Debian Linux і Tor за безпечний deb

У перший серпневий день на офіційному блозі популярного дистрибутиву Debian Linux з'явилося новость про те, що для деяких ресурсів Debian доступні сервіси анонімної мережі Tor. Репозитарії пакетів оновлень і безпеки можна завантажувати не покидаючи контуру Tor мережі.


Основна мета цих нововведень — захист від витоку даних, як мінімум — метаданих при завантаженні deb-пакетів.

Основні роздають сервера Debian і Ubuntu використовують звичайний HTTP і не зашифровані мережеві підключення. Це дає широкі можливості для перехоплення трафіку в мережі навіть дилетантам і просто допитливим, професіонали здатні отримати багато корисної інформації. Здавалося б, що з того, якщо хто-то простежив, що красноглазый тип сидить у вагоні метро, навпроти, тільки що скачав і встановив нові теми оформлення робочого столу? Однак, якщо подивитися ширше, то в поле зору потраплять не тільки адміни локалхоста, але і ІТ служби фінансових установ та домашні поштовий сервер колишнього держсекретаря США всяких держ. структур. Знайдеться багато охочих дізнатися які оновлення безпеки встановлені або не встановлені на цих системах. Управління репозитарием допомогою цибулевих сервісів Tor сплутає зловмисникам всі карти.

Напрошується питання: а що не так HTTPS? Не подобається HTTP, використовуй набагато більш безпечний протокол HTTPS, шифруючи веб сесію з допомогою SSL/TLS сертифікатів. Крім того, що SSL уразливості високого ступеня ризику з'являються на світ набагато частіше, ніж хотілося б, є ще і значні проблеми конфіденційності, пов'язані з самою архітектурою HTTPS рішень.

Використовуючи Приховану Модель Маркова, дослідник з Університету Кембридж показав, що спостерігаючи за розміром даних, що пересилаються, маніпулюючи ними, можливо визначити, до деякої міри, які файли завантажуються або викачуються. На Хабре вже писали про різноманітні MiTM атаках пов'язаних з HTTPS, зокрема, про казахстанський держ. сертифікат, спеціально придуманий для прослуховування зашифрованого TLS трафіку. Благо не всі команди розробників веб браузерів оцінили цей крок позитивно, FireFox 48 відмовилися додавати держ. сертифікат Казахстану в довірені root CA, тим не менш, поганий приклад може бути заразливим і небезпека для звичайних не-досвідчених користувачів, у наявності. Крім того, нескладно самому підняти HTTP(S) дзеркало репозитарію популярних Linux OS і скористатися цим як заманеться. Для цього зійде підставна фірма і орендований хостинг за 200 USD.

Всіх цих неприємностей тепер неважко уникнути, адже цибульні кільця сервіси Tor ніяк не залежать від root CA, наданих сторонніми організаціями.

Debian репозитарії, розміщені в анонімної мережі проксі-серверів Tor, вирішують ще одну важливу проблему — обхід обмежень і доступ до відкритого. Спочатку вона здалася мені дещо абстрактною, але буквально на днях я відчув, що це проблема не тільки екзотичних султанатів. Мова йде про помилку 403 при установці, оновлення з Google Play в Криму — результат проходження американським санкцій «Корпорація Добра». Швидкий пошук в інтернеті підкаже як обійти цю бяку, використовуючи vpn і проксі сервера. Цікаво, як йдуть справи у користувачів iOS і Windows Phone в Криму?


Втім, інші сервіси Google в Криму працюють штатно, це наводить на думку про те, що це не санцкії а швидше — профанація їх. Звичайно ж, назвати встановлене на рядовому планшет, смартфон Android OS, вільним а Google Play — його репозитарием, можна лише з дуже великою натяжкою логіки і фактів, але в деякому сенсі означена проблема присутня. Якщо ж ваш мобільний пристрій або ПК використовує зв'язку Debian/Tor, то подібні санкції вас не торкнуться.

Хочеться сподіватися, що інтеграції Tor сервісів стане прецедентом в інших Linux OS, поза всяким сумнівом це крок у вірному напрямку.

Установки apt
У самому простому випадку досить прописати шляхи до файлів налаштування репозитарію Debian Linux
/etc/apt/sources.list
при наявності встановленого пакета apt-transport-tor.

deb tor+http://vwakviie2ienjx6t.onion/debian jessie main
deb tor+http://vwakviie2ienjx6t.onion/debian jessie-updates main
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security jessie/updates main

Більш педантичний підхід передбачає прописати посилання

deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie main

deb tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-updates main

deb tor+http://vwakviie2ienjx6t.onion/debian jessie-backports main
deb-src tor+http://vwakviie2ienjx6t.onion/debian/ jessie-backports main

в окремому файлі
/etc/apt/sources.list.d/00.vwakviie2ienjx6t.onion.list
а репозитарій оновлень безпеки.

deb tor+http://sgvtcaew4bxjd7ln.onion/ jessie/updates main

в
/etc/apt/sources.list.d/00.sgvtcaew4bxjd7ln.onion.list


Не забудьте також додати звичайний конфіг оновлень безпеки, якщо Tor мережа недоступна, або нестабільна.

deb http://security.debian.org/ jessie/updates main

Пропишіть це в файл
/etc/apt/sources.list.d/99.security.debian.org.list
.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.