标签 Tor 下的文章

一个有趣的、开源的私人通讯软件,它利用 Tor 来保证你的通信安全和私密。

Speek 是一种网络通讯服务,它利用多种技术保证网络聊天的私密性。

它是端到端加密的、去中心化和开源的。

毫无疑问,它的目标是将自己定位为 WhatsApp 的替代品 之一和 Linux 上的 Signal 的竞争对手。

那么,它到底如何呢? 让我们一起来仔细看看细节。

Speek! 适用于 Linux 和安卓的点对点即时消息应用程序

(LCTT 译注: 点对点 Peer-to-Peer ,又称对等式网络,是无中心服务器、依靠 对等点 peer 交换信息的互联网络体系,它的作用在于,减低以往网路传输中的节点,以降低资料遗失的风险。)

Speek! 截图

Speek!(名称中带有感叹号)是一种加密的聊天软件,旨在抗审查,同时保护数据隐私。

你也可以认为它是 Session 的替代品,但有一些区别。

与其他可用的通讯软件相比,它是一个相当新的竞争对手。但是如果你想尝试开源的解决方案,它应该作为候选者。

虽然 Speek! 声称能保持匿名,但如果你需要的是完全匿名的话,你应该始终注意自己在设备上的活动。因为你需要考虑的不仅仅是即时通讯软件。

Speek! id

Speek! 利用去中心化的 Tor 网络来保证安全性和私密性。不仅如此,这样做可以让你无需电话号码就能使用服务。你只需要你的 Speek ID 就可以与人联系,而别人很难知道你的 ID。

(LCTT 译注:Tor 是一个可以实现匿名通信的自由软件。其名源于 洋葱路由器 The Onion Router 的英文缩写。)

Speek! 的亮点

Speek! 选项

Speek! 的一些主要亮点包括:

  • 端到端加密:除收件人外,没有人可以查看你的消息。
  • 通过 TOR 路由流量:使用 TOR 路由消息,增强隐私。
  • 没有中央服务器:增加了对审查的抵抗力,因为很难关闭服务。此外,没有针对黑客的单一攻击点。
  • 无需注册:无需共享任何个人信息即可开始使用该服务。你只需要一个公钥来识别/添加用户。
  • 自毁聊天:当你关闭应用程序时,消息会自动删除。增添了额外的隐私和安全性。
  • 无元数据:它会在你交换消息时消除任何元数据。
  • 私人文件共享:你还可以使用该服务安全地共享文件。

下载适用于 Linux 和其他平台的 Speek!

你可以从他们的 官方网站 下载 Speek!。

在撰写本文时,Speek! 仅适用于 Linux、安卓、macOS 和 Windows。

对于 Linux,你会找到一个 AppImage 文件。如果你不知道 AppImage,可以参考我们的 AppImage 指南 来运行该应用程序。

安卓系统上的 Speek!

另外,Google Play 商店 上的安卓应用程序还比较早期。因此,你在尝试使用它时可以期待一下它的改进。

Speek!

关于 Speek! 的用户体验

这个应用的用户体验非常令人满意,包含了所有必备的功能。它可以更好,但已经很不错了。

嗯,关于 Speek! 的 GUI 没什么好说的。GUI 非常极简风。它的核心是一个聊天应用程序,而它做得恰如其分。没有动态,没有附近的人,没有不必要的附加组件。

在我使用这个应用程序的有限时间里,我很满意它的功能。它提供的功能使其成为一款出色的聊天应用程序,可通过其背后的所有技术提供安全和私密的消息传递体验。

如果将它与一些商业上更成功的聊天软件进行比较,它在功能上存在不足。但话又说回来,Speek! 的设计就不是一个只关注用户体验的时尚聊天应用。

因此,我只向注重隐私的用户推荐 Speek!。如果你想要平衡用户体验和功能,你可能希望继续使用像 Signal 这样的私人聊天软件。

你对于 Speek 又有什么看法?对于注重隐私的用户来说,它是一个很好的私人聊天软件吗? 请在下方评论区告诉我你的想法。

(题图:MJ:A girl looks at her phone while two cats are peeking at her phone next to her.)


via: https://itsfoss.com/speek/

作者:Pratham Patel 选题:lkxed 译者:XiaotingHuang22 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

某个在应用中利用零日漏洞的团队已被解散

之前我们报道过,某个主流电商应用利用零日漏洞达成不可卸载、窃取用户信息等恶意功能,后被谷歌 下架。此事也被其它安全团队独立 验证。据外媒报道,该公司有上百人负责挖掘安卓漏洞,并利用这些漏洞。最初带有恶意功能的版本只针对农村和小城镇的用户,以避免被发现。通过收集用户活动的大量数据,它得以提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。此事曝光发酵后,该团队被解散,大部分人员被分流。并释出了新的版本移除了漏洞利用代码,但底层代码仍保留在其中。安全专家表示,他们从未看到过一个主流应用会那样做。

消息来源:CNN
老王点评:我的理解是,这就是“知行合一”。

上古的 LISP 机系统软件 v100 恢复成功

这是 MIT CADR Lisp 机的系统软件的最后一个版本。因此,这既是一个新的版本,也是一个非常古老的版本。这款软件和它所运行的机器是一场“重要战斗”的标志和纪念物,那场战斗是一场以敌对方式制造计算机的战争。战斗的双方,MIT/斯坦福一方认为,制造计算机的正确方法是用最好的语言编写最好的软件,如果有必要的话,还要设计特殊的花哨的计算机来运行这些软件;新泽西一方认为制造计算机的正确方法是制造小而快、容易和简单的软件和硬件,做大多数人在当时需要的事情。结果我们都知道了,MIT Lisp 机已经湮没在历史中;而胜利方开发出了 Unix 和 C,建立了 RISC、CISC、X86 指令架构,和基于 Algol 的整个语言家族,包括从 BASIC 到 C++ 到 Pascal 到 Go。被恢复的是 MIT CADR Lisp 机的系统软件的最终版本,从备份磁带上花费了十年的时间提取和清理,并使其在 35 年后首次运行。

消息来源:The Register
老王点评:真是尘封的历史文物。

Tor 合作推出的新浏览器不使用洋葱网络

Tor 项目正在推出一个注重隐私的浏览器 Mullvad 浏览器,它并不是连接到去中心化的洋葱网络。该浏览器的主要目标是使广告商和其他公司更难在互联网上追踪你。默认情况下,该浏览器通过屏蔽元数据,使网站更难对你进行 “指纹” 识别。此外,它还阻止了第三方 Cookie 和跟踪器,并预装了一些插件来进一步减少你的指纹。

消息来源:The Verge
老王点评:虽然装插件也可以实现,但是开箱即用还是会方便。只是这种浏览器有时候并不太方便。

Tails 5.1 将针对“可绕过 Tor 浏览器安全措施的危险漏洞”提供关键修复。以下是它的全部内容。

Tails

Tails 是一个专注于安全的便携式 Linux 发行版,最近,它的开发团队发布了有关其当前版本的重要公告。他们警告用户在 Tails 5.0 或更早版本 上使用 Tor 浏览器时,避免输入或使用任何个人或敏感信息。

Tor 浏览器是 Tails 事实上的(默认)网页浏览器,它有助于在用户连接到互联网时,保护他们的在线身份。它主要被各种记者和活动家用来逃避审查。不过,普通用户也可以使用它。

问题说明

最近,有人发现了两个令人讨厌的漏洞,它们允许有害网站能够从其他网站窃取用户的信息。

这些都是在 Firefox 使用的 JavaScript 引擎中发现的。

但是,Tor 与此有什么关系?对于那些不知道的人来说,Tor 实际上是 Firefox 的一个复刻,因此包含许多类似的功能,如 JavaScript 引擎。

具体来说,在 Mozilla 发布的公告 中,这些漏洞已被确定为 CVE-2022-1802 和 CVE-2022-1529。

Tails 公告中也对此进行了说明:

“例如,在你访问恶意网站后,控制该网站的攻击者可能会在同一个 Tails 会话期间,访问你随后发送到其他网站的密码或其他敏感信息。”

你应该停止使用 Tail 发行版吗?

没有这个必要。

用户会很高兴地知道,这些漏洞并不影响 Tor 的连接。这意味着,如果你不交换任何敏感信息,如密码、个人信息、信息等,你可以随意地浏览互联网。

Tails 中的其他应用程序,尤其是 Thunderbird,仍然可以安全使用,因为 JavaScript 在使用时会被禁用。

此外,你也可以在 Tor 浏览器中启用最高的安全级别。这是推荐的,因为(该级别下)JavaScript 引擎会被禁用。不过,请注意,这会使网站无法正常运行。

换句话说,如果你知道自己在做什么的话,Tails 发行版仍然可以安全使用。

漏洞修复即将发布

好的消息是,Mozilla 已经在上游修补了这些错误,现在就等 Tails 团队发布修复程序了。

至于何时发布,他们是这样说的:

此漏洞将在 Tails 5.1(5 月 31 日)中修复,但我们的团队没有能力提前发布紧急版本。

因此,你最好的选择是等待下周的 Tails 5.1 发布。你可以阅读 Tails 开发团队的 官方公告 以了解更多信息。


via: https://news.itsfoss.com/tails-tor-browser/

作者:Rishabh Moharir 选题:lkxed 译者:lkxed 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

根据上个月公布的 Research Grants 2019H1,Mozilla 正寻求资助开发在 Firefox 中更有效的整合 Tor 的方法。目前 Tor 能工作在 Firefox 浏览器上,Tor 浏览器就是证据,但这种整合方法拖慢了浏览器的速度。Mozilla 认为,要让更多的用户使用 Tor 匿名网络需要解决目前 Tor 存在的效率低下的问题。学术界正在研究替代的协议架构和路线选择协议,如 Tor-over-QUIC、DTLS 和 Walking Onions。但替代的协议架构和路线选择协议是否能带来可接受的 Tor 性能增强,是否能保留 Tor 的特性,是否能大规模部署 Tor,如何全面整合 Tor 和 Firefox?Mozilla 愿意在这些方面提供研究资金。

来源:solidot.org

更多资讯

杠上美国反病毒公司:俄罗斯黑客要卖它们的源代码

5月12日,Ars technica称,Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织,自3月份以来,Fxmsp在网络犯罪论坛上声称持有了从美国三家主要防病毒公司软件开发相关的独家源代码。

来源: 雷锋网

详情: http://t.cn/EK215J0

错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联

一个有缺陷的 Windows 更新或许会令人烦恼,但还不足以引起人们的恐慌,但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢?本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题,导致设备和警察之间的通信被中断。

来源: cnBeta.COM

详情: http://t.cn/EK21Vcx

为了挖掘加密货币 两个黑客组织争夺 Linux 服务器

Rocke 和 Pascha 两个从事门罗币挖掘业务的黑客组织正在努力控制尽可能多的 Linux 云环境,以便挖掘加密货币。去年年底,自新黑客组织 Pacha 崛起以来,这场争夺战就一直秘密进行。这两个组织都进行了大规模扫描来寻找开放或未打补丁的云服务和服务器,然后用基于 Linux 的多功能恶意软件感染它们。

来源: 雷锋网
详情: http://t.cn/EK21Mwm

5 月全球 Web 服务器报告 微软减少 1.12 亿站点

Netcraft 发布了 2019 年 5 月份全球 Web 服务器调查报告。Netcraft 公司官网每月公布的 Web Server Survey 是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据。5 月份报告共收录了 1 326 664 693 个站点数据,比上个月减少了 1.19 亿个,其中活跃站点有 187 976 419 个

来源: 开源中国
详情: http://t.cn/EK21Jpv

(信息来源于网络,安华金和搜集整理)

美国中央情报局(CIA)最近一改“神秘”形象,开始在社交网站上“抖机灵”。两周前,中情局在 Instagram 上发布一张“猜谜”照片,吸了一波流量,没想到7日却因在推特上分享的暗网链接“翻了车”。

“来洋葱网络(Tor network)找我们呀!”5 月 7 日,中情局一连在推特上发布了 4 条加密链接相关推文。中情局公布了其在洋葱网络的网址链接,承诺网友可以匿名通过该平台上向政府“提供信息”。

1.png

推特截图

中情局在推文中写到:“情报收集任务存在着安全、匿名、不可追踪等特点,洋葱网络也刚好具有同样特性。中情局信息一应俱全,如果想获得相关内容,请点击下方链接。”

2.png

推特截图

中情局此举也让网友感到疑惑:洋葱网络到底是不是间谍工具?推特上网友回复似乎不完全符合中情局的意。有网友断然拒绝:不用,谢谢!另有评论称:“原来中情局就是这么监视美国民众的。”

更有网友认为,中情局使用加密网络与罪犯和恐怖分子使用的是一样的,被讽刺称“肯定不会让人失望”。(海外网 张琪)

来源:cnBeta.COM

更多资讯

FBI 查获并捣毁暗网索引和新闻网站 Deep Dot Web

据外媒报道,美国 FBI 日前已查获暗网索引和新闻网站 Deep Dot Web。该网站的暗网现已被撤下,取而代之的是一个通知。根据通知了解到,FBI 联合电脑犯罪调查人员和欧洲执法部门并在接到搜查令后查封了该网站。

来源: 海外网
详情: http://t.cn/EoO361X

除 bug 务尽 Mozilla 再次更新 Firefox 以修复扩展被禁用的相关问题

上周末,Mozilla 意外地在桌面和 Android 上安装的 Firefox 浏览器上禁用了许多用户的附加组件,引发一阵混乱,一天后, Mozilla 推出 Firefox 66.0.4,许多问题就得到了解决,但事实上公司承认仍有一大批用户存在一些遗留问题,他们通常需要等待很长时间才会恢复正常,而使用今天新发布的 Firefox 66.0.5,就可以有立竿见影的疗效。

来源: cnBeta.COM

详情: http://t.cn/EoO3o8m

大连警方破获一起侵犯公民个人信息案 查获个人信息近亿条

大连警方近日成功破获一起侵犯公民个人信息案,抓获犯罪嫌疑人 1 名,查获公民个人信息数量近亿条。

来源: 新华网

详情: http://t.cn/EoO3NYO

(信息来源于网络,安华金和搜集整理)

在此教程中学习如何将你的旧树莓派打造成一个完美的 Tor 中继节点。

你是否和我一样,在第一代或者第二代树莓派发布时买了一个,玩了一段时间就把它搁置“吃灰”了。毕竟,除非你是机器人爱好者,否则一般不太可能去长时间使用一个处理器很慢的、并且内存只有 256 MB 的计算机。这并不是说你不能用它去做一件很酷的东西,但是在工作和其它任务之间,我还没有看到用一些旧的物件发挥新作用的机会。

然而,如果你想去好好利用它并且不想花费你太多的时间和资源的话,可以将你的旧树莓派打造成一个完美的 Tor 中继节点。

Tor 中继节点是什么

在此之前你或许听说过 Tor 项目,如果恰好你没有听说过,我简单给你介绍一下,“Tor” 是 “The Onion Router(洋葱路由器)” 的缩写,它是用来对付在线追踪和其它违反隐私行为的技术。

不论你在互联网上做什么事情,都会在你的 IP 包通过的设备上留下一些数字“脚印”:所有的交换机、路由器、负载均衡,以及目标网络记录的来自你的原始会话的 IP 地址,以及你访问的互联网资源(通常是它的主机名,即使是在使用 HTTPS 时)的 IP 地址。如过你是在家中上互联网,那么你的 IP 地址可以直接映射到你的家庭所在地。如果你使用了 VPN 服务(你应该使用),那么你的 IP 地址映射到你的 VPN 提供商那里,而 VPN 提供商是可以映射到你的家庭所在地的。无论如何,有可能在某个地方的某个人正在根据你访问的网络和在网站上呆了多长时间来为你建立一个个人的在线资料。然后将这个资料进行出售,并与从其它服务上收集的资料进行聚合,然后利用广告网络进行赚钱。至少,这是乐观主义者对如何利用这些数据的一些看法 —— 我相信你还可以找到更多的更恶意地使用这些数据的例子。

Tor 项目尝试去提供一个解决这种问题的方案,使它们不可能(或者至少是更加困难)追踪到你的终端 IP 地址。Tor 是通过让你的连接在一个由匿名的入口节点、中继节点和出口节点组成的匿名中继链上反复跳转的方式来实现防止追踪的目的:

  1. 入口节点 只知道你的 IP 地址和中继节点的 IP 地址,但是不知道你最终要访问的目标 IP 地址
  2. 中继节点 只知道入口节点和出口节点的 IP 地址,以及既不是源也不是最终目标的 IP 地址
  3. 出口节点 仅知道中继节点和最终目标地址,它是在到达最终目标地址之前解密流量的节点

中继节点在这个交换过程中扮演一个关键的角色,因为它在源请求和目标地址之间创建了一个加密的障碍。甚至在意图偷窥你数据的对手控制了出口节点的情况下,在他们没有完全控制整个 Tor 中继链的情况下仍然无法知道请求源在哪里。

只要存在大量的中继节点,你的隐私被会得到保护 —— 这就是我为什么真诚地建议你,如果你的家庭宽带有空闲的时候去配置和运行一个中继节点。

考虑去做 Tor 中继时要记住的一些事情

一个 Tor 中继节点仅发送和接收加密流量 —— 它从不访问任何其它站点或者在线资源,因此你不用担心有人会利用你的家庭 IP 地址去直接浏览一些令人担心的站点。话虽如此,但是如果你居住在一个提供 匿名增强服务 anonymity-enhancing services 是违法行为的司法管辖区的话,那么你还是不要运营你的 Tor 中继节点了。你还需要去查看你的互联网服务提供商的服务条款是否允许你去运营一个 Tor 中继。

需要哪些东西

  • 一个带完整外围附件的树莓派(任何型号/代次都行)
  • 一张有 Raspbian Stretch Lite 的 SD 卡
  • 一根以太网线缆
  • 一根用于供电的 micro-USB 线缆
  • 一个键盘和带 HDMI 接口的显示器(在配置期间使用)

本指南假设你已经配置好了你的家庭网络连接的线缆或者 ADSL 路由器,它用于运行 NAT 转换(它几乎是必需的)。大多数型号的树莓派都有一个可用于为树莓派供电的 USB 端口,如果你只是使用路由器的 WiFi 功能,那么路由器应该有空闲的以太网口。但是在我们将树莓派设置为一个“配置完不管”的 Tor 中继之前,我们还需要一个键盘和显示器。

引导脚本

我改编了一个很流行的 Tor 中继节点引导脚本以适配树莓派上使用 —— 你可以在我的 GitHub 仓库 https://github.com/mricon/tor-relay-bootstrap-rpi 上找到它。你用它引导树莓派并使用缺省的用户 pi 登入之后,做如下的工作:

sudo apt-get install -y git
git clone https://github.com/mricon/tor-relay-bootstrap-rpi
cd tor-relay-bootstrap-rpi
sudo ./bootstrap.sh

这个脚本将做如下的工作:

  1. 安装最新版本的操作系统更新以确保树莓派打了所有的补丁
  2. 将系统配置为无人值守自动更新,以确保有可用更新时会自动接收并安装
  3. 安装 Tor 软件
  4. 告诉你的 NAT 路由器去转发所需要的端口(端口一般是 443 和 8080,因为这两个端口最不可能被互联网提供商过滤掉)上的数据包到你的中继节点

脚本运行完成后,你需要去配置 torrc 文件 —— 但是首先,你需要决定打算贡献给 Tor 流量多大带宽。首先,在 Google 中输入 “Speed Test”,然后点击 “Run Speed Test” 按钮。你可以不用管 “Download speed” 的结果,因为你的 Tor 中继能处理的速度不会超过最大的上行带宽。

所以,将 “Mbps upload” 的数字除以 8,然后再乘以 1024,结果就是每秒多少 KB 的宽带速度。比如,如果你得到的上行带宽是 21.5 Mbps,那么这个数字应该是:

21.5 Mbps / 8 * 1024 = 2752 KBytes per second

你可以限制你的中继带宽为那个数字的一半,并允许突发带宽为那个数字的四分之三。确定好之后,使用喜欢的文本编辑器打开 /etc/tor/torrc 文件,调整好带宽设置。

RelayBandwidthRate 1300 KBytes
RelayBandwidthBurst 2400 KBytes

当然,如果你想更慷慨,你可以将那几个设置的数字调的更大,但是尽量不要设置为最大的出口带宽 —— 如果设置的太高,它会影响你的日常使用。

你打开那个文件之后,你应该去设置更多的东西。首先是昵称 —— 只是为了你自己保存记录,第二个是联系信息,只需要一个电子邮件地址。由于你的中继是运行在无人值守模式下的,你应该使用一个定期检查的电子邮件地址 —— 如果你的中继节点离线超过 48 个小时,你将收到 “Tor Weather” 服务的告警信息。

Nickname myrpirelay
ContactInfo [email protected]

保存文件并重引导系统去启动 Tor 中继。

测试它确认有 Tor 流量通过

如果你想去确认中继节点的功能,你可以运行 arm 工具:

sudo -u debian-tor arm

它需要一点时间才显示,尤其是在老板子上。它通常会给你显示一个表示入站和出站流量(或者是错误信息,它将有助于你去排错)的柱状图。

一旦你确信它运行正常,就可以将键盘和显示器拔掉了,然后将树莓派放到地下室,它就可以在那里悄悄地呆着并到处转发加密的比特了。恭喜你,你已经帮助去改善隐私和防范在线的恶意跟踪了!

通过来自 Linux 基金会和 edX 的免费课程 "Linux 入门" 来学习更多的 Linux 知识。


via: https://www.linux.com/blog/intro-to-linux/2018/6/turn-your-raspberry-pi-tor-relay-node

作者:Konstantin Ryabitsev 选题:lujun9972 译者:qhwdw 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出