Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует SOCKS4, поэтому проблема его не касается...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58473
Отличная опечатка! Тянет как минимум на премию от товарища майора
Я вот тоже подумал найс дыра. С другой стороны, прикрываемся от мудаков владельцев сайтов, а не от провайдера днс.
С еще более другой стороны, какого черта вы socks4 вообще в 2023 использовали? У вас что, программы socks5 не умели? Вы серьезно?
Протокол socks5 так себе апгрейд. Ради чего он был сделан почти никогда не используется. А именно - авторизация. Как и биндинг портов на удаленном сервере. Для задачи соединения на такой-то хост 4а и 5 функционально идентичны, но 4а проще и эффективнее. В 4а нужно всего один раз в сокет записать, а в 5 отдельный хендшейк и нужно проверять статус коды.
Нормальный апгрейд. Позволяет имена хостов сразу отдавать, а не через джеппу. Так что DNSопроблемы радикально отваливаются.А авторизация в случае сабжа... позволяет тору внезапно разделять потоки от разного софта, понимая что изолировать по разным цепочкам.
В общем применительно к использованию tor стоит просто запомнить что socks4 маздай и забыть про него. А маздай он потому что работать с именами хостов нормально толком не умеет. Если конечно легитимно конектиться к только айпишникам, и никакого ресольва не требуется... но это очень вольное допущение. А иначе оно вон тем постепенно воздается. В случае сокс5 тор сразу именем хоста оперирует и ресольв этой штуки в конечном итоге проблемы exit node.
Я писал клиенты и серверы под этим протоколы, и много использовал разные решения для них. Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского дизайна времён доткомов, который по какой-то причине стал стандартом. Любой средней руки программист может за вечер создать протокол лучше. HTTP CONNECT и то лучше, чем socks5. Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу.То что в 4а хост передается в не предназначенном для этого поле - совершенно пофиг. Технически происходит все то же самое, что в 5, только проще. В реальности 5 полезен только поддержкой ipv6. До которой никому как не было дела, так и нет.
> Я писал клиенты и серверы под этим протоколы, и много использовал разные
> решения для них.В этом твоя проблема и состоит. Ты решил сэкономить на кодинге ценой всего остального. В секурити за такое воздается.
> Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского
> дизайна времён доткомов,Проблемы господ которые хотят пернуть в сокет как можно проще, и озадаченные только упрощением кодинга, забив на статус операции, рассматривать в контексте секурити крайне не умно.
> протокол лучше. HTTP CONNECT и то лучше, чем socks5.
Внезапно tor и это умеет. Но на обычном прокси это ведет к риску утечки хттп реквестов.
> Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу.
Поэтому отдельные неудачники е...ся конем с NTLM костылями, замечательно просто.
> 5, только проще.
Простота она хуже воровства... особенно в секурити, и там где экономия боком выходит.
> В реальности 5 полезен только поддержкой ipv6.
Там еще UDP так то есть. Tor'у он понятное дело не актуален.
> До которой никому как не было дела, так и нет.
Вот вас забыл спросить до чего мне дело есть.
Более простой код всегда более безопасный. Меньше кода и неиспользуемых особенностей - больше безопасности.
Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему понадобится целый день.Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то что-то может из нее почерпнуть. С вами мне особо нечего обсуждать.
> Более простой код всегда более безопасный.Верно только до известного предела. Давайте крипто уберем? А чо, пусть пароли по воздуху прям так летают. Безопаснее же станет.
> Меньше кода и неиспользуемых особенностей - больше безопасности.
Простите, вы хотите по факту работать с прокси - но при этом класть на статус операций прокси и их обработку? Это вот когда бы такое вело к чему-то позитивному в безопасности?
> Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему
> понадобится целый день.Зато не будет на статус операций забивать и не прострелит себе пятки. Тем более что для работы с тором не обязательно реализовывать продвинутости.
> Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то
> что-то может из нее почерпнуть.Она аргументирована, но, имхо, ни к чему хорошему не ведет.
> С вами мне особо нечего обсуждать.
Как угодно но я пользуюсь сабжем и софтом через него. И все это случается через сокс5. Вот в том числе и во избежание вон тех факапов. А также общей дебагабельности сетапа, видите ли, в сложной сетевой конфиге нормальная реакция софта на ошибки еще и позволяет понимать что не так. Как это делать в вон том подходе - я без понятия, удобных способов не вырисовывается.
Удачи ему конфиг где это вообще работает найти. Сейчас найти софт не умеющий socks5 - довольно необычно, и проблемы socks4 - мягко говоря экзотика.
Реализация 4а - это одну структуру в сокет послать и прочитать код ответа. В отличие от 5, где никто и никогда не реализует полную спецификацию. Все используют socks5, но в сценарии, в котором справился бы 4а. Так уже сложилось.
Как бы вам сказать? Срезание углов и безопасность живут по разную сторону улицы.
>Уязвимость вызвана ошибкой из-за которой проверка настройки SafeSocks при использовании SOCKS4 инвертировалась и защита не применялась в то время, как пользователь считал, что он защищён от утечек через DNS.Надеюсь, что швятой Раст спасет от этого Си-недоразумения, который позволяет делать логические ошибки.
Спасают только святые админы: https://wiki.gentoo.org/wiki/Tor#DNS_Resolver
Кстати, о генту, говорят, что она последние годы загибается и ебилды стали ужасного качества. Это правда?
Кто говорит? Качество ебилдов и их гибкость определённо выросли за последние 15 лет, часть параметров конфигурационных скриптов по-прежнему приходится переопределять вручную. Не уверен вообще, что такая функциональность раньше была.
Многие крутые разрабы Gentoo взяли паузу "по семейным обстоятельствам".Пришедшая молодежь в сложной политобстановке не справилась.
Раньше Gentoo работала как научный институт в области ИТ безопасности. Разрабатывала самые передовые технологии и вела за собой других. Не обновляли бездумно пакеты, а когда надо, форкали и поддерживали свои правельные версии. Сегодня под дывизом "апстрим знает как лучше надо и никогда не ошибается" натаскали всякое овно типа dbus, polkit+JS+JIT, systemd, ... А старые рабочие версии без овна с боем повыкидывали с портадж.
Сегодня молодежь как дохлая рыбешка, плывет верхпузом куда несет течение.
Аргументирую:
Stage1, stage2 нет.
Admincd на hardened технологиях нет.
Масштабы деградации колосальны:
Hardened сдох сразу как grsecurity стал платным. О чём ты говоришь?
Кстати, его остатки интегрировали в мейн.
Grsecurity продолжает развиваться теми же людьми: https://grsecurity.net/downloadKSPP хорошее начинание. Но:
1. не все фичи от PAX, GrSecurity интегрированы в ванильное ядро
2. некоторые из интегрированных фич реализованы в Linux неверно, их авторы не разобрались с патчами от GrSecurity: https://grsecurity.net/10_years_of_linux_security.pdf
Я про project hardened, он никому не интересен без grsecurity. Не все фичи интегрированы в ядро, поскольку у авторов диаметрально противоположные представления о том, как ПО должно работать. Наиболее полезные вещи утянули.
> project hardened, он никому не интересен без grsecurityhttps://wiki.gentoo.org/wiki/Project:Hardened
"Hardened Gentoo's purpose is to make Gentoo viable for highly secure, high stability production server environments."
И действительно, никому сегодня безопасность и стабильность уже не нужна.
Патчи ядра Linux от GrSecuroty дают очеь много для безопасности. Время будет свяжусь с их разрабом.
А SeLinux почему забросили?
Integrity и то застопорилось, хотя в GRUB2 и ванильном ядре Linux все уже как 10 лет есть.
Воспроизводимость сборок тоже стоит прикрутить.
Лет 15 назад, когда начали херить Linux меня спрашивали, а не сделать ли ещё одну ветку: кроме стабильной (amd64) и тестовой (~amd64) ввести ещё супер стабильную и безопасную. Тогда замялся. А сегодня жалею. Имели бы щас веточку без dbus, polkit, systemd... и с KDE3.
А что selinux? Я же сказал, все наработки интегрировали в мейн. Тот проект всегда бы экспериментом, в том, что его свернули, нет ничего страшного, это логическое завершение. Ты просто не понимаешь, о чём говоришь. Какая ещё супер стабильная и безопасная ветка? Достаточно того, что баги с уязвимостями и так долго остаются не исправленными на стабильной ветке (их исправляют в тестовой), а по-настоящему проблемные патчи и апдейты одновременно с этим пропихивают в стабильную ветку (и оперативно сносят рабочие ревизии ебилдов). Тестовую ветку засирают намного чаще конечно, так было всегда -- если ты не вовремя обновишься, ты словишь все прелести криворукости мейнтейнеров. Но это вообще не о том. То, что ты хочешь, реализуется профилями, и да, есть профили с hardened и selinux и сегодня, но по-сути это просто набор дефолтных юзов, замаскированных пакетов, параметров сборки, и так далее. Всё то же самое и лучше можно реализовать руками, например, я не согласен по части решений и применяю свои настройки.
Политики SeLinux всегда были в портадж. Лет 15 назад Gentoo имело свои политики. А сегодня? Тащут с федорки.Hardened профили gentoo были стабильны.
Супер стабильная и безопасная ветка необходима. Вернуть туда hardened-source и компиляторы ко орые умеют его собирать. Прочий нужный софт. Аудитить в ней код.
Всегда использовал родные профили hardened раньше ещё с selinux, плюс свои настройки.
Вопрос: какие кеды безопаснее 3 или 5? Я за 3.
Мне системы с init нравились больше.
Hal не проблема если есть integrity при доступе. Виря в скрипты не зауунуть.
И все работало корректно, по всем правилам и кретериям безопасности: https://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/.../
10 лет назад и мультилиб был блобами. Генту очень выросла за это время, но увеличение сложности означает и увеличение нагрузки на сопровождающих, которых вечно недостаточно. Кто будет заниматься всеми этими экспериментами? Вот есть cloveros, там ребята решают те же задачи которые одно время решал для себя я. Есть проект gentoolto, где ребята ходят по тем же граблям, по которым я ходил до них. Генту это мета-дистрибутив, что хочешь, то и собирай. Если никто не делает стабильную hardened сборку с grsecurity и всем остальным, значит, просто нет заинтересованных.
Продолжаю сидеть на Hardened Gentoo, поддерживаю оверлей с gcc, binutils, ..., ..., собираю ими hardened-source и всю систему, без systemd, dbus, polkit, JIT, ..., ... и прочей дряни. Даже воспроизводимость себе запилил:
https://www.linux.org.ru/forum/admin/16136554?cid=16150302
https://www.linux.org.ru/forum/admin/16136554?cid=16151597Вот только системный портадж не обновляю много лет из-за dbus... В очередях софт чуть шевелю.
И вот уж кде "безопасен", да уж… Особенно с HAL и FAM, угу.
https://www.linux.org.ru/forum/linux-hardware/7895968?cid=16...Патчи PAX+GrSecurity бесплатны по условиям GPL-2, п. 2, ПП. Б !!!
Зачем выкинули hardened ядро с портов и версии binutils, gcc которые его собирали?
Угу, бесплатны. Гпл никогда не был бесплатным, он про право расшарить код. И оно у тебя есть, если ты купишь эти патчи. Только апдейт тебе не продадут больше, если расшаришь. Именно поэтому и выкинули.> которые его собирали
в мейн всё интегрировали
> Гпл никогда не был бесплатным, он про право расшарить код. И оно у тебя есть, если ты купишь эти патчи. Только апдейт тебе не продадут больше, если расшаришь. Именно поэтому и выкинули.Еще разок, все программы лицензированные под GPL-2 и ВСЕ их производные, патчи к ним - бесплатны по условиям GPL-2 пункт 2, подпункт Б.
GrSecurity не имеет прав брать деньги за патчи к ядру Linux распространяется под GPL-2 и каким либо образом ограничивать распространение патчей.
> в мейн всё интегрировали
Разрабы ядра Linux участвовавшие в KSPP не поняли даже сути многих технологий безопасности используемых в PAX & GrSecuroty, по этому то что они "наинтегрировали" не защищает.
Вирусная лицензия это хорошо, но обновлять и развивать патчи ты дальше будешь самостоятельно. Ты готов, у тебя есть такая квалификация?>не поняли даже сути многих технологий
Я не говорил про ядро, не возьмусь судить, но патчи grsecurity были местами довольно неадекватные по части фич так точно. А насчёт "не защищает", оригинальный проект так-то тоже работает только пока ты Неуловимый Джо.
> Вирусная лицензия это хорошо,Лицензия защищает свободу распространения открытого ПО!
> но обновлять и развивать патчи ты дальше будешь самостоятельно. Ты готов, у тебя есть такая квалификация?
Почему самостоятельно? Мне ОБЯЗАНЫ и следующую версию бесплатно отдать!
> патчи grsecurity были местами довольно неадекватные по части фич так точно.
Тыкни пальцем конкретно: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...
> А насчёт "не защищает", оригинальный проект так-то тоже работает только пока ты Неуловимый Джо.
Grsecurity работает все как надо. А в Linux некоторые "портированные" фичи работают некорректно, дыры не закрывают.
А у нас тор уже можно?
Это децентрализованная сеть, её невозможно полностью заблокировать, можно лишь сделать так, чтобы она работала хуже.
> Это децентрализованная сеть, её невозможно полностью заблокироватьОх уж этот Неуловимый Джо...
Tor это не неуловимый Джо. Это тысячи неуловимых Джо. Причём, каждый месяц несколько десятков Джо уходят и на их место приходят новые. Даже если ты отловишь их всех, всё равно придут новые, тебе придётся за этим постоянно следить
>Tor это не неуловимый Джо. Это тысячи неуловимых ДжоВерно, Тор - это тысячи Неуловимых Джо и десяток входных/выходных узлов, которые держатся нужными людьми.
> которые держатся нужными людьми.В РФ сабж уже можно?
А что нельзя то?
Разве год назад не запретили анонимные сети?
> десяток входных/выходных узлов, которые держатся нужными людьми.Узлов там так то сильно более десятка, поэтому они держатся много кем. А тор еще и придирчив на тему выбора узлов в цепочках, так что вот именно удобно развесить имено всю цепочку на правильные хосты тот еще гимор. В целом масс шпионаж за Джо портится. А если кем-то прицельно уже заинтересовались, ну, э, ой.
> если ты отловишь их всех, всё равно придут новыеЭто так не работает. Запретить, сделать пару показательных судов и все само рассосется. Никто не будет сидеть в тюрьме за то чтобы ты мог что-то анонимно скачать.
Одно рассосется, другое появится. Вон революционеров вообще по каторгам таскали. В количестве сильно более пары. И как, помогло оно жандармам?
Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла. Что бдет дальше не понятно.
Одно радует что физиков пока особо не трогает государство. "необязательность исполнения" работает.
> Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла.
> Что бдет дальше не понятно.Ну так прошареный народец, вот им как раз видимо понятно. Потому и.
> Одно радует что физиков пока особо не трогает государство. "необязательность исполнения"
> работает.Видимо не до того майорам ща видимо. Как и остальным.
> по каторгам таскалита каторга больше на курорт за счёт государства походила.
> та каторга больше на курорт за счёт государства походила.Ну если это курорт то живете вы наверное в окрестностях замка саурона, не меньше
Уже сложно
Да, 29.5.
Сайт Torа разблокирован.
Спасибо дидам за cleartext в DNS-запросах.
а как надо было?и в новости написано, что владелец днса может там что-то сделать, как неклитекст поможет?
про шированный DNS слышал? DNS Over TLS называется
И DNSSEC еще
Это не то, dnscrypt защищает днс траф, но провайдеры под колпаком.
Тогда надо делать DNS of Blockchain
Поздравляю, ты только что изобрел namecoin. Првда, кажется, его авторы сперли твою идею и даже воспользовались для этого машиной времени...
> про шированный DNS слышал?шированный?! И чем надо ширнуться?
Шифрованный днс от провайдера типа Амазона или Клаудфлейр.
Кому надо, все видят ваши запросы открытым текстом.
Для защиты детей от псевдозаботы.
Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.
> Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.Назвать вон то бэкдором можно только с жесткого перепою, ничерта не разбераясь в сетях.