Представлен релиз специализированного дистрибутива Tails 7.4 (The Amnesic Incognito Live System). Дистрибутив основан на Debian 13, самое интересное, что поставляется с рабочим столом GNOME 48 , и предназначен для анонимного выхода в сеть при помощи инструментария Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. При сохранении пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 2 ГБ.

Изменения:

• Появилась возможность сохранения на USB-накопителе настроек языка, раскладок клавиатуры и форматов. Эти настройки будут применены автоматически при перезапуске Tails.
• Обновления пакетов:
  • Tor Browser до версии 15.0.4;
  • Thunderbird до версии 140.6.0;
  • Linux kernel до версии 6.12.63.
• В целях безопасности возможность загрузки дистрибутива с помощью torrent-файлов больше не предоставляется.

>>> Подробности

Суть произошедшего

В мае 2020 года была обнаружена группа выходных узлов, вмешивавшихся в исходящие соединения. В частности, они оставляли нетронутыми почти все соединения, но перехватывали подключения к небольшому количеству криптовалютных бирж. Если пользователи посещали HTTP-версию сайта (т.е. незашифрованную и неаутентифицированную), вредоносные узлы предотвращали перенаправление на HTTPS-версию (т.е. зашифрованную и аутентифицированную). Если пользователь не замечал подмены (например, отсутствия значка замка в браузере) и начинал пересылать важную информацию, эта информация могла быть перехвачена атакующим.

( читать дальше... )

>>> Блог Tor Project

Новая версия Tor Browser доступна для скачивания с с официального сайта, каталога версий и Google Play. Версия для F-Droid будет доступна в ближайшие дни.

В обновление включены серьёзные исправления безопасности Firefox.

Основной упор в новой версии сделан на повышении удобства и облегчении работы с onion-сервисами.

Onion-сервисы Tor - один из самых популярных и простых способов установить оконечное зашифрованное соединение. С их помощью администратор способен обеспечить анонимный доступ к ресурсам и сокрыть метаданные от стороннего наблюдателя. Кроме того, такие сервисы позволяют преодолевать цензуру, одновременно с тем защищая конфиденциальность пользователя.

Теперь, при первом запуске Tor Browser пользователи получат возможность предпочесть использование onion-адреса по умолчанию в случае, если удалённый ресурс предоставляет такой адрес. Ранее некоторые ресурсы автоматически перенаправляли пользователей на onion-адрес при обнаружении Tor, для чего использовалась технология alt-svc. И хотя использование подобных методов актуально и поныне, новая система выбора предпочтений позволит оповещать пользователей о доступности onion-адреса.

( Основные нововведения в версии 9.5: )

>>> Блог проекта Tor

23 марта 2020 года Tor Project выпустили обновление Tor Browser до версии 9.0.7, устраняющее проблемы безопасности в маршрутизаторе Tor, и значительно меняющее поведение браузера при выборе наиболее безопасного (Safest) уровня настроек.

Наиболее безопасный уровень подразумевает отключение JavaScript по умолчанию для всех сайтов. Однако, из-за проблемы в дополнении NoScript в настоящий момент это ограничение можно обойти. В качестве временного решения, разработчики Tor Browser сделали невозможным работу JavaScript при выборе наивысшего уровня безопасности.

Это может сломать привычные методы работы с Tor Browser для всех пользователей, включивших наивысший режим безопасности, так как теперь невозможно разрешить использование JavaScript через настройки NoScript.

Если вам необходимо вернуть предыдущее поведение браузера хотя бы на время, то можно сделать это вручную, следующим образом:

1. Открыть новую вкладку.
2. Набрать в адресной строке about:config и нажать Enter.
3. В строку поиска под адресной строкой ввести: javascript.enabled
4. Дважды кликнуть на оставшейся строке, поле «Значение» (Value) должно измениться с false на true

Встроенный маршрутизатор сети Tor был обновлён до версии 0.4.2.7. В новой версии были исправлены следующие недостатки:

1. Устранена ошибка(CVE-2020-10592), позволявшая любому реализовать атаку DoS на ретранслятор или корневой сервер директорий, вызывая перегрузку ЦПУ, либо атаку с самих серверов директорий(не только корневых), вызывая перегрузку ЦПУ обычных пользователей сети. Целенаправленная перегрузка ЦПУ могла быть очевидным образом использована для организации атак по времени, способствуя деанонимизации пользователей или скрытых сервисов.
2. Устранена CVE-2020-10593, позволявшая удалённо вызвать утечку памяти, что могло привести к повторному использованию устаревшей цепочки
3. Прочие ошибки и недочёты

>>> Блог torproject

Tor Browser 9.0.4 теперь доступен на странице загрузки Tor Browser, а также в каталоге дистрибутива.

Этот релиз исправляет критическую проблему безопасности в Firefox: CVE-2019-17026.

Полный список изменений со времен Tor Browser 9.0.3:

• Все платформы
  • Обновлен Firefox до 68.4.1esr

>>> Подробности

Tor Browser 9.0.3 теперь доступен для скачивания.

В этом выпуске представлены важные обновления безопасности Firefox.

Этот новый стабильный выпуск включает в себя исправления безопасности для Firefox 68.4.0esr. Мы также обновили Tor до 0.4.2.5 для настольных версий. На Android мы исправили возможный сбой после загрузки.

Tor Browser 9.0.4

Mozilla подготавливает новую версию Firefox, 68.4.1, исправляющею дополнительный ошибки, поэтому мы планируем выпустить версию Tor Browser 9.0.4 в ближайшее время.

Изменения

Полный список изменений с момента выхода Tor Browser 9.0.2:

• Все платформы
  • Обновлен Firefox до 68.4.0esr
  • Обновлен NoScript до 11.0.11
  • Обновлены переводы
  • Обновлена связка ключей OpenPGP
  • Баг 32606: Установка моста по умолчанию в Джорджтаунском университете
  • Баг 32659: Удален IPv6 адрес стандартного моста
  • Баг 32547: Добавлен новый мост по умолчанию в UMIN
  • Баг 31855: Удалена компания по сбору средств в about:tor
• Windows + OS X + Linux
  • Обновлен Tor до 0.4.2.5
  • Обновлен Tor Launcher до 0.2.20.5
    • Баг 32636: Очистка локали которая поставлялась с Tor Launcher
• Android
  • Баг 32405: Мгновенный сбой после запуска на Android
• Система сборки
  • Linux
    • Баг 32676: Создан tarball для всех языковых пакетов Linux x86_64

>>> Подробности

Tails — операционная система, которую можно запустить практически на любом компьютере с USB-накопителя или DVD-диска. Она направлена на сохранение вашей конфиденциальности и анонимности и помогает вам в этом.

Этот релиз исправляет множество уязвимостей. Вы должны обновиться как можно быстрее.

Улучшения автоматического обновления

Мы работали над важными улучшениями функции автоматического обновления, которая до сих пор доставляет головную боль при использовании Tails.

• До сих пор, если ваша версия Tails была устаревшей на несколько месяцев, вам иногда приходилось делать по 2, а то и более обновлений подряд. Ну например, чтобы обновить Tails 3.12 до Tails 3.16, вы сперва должны обновиться до Tails 3.14

Начиная с версии 4.2, вы сможете обновляться сразу до последней версии.

• До сих пор вы могли делать только ограниченное количество автоматических обновлений, после чего вам приходилось делать гораздо более сложное «ручное» обновление.

Начиная с 4.2, вам нужно будет выполнять обновление вручную только между основными версиями, например, для обновления до Tails 5.0 в 2021 году.

• Автоматические обновления используют меньше памяти.
• Немного оптимизирован размер скачиваемых автоматических обновлений.

Новые функции

• Мы добавили несколько утилит командной строки, которые используются пользователями SecureDrop для анализа метаданных скомпрометированных документов на компьютерах которые не могут использовать функцию Дополнительное ПО:

  • PDF Redact Tools для редактирования и удаления метаданных из текстовых документов перед публикацией
  • Tesserct OCR для конвертирования изображений содержащих текст в текстовый документ.
  • FFmpeg для записи и конвертации аудио и видео

Изменения и обновления

• Обновлён Tor Browser до 9.0.3.
• Обновлен Thunderbird до 68.3.0.
• Обновлен Linux до 5.3.15.

Исправления

• При старте KeePassX открывается ~/Persistent/keepassx.kdbx. Если базы данных не существует, она не отображается в списке последних баз.

Для более подробной информации, читайте наш журнал изменений

Известные проблемы

Нет для текущей версии

См. список долгосрочных проблем

Что дальше?

Релиз Tails 4.3 запланирован на Февраль 11. Планы Tails

>>> Подробности

Выпущена новая версия браузера Tor Browser 8.5, предназначенного для обеспечения анонимности.

Изменения:

• Отредактирован дизайн интерфейса и обеспечена совместимость c новым оформлением Firefox.
• Обновлены компоненты: Firefox 60.7.0 ESR, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3.
• Заменён значок.
• Сборки сформированы с флагом «MOZILLA_OFFICIAL».
• Подготовлен стабильный выпуск для платформы Android.

>>> Подробности

Активисты Tor объявили о начале проекта FUSION (переводится как «слияние», но одновременно представляет собой аббревиатуру Firefox USIng Onions). Это проект по интеграции функций Tor Browser непосредственно в Firefox.

Цель этого проекта — сделать Tor Browser устаревшим, и тогда сообщество может сосредоточиться на исследованиях, а не на поддержке форка Firefox.

( читать дальше... )

>>> Подробности

Tor Messenger — программа для мгновенного обмена сообщениями от разработчиков Tor. Для анонимизации используется, собственно, Tor, а для шифрования OTR. Интересным отличием от многих подобных проектов является отсутствие собственного протокола — Tor Messenger возможно использовать с Jabber, IRC, Google Talk, Facebook Chat, Twitter и Yahoo, так что вы сможете легко общаться со всеми своими старыми контактами. Бинарные сборки доступны для всех популярных операционных систем — Windows, macOS и Linux.

Это уже пятый тестовый выпуск, по сравнению с предыдущей версией появилась поддержка временных аккаунтов Jabber/XMPP, а также мессенджер переведён на более современную версию Thunderbird — ESR 52.

>>> Подробности

Представлен новый выпуск Tor Browser — модификации Firefox от Tor Project со встроенной поддержкой Tor, а также улучшениями приватности и безопасности.

Этот выпуск включает в себя важные обновления безопасности, и должен остаться последним в ветке 6.5.

Также были включены исправления для Twitter, а для улучшения обхода цензуры был обновлён встроенный список мостов.

( Основные изменения )

>>> Подробности

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Команда разработчиков анонсировала первый стабильный выпуск Tor Browser 5.0

Основные изменения:

• Обновлен Firefox до 38.2.0esr;
• обновлен OpenSSL до 1.0.1p;
• обновлен HTTPS-Everywhere до 5.0.7;
• обновлен NoScript до 2.6.9.34;
• обновлен meek до 0.20;
• обновлен Tor до 0.2.6.10 с патчами;
• исправлено много багов.

>>> Подробности

Объявлено о закрытии проекта Tor Cloud, в рамках которого развивались готовые образы для быстрого развертывания мостов Tor на мощностях облачного хостинга Amazon AWS. Запуск новых мостов повышает пропускную способность сети и помогает подключиться жителям стран, правительство которых блокирует доступ к сети Tor.

Причиной закрытия названо отсутствие людских ресурсов на поддержание проекта в актуальном состоянии. Поиски мейнтейнера для проекта были безуспешны, а образы, предлагаемые Tor Cloud, из-за ошибки в настоящее время даже не содержат в себе Tor, что делает их полностью бесполезными. Неудивительно, что число узлов Tor Cloud непрерывно снижается уже на протяжении полутора лет. Сторонние разработчики пытаются присылать патчи, но в команде Tor ни у кого нет времени, чтобы их проверить и принять.

Единственным выходом видится закрытие проекта Tor Cloud и надежда на то, что кто-нибудь когда-нибудь создаст форк под другим именем (на использование названия «Tor» налагается ряд ограничений) и будет его поддерживать, поскольку сама идея создания образа, с которого можно быстро развернуть узел Tor, выглядит очень заманчивой. Кроме того, перспективными выглядят проекты Ansible Tor и cirrus, в рамках которых развиваются иные способы быстрого развертывания узлов.

Кроме того, стартовала инициатива Tor BSD Diversity Project (TDP) по увеличению узлов Tor, работающих на операционных системах семейства BSD. Это необходимо на случай выявления в Linux (на базе которого сейчас работает подавляющее большинство узлов) критических уязвимостей, позволяющих вывести серверы из строя. В рамках проекта также ведётся работа над портированием TorBrowser для ОС семейства BSD.

>>> Подробности

Увидела свет новая версия Tor Browser — удобной и простой модификации Firefox со встроенной системой Tor.

Изменения и улучшения:

В Windows инсталлятор теперь предлагает добавить ярлык Tor Browser в меню Пуск. Пользователи Linux могут использовать новый загрузчик, который умеет запуск из файлового менеджера, рабочего стола или меню приложений. Загрузчик, также, может быть вызван из командной строки.

Упрощено меню Tor (зелёная луковица) и окно настроек. Теперь там отображается текущая цепочка соединений для конкретного сайта (со списком адресов и стран, через которые проходит трафик), и имеется возможность пустить трафик по новому маршруту. Кроме того, браузер следит за активностью пользователя - до тех пор, пока пользователь активно работает с сайтом, соединение с этим сайтом будет осуществляться через одну и ту же цепочку серверов. Таким образом, больше не будет внезапной смены языка на сайтах или разлогинивания, вызванных изменением выходного узла.

Безопасность: представляем новый Security Slider. Это ползунок, доступный через пункт меню «Настройки безопасности», позволяющий наглядно оценить, какие уязвимые функции браузера (воспроизведение видео, оптимизации JS, отображение математических уравнений, функции отрисовки шрифтов, поддержка редко используемых графических форматов) будут отключены при том или ином уровне безопасности.

Инсталлятор для Windows подписан аппаратным ключом, любезно пожертвованным DigiCert. Больше не будет предупреждений о том, что Tor Browser получен из неизвестного источника. Автоматические обновления тоже будут подписаны.

Версия 4.5 включает переписанные на Go транспорты obfs2, obfs3, ScrambleSuit, и новый транспорт obfs4, наиболее эффективно противостоящий DPI и предотвращающий автоматический поиск мостов Tor недоброжелателями. За счёт этого мосты obfs4 пока еще работоспособны на территории Китая, где Великий Китайский Файрволл осуществляет постоянный мониторинг и поиск новых мостов.

Улучшена приватность: запрещена межсайтовая коммуникация. Все запросы с веб-страницы к содержимому, расположенному на других доменах, осуществляются через ту же цепочку серверов, что и к оригинальному сайту. Но, при переходе на другой домен, запросы к тому же содержимому, что и в примере выше, будут производиться уже через другую цепочку.

Улучшена защита от определения разрешения экрана и системной локали, отключены API для получения информации от сенсора и статистике воспроизведения видео.

Поиском по умолчанию назначен Disconnect.

>>> Подробности

Увидела свет новая версия Tor Browser — удобной и простой модификации Firefox со встроенной системой Tor.

Изменения:

• Firefox 31.2.0esr
• fteproxy 0.2.19
• Tor 0.2.5.8-rc (до этого была версия 0.2.4.24)
• NoScript 2.6.9
• Torbutton 1.7.0.1 (до этого была версия 1.6.12.3):
  • При первом запуске значок расширения не меняет своё место в панели инструментов
  • Адаптация под новый интерфейс Australis
  • Исправлена ошибка, из-за которой на странице about:tor постоянно было написано «Tor не работает»
  • Блокировщик восстановления последней сессии браузера адаптирован к изменениям, произошедшим в ESR 31
  • Обработка событий drag/drop, появившихся в ESR 31
  • Исправлена ошибка, приводившая к невозможности добавления исключения для проблемного сертификата при включённом сохранении истории на диск
• Tor Launcher 0.2.7.0.1 (до этого была версия 0.2.5.6):
  • Убрана возможность настроить работу Tor через дополнительный прокси-сервер из мастера первоначальной настройки. Это смущало пользователей, которые думали, что если им предлагается что-то сделать, то они обязательно должны это сделать
  • Теперь список мостов Tor можно запросить с почтового ящика в домене @riseup.net
  • Добавлена реакция на нажатие ссылки “Скопировать журнал Tor”, чтобы у пользователей не создавалось впечатление, будто ничего не происходит
  • Если Tor внезапно завершил работу, будет выдано более понятное сообщение об ошибке
  • Возможность скрытия логотипа Tor Browser
  • Надпись «Tor Browser Bundle» изменена на «Tor Browser»
  • В диалоге первоначальной настройки не везде помещался текст в отведённых ему местах
  • Сообщения из журнала Tor Launcher теперь передаются в консоль браузера.
• Подделка значений юзерагента window.navigator в JS WebWorker
• Отключена передача сайтам информации о сглаживании шрифтов через -moz-osx-font-smoothing
• Исправлена проблема с некорректными символьными ссылками после обновления
• Подделка передаваемой информации об ориентации экрана
• Убраны предупреждения Firefox о медленном запуске «slow to start» и отключен сервис отслеживания скорости запуска
• Убраны лишние кнопки с панели инструментов
• Отключен Gamepad API
• Перед вызовами Canvas isPointIn*() теперь будет запрашиваться разрешение пользователя
• Улучшена кросс-компиляция
• Отключены счётчики производительности DOM
• Дополнительные проверки в случае, когда проверка подлинности сертификатов производится через прокси-сервер
• Автоматическое обновление (по умолчанию отключено)
• Иерархия подкаталогов теперь больше походит на таковую в оригинальном Firefox
• Настройка, включающая/отключающая возможность доступа сторонних сайтов к хранилищу DOM и кэшированным изображениям
• В Linux-версии полностью включен защитный механизм RELRO (RELocation Read-Only)
• Упрощено использование порта Tor и пароля для доступа к Tor, отличающихся от стандартных
• Класс окна браузера изменён на «Tor Browser»
• Отключено создание отладочных файлов.

Скачать

>>> Подробности

Разработчики Guardian Project при содействии проекта Tor представили Orfox - защищённый веб-браузер для Android, основанный на кодовой базе Mozilla Firefox.

По сравнению с браузером Firefox, работающим через мобильный клиент сети Tor - Orbot, специализированный браузер обеспечивает высокий уровень безопасности за счет более тесной интеграции с компонентами Tor. Кроме того, в нём отключены потенциально уязвимые возможности, позволяющие идентифицировать пользователя, и снижающие уровень его приватности. Многие настройки позаимствованы из десктопного TorBrowser, в котором полностью отключены различные JS-оптимизации, геолокация, WebRTC, SPDY, различные счетчики производительности DOM, передача информации об уровне заряда батареи устройства, ограничены возможности WebGL и прочие каналы утечки информации, позволяющей составить точный цифровой «отпечаток» личности.

Доступны «ночные» сборки.

>>> Подробности

Одновременно с выходом Tails 1.0 увидела свет новая версия Tor Browser — удобной и простой модификации Firefox со встроенной системой Tor.

Изменения:

• Firefox обновлён до версии 24.5.0esr;
• В сборку включены компоненты, маскирующие трафик пользователя (для обхода DPI): Obfsproxy 3 0.2.4, Flashproxy 1.6 и FTE 0.2.13;
• Добавлены текстовые файлы с лицензиями на используемое ПО (bug 11586);
• Турецкая локализация (bug 9010)
• В качестве эксперимента отключены такие возможности JS-движка, как динамическая компиляция JavaScript, Type Inference, asm.js и Ion (bug 9387);
• Расширение NoScript обновлёно до 2.6.8.20;
• Tor Launcher обновлён до версии 0.2.5.4, улучшена его локализация и графический интерфейс;
• Torbutton версии 1.6.9.0 с исправлением ряда ошибок и улучшениями локализации;
• Бэкпортирован ряд патчей Tor;
• Сборка для Mac теперь поставляется в виде образа DMG (bug 4261;
• 64-разрядные сборки для Linux стали чуть быстрее за счёт сборки OpenSSL с поддержкой ускорения эллиптических кривых NIST P-224 и P-256 (bug 10383).

>>> Подробности