Comments 61
После таких статей начинаешь задумываться: «А кому сейчас вообще можно верить»? Пока сам что-то не напишешь и не будешь уверен в достоверности работы, использование сторонних разработок ложится на простое доверие разработчикам, начиная от ОС заканчивая мелкими приложениями.
+6
Нельзя быть уверенным в отсутствии уязвимостей в собственных разработках. Можно только надеяться, что никому нет до вас дела и никто эти уязвимости искать не будет. Но если до вас никому нет дела, то зачем писать собственные разработки? Круг замкнулся.
+16
Если безопасность вас, ваших близких и вашего дела зависит от доверия к кому-либо — то что-то тут не так
+2
А с какой операционки и с какого браузера Вы сейчас написали это сообщение?
+1
Windows 7, Firefox 23. Антивируса нет, фаерволла нет.
Если мой рабочий компьютер уйдет к «органам», ничего противоправного на нем не найдут. Неуловимый джо как он есть.
Если мой рабочий компьютер уйдет к «органам», ничего противоправного на нем не найдут. Неуловимый джо как он есть.
+6
А если «доброжелатель» через дыру зальёт вам компромат и после этого сдаст «органам»?
+7
Боюсь представить, каким нужно быть м… ком, чтобы появились такие доброжелатели. Особенно в плане соотношения трудозатраты/эффективность
-6
Чтоб появились такие «доброжелатели» совсем не нужно быть мудаком. Даже совсем наоборот. Вот чтобы заливать компромат и сдавать органам — вот для этого нужно быть мудаком. Так что нужно не быть мудаком, а быть целью мудака.
+10
Совершенно верно. Целью мудака стать очень просто. Достаточно только попасться ему на глаза. И если нет возможности создать этому мудаку ощутимые неприятности — то можно остаться его целью и жертвой на всю оставшуюся жизнь.
Яркий пример — Корейко. Он стал целью и жертвой Остапа, не сделав ему лично ничего плохого. «Ты виноват уж тем, что хочется мне кушать». Не обязательно быть миллионером, чтобы стать целью. Некоторые мудаки довольствуется и мелкой птичкой, иногда даже не для материальной выгоды, а для морального ощущения собственного превосходства от унижения других.
Яркий пример — Корейко. Он стал целью и жертвой Остапа, не сделав ему лично ничего плохого. «Ты виноват уж тем, что хочется мне кушать». Не обязательно быть миллионером, чтобы стать целью. Некоторые мудаки довольствуется и мелкой птичкой, иногда даже не для материальной выгоды, а для морального ощущения собственного превосходства от унижения других.
0
Никому, кроме себя. Так всегда было.
+1
И чтобы было проще, нужно стремиться к ru.wikipedia.org/wiki/Хакер (в первом значении):
*какой-нибудь бодрый лозунг*!
Высококвалифицированный ИТ-специалист, человек, который понимает тонкости работы программ ЭВМ.и не только в области ЭВМ, а абсолютно везде и ествественно для себя.
*какой-нибудь бодрый лозунг*!
0
особенно после подобных случаев: blog.torproject.org/blog/how-to-handle-millions-new-tor-clients
0
Теперь надо будет заходить в Tor через приватный VPN из-под виртуалки с Linux со случайным MAC-адресом, находящейся в распределенном облаке.
+28
Вот после этого комментария на вам уделят отдельное внимание.
+1
Находясь где то в джунглях Амазонии через случайно выбранный спутник меняющийся каждые 20 минут?
+3
И не забыть устранить возможный DNS leak.
0
Я правильно понял, уязвимость только в браузере, что идет в сборке? ЕМНИП, tor работает как socks-прокси, т.е. можно использовать любой другой браузер, только настроить на использование прокси.
+1
Ежу понятно что раскрученная «бесплатная» сеть ждет недалеких гостей :) верить можно своим ключам и тоннелям :)
+1
А кто-нибудь может пояснить механизм деанонимизации через данную уязвимость? Получили спецслужбы данные вида «Administrator» и 01:23:45:67:89:ab. Что можно узнать из этой информации? Компьютер может быть подключен через роутер, т.е. даже провайдер не узнает этот mac адрес. Не понятно, с чем сопоставить полученные данные, чтобы найти конкретного человека. Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?
+1
Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?
Скорее у них есть база соответствий MACов и IP адресов
-3
Тогда им нужно получать эти данные со всех провайдеров и надеяться что между искомым компьютером и сетью провайдера не стоит роутер. Не очень надежный способ для поиска преступников.
0
Облава — это не очень надёжный инструмент для поиска конкретного преступника, но там ведь били по площадям.
+1
А, ну точно… Еще не совсем проснулся, прочитав статью подумал что так взяли самого Маркеса. А, они так сообщников искали, теперь понятно. Но, все же, думаю что процент найденных таким способом будет достаточно низким. Или там есть еще какие-то фишки, о которых мы не знаем.
0
Степень желтизны заголовка перебивает даже ализара. Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.
И не бэкдор, а узявимость, которую использовали на захваченном сервере.
И не бэкдор, а узявимость, которую использовали на захваченном сервере.
+11
Степень желтизны заголовка перебивает даже ализара.
Так лучше?
Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.
И не бэкдор, а уяpвимость, которую использовали на захваченном сервере.
Где гарантия, что подобных дыр нет в других версиях? Пока что всё выглядит как будто если бэкдор находят, это объясняется ошибкой.
+2
Ну как вариант, вы можете поднять прокси, работающий через тор, а в браузер запустить в виртуалке, в который есть доступ только к этому прокси без доступа во внешний мир. Тогда все уязвимости должны, по идее, свестись к уязвимостям самого тора. Кстати, прокси тора тоже неплохо бы поднять в виртуалке )
0
В идеале, ресурсы, к котором я подключаюсь тоже должны находиться на виртуалке на той же машине, а сама машина должна быть отключена от сети :)
+2
Да ещё и новости самой больше месяца, и она уже была на Хабре: habrahabr.ru/post/188914/
0
«всегда по-умолчанию отключать JavaScript, а также отказаться от использования Windows» хорошо сказал, а еще можно вышибить себе мозги, на том свете точно не достанут.
0
А если его запускали на вирт машине, мак же оттуда взялся?
0
Не понимаю паранойи… Когда меня нет рядом, в ФБР могут меня даже бить:)
0
Раньше Tor был отдельным прокси а теперь только в Tor Bundle его предлагают скачать. Да и исходники с ходу не нашёл. Это может облегчение обычным юзерам но кто его знает что там ещё скрыто ставится в этом Bundle.
0
Врятли правительство США финансирует разработку программного обеспечения в котором можно от него скрыться. Ведь наверняка закладочки для них и там найдутся.
+1
Исходники нашёл во «всех скачках» в категории Linux.
Интересно подмечено. Получается, руководство tor project намеренно снижает защищённость пользователей, что бы «китайцы» по прежнему могли выходить в инет, а «уродов» (по мнению США) — по прежнему можно было ловить.
Интересно подмечено. Получается, руководство tor project намеренно снижает защищённость пользователей, что бы «китайцы» по прежнему могли выходить в инет, а «уродов» (по мнению США) — по прежнему можно было ловить.
+1
I2P. Медленно, но верно.
+2
Медленно, пока сеть маленькая.
+1
Сеть и будет маленькая пока они её под С/С++ не перепишут и для openwrt не спортируют.
+2
Вы считаете, что сеть от роста удерживает то, что 1,5 гика не могут запустить ее роутер на своем домашнем роутер?
0
Лично я не стану специально для этого держать включённым 24/7 десктоп. А домашние роутеры у всех (примерно 100%) работают именно в таком режиме. C/C++ порт нетрудно интегрировать в ту же openwrt, например. Текущую реализацию на Java — невозможно. Если i2p не так и не дорастёт до понимания этой выгоды (хотя похоже zzz это и сам прекрасно понимает), то я лучше meshbox гиперборейский прикуплю.
+1
Так ведь orion уже пилит, вроде git.repo.i2p/w/i2pcpp.git
0
Для Вас может быть, а я очень рад что оно на java. Например мой торрент клиент на java умеет I2P, а ваш? Лично я потихоньку изучаю сорцы и использую их API в своих поделках. А в С код не полезу.
0
И МАК-Адрес и имя компьютера без IP хрень полная.
Мак-адрес можно изменить как и имя компьютера.
Мак-адрес можно изменить как и имя компьютера.
0
Совсем необязательно смотреть на это все с точки зрения попытки вычислить каких-то там отдельных частных лиц не взятых на карандаш и не находящихся под колпаком и следствием. Сами сайты тоже вычислять небесполезно. Сам факт что какой-то адрес в интернете пытаются открыть через тор это повод для спецслужб присмотреться к этому ресурсу повнимательней. А глядя не число уникальных комбинаций имени компьютера и мак адреса можно судить о его популярности.
0
Извините, но этой «новости» уже полтора месяца http://habrahabr.ru/company/eset/blog/188974/
+1
К сожалению, не нашёл эту статью в поиске.
Но, насколько я знаю ФБР призналась в этом недавно, до этого были лишь предположения. К тому же в той статье ни слова о финансировании Тора, а это тоже интересный факт :)
Но, насколько я знаю ФБР призналась в этом недавно, до этого были лишь предположения. К тому же в той статье ни слова о финансировании Тора, а это тоже интересный факт :)
0
>а это тоже интересный факт
Хотя и общеизвестный ;-)
«As of 2012, 80% of the Tor Project's $2M annual budget comes from the United States government, with the Swedish government and other organizations providing the rest» © Wiki ( en.wikipedia.org/wiki/Tor_project#History )
Хотя и общеизвестный ;-)
«As of 2012, 80% of the Tor Project's $2M annual budget comes from the United States government, with the Swedish government and other organizations providing the rest» © Wiki ( en.wikipedia.org/wiki/Tor_project#History )
0
Проект Tor на 60% финансируется правительством США
Прекрасно!
Говорят, «если не можешь остановить безобразие — возглавь его»
0
Надеюсь, в i2p таких дырок нет.
0
Гы! Сколько криков на хабре о свободном софте и том что там всё так прозрачно. А ведь всё гораздо проще. Хрен ты что там найдешь в этом коде! А если анб не найдет уязвимости на твоем линуксе… или бекдора… или хз чо там еще… так накатят патч… тип экстренный… и вот твоя машинко в сети светит всеми портами! А если вдруг нашли бекдор… так они его устранят и откроют новый!!! Вот вам и демократия! Я думаю в свете того что озвучил Сноуден… пора всем гикам-паладинам уже заткнуться со своими криками о светлом будущем линукса и почаще проверять последствия установки новых патчей! Забавненько выходит.
0
Sign up to leave a comment.
В Tor Bundle нашли уязвимость, позволяющую деанонимизировать пользователей, которой воспользовались агенты ФБР