id: Гость   вход   регистрация
текущее время 17:45 28/03/2024
Автор темы: Гость, тема открыта 20/01/2010 18:49 Печать
Категории: анонимность
создать
просмотр
ссылки

Надежность TOR


Насколько надежен TOR? В плане анонимности, и следовательно безопасности? Проживаю в стране с диктаторским режимом, монополия на доступ в интернет, полный контроль....
Для меня ОЧЕНЬ важна анонимность.
Использую последнюю версию vidalia tor, firefox и torbutton. Провайдер и удаленный ресурс – потенциально ВРАЖДЕБНЫ (так как АБСОЛЮТНО подконтрольны гос. органам). JavaScript необходим (как и везде сейчас, почти). Насколько анонимно заполнение форм, оставление комен-тов, пересылка со своего PC различных файлов (например изображений) на враждебный ресурс?
https://www.whoer.net/ext – мой IP, и другую важную информацию не светит, значит ли это, что я в "полной" безопасности?


 
На страницу: 1, ... , 40, 41, 42, 43, 44, ... , 55 След.
Комментарии
— Гость (14/07/2014 03:52)   <#>
Я понял в чем дело.

Debian предлагает обновиться на 0.2.4.22-1deb7u1, из своего репозитория. Можно что-нибудь прописать чтобы тор никогда не обновлялся из чужой репы?
— Гость (17/07/2014 14:09)   <#>

Народ писал о следующих уязвимостях: проигрывание видео требует кодеков, а кодеки сплошь дырявые, это открывает возможности для атаки сервера на клиент. Другая проблема — если вы нечайно сделаете full screen при проигрывании видео и тем самым сольёте размеры своего экрана на сервер.


При чём тут квантовые системы? Они повышают стоимость взлома самого сильного звена — криптографии. Из того, что мы видим в документах АНБ и GCHQ, практически все их атаки — на инфраструктуру и реализации, а не на саму математику криптографии. Кванты тут ничем не помогут (точнее, если и помогут, то скорее для взлома, чем для защиты). Если ставить вопрос не о защите одиночке, а о массах, то это, действительно, чисто политическая проблема.


Если подойти от сохи и относится к людям, как к безликим неживым targets, то логика, видимо, была простой и понятной. Был обнаружен экстремистский/террористический сайт, который рекламировал тот самый Linux journal. АНБ прекрасно отдаёт себе отчёт, что не все, кто ходит на Linux journal, имеют отношение к террористам, но это — возможность как-то сократить выборку: теперь ищем не среди всех, а среди тех, кто ходит на конкретный сайт. Для простоты будем всех их называть потенциальными террористами. Раз слежка ничего не стоит, и о нарушении приватности можно не беспокоиться, выборку можно раздувать хоть до бесконечности. Чем больше характерных лейблов можно навесить на подозреваемых, тем для них лучше. С таким же успехом они бы поставили на прослушку всех, кто покупает определённого рода стулья, если б стало известно, что именно этот вид стульев предпочитают, в том числе, те, кто «террористы».


Если так глубоко рыть, то и криптография страдает теми же проблемами. Навскидку если, то RSA опирается, как минимум, на следующие гипотезы:
  1. P ≠ NP
  2. Факторизация является NP-сложной.
  3. У взломщика есть ограничения на вычислительные ресурсы (например, он не может сбрутфорсить 128-битный ключ).
  4. У взломщика нет квантового компьютера.
  5. У взломщика нет возможности делать какие-либо гипервычисления, на которых факторизация решается легко (Вдруг есть физика, о которой мы не знаем, и которая позволяет факторизовывать быстро? Мало ли какие ещё модели вычислений могут быть... На тех же струнах, к примеру).
Понятно, что это всё так далеко от практики, что эти вопросы обычно не поднимают. Точно так же не поднимают и вопросы об анонимности (от кого, когда, при каких условиях), консервативно считая, что если хоть одна из сейчас существующих в мире сторон может практическим образом деанонимизировать пользователей, значит, анонимная сеть не выполняет свои функции.


Если не вдаваться в глубинные философские вопросы, то ответ — «может, но для этого требуются определённые затраты энергии».


Сервера в РФ не защитят от слива, они его только преумножат: если раньше сливалось только в АНБ, теперь будет сливаться ещё и в ФСБ.
— unknown (18/07/2014 09:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Чисто журналисткая и скорее эмоциональная интерпретация: АНБ хочет, чтобы вы использовали Tor, якобы так ему проще шпионить за вами.

fileQuestion: Should You Trust Tor? Answer: Not If Your Life Is At Stake.
— Гость (18/07/2014 12:47)   <#>

"[A] Critical mass of targets use Tor. Scaring them away from Tor might be counterproductive"

Ключевое слово — «might». Да, исходя из общих соображений, может так получится, что успех АНБ дойдёт до такой степени, что им будет более-менее комфортно ловить большую часть (но не 100%, как они утверждают на том же слайде) им нужных «targets». А может и не получиться. Это было представленно как вопрос для дискуссии в конце слайдов (см. стр. 23).

De-cloaking Tor users doesn't necessarily require a federal budget either. According to a couple of researchers slated to speak at Black Hat in a few weeks:
"In our analysis, we've discovered that a persistent adversary with a handful of powerful servers and a couple gigabit links can de-anonymize hundreds of thousands Tor clients and thousands of hidden services within a couple of months. The total investment cost? Just under $3,000."

Я никогда не понимал таких заявлений. Что значит «de-anonymize hundreds of thousands Tor clients»? Ну, допустим, они узнают, что в момент X пользователь Y посещал сайт Z. Это не будет означать, что в этот момент он не посещал также сайт W, что они не смогли отследить. Это не будет означать, что деанонимизаторы смогут сказать, что Y делал за пять минут до X или через пять минут после X. Цепочка сменилась — и концы в воду. А в сухом остатке: насколько репрезентативной будет полученная утечка? Является ли сайт Z характерным для Y? Часто ли Y его посещает? И прочие тому подобные вопросы.

Ну, и основной посыл про «snake oil» не работает для открытой информации. Они исходят из того, что весь мир не видит чего-то очевидного (как сделать эффективную атаку), а АНБ видит. Это пересказанное на новый лад «у них есть такие атаки... но о них они никому не расскажут, а весь остальной мир в код смотрит и не видит их».
— Гость (18/07/2014 16:58)   <#>

Дело в том, что полный деанон ради полного деанона никому не нужен. Есть targets — допустим, форумы джихадистов, есть их постоянная аудитория. В данный момент времени определить ее невозможно. Но если суммировать все возможные способы и методы, то за не то чтобы большой срок наблюдения можно персонифицировать существенную ее часть.
— Гость (22/07/2014 17:08)   <#>

Возможно. В документах Сноудена как раз было о том, что АНБ с помощью атаки FoxAcid/MotS успешно сдеанонила всех до одного посетителя одного конкретного джихадистского сайта (замучаюсь искать точную цитату, но там это было). Что-то похожее упоминалось также здесь:

24 targets successfully implanted with Dalidator during first weekend of release
  • Finally exploited after eight months.

Именно 8 месяцев, а не 2, как заявляют на BH. :)
— Гость (06/08/2014 21:48)   <#>
Раз тема о надежности Tor, предлагаю обсудить здесь использование одноплатника Raspberry, тоже для поднятия надежности.
Начало дискуссии взято из другой темы:

Подскажите, поможет ли делу анонимизации смена железа с традиционного PC на Raspberry?
Вывод затруднителен, т.к. с одной стороны, Raspberry пока еще относительная редкость среди Интернет-пользователей и сразу бросается в глаза, с другой – в PC-платформу за многие десятилетия успеди насовать множество аппаратных закладок (уже даже до USB и ж/дисков дошли).

Да, вполне. Ждите первого релиза AcodeMorse из соседней темы и будет Вам счастье.

AcodeMorse? Тот, который еще пилится, и еще неизвестно, что из него получится?
К тому же юзеров сети с этим "Морзе" вначале будет раз-два и обчелся, вычислить ху из ху будет просто.
А если привычный Debian (адаптированный к Raspberry), то анонимности что – швах?

для Raspberry уже вроде запилили на openwrt wwwhttps://github.com/AcodeMorse/amorsePi
AmorsePi на мой взгляд уже юзабельна и ее уже можно использовать например вместе с Tails

А в Raspberry, думаете, не насували?

– прошелся по вашей ссылке,но к сожалению, ничего не понял. Можете прокомментировать?

>А что там комментировать? Тео жалуется на то, что в софте проприетарная закрытая фирмварь, блобы. Фирмварь может приводить к фатальным уязвимостям в системе. В случае той же Nvidia (или там просто проприетарные дрова на иксы были?) было получение root-доступа к системе. OpenBSD и Тео известны своей войной с блобами, у них даже одна из песенок к одному релизу этой теме посвящена.

AcodeMorse? Тот, который еще пилится, и еще неизвестно, что из него получится?
К тому же юзеров сети с этим "Морзе" вначале будет раз-два и обчелся, вычислить ху из ху будет просто.

Получится, не сомневайтесь;)
А как по Вашему будут детектить именно AcodeMorse?
— Гость (06/08/2014 22:01)   <#>

Допустим, даже получится. Но лично у меня всегда настораживал театр из одного актера. Особенно русского.
Смотрите, что получилось с TrueCrypt – его вел даже не один человек, а крохотное сообщество. И даже не русское.
И тем не менее: дали хорошего пинка – и все заткнулись, проект развалился.

Liberty: если если не путаю – тоже один человек делал? Тоже кажется русский?
Прошла любовь (угас интерес) – завяли помидоры. И где теперь этот Либерти?

Такой список в истории слишком длинный, поэтому закончу на ув. тов.Гегеле: сколько лет он уже делает свой TorChat?
И хотя он утверждает, что не забросил свой проект, однако и движения никакого нету.

Так что один разработчик проекта, или пару-тройка энтузиастов на голом энтузизизме – это всегда риск для этого проекта попасть на пыльную полку истории, чаще всего – навсегда.


Ну как же! Ведь известно, что по сигнатуре отклика сервера можно легко отличить Windows от Unix и Linux. Подробностей, правда, незнаю.
Наверно так же и железячные платформы имеют свои идентификаторы.
— Гость (07/08/2014 08:39)   <#>
Мне знаете что нравится в Raspberry.

Чуваки которые её запилили и вбросили с таким пиаром, что даже школьники знают что это такое, сделали такое "Смотри как!".

2 тыр. руб. – рабочий ПК, размером с кредитку, такого ещё небыло.

На месте Тео и подобных ему людей, вместо того что бы плеваться в фирмвари и блобы бинарного кода с закладками, я бы начинал искать пути для создания полностью открытой платформы подобно Пишке.

Представьте себе, все железки открытого исполнения, ЦПУ – чистая схема на официальном сайте, со всеми разводками апи и т.д. и т.п.

Всё перепрошивается, всё меняется, открытые исходники.

Такие пирожки начнут забирать.
— unknown (07/08/2014 09:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Поставщики не продадут все необходимые компоненты. У изготовителей железок часто технологии куплены под коммерческое неразглашение спеков. Поэтому полностью открытого железа так исчезающе мало, оно хуже качеством, мало с чем совместимо или неконкурентоспособно. Как раз тот случай, когда рынок мешает выпускать продукт лучше конкурентов.
— Гость (07/08/2014 13:28)   <#>
@unknown, ну а если по сусекам поскрести, ты например, знаешь как собрать открытую платформу?
— unknown (07/08/2014 14:46, исправлен 07/08/2014 14:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Аппаратную платформу?
Я не поверю тому, кто скажет, что он знает. Даже в американских ракетах стоят китайские микросхемы, сделанные на производствах, неподконтрольных американским властям, о чём были неоднократные жалобы чуть ли не в комиссии Конгресса.

— Гость (07/08/2014 15:34)   <#>
@unknown, а глядя на Пишку, думаешь а чо надо то...

– 4 диода, красный, два зелёных, жёлтый
– вывод звука, микрофона
– пачка усб портов
– ethernet
– hdmi
– карт-ридер
– питание
– цпу
— SATtva (07/08/2014 15:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А эти Ethernet, CPU, контроллеры Вы будете сами на принтере печатать?
— unknown (07/08/2014 16:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
…да сразу вместе с шинами, мостами, памятью и пр.
На страницу: 1, ... , 40, 41, 42, 43, 44, ... , 55 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3