Basiley
Newbie
Offline
Activity: 42
Merit: 0
|
|
May 22, 2011, 04:29:12 AM |
|
как угодно. про оффтопик - виноват про крипто - задним числом выяснилось после скандала в Иране(человек пострадал), неработоспособность крипто(после чего его быстро присобачили) ToR-а.
|
|
|
|
|
|
|
|
The grue lurks in the darkest places of the earth. Its favorite diet is adventurers, but its insatiable appetite is tempered by its fear of light. No grue has ever been seen by the light of day, and few have survived its fearsome jaws to tell the tale.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
m0Ray
|
|
May 22, 2011, 11:51:23 AM |
|
А пруф можно?
|
|
|
|
|
m0Ray
|
|
May 22, 2011, 02:55:52 PM |
|
Окончательно доказали, что даже не поняли, что прочитали. По первой - бла-бла о возможном нахождении узлов TOR и их возможной блокировке администрацией Ирана. Заметьте, блокировке, а не перехвату трафика. На что вопрошающему ответили, что и эта проблема решена. Вот через это место: https://www.torproject.org/docs/bridgesТеперь внимательно прочитайте вторую ссылку - там очень хорошо написано, почему перехват ничего не даёт, если юзер сам не идиот, не раскрывает своих данных и пользуется вдобавок чем-нибудь вроде Privoxy. Плюс подходы к тому, чтобы трудно было вычислить TOR на 7-м уровне ISO/OSI: маскировка соединения под HTTPS или другие протоколы с TLS. вообще, вскрылось случайно. люди думали, что траффик шифруется, а оказалось.. немного иначе.
Так что вскрылось-то? Ничего пока не вижу такого, что компрометировало бы TOR как систему, помогающую сохранить анонимность.
|
|
|
|
Yurock
|
|
May 22, 2011, 05:40:18 PM Last edit: May 22, 2011, 08:37:02 PM by yurock |
|
Сформулируем задачу.
Есть некто Анон, который не хочет ни с кем делиться своей финансовой информацией. У Анона есть какой-то "электронный" бизнес, который приносит доход в биткоинах. Предположим, биткоины уже распространены настолько, что на них можно жить. Обменивать валюту, конечно, тоже придётся, но, предположим, что это - не проблема. Есть сторона, назовём её Эцилопп, которая заинтересована в получении финансовой информации обо всех анонах. Эцилопп не знает, что у конкретного Анона есть бизнес. На каналах связи в этой стране установлены всевозможные СОРМ-ы. Информация о всех банковских операциях в этой стране доступна Эцилоппу. Анон - не кулхацкер, но в состоянии настроить и правильно использовать доступные программы. Бо́льшую часть своих доходов Анон тратит в виде биткоинов или не тратит вообще.
Итак, задача Анона - скрыть свою финансовую информацию; задача Эцилоппа - получить эту информацию. Разрабатываем стратегии для Анона и Эцилоппа и находим, какая из них выигрышная.
|
|
|
|
Basiley
Newbie
Offline
Activity: 42
Merit: 0
|
|
May 22, 2011, 06:27:49 PM |
|
еще раз - скомпрометирован был не "Tor как система" а пользователи оного, благодаря тогдашним настройкам, при которых - ничего не шифровалось. после чего(и шума среди "оппозицонеров" в Иране по поводу "мы вам так доверяли а ..." итп), включили. гарантий неповторения/невоспроизведения ситуации в будующем - нет. когда криптофичи mandatory/неотключаемы - это одно, а когда опциональная PR-фича - совсем другое, IMHO.
p.s. за "хреновоссылки" - извиняйте, ничего из тогдашних IT-сми, так и не нашел.
|
|
|
|
Yurock
|
|
May 22, 2011, 07:17:50 PM Last edit: May 22, 2011, 07:30:14 PM by yurock |
|
TOR: Bug Doors In TOR's SSL LayerЗдесь описывается уязвимость, позволявшая легко идентифицировать Tor-трафик. Последствия: Эцилоппу становится известен факт использования Аноном сети Tor. При желании можно заблокировать такое соединение. В случае же успешного соединения, Эцилопп видит только зашифрованные байты. Факт использования Bitcoin, как и сама передаваемая информация не раскрывается. Сейчас Tor-трафик труднее отличить от нормального HTTPS-трафика. Однако, возможно, идеальная маскировка не будет достигнута никогда. Если следить за пользователями становится достаточно трудно и невыгодно, задача считается решённой. В контексте данной уязвимости: - стратегия Эцилоппа - блокировать Tor, записать факт использования Tor-а для дальнейшего расследования;
- стратегия Анона - обновить Tor, призывать других использовать Tor, чтобы у Эцилоппа появилось как можно больше ненужных записей.
Анон теряет только какое-то время на необходимое обновление программы. P.S. Кидайте ещё ссылки на уязвимости.
|
|
|
|
Qtiger
|
|
May 22, 2011, 09:06:12 PM Last edit: May 22, 2011, 09:46:24 PM by Qtiger |
|
Tor не безопасен, как и любая сеть, с помощью которой выходят в обычный инет. Так как существует, проблема крайнего узла. Возможно вы не совершали ни чего противозаконного, но кто то через вас выходит в инет и светится ваш ip. Выход, это сети не связанные с инетом, вроде i2p, freenet. Но i2p, уязвим по причине не мобильности серверов, разросшийся портал на несколько сотен серверов, не так-то просто спрятать, так-же если в скриптах сайта будет обнаружена уязвимость через которую можно внедрить исполняемый код, можно вытащить все данные сервера и раскрыть его местоположение. У freenet, нет таких проблем, но там другая большая проблема - невозможность создавать динамические сайты, то есть ни о каких порталах не может быть и речи, так-же он работает довольно медленно (намного медленнее, чем тот же i2p). Ох , нет в мире совершенства. Нужно, нечто среднее между всеми этими 3-мя сетями. 1. Распределённое хранилище (как в freenet, только быстрее) 2. Возможность создавать динамические сайты (как в i2p) 3. от Tora пожалую, можно взять только внутренние ресурсы, и более высокая скорость работы(быстрее чем в других ан. сетях), так как анонимный выход в инет, не требуется.
|
|
|
|
Yurock
|
|
May 22, 2011, 09:24:48 PM |
|
Так как существует, проблема крайнего узла. Возможно вы не совершали ни чего противозаконного, но кто то через вас выходит в инет и светится ваш ip. Чтобы пользоваться Tor-ом, совсем не обязательно давать другим выход в интернет. Кстати, вроде, обещали написать I2P-протокол для Bitcoin. Связь между двумя P2P сетями, по идее, будет осуществляться через ноды, работающие о обоих сетях.
|
|
|
|
moof
Newbie
Offline
Activity: 49
Merit: 0
|
|
May 22, 2011, 09:42:08 PM |
|
а почему вы ВПН соединение то считаете небезопасным?
|
|
|
|
Yurock
|
|
May 22, 2011, 11:48:17 PM |
|
а почему вы ВПН соединение то считаете небезопасным? Кто считает?
|
|
|
|
m0Ray
|
|
May 23, 2011, 12:02:08 AM |
|
еще раз - скомпрометирован был не "Tor как система" а пользователи оного, благодаря тогдашним настройкам, при которых - ничего не шифровалось.
В том-то и дело, шифровалось, с самых первых версий. Проблема была в лёгкой идентификации Tor-трафика и возможности его быстрой блокировки, а не в том, что трафик можно было получить в незашифрованном виде. после чего(и шума среди "оппозицонеров" в Иране по поводу "мы вам так доверяли а ..." итп), включили. гарантий неповторения/невоспроизведения ситуации в будующем - нет. когда криптофичи mandatory/неотключаемы - это одно, а когда опциональная PR-фича - совсем другое, IMHO.
p.s. за "хреновоссылки" - извиняйте, ничего из тогдашних IT-сми, так и не нашел.
Вероятно, потому что и не было ничего. Услыхали, как говорится, звон...
|
|
|
|
Basiley
Newbie
Offline
Activity: 42
Merit: 0
|
|
May 23, 2011, 01:33:29 AM |
|
угу, тогдашний скандал всплыл, после того как стартанула закупленное(в EU) правительством Ирана DPI-решение, "выловившее" Tor-траффик.
|
|
|
|
|
|