30 января состоялся выпуск 7.4.1 специализированного дистрибутива Tails.
Список изменений:
Обновление OpenSSL до версии 3.5.4, в которой исправлено несколько критических уязвимостей безопасности (DSA 6113-1). Эти уязвимости могут быть использованы для нарушения анонимности пользователей.
Обновление Tor до версии 0.4.8.22.
Обновление Thunderbird до версии 140.7.0.
Исправлена аутентификация Gmail в Thunderbird.
Добавлен индикатор загрузки при открытии настроек Wi-Fi из помощника Tor Connection.
Пользователям настоятельно рекомендуется установить обновление как можно скорее, несмотря на то, что случаев эксплуатации этих уязвимостей пока не зафиксировано.
Представлен релиз специализированного дистрибутива Tails 7.4 (The Amnesic Incognito Live System). Дистрибутив основан на Debian 13, самое интересное, что поставляется с рабочим столом GNOME 48 , и предназначен для анонимного выхода в сеть при помощи инструментария Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. При сохранении пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 2 ГБ.
Изменения:
Появилась возможность сохранения на USB-накопителе настроек языка, раскладок клавиатуры и форматов. Эти настройки будут применены автоматически при перезапуске Tails.
Обновления пакетов:
Tor Browser до версии 15.0.4;
Thunderbird до версии 140.6.0;
Linux kernel до версии 6.12.63.
В целях безопасности возможность загрузки дистрибутива с помощью torrent-файлов больше не предоставляется.
Проект Tor объявил о выпуске новой версии своего клиента Arti 1.4.0, разработанного на языке Rust. Этот выпуск включает множество новых функций и улучшений, направленных на повышение производительности и удобства использования.
Arti — это клиент Tor, переписанный на Rust. Как и оригинальный клиент, написанный на C, он может использоваться как отдельно в качестве SOCKS5-прокси, так и совместно с Tor Browser.
Совершенно незаметно вышел Tribler 8.0.6 — BitTorrent-клиент с открытым исходным кодом (GPLv3), разрабатываемый Делфтским Техническим Университетом (Нидерланды).
Основной особенностью Tribler является встроенная система анонимизации закачек, использующая собственную TOR-подобную сеть.
По традиции тихо и незаметно состоялся релиз Tribler 7.13 — BitTorrent-клиента с открытым исходным кодом, разрабатываемого Делфтским Техническим Университетом (Нидерланды).
Состоялся релиз Tribler 7.11 — BitTorrent-клиента с открытым исходным кодом, разрабатываемого Делфтским Техническим Университетом (Нидерланды).
Отличительными чертами Tribler являются собственная децентрализованная база данных торрентов и TOR-подобная сеть анонимизации пользователей. Клиент написан с использованием библиотек PyQt и LibTorrent.
Главным нововведением релиза стала система краудсорсинга тегов: пользователь может назначить торренту тег, и ассоциация «торрент-тег» распространится по сети анонимно.
Кроме того, список файлов в торренте теперь представлен в виде дерева.
Для разработчиков: в результате массивного рефакторинга, бэкенд (Tribler Core) теперь разбит на отдельные компоненты. Разработчики утверждают, что разобраться с кодом стало намного проще.
Проект Tor опубликовал официальное объявление о ситуации с блокировками в России:
Пользователям рекомендуется использовать мостовые узлы.
Россия находится на втором месте по числу пользователей Tor (14 % из всех пользователей Tor), уступая лишь США (20,98 %). Для того чтобы помочь в обходе блокировок в РФ представителям сообщества предлагается принять участие в создании новых мостовых узлов. В настоящее время насчитывается около 1600 подобных узлов, из которых 1100 можно использовать с транспортом obfs4.
Tribler – клиент BitTorrent с открытым исходным кодом, разрабатываемый Делфтским Техническим Университетом (Нидерланды). Клиент написан на PyQt+LibTorrent. Особенности клиента:
собственная TOR-подобная сеть для анонимизации закачек и раздач;
Представляю вниманию первую публичную версию своей разработки - прозрачный HTTP/HTTPS-прокси, позволяющий перенаправлять трафик на выбранные домены через TOR-сервер.
В мае 2020 года была обнаружена группа выходных узлов, вмешивавшихся в исходящие соединения. В частности, они оставляли нетронутыми почти все соединения, но перехватывали подключения к небольшому количеству криптовалютных бирж. Если пользователи посещали HTTP-версию сайта (т.е. незашифрованную и неаутентифицированную), вредоносные узлы предотвращали перенаправление на HTTPS-версию (т.е. зашифрованную и аутентифицированную). Если пользователь не замечал подмены (например, отсутствия значка замка в браузере) и начинал пересылать важную информацию, эта информация могла быть перехвачена атакующим.
Новая версия Tor Browser доступна для скачивания с с официального сайта, каталога версий и Google Play. Версия для F-Droid будет доступна в ближайшие дни.
Основной упор в новой версии сделан на повышении удобства и облегчении работы с onion-сервисами.
Onion-сервисы Tor - один из самых популярных и простых способов установить оконечное зашифрованное соединение. С их помощью администратор способен обеспечить анонимный доступ к ресурсам и сокрыть метаданные от стороннего наблюдателя. Кроме того, такие сервисы позволяют преодолевать цензуру, одновременно с тем защищая конфиденциальность пользователя.
Теперь, при первом запуске Tor Browser пользователи получат возможность предпочесть использование onion-адреса по умолчанию в случае, если удалённый ресурс предоставляет такой адрес. Ранее некоторые ресурсы автоматически перенаправляли пользователей на onion-адрес при обнаружении Tor, для чего использовалась технология alt-svc. И хотя использование подобных методов актуально и поныне, новая система выбора предпочтений позволит оповещать пользователей о доступности onion-адреса.
Tor 0.4.3.5 — первый стабильный выпуск в серии 0.4.3.x. В этой серии добавлены:
Возможность сборки без поддержки режима ретранслятора.
Поддержка OnionBalance для V3 onion-сервисов,
Значительные доработки функциональности контроллера tor.
Согласно текущей политике поддержки, каждая стабильная серия поддерживается в течение девяти месяцев, либо в течение трёх месяцев с момента выпуска следующей(смотря что дольше). Так, новая серия будет поддерживаться как минимум до февраля 2021.
Ошибки, исправленные в выпуске:
Исправлены предупреждения Clang 10 с fallthrough в стиле GCC (вида «/* falls through */»).
Исправлено обрезание адресов ipv6 в журнале событий tor.
Исправлено отсутствие сообщений о неверных onion-адресах. Ранее вывод результата проверки адреса никогда не производился.
23 марта 2020 года Tor Project выпустили обновление Tor Browser до версии 9.0.7, устраняющее проблемы безопасности в маршрутизаторе Tor, и значительно меняющее поведение браузера при выборе наиболее безопасного (Safest) уровня настроек.
Наиболее безопасный уровень подразумевает отключение JavaScript по умолчанию для всех сайтов. Однако, из-за проблемы в дополнении NoScript в настоящий момент это ограничение можно обойти. В качестве временного решения, разработчики Tor Browser сделали невозможным работу JavaScript при выборе наивысшего уровня безопасности.
Это может сломать привычные методы работы с Tor Browser для всех пользователей, включивших наивысший режим безопасности, так как теперь невозможно разрешить использование JavaScript через настройки NoScript.
Если вам необходимо вернуть предыдущее поведение браузера хотя бы на время, то можно сделать это вручную, следующим образом:
Открыть новую вкладку.
Набрать в адресной строке about:config и нажать Enter.
В строку поиска под адресной строкой ввести: javascript.enabled
Дважды кликнуть на оставшейся строке, поле «Значение» (Value) должно измениться с false на true
Встроенный маршрутизатор сети Tor был обновлён до версии 0.4.2.7. В новой версии были исправлены следующие недостатки:
Устранена ошибка(CVE-2020-10592), позволявшая любому реализовать атаку DoS на ретранслятор или корневой сервер директорий, вызывая перегрузку ЦПУ, либо атаку с самих серверов директорий(не только корневых), вызывая перегрузку ЦПУ обычных пользователей сети.
Целенаправленная перегрузка ЦПУ могла быть очевидным образом использована для организации атак по времени, способствуя деанонимизации пользователей или скрытых сервисов.
Устранена CVE-2020-10593, позволявшая удалённо вызвать утечку памяти, что могло привести к повторному использованию устаревшей цепочки
Завершилось голосование по поправке SC27v3 к Базовым Требованиям, согласно которым удостоверяющие центры выдают SSL-сертификаты. В итоге поправка, разрешающая при определенных условиях выписывать DV- или OV-сертификаты на доменные имена .onion для скрытых сервисов Tor, принята.
Ранее допускалась только выдача EV-сертификатов из-за недостаточной криптографической стойкости алгоритмов, связанных с доменными именами скрытых сервисов. После вступления поправки в силу, станет допустимым метод валидации, когда владелец скрытого сервиса, доступного по протоколу HTTP, делает на сайте запрошенное удостоверяющим центром изменение, например, размещение файла с заданным содержимым по заданному адресу.
В качестве альтернативного метода, доступного только для скрытых сервисов, использующих onion-адреса версии 3, также предлагается допустить подпись запроса на сертификат тем же ключом, который используется скрытым сервисом для Tor-маршрутизации. Для защиты от злоупотреблений в этом запросе на сертификат необходимо наличие двух специальных записей, содержащих случайные числа, сгенерированные удостоверяющим центром и владельцем сервиса.
За поправку проголосовали 9 из 15 представителей удостоверяющих центров и 4 из 4 представителей компаний, разрабатывающих веб-браузеры. Голосов против не было.
Вышел новый релиз live-дистрибутива Tails, сфокусированного на обеспечении анонимности и защиты персональных данных в интернете.
Этот дистрибутив предназначен только для запуска со съемных носителей, причем желательно защищенных от записи. Все сетевые соединения проходят только через сеть ТОР. При работе ваши данные нигде не сохраняются, если вы явно не укажете этого. На компьютере не остается никаких следов.
В этом релизе добавлена поддержка hardware-кошелька Trezor. Так же исправлены многочисленные уязвимости безопасности. Всем пользователям Tails настоятельно рекомендуется немедленно обновится до последней версии.
Этот новый стабильный выпуск включает в себя исправления безопасности для Firefox 68.4.0esr.
Мы также обновили Tor до 0.4.2.5 для настольных версий. На Android мы исправили
возможный сбой после загрузки.
Tor Browser 9.0.4
Mozilla подготавливает новую версию Firefox, 68.4.1, исправляющею дополнительный ошибки, поэтому
мы планируем выпустить версию Tor Browser 9.0.4 в ближайшее время.
Tails — операционная система, которую можно запустить практически на любом компьютере с USB-накопителя или DVD-диска. Она направлена на сохранение вашей конфиденциальности и анонимности и помогает вам в этом.
Этот релиз исправляет множество уязвимостей. Вы должны обновиться как можно быстрее.
Улучшения автоматического обновления
Мы работали над важными улучшениями функции автоматического обновления, которая до
сих пор доставляет головную боль при использовании Tails.
До сих пор, если ваша версия Tails была устаревшей на несколько месяцев, вам иногда приходилось делать по 2, а то и более обновлений подряд.
Ну например, чтобы обновить Tails 3.12 до Tails 3.16, вы сперва должны обновиться до Tails 3.14
Начиная с версии 4.2, вы сможете обновляться сразу до последней версии.
До сих пор вы могли делать только ограниченное количество автоматических обновлений, после чего вам приходилось делать гораздо более сложное «ручное» обновление.
Начиная с 4.2, вам нужно будет выполнять обновление вручную только между основными версиями, например, для обновления до Tails 5.0 в 2021 году.
Автоматические обновления используют меньше памяти.
Немного оптимизирован размер скачиваемых автоматических обновлений.
Новые функции
Мы добавили несколько утилит командной строки, которые используются пользователями
SecureDrop для анализа метаданных скомпрометированных документов на компьютерах
которые не могут использовать функцию Дополнительное ПО:
PDF Redact Tools для редактирования и удаления метаданных из текстовых документов перед
публикацией
Tesserct OCR для конвертирования изображений содержащих текст в текстовый документ.
