Академический Документы
Профессиональный Документы
Культура Документы
83,7 36,0
Эксперт технических решений ПО систем мониторинга карма рейтинг
14 215 77 9
Профиль Публикации Комментарии Избранное Подписчики
вчера в 18:31
В первый августовский день на официальном блоге популярного дистрибутива Debian Linux появилось новость о
том, что для некоторых ресурсов Debian доступны сервисы анонимной сети Tor. Репозитории пакетов, обновлений
и безопасности можно скачивать не покидая контура Tor сети.
Основная цель этих нововведений — защита от утечки данных, как минимум — метаданных при загрузке deb
пакетов.
Основные раздающие сервера Debian и Ubuntu используют обычный HTTP и не зашифрованные сетевые
подключения. Это дает широкие возможности для перехвата трафика в сети даже дилетантам и просто
любопытствующим, профессионалы же способны извлечь из этого уйму полезной информации. Казалось бы, что с
того, если ктото проследил, что красноглазый тип сидящий в вагоне метро напротив, только что скачал и
установил новые темы оформления рабочего стола? Однако, если посмотреть шире, то в поле зрения попадут не
только админы локалхоста, но и ИТ службы финансовых учреждений и домашние почтовый сервер бывшего
госсекретаря США всяких гос. структур. Найдется много желающих узнать какие обновления безопасности
установлены или еще не установлены на этих системах. Управление репозиторием посредством луковых сервисов
Tor спутает злоумышленникам все карты.
Напрашивается вопрос: а что не так HTTPS? Не нравится HTTP, используй гораздо более безопасный протокол
HTTPS, шифруя веб сессию с помощью SSL/TLS сертификатов. Помимо того, что SSL уязвимости высокой степени
риска появляются на свет гораздо чаще чем хотелось бы, есть еще и значительные проблемы
конфиденциальности, связанные с самой архитектурой HTTPS решений.
Используя Скрытую Модель Маркова, исследователь из Университета Кембридж показал, что наблюдая за
размером пересылаемых данных, манипулируя ими, возможно определить до некоторой степени, какие файлы
загружаются или скачиваются. На Хабре уже писали о разнообразных MiTM атаках связанных с HTTPS, в
частности, про казахстанский гос. сертификат, специально придуманный для прослушки зашифрованного TLS
трафика. Благо не все команды разработчиков веб браузеров оценили данный шаг позитивно, в FireFox 48
отказались добавлять гос. сертификат Казахстана в доверенные root CA, тем не менее, дурной пример может быть
заразительным и опасность для обычных неискушенных пользователей, налицо. Кроме того, несложно самому
поднять HTTP(S) зеркало репозитория популярных Linux OS и воспользоваться этим как заблагорассудится. Для
этого сойдет подставная фирма и арендованный хостинг за 200 USD.
Всех этих неприятностей теперь нетрудно избежать, ведь луковые кольца сервисы Tor никак не зависят от root CA,
предоставленных сторонними организациями.
Debian репозитории, размещенные в анонимной сети проксисерверов Tor, решают еще одну важную проблему —
обход ограничений и доступ к открытому ПО. Сначала она показалась мне несколько умозрительной, но буквально
на днях я ощутил, что это проблема не только экзотических султанатов. Речь идет об ошибке 403 при
установке, обновлении ПО из Google Play в Крыму — результат следования американским санкциям
«Корпорацией Добра». Быстрый поиск в интернете подскажет как обойти эту бяку, используя vpn и прокси
сервера. Интересно, как обстоят дела у пользователей iOS и Windows Phone в Крыму?
Впрочем, остальные сервисы Google в Крыму работают штатно, это наводит на мысль о том, что это не санцкии а
скорее — профанация их. Конечно же, назвать установленное на рядовом планшете, смартфоне Android OS,
свободным ПО а Google Play — его репозиторием, можно лишь с очень большой натяжкой логики и фактов, но в
некотором смысле обозначенная проблема присутствует. Если же ваше мобильное устройство или ПК использует
связку Debian/Tor, то подобные санкции вас не коснутся.
Хочется надеяться, что интеграции Tor сервисов станет прецедентом в других Linux OS, вне всякого сомнения это
шаг в верном направлении.
Настройка apt
В самом простом случае достаточно прописать пути в файлы настройки репозитрия Debian Linux
/etc/apt/sources.list при наличии установленного пакета apttransporttor.
deb tor+http://vwakviie2ienjx6t.onion/debian jessie main
deb tor+http://vwakviie2ienjx6t.onion/debian jessieupdates main
deb tor+http://sgvtcaew4bxjd7ln.onion/debiansecurity jessie/updates main
Более педантичный подход подразумевает прописать ссылки
deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie main
debsrc tor+http://vwakviie2ienjx6t.onion/debian/ jessie main
deb tor+http://vwakviie2ienjx6t.onion/debian/ jessieupdates main
debsrc tor+http://vwakviie2ienjx6t.onion/debian/ jessieupdates main
deb tor+http://vwakviie2ienjx6t.onion/debian jessiebackports main
debsrc tor+http://vwakviie2ienjx6t.onion/debian/ jessiebackports main
в отдельном файле /etc/apt/sources.list.d/00.vwakviie2ienjx6t.onion.list а репозиторий обновлений
безопасности.
deb tor+http://sgvtcaew4bxjd7ln.onion/ jessie/updates main
в /etc/apt/sources.list.d/00.sgvtcaew4bxjd7ln.onion.list
Не забудьте также добавить обычный конфиг обновлений безопасности, если Tor сеть будет недоступна, или
нестабильна.
deb http://security.debian.org/ jessie/updates main
Пропишите это в файл /etc/apt/sources.list.d/99.security.debian.org.list.
Сталкивались ли вы за последние 2 года с ограничением доступа к открытому ПО в результате
действий крупных ИТ компаний и гос. структур?
Да
Нет
Не уверен, не обращал на это внимания
Не использую свободное ПО
Проголосовало 133 человека. Воздержалось 40 человек.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
debian, jessie, linux, tor, onion
— 5,9k 4 3
карма рейтинг
Микаел Григорян @temujin 83,7 36,0
Эксперт технических решений ПО систем мониторинга
Реклама помогает поддерживать и развивать наши сервисы
Подробнее
Реклама
+16 Debian Linux и Tor за безопасный deb
5,8k 43 0
+9 Как определить уровень ИТзрелости своей компании — и какие они бывают
471 4 0
+13 Nagios — мониторинг vmware, CMCTC, Synology, ИБП, принтеров и совсем немного Cisco
2,2k 55 5
+13 «Не процессором единым»: Виртуальные GPU
6,8k 27 1
+37 SysV, Upstart, systemd в роли ассортимента граблей Debian/Ubuntu
5,9k 43 97
Комментарии (0)
Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Интересные публикации
Как определить уровень ИТзрелости своей компании — и какие они бывают 0
Как по маслу, или анимируем со скоростью 60 FPS на CSS 3 6
Не такто просто обнулять массивы в VC++ 2015 8
Немного о WSPR, или как далеко можно передать сигнал мощностью 1Вт? 22
Майя знали о нерегулярности синодического периода Венеры 6