id: Гость   вход   регистрация
текущее время 12:45 28/03/2024
Владелец: ressa (создано 12/05/2015 22:49), редакция от 12/05/2015 22:50 (автор: ressa) Печать
Категории: софт, анонимность, инфобезопасность, tor, исходные тексты, операционные системы
http://www.pgpru.com/Новости/2015/ВыпускДистрибутиваTails14
создать
просмотр
редакции
ссылки

12.05 // Выпуск дистрибутива Tails 1.4


Состоялся релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 1.4, основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 971 Мб.


Дистрибутив Tails (The Amnesic Incognito Live System) основан на пакетной базе Debian и выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Анонимный выход обеспечивается системой Tor, в качестве опции может использоваться I2P. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. В обычном Live-режиме на носителях не оседает никакая информация. Более того, присутствует защита от анализа остаточных данных в оперативной памяти компьютера – в процессе завершения работы или при извлечении носителя, вся оперативная память очищается.


Новый выпуск примечателен переходом на новый значительный релиз Tor Browser 4.5, в котором появился переключатель уровня безопасности (Security Slider), позволяющий выбрать приемлемый для себя компромисс между защищённостью и функциональностью. При увеличении уровня безопасности производится отключение возможностей, в реализации которых всплывает больше всего уязвимостей. Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень – отключение WebAudio и asm.js. Третий уровень – отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень – отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика.


В состав дистрибутива включена утилита Paperkey, позволяющая распечатать на бумаге резервную копию закрытых ключей OpenPGP. Для поддержки различных моделей принтеров в дистрибутив добавлен пакет printer-driver-gutenprint. Tor обновлён до версии 0.2.6.7, а I2P до версии 0.9.19. Удалены консольные почтовые клиенты mutt и msmtp. В качестве поисковой системы по умолчанию задействован метапоисковый сервис Disconnect.


Источник: http://www.opennet.ru/opennews/art.shtml?num=42217


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Yellow (17/06/2015 17:55)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4
Со squashFS я намутил глупостей. Со свопом – все команды нормально работают в других линуксах, а в Tails нет. Хрен знает, в какую сторону копать.
— pgprubot (17/06/2015 18:00, исправлен 17/06/2015 18:07)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

В других Linux LiveCD тоже работают? Например, в Gentoo sysresccd или в стандартном Debian LiveCD?


Я не силён в их внутренней кухне, что они там нагородили (тем более, с AppArmor'ом). Пишите свои вопросы в их (Tails'а) рассылку (только не забудьте упомянуть, что все стандартные способы решения проблемы вам не подходят, включая рекомендуемый с persistence, причём лучше это упомянуть мотивировано, а то вдруг вы хотите неправильного, и вместо решения вами выдуманной искуственной задачи надо в вашей ситуации вообще всё делать по-другому).

— Yellow (18/06/2015 11:54, исправлен 18/06/2015 12:09)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Да, в sysresccd и Debian LiveCD работает.



:-) Понятно, что я хочу неправильного, т.к. подключение свопа противоречило бы "амнезии". Спасибо Вам за потраченное время.

— pgprubot (18/06/2015 12:40, исправлен 18/06/2015 12:45)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Если всё делать правильно (криптосвоп на временный ключ, который затирается при выключении машины), то не противоречило бы, но основная идея в другом: Tails — не конструктор, это готовое решение для «домохозяек», у него есть свои плюсы и минусы. Если у вас желание заточить систему под себя, стоит взять ОС общего назначения и настроить нужным образом, сделав из неё Live-систему, виртуалку или что-либо ещё. Обратите внимание, что я (и многие другие из местной публики) не пользуюсь Tails, это ведь не просто так.



Я бы ещё попытался отключить AppArmor в Tails (если это можно легко сделать, в чём я сомневаюсь) и проверить после этого.



Пожалуйста.

— Yellow (18/06/2015 14:01, исправлен 18/06/2015 14:02)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Если кому будет интересно, получилось запустить zram. Это не решает проблему закачки файлов бОльше RAM, но может вообще пригодиться. Например, система теперь летает. Однако, предупреждаю, что мне совершенно неизвестно, какие при этом могут быть проблемы с безопасностью.

— pgprubot (18/06/2015 14:26)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Модуль ядра zRam в системах семейства Linux создает виртуальное блочное устройство, что-то вроде жесткого диска, который размещается в оперативной памяти. С ним можно делать что угодно, форматировать, монтировать и так далее. Вот только в отличии от других виртуальных блочных устройств, все данные на ходу сжимаются при записи, а при чтении разжимаются.

Понятно, это размен памяти на быстродействие.

Есть, конечно, специфические задачи, но в наше время использовать своп — IMHO, моветон (в т.ч., нередко, из-за соображений безопасности). Когда память была дорога, и её постоянно не хватало, это было понятным, но теперь-то, в мире многоядерных планшетов и телефонов, зачем оно обычному пользователю?
— Yellow (18/06/2015 14:46, исправлен 18/06/2015 14:55)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Вообще-то, под руку может подвернуться немощный комп, а работать-то с операционной системой надо. Поэтому пытаюсь найти простые пути решения насущных задач подручными средствами.

— просто_Гость (18/06/2015 15:10, исправлен 18/06/2015 15:11)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Предлагаете овладеть знаниямси до уровня создания свой сборки более качественной и безопасной чем tails? ))



VMWare workstation (player) при запуске проверяют наличие swap. Можно игнорировать конечно это сообщение, т.к. особого задействия его не замечено, может в моменте существуют обращения но постоянно нет. Это к тому, что могут приложения требовать наличие свопа.

— pgprubot (18/06/2015 15:58, исправлен 18/06/2015 16:00)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Нет, незачем делать его клон. Идеология Tails во многом порождена тем, что им будут пользоваться домохозяйки, которые вообще не понимают предмет и потому могут нечайно всё сломать. Тотальная амнезия (Live-система) спасает от таких фейлов.


Для уверенного пользователя в целом достаточно иметь амнезию только для $HOME конкретного юзера, что делается легко (чистая копия, когда нужно, восстанавливается из бэкапа). Полного счастья не достичь даже в Tails, потому что он не скрывает информацию об используемом железе — троян сможет до неё добраться. Чтобы было ещё лучше, нужно делать амнезию на уровне гостевых систем в виртуалке, но речь пока идёт об аналогах Tails. Помимо амнезии $HOME'а нужно написать правильные правила для iptables и немного покрутить некоторые сетевые настройки системы. В общем-то, это и всё.



Да, виртуалки требуют большого количества памяти, но те, кто на них серьёзно ориентируются, сразу берут компьютеры с 8-16 гигами оперативки на борту.



У каждого своя ситуация, конечно, но сама идея работать на железе, которое «случайно подвернулось», противоречит безопасности, потому что железо тоже троянится. Поидее для безопасности нужно выбирать железо целево и потом принять все меры, чтобы ограничить к нему доступ посторонних людей. Железу, которое побывало в руках противника, доверять нельзя, а само железо стоит покупать анонимно или, по крайней мере, не предупреждать продавца о своей личности заранее, а то любители interdiction не дремлят (это если всё в идеале).

— Yellow (18/06/2015 16:42, исправлен 18/06/2015 16:42)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Да, спасибо за напоминание.

— Yellow (10/07/2015 19:36, исправлен 10/07/2015 19:38)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Проблема с загрузкой больших файлов в сеть через браузер решилась неожиданно просто. Оказалось, что в специальную папку "Tor Browser" можно примонтировать любой источник. В этом случае, ее объем уже не лимитируется размером RAM.

— pgprubot (10/07/2015 20:34, исправлен 10/07/2015 20:36)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

А симлинк не работает, или вы не проверяли? Помимо монтирования чего-то туда непосредственно, это можно делать с --bind или через mount union. В итоге, возможно, даже не придётся куда-либо перемещать исходный файл с той ФС, где он изначально находился. Т.е. выполняется какая-то одна команда (как и при создании симлинка), и всё на том.

— Yellow (11/07/2015 00:05, исправлен 11/07/2015 08:28)   профиль/связь   <#>
комментариев: 64   документов: 0   редакций: 4

Стыдно сказать, но я там наворотил такого, что в результате потерял не просто файлы, а даже несколько папок со всей подструктурой, при удалени одного единственного линкованного файла. Это было просто упражнение, но я в тот момент охренел от содеянного. :-)


С сим-линками еще разберусь и сообщу. Они интересны, минимально, простотой.



Спасибо за внимательную осторожность и подтверждение возможности. Да, так и делаем. Готовим отдельную папку-А с конкретными обрезанными правами. В эту папку вкладываем файл, который был ранее соответствующим образом подготовлен и в глазах непосвященных выглядит правильным образом. Этот файл готовим вне папки-А и переносим его туда только после окончательных проверок его безопасности. В конце содеянного, получаем бесправную папку, с полность бесполезным файлом. Эту папку монтируем с помощью mount --bind в папку "Tor Browser" и делегируем ее права в папку-А. Здесь, вроде, утечек нет.


И теперь, весь внутренний объем папки-А присоединяется к папке "Tor Browser". Можно качать-перекачивать больших толстых слонов.


Только удобно, конечно, все большие файлы подготавливать ввиде мелких отдельных несовместимых кусков, которые никто никогда никакими средствами не склеит вместе. Короме этой возможности, получаем удобный дисткретный массив к загрузке в сеть. Если надо отойти от компа, то можно остановить аплауд где угодно.


Просветите, пожалуйста, по поводу mount union. Буду признателен за все.

— аноон (12/07/2015 02:04)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
все большие файлы подготавливать ввиде мелких отдельных несовместимых кусков, которые никто никогда никакими средствами не склеит вместе.

Типа как описывалось в третьей ссылке?

they compartmented their commo from their file sharing. As an additional, although superfluous step, the enterprise would apparently alter the sequence number of the split binary uploads so that reassembly would be hampered. What this cumbersome step added beyond the existing PGP encryption is unclear (if your adversary can break PGP they can probably figure out the order some files).

Оно затрудняет деанон провайдером по объёму закачек и скачиваний?
Если размер кусков всегда одинаков это тоже будет видно в трафике.
— pgprubot (14/07/2015 05:47, исправлен 14/07/2015 05:52)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Это нормально, у всех в жизненной практике такое хотя бы иногда случается. Вообще, если что, при удалении симлинка сам файл не удаляется. На крайний случай есть утилита extundelete, она многое позволяет восстановить (конечно, если стиралось с диска, а не из ФС в памяти).



Наверно, хотели сказать не «бесполезным», а «шифрованным».



Описание звучит неплохо, но всегда есть пространство для улучшений ценой удобства. Например, файлы можно готовить на отдельной машине, не подключённой к сети, а переносить их на сменных носителях — организовать так называемый air gap.



Если никто и никогда, значит, и вы. Зачем тогда это загружать в сеть? Если же речь идёт об обфускации склеивания, это другое, но её смысл я тоже плохо понимаю.



Вообще, чем больше остановок и колебаний трафика, тем легче делать атаки подтверждения для атакующего. Tor органически плохо подходит для анонимного файлообмена, это не Freenet.



Допустим, есть две файловые системы, не сильно отличающиеся друг от друга. mount union позволяет представить их в виде третьей файловой системы, которая будет содержать файлы и директории их обеих. В случае, когда есть разные файлы с одинаковым именем, отображаться будет файл с той ФС, которая указана в команде первой (Или второй? Уже не помню детали), т.е. она как бы покрывает вторую.


Это удобно для всяких LiveCD и корневых ФС, когда есть статическое дерево ФС, загружаемое с диска, а временные изменения, вносимые поверх него, существуют только в памяти. Ну, и вообще это способ подсоединения к какой-то статической (хотя и не обязательно) ФС дополнительных данных или каталогов так, чтобы всё вместе это было представлено, как будто данные на самом деле расположены вместе. Вот такое объединение на логическом уровене. Можно подумать, где и как это может быть применено для задач типа ваших (возможно, вместо или вкупе с --bind), но я пока не буду спекулировать на эту тему.



В цитате, по-моему, критикуется не сам факт разбиения файлов на куски, а дополнительная обфускация процесса сборки файла из этих кусков (мне тоже непонятна резонность этой обфускации).

На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3