id: Гость   вход   регистрация
текущее время 23:52 28/03/2024
Автор темы: Гость, тема открыта 29/03/2014 03:01 Печать
Категории: анонимность, хард, операционные системы, программные закладки
создать
просмотр
ссылки

Компьютер для Tor


Собираюсь использовать Tor, скорее всего в составе Tails.
В связи с этим возникает вопрос – может ли как-то повлиять на идентификацию компьютера недружественынми службами то обстоятельство, что на нем прежде уже выходили в Интернет на обычной ОС?
Мысль такая: если на нем уже выходили в Интернет на Виндовс, и та "слила" хардверные данные компьютера "куда следует", то компьютер получается уже как бы "засвеченым", т.е. известна его страна, IP и в конечном счете его владелец.
И теперь, если выходить в Интернет с того же компьютера даже через Tails, и последняя тоже нечаянно сольет (например, из-за просчетов разработчика) эти же данные в конечном узле Tor на сайты, которые посещаем, то достаточно их сопоставить – и вуаля, анонимщик, сидящий за цепочкой луковиц, изобличен и извлечен за ушко да на солнышко.


Иными словами – есть разница в анонимности/безопасности между совершенно новым компьютером с Tails, и тем, которым уже ходили в Интернет через обычную ОС?


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— unknown (07/04/2014 22:19, исправлен 07/04/2014 22:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вот это пожалуй, самое серьёзное замечание. Внутриорганизационные слайды — это не первичные, не вторичные, не третичные, а самого последнего уровня значимости документы.


Вполне могут быть более серьёзные разработки по анализу систем анонимных коммуникаций, по атакам на крипто, которые не то что в слайды, а даже в спецотчёты не попадают, лежат только внутри отделов, а внутри ведомственной сети, даже с разделением допусков не циркулируют.


Не было опубликовано ни одной серьёзной работы по крипто, ни одного чертежа, алгоритма, исходника, ни одной методики, которую можно было бы проверить — только поверхностные рекламные обзоры.


По поводу КК возражения строятся на основе того, что физика для всех одна. Сильно продвинуться вперёд в плане секретных разработок в области теоретической физики, какие бы закрытые исследования не велись, не опираясь на знания открытого сообщества в такой фундаментальной области — нереально.

— Гость (08/04/2014 00:01)   <#>


Оппенгеймер и Эйнштейн из проекта Манхэттен с Вами бы не согласились.

При колоссальных затратах, как например Project MKUltra, и это не бомба, которую снимают на камеру и показывают Сталину.

Рассказать потенциальному противнику о том, что есть разрушительная сила, это одно. А сказать ему, что все его переговоры с союзниками по утрам читают как газетёнку штабные клерки, не замечая даже, что он использует какую-то криптографию, это чуточку другое.
— unknown (08/04/2014 09:45, исправлен 08/04/2014 10:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Насчёт Эйнштейна ничего сказать не могу, он в Манхэттенском проекте участвовать отказался по принципиальным соображениям.


С вами бы не согласились участники и руководители Nth Country Experiment из Ливерморской национальной лаборатории и участники событий, известных как The Progressive Case. Оригинал fileпубликации, которую спецслужбы пытались изъять из всех публичных мест в США в обход конституции. Но не успели — туристы раскупили тираж на далёких островах.


И это конкретные случаи достаточно полного реверс-инженеринга закрытых проектов. О принципиальной практической возможности создания оружия было известно ещё до 1940-х годов практически всем работающим в данной области.

— Гость (08/04/2014 14:58)   <#>


Может правильнее будет звучать: "Он был инициатором этого проекта?", как это по-Американски: "Отец основатель".



https://ru.wikipedia.org/wiki/....._Эйнштейна_Рузвельту

Если же этого не достаточно, то


Если за все эти движения, "попытки спасти Мир", их, физиков, просто не гладили по головке, приписывая им "грехи Коммунизма". https://ru.wikipedia.org/wiki/Маккартизм

То за деклассификацию таких, например слайдов для энтернов NSA, какие раскрыл Сноуден, или то, что Мэнинг натворил, две видио-записи с апача, на которых рутинная работа этих бравых ребят в аулах Иракских террористов.
Им обоим по-жизненное светит.

Что могут повесить на того, кто выпустит буклет про подвал NSA, где квантовый компьютер точат против русской "Свой-Чужой"? Пожалуй, "Электрический трон".
— unknown (08/04/2014 15:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Дело в том, что работы по делению урана публиковались в открытую до начала второй мировой и можно было сделать вывод, что из этого следует практическая возможность создания оружия. Чтобы про это обоснованно и на фактах догадаться, не надо было быть Эйнштейном. И не только он один был инициатором. И не только в США над этим думали.

Манхэттенский проект не был реально полностью засекреченным — утечки о фактах его существования были повсеместны, начиная от рядовых сотрудников фирм гражданских подрядчиков (Дюпон, Дженерал-электрик) и заканчивая местными жителями из окрестностей тех пустынных мест.
— Гость (08/04/2014 23:51)   <#>
В этом разница между военными и шпионскими секретными проектами.

К примеру, MKUltra – явно шпионский проект – CIA.

Манхэттен – военный.

КК – больше шпионский, чем военный.
— Гость (09/04/2014 01:14)   <#>

/comment69101


Что именно там создано? Аналог SELinux? У него нет альтернатив, если не считать таковой Qubes.


У Sun было своё железо и свой софт, оптимизированный под него. Чем разработка соляры кардинально отличается от разарботки любой другой проприетарщины?


Мне кажется, троллинг и консипрология становятся всё толще и толще, а вбросы всё более целенаправленными.


Жду чёткой аргументации, поддерживающей эту точку зрения, только без экстраполяций реалий доиндустриальной и античной эпохи докомпьютерной эпохи 60-70-летней давности на 2014-ый год. Кстати, каких студентов? АНБ — не учебное заведение. Студенческая работа там была пока одна — по fileMJOLNIR. Её уровень резко контрастирует с остальными слайдами: ничего интересного нет, это простой обзор атак на Tor + собственный Tor-клиент с расширенной функциональностью. Откуда вы знаете, какие у АНБ сейчас реальные возможности? Есть факты, которые говорят о том, что они могут намного большее, чем заявлено в слайдах? Ни от Шнайера, ни от экспертного сообщества таких заявлений не было слышно, только от местных конспиролухов.


Мы это уже обсуждали. Одни придумвают, другие разрабатывают, третьи поддерживают, четвёртые используют. Не может один человек делать всё. А если есть полноценная цепочка, об этом вынуждено будет знать много людей, которых ещё надо обучать пользоваться готовым продуктом. Аналитиков, работающих с готовыми данными, тоже обучают, чтоб они не требовали от АНБ невозможного, а для того, что требуют, понимали расход средств на осуществение атаки (что сделать просто, что сложно, а что практически нереально). В этих же слайдах есть и информация о том, что у них что-то не получалось атаковать. Если полноценного производственного цикла нет, отчёты могут годами лежать в столах, но их существование ни на что не влияет.


Это могло быть сделано намеренно. Сноуден и журналисты стараются только привлекать внимание к используемым методам и возможностям, вымарывая даже те технические подробности, которые на этих слайдах есть. Полноценную публикацию всех наработок было бы сложно объяснить такими рамками, но легко — пособничеством другим шпионам, которые адаптируют эти разработки под себя. Грубо говоря, одно дело — заявить о существовании ЯО и его угрозах, а другое — опубликовать всю информацию о нём, которая бы позволила любому государству его воссоздать.


Который бесполезный, но облюбован местными идиотами из этого топика? И не вижу ссылки, указывающей на колоссальность затрат.


Такое тоже было. Если что, большая часть мирового профессионального сообщества в это (СТЛА) не верит.


Языковая грамотность у вас явно коррелирует с грамотностью в других делах.
— Гость (09/04/2014 02:55)   <#>



https://en.wikipedia.org/wiki/.....s_Trusted_Extensions

Чем SELinux превосходит FreeBSD'шный mac http://www.freebsd.org/doc/en_.....ks/handbook/mac.html ?

https://en.wikipedia.org/wiki/.....trol#Implementations

Вы взяли из этого списка вычеркнули всех, кроме "An NSA research project called SELinux". И залепили Qubes. Мне кажется там немного другой подход.



Вместо реверс инжинеринга (BSD Family/Linux) идёт сразу разработка. Даже Microsoft не имеет таких удобств.



Мне кажется Вам заплатили бартером за отрицание очевидного.


А если там черепашки-ниндзя, у которых ротация, каждый заменяет другого, незаменимых нет.


Википедию прочитайте. Она может конечно же лгать о сумме в 6% от общего бюджета ЦРУ. Времена, когда король рок-н-ролла служил на границе с нашими Советскими войсками. Правительство США бредило Перл-Харбром. Вместо того что бы 100% вбухать в бомбу ядрёную, 6% уходит в пустоту – 20 лет, после чего проект признан бесполезным, а все документы стёрты, и начато расследование конгресса.


Боюсь предположить, что Вы закодировали в (СТЛА). Если Вы говорите о криптографии, то всем известно, что есть гражданский стандарт и он открыт, это AES, RSA, и т.д. А есть военный стандарт, и он закрыт. Зачем иметь скрывать то во что не веришь.



http://www.voltairenet.org/article60076.html



по-жи-зне-нн-ое
— Гость (09/04/2014 05:11)   <#>

Я бы не стал считать неангажированными статьи с oracle.com, но всё же. Насколько уместно и правильно сделано сравнение, судить не возьмусь.


Этим. Если что, есть ещё этот и этот аргументы.


Я не слышал о серьёзных альтернативах SELinux'у, хотя подвижки к чему-то подобному есть и в других ОС.


Реверсинг нужен только для написания драйверов к проприетарным железкам, производитель которых не соизволил открыть на них спецификации. Помимо написания драйверов разработчики ОС делают ещё много чего, никак не связанного с железом.


Думаю, имеет. Разработчик железки обычно заявляет M$ как поддерживаемую ОС, поэтому он заинтересован в том, чтобы драйвер поставлялся M$ искоробочно и ими же поддерживался подо всеми версиями их ОСей. Чтобы так было, нужно им предоставить спеки. Реверсить будет ничего не надо.


Если вы считаете очевидным, что RSA из-под полы получила миллиард (или сколько там) вместо миллиона, обоснуйте это хотя бы ссылкой на развёрнутую статью по теме от специалистов в IT/крипто, которые так думают.


С другой планеты?


Сразу видно, что вы не представляете себе, как работают исследования и R&D. Кстати, чего, если по-вашему, в крупных компаниях так охотятся на топовых специалистов и переманивают их правдами и неправдами? Даже в фундаментальных исследованиях существует аргумент:

гениев типа Ферми, предложившего проект создания атомной бомбы, который мог бы поддержать и Эйнштейн, здесь пока не видно. Без гениев такие вещи не создаются, люди совсем об этом забыли.

Можно вспомнить и про того же Королёва.


Википедию прочитал, как вы и советовали. Обнаружил, что вы опять врёте и передёргиваете:

The Manhattan Project began modestly in 1939, but grew to employ more than 130,000 people and cost nearly US$2 billion (about $26 billion in 2014 dollars).

An estimated $10 million USD (roughly $87.5 million adjusted for inflation) or more was spent

87.5/26000*100 = 0.3% от стоимости бомбы стоил проект MKUltra. Даже если это не вся стоимость MKUltra, а только за один год, умножьте на 10, получите 3%. Всё равно смешно. Статистическая погрешность. Про «атомный проект» поэтому вспоминают до сих пор, как про глобальную государственную задачу, на которую работали тысячи людей, и на которую израсходовали тонны денег, а про MKUltra не знает почти никто. Объяснение тут не в секретности, а в масштабах, прежде всего.


А ввести слово в гугл (СТЛА site:pgpru.com) и поискать у вас времени конечно же нет, как и запомнить, что перед ">" нужно ставить два перевода строки, чтоб лишних не было, а после ">" вообще лишних пустых строк не ставить. И отличать внешние цитирования, маркируемые через <[цитата]> (то, что не цитата собеседника, на которую сейчас пишется ответ) от внутренних цитирований (">") вы тоже, вижу, не в состоянии. И кидать ссылки кишками — небрежность.

Вот ваша СТЛА и её более ранние упоминания.


Они, вероятно, скрываются, потому что там не обычная криптография, а криптография, завязанная на железо и довольно специфические задачи, совершенно неинтересные широкой общественности (связь между подводными лодками обычных интернет-юзеров очень интересует?) [1], [2], [3]. Ввиду такой специфики может оказаться, что критерии для выбора принципа медведя (а не Керхгоффса) соблюдены (систему никто не будет анализировать на безопасность, использовать, она никому неинтересна, кроме как врагам, поэтому смысла её публиковать нет). Наконец, финальный аргумент:

На симметричные алгоритмы полно непрактичных атак ("мы живём в эпоху сертификационного криптоанализа" — не помню чья цитата), но блочные шифры — это то, в чём профессиональные криптографы уверены больше всего (с хэшами разговор особый — стойкий хэш создать сложнее). И меньше всего верят в какие-то секретные подвалы АНБ по этой части. И Шнайер говорит ровно о том же. Вспоминается, что когда стали ивестны названия шифров из NSA Suite A, никто из профессиональных криптографов не высказал интереса — решили, что там нет ничего сильно отличающегося от открытой науки, на что стоило бы смотреть.


И что? Это к цитате
ответственный работник, пожелавший остаться анонимным
что ли? Анонимных сливов всегда было масса, но слить анонимно слишком много невозможно, особенно с доказательствами и документами. К тому же, сразу возникает вопрос доверия к источнику слива, не деза ли это.


АНБ тоже не собиралась рассказывать про то, что рассказал Сноуден, но никто её спрашивать не стал. В интервью с предыдущими информаторами один из них сказал:

Q: He'll be prosecuted?
Binney: First tortured, then maybe even rendered and tortured and then incarcerated and then tried and incarcerated or even executed.

Это похуже, чем «пожизненное».


Даже по слогам правильно разобрать не можете: по-жиз-нен-но-е.
— Гость (09/04/2014 06:02)   <#>


Понятно, что ставить NSA в вектор угроз, дороже чем, стать террористом №1. Но читая последние новости, про backdoor-ы тут и там от Агенства, есть ли смысл использовать такой громоздский фрэймворк, учитывая что его код открыт. Что в нём могут быть закладки понятно всем. Их поиском могут быть, без особых затрат, заняты миллионы людей. Это не парсеки asm-а, это всего лишь километры pure-C.




Напримере той же бомбы. Опенгеймера мог в любой момент подменить любой из перечисленных физиков и руководить проектом.




Вы сами предложили миллион попробовать заменить на миллиард, в случае RSA. Я вообще не думаю, что CIA знает что такое деньги, CIA == USA == Federal Reserve System, в этом вопросе, что бы оборонка всё не сожрала, как это в Союзе было, стараются баланс держать.



https://www.google.ru/search?q=СТЛА%20site:pgpru.com


Кто-то часто беседует о сверх-секретных математических теоремах...
— Гость (09/04/2014 07:31)   <#>

Обжёгшись об воду, дуем на молоко. ©

Есть информация (в отличие от спекуляций по поводу SELinux, такая информация действительно есть), что НИСТ может находиться под влиянием АНБ, но даже в этом случае голословно из принципа отрицать результаты их открытых конкурсов было бы странным.

Не используйте Twofish, используйте Rijndael. С Twofish всё в порядке, но про проблемы с AES в случае новых достижений криптографии, шансы узнать гораздо больше.

© Wagner, один из разработчиков Twofish.


Каждый решает для себя сам. Аргументы SELinux vs виртуалки много раз обсуждались. Для анонимности есть минимум 5 требований, под которых, как я понимаю, готовых правил SELinux нет, как и нет правил LXC (утечка инфы о железе). А в виртуалках это всё выполняется и работает.

Может когда-нибудь и анонимную ОС разработают и напишут (с раздачей контекстов анонимности, мандатного управления, анонимными подписями доступа к ресурсам, например, на базе той же QubeOS или SELinux) в соответствии с каким-нибудь теоретическим подходом, а не просто пересборкой из того, что под руку попалось.

Есть какие-то возможности SELinux для TBB, но это пока полумеры скорее. Но вообще эти идеи пилят. Может быть, когда-нибудь появится аналог Tails для обычных домохозяек, использующий как виртуализацию, так и SELinux, но пока об этом не приходится даже мечтать.


«Миллионы» — это слишком сильное художественное преувеличение. Чтобы искать закладки в ядре, нужно, для начала, заниматься системным программированием под Linux, а таких людей не так много. Большая часть кода ядра Linux пишется корпорациями, поэтому эти «миллионы» в целом ограничены штатом соответствующих компаний. Кстати, к нахождению вчерашней закладки корпорации тоже причастны:

Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код.
— unknown (09/04/2014 10:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Linux — это продукт, разрабатываемый и финансируемый по большей части крупными коммерческими корпорациями.
— unknown (21/04/2014 15:28, исправлен 21/04/2014 15:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Пользователь с подходящими правами в виртуалках на основе QEMU может мог выполнить произвольный код с правами виртуалки.


A privileged guest user could use this flaw to corrupt qemu process memory on the host, which could potentially result in arbitrary code execution on the host with the privileges of the qemu process.

Подборка ссылок.

— Гость (22/04/2014 05:33)   <#>

Но Unknown тоже есть в списке финансирующих организаций.


Это QEMU, он просто софтварный виртуализатор. Ошибка в нём — это как ошибка в произвольном процессе, запущенном от рута, она фатальна. В отличие от софтварных игрушек, настоящая виртуалка — гипервизор — запускается на голом железе. У неё, как я понимаю, компактное ядро с минимумом кода, и именно это ядро отвечает за разделение привелегий по доступу к железу. Хостовая ОС запущена в гипервизоре, а не гипервизор в хостовой ОС, у хостовой ОС просто есть право на управление гипервизором. Ну, а так, от ошибки никто не застрахован. Виртуалка — только дополнительный слой, количественная скорее защита, а не качественная, в отличие от SELinux, но последний пока не защищает от утечек через IPC и железо. Не слышал я про рабочие заточенные под анонимность профили в SELinux.
— Гость (27/12/2014 23:08)   <#>
Привет! Мою тему удалили модераторы поэтому спрошу здесь. Я еще не разобралась во всем этом читаю вас много не понимаю но учусь.
Есть какие нибудь специальные требования к компьютеру для безопасного интернета? Просто помощнее или может быть какие-то специальные чипы и так далее? Ну вы поняли. Какое-то "железо" совсем плохое, какое-то получше и безопаснее. Например Apple плохо а IBM получше и так далее.
У меня процессор 1 гигабайт память 2 ядра этого хватит?
Такие важные для меня вопросы. Насколько я поняла линукс считается лучше чем виндовс. Но я не очень понимаю чем отличается unix lunux и почему везде часто пишут про lunux но когда начинаешь искать материалы иногда упоминается unix это одно и то же или unix это операционная система как MS dos а lunux это оболочка как windows?
У меня валялся загрузочный диск с lunux там сразу работает без инсталяции я посмотрела и впринципе все что там есть мне хватит, даже скайп есть хоть вы его не любите)
Но я еще не выбрала себе lunux если я поставлю себе их несколько смогу ли я пользоваться одной инсталяцией программ? Ну допустим у меня жесткий диск на 100 мегабайт (цифры не точные), я ставлю Мандрею какую нибудь которая займет 10 мебагайт потом поставлю Убунту и займу например на 8 мегабайт и так далее а потом поставлю на 50 мегабайт программ разных то смогу я этими программами пользоваться из разных lunux ов не инсталлируя одно и то же в каждом? Надеюсь я понятно выразилась?
И еще совсем может быть смешной но логический вопрос. Я понимаю что шифрование это ваше все и но вот допустим у меня есть на бумаге секретное письмо я кладу его в конверт а конверт в сейф с электронным замком это и есть как шифрование. Хакеры взламывают замок подбирают код и прочее а кто-то просто приходит с автогеном или взрывчаткой. С компьютером было бы например вот так у меня есть запароленая информация и специальная программа спрашивает пароль но потом вынимают мой диск вставляют в другой комп без этой программы и все видят сразу! Как с этим поступить?
И неужели у силовых структур нет специальных паролей которые открывают все как ключи от домофона у полиции и пожарников?
И еще совсем детский вопрос скорее политический тоже в моей "неправильной" логике не укладывается. Если все так вопят про айфоны про шпионаж и Сноуден в посольстве в Англии сидит который все это разоблачил, то почему сами политики пользуются всем этим? Допустим депутат из российской думы пользуется айфоном и спецслужбы сша все о нем знают где тут логика? И звезды сначала все это любят инстаграмм, твиттер, фейсбуки и прочее но время от временни и постоянно скандалы то папараци то бывшие жены что-то у них воруют. Они просто дебилы или это такая игра?
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3