Comments 39
так что его каждый мог проверить его в течение пяти лет, в течение которых разрабатывается эта ОС
Исходный код OpenSSL открыт годами и каждый мог его проверить задолго до обнаружения Heartbleed.
Помогло?
Помогло. Кто знает, сколько еще баг висел бы в противном случае, как долго его исправляли разработчики? Microsoft часто не торопится исправлять в Windows уязвимости подобного масштаба.
Я это к тому, что таких закладок могут быть сотни, и, возможно, о них никто особо не задумывается
В исходниках баги искать гораздо легче, особенно если разработчики не используют статический анализатор. Злоумышленникам.
Это видно на примере OpenSSL, исходный код которого открыт годами, а ошибку нашли только через 2 года. В то время, как интересующиеся люди (например из АНБ) облазили исходный код OpenSSL вдоль и поперек и таки нашли ошибку.
С проприетарным ПО в данном случае сложнее — методом тыка, никак иначе.
Единственный плюс Open Source — возможность быстро накатать патч.
Это видно на примере OpenSSL, исходный код которого открыт годами, а ошибку нашли только через 2 года. В то время, как интересующиеся люди (например из АНБ) облазили исходный код OpenSSL вдоль и поперек и таки нашли ошибку.
С проприетарным ПО в данном случае сложнее — методом тыка, никак иначе.
Единственный плюс Open Source — возможность быстро накатать патч.
помогло. Баг нашли. Хоть и не сразу.
Подозреваю что автор хотел показать открытость платформы для заинтересованых. И кто сказал что уязвимость OpenSSL была найдена только сейчас? В любом случае кто захочет, проверит. Главное что есть такая возможность.
>> Дистрибутив спроектирован таким образом, что не хранит никакой информации локально (и вообще не обращается к накопителю), чтобы защитить секретные данные в случае, если компьютер попадёт в руки врага
TrueCrypt разве не выход? Куда вообще инфа сохраняется? он жу там что-то набирает, сохраняет… или это только посерфил интернет, написал в чат и бац все грохнул?!
>> Оперативная память стирается перед завершением работы с помощью sdmem
Я в шоке и такое бывает?
TrueCrypt разве не выход? Куда вообще инфа сохраняется? он жу там что-то набирает, сохраняет… или это только посерфил интернет, написал в чат и бац все грохнул?!
>> Оперативная память стирается перед завершением работы с помощью sdmem
Я в шоке и такое бывает?
Tails is a live operating system — на офф сайте написано. Зачем ОС записывать локально если есть масса облачных вариантов.
он жу там что-то набирает, сохраняет… или это только посерфил интернет, написал в чат и бац все грохнул?!
Сохраняет человек, целенаправленно. А не система всякие свопы / кэши и прочее, без ведома пользователя.
Я в шоке и такое бывает?
Да.
Вы не поверите…
habrahabr.ru/post/211749/
А у меня иногда после перезагрузки при включении видеокарты в графический режим видно картинку предыдущей загруженной ОС.
habrahabr.ru/post/211749/
А у меня иногда после перезагрузки при включении видеокарты в графический режим видно картинку предыдущей загруженной ОС.
Забавно, что в качестве картинки для статьи взят скриншот из «конкурента» Tails — Liberté Linux.
Я понимаю, что это не место для задавания вопросов: но как сочетается использование keepass с локальным нехранением данных? Что-то у меня шаблоны рвутся.
Ну как дети, ей богу… Ну поиграйтесь в войнушки, если думаете, что вам это поможет :)
На картинке поиск гугла. Осталось зайти в гугл аккаунт.
Не гугл, а scroogle (ныне закрытый). Скриншот старый и вообще не от той системы согласно комментарию выше.
Скриншот старый и вообще не от той системы согласно комментарию выше.
Не, скрин с десктопом от tails, в pidgin'e они на irc-канале #tails
Просто чтобы зафиксировать факт для протокола: сейчас в статье другая картинка, нежели в тот момент, когда я оставлял тот комментарий выше. Сейчас, если мне память не изменяет, действительно Tails.
Вообще, очень жаль, что нет нигде детального и вдумчивого сравнения этих двух проектов — я имею в виду Tails и Liberté Linux. Да, Tails идут бок о бок с Tor, у которого хорошее финансирование и сильное комьюнити, а LL поддерживает энтузиаст-одиночка с ником Max Kammerer. Но я как-то читал диспут между Максом и разрабами Tails на страницах последнего, и там обсуждались идеологические разногласия между используемыми в проектах подходами, например, к торификации сетевых соединений: в Tails прозрачно для программ торифицируется любой исходящий трафик, даже такой, который может тебя потенциально выдать и который ты бы предпочёл вообще не выпускать со своей машины, а в LL такой подход, что софт, отличный от предустановленного, нужно настраивать для доступа к интернету вручную, что даёт пользователю лишний инструмент контроля за тем, что делает его компьютер.
Короче, было бы хорошо вывести идеологов этих проектов на этакий поединок при помощи аргументов, и тем самым понять, чья позиция лучше с позиции пользователя, желающего обрести должный уровень анонимности в интернете. Потому что разобраться самому, кто там прав, а кто не очень — это задача очень нетривиальная.
Щас посмотрел и вижу, что LL не обновлялся с 2012-го года. Будет очень жаль, если этот проект окончательно загнётся.
Вообще, очень жаль, что нет нигде детального и вдумчивого сравнения этих двух проектов — я имею в виду Tails и Liberté Linux. Да, Tails идут бок о бок с Tor, у которого хорошее финансирование и сильное комьюнити, а LL поддерживает энтузиаст-одиночка с ником Max Kammerer. Но я как-то читал диспут между Максом и разрабами Tails на страницах последнего, и там обсуждались идеологические разногласия между используемыми в проектах подходами, например, к торификации сетевых соединений: в Tails прозрачно для программ торифицируется любой исходящий трафик, даже такой, который может тебя потенциально выдать и который ты бы предпочёл вообще не выпускать со своей машины, а в LL такой подход, что софт, отличный от предустановленного, нужно настраивать для доступа к интернету вручную, что даёт пользователю лишний инструмент контроля за тем, что делает его компьютер.
Короче, было бы хорошо вывести идеологов этих проектов на этакий поединок при помощи аргументов, и тем самым понять, чья позиция лучше с позиции пользователя, желающего обрести должный уровень анонимности в интернете. Потому что разобраться самому, кто там прав, а кто не очень — это задача очень нетривиальная.
Щас посмотрел и вижу, что LL не обновлялся с 2012-го года. Будет очень жаль, если этот проект окончательно загнётся.
LL не позволяет вообще выходить в интернет, не зашифровав траффик через Tor или VPN. Также там нет I2P. LL вообще намного строже к пользователю. Каммерер ругал Tails за баги (в том числе в стирании памяти) и то, что они оставляют дыры в безопасности ради удобства неподготовленного юзера.
Сейчас активно развивается ещё один дистрибутив, связанный с Tor — whonix. В отличие от Tails, предназначенного для использования в качестве основной системы, whonix используется как две виртуальные машины, что защищает от уязвимостей целевой системы. Даже если на целевой системе будет уязвимость, дающая рута, она всё равно не сможет обратиться к сети не через Tor или узнать реальный IP (если не учитывать вероятность уязвимостей виртуальной машины).
Ещё одно отличие от Tails: разработчик whonix не анонимен.
Если проводить сравнение дистрибутивов для анонимной работы, необходимо включить туда whonix.
Сайт whonix содержит большое количество информации, связанной с Tor и информационной безопасностью.
Ещё одно отличие от Tails: разработчик whonix не анонимен.
Если проводить сравнение дистрибутивов для анонимной работы, необходимо включить туда whonix.
Сайт whonix содержит большое количество информации, связанной с Tor и информационной безопасностью.
>>о есть свидетельства, что это не так. Например, в слайдах одной из презентаций АНБ упоминается TAILS как один из главных инструментов, >>который мешает прослушке трафика
Так вот для чего АНБ придмали спектакль со Сноуденом — подсадить параноиков на «правильную» ОС
Так вот для чего АНБ придмали спектакль со Сноуденом — подсадить параноиков на «правильную» ОС
Графический интерфейс может подделываться под Windows XP, чтобы не вызывать подозрений у окружающих.
Мне кажется может быть наоборот.
-Подозрительно, у него Windows XP. :)
Мне кажется, что сравнительно скоро все, кто могут заглянуть в монитор к человеку, сидящему в кафе, будут дклиться на две категории:
1. Люди, которые не отличат XP от линукса и вообще не поймут, что это за ось такая (для них оно будет выглядеть одинаково подозрительно) — и если такой увидит у тебя на компе что-то странное, тут уже всё зависит от его полномочий.
2. Люди, которые отличат на глаз XP от линукса легко и быстро. А еще заметят, KDE у вас или Gnome, и какой версии — от такого ничего не поможет.
1. Люди, которые не отличат XP от линукса и вообще не поймут, что это за ось такая (для них оно будет выглядеть одинаково подозрительно) — и если такой увидит у тебя на компе что-то странное, тут уже всё зависит от его полномочий.
2. Люди, которые отличат на глаз XP от линукса легко и быстро. А еще заметят, KDE у вас или Gnome, и какой версии — от такого ничего не поможет.
3. (хакер) Определит на глаз версию ядра, пойдет в подсобку, использует 0-day exploit и подсадит rootkit. Сам будет за тобой следить, чтобы Большой брат не следил…
4. (истеричка) Не поймет, что на экране, но все равно побежит и вызовет полицию, т.к. этот подозрительный индивид явно что-то замышляет. А еще, не дай б-г, и Tor разглядит — тогда вообще террорист или педофил.
4. (истеричка) Не поймет, что на экране, но все равно побежит и вызовет полицию, т.к. этот подозрительный индивид явно что-то замышляет. А еще, не дай б-г, и Tor разглядит — тогда вообще террорист или педофил.
в качестве усиления паранойи:
часто ли вы заглядываете в ПО мониторов?
а вдруг они уже сейчас стали сохранять скриншоты или видео всего, что он отображает? достаточно же небольшой микросхеммки, которая будет сохранять хотя бы последние N часов вашей деятельности? не обязательно отправлять это куда-то. достаточно просто сохранить. и «кто надо» когда это ему протебуется сможет получить неопровержимые доказательства того, что вы именно тот террорист, который задумал разрушить срану и попрать идеалы демократии!
;)
ну и как вы теперь будете спать после осознания этого? ;)
часто ли вы заглядываете в ПО мониторов?
а вдруг они уже сейчас стали сохранять скриншоты или видео всего, что он отображает? достаточно же небольшой микросхеммки, которая будет сохранять хотя бы последние N часов вашей деятельности? не обязательно отправлять это куда-то. достаточно просто сохранить. и «кто надо» когда это ему протебуется сможет получить неопровержимые доказательства того, что вы именно тот террорист, который задумал разрушить срану и попрать идеалы демократии!
;)
ну и как вы теперь будете спать после осознания этого? ;)
Мониторы с чипом Nvidia шлют вам привет :)
Использовать для получения неопровержимых доказательств ПО мониторов — это из пушки по воробьям.
Вот смотрите как вы отозвались о нашей великой Родине.
А теперь докажите, что это не опечатка. ;)
Вот смотрите как вы отозвались о нашей великой Родине.
А теперь докажите, что это не опечатка. ;)
Вот смотрите как вы отозвались о нашей великой Родине.
я в растерянности… простите, где именно и как я отозвался о вашей великой родине?
ЗЫ: я понимаю, что вовсе необязательно как-то о ком-то отзываться, чтобы стать внезапно преступником (или «врагом народа»). в определенных случаях доказательная база сочиняется достаточно быстро и выглядит правдоподобно.
а теперь докажите, что это не ваша паранойя ;)
На всякий случай — это была шутка.
Опечатка следующая
Я написал это к тому, что для задач, о которых вы написали, нет необходимости вертеть такие сложности.
Службы обходятся более простыми инструментами, в роли которых я и привёл как пример вашу опечатку :)
P.S. И кстати, вот вы опять великую Родину написали с маленькой буквы ;)
Доказательная база растёт на глазах :)
P.P.S. Ещё раз — это была и есть шутка :)
Опечатка следующая
задумал разрушить срану
Я написал это к тому, что для задач, о которых вы написали, нет необходимости вертеть такие сложности.
Службы обходятся более простыми инструментами, в роли которых я и привёл как пример вашу опечатку :)
P.S. И кстати, вот вы опять великую Родину написали с маленькой буквы ;)
Доказательная база растёт на глазах :)
P.P.S. Ещё раз — это была и есть шутка :)
:) смешная опечатка. полюбому — «по Фрейду»
к слову о величии р(Р)одины: я намеренно написал в своём ответе про вашу родину, а не про свою. мало того, если бы Родина могла задуматься (предположим — может), почему же это её, такую великую, вдруг пишут не с великой буквы, а с малой… и да, это моё отношение… Большую букву заслужить надо в умах каждого.
К сожалению, это — не такая уж и шутка
ЗЫ: Доказательная база при де-факто отсутствующей презумпции невиновности не такая уж и проблема :)
ЗЗЫ: пожалуй, пора заканчивать оффтоп, каким бы забавным (или коварным) он ни был :))))
к слову о величии р(Р)одины: я намеренно написал в своём ответе про вашу родину, а не про свою. мало того, если бы Родина могла задуматься (предположим — может), почему же это её, такую великую, вдруг пишут не с великой буквы, а с малой… и да, это моё отношение… Большую букву заслужить надо в умах каждого.
К сожалению, это — не такая уж и шутка
ЗЫ: Доказательная база при де-факто отсутствующей презумпции невиновности не такая уж и проблема :)
ЗЗЫ: пожалуй, пора заканчивать оффтоп, каким бы забавным (или коварным) он ни был :))))
Sign up to leave a comment.
Эдвард Сноуден использовал дистрибутив TAILS