top
logo


Доброжелатели из АНБ информируют разработчиков Tor о выявляемых проблемах PDF Печать E-mail
22.08.14 18:56

В интервью изданию BBC Эндрю Льюмен (Andrew Lewman), руководитель проекта Tor, рассказал о том, что в АНБ и Центре правительственной связи Великобритании ведётся скрупулёзная работа по анализу исходных текстов Tor с целью поиска уязвимостей, которые можно было бы использовать для компрометации анонимной сети и её пользователей. Интересно, что сведения о выявляемых ошибках и потенциальных проблемах в дизайне протокола не удаётся удержать в секрете, так как данные оперативно становятся известны разработчикам Tor благодаря утечкам информации от неизвестных доброжелателей, имеющих доступ к отчётам о ходе аудита и считающих, что Tor должен оставаться надёжной платформой для обеспечения анонимности.

Подобные сведения поступают анонимно практически каждый месяц. Разработчики не имеют возможности уточнить детали, но сообщения содержат достаточные намёки или ссылки на участки в коде, на которые следует обратить внимание. Утечкам способствует особенность работы системы отслеживания ошибок Tor, которая позволяет отправлять сообщения о проблемах в анонимном режиме. Также отмечается, что значение имеет и свободный характер проекта, который стимулирует раскрытие информации об ошибках. Навряд ли агенты-доброжелатели делятся подобной информацией с производителями проприетарного ПО. В итоге, разработчикам Tor удаётся достаточно быстро устранять выявляемые спецслужбами ошибки. Сообщается, что в настоящее время Tor используют примерно 2.5 млн человек в день, число загрузок пакета Tor Browser за прошлый год оценивается в 150 млн.

Дополнительно, разработчики проекта Tor сообщили о получении от компании iSEC Partners отчёта с анализом текущих средств обеспечения защиты Tor и оценкой возможных путей усиления безопасности. Кроме оценки защищённости протокола, в рамках исследования также была изучена история возникновения и исправления уязвимостей в браузере Firefox, используемых библиотеках и мультимедийных кодеках, применяемых в Tor Browser. Исследование проведено по заказу Фонда открытых технологий.

В качестве представленных в отчёте рекомендаций по усилению безопасности можно отметить задействование средств рандомизации адресного пространства на платформах Windows и OS X (в Linux рандомизация включена), стимулирование к поиску уязвимостей через участие в соревнованиях, подобных Pwn2Own, рекомендации по применению Microsoft Enhanced Mitigation Experience Toolkit для усиления безопасности версии для Windows, замена в Firefox подсистемы распределения памяти с jemalloc на ctmalloc/PartitionAlloc, задействование средств для блокировки уязвимостей, связанных с обращением к уже освобождённым областям памяти (use-after-free).

Кроме того, на основе анализа истории уязвимостей в Firefox, был сформирован список возможностей, в реализации которых всплывает больше всего уязвимостей. Для повышения безопасности предлагается реализовать средство для выборочного отключения проблемных возможностей путем предоставления пользователю кнопки для выбора уровня безопасности. Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень - отключение WebAudio и asm.js. Третий уровень - отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень - отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика.

Из более отдалённых планов упоминается применение sandbox-изоляции в Tor Browser. Предложение о миграции на кодовую базу Chromium было отвергнуто из-за ограниченности бюджета и слишком больших трудозатрат на повторение необходимой функциональности. Отмечается, что Firefox остаётся наиболее экономически эффективной платформой. Из технических плюсов Firefox упомянуты гибкая система разработки дополнений, полностью скриптовый интерфейс, полная поддержка работы через прокси и наличие ветки для которой осуществляется длительная поддержка.

  1. Главная ссылка к новости (http://www.bbc.com/news/technology-28886...)
  2. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
  3. OpenNews: Жертва скрытого сервиса Tor подала иск против разработчиков анонимной сети Tor
  4. OpenNews: АНБ ведёт особое наблюдение за посетителями сайтов Tor, Tails и Linux Journal
  5. OpenNews: Tor заблокировал около 600 узлов, подверженных уязвимости Heartbleed
  6. OpenNews: Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor
Тип: К сведению
Ключевые слова: tor, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 22:25, 22/08/2014 [ответить] [смотреть все]     [к модератору] +3 +/
Что-то неубедительно пошел расчехлять фидонет ... весь текст скрыт [показать]
 
  2.6, Аноним, 22:51, 22/08/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +8 +/
у и расчехляй свой фидоет.
 
  3.47, Аноним, 15:27, 26/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Главное, чтобы остальные его тоже пошли расчехлять, а то будете в одиночестве са... весь текст скрыт [показать]
 
2.26, Аноним, 07:01, 23/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +1 +/
Правильно Tor не следует использовать для ответственных применений - он не удер... весь текст скрыт [показать] [показать ветку]
 
  3.28, arisu, 07:05, 23/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
Василий Зябликов, чо фу съедалась только заглавная русская 171 Н 187 будь... весь текст скрыт [показать]
 
  4.41, Аноним, 18:55, 23/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А я думал что Пупкин Тот, что города Мухосранска Ну мне стыдно все время писат... весь текст скрыт [показать]
 
2.32, Адекват, 08:37, 23/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/ 2.36, Аноним, 09:33, 23/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +1 +/
всё просто им анб и прочие цру нужен хороший тор, который не поломают их оппо... весь текст скрыт [показать] [показать ветку]
 
  3.37, Анонимъ, 09:58, 23/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Всё правильно сказал ... весь текст скрыт [показать]
 
3.38, Другой Анонимъ, 10:00, 23/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Это высший уровень понимания ситуации и умения чужими руками сделать то, что нуж... весь текст скрыт [показать]
 
1.2, Baz, 22:30, 22/08/2014 [ответить] [смотреть все]    [к модератору]  +4 +/ в АНБ тоже хотят свою защищённую анонимную болталку с преферансом и гейшами...
  1.3, Аноним, 22:35, 22/08/2014 [ответить] [смотреть все]     [к модератору]  +2 +/
Зачем же их тогда палить ... весь текст скрыт [показать]
  1.4, Аноним, 22:39, 22/08/2014 [ответить] [смотреть все]     [к модератору]  +/
Дело пахнет киросином... весь текст скрыт [показать]
  1.5, MPEG LA, 22:39, 22/08/2014 [ответить] [смотреть все]    [к модератору]  +2 +/ но мы-то знаем, что они просто хотят получить 4млн рублей от ФСБ...
  1.10, Аноним, 23:44, 22/08/2014 [ответить] [смотреть все]     [к модератору]  –2 +/
EMET-ом следует вообще прикрывать любой софт, который взаимодействует с сетью н... весь текст скрыт [показать]
  1.11, A.Stahl, 23:58, 22/08/2014 [ответить] [смотреть все]    [к модератору]  +/ >BBC

Военно-воздушные силы?
>АНБ

Агенство национальной (которой из?) безопасности
>iSEC

Э?

Рекомендую что-то с этим сделать. Да, я понимаю, что задача нетривиальная, но даже написание АНБ в оригинале помогло бы.

Нехорошо. Примите к сведению. Объяснять в чём лажа подробней ведь не надо, надеюсь?!

  1.12, Аноним, 00:39, 23/08/2014 [ответить] [смотреть все]     [к модератору]  –3 +/
Новость не о чем ... весь текст скрыт [показать]
  1.13, Аноним, 00:46, 23/08/2014 [ответить] [смотреть все]     [к модератору]  +/
Абракадабра подобная Lorem ipsum ... весь текст скрыт [показать]
  1.16, Аноним, 02:12, 23/08/2014 [ответить] [смотреть все]     [к модератору]  –1 +/
Что-то тут не вяжется Если бы такие сливы имели место, Льюман бы о них помалкив... весь текст скрыт [показать]
 
  2.19, Аноним, 04:30, 23/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +2 +/
Если и не так, чего стого На Tor то помои льют без остановки, с чего бы им в об... весь текст скрыт [показать] [показать ветку]
 
1.22, Аноним, 05:09, 23/08/2014 [ответить] [смотреть все]     [к модератору]  +4 +/
Ой какие же они няшечки А вы на них всякие гадости говорили Стыдно ... весь текст скрыт [показать]
  1.24, nur, 06:46, 23/08/2014 [ответить] [смотреть все]    [к модератору]  +1 +/ что то не вяжется, ага, похоже на пиар-завесу для прикрытия других дырок

типа - "они расслабятся, и будут верить нам, разоблачателям дырок"

  1.39, Аноним, 11:05, 23/08/2014 [ответить] [смотреть все]     [к модератору]  –1 +/
Доброжелатели из АНБ ... весь текст скрыт [показать]
    2.44, Аноним, 11:19, 24/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/
Отнюдь АНБ сообщает разработчикам тора о проблемах в ПО, взамен разработчики ра... весь текст скрыт [показать] [показать ветку]
  1.43, Buy, 22:24, 23/08/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ А доброжелатели из Тоr информируют АНБ об новых проблемах )))
  1.45, Анонизм, 16:37, 25/08/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ > Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень - отключение WebAudio и asm.js. Третий уровень - отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень - отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика.

Ждём статьи о том, как поотключать всё это...

  1.46, Аноним, 07:35, 26/08/2014 [ответить] [смотреть все]     [к модератору]  +/
К сожалению в Китае Тор не помогает получить доступ к ютюбу... весь текст скрыт [показать]
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40432

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика