Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 86
Trying to grok this Facebook-over-Tor thing. On the one hand, cool! On the other, it seems a little like taking a shower and rolling in mud.twitter.com/matthew_d_green/status/528187078149144577
КАК? КАК?? КАК???? КАК ОНИ СУМЕЛИ ПРОБРУТФОРСИТЬ ХЕШИ НАСТОЛЬКО ГЛУБОКО? ЭТО ЖЕ ТРИЛЛИОНЫ ТРИЛЛИОНОВ КОМБИНАЦИЙ!
Извините, что недостаточно большие буквы для вопроса.
(краткая справка: чтобы получить звучное начало имени в *.onion, нужно подбирать такой приватный ключ, чтобы публичный содержал желаемые буквы — чем больше букв, тем больше комбинаций надо перебирать. Например, 6415).
Извините, что недостаточно большие буквы для вопроса.
(краткая справка: чтобы получить звучное начало имени в *.onion, нужно подбирать такой приватный ключ, чтобы публичный содержал желаемые буквы — чем больше букв, тем больше комбинаций надо перебирать. Например, 6415).
Да, я тоже крайне удивился. Даже core, е-мое.
Говорят, что они сбрутили кучу хешей, начинающихся на facebook, и выбрали наиболее красивый.
archives.seul.org/tor/talk/Oct-2014/msg00433.html
archives.seul.org/tor/talk/Oct-2014/msg00433.html
Значит ли это, что кто-то ещё может сбрутфорсить то же имя?
Нет. Они просто перебирали совершенно случайные имена, потом взяли те, которые получились с «facebook» в начале и выбрали самое красивое.
Непонимаю ваше нет!
Если кто то смог получить адрес (и приватные ключи к нему) до последней буквы желаемый — значит сможет это сделать с любым другим адресом!?
Если кто то смог получить адрес (и приватные ключи к нему) до последней буквы желаемый — значит сможет это сделать с любым другим адресом!?
В том и дело, что они подбирали только первые 8 символов (facebook), а на остальные 8 они не могли влиять. Получился такой красивый ключ, в который входило слово «core», вот они и решили его выбрать из-за того, что можно хоть историю придумать.
facebook сбрутфорсить можно.
facebook + красивое слово — сбрутфорсить можно.
Значит, чтобы сейчас сбутфорсить facebookcorewwwi — нужно в N раз больше усилий, чем потратило facebook,
где N — количество «красивых слов»?
facebook + красивое слово — сбрутфорсить можно.
Значит, чтобы сейчас сбутфорсить facebookcorewwwi — нужно в N раз больше усилий, чем потратило facebook,
где N — количество «красивых слов»?
Нет. Facebook+Corewwwi по сложности не отличается от facebook+fgxdiojh или fghyzcgs+fdsahkuy. Просто они из огромной пачки случайных ключей выбрали симпатичный.
facebook + красивое слово — сбрутфорсить можно.
Случайно получилось, что последовательность после «facebook» «core».
Вот смотрите, брутилка на GPU.
.onion Address 2^(5*length-1) / hashspeed
For example on my nVidia Quadro K2000M, I see around 90 MH/s.
Чтобы получить конкретно facebookcoreXXXX, нам нужно 203 года. Чтобы сбрутить facebookcorewwwi, нужно 212971034 лет.
Извините, как случайно-то? Я правильно понял (сам не в теме, извините; просто заинтересовало), что нам нужно вычислить хеш, на выходе которого мы и получаем, условно, нужную строку? И вдруг, совершенно случайно, на очередном раунде, имеем на выходе нужную красивую строчку?
Возможно это и было сделано, чтобы публично продемонстрировать их возможности знающим людям, скомпрометировать Tor, или что-нибудь ещё из этой серии. Времена сейчас тревожные.
Во-первых у них МНОГО машин.
Во-вторых за 30 минут на лаптопе легко брутится нечто, начинающееся с нужных 6 букв.
Так что я удивлен, что они себе просто facebook.onion не сбрутили =)
Во-вторых за 30 минут на лаптопе легко брутится нечто, начинающееся с нужных 6 букв.
Так что я удивлен, что они себе просто facebook.onion не сбрутили =)
6 букв это совсем не 8. Брутить 8 значительно сложнее.
Tor-адрес не может быть менее или более 16 символов.
Tor-адрес не может быть менее или более 16 символов.
6 букв — это на лаптопе. за 30 минут.
Средний сервер, которые сейчас у нас закупают имеет 16 ядер (+HT), при том каждое ядро раза в 2 быстрее одного ядра моего лаптопа. И да, на моём лаптопе 2 ядра (+HT).
А сервера в mapreduce прекрасно собираются, да.
Средний сервер, которые сейчас у нас закупают имеет 16 ядер (+HT), при том каждое ядро раза в 2 быстрее одного ядра моего лаптопа. И да, на моём лаптопе 2 ядра (+HT).
А сервера в mapreduce прекрасно собираются, да.
Вы за 30 минут получаете всего один ключ, который начинается на нужные вам 6 символов. На все остальные символы вы не можете влиять. Для получения нужных 7 символов, потребуется уже десятки часов.
Спалились парни. Они знаю о TOR-е что-то, чего мы с вами не ведаем :)
Если только, конечно, Цукербергу не приснились эти ключи после долгого рабочего дня — как Менделееву его Периодическая таблица.
Если только, конечно, Цукербергу не приснились эти ключи после долгого рабочего дня — как Менделееву его Периодическая таблица.
Кое-кому удалось купить SSL-сертификат на имя facebookcorewwwi.onion
blog.ian.sh/2014/10/31/tls-over-tor/
blog.ian.sh/2014/10/31/tls-over-tor/
Уже отозвали.
А что если купить домен первого уровня .onion?
А вам его кто-то продаст?
Да, их продают. Яндекс себе уже купил.
Вы — Яндекс? (: Повторю вопрос: кто вам его продаст? Посмотрите, сколько времени заняла эта заявка у Яндеха, а они — не самая мелкая и малозначительная организация.
Почему вы хотите обсуждать не обобщённую (при этом реализуемую) возможность покупки домена, а конкретную возможность покупки домена именно мной. Нет, я не могу купить этот домен. Зарплата не позволяет. Вообще же такие домены продаются.
Я думаю, вы замучаетесь собирать «бумажки». Более того, я не думаю, что люди распределяющие домены первого уровня — наивные идиоты.
Зря минусуете. Человек может неверно выразился, но вообще дело говорит.
Яндекс действительно получил домен… ну если быть точнее, то зону, потому что это Яндекс. И не потому что у них бабок больше. Там всё тоньше и сложнее. Помимо бабла там нужно еще доказывать что ты будешь хорошим хозяином этой зоне. Арабам халяль дали, и вот у евреев с кошером пока проблемы — конкуренты выступают против.
Конечно вероятность создания такой зоны не нулевая, но пока я не очень себе представляю процедуру того как она должна работать, чтобы это допустили в текущей структуре Интернета.
Яндекс действительно получил домен… ну если быть точнее, то зону, потому что это Яндекс. И не потому что у них бабок больше. Там всё тоньше и сложнее. Помимо бабла там нужно еще доказывать что ты будешь хорошим хозяином этой зоне. Арабам халяль дали, и вот у евреев с кошером пока проблемы — конкуренты выступают против.
Конечно вероятность создания такой зоны не нулевая, но пока я не очень себе представляю процедуру того как она должна работать, чтобы это допустили в текущей структуре Интернета.
Здорово, что хоть кто-то понял о чём я.
Кстати, о деньгах я даже не упоминал. Лишь о том, что Яндекс — довольно крупная и значимая в русскоязычной части Интернета компания. Однако, они сами пишут:
Это была большая работа финансово-юридического департамента, а помогала нам подавать заявку Британская фирма Safenames, которая давно помогает нам с регистраций доменов.
Заявка стоит достаточно дорого — 185 тысяч долларов, так что, видимо, не каждый.
Ещё где-то писалось, что это заняло не мало времени, правда сейчас найти не смог источник.
Итого:
с одной стороны — крупная и авторитетная компания, домен совпадающий с именем компании,
с другой — не малые затраты на регистрацию.
Заявку на регистрацию ".onion" ICANN даже рассматривать не будут, имхо. Это всё равно что попытаться зарегистрировать localhost.
Кстати, о деньгах я даже не упоминал. Лишь о том, что Яндекс — довольно крупная и значимая в русскоязычной части Интернета компания. Однако, они сами пишут:
Это была большая работа финансово-юридического департамента, а помогала нам подавать заявку Британская фирма Safenames, которая давно помогает нам с регистраций доменов.
Заявка стоит достаточно дорого — 185 тысяч долларов, так что, видимо, не каждый.
Ещё где-то писалось, что это заняло не мало времени, правда сейчас найти не смог источник.
Итого:
с одной стороны — крупная и авторитетная компания, домен совпадающий с именем компании,
с другой — не малые затраты на регистрацию.
Заявку на регистрацию ".onion" ICANN даже рассматривать не будут, имхо. Это всё равно что попытаться зарегистрировать localhost.
Внезапно, оно не даёт регистрироваться из orweb'a (tor-браузер для андроида). Требует js и все такое. Пока что не катит.
Ну, вы не надейтесь, что они будут поддерживать работу без js. Как бы и в Tor Browser поддержку js по умолчанию не выключают.
Вообще, надеюсь. Js слишком много говорит о браузере и платформе, это позволяет трекать человека и следить за ним. Я понимаю, что это священная обязанность фейсбука, но уж раз сказали тор, то анонимность надо делать до конца.
Да как бы об анонимности ничего сказано не было, только о безопасности. Это смешно как-то, facebook и анонимность.
По сути, это просто более удобный способ попасть на facebook в случае блокировки.
По сути, это просто более удобный способ попасть на facebook в случае блокировки.
Why not? Если они разрешат анонимность (пусть, с ограничениями по взаимодействию с обычными пользователями), то сумеют нарастить аудиторию из гиков, параноиков и т.д., из той их части, которая 100% потеряна при текущей политике.
Можете попробовать mbasic.facebook.com/ — это мобильная версия Facebook для тех странных устройств, которые не умеют js.
> сумеют нарастить аудиторию из гиков, параноиков
Вы знаете анекдот про неуловимого Джо?
Но сделать 4chan из фейсбука — идея интересная.
Вы знаете анекдот про неуловимого Джо?
Но сделать 4chan из фейсбука — идея интересная.
Ждём несколько сотен миллионов новых пользователей из Китая.
Особо надеяться не стоит, как мне кажется:
В сравнении с Россией выглядит совсем печально…
В сравнении с Россией выглядит совсем печально…
Хм, а что случилось в середине августа 2013 и в июне 2014?
Про июнь 2014 с ходу не вспомню, но про август 2013-го: geektimes.ru/post/188556/
1 августа — Всероссийская интернет-забастовка (#ЗаконПротивИнтернета)
Регулирование интернета*, Законодательство и IT-бизнес*, Копирайт*
1 августа вступил в силу 187-ФЗ.
Более известный широкой общественности под разными эпитетами: «антипиратский», «закон о произвольных блокировках», «руcская SOPA».
Или просто — закон против интернета.
Тор в Китае давно научились блокировать, как и i2p.
интересно, кто выиграет больше — лицокнига или тор?
Больше пользователей -> больше нод, даже если не выходных, то промежуточных. Так же вроде?
Нет, Tor можно использовать не только для этого. Я использую Tor для Nat Traversal. Кто-то использует Tor для доступа к заблокированным ресурсам. Кто-то обходит с его помощью корпоративные прокси. Анонимность — только одна из сторон многогранной медали. Просто нужно помнить, что к «анонимным» ресурсам надо ходить используя браузер, отличный от основного. Чтобы исключить возможность утечки cookies/другой информации.
Не всякий клиент — нода, ноду нужно включать отдельно.
Нет, «просто пользователи» не используются как промежуточные ноды. Разве что в каком-нибудь TBB режим relay будет включен по-умолчанию.
уже раскрыли тему, конспектирую:
популяризация тора -> больше пользователей, какой то процент конвертируется в ноды -> больше нод — дороже компрометация системы. Как то так.
Что касается анонимности книголицев — уже ответили, тут речь о других пользователях тора, которые потенциально могут от этого выиграть. Хотя, конечно, при должном уровне паранойи, да, да, мы помним за чей счет банкет.
популяризация тора -> больше пользователей, какой то процент конвертируется в ноды -> больше нод — дороже компрометация системы. Как то так.
Что касается анонимности книголицев — уже ответили, тут речь о других пользователях тора, которые потенциально могут от этого выиграть. Хотя, конечно, при должном уровне паранойи, да, да, мы помним за чей счет банкет.
Официальные комменты Tor, в ответ на возникшие вопросы от общественности, например, как авторизация в FB согласуется с анонимностью)
Использовать тор для общения с друзьями в соц. сети и указывать реальные данные, ммм… да это ГЕНИАЛЬНО.
Не все так однозначно.
Одно то, что FB будет доступен вне зависимости от решений о его блокировке на территории страны — уже хороший повод соцсети там присутствовать.
+ Не только общение, но и что боятся больше всего госорганы — координация действий
+ Приход в данную сеть такого гиганта даст хороший повод задуматься и другим о своем присутствии там.
Одно то, что FB будет доступен вне зависимости от решений о его блокировке на территории страны — уже хороший повод соцсети там присутствовать.
+ Не только общение, но и что боятся больше всего госорганы — координация действий
+ Приход в данную сеть такого гиганта даст хороший повод задуматься и другим о своем присутствии там.
Молодцы. Теперь на инсинуации типа «да у вас там в даркнетах одни пиратосуицидальные педотеррористы кучкуются» можно гордо отвечать «ага, они самые + весь город Facebook».
Те, кто не понимает целесообразности и полезности этого шага, почитайте: blog.torproject.org/blog/facebook-hidden-services-and-https-certs
Там же написано и про брутфорс доменного имени.
Там же написано и про брутфорс доменного имени.
Что-то я не понимаю. Если они планируют отключить проверку от взлома аккаунта из-за выхода с «неизвестного» ранее местоположения, то это значит, что злодей, который уведёт мой пароль, сможет специально заходить на *.onion ресурс и обходить таким образом проверку? То есть это только облегчает несанкционированный доступ по украденным данным?
Я только предполагаю, но кажется, что Tor может быть одним из «местоположений», и если вы никогда им не пользовались, то facebook может посчитать его за «неизвестный» источник и провести все необходимые проверки, включая аутентификацию по телефону и так далее.
А, то есть при первом выходе провести такую проверку, а после уже не спрашивать? Ну да, такая схема уже лучше звучит, но всё равно подвергает повышенной опасности тех, кто пользуется Facebook из TOR'а. Получается как бы «общее местоположение», которым любой может воспользоваться. Как всегда, борьба удобства и безопасности
Для сети тор в принципе отсутствует понятие «местоположения», по идее даже два соседних запроса могут выйти через разные ноды. Но при этом еще может оставаться какая-нибудь проверка по версии/названию браузера, кукам и какой-нибудь косвенной информации, так что косвенных источников аутентификации остается не так мало.
Например, Tor Browser Bundle старательно затирает почти всю косвенную информацию, по которой можно различать и отслеживать пользователей. Вот тут можно пройти проверку и сравнить с обычным браузером: ip-check.info/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Facebook официально доступен в Tor