• XSS.stack #1 – первый литературный журнал от юзеров форума

Был ли в Tox exploit ? Делаем защиту,конкурс

Отслеживать
lefroggy

lefroggy

RAM
Пользователь
Регистрация
15.12.2019
Сообщения
136
Реакции
47
Гарант сделки
2
Смахивает на баян,но предлагаю,кто возьмёться убрать в токсе все возможности эксплуатации,чтобы можно было передавать только текст и ссылки.картинки и передачу файлов отключить.а на тексте и на добавление в друзья добавить фильтрацию от спецсимволов?
так же предлагаю обсудить места где возможно была эксплуатация,не так же много мест где передаются данные в токс ,не похоже вообще что там был баг,похоже на баян.
За каждый дельный пост и помощь в разработке по 100$ буду закидывать как бонус(за каждое дельное сообщение) всем кто будет помогать открыто сделать токс безопаснее.
Победителю,кто сделает tox идеально безопасным,кто возьмёться 1K$

Вот в соседнем закрытом топике,нашёл на одной из 3х страниц пост дельный от человека(u0p, напиши,отправлю бонус)
https://xss.pro/threads/88913/post-619836


Просьба модераторов давать предупреждения флудерам.Топик по теме действительно возможности эксплуатации в токсе.Через личку буду ВАм на кошелёк скидывать денежку.Потом можете отписывать в топике что денежку получили.Остальное уже флуд.Ребят давайте по делу.
 
Конечно 1к это хорошо, но думаю, чтобы сделать конкретно безопасным какой нибудь вундеркинд точно не возьмется за такую сумму. Желательно больше предложить людям, а идея топ !
 
CheckData сказал(а):
Конечно 1к это хорошо, но думаю, чтобы сделать конкретно безопасным какой нибудь вундеркинд точно не возьмется за такую сумму. Желательно больше предложить людям, а идея топ !
для портфолио точно возмутся, почему нет
 
Дырочки в буферах и длинах, это проблемы тактические (но не менее от этого серьезные). А есть проблемы стратегические. Первая - отсутствие механики обратного храповика, раскрытия ключа предыдущего сообщения. Чем достигается правдоподобное отрицание. Как это работает, внимательно читаем статью про off the record messaging и обратный храповик на самой обычной википедии.
Вторая проблема, это нынешние разработчики tox. Просто посмотрите сколько времени висят пулл реквесты в их гитхабе. Надежная и неперехватываемая связь это стратегическая вещь. Есть у меня паранойидальная теория, что сразу после взлета токса в 16 или 17 году ребятам сделали предложение от которого нельзя отказаться. В новостях это вылилось в то что кто-то украл бюджет на разработку. Может и так, но результат вот он, пулл реквесты на гитхабе. По хорошему нужно делать форк и перехватывать проект, потому что так кина не будет. Нельзя ждать два года до принятия коммитов.
Третья проблема, это воспроизводимость сборок. Еще какое то время назад токс нельзя было собрать на винде. Потом кто-то добрый человек переделал код и теперь вроде бы можно собрать на cmake.
Четвертая проблема, это отсутствие доки на протокол. Есть сайт toktok.ltd с nextgen протоколом, вот только я не понял тот ли это протокол что сейчас или будущий. Думаю будущий.
Пятая проблема, это аудит. Кто-то должен его сделать. Криптографы должны доябываться до шифровальных схем, еще одни люди должны с фаззером наперевес брутить буфера. Кто это будет делать? все заняты добыванием бабла.
Люди, вы понимаете что это ваша безопасность? Это долбаная трагедия общин или как там в теории игр, каждый занят своей выгодой.
Шестая проблема, кажется неважная, но она важная. Нету постоянных групп (каналов, конференций, групповых чатов, как угодно назовите). Когда выходит последний участник, группа уничтожается. Это решаемо, но этого нету. А без этого, невозможно полностью заменить менее уязвимые но более удобные чаты, от телеги и рокета до жабы.

Обращаюсь ко всем кто тут есть. Вы не хотите сделать общественный фонд для финансирования таких доработок? ведь это нужно всем, а с миру по нитке - да и тут есть коллективы с серьезными деньгами.
Я бы взялся делать дело, но к сожалению как и всем надо кормить семью, вот и нету времени.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Моя крипта лежит на месте, никто не смог взломать меня через токс, вывод - уязвимость если она и есть ни о чем.
 
LockBitSupp сказал(а):
Моя крипта лежит на месте, никто не смог взломать меня через токс, вывод - уязвимость если она и есть ни о чем.
You sound stupid and naive. Tox is a dead project with no major updates. Just by using it, your opsec has taken a significant hit. Same goes for jabber, please remind me the last time OTR/OEMEO was updated.
 
Моя заявка на $100: Предлагаю заменить в интерфейсе "добавление в друзья" на "добавление в товарищи майоры". Это должно повысить безопасность.

Серьёзно, народ, проект который изначально выглядел как ханипот - специально запутанный и странный, но зато со ссылками аж на самого Сноудена, с историей скандалов, а теперь ещё и доказано дырявый - должен просто тихо умереть. Подобные инициативы от доброхотов никак не добавят ему безопасности, а скорее выглядят как попытки кое-кого побудить людей которые уже возможно под колпаком - дальше продолжать его использовать. Собственно, на это же похожа и выплата баснословного вознаграждения за баг в заброшенном клиенте. Кто-нибудь пробовал юзать этот баг в других клиентах, посвежее?
 
LockBitSupp сказал(а):
Моя крипта лежит на месте, никто не смог взломать меня через токс, вывод - уязвимость если она и есть ни о чем.
может быть и другой вывод - у взломщика нет знакомств в КГБ и прочих Garantex, поэтому крипта с 101% risk score ему нафиг не сдалась, т.к. негде столько отмывать.
 
stderr сказал(а):
You sound stupid and naive. Tox is a dead project with no major updates. Just by using it, your opsec has taken a significant hit. Same goes for jabber, please remind me the last time OTR/OEMEO was updated.
if the code is good then updates are not needed. what was the last time when gnupg was updated?
 
lefroggy сказал(а):
убрать в токсе все возможности эксплуатации,чтобы можно было передавать только текст и ссылки.картинки и передачу файлов отключить.а на тексте и на добавление в друзья добавить фильтрацию от спецсимволов?
Может проще новый написать, чем древний код копать?
 
Честно, прочитал все топики про эту ситуацию, всю панику итд, толком к ничему и не пришли. По факту, проблемы есть, PoC? от этого дальше и идем
 
Последнее редактирование:
так я и пишу,что эксплуатации не так много и возможностей
Там на видео сплойта был байткод , что запускался новый процесс putty
может просто позапрещать запуск новых процессов.вообще возможно ли эксплуатация в таком софте?
Если отключить звонки и передачу картинок.
Сделать только передачу текста и фильтрацию текст сообщений.
Тогда как тут вообще сплойт засунешь ? вот же в жабер клиентах багов так и не нашли.Вообще софт опенсорц,вряд-ли в нём баги есть не известные.уже б было б известно.Кстати,там был пабликовый сплойт.Кто-то знает о чём он?
 
PoС для клиента qТox. Сам протокол хороший. Пользуйтесь другими клиентами, тот же toxic
 
Да, не забудьте создать аккаунт Signal на свой личный номер мобильного телефона 👍 но в целом протокол у него хороший, безопасный..
 
кстати про номер телефона, тут в один широко известный мейллист написал чел с @whonix.org, что "не надо пользоваться PGP, потому что это плохо, и вон даже секьюрити эксперты говорят, что это плохо".
почитал я этих секьюрити экспертов, и у меня натурально стул чуть насквозь не прожгло - два из четырёх советуют пользоваться Whatsapp.
я и раньше Whonix не пользовался, но сейчас у меня к нему ещё бОльшие вопросы.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Dread Pirate Roberts сказал(а):
кстати про номер телефона, тут в один широко известный мейллист написал чел с @whonix.org, что "не надо пользоваться PGP, потому что это плохо, и вон даже секьюрити эксперты говорят, что это плохо".
почитал я этих секьюрити экспертов, и у меня натурально стул чуть насквозь не прожгло - два из четырёх советуют пользоваться Whatsapp.
я и раньше Whonix не пользовался, но сейчас у меня к нему ещё бОльшие вопросы.
Yes, PGP is bad. what will you use PGP for?

The PGP problem

The PGP problem
latacora.micro.blog
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх