Comments 61
После таких статей начинаешь задумываться: «А кому сейчас вообще можно верить»? Пока сам что-то не напишешь и не будешь уверен в достоверности работы, использование сторонних разработок ложится на простое доверие разработчикам, начиная от ОС заканчивая мелкими приложениями.
Нельзя быть уверенным в отсутствии уязвимостей в собственных разработках. Можно только надеяться, что никому нет до вас дела и никто эти уязвимости искать не будет. Но если до вас никому нет дела, то зачем писать собственные разработки? Круг замкнулся.
Если безопасность вас, ваших близких и вашего дела зависит от доверия к кому-либо — то что-то тут не так
А с какой операционки и с какого браузера Вы сейчас написали это сообщение?
Windows 7, Firefox 23. Антивируса нет, фаерволла нет.
Если мой рабочий компьютер уйдет к «органам», ничего противоправного на нем не найдут. Неуловимый джо как он есть.
Если мой рабочий компьютер уйдет к «органам», ничего противоправного на нем не найдут. Неуловимый джо как он есть.
А если «доброжелатель» через дыру зальёт вам компромат и после этого сдаст «органам»?
Боюсь представить, каким нужно быть м… ком, чтобы появились такие доброжелатели. Особенно в плане соотношения трудозатраты/эффективность
Чтоб появились такие «доброжелатели» совсем не нужно быть мудаком. Даже совсем наоборот. Вот чтобы заливать компромат и сдавать органам — вот для этого нужно быть мудаком. Так что нужно не быть мудаком, а быть целью мудака.
Совершенно верно. Целью мудака стать очень просто. Достаточно только попасться ему на глаза. И если нет возможности создать этому мудаку ощутимые неприятности — то можно остаться его целью и жертвой на всю оставшуюся жизнь.
Яркий пример — Корейко. Он стал целью и жертвой Остапа, не сделав ему лично ничего плохого. «Ты виноват уж тем, что хочется мне кушать». Не обязательно быть миллионером, чтобы стать целью. Некоторые мудаки довольствуется и мелкой птичкой, иногда даже не для материальной выгоды, а для морального ощущения собственного превосходства от унижения других.
Яркий пример — Корейко. Он стал целью и жертвой Остапа, не сделав ему лично ничего плохого. «Ты виноват уж тем, что хочется мне кушать». Не обязательно быть миллионером, чтобы стать целью. Некоторые мудаки довольствуется и мелкой птичкой, иногда даже не для материальной выгоды, а для морального ощущения собственного превосходства от унижения других.
Никому, кроме себя. Так всегда было.
И чтобы было проще, нужно стремиться к ru.wikipedia.org/wiki/Хакер (в первом значении):
*какой-нибудь бодрый лозунг*!
Высококвалифицированный ИТ-специалист, человек, который понимает тонкости работы программ ЭВМ.и не только в области ЭВМ, а абсолютно везде и ествественно для себя.
*какой-нибудь бодрый лозунг*!
особенно после подобных случаев: blog.torproject.org/blog/how-to-handle-millions-new-tor-clients
Теперь надо будет заходить в Tor через приватный VPN из-под виртуалки с Linux со случайным MAC-адресом, находящейся в распределенном облаке.
Я правильно понял, уязвимость только в браузере, что идет в сборке? ЕМНИП, tor работает как socks-прокси, т.е. можно использовать любой другой браузер, только настроить на использование прокси.
Ежу понятно что раскрученная «бесплатная» сеть ждет недалеких гостей :) верить можно своим ключам и тоннелям :)
А кто-нибудь может пояснить механизм деанонимизации через данную уязвимость? Получили спецслужбы данные вида «Administrator» и 01:23:45:67:89:ab. Что можно узнать из этой информации? Компьютер может быть подключен через роутер, т.е. даже провайдер не узнает этот mac адрес. Не понятно, с чем сопоставить полученные данные, чтобы найти конкретного человека. Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?
Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?
Скорее у них есть база соответствий MACов и IP адресов
Тогда им нужно получать эти данные со всех провайдеров и надеяться что между искомым компьютером и сетью провайдера не стоит роутер. Не очень надежный способ для поиска преступников.
Облава — это не очень надёжный инструмент для поиска конкретного преступника, но там ведь били по площадям.
Степень желтизны заголовка перебивает даже ализара. Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.
И не бэкдор, а узявимость, которую использовали на захваченном сервере.
И не бэкдор, а узявимость, которую использовали на захваченном сервере.
Степень желтизны заголовка перебивает даже ализара.
Так лучше?
Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.
И не бэкдор, а уяpвимость, которую использовали на захваченном сервере.
Где гарантия, что подобных дыр нет в других версиях? Пока что всё выглядит как будто если бэкдор находят, это объясняется ошибкой.
Ну как вариант, вы можете поднять прокси, работающий через тор, а в браузер запустить в виртуалке, в который есть доступ только к этому прокси без доступа во внешний мир. Тогда все уязвимости должны, по идее, свестись к уязвимостям самого тора. Кстати, прокси тора тоже неплохо бы поднять в виртуалке )
Да ещё и новости самой больше месяца, и она уже была на Хабре: habrahabr.ru/post/188914/
«всегда по-умолчанию отключать JavaScript, а также отказаться от использования Windows» хорошо сказал, а еще можно вышибить себе мозги, на том свете точно не достанут.
А если его запускали на вирт машине, мак же оттуда взялся?
Не понимаю паранойи… Когда меня нет рядом, в ФБР могут меня даже бить:)
Раньше Tor был отдельным прокси а теперь только в Tor Bundle его предлагают скачать. Да и исходники с ходу не нашёл. Это может облегчение обычным юзерам но кто его знает что там ещё скрыто ставится в этом Bundle.
Врятли правительство США финансирует разработку программного обеспечения в котором можно от него скрыться. Ведь наверняка закладочки для них и там найдутся.
Исходники нашёл во «всех скачках» в категории Linux.
Интересно подмечено. Получается, руководство tor project намеренно снижает защищённость пользователей, что бы «китайцы» по прежнему могли выходить в инет, а «уродов» (по мнению США) — по прежнему можно было ловить.
Интересно подмечено. Получается, руководство tor project намеренно снижает защищённость пользователей, что бы «китайцы» по прежнему могли выходить в инет, а «уродов» (по мнению США) — по прежнему можно было ловить.
I2P. Медленно, но верно.
Медленно, пока сеть маленькая.
Сеть и будет маленькая пока они её под С/С++ не перепишут и для openwrt не спортируют.
Вы считаете, что сеть от роста удерживает то, что 1,5 гика не могут запустить ее роутер на своем домашнем роутер?
Лично я не стану специально для этого держать включённым 24/7 десктоп. А домашние роутеры у всех (примерно 100%) работают именно в таком режиме. C/C++ порт нетрудно интегрировать в ту же openwrt, например. Текущую реализацию на Java — невозможно. Если i2p не так и не дорастёт до понимания этой выгоды (хотя похоже zzz это и сам прекрасно понимает), то я лучше meshbox гиперборейский прикуплю.
Так ведь orion уже пилит, вроде git.repo.i2p/w/i2pcpp.git
Для Вас может быть, а я очень рад что оно на java. Например мой торрент клиент на java умеет I2P, а ваш? Лично я потихоньку изучаю сорцы и использую их API в своих поделках. А в С код не полезу.
И МАК-Адрес и имя компьютера без IP хрень полная.
Мак-адрес можно изменить как и имя компьютера.
Мак-адрес можно изменить как и имя компьютера.
Совсем необязательно смотреть на это все с точки зрения попытки вычислить каких-то там отдельных частных лиц не взятых на карандаш и не находящихся под колпаком и следствием. Сами сайты тоже вычислять небесполезно. Сам факт что какой-то адрес в интернете пытаются открыть через тор это повод для спецслужб присмотреться к этому ресурсу повнимательней. А глядя не число уникальных комбинаций имени компьютера и мак адреса можно судить о его популярности.
Извините, но этой «новости» уже полтора месяца http://habrahabr.ru/company/eset/blog/188974/
К сожалению, не нашёл эту статью в поиске.
Но, насколько я знаю ФБР призналась в этом недавно, до этого были лишь предположения. К тому же в той статье ни слова о финансировании Тора, а это тоже интересный факт :)
Но, насколько я знаю ФБР призналась в этом недавно, до этого были лишь предположения. К тому же в той статье ни слова о финансировании Тора, а это тоже интересный факт :)
>а это тоже интересный факт
Хотя и общеизвестный ;-)
«As of 2012, 80% of the Tor Project's $2M annual budget comes from the United States government, with the Swedish government and other organizations providing the rest» © Wiki ( en.wikipedia.org/wiki/Tor_project#History )
Хотя и общеизвестный ;-)
«As of 2012, 80% of the Tor Project's $2M annual budget comes from the United States government, with the Swedish government and other organizations providing the rest» © Wiki ( en.wikipedia.org/wiki/Tor_project#History )
Проект Tor на 60% финансируется правительством США
Прекрасно!
Говорят, «если не можешь остановить безобразие — возглавь его»
Надеюсь, в i2p таких дырок нет.
Гы! Сколько криков на хабре о свободном софте и том что там всё так прозрачно. А ведь всё гораздо проще. Хрен ты что там найдешь в этом коде! А если анб не найдет уязвимости на твоем линуксе… или бекдора… или хз чо там еще… так накатят патч… тип экстренный… и вот твоя машинко в сети светит всеми портами! А если вдруг нашли бекдор… так они его устранят и откроют новый!!! Вот вам и демократия! Я думаю в свете того что озвучил Сноуден… пора всем гикам-паладинам уже заткнуться со своими криками о светлом будущем линукса и почаще проверять последствия установки новых патчей! Забавненько выходит.
Sign up to leave a comment.
В Tor Bundle нашли уязвимость, позволяющую деанонимизировать пользователей, которой воспользовались агенты ФБР