id: Гость   вход   регистрация
текущее время 16:55 28/03/2024
Автор темы: Гость, тема открыта 27/03/2013 03:58 Печать
Категории: софт, анонимность, приватность
создать
просмотр
ссылки

Всё о TBB (Tor Browser Bundle)


Извиняюсь, но за 10 минут перебора тем в форуме "Анонимность" не нашел всеобъемлющей темы о TBB (Tor Browser Bundle), только разрозненные.
Поэтому предлагаю обсуждать вопросы и проблемы, представляющие интерес для многих, в этой ветке, будет удобней.


 
На страницу: 1, ... , 40, 41, 42, 43, 44, ... , 62 След.
Комментарии
— Гость (06/08/2014 03:22)   <#>
Visit the Wrong Website, and the FBI Could End Up in Your Computer
Operation Torpedo began with an investigation in the Netherlands in August 2011. Agents at the National High Tech Crime Unit of the Netherlands’ national police force had decided to crack down on online child porn, according to an FBI affidavit. To that end, they wrote a web crawler that scoured the Dark Net, collecting all the Tor onion addresses it could find.
— Гость (06/08/2014 04:33)   <#>

Soghoian is also concerned that the judges who considered NIT applications don’t fully understand that they’re being asked to permit the use of hacking software that takes advantage of software vulnerabilities to breach a machine’s defenses. The Operation Torpedo search warrant application, for example, never uses the words “hack,” “malware,” or “exploit.” Instead, the NIT comes across as something you’d be happy to spend 99 cents for in the App Store. “Under the NIT authorized by this warrant, the website would augment [its] content with some additional computer instructions,” the warrant reads.

Странно, что такое deliberate-искажение не делает тех, кто его писал, виновными в утаивании информации от судей.

As they dug further, researchers discovered that the security hole the program exploited was already a known vulnerability called CVE-2013-1690—one that had theoretically been patched in Firefox and Tor updates about a month earlier. But there was a problem: Because the Tor browser bundle has no auto-update mechanism, only users who had manually installed the patched version were safe from the attack. “It was really impressive how quickly they took this vulnerability in Firefox and extrapolated it to the Tor browser and planted it on a hidden service,” says Andrew Lewman, executive director of the nonprofit Tor Project, which maintains the code.

Так и не понял. Последняя stable-версия TBB на момент атаки была уязвимой или нет? О каком патче они говорят? Здесь проблема обсуждалась, и тоже ясности не было.

Such dragnet searching needs more scrutiny, Soghoian says. “What needs to happen is a public debate about the use of this technology, and the use of these techniques,” he says. “And whether the criminal statutes that the government relies on even permit this kind of searching. It’s one thing to say we’re going to search a particular computer. It’s another thing to say we’re going to search every computer that visits this website, without knowing how many there are going to be, without knowing what city, state or countries they’re coming from.”

“Unfortunately,” he says, “we’ve tiptoed into this area, because the government never gave notice that they were going to start using this technique.”

Готовьтесь к массовым эксплоитам господа, запасайтесь виртуалками и файерволами.
— Гость (06/08/2014 06:24)   <#>
А в Raspberry, думаете, не насували

– прошелся по вашей ссылке,но к сожалению, ничего не понял. Можете прокомментировать?
— Гость (06/08/2014 07:27)   <#>
Жаль, в новости нет многих деталей про то, как нашли, но всё равно советую почитать сам ордер. Там много интересного, что не попало в текст новости.

Стр. 19: Админ HS рекомендовал виртуалки. Это ему не помогло. Другим рекомендовал, а сам не использовал? Теперь это так и останется тайной.

Стр. 22:
A further search of the above described Tor network configuration file revealed an additional hidden service, Bulletin Board A. That hidden service was previously known to the NHTCU as a Tor hidden service which contained <...>. The NHTCU then copied the contents of "Bulletin Board A" using multiple software programs. After copying the contents of "Bulletin Board the NHTCU gained access to the server hosting "Bulletin Board The NHTCU identified the directory in which the hidden service application was found. The NHTCU then successfully accessed the hidden services database and gained access to the server. After gaining access to the server, the NHTCU identified the IP address of the server as .... A search of publicly available data revealed that this IP address appeared to resolve to a location within the United States. As described below, that IP address belonged to <...> assigned to the home Internet account at the address of <...>. Accordingly, as of August of 2011, "Bulletin Board A" was being hosted at the
home of <...>.

Кто-нибудь что-нибудь понял? Я ничего не понял. Как они нашли IP борды A? Одни расплывчатые вуалирующие фразы. DB для HS "Bulletin Board A" случайно содержала его IP? HS был тоже взломан через веб, но хостился не на виртуалке, поэтому был получен доступ к IP?

Стр. 29:
Upon seeing agents, <...> immediately closed the laptop computer, which locked the computer. Agents were able to determine the password and unlock the computer. Among other things, a web browser window was open and connected to "Bulletin Board A". McGrath had been browsing a "Bulletin Board A" page titled <...> while logged in as Administrator. Agents also noticed that the laptop computer was directly connected to the computer server with the IP address <...>.

Подчёркнутая фраза наводит на мысли. Неужели в США в таких случаях теперь используют ТРК?

Стр. 30:
In the normal course of operation, web sites send content to visitors. A user's computer downloads that content and uses it to display web pages on the user's computer. Under the NIT authorized by this warrant, the web site would augment that content with some additional computer instructions. When a computer successfully downloads those instructions, the instructions are designed to cause the "activating" computer to deliver certain information to a computer controlled by or known to the government.

Стр. 32:
During the thirty day period that the NIT is deployed on "Bulletin Board A" each time that any user accesses any page in <...> section of "Bulletin Board A" or any user sends or views a private message on "Bulletin Board A" the NIT authorized by this warrant will attempt to cause the user's computer to send the above-described information to a computer controlled by or known to the government.

Загруки малвари на веб-сайты теперь описываются вот так. Это не малварь, это дополнительные "instructions", и это не инфицирование ПК, а его "активация", как будто пару строчек в конфиге веб-сервера поправили, чтоб больше информации о кликах получать. Теперь использование этих "instructions" ставят на поток.

Стр. 36:
I further request that this application and the related documents be filed under seal. This information to be obtained is relevant to an ongoing investigation. Premature disclosures of this application and related materials may jeopardize the success of the above-described investigation. Further, this affidavit describes a law enforcement technique in sufficient detail that disclosure of this technique could assist Others in thwarting its use in the future. Accordingly, I request that the affidavit remain under seal until further order of the Court.

Не положено людям много знать. Будут много знать — будут хорошо защищаться.

Краткое резюме:
Зацепка началась с того, что пароля на веб-акк Админа не было (слабо верится, но они так пишут). Дальше, имея этот пароль, они получили полный доступ к серверу и его IP (допустим, это так, если HS был не внутри виртуалки). Дальше каким-то магическим образом аналогино был вычислен IP другого HS, который хостился у админа дома, причём адрес домашнего HS и какие-то конфиги лежали на первом взломанном HS. Админ HS работал в хостинг-провайдере, поэтому прям там и захостился (думал, что найти сложнее всего то, что под носом?). Из дома напрямую без Tor соединялся с серверами, которые были каким-то образом связаны с этим HS (так и не понял, каким). За админом установили наблюдение дома и выяснили, кто там живёт, что нет публичного Wi-Fi, и пользуются именно жильцы. Когда за админом уже во всю следили и серваки были под контролем, он написал, что всё хорошо, его не ломали, а он просто перенёс хостинг HS. Про арест тоже много вопросов. Этот случай был до истории с FH [1], [2], [3] и не проливает свет на то, каким образом был найден FH — была ли там глупость со стороны админа, как в случае SR [4], [5], или имело место тайные методики, о которых никто не подозревал.
— Гость (06/08/2014 07:58)   <#>

А что там комментировать? Тео жалуется на то, что в софте проприетарная закрытая фирмварь, блобы. Фирмварь может приводить к фатальным уязвимостям в системе. В случае той же Nvidia (или там просто проприетарные дрова на иксы были?) было получение root-доступа к системе. OpenBSD и Тео известны своей войной с блобами, у них даже одна из песенок к одному релизу этой теме посвящена.
— Гость (06/08/2014 09:08)   <#>

К тому же юзеров сети с этим "Морзе" вначале будет раз-два и обчелся, вычислить ху из ху будет просто.

Получится, не сомневайтесь;)
А как по Вашему будут детектить именно AcodeMorse?
— Гость (06/08/2014 12:45)   <#>

В процитированном тоже ничего нового. Пишут, что ошибка была исправлена за месяц до появления информации об эксплоите, а значит теоретически никого задеть не должно было. Тор браузер никогда так долго не задерживали с выпуском. Но в цитате всё равно считают браузер уязвимым на практике, так как пользователи не обязаны так быстро (ведь месяц это так мало) обновляться вручную, а автоапдейта нет. Из большой выборки пользователей браузера, часть уж точно не успела или не захотела обновиться. Этот факт зачисляют в практическую уязвимость не конкретной версии, а вообще Тор браузер как класс.
— Гость (06/08/2014 12:48)   <#>

На этот счёт есть даты для дистрибутивов из архива.
— Гость (06/08/2014 21:36)   <#>
Получится, не сомневайтесь;)
А как по Вашему будут детектить именно AcodeMorse?

Пожалуй, я разместил свои вопросы по Raspberry не в самой подходящей теме, поэтому переезжаю с ними в тему "Надежность Tor":
https://www.pgpru.com/forum/an....._comments=1#comments
Кто желает поучаствовать в обсуждении Raspberry – приглашаю туда :)
— Гость (08/08/2014 02:47)   <#>

А вот не факт. Что значит «исправлена»? Под этим могло подразумеваться следующее: в багзилле firefox уязвимость было известна, и патч был выложен, поэтому те, кто беспокоится, могли сами пересобрать из сорсов TorBrowser, предварительно накатив апстримовский патч. Ну, типа, «те, кто этого не сделали — сами виноваты» — можно и так понять.


Сейчас есть автоматический нотификатор, который, максимум, после 1-2 дней с выхода апдейта начинает показывать предупреждение. Я если такой вижу, то сразу обновляюсь. Считаю, что те, кто видят и не обновляются, те ССЗБ. Тем более, месяц — очень приличный срок.
— Гость (08/08/2014 12:18)   <#>

Они пишут не про патч (patch), а про то что ошибка исправлена (patched). В мазилле не публикуют патчи отдельно и не дают доступ к тикетам с такими ошибками некоторое время даже после выпуска (пару недель как минимум). Те кто имеют доступ соглашаются не публиковать детали и тем более явные патчи. Разработчики браузера не обязаны упоминать детали в закоммитченных патчах в открытый и публичный репозитарий, обычно они ограничиваются комментарием о номере тикета для исправления. Тор браузер делали (и пока делают) из готового Firefox ESR добавляя свои патчи, а не накладывают апстримовские на свой код. Тор браузер это файерофокс (из официального мазиловского репозитария) + немного своих патчей (в код и опции по умолчанию).
— Гость (09/08/2014 03:41)   <#>

Слабо верится, что никто из имеющих доступ не сливает информацию в паблик. И зачем так делать? Чтобы дать людям обновиться раньше, чем злоумышленники узнают об уязвимости?


Когда выходит новый TBB, в changelog'е пишут, что пофиксены такие-то и такие-то ошибки, найденные Mozilla в своём ESR.


Я не в курсе, как нумеруются ESR. Каждый новый патч — новая версия? Вряд ли. Короче, если TBB сделан но основе одной версии ESR, а потом в этой ESR нашли ошибку, то что происходит?

Как я понимаю, происходит следующее: Мозилла патчит свой ESR и выдаёт бинарное обновление. По логике вещей, TBB должен взять их патч и применить к себе (вкупе с собственными, которые делают из FF'а TorBrowser). Поскольку при фиксах в ESR основной код не меняется, а просто накатывается патч, теоретически каждый может собрать свой TBB из сорсов, положив в основу исходники не первичного ESR, а уже пропатченного секьюрити-патчами Мозиллы.
— Гость (13/08/2014 17:15)   <#>
Сброс параметров конфигураци TBB.
Такая фигня. У меня русскоязычный TBB, но я не хочу чтобы это видели сайты и серверы. Изменил почти параметры из about:config где стоит ru. Но один параметр intl.accept_languages постоянно сбрасывается после нескольких перезапусков TBB. По умолчанию он "ru-RU, ru, en-US, en", исправляю его на "en-US, en", а потом снова возвращается старое значение. А этот параметр высвечивается на https://panopticlick.eff.org/
— unknown (13/08/2014 17:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Не совсем по вашему вопросу, но в /comment82543 я упомянул, что в TBB, начиная с версии 3.6.4 в about:config уже ничего исправлять нельзя.
— Гость (13/08/2014 22:12)   <#>
Как я понимаю, происходит следующее: Мозилла патчит свой ESR и выдаёт бинарное обновление. По логике вещей, TBB должен взять их патч и применить к себе (вкупе с собственными, которые делают из FF'а TorBrowser). Поскольку при фиксах в ESR основной код не меняется, а просто накатывается патч, теоретически каждый может собрать свой TBB из сорсов, положив в основу исходники не первичного ESR, а уже пропатченного секьюрити-патчами Мозиллы.

При появлении информации о новой (минорной) версии ESR, создают ветку в своём репозитории для Tor Browser. К примеру вышла новая Firefox 24.7.0ESR, тогда создают ветку tor-browser-24.7.0esr-3.x-1, куда копируют код из ветки репозитория Mozilla c Firefox ESR 24 в соответствии с тэгом для версии. Далее код правят под себя с помощью готовых патчей, плюс исправляют код для переименования браузера и удачной сборки под MinGW (ванильную Firefox собирают с помощью MSVC) и на выходе получают Tor Browser. Все новые коммиты поверх кода ванильной Firefox.

И так каждую новую минорную версию ESR, при появлении новой major версии дополнительно необходимо портировать свои патчи под новую ветку Firefox кода.

Патчи для ванильной Firefox отдельно от репозитория не распространяют, доступ публичный, но разбираться, что значит коммит с комментарием об исправлении тикета XYZ, нужно самостоятельно. Баги бывают разные, связанные между собой, поэтому при непубличном тикете в багтрекере выяснить нужный коммит бывает сложно. Если цель не создавать эксплоит, то зачем?
На страницу: 1, ... , 40, 41, 42, 43, 44, ... , 62 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3