Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 574 сообщений
Cообщения с меткой

tor - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Debian Linux и Tor за безопасный deb

Среда, 17 Августа 2016 г. 18:31 (ссылка)

В первый августовский день на официальном блоге популярного дистрибутива Debian Linux появилось новость о том, что для некоторых ресурсов Debian доступны сервисы анонимной сети Tor. Репозитарии пакетов, обновлений и безопасности можно скачивать не покидая контура Tor сети.





Основная цель этих нововведений — защита от утечки данных, как минимум — метаданных при загрузке deb пакетов. Основные раздающие сервера Debian и Ubuntu используют обычный HTTP и не зашифрованные сетевые подключения. Это дает широкие возможности для перехвата трафика в сети даже дилетантам и просто любопытствующим, профессионалы же способны извлечь из этого уйму полезной информации. Казалось бы, что с того, если кто-то проследил, что красноглазый тип сидящий в вагоне метро напротив, только что скачал и установил новые темы оформления рабочего стола? Однако, если посмотреть шире, то в поле зрения попадут не только админы локалхоста, но и ИТ службы финансовых учреждений и домашние почтовый сервер бывшего госсекретаря США всяких гос. структур. Найдется много желающих узнать какие обновления безопасности установлены или еще не установлены на этих системах. Управление репозитарием посредством луковых сервисов Tor спутает злоумышленникам все карты.



Напрашивается вопрос: а что не так HTTPS? Не нравится HTTP, используй гораздо более безопасный протокол HTTPS, шифруя веб сессию с помощью SSL/TLS сертификатов. Помимо того, что SSL уязвимости высокой степени риска появляются на свет гораздо чаще чем хотелось бы, есть еще и значительные проблемы конфиденциальности, связанные с самой архитектурой HTTPS решений.



Используя Скрытую Модель Маркова, исследователь из Университета Кембридж показал, что наблюдая за размером пересылаемых данных, манипулируя ими, возможно определить до некоторой степени, какие файлы загружаются или скачиваются. На Хабре уже писали о разнообразных MiTM атаках связанных с HTTPS, в частности, про казахстанский гос. сертификат, специально придуманный для прослушки зашифрованного TLS трафика. Благо не все команды разработчиков веб браузеров оценили данный шаг позитивно, в FireFox 48 отказались добавлять гос. сертификат Казахстана в доверенные root CA, тем не менее, дурной пример может быть заразительным и опасность для обычных не-искушенных пользователей, налицо. Кроме того, несложно самому поднять HTTP(S) зеркало репозитария популярных Linux OS и воспользоваться этим как заблагорассудится. Для этого сойдет подставная фирма и арендованный хостинг за 200 USD.



Всех этих неприятностей теперь нетрудно избежать, ведь луковые кольца сервисы Tor никак не зависят от root CA, предоставленных сторонними организациями.



Debian репозитарии, размещенные в анонимной сети прокси-серверов Tor, решают еще одну важную проблему — обход ограничений и доступ к открытому ПО. Сначала она показалась мне несколько умозрительной, но буквально на днях я ощутил, что это проблема не только экзотических султанатов. Речь идет об ошибке 403 при установке, обновлении ПО из Google Play в Крыму — результат следования американским санкциям «Корпорацией Добра». Быстрый поиск в интернете подскажет как обойти эту бяку, используя vpn и прокси сервера. Интересно, как обстоят дела у пользователей iOS и Windows Phone в Крыму?





Впрочем, остальные сервисы Google в Крыму работают штатно, это наводит на мысль о том, что это не санцкии а скорее — профанация их. Конечно же, назвать установленное на рядовом планшете, смартфоне Android OS, свободным ПО а Google Play — его репозитарием, можно лишь с очень большой натяжкой логики и фактов, но в некотором смысле обозначенная проблема присутствует. Если же ваше мобильное устройство или ПК использует связку Debian/Tor, то подобные санкции вас не коснутся.



Хочется надеяться, что интеграции Tor сервисов станет прецедентом в других Linux OS, вне всякого сомнения это шаг в верном направлении.



Настройка apt



В самом простом случае достаточно прописать пути в файлы настройки репозитария Debian Linux /etc/apt/sources.list при наличии установленного пакета apt-transport-tor.



deb  tor+http://vwakviie2ienjx6t.onion/debian          jessie            main
deb tor+http://vwakviie2ienjx6t.onion/debian jessie-updates main
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security jessie/updates main


Более педантичный подход подразумевает прописать ссылки



deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie main

deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main

deb tor+http://vwakviie2ienjx6t.onion/debian jessie-backports main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-backports main


в отдельном файле /etc/apt/sources.list.d/00.vwakviie2ienjx6t.onion.list а репозитарий обновлений безопасности.



deb tor+http://sgvtcaew4bxjd7ln.onion/ jessie/updates main


в /etc/apt/sources.list.d/00.sgvtcaew4bxjd7ln.onion.list



Не забудьте также добавить обычный конфиг обновлений безопасности, если Tor сеть будет недоступна, или нестабильна.



deb http://security.debian.org/ jessie/updates main


Пропишите это в файл /etc/apt/sources.list.d/99.security.debian.org.list.





Сталкивались ли вы за последние 2 года с ограничением доступа к открытому ПО в результате действий крупных ИТ компаний и гос. структур?
















































Проголосовало 2 человека. Воздержался 1 человек.





Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/307208/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Stepan_Sikora

Створена анонімна мережа, безпечніша Tor

Вторник, 19 Июля 2016 г. 19:18 (ссылка)
fenixslovo.com/uk/society/science/11690

Завдяки новій системі шифрування під назвою Riffle зросла не тільки безпека, а й швидкість. Американські вчені розробили анонімну мережу, яка являє со...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

Пятница, 03 Июня 2016 г. 16:17 (ссылка)

Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.



Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.



Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.

Читать дальше →

https://habrahabr.ru/post/302548/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<tor - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda