Tails 1.1 wydany, 0day w Tails

We wtorek pojawiła się informacja o tym, że wydana została wersja 1.1 dystrybucji live Linuksa ułatwiającej zachowanie anonimowości w internecie poprzez użycie sieci Tor. Dużą zmianą jest zmiana wersji Debiana, na której Tails bazuje. Do tej pory był to Squeeze, obecnie jest to (w końcu!) Wheezy. Tradycyjnie sporo aktualizacji bezpieczeństwa. Nowy obraz iso jest większy o ok. 60 MB od poprzednika.

Skoro o aktualizacjach bezpieczeństwa mowa, to autorzy dystrybucji napisali o rzekomo odkrytych błędach 0day w dystrybucji. Wszystko wskazuje na to, że faktycznie istnieją. Błędy póki co nie zostały im ujawnione, ale ma to nastąpić w ciągu tygodnia. Otrzymali również zapewnienie, że błędy nie zostaną opublikowane, dopóki nie zdołają ich naprawić, a użytkownicy będą mieli szansę na aktualizację oprogramowania:

They informed us that they would provide us with a report within a week. We’re told they won’t disclose these vulnerabilities publicly before we have corrected it, and Tails users have had a chance to upgrade. We think that this is the right process to responsibly disclose vulnerabilities, and we’re really looking forward to read this report.

Tymczasem można pobrać wersję 1.1, która – jakkolwiek podatna – posiada naprawione inne błędy.

Dell deanonimizuje Bitcoiny

Niedawno Dell ogłosił, że akceptuje transakcje przy pomocy Bitcoin. Mało tego, dają 10% rabatu na transakcje z użyciem BTC (do $150). Na pierwszy rzut oka jest to dobra wiadomość dla sympatyków BTC i popularyzacji Bitcoin ogólnie, ale mi się od razu zapaliły lampki ostrzegawcze. W szczególności:

We’re piloting bitcoin, the world’s most widely used digital currency, as a purchase option on Dell.com for consumer and small business shoppers in the U.S.

Czemu tylko USA? Jedną z wad Bitcoin jest możliwość prześledzenia całej historii przemieszczania się waluty, czyli zupełna kontrola przeprowadzanych transakcji. Zamawiając sprzęt z dostawą, wiążemy konto BTC (przynajmniej jedno z kont) z naszą tożsamością.

Oczywiście U.S. only może wynikać z tematów formalnych, prawnych czy organizacyjnych, ale zastanawiam się, czy nie wiąże się z łatwością/jakością śledzenia lub obszarem zainteresowania. W sumie rozsądniej byłoby zbierać dane globalnie, nawet obarczone jakimś błędem.

Oczywiście anonimowość (pozorna?) to tylko jeden z aspektów kryptowalut. Niekoniecznie najważniejszy.

Hazard z użyciem Bitcoin – 100 BTC do wzięcia

Dawno temu pisałem, że można obejść ustawę hazardową za 5 euro miesięcznie. Stare dzieje. Powstały już serwisy, w których można uprawiać hazard i zakłady z użyciem Bitcoin, co doda kolejną warstwę anonimowości. Bo przecież niekoniecznie na blokadzie stron by się kończyło, a transakcje między wskazanymi kontami łatwo sprawdzić…

W każdym razie do ogródka powody do delegalizacji Bitcoin wpada kolejny kamyczek. We wcześniejszym wpisie można poczytać o wadach Bitcoin.

O całości piszę, bo serwis Cloudbet, który prowadzi hazardowo-zakładowy biznes, zrobił ciekawą zabawę związaną z nadchodzącym Pucharem Świata w Brazylii. Wystarczy założyć u nich za darmo konto i poprawnie typować zwycięzców poszczególnych spotkań i można wygrać 100 BTC (dead link). Czas na rejestrację do 12 czerwca. Wygląda, że no strings attached (pewnie poza spamem na podanego im maila ;-)).

Nie żebym promował/popierał specjalnie, bo nie mam złudzeń, to im się opłaci w postaci wciągniętych w niecny proceder hazardu duszyczek. Ale 100 BTC tak czy inaczej do wzięcia, więc tradycyjnie kibicuję wykorzystującym słabości systemu (powiedzmy, że taki metasport). Swoją drogą ciekawe, ile energii poświęconych będzie na wykrywanie nadużyć i jakie techniki będą stosowane. Niezły test na zachowanie anonimowości (w sumie bardziej: fałszywej tożsamości) w praktyce.