29.10 // Уязвимость в opera: элементарная деанонимизация при работе в Tor
Уязвимость, присутствующая в браузере opera, позволяет деанонимизировать любого пользователя, работающего по http/https, посредством специально сформированной web-страницы, если в настройках не включена опция "использовать прокси для локальных серверов". В opera 9.61 (под Windows) Функция, проверяющая адрес на предмет локальности/удалённости, считает все адреса удалёнными, кроме следующих:
- 10.x.x.x
- 127.x.x.x
- 172.{1,2,3}.x.x
- 192.168.x.x
- произвольная строка, не содержащая точек, например http://qwerty, http://1 или http://1123637608.
Однако, согласно распространённой практике, не являющейся стандартом, адреса вида http://число также могут быть истолкованы как десятичное представление IP-адреса, например: 66.249.89.104 (IP гугла) --> 1123637608 = 66*256^3+249*256^2+89*256+104. Opera, соответственно, расценивает такой адрес как локальный. Итак, если ссылка имеет вид http://1123637608, а опция "использовать прокси для локальных серверов" не включена, то соединение с гуглом произойдёт минуя настройки прокси. Для эксплуатации уязвимости достаточно вставить в HTML-страницу (например, CSS) следующий код:
В этом случае соединение с самим сайтом произойдёт через прокси, а картинка pic.jpg и стилевой файл будет запрошена с гугла напрямую, минуя настройки прокси.
Предположительно, уязвимости подвержены все версии opera. Для нивелирования ошибки в старых версиях opera'ы (информация не проверена!), следует, предварительно выйдя из программы, прописать в файле конфигурации (Opera6.ini или OperaDef6.ini):
Стоит отметить, что включение опции "использовать прокси для локальных адресов" было бы необходимо вне зависимости от наличия указанной выше уязвимости, ибо отсутствие опции открывает путь для атак со стороны злонамеренных серверов локальной сети, среди которых вполне может оказаться и сам узел ISP. Поскольку, как ожидается, у многих эта опция уже была включена из вышеназванных соображений, массовой деанонимизации из-за уязвимости не ожидается.
В качестве противодействия подобному виду угроз, рекомендуется настроить файерволл таким образом, чтобы принудительно отправлять весь трафик с браузера, а также opera mail, только на IP:порт прокси. Естественно, что вышесказанное верно для настроек любой прокси, в том числе и privoxy. Firefox, как утверждается, не подвержен этим уязвимостям, однако аналогичные превентивные меры в отношении как него, так и других программ, работающих с сетью через прокси/Tor, нивелируют последствия от подобных ошибок в будущем. Настройка файерволла для фильтрации по приложениям (например, xauth+authpf+PF+tor в BSD), уже обсудавшаяся на pgpru.com, оказалась как никогда кстати.
Предоставленный материал частично основан на источнике http://eqt5g4fuenphqinx.onion/talk/1783, однако, не подтверждает всех предоставленных им фактов.
Доступ к источнику через гейт с обычного интернета: https://www.awxcnx.de/cgi-bin/proxy1/nph-proxy.cgi/000000A/http/eqt5g4fuenphqinx.onion/talk/1783
Работаю через http-прокси: прямой коннект не удался, как и предполагалось (пров не выпускает иначе чем через прокси).
комментариев: 11558 документов: 1036 редакций: 4118
HTTP-прокси и SOCKS-прокси — это разные люди. Они по-разному DNS резолвят (собственно, HTTP-прокси этим не занимается).
Это стандарт. Там же отмечают, что подобный отход от стандартов может приводить к багам фильтрации на стороне браузера:
А вот что говорит на этот счёт RFC:
Действительно, резолвер резолвит как в винде, так и в UNIX:
А вот логи ltrace:
Стоит отметить, что Linux'овый man по inet_aton вообще молчит по поводу "скрытого функционала", в то время как OpenBSD'шный man честно сообщает:
Итого, это всё похоже на bug-to-bug compatibility.
Почему бы и нет? За подробностями можно обратиться к RFC2616 (Hypertext Transfer Protocol -- HTTP/1.1 ):
Там же сказано:
В RFC1945 (http/1.0) написано то же самое.
Итого, мораль в том, что HTTP-прокси принимает URI, которые могут быть как доменные адреса, так и IP, но IP не рекомендуются.
Не нужно, можете перепроверить. Она не знает что такое локальные имена.
Версии Оперы, до восьмой, не имеют такого интересного функционала, он появился только в момент когда опера стала отделять локальные адреса от остальных и когда появилась опция "Use proxy for local servers". Неизвестный для публики источник "бэкдора", и простой копипастер с коры как он утверждал там, не удосужились это перепроверить. Однако это не умоляет "гениальности" существующей функции просева локальных адресов в современных и теоретически менее бажных версиях оперы.
комментариев: 155 документов: 20 редакций: 5
Кстати, я пару раз пытался выйти в интернет через ТОР, у меня ничего не выходит, даже скачал AnonymOS для этого, просто нет доступа ни к одному из сайтов.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 155 документов: 20 редакций: 5
Проблема в целом ясна. Сколько ни чего не подозревающих пользователей раскрыли свои данные.
Нужно сделать FAQ с комплексом мероприятий по нивелированию уязвимостей в ПО, исходные коды которого не перепроверены авторами TOR
Если уверены в своей правоте – исправьте в тексте. Это wiki – редакции открыты.
А ссылку на подлинный оригинальный пост топикстартер там так и не положил, на core.onion? Они ссылались на какие-то security-рассылки или security-форумы.
зы: есть сервис-гейт на скрытые ресурсы тор? А то тором пока не могу пользоваться..
Там не совсем всё так печально. Раскрыть анонимность можно было только тех пользователей, которых заманили на подставной сайт. Анонимность произвольного пользователя, который не понятно чем занимается под тором и какие сайты посещает, дискредитировать этим способом сложно (если только централизованно, через сайты типа гугла, которыми пользуются все). Я замечал что сайт гугл, открываемый через тор, часто имеет какие-то картинки и навороты в названии, типа наподобие их новогодних акций... то ли так случайно получалось... Скорей всего случайно, ибо случаи изменения содержимого сайтов, открываемых под тором, оперативно регистрируются и впоследствии активно обсуждаются в сообществе, емнип, и тем более если это гугл.
Ещё следует отметить, что на рынке браузеров opera занимает ничтожный процент, и лишь в РФ её доля значительней, но всё равно очень далека от большинства.
Да, в своей-то уверен: тестировал последний билд седьмой оперы, такие запросы шли через прокси. Ежели кто подтвердит, замечательно, хотя может и лишнее. Ибо вот нашлась такая ссылка: http://www.derkeiler.com/Maili.....ev/2001-12/0074.html
Получается опера и ослик ие, как следует из ответов на то письмо, еще семь лет назад переболели этим "бэкдором". Не знаю как ослик, но у оперы по всей вероятности после выздоровления, случился рецидив.
Может исправлять конфиги в старушке седьмой и бессмысленно, ровно как и использовать такой раритет, но в шестой бага могла еще быть, хотя и не факт что исправляемая через конфиги.
В общем если не размениваться на поиск отдельных не бажных билдов, то верное получается замечание:
Ну а тело новости то переводное.
Топикстартер там практически ничего не писал от себя, все в виде цитаты оформлено, двух цитат. И фразы из тех цитат пока в текущих индексах старшего брата не обнаружены.
Находится за 5 минут, гугло-братом :)
Первый работает.
Второй на кору не идет, может там хиден-сервисы побиты как рассадник.