22.07 // Подозрения о наличии опасной zero-day уязвимости в дистрибутиве Tails
Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал о выявлении в дистрибутиве Tails (The Amnesic Incognito Live System) опасной уязвимости, позволяющей получить удалённый контроль над системой и деанонимизировать пользователя. Сообщается, что проблема присутствует во всех выпусках, включая ещё не анонсированный выпуск Tails 1.1, образы которого несколько часов назад были загружены на FTP-сервер проекта.
Tails выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Наиболее известными пользователями дистрибутива являются Брюс Шнайер и Эдвард Сноуден. Примечательно, что руководитель Exodus Intelligence ограничился голословными заявлениями о наличии проблемы и пообещал раскрыть информацию в будущем, не представив никаких доказательств наличия уязвимости. Кроме того, информация была опубликована не в специализированном издании, а в финансово-экономическом журнале Forbes.
Не исключено, что заявление является провокацией, направленной на подрыв авторитета Tails. Также возможно, что источником проблемы является Firefox, который предлагается в Tails в качестве браузера по умолчанию, и в котором сегодня были устранены 4 критические уязвимости (CVE-2014-1547, CVE-2014-1548, CVE-2014-1551, CVE-2014-1556).
Источник: http://www.opennet.ru/opennews/art.shtml?num=40252
Вот, собственно, её обсуждение в красках. ☺
имеете ввиду в tails?
хотелось бы увидеть как это будет реализовано.
Да где угодно, хотя прикручивать это в Tails будет проблематично, он — LiveCD, поэтому он не предназначен для существенного измерения конфигурации, разве что если разработчики решат что-то такое в него добавить (в чём я тоже не вижу смысла — это не решение для масс из коробки, мало у кого есть свой VPN и т.д.). Имелась в виду схема:
Система (ОС), работающая с сайтами (TorBrowser) → роутер с VPN → VPN-сервер → Tor → сеть.
Первые два пункта могут быть разными гостевыми ОС в одной виртуалке.
По уму надо стремиться к чему-то типа этого, всё остальное — полумеры.