Basiley
Newbie
 Offline
Activity: 42
Merit: 0
|
 |
May 22, 2011, 04:29:12 AM |
|
как угодно. про оффтопик - виноват  про крипто - задним числом выяснилось после скандала в Иране(человек пострадал), неработоспособность крипто(после чего его быстро присобачили) ToR-а. |
|
|
|
|
|
|
|
|
|
Even in the event that an attacker gains more than 50% of the network's
computational power, only transactions sent by the attacker could be
reversed or double-spent. The network would not be destroyed.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
m0Ray
|
|
May 22, 2011, 11:51:23 AM |
|
А пруф можно?
|
|
|
|
|
|
|
|
m0Ray
|
|
May 22, 2011, 02:55:52 PM |
|
Окончательно доказали, что даже не поняли, что прочитали. По первой - бла-бла о возможном нахождении узлов TOR и их возможной блокировке администрацией Ирана. Заметьте, блокировке, а не перехвату трафика. На что вопрошающему ответили, что и эта проблема решена. Вот через это место: https://www.torproject.org/docs/bridgesТеперь внимательно прочитайте вторую ссылку - там очень хорошо написано, почему перехват ничего не даёт, если юзер сам не идиот, не раскрывает своих данных и пользуется вдобавок чем-нибудь вроде Privoxy. Плюс подходы к тому, чтобы трудно было вычислить TOR на 7-м уровне ISO/OSI: маскировка соединения под HTTPS или другие протоколы с TLS. вообще, вскрылось случайно. люди думали, что траффик шифруется, а оказалось.. немного иначе.
Так что вскрылось-то? Ничего пока не вижу такого, что компрометировало бы TOR как систему, помогающую сохранить анонимность. |
|
|
|
|
|
Yurock
|
|
May 22, 2011, 05:40:18 PM
Last edit: May 22, 2011, 08:37:02 PM by yurock |
|
Сформулируем задачу.
Есть некто Анон, который не хочет ни с кем делиться своей финансовой информацией.
У Анона есть какой-то "электронный" бизнес, который приносит доход в биткоинах.
Предположим, биткоины уже распространены настолько, что на них можно жить. Обменивать валюту, конечно, тоже придётся, но, предположим, что это - не проблема.
Есть сторона, назовём её Эцилопп, которая заинтересована в получении финансовой информации обо всех анонах.
Эцилопп не знает, что у конкретного Анона есть бизнес.
На каналах связи в этой стране установлены всевозможные СОРМ-ы.
Информация о всех банковских операциях в этой стране доступна Эцилоппу.
Анон - не кулхацкер, но в состоянии настроить и правильно использовать доступные программы.
Бо́льшую часть своих доходов Анон тратит в виде биткоинов или не тратит вообще.
Итак, задача Анона - скрыть свою финансовую информацию; задача Эцилоппа - получить эту информацию. Разрабатываем стратегии для Анона и Эцилоппа и находим, какая из них выигрышная.
|
|
|
|
|
Basiley
Newbie
Offline
Activity: 42
Merit: 0
|
|
May 22, 2011, 06:27:49 PM |
|
еще раз - скомпрометирован был не "Tor как система" а пользователи оного, благодаря тогдашним настройкам, при которых - ничего не шифровалось.
после чего(и шума среди "оппозицонеров" в Иране по поводу "мы вам так доверяли а ..." итп), включили.
гарантий неповторения/невоспроизведения ситуации в будующем - нет.
когда криптофичи mandatory/неотключаемы - это одно, а когда опциональная PR-фича - совсем другое, IMHO.
p.s.
за "хреновоссылки" - извиняйте, ничего из тогдашних IT-сми, так и не нашел.
|
|
|
|
|
|
Yurock
|
|
May 22, 2011, 07:17:50 PM
Last edit: May 22, 2011, 07:30:14 PM by yurock |
|
TOR: Bug Doors In TOR's SSL LayerЗдесь описывается уязвимость, позволявшая легко идентифицировать Tor-трафик. Последствия: Эцилоппу становится известен факт использования Аноном сети Tor. При желании можно заблокировать такое соединение. В случае же успешного соединения, Эцилопп видит только зашифрованные байты. Факт использования Bitcoin, как и сама передаваемая информация не раскрывается. Сейчас Tor-трафик труднее отличить от нормального HTTPS-трафика. Однако, возможно, идеальная маскировка не будет достигнута никогда. Если следить за пользователями становится достаточно трудно и невыгодно, задача считается решённой. В контексте данной уязвимости: - стратегия Эцилоппа - блокировать Tor, записать факт использования Tor-а для дальнейшего расследования;
- стратегия Анона - обновить Tor, призывать других использовать Tor, чтобы у Эцилоппа появилось как можно больше ненужных записей.
Анон теряет только какое-то время на необходимое обновление программы. P.S. Кидайте ещё ссылки на уязвимости.
|
|
|
|
|
|
Qtiger
|
|
May 22, 2011, 09:06:12 PM
Last edit: May 22, 2011, 09:46:24 PM by Qtiger |
|
Tor не безопасен, как и любая сеть, с помощью которой выходят в обычный инет. Так как существует, проблема крайнего узла. Возможно вы не совершали ни чего противозаконного, но кто то через вас выходит в инет и светится ваш ip. Выход, это сети не связанные с инетом, вроде i2p, freenet. Но i2p, уязвим по причине не мобильности серверов, разросшийся портал на несколько сотен серверов, не так-то просто спрятать, так-же если в скриптах сайта будет обнаружена уязвимость через которую можно внедрить исполняемый код, можно вытащить все данные сервера и раскрыть его местоположение. У freenet, нет таких проблем, но там другая большая проблема - невозможность создавать динамические сайты, то есть ни о каких порталах не может быть и речи, так-же он работает довольно медленно (намного медленнее, чем тот же i2p). Ох  , нет в мире совершенства. Нужно, нечто среднее между всеми этими 3-мя сетями. 1. Распределённое хранилище (как в freenet, только быстрее) 2. Возможность создавать динамические сайты (как в i2p) 3. от Tora пожалую, можно взять только внутренние ресурсы, и более высокая скорость работы(быстрее чем в других ан. сетях), так как анонимный выход в инет, не требуется. |
|
|
|
|
|
Yurock
|
|
May 22, 2011, 09:24:48 PM |
|
Так как существует, проблема крайнего узла.
Возможно вы не совершали ни чего противозаконного, но кто то через вас выходит в инет и светится ваш ip. Чтобы пользоваться Tor-ом, совсем не обязательно давать другим выход в интернет. Кстати, вроде, обещали написать I2P-протокол для Bitcoin. Связь между двумя P2P сетями, по идее, будет осуществляться через ноды, работающие о обоих сетях. |
|
|
|
|
moof
Newbie
Offline
Activity: 49
Merit: 0
|
|
May 22, 2011, 09:42:08 PM |
|
а почему вы ВПН соединение то считаете небезопасным?
|
|
|
|
|
|
Yurock
|
|
May 22, 2011, 11:48:17 PM |
|
а почему вы ВПН соединение то считаете небезопасным? Кто считает? |
|
|
|
|
|
m0Ray
|
|
May 23, 2011, 12:02:08 AM |
|
еще раз - скомпрометирован был не "Tor как система" а пользователи оного, благодаря тогдашним настройкам, при которых - ничего не шифровалось.
В том-то и дело, шифровалось, с самых первых версий. Проблема была в лёгкой идентификации Tor-трафика и возможности его быстрой блокировки, а не в том, что трафик можно было получить в незашифрованном виде. после чего(и шума среди "оппозицонеров" в Иране по поводу "мы вам так доверяли а ..." итп), включили.
гарантий неповторения/невоспроизведения ситуации в будующем - нет.
когда криптофичи mandatory/неотключаемы - это одно, а когда опциональная PR-фича - совсем другое, IMHO.
p.s.
за "хреновоссылки" - извиняйте, ничего из тогдашних IT-сми, так и не нашел.
Вероятно, потому что и не было ничего. Услыхали, как говорится, звон... |
|
|
|
|
Basiley
Newbie
Offline
Activity: 42
Merit: 0
|
|
May 23, 2011, 01:33:29 AM |
|
угу, тогдашний скандал всплыл, после того как стартанула закупленное(в EU) правительством Ирана DPI-решение, "выловившее" Tor-траффик.
|
|
|
|
|
|
|
|
