Я не ослышался? Они сказали Хамелеон?

Не потянули поднять достаточно узлов? Бывает.

Проигрывать СШП не обидно. Почему-то мне кажется вполне реальным ломать трафик конкретного пользователя на уровне провайдера, а вот установить кто-где без серьёзных вложений достаточно сложно будет (и даже с ними, проще и надёжней внедрить какой-нибудь эксплойт).

[paranoid mod]А может вброс инициированный МВД? Типа - «TOR непробиваем и неломаем, хомячки продолжайте пользоваться!» А на самом деле научились деанонимизировать пользователя и потирая ручки ждут?[/paranoid mod]

Сам-то веришь?

В АНБ тоже особо не верили.

Распилили бабло и забыли. Всё как обычно.

http://risovach.ru/upload/2013/09/mem/enot_29768441_orig_.jpeg

Сам-то веришь?

Не верю, но сильно сомневаюсь в правдивости информации изложенной в «Ъ». А что мешает подозревать такую версию?

Причём здесь флот?

МВД привлекло для борьбы с анонимностью в сети

Ого, они уже с анонимностью борятся. Но ведь никаких законов по этому поводу принято не было. Их собственная инициатива.

Чтобы никто не догадался.

за миллионы денег оказались бессильными

просто в этот раз нужно было показать реальный результат, эти попил бюро всегда бессильны, если нужен реальный результат.

Просто чудесные новости. Жаль только напрасно вбуханных денег в чужие карманы ни за5,1

Почему же. Отрицательный результат тоже результат. Интересно было бы глянуть как они пытались ломать. Ценная весьма информация. Это если пытались,конечно.

Ага, имитировали бурную деятельность, да писали тонны мукулатуры - все как обычно

Ну, все же мы не знаем что там делали. Хотя это «чет не пошло, пацаны» в самом деле выгледит стпанно по меньшей мере.

Ко-ко-ко.

Видимо имелся в виду флот американский, который этот тор и придумал.

Читаем между строк: ЦНИИ ЭИСУ успешно взломал ТОР и хочет, чтобы все думали что не взломал.

Тут скорек просто надо было отчитатся по поводу миллионов расходов

Как бы это не оказалось подготовкой запрета tor ипрочих p2p сетей.

Ну всё теперь TOR не получит сертификат соответствия lol

Кстати а какие у мвд есть средства деанонимизировать человека ирл? Допустим идёт человек без документов, его задерживают до выяснения (на 3 суток что ли), человек не сознаётся, что он Вася. Чего дальше? Понятно, что беседа с пристрастием даёт чудесный результат, но хотелось бы с точки зрения закона. Предположим, что пальцев в базе тоже нет.

+1 Зубы давно точат. Правда и тор совершенствуется, маскировка (meek) уже в штатных возможностях, а ее заблокировать-то посложнее будет.

Вангую, что сначала сайты, раздающие тор-программы заблокируют. В особо упоротом случае и все зеркала дистрибутивов Linux, в которых он есть.

Выпустят, по закону, а потом снова задержат :) Мне кажется таких Васей-дураков играть в игры нет.

а кулхацкер Вася в это время выпас через тор всех своих одноклассников и ругает клоунов ламерами маздайными

Почему-то мне кажется вполне реальным ломать трафик конкретного пользователя на уровне провайдера

Без какого-то читерства в виде наличия сертификатов с закрытым ключом и т.п. вряд ли можно.

Решето не смогли взломать.
Миллиарды, распиленные лично Сталиным, потрачены.
План Даллеса продолжит ломать скрепы.
...
Легендирование? Не, не слышал.

Какое нах легендирование, ты веришь, что за 3.9 млн. рублей (в статье это число указано как стоимость контракта по взлому тор) можно было провести работы по взлому такой системы как тор? Очень похоже, что взялись попилить этот госНИР и тут внезапно выяснилось, что нужен серьезный практический результат, который не факт еще что возможен в принципе.

Tor создан для анонимизации трафика, поэтому пытаться обойти это равносильно попытке уничтожить весь tor. Однако, дырки в tor находят каждый год.

можно было провести работы по взлому такой системы как тор?

Какую цифирку должны нарисовать в новостях, чтобы этого стало достаточно для отечественного НИОКРа?

Однако, дырки в tor находят каждый год.

Важно еще различать дырки в браузере и в самой сети как таковой. Да, что-то ослабляющее безопасность и при некоторых условиях, позволяющее нарушить приватность находят, но чего-то очень серьезного я не упомню.

Tor вообще так устроен, что если только там нет совсем аховой уязвимости, чтобы воспользоваться имеющимися, надо завести очень много контролируемых узлов.

Какую цифирку должны нарисовать в новостях, чтобы этого стало достаточно для отечественного НИОКРа?

Давайте хотя бы по самому минимуму по зарплате подсчитаем.

Чтобы был какой-то результат (даже обоснованно отрицательный) нужно чтобы поработали очень опытные теоретики и практики в области ИБ, не сочинители бумаг для сертификации, а люди, которые что-то могут.

Итак нужно:

Очень хороший аналитик, реально разбирающийся в криптоалгоритмах - допустим всего 1 человек даже. Я так мыслю, что менее чем за 150 тыс.руб. /мес. таких не найти в принципе. И вообще, это штучные люди, их еще поди найди и перемани в проект.

Программистов, разбираться с кодом тора - человека три точно надо. - Допустим даже за 100 тыс. руб. таких нашли.

Руководитель всего этого дела. - 120 тыс. (на самом деле, чтобы он меньше исполнителя получал - это нонсенс в российских реалиях).

То есть, 150+3*100+120 = 570 тыс. руб. в месяц.

Учитываем разные налоги, лень считать точно, но грубо можно на 0.65 поделить 570/0.65 = 877 тыс. в месяц.

Итак, команде нужно 877 тыс. в месяц тратить. Умножим эту цифру на 24 (вроде 2 года было), получим 21 миллион рубчиков. А это ведь не учтены расходы на оборудование, например, если нужны какие-то особые компы для взломов, для организации подставных нод и т.д. Да и зарплату спецов такого уровня я весьма занизил. Как и количество людей. В итоге нужно как бы не раза в три-четыре больше.

Хотя можно и до 4 миллионов уменьшить, если работать стали пенсионеры и студенты и без того на зарплате в НИИ. С соответствующим результатом.

P.S. И еще что важно. От людей, выполняющих такой НИР, фактически требуют совершить запланированное открытие (найти уязвимость или серьезные баги), которого может и не случиться вообще.

«Кто его раздевает, Тот слёзы проливает»
Русская народная пословица

Да и зарплату спецов такого уровня я весьма занизил

А по факту в этом НИИ скорее всего 35000 а не 150000 прогерам платят. Поэтому 21 млн это завышеные затраты

Хотя можно и до 4 миллионов уменьшить, если работать стали пенсионеры и студенты и без того на зарплате в НИИ. С соответствующим результатом

This

Зачет!

Ага, имитировали бурную деятельность, да писали тонны мукулатуры - все как обычно

Пруфы или б.

Доказательств их работы, тем не менее, нет

«Учёные проверяли гипотезу. Результат оказался отрицательным.» => учёные не работали. Железная логика.

Написано же в новости, что не получили они результат, ни отрицательный ни положительный, и отказались выполнять обязательства. По сути, расписались в отсутствии у себя квалификации.

Есть мнение, что иногда такие контракты дают уже под готовое изделие. Т.е. если шарага Х нашла способ как-то там пошалить в Торе, она могла просто сторговаться с МВД на определенную сумму, всю сделку оформили как НИР(мб из-за авторских прав).

Это так, еще одна версия в копилку.

Только вот такие исследования проводят штатные сотрудники.За премию, если повезет

Есть мнение, что иногда такие контракты дают уже под готовое изделие. Т.е. если шарага Х нашла способ как-то там пошалить в Торе, она могла просто сторговаться с МВД на определенную сумму, всю сделку оформили как НИР(мб из-за авторских прав).

Может и так быть, но может и так, что у них были какие-то идейки на «пошалить» или баги в торе на 2013-й год, который потом закрыли и они остались ни с чем. Вообще, такая разработка должна вестись постоянно.

В принципе, как пошалить в Торе, даже без особого взлома, было известно и как раз в 2013-м году были публикации на этот счет. Если вкратце - суть в том, что на уровне провайдера собираются fingerprints (электронные отпечатки пользователя) и на уровне конечного ресурса или выходных нод они же собираются и сличаются.

Отпечатками могут быть особенности сетевой активности, что-то утекшее, через тор-браузер в сочетании с перехваченными открытыми данными, были (и наверное есть) разные интересные штуки, особенно с включенным JavaScript.

Но разработчики тор и тор-браузера постоянно совершенствуют его, как раз убирая разные возможности брать такие «отпечатки», хотя что-то остается наверное. Но все оно, если нет грубых багов, по-видимому не очень надежное и для более-менее гарантированной идентификации требует контроля над большим количеством узлов и т.п. А я сильно сомневаюсь, что выходные ноды за пределами РФ создаются на деньги российских налогоплательщиков :)

В общем, может быть конечно всякое, но скорее всего они действительно не смогли подломать тор. По крайней мере в объемах, требуемых неизвестным ТЗ.

вполне ожидаемо

чтобы работать на госслужбы расеюшки, нужно быть олигофреном. куда уж там олигофрену взломать Tor?