LINUX.ORG.RU

Инфраструктуру Tor взломали

 ,


0

0

Известная сеть для анонимизации трафика Tor подверглась взлому. В инфраструктуре проекта злоумышленники получили контроль над двумя из семи серверов директорий и над сервером накопления статистики metrics.torproject.org. После обнаружения факта вторжения, администраторы проекта вывели пораженные машины из сети и выполнили полную переустановку программного обеспечения, вместе с обновлением идентификационных ключей.

На одном из взломанных хостов находились GIT и SVN репозитории проекта. Взломщики успели только настроить вход по SSH ключам и использовали захваченные серверы для организации атаки на другие хосты. Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.

Атакующие не получили доступ к ключам шифрования сети Tor, но на всякий случай данные ключи были перегенерированы. Пользователям и администраторам узлов рекомендуется срочно обновить программное обеспечения Tor до версии Tor 0.2.1.22 или 0.2.2.7-alpha, в которых устранена приводящая к утечке информации уязвимость и обновлены v3-ключи идентификации.

В Tor и ранее фиксировались случаи получения злоумышленниками контроля за пограничными узлами (точками выхода) через которые осуществляется непосредственное обращение к запрошенным пользователями ресурсам. Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.

>>> Подробности

Ответ на: комментарий от Werehuman

>Про ваймакс я перепутал.

А имел в виду тогда что? Ты бы как-нибудь без намеков хоть говорил, что ли.

volh ★★
()
Ответ на: комментарий от volh

С ваймаксом я не знаком, где-то слышал, что у нее ячеистая структура. Покурил маны, понял что это совсем не то. Ошибся.

Werehuman ★★
()
Ответ на: комментарий от Hokum

> Некоторое доверие вызывает лишь криптография «военного уровня»

На самом деле нет. Пока не стали публиковать книги по криптографии и привлекать туда квалифицированных математиков - криптография больше походила на магию (ну или PR, если так понятнее), чем на науку.

Те же US сейчас в вопросах военной тайны решили, что открытые алгоритмы надежнее, нежели «меганадежные решения, созданные профессионалами в подземном бункере».

Да и посмотрите на родное государство - коммерческие структуры работают на порядок эффективнее.

«Военная криптография» - это как Эльбрус-3М. Русский CPU, изготовляемый на Тайване. Хотя закупить те же Core2/Athlon/Phenom было бы дешевле, сравнимо по надежности, да и работают они быстрее.

skwish ★★
()
Ответ на: комментарий от skwish

> «Военная криптография» - это как Эльбрус-3М. Русский CPU, изготовляемый на Тайване. Хотя закупить те же Core2/Athlon/Phenom было бы дешевле, сравнимо по надежности, да и работают они быстрее.

Это опять холивар на тему vliw vs world.

Werehuman ★★
()

блина я же через него приглашения на lockerz клепал(((

doctorx ★★★★
()
Ответ на: комментарий от hzdbyte

Угу, только последний узел знает как расшифровать трафик. Я и говорю, добиться анонимности с помощью TOR в какой-то степени можно, а вот полагаться на него как на средство безопасной передачи информации не стоит.

m0rph ★★★★★
()

Ужас какой. Хорошо, что я их давно не пользовался.

AITap ★★★★★
()
Ответ на: комментарий от linuks

> опасность была только в подмене кода, но раз этого не произошло - ничего страшного

«Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.»

Это еще не факт, что этого небыло.

«Взломщики успели только настроить вход по SSH ключам и использовали захваченные серверы для организации атаки на другие хосты»

Стандартный ход, чтоб скрыть истинные намерения.

Buy ★★★★★
()
Ответ на: комментарий от Werehuman

>Откуда в netsukuku может быть IP-адрес, если это иной протокол сетевого уровня?

Ну так бы и сказал, что тебе не нравится слово «IP-адрес» в русской вики, да, наверное некорректно так писать. Но нетсукуку IP-совместима, и с ipv4 и с ipv6.

volh ★★
()
Ответ на: комментарий от Buy

>Это еще не факт, что этого небыло.

На то они и системы контроля версий, чтобы отслеживать измененния, угу.

volh ★★
()
Ответ на: комментарий от Buy

Что нужно сделать, чтобы подсунуть фейк гиту?

anonymous
()
Ответ на: комментарий от DNA_Seq

Со стороны локалхоста. Все что ты делаешь - устанавливаешь privoxy и tor, немного правишь конфиг privoxy, запускаешь их и устанавливаешь в браузере прокси на localhost:8118

Werehuman ★★
()

А я i2p использую. Много хорошего слышал про нетсуку, но сам ее не пробовал.

kristall ★★
()
Ответ на: комментарий от Hokum

Как связаны криптография и архитектурная уязвимость тора?

vasily_pupkin ★★★★★
()
Ответ на: комментарий от Werehuman

> wimax

wimax это главным образом вкусная радиочасть (частоты, модуляция, ещё какая-то хрень) дающая способность полноценно работать на отражённом сигнале и вообще имеющая по сравнению с wifi несравнимо бОльшую дальнобойность и помехоустойчивость. Сравните какой-нибудь городской wifi с «Йотой» по покрытию. Эххх, разрешили бы у нас его юзать как wifi...

Но у нас всё сделали «как всегда» - с дорогущими лицензиями на эти частоты. Т.е. технология мало того что чисто операторская, так ещё и только для немаленького оператора. Относительно вкусный 900 МГц wifi у нас занят опсосами и охраняется связьназдором, а частникам и любителям оставили только ублюдочный неудобный 2.4 Ггц требующий прямой видимости и прочей херни.

anonymous
()
Ответ на: комментарий от anonymous

Если каждый человек в мире зажжет свечу ^W включит вайфай-точку..

Но у нас всё сделали «как всегда»


А где это сделано по-другому?

volh ★★
()
Ответ на: комментарий от skwish

> Да и посмотрите на родное государство - коммерческие структуры работают на порядок эффективнее.

За счёт игнорирования законов, неуплаты налогов и т.д.

И наш бизнес ни в какие «долгие» проекты влезать не хочет принципиально. Только туда где есть мгновенная прибыль в разы - нефтянка, телеком (это из законного). Государство на это к сожалению положило, поэтому ничего больше и не развивается.

anonymous
()
Ответ на: комментарий от volh

> Если каждый человек в мире зажжет свечу ^W включит вайфай-точку..

Чтобы всякие нетсукуки жили на 2.4 ГГц, по сути так и придётся делать. Там в пределах одного дома через подъезд связаться проблематично, не говоря уже в пределах района... :(

А где это сделано по-другому?

В пендостане (если не ошибаюсь) 900 Мгц не лицензируются.

anonymous
()
Ответ на: комментарий от anonymous

> Юзай гравитонное поле архаичный анонимус.

Нету под него аппаратуры передачи данных, блин. И под нейтрино тоже нету...

А как хорошо было бы - ни антенн, ни проводов, ни мачт на крыше. Поставил дома коробочку и сразу онлайн со всей планетой. Правда тогда провайдеры с голоду подохнут :)

anonymous
()
Ответ на: комментарий от anonymous

И наш бизнес ни в какие «долгие» проекты влезать не хочет принципиально.

Хочет, но не может.

Государство на это к сожалению положило, поэтому ничего больше и не развивается.

Если бы положило - было бы легче. Но, к сожалению, напрягает все силы, что бы помешать, загубить все на корню. Вечно растущие пошлины, налоги и запреты. Ибо есть нефть и чиновники, все остальные виды деятельности - сплошь преступность.

Paul_7c0
()
Ответ на: комментарий от Paul_7c0

> Хочет, но не может.

Ну да, сразу и без 700% навара ну никак не можется. Квартир меньше купить и машину на модель младше это не тру.

Если бы положило - было бы легче.

С чего бы вдруг? У бизнеса совести или чего-то подобного нет, пойдут туда где выше прибыль. Пока доступна нефтянка, телеком и строительство добровольно в другие отрасли вкладываться никто не станет. Это как с понаехавшими в Москву - ноют что у них дома всё плохо и вместо того чтобы поработать и сделать там хорошо едут туда где «сразу». С этим надо бороться всеми возможными и невозможными методами, потому что это вредно и неправильно.

Вечно растущие пошлины, налоги и запреты.

Они есть везде, но идут все почему-то только в нефтянку и строительство. Ах, ну да, с производства микросхем 700% не наваришь, да и хлопотно это - толи дело чурок нанял за спасибо, из копеечных материалов коробок понастроил за полгода и продаёшь с гигантской прибылью.

anonymous
()
Ответ на: комментарий от anonymous

А ты выполняешь законы и платишь налоги? Дай угадаю - наверняка ворованным софтом ворованные фильмы и музыку смотришь, налоги за левый заработок не платишь. И еще хочешь, чтобы другие поступали иначе. Воровство - естественная стратегия выживания практически любых приматов. Ничего зазорного в ней нет, от нее даже польза экологии, ведь ничего не возникает за счет затраты ресурсов, но при этом спрос удовлетворяется.

anonymous
()
Ответ на: комментарий от anonymous

А ты выполняешь законы и платишь налоги? Дай угадаю - наверняка ворованным софтом

Он, видимо, чиновник, кои мечтают, что бы каждый пук лицензировался и проверялся. Его идеал - мир Оруэлла и Замятина.

Paul_7c0
()
Ответ на: комментарий от anonymous

> Воровство - естественная стратегия выживания практически любых приматов. Ничего зазорного в ней нет, от нее даже польза экологии, ведь ничего не возникает за счет затраты ресурсов, но при этом спрос удовлетворяется.

Я буду рад, если такие как ты сдохнут поскорее.

anonymous
()
Ответ на: комментарий от anonymous

>>Воровство - естественная стратегия выживания практически любых приматов. Ничего зазорного в ней нет, от нее даже польза экологии, ведь ничего не возникает за счет затраты ресурсов, но при этом спрос удовлетворяется.

Феерический идиот, признавайся, кто украл твои мозги.

anonymous
()

А меня больше интересует вот такое нестандартное применение:

У моего прова есть быстрая внутренняя сеть. Выход внаружу для безлимитчиков шейпится. Если я запущу тор или netsukuku то мой запрос будет порезан на кусочки и разбежится другим клиентам которые в моей «быстрой» сети. Потом ответ сервера будет скачан через всех к кому он разбежался и по внутренней сети прибежит ко мне. Тоесть теоретически я могу на канале с 256 внешкой получить и 2 мегабита?

Далее если в netsukuku нет адресов, то как я могу соедениться с другим компьютером? Скажем домашним

demmsnt
()
Ответ на: комментарий от anonymous

> Феерический идиот, признавайся, кто украл твои мозги.

Он сам признался что он «примат», чего с него взять. Видимо там от макаки отличия чисто во внешнем виде.

anonymous
()
Ответ на: комментарий от volh

запостил
ЛОР ловит далеко не всё из ТОРа. и при чем тут «нельзя использовать для анонимизации» всё равно не понятно.

anonymous
()
Ответ на: комментарий от demmsnt

> Если я запущу тор или netsukuku то мой запрос будет порезан на кусочки

Netsukuku вообще не для этого. Она ВООБЩЕ не работает с интернетовскими протоколами, насколько я знаю. Ну как FIDO, любительская компьютерная сеть. Только фидо оффлайновое и по модему работало (over IP не берём), а нетсукука онлайн и по радио.

Тор хоть и поверх инета работает, но опять же он для другого. Это надо писать с нуля проксик и клиетов. Может и готовое есть, но не вспоминается.

Задача-то какая? Если коллективно обмануть жадного провайдера и получить вместо 256k на каждого n*256k для всех, то проще с провайдером договориться и отгородиться за свой шлюз с широким каналом с той же суммарной скоростью. Прову по деньгам как бы всё равно должно быть.

Тоесть теоретически я могу на канале с 256 внешкой получить и 2 мегабита?

Это где всё так плохо с инетом, что АЖ про 2 мегабита мечтаем?

anonymous
()
Ответ на: комментарий от Paul_7c0

>что бы каждый пук лицензировался и проверялся

Пук не пук, но вот знакомый давеча рассказывал что видел во сне какой то «фильм» актеры там известные были.

Я вот подумал увидит кто-то сюжет из фильма, а лицензия у него есть на просмотр таких снов?!

anonymous
()
Ответ на: комментарий от anonymous

https://check.torproject.org/ и по опыту многие блокируют выходные ноды, так или иначе усложняют жизнь. Для меня возможность однозначно определить использование на клиенте какой-то хитровывернутой прокси большой минус и нетру.

Я пытался сделаь Tor средним звеном, localhost => tor => some random proxy, с помощью proxy_chains, но не получилось, если оно и работало, то как модем на 2400 бод ( это если пакет вообще проходил, что было в 20% случаев, не больше ).

volh ★★
()
Ответ на: комментарий от anonymous

>ёще раз запостил. админы не дадут соврать. 79.136.50.205 если не поменялся exit уже конечно

ok, принял к сведению.

volh ★★
()
Ответ на: комментарий от volh

> Я пытался сделаь Tor средним звеном, localhost => tor => some random proxy

Если «пиздец надо», то лучше localhost->tor->web-proxy. Последние сейчас весьма быстрые и их много, видимо за счёт любителей вконтактов на работе.

Касательно тормозов тора, под винду вот есть Vidalia, там можно сразу увидеть безнадёжно тормознутую цепочку (там даже средняя пропускная способность каждой ноды пишется) и прибить её. Я например дропаю все соединения через Китай чтобы не дрочиться с тормозами. В итоге весьма комфортно.

anonymous
()

i2p наше всё, оно ещё лучше freenet и быстрее в разы. Когда традиционный нешифрованный http вообще сдохнет то.

anonymous
()
Ответ на: комментарий от anonymous

> i2p наше всё

это типа тора что-то?

anonymous
()
Ответ на: комментарий от skwish

>> Некоторое доверие вызывает лишь криптография «военного уровня»

На самом деле нет. Пока не стали публиковать книги
по криптографии и привлекать туда квалифицированных
математиков - криптография больше походила на магию
(ну или PR, если так понятнее), чем на науку.

Скорее тут от: «не можешь остановить - возглавь».

Ну и да, прежде чем гнать пургу почитай пару книг по истории криптографии.

«Военная криптография» - это как Эльбрус-3М. Русский CPU,
изготовляемый на Тайване. Хотя закупить те же
Core2/Athlon/Phenom было бы дешевле, сравнимо по надежности,
да и работают они быстрее.

Это ты раскажи солдатиками, что всего Пушкина наизусть выучили, передовая его в эфир.

На счет Эльбрусов, уж прости что тебя забыли спросить как правильно (на порядок эффективнее) поступить.

anonymous
()
Ответ на: комментарий от anonymous

> под винду вот есть Vidalia, там можно сразу увидеть безнадёжно тормознутую цепочку (там даже средняя пропускная способность каждой ноды пишется)
Под линукс тоже есть. Оно на QT.

firestarter ★★★☆
()

Бредовый пересказ бредовой новости с опеннета. :-< Вы бы хоть сами почитали «подробности», на которые даёте ссылку. Если с ангельским не дружите, то уж лучше копипастите с pgpru.com, хоть там люди понимают о чём пишут.

SKYRiDER ★★★
()
Ответ на: комментарий от Werehuman

> ...Откуда в netsukuku может быть IP-адрес, если это иной протокол сетевого уровня?

потомучто Netsukuku использует ХАК . они соеденяют «свой»-адрес --в--> ip-адресс...

..хотя посути этот ip-адресс уже не относитсья к ip-протоколу (тот самый 3`й уровень)


думаю — можно былобы не использовать падобные ХАК`и — еслибы был простой способ использовать в уже-существующих приожениях какой-либо-другой кроме ip протокол.

..или еслибы была возможность сделать настолько _глобальные_ (значительные) перемены в ядре-Linux чтобы при операции создания сокета былбы выбор использовать Netsukuku-семейство (на равне с INET-семейством)

.....поэтому использование хака — [видимо] имело цель «чтобы работало хтябы както, а не тебовало перемесывать все программы и операционные системы с нуля»

mkfifo
()
Ответ на: комментарий от Buy

>«Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.» Это еще не факт, что этого небыло.

В этом-то и есть ахилесова пята безопасности Линукс. К чему писать трояны, если можно ломануть репу и подменить пакеты?

troll_them_all
() автор топика
Ответ на: комментарий от SKYRiDER

>Бредовый пересказ бредовой новости с опеннета. :

Понимаешь в чем прикол, малыш, это опенсорс, сделай новость лучше :)

troll_them_all
() автор топика
Ответ на: комментарий от volh

>Меня кстати не покидает мысль что это honeynet.

Это потому что я думал что серверы директорий - отдельный проприетарный компонент. Загрузил исходники, посмотрел, facepalm.svgz :/

volh ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.