Представлены (https://blog.torproject.org/blog/tor-0308-released-fix-hidde...) корректирующие выпуски инструментария Tor 0.3.0.7, 0.2.4.29, 0.2.5.14, 0.2.6.12, 0.2.7.8, 0.2.8.14 и 0.2.9.11, используемого для организации работы анонимной сети Tor. В новых выпусках устранены две уязвимости (CVE-2017-0375 (https://trac.torproject.org/projects/tor/ticket/22493) и CVE-2017-0376 (https://trac.torproject.org/projects/tor/ticket/22494)), позволяющих атакующему добиться краха скрытого сервиса, поэтому администраторам скрытых сервисов рекомендуется не затягивать с установкой обновления. Из важных исправлений также отмечается устранение нескольких ошибок, связанных с обработкой ключей, которые могут привести к снижению надёжности работы Tor-шлюзов.
URL: https://blog.torproject.org/blog/tor-0308-released-fix-hidde...
Новость: http://www.opennet.me/opennews/art.shtml?num=46674
С каждой устраненной уязвимостью Роскомпозор бомбит все сильнее! ;)
Да им наcрать. Совсем. А если вдруг Тор начнёт им мешать, то запретят и всё. Работы на 2 дня, 15 листов 11 формата и 6 подписей. Не надорвутся.
Тсссс. Не разрушайте хомячью картину мира.
Тупим?
Бриджи тоже запретят?
> Бриджи тоже запретят?разумеется, паблик бриджи на то и паблик, что их адреса узнать можно без труда, и роснадзор уже все занес в списочек, а не паблик - а кто его, собственно, тебе предоставлять-то собрался? (товарищ майор вот тоже интересуется)
Иностранные заблокируем, местным еще и по голове настучим за нарушение закона о противодействии.(если что - obfuscated траффик у тора приделан в последние годы, и приделан плохо - dpi его все равно ловят. Изначальным разработчикам не приходило в голову, что тор можно просто запретить в масштабах государства, наивные америкосы.)
Про последний абзац подробнее, если можно, и желательно с аргументацией.
> Про последний абзац подробнее, если можно, и желательно с аргументацией.аргументация - прямо на сайте торпроджекта (нет, что вы, что вы, у меня тоже не открывается, я так, от одного знакомого слышал) - "первые три версии плагина уже ни от чего не помогают, мы, правда, наклепали уже пятую".
Ну и все это как-то работает ровно до той поры, пока dpi пытаются детектить именно tor, а им ничто не мешает, наоборот, переключиться в режим отбрасывания любого неопознанного (даже просто подозрительного) траффика. Его через границы 1/6 ходит мизер, и, думаю, жалоб не будет ;-)
> первые три версии плагина уже ни от чего не помогают, мы, правда, наклепали уже пятуюЭто нормально, "ты убегаешь, а я догоняю (ц)". Если играть честно (не обрубая кабель совсем), то Ахилл никогда не догонит черепаху. :)
> режим отбрасывания любого неопознанного (даже просто подозрительного) траффика
Реальный интеллектуальный/эвристический dpi - это дорого. На данный момент tor пока пролазит даже в Китае. Его доля в общем пробросе мала, в основном рулят vpn, но все же.
> Реальный интеллектуальный/эвристический dpi - это дорого. На данный момент tor пока
> пролазит даже в Китае.ты китай с нами-то не путай. там действительно нельзя взять и отрубить все нераспознанное. (но вот про версии по третью - это они как раз китай имели в виду) А у нас... никто даже и не заметит (судьба еще уцелевших мелких лавчонок - примерно сродни судьбе мелких магазинчиков, попавших под собянинские сносы). Выносишь за скобки гуглефакинбуки:
3 msk-ix-gw1.google.com (195.208.208.232) 0.913 ms 2.067 ms 0.931 ms
4 66.249.94.94 (66.249.94.94) 1.327 ms 1.389 ms 0.895 ms
5 72.14.236.242 (72.14.236.242) 1.119 ms 1.106 ms 1.198 ms
6 173.194.32.130 (173.194.32.130) 0.875 ms 0.814 ms 0.914 ms
- это чтоб ты понимал, как оно на самом деле работает, и остается то-о-о-ощенький ручеек траффика, который уже вполне по силам не самому мощному анализатору.> Реальный интеллектуальный/эвристический dpi - это дорого.
он "интеллектуальный" не в том смысле, в котором ты думаешь.
К тому же задача не стоит в том, чтобы найти там торовский траффик, а в том, чтоб отделить заведомо неторовский, и можно - не весь. Жалуйтесь, хехехе.
Ну и оно уже есть, и, похоже, это были цветочки - оно импортное, дорогостоящее и сложное в эксплуатации (и уже купили, там, правда, что-то типа $100000/год на коробку). Над этим работают.
На досуге рекомендую поинтересоваться подразделением ростелека в ближнем замкадье.
(наверняка у nvision/ктотамеще такие тоже есть)
Не совсем понял (тyпoй, наверное), почему меня должны волновать таймауты до каких-то гуглосерверов.> задача не стоит в том, чтобы найти там торовский траффик, а в том, чтоб отделить заведомо неторовский, и можно - не весь.
Эта твоя мысль была и сразу понятна, но вот скажи, как можно фильтровать obfs-трафик (при условии качественной обфускации) на 443 порт непубличных приватных мостов? Зарубить по всей стране ssl/tls? А потом и ssh, и 80/8080 (тор-сервис на любой порт повесить можно), и туннели всякие, и все такое остальное? Тогда уж проще сразу пойти по пути белых списков IP, как в Сев.Корее. И проще, и дешевле.
Подразделениями поинтересуюсь, конечно. :)
> Эта твоя мысль была и сразу понятна, но вот скажи, как можно
> фильтровать obfs-трафик (при условии качественной обфускации)качественная возможна только очень теоретически, и то - без доступа к технологиям детектирования у тебя никогда не будет полной уверенности, что ты нигде не ошибся.
Причем ценой будет, естественно, снижение скорости почти до нуля - иначе это не удастся выдать за нормальный https (оставаясь в рамках тора и его изначальных целей).
> на 443 порт непубличных приватных мостов? Зарубить по всей стране ssl/tls?не по всей стране, а только и исключительно в другие страны - и за вычетом показанного, по очевидным причинам (если кому-то они неочевидны - ребятки, занялись бы вы разучиванием нового гимна, а? В сетевых технологиях вы совсем ни на что не годны) и только тот, что вызывает подозрения - а это не весь даже и оставшийся.
> А потом и ssh, и 80/8080 (тор-сервис на любой порт повесить можно)
можно. Только от нормального содержимого оно будет отличаться как хер во лбу. Этот самый хер во лбах у безопасников при мне пару раз на глазах вырастал, когда мы им показывали результаты недельного анализа траффика в подотчетных конторах - ничего объяснять не пришлось (и нельзя было). https хорош как раз тем, что там паттерн не просто похож, а тот самый - но тор все портит (потому что для этого как раз придуман, а не для сокрытия самого факта - ну говорю же, наивные непуганные дикари с американского континента)
наиболее пригодные для подмены протоколы - bittorrent и openvpn, если что. Но если их вдруг просто зарежут - жаловаться-то никто не придет.
> и все такое остальное? Тогда уж проще сразу пойти по пути
> белых списков IP, как в Сев.Корее. И проще, и дешевле.ну по сути это и есть белый список, но не как в северной корее, там инженеры, в виду изоляции от всего мира, немножко странные, не надо думать, что у нас такие же.
Никто из хомячков даже не заметит ничего, ручаюсь. Их котики продолжат лайкаться, и даже через https.> Подразделениями поинтересуюсь, конечно. :)
они активно хантят, торопись, всем печенек на темной стороне не хватит ;-)
Гуголь-то и прочий мэйнстрим как к сотрудничеству нагибать будете? По политическим они откажут 100%. А как не согласятся - за скобки вынести не получится - из dpi дым пойдет. :) Запретить, как в Китае?
О "тощести" оставшихся ручейков судить не возьмусь, но вот в KZ тоже недавно шашкой замахнулись на https, а потом назад сдали. Возможно, "мировое сообщество" убедительно намекнуло, что так делать, по некоторым причинам, не совсем правильно. Так что вопрос этот не только технический, но и политический. И да, в тоталитарной BY obfs, и даже, говорят, "протухший" fte - работают.
"Жаловаться никто не придет" - крупному бизнесу все равно каналы (vpn, например) открыть придется (не отказывать же Друзьям ... ). Это и в Китае, где сейчас объявили "год войны" vpn, есть.
Маршруты в Азию - тоже под пресс? ;)
> Гуголь-то и прочий мэйнстрим как к сотрудничеству нагибать будете?э... вообще-то они уже давным-давно сотрудничают. Добровольно и с песнями.
Ничему их китай не научил (там, если ты не в курсе, тоже сотрудничали, тоже почти добровольно - китайского рынка рекламы им жалко, в отличие от абстрактных идеалов). Ну кроме разьве что идеи что "сотрудничать" надо поинтенсивней, прогибаться пониже.> По политическим они откажут 100%.
смеешься? Это ж уже 100% индусская компания. А индусы не видят ничего неправильного ни в том, чтоб тебя сдать, за деньги или за интерес, ни в том чтоб кому надо на карман занести. На высшем уровне это скрывается за "мы же должны соблюдать законы", хихи.
Им сказали, они сделали. Если трейс тебе ничего не говорит - учи новый гимн. (да, это фронтенд. Но передавать внутри _своего_ канала твой тор-трафик гугль не будет в любом случае. Ну и про бэкэнды они мамой же поклялись? ;)
> О "тощести" оставшихся ручейков судить не возьмусь, но вот в KZ тоже
> недавно шашкой замахнулись на https, а потом назад сдали. Возможно, "мировое
> сообщество" убедительно намекнулосам понимаешь, у kz нет системы "мир" и еще кое-чего. Да и причин выслушать намек и сделать наоборот - поменьше, они на "многополярность" и не претендовали никогда, их-то как раз роль мировой бензоколонки вполне устраивала.
К тому же они хотели как раз внутренний траффик сделать раскрываемым - а это совсем другие ресурсы нужны.> "Жаловаться никто не придет" - крупному бизнесу все равно каналы (vpn, например)
> открыть придется (не отказывать же Друзьям ... ).крупный и тем более "друзья" опять же не будут тебя покрывать. Скорее наоборот, образцово-показательно изловят, если вздумаешь злоупотреблять служебным положением.
Опять же нет и проблем заставить их проходить всякие аудиты и сливать до-впновский траффик куда-надо, а не хочешь - лицензию на использование vpn отнимем. И товарищ-майору возни меньше.> Маршруты в Азию - тоже под пресс? ;)
это смотря в какую азию - в Китай, думаю, будут только поощрять, судя по некоторым похожим примерам из соседних областей (а я чо, я ничо. Мне велели - я исполнил. С прилежанием и усердием, а смехуечки - во внеслужебное время.) Правда, каналы туда покамест - курям на смех. И что-то вряд ли улучшатся в ближайшие годы.
Про kz ошибаешься, читай хотя бы новости. Елбаса, также как и гетьман всея ua велят учить английский.
"Мир" здесь вообще не решающий фактор. И не нужно преувеличивать значение местного "суеверинитета". Если покрепче надавить "из-за лужи" на финансовые фаберже важных людей, можно добиться почти чего угодно. Именно так была свернута русская весна в 2014.
По поводу кто где кому "занесет" - это да, фактор. :)
В общем, война план покажет.Поменьше тебе работы и побольше зарплаты.
Бывай :)
то-то они китаю и дяде сему отказали.
>наиболее пригодные для подмены протоколы - bittorrent и openvpn, если что. Но если их вдруг просто зарежут - жаловаться-то никто не придет.http://linuxtracker.org/
http://academictorrents.com/
https://meta.wikimedia.org/wiki/Data_dump_torrents
http://www.kiwix.org/downloads/
https://www.debian.org/CD/torrent-cd/
обновления игр
"Ахилл никогда не догонит черепаху!" думала Черепаха, поправляя очки и шустро перебирая ножками.
"Ведь между нами целая тысяча шагов и когда он пробежит эту тысячу, я проползу сто, когда он пробежит сто, я преодолею десяток. И так до бесконечности, главное не останав…"
"О, какой вкусный суп! Да и очки черепаховые совсем ничего! А вот нафига мне сдалась эта блестячая и тяжелая загогулина?" подумал Ахилл, схвативший черепаху на тысячестодвенадцатом шаге.
> "Ахилл никогда не догонит черепаху! Ведь между нами целая тысяча шагов и когда он пробежит эту тысячу ... о, нигде Ахилла не видать! Позорно отстал, так и не догнав! Я неуловима!" думала черепаха Джо.fix
> в режим отбрасывания любого неопознанного (даже просто подозрительного) траффика. Его
> через границы 1/6 ходит мизер, и, думаю, жалоб не будет ;-)электричество выключить надежнее - плагин выглядящий как кошерный траффик сделать не сложно. а параноидальный dpi... коварные япы однажды мастерски накормили великий китайский и тот на автомате заблокировал виндусапдейт. а роском такое наверное заметит лишь когда новый вариант пети все положит, при том окажется что апдейт был месяц назад но "почему-то" не скачался.
> не паблик - а кто его, собственно, тебе предоставлять-то собрался?Ты серьёзно считаешь проблемой попросить кого-нибудь в стране со свободным интернетом сделать для тебя бридж? К тому же что команда тора сама их предоставляет, по капче либо по почте на гмыле.
> Ты серьёзно считаешь проблемой попросить кого-нибудь в стране со свободным интернетом
> сделать для тебя бридж?считаю. Да и страны со свободным интернетом по пальцам одной руки можно пересчитать.
А все что предоставляет команда тора - она предоставит команде роснадзора тем же самым путем. И пополнит их списки, они бездонные.
Запрети Солнце
> считаю.Так в чём проблема состоит? У тебя лично нет друзей за границей или ты говоришь за всех?
> Да и страны со свободным интернетом по пальцам одной руки можно пересчитать.
Но они есть, и среди них есть и те кто и дальше собирается держать курс на нейтралитет.
> А все что предоставляет команда тора - она предоставит команде роснадзора тем же самым путем. И пополнит их списки, они бездонные.
Пусть так, хоть это и будет геморрно для них, но да, РКН может себе позволить толпу хомячья, вбивающего капчу или пачку аккаунтов почты, привязанных к телефону. Но на данный момент такая процедура не предусмотрена.
> Так в чём проблема состоит? У тебя лично нет друзей за границейтаких - нет. Мой так называемый друг-за-границей как-то спрашивал, нет ли у меня лишнего шелловского логина - а то торренты гонять как-то стремно (кажется, это трогательно совпало у него с подключением к халявному google wire вместо веризона).
Я, увы, ответил что для него - нет, потому что мне и самому давно уже стремно (мои-то хоть тогдашними dpi не ловились, только активным сканером).думаю, его ответ про "а порелей-ка мне тор" будет таким же, потому как хрен его знает, не появится ли где-то напротив его имени галочка - "это неблагонадежный гражданин".
> Пусть так, хоть это и будет геморрно для них, но да, РКН может себе позволить толпу
> хомячья,у них специально обученное хомячье, они одной только CP на 4 гига надpочили, руки, наверное, до волдырей стерли.
"исключительно в целях экспертизы", ага.так что не сомневайся, будет команда - исполнят в лучшем виде.
Изначально можно инет запретить, ну и что дальше?
> Изначально можно инет запретить, ну и что дальше?Дальше пострадают кошельки законотворцев (и наши, кстати, тоже).
>> Изначально можно инет запретить, ну и что дальше?
> Дальше пострадают кошельки законотворцев (и наши, кстати, тоже).Мне кажется власти давно плевать на кошельки граждан, их пенсии и зарплаты. Они вам подарили религию, вот и живите в бедности и гордитесь этим...
Только кормушка и собственные кошельки. ДУмаете почему всяческие препоны стараются создать митингам против коррупции и фальсификации выборов???Потому что эти митинги против них в первую очередь направлены!
Банки уйдут из-за невозможности работать.
Это не работа, а имитация, как всегда. Для реальной блокировки по IP нужны полные списки узлов.
Про возможность реального DPI обфусцированного криптотрафика тихо промолчу.
Нет. Основная цель - это защитить нормальных граждан.
Естественно, что 1% технарей все равно доберется до своих любимых видео со школьницами.
От кого защитить? От школьниц? Давно пора закрыть эти школы -- рассадник инакомыслия и ветра в головах. А то ходят в эти школы, а потом ГМО всякое едят и рядом с храмами не крестятся. И куда мянистры смотрят? Срамота!
А не оскобляешь ли ты своим высказыванием чувства верующих?
Нет, я наоборот высказываю сожаление о недостаточном внимании к культовым сооружениям со стороны школьниц.
> А не оскобляешь ли ты своим высказыванием чувства верующих?Да задрали они уже. Я глубоко верующий человек. Моя вера - атеизм. Почему все, кому не лень, оскорбляют мои чувства своим мракобесием.
Веруй в себя как в первоисточник
> Давно пора закрыть эти школы -- рассадник инакомыслия и ветра в головах.Ты не прав: не запретить, а возглавить!
PS. А ГМО и правда - дрянь. ;)
Предлагаешь на "Уроках православной культуры" второй лекцией зачитать тему "ГМО: адское откровение или эрзац-мощи?"
> ГМО: адское откровение или эрзац-мощи?Да не, обычная коммерция + политика, "ничего святого".
facepalm.flvТехнарям нужны github/archive.org/wikipedia, а школьниц зусунь себе в кадило.
web.archive.org был в реестре.
> Нет. Основная цель - это защитить нормальных граждан.
> Естественно, что 1% технарей все равно доберется до своих любимых видео со
> школьницами.защитить от фильмов про жуликов и воров? крайне благая цель! тор — исчадие ада, цру и гмо!
гмо у защитников в свечках