

1.74, slr (?), 05:07, 26/07/2014 [ответить] [﹢﹢﹢] [ · · · ]

+/–

http://127.0.0.1:7657/home

2014-07-24: Vulnerability Found In I2P Based On JS And XSS

The Exploit Dealer Exodus Intelligence has found a vulnerability in I2P and made this public after trying to sell it. The I2P team got notice of this issue today and works on a fix to be included in next stable I2P version 0.9.14. The issue is based on JS and XSS, so disable Javascript in your browser or using NoScript will render this exploit useless on a quick fix. I2P base function is NOT afflected by this issue, it is a pure browser based problem.

http://blog.exodusintel.com/2014/07/23/silverbullets_and_fairytails/

The Vulnerable Component

The vulnerability we will be disclosing is specific to I2P. I2P currently boasts about 30,000 active peers. Since I2P has been bundled with Tails since version 0.7, Tails is by far the most widely adopted I2P usage. The I2P vulnerability works on default, fully patched installation of Tails. No settings or configurations need to be changed for the exploit to work.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: