___

ZeroDay только что опубликовали материал о раскрытии в течение последней недели двух 0-day ошибок в Tor. Исследователь Нил Кравец опубликовал 23 июля и сегодня подробности об уязвимостях в своем блоге после того, как в течение последних лет, как он утверждает, Tor Project не решал проблем безопасности, о которых он сообщал. Более того, ресерчер обещает рассказать еще о трех "нулевых днях" в Tor в ближайшее время. Первая уязвимость заключается в возможности блокировать компаниями и интернет-провайдерами подключение своих пользователей к Tor путем выявления в сетевом трафике уникальной "подписи пакетов Tor". Вторая ошибка - возможность аналогичной блокировки пользователей, только не их прямых соединений с узлами Tor, а соединений с Tor-мостами, которые специально используются для обхода блокировок. Отследить такие непрямые соединения также можно с помощью техники отслеживания пакетов Tor. Как говорит Кравец, ранее Tor Project не устранил три уязвимости, о которых он сообщал разработчикам. Поэтому исследователь с начала этого года отказался от сотрудничества и теперь рассказывает о выявленных уязвимостях публично, чтобы принудить Tor Project к исправлению ошибок. Ну а мы можем только попытаться угадать почему же Tor Project не торопится устранять некоторые уязвимости. Наверное потому, что изначально за разработкой Tor, как мы уже неоднократно говорили, стояло Разведуправление Минобороны США (РУМО). А практика преднамеренного оставления дыр в различном ПО, на разработку которого можно повлиять, является обычной для американских спецслужб и косвенно это получило подтверждение после слива в паблик инструментария подразделения АНБ, известного миру как хакерская группа Equation.