Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-01-02 18:29:18

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Mam niestety problem z instalowaniem pakietów przez tora:

https://bits.debian.org/2016/08/debian-and-tor-serv … services.html

usługa tor.service jest włączona:

tor.service loaded active exited Anonymizing overlay network for TCP (multi-instance-master)

zawartość pliku /etc/apt/sources.list:

deb tor+http://vwakviie2ienjx6t.onion/debian stretch main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main contrib
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main contrib

jak wezmę apt-get update to coś tam robi

jak wezmę apt-get install virtualbox dostaję:

Reading package lists... Done
Building dependency tree       
Reading state information... Done
Package virtualbox is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'virtualbox' has no installation candidate


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#2  2018-01-02 19:23:35

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

E: Package 'virtualbox' has no installation candidate

Kod:

virtualbox | 4.1.42-dfsg-1+deb7u1         | oldoldstable                    | source, amd64, i386
virtualbox | 4.3.18-dfsg-3                | oldstable-kfreebsd/contrib      | source
virtualbox | 4.3.36-dfsg-1+deb8u1~bpo70+1 | wheezy-backports/contrib        | source, amd64, i386
virtualbox | 4.3.36-dfsg-1+deb8u1         | oldstable/contrib               | source, amd64, i386
virtualbox | 5.1.8-dfsg-6~bpo8+2          | jessie-backports/contrib        | source, amd64, i386
virtualbox | 5.1.30-dfsg-1~bpo9+1         | stretch-backports-debug/contrib | source
virtualbox | 5.1.30-dfsg-1~bpo9+1         | stretch-backports/contrib       | source, amd64, i386
virtualbox | 5.2.4-dfsg-1                 | testing/contrib                 | source, amd64, i386
virtualbox | 5.2.4-dfsg-1                 | unstable-debug/contrib          | source
virtualbox | 5.2.4-dfsg-1                 | unstable/contrib                | source, amd64, i386

Offline

 

#3  2018-01-02 19:58:18

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Twoja odpowiedź nie jest wystarczająca.

Nadal nie wiem co mam zrobić konkretnie.

Ja tam widzę w tym cyctacie co podałeś  że są instalation candidate dla mojeje wersji:

virtualbox | 5.1.30-dfsg-1~bpo9+1         | stretch-backports-debug/contrib | source
virtualbox | 5.1.30-dfsg-1~bpo9+1         | stretch-backports/contrib       | source, amd64, i386

Więc w czym znowu problem ?


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#4  2018-01-02 20:12:05

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Elizabeth napisał(-a):

Więc w czym znowu problem ?

Od wielu lat (2 wydań) nie ma Virtualboksa w stabilnych wydaniach Debiana.
Jest w backportach, które można sobie włączyć — u ciebie ich nie ma.
https://backports.debian.org/Instructions/

Ostatnio edytowany przez yossarian (2018-01-02 20:14:19)

Offline

 

#5  2018-01-02 20:33:26

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Czy to oznacza że nie da się tego pobrać z tych serwerów torowych ?

bo mogę to pobrać przez dodanie:

deb http://download.virtualbox.org/virtualbox/debian stretch contrib

ale mi właśnie chdozi o pobranie z tamtych serwerów


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#6  2018-01-02 20:40:59

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Elizabeth napisał(-a):

Czy to oznacza że nie da się tego pobrać z tych serwerów torowych ?

bo mogę to pobrać przez dodanie:

deb http://download.virtualbox.org/virtualbox/debian stretch contrib

ale mi właśnie chdozi o pobranie z tamtych serwerów

A zajrzałaś do tamtego linka? Bo wygląda na to, że chyba nie.

Przeczytaj ze zrozumieniem tamte instrukcje i wtedy zainstalujesz.

Offline

 

#7  2018-01-02 22:11:54

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Lists of several other new onion services offered by Debian and Tor are available from https://onion.debian.org and https://onion.torproject.org respectively. We expect to expand these lists in the near future to cover even more of Debian's and Tor's services.

Offline

 

#8  2018-01-02 22:18:52

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Ha, a teraz dodałam to backports:

deb tor+http://vwakviie2ienjx6t.onion/debian stretch main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-backports main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main contrib
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main contrib

i na końcu dostałam:

Do you want to continue? [Y/n] y
Get:1 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libcc1-0 amd64 6.3.0-18 [30.6 kB]
Get:2 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libitm1 amd64 6.3.0-18 [27.4 kB]
Get:3 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libasan3 amd64 6.3.0-18 [311 kB]
Get:4 tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates/main amd64 linux-libc-dev amd64 4.9.65-3+deb9u1 [1,299 kB]
Get:5 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 liblsan0 amd64 6.3.0-18 [115 kB]
Get:6 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libtsan0 amd64 6.3.0-18 [257 kB]
Get:7 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libubsan0 amd64 6.3.0-18 [106 kB]
Get:8 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libcilkrts5 amd64 6.3.0-18 [40.4 kB]
Get:9 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libmpx2 amd64 6.3.0-18 [11.2 kB]
Get:10 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libgcc-6-dev amd64 6.3.0-18 [2,297 kB]
Get:11 tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates/main amd64 linux-compiler-gcc-6-x86 amd64 4.9.65-3+deb9u1 [508 kB]
Get:12 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 gcc-6 amd64 6.3.0-18 [6,895 kB]
Get:13 tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates/main amd64 linux-headers-4.9.0-4-common all 4.9.65-3+deb9u1 [7,521 kB]
Get:14 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 gcc amd64 4:6.3.0-4 [5,196 B]
Get:15 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 make amd64 4.1-9.1 [302 kB]
Get:15 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 make amd64 4.1-9.1 [302 kB]
Get:16 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 dkms all 2.3-2 [74.8 kB]
Get:17 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libfakeroot amd64 1.21-3.1 [45.7 kB]
Get:18 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 fakeroot amd64 1.21-3.1 [85.6 kB]
Get:19 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libc-dev-bin amd64 2.24-11+deb9u1 [259 kB]
Get:20 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libc6-dev amd64 2.24-11+deb9u1 [2,365 kB]
Get:21 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libgsoap10 amd64 2.8.35-4+deb9u1 [265 kB]
Get:22 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libqt5opengl5 amd64 5.7.1+dfsg-3+b1 [154 kB]
Get:23 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libqt5printsupport5 amd64 5.7.1+dfsg-3+b1 [198 kB]
Get:24 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 libvncserver1 amd64 0.9.11+dfsg-1 [209 kB]
Get:25 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 linux-headers-amd64 amd64 4.9+80+deb9u2 [5,880 B]
Get:26 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 manpages-dev all 4.10-2 [2,145 kB]
Get:27 tor+http://vwakviie2ienjx6t.onion/debian stretch-backports/contrib amd64 virtualbox-dkms all 5.1.30-dfsg-1~bpo9+1 [671 kB]
Get:28 tor+http://vwakviie2ienjx6t.onion/debian stretch-backports/contrib amd64 virtualbox amd64 5.1.30-dfsg-1~bpo9+1 [16.3 MB]
Get:29 tor+http://vwakviie2ienjx6t.onion/debian stretch-backports/contrib amd64 virtualbox-qt amd64 5.1.30-dfsg-1~bpo9+1 [7,489 kB]
Err:30 tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates/main amd64 linux-kbuild-4.9 amd64 4.9.65-3+deb9u1
  SOCKS proxy socks5h://localhost:9050 could not connect to sgvtcaew4bxjd7ln.onion (0.0.0.0:0) due to: general SOCKS server failure (1) [IP: 127.0.0.1 9050]
Err:29 tor+http://vwakviie2ienjx6t.onion/debian stretch-backports/contrib amd64 virtualbox-qt amd64 5.1.30-dfsg-1~bpo9+1
  Connection failed [IP: 127.0.0.1 9050]
Get:31 tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates/main amd64 linux-headers-4.9.0-4-amd64 amd64 4.9.65-3+deb9u1 [448 kB]
Fetched 42.7 MB in 11min 21s (62.7 kB/s)                                                   
E: Failed to fetch tor+http://sgvtcaew4bxjd7ln.onion/debian-security/pool/updates/main/l/linux/linux-kbuild-4.9_4.9.65-3+deb9u1_amd64.deb  SOCKS proxy socks5h://localhost:9050 could not connect to sgvtcaew4bxjd7ln.onion (0.0.0.0:0) due to: general SOCKS server failure (1) [IP: 127.0.0.1 9050]
E: Failed to fetch tor+http://vwakviie2ienjx6t.onion/debian/pool/contrib/v/virtualbox/virtualbox-qt_5.1.30-dfsg-1~bpo9+1_amd64.deb  Connection failed [IP: 127.0.0.1 9050]
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

zaczynam mieć wątplwiości czy się da coś ściągnąć przez tego tora,
mimo że się chwalą że się da


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#9  2018-01-02 22:33:51

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

tak powinno byc

deb tor+http://vwakviie2ienjx6t.onion/debian stretch main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-backports main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main contrib
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates-backports main contrib
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main contrib
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates-backports main contrib


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#10  2018-01-02 23:52:50

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Po co używać TORa do aktualizacji systemu?

Apt-transport-https gryzie, czy może wysyłasz broń do Daesh?

Ja tam jakoś nic tajnego w paczkach Debiana nie widzę, a sama się TOR też nie jest wcale taka anonimowa, jak się niektórym wydaje.

Jak jest jakiś exit-node TORa, który nie jest monitorowany 24/7 przez lokalne i globalne  mukhabaraty, to ja poproszę o jego adres na PW..... :P


Zwłaszcza, ze na stronach onion mogą być paczki z różnymi niespodziankami,
a jeśli ktoś z tych repo onionowych instalował klucze debian-keyring, to prędko się o sprawie nie dowie.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2018-01-02 23:56:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2018-01-03 00:39:19

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Jacekalex napisał(-a):

Po co używać TORa do aktualizacji systemu?

Apt-transport-https gryzie, czy może wysyłasz broń do Daesh?

Ja tam jakoś nic tajnego w paczkach Debiana nie widzę,

Masz tam napisane w pierwszym linku, w tym wypadku nie chodzi o ukrycie serwera i/lub wysyłającego zapytanie tylko o lepszą ochronę integralności niż może zapewnić https

a sama się TOR też nie jest wcale taka anonimowa, jak się niektórym wydaje.

Jak jest jakiś exit-node TORa, który nie jest monitorowany 24/7 przez lokalne i globalne  mukhabaraty, to ja poproszę o jego adres na PW..... :P

Anonimowość Tora polega na niemożliwości / utrudnieniu skorelowania zapytań które wchodzą do entry nodes i wychodzą z exit nodes. Natomiast są tez sposoby na ukrycie przed ISP ze łączysz się z torem,

pytałeś o adresy, musisz napisać do nich:

https://www.torproject.org/docs/bridges.html.en#FindingMore

, tak to się robi w krajach gdzie tor jest nielegalny i dostawcy internetu blokują oficjalne adresy wejściowe.


Zwłaszcza, ze na stronach onion mogą być paczki z różnymi niespodziankami,
a jeśli ktoś z tych repo onionowych instalował klucze debian-keyring, to prędko się o sprawie nie dowie.

Pozdro
;-)

Na tej samej zasadzie mogą być niespodzianki na serwerach nieonionowych. Ja nie mam na tyle wiedzy aby samodzielnie zrozumieć działanie systemu w każdym szczególe, wiec w pewnej mierze ufam tutaj społeczności debiana, ale nie wiem co ma tu do tego gdzie mają serwer. Adresy serwerów skopiowałam z oficjalnej strony projektu.


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#12  2018-01-03 00:59:14

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Elizabeth napisał(-a):

w tym wypadku nie chodzi o ukrycie serwera i/lub wysyłającego zapytanie tylko o lepszą ochronę integralności niż może zapewnić https

Wszystkie pakiety są podpisane kluczem GPG i podczas instalacji/aktualizacji jest to sprawdzane, co wyklucza jakąkolwiek „lepszość” poszczególnych rozwiązań.

Dlatego standardowo nie ma (i w zasadzie nie potrzeba) nawet https by mieć idealną integralność — cokolwiek to by miało znaczyć.

Offline

 

#13  2018-01-03 01:14:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Serwery Debian.org są pod kontrolą Fundacji Debiana, klucze do podpisywania pakietów są w posiadaniu Developerów Debiana.

Prawdopodobieństwo niespodzianki na serwerach debian.org czy w oficjalnych repozytoriach jest znacznie mniejsze, niż w onionach.

Przy okazji, w Afryce drapieżniki takie jak lwy najczęściej na antylopy czekają przy wodopoju, ciekawe, dlaczego.

TOR jest terenem wojny, której nikt i i nic naprawdę nie kontroluje, nie ma w nim nic z bezpiecznego i anonimowego środowiska, zwłaszcza dla kogoś, kto średnio zna się na systemach i np możliwości fałszowania paczek z podpisami repozytoriów.

Dodajmy do tego, że 90% użytkowników TORa używa takich OSów jak Windows czy Android, a część exit-nodów też działa na systemach, w których służby specjalne mają swoje backdoory.

Np w Windows jest już wbudowany w OS mechanizm, który po wykryciu oprogramowania TOR zgłasza taki system do "specjalnego nadzoru".
biorąc pod uwagę, ile procent sprzętu i systemów w sieci TOR ma wbudowane backdoory, w anonimowość tego mechanizmu może wierzyć ktoś wyjątkowo naiwny.

Oczywiście różne durniejsze służby jak Polska Policja nie potrafią sobie z TORem poradzić, ale już Google czy Microsoft regularnie się chwalą, że pomogły "pedofila złapać" co w praktyce oznacza, że śledzą wszystko, co przechodzi przez ich systemy i chmury obliczeniowe (np sumy kontrolne wszystkich obrazków,
filmów i  programów komputerowych).

Google ostatnio promuje totalną inwigilacje jako backup ustawień aplikacji na Google Drive (w trosce o twoje bezpieczeństwo), to samo robi Apple w iCloud.

Jak chcesz wyłączyć śledzenie w internecie, to przede wszystkim klatki faradaya od wifi czy bt i nożyczki do kabli sieciowych potrzebujesz, a nie TORa. xD

Pozdro

Ostatnio edytowany przez Jacekalex (2018-01-03 01:17:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2018-01-03 01:15:34

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Piszą tak:

While onion services can be used to conceal the network location of the machine providing the service, this is not the goal here. Instead, we employ onion services because they provide end-to-end integrity and confidentiality, and they authenticate the onion service end point.

For instance, when users connect to the onion service running at http://sejnfjrq6szgca7v.onion/, using a Tor-enabled browser such as the TorBrowser, they can be certain that their connection to the Debian website cannot be read or modified by third parties, and that the website that they are visiting is indeed the Debian website. In a sense, this is similar to what using HTTPS provides. However, crucially, onion services do not rely on third-party certification authorities (CAs). Instead, the onion service name cryptographically authenticates its cryptographic key.


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#15  2018-01-03 01:18:52

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Jacekalex napisał(-a):

Prawdopodobieństwo niespodzianki na serwerach debian.org czy w oficjalnych repozytoriach jest znacznie mniejsze, niż w onionach
z

A to nie są niby oficjalne repozytoria ?

Ostatnio edytowany przez Elizabeth (2018-01-03 01:21:17)


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#16  2018-01-03 01:21:44

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

To piszą ogólnie o Torze.
W przypadku repozytoriów nie ma to żadnego znaczenia bo nie da się fizycznie majstrować przy pakietach nawet przy używaniu zwykłego http.

However, crucially, onion services do not rely on third-party certification authorities (CAs). Instead, the onion service name cryptographically authenticates its cryptographic key

Ja i tak mam więcej zaufania do tych nie zawsze pewnych certyfikatów, niż infrastruktury TOR.

Offline

 

#17  2018-01-03 01:28:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Pisać mogą, pomijając celowe wprowadzanie w błąd (zdarza się) znacznie częściej zdarza się, że nawet najlepszy fachowiec nie napisze tego, czego nie wie.

Przykłady:
W którym to roku NSA udało się dorzucić backdoora do implementacji Ipsec w  OpenBSD?
Kto i po co wpakował dziurę Heartbeat  do Openssl? kto kiedy się o niej dowiedział?
Co się ostatnio działo z Truecryptem?

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2018-01-03 01:45:49

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Nie ma powodu dla którego torowe serwery debiana miałyby być mniej zaufane niż serwery dostępne w zwykłym internecie, wszystkie one są na liście oficjalnych serwerów.

A bezpieczeństwo całego systemu jest takie jak najsłabszego ogniwa, zauważ ze w podanych przez ciebie przykładach (np. backdoory na poziomie systemu) TOR nim nie był.

Jacekalex napisał(-a):

Pisać mogą, pomijając celowe wprowadzanie w błąd (zdarza się) znacznie częściej zdarza się, że nawet najlepszy fachowiec nie napisze tego, czego nie wie.

Przykłady:
W którym to roku NSA udało się dorzucić backdoora do implementacji Ipsec w  OpenBSD?
Kto i po co wpakował dziurę Heartbeat  do Openssl? kto kiedy się o niej dowiedział?
Co się ostatnio działo z Truecryptem?

Pozdro
;-)

Nikt ci nie broni, wyszukuj te rzekome backdoory :D

wszystko jest open, klient tora również

Ostatnio edytowany przez Elizabeth (2018-01-03 02:04:02)


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#19  2018-01-03 06:19:46

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Brak pakietu virtualbox na serwerach udostępnionych w sieci tor

Jacekalex napisał(-a):

Po co używać TORa do aktualizacji systemu?
...
Apt-transport-https gryzie, czy może wysyłasz broń do Daesh?

Tak, TOR to overkill do takich zabaw jak aktualizacja systemu. HTTPS w zupełności wystarczy i co jak co ale jak się przesyła ruch przez TOR, to on automagicznie nie jest szyfrowany w przeciwieństwie do korzystania z tego transportu https.

Jacekalex napisał(-a):

Ja tam jakoś nic tajnego w paczkach Debiana nie widzę, a sama się TOR też nie jest wcale taka anonimowa, jak się niektórym wydaje.

Taki dodatkowy ruch zawsze zwiększa nieco anonimowość pozostałych użytkowników TOR'a. xD

Jacekalex napisał(-a):

Zwłaszcza, ze na stronach onion mogą być paczki z różnymi niespodziankami,
a jeśli ktoś z tych repo onionowych instalował klucze debian-keyring, to prędko się o sprawie nie dowie.

To repozytorium onionowe (tak jak i inne repozytoria Debiana) jest podpisane:

Kod:

$ gpg --verify vwakviie2ienjx6t.onion_debian_dists_sid_InRelease
...
gpg:                using RSA key A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553
...
gpg:                using RSA key 126C0D24BD8A2942CC7DF8AC7638D0442B90D010

$ gpg --search-keys A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553
gpg: data source: https://18.9.60.141:443
(1)     Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.or
          4096 bit RSA key 0x8B48AD6246925553, created: 2012-04-27, expires: 2020-04-25
...

$ gpg --search-keys 126C0D24BD8A2942CC7DF8AC7638D0442B90D010
gpg: data source: https://18.9.60.141:443
(1)     Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>
          4096 bit RSA key 0x7638D0442B90D010, created: 2014-11-21, expires: 2022-11-19

Te dwa widoczne wyżej klucze są również używane do podpisywania głównych repozytoriów Debiana. Czyli jeśli z jakiegoś powodu repo onionowe by zostało skompromitowane, to i tak samo szlag trafi główne repo Debiana. Zatem nie ma się co przejmować tylko tym faktem, że ten mirror stoi na onionie, bo APT weryfikuje podpisy bez względu na to czy repo jest onionowe czy normalne. xD


Elizabeth napisał(-a):

w tym wypadku nie chodzi o ukrycie serwera i/lub wysyłającego zapytanie tylko o lepszą ochronę integralności niż może zapewnić https

Integralność danych zapewnia mechanizm APT, który weryfikuje podpisy pakietów. I tak jak pisze dalej yossarian, TOR/HTTPS nie ma większego znaczenia, bo do repozytorium Debiana można uzyskać dostęp po zwykłym HTTP i instalowane w ten sposób pakiety są również wiarygodne i do ich zmiany dojść nie może.

Jacekalex napisał(-a):

Serwery Debian.org są pod kontrolą Fundacji Debiana, klucze do podpisywania pakietów są w posiadaniu Developerów Debiana.

Prawdopodobieństwo niespodzianki na serwerach debian.org czy w oficjalnych repozytoriach jest znacznie mniejsze, niż w onionach.

Prawdopodobieństwo jest dokładnie takie samo jak w przypadku wykorzystywania dowolnego innego mirrora w sieci, a tych jest przecie pełno, choć synchronizacja nie zawsze jest najlepsza — ale to nie wpływa zbytnio na możliwość wgrania trefnych pakietów do repo bez zauważenia tego faktu (dalej w mocy są klucze GPG).

Poniżej jest fotka z procesu aktualizacji po zwykłym HTTP (może być i TOR):
https://i.imgur.com/jTlgUxQ.png

A jedyną różnicą w przypadku HTTPS jest zaszyfrowanie informacji o pakietach, które się instaluje (nazwy, wersje, architektura, itp. bo w zasadzie to te informacje są kluczowe przy atakowaniu czyjegoś systemu — wiadome jest czy ofiara ma zainstalowane podatne na coś jakieś wersje pakietów bez zaglądania do jej systemu czy wchodzenia w interakcję z nim. To tak mniej więcej tyle w sprawach repo. xD

Ostatnio edytowany przez morfik (2018-01-03 06:22:14)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)