Tor представил бета-версию защищенного мессенджера

Tor представил бета-версию защищенного мессенджера

Проект Tor представил тестовый выпуск собственного клиента для мгновенного обмена сообщениями Tor Messenger, нацеленного на обеспечение анонимности и защиты от прослушивания. Весь применяемый для обмена сообщениями трафик передаётся только через сеть Tor.

Для шифрования сообщений, защиты имеющейся переписки и аутентификации собеседников применяется протокол OTR (Off-the-Record). Готовые сборки подготовлены для Linux, Windows и OS X.

Для обмена сообщениями применяется традиционная клиент-серверная модель, подразумевающая наличие сервера для координации обмена сообщениями. Tor Messenger позволяет соединиться с обычными IM-серверами, поддерживающими такие протоколы, как Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter и Yahoo, при этом соединение с ними осуществляется только через сеть Tor. Также возможно использование серверов, работающих в форме скрытых сервисов Tor (Hidden Services), пишет opennet.ru.

В качестве основы для построения приложения задействована кодовая база клиента для мгновенного обмена сообщениями Instantbird, построенного на технологиях Mozilla. Подобный подход напоминает Tor Browser, основанный на кодовой базе Firefox. На стадии планирования в качестве основы Tor Messenger рассматривались Pidgin и libpurple, но в итоге выбор был сделан в пользу Instantbird c использованием вместо libpurple плагинов c реализацией поддержки протоколов обмена сообщениями на языке JavaScript. Нежелание использовать libpurple было обусловлено необходимостью траты значительных ресурсов на проведение аудита данной библиотеки и опасений, что разработчики Pidgin халатно относятся к вопросам безопасности. Плагины на JavaScript, интерфейс на XUL и платформа Mozilla позволяли применить в проекте опыт и наработки, накопленные в процессе разработки Tor Browser.

Из планов по дальнейшему развитию проекта отмечается организация повторяемых сборок для Windows и OS X, задействование sandbox-изоляции, автоматическое применение обновлений, расширенные средства поддержки Tor (TIMB и TBB/PTTBB), возможность использования OTR поверх Twitter DM (Direct Message), подготовка локализованных сборок, средства для организации защищённых конференций с несколькими участниками (np1sec), средства шифрованной передачи файлов и улучшение удобства работы. 

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru