id: Гость   вход   регистрация
текущее время 23:27 28/03/2024
Владелец: spinore (создано 17/06/2009 02:45), редакция от 17/06/2009 11:59 (автор: unknown) Печать
Категории: софт, анонимность, приватность, анализ трафика, прослушивание коммуникаций, ошибки и баги, уязвимости, атаки, побочные каналы, закрытый софт
http://www.pgpru.com/Новости/2009/ТривиальныйОбходНастроекПроксиВOpera
создать
просмотр
редакции
ссылки

17.06 // Тривиальный обход настроек прокси в Opera


Не много времени прошло с предыдущей новости о деанонимизации Opera при определённых настройках сети, как стало известно о куда более плачевном положении дел: возможности деанонимизации при заходе на ссылку вида nntp://. Вставка блока наподобие



в код отображаемой страницы позволяет узнать реальный IP-адрес пользователя. Таким образом, деанонимизация происходит при использовании абсолютно штатных средств, что стало возможным лишь вследствие отсутствия должного понимания функционала, имеющегося в браузере. Стоит отметить, что на уязвимость стиля "браузер поддерживает больше протоколов, чем позволяет проксифицировать" уже указывалось ранее, только вместо Opera фигурировал links, а вместо nntp – https (возможно, сейчас ту брешь уже закрыли). Остаётся только догадываться сколько ещё тайных подводных камней касаемо браузеров могут быть известны узкому кругу людей, эксплуатирующих их для деанонимизации. Кроме того, Opera поддерживает и другие протоколы, типа torrent, которые также не проксифицируются посредством стандартных меню, что, возможно, также позволяет деанонимизировать пользователя, заставив его щёлкнуть по подставлной ссылке (в данном случае, по умолчанию, опера выводит окно настроек для torrent по клику на такую ссылку).


Firefox предварительно считается не подверженным указанной уязвимости, так как в умолчальной поставке не поддерживает протокол nntp. Впрочем, в firefox могут быть и другие уязвимости подобного рода.


Это ещё одно подтверждение тому, что не следует полагаться на надёжность настроек на стороне браузера, а следует настраивать "прозрачную проксификацию" средствами firewall'а.


Спасибо Гостю за обращение внимания общественности на данную уязвимость. Исчерпывающие подробности относительно опубликованной новости не до конца ясны (почему об этом не предупреждали разработчики OperaTor – неужели они не знали функционал Opera? Какие версии подвержены уязвимости? Почему так получилось, что об ошибках такого рода, лежащих на поверхности, ничего не сказано на официальном сайте Tor? И т.д.), потому имеется просьба исправлять неточности в тексте новости по мере их обнаружения.


PS: я не стал писать никаких слов про следующую из представленной информации деанонимизацию при использовании Tor, так как это лишь частный случай прокси.


Источник: /comment31168 с отсылкой на демонстрационный сайт на скрытом ресурсе Tor


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— spinore (17/06/2009 03:03)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Вспоминается старое:

Кстати, unknown, а вас никогда не ломали/копрометировали?

Я каждый раз убеждаюсь и самостоятельно, и с чужой помощью, как легко это можно сделать в любой момент, что давно надоело относиться всерьёз ко всему этому "security theater".

© Нет на свете правды: ни в ИБ, ни в защите от.
— SATtva (17/06/2009 08:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Почему так получилось, что об ошибках такого рода, лежащих на поверхности, ничего не сказано на официальном сайте Tor?

Это не совсем так:

Tor only protects Internet applications that are configured to send their traffic through Tor — it doesn't magically anonymize all your traffic just because you install it. We recommend you use Firefox with the Torbutton extension.
— Гость (17/06/2009 09:45)   <#>

почему об этом не предупреждали разработчики OperaTor – неужели они не знали функционал Opera? Какие версии подвержены уязвимости? Почему так получилось, что об ошибках такого рода, лежащих на поверхности, ничего не сказано на официальном сайте Tor?


Хочу особо подчеркнуть, позиция The Tor Project, Inc. об о Opera+Tor неоднократно освещалась (к примеру в блоге). Они не изучали ни просто Опера ни каких-бы то нибыло сборок на её основе, поскольку у них нет желания и законных возможностей тратить свое время на закрытый код Оперы.

Ошибки подобного рода, как можете заметить, выходят немного за рамки того, что исследуется Тор проектом. Разработчики тора пишут Tor, а не браузер, пусть даже такой как FireFox. Впрочем осознавая, что тор может быть сколь угодно безопасным, но дырявые браузеры могут всё испортить, разработчиками Tor неоднократно делались попытки повлиять и на безопасность окружений в которых работают пользователи. Помимо предупреждений на сайте, в рамках проекта Tor было разработано и реализовано расширение для Firefox. Которое направлено на блокирование отдельных элементов функциональности в браузере, для сохранения анонимности пользователя. Весь этот могучий механизм поместили в уже существовавшую на то время оболочку простого расширения.

Torbutton — официально рекомендовано к обязательному использованию при работе через Tor. Расширение блокирует более чем солидный список фич, и нивелирует отдельные баги, лисы. Возможно конечно существование каких-то ну очень приватных фич в лисе (баги наверняка существуют, увы), которые неизвестны публике, но все другие, включая трюки с URI из новости — Torbutton знает (он предупретит пользователя, впрочем у того есть воля отказаться от всех последующих предупреждений).

Против всего того что неизвестно публике и разработчикам Тор, в рамках же проекта разрабатывается TorVM. Он направлен в первую очередь на помощь виндопользователям. Но у никс людей уже есть мощный аппарат по редиректу всего своего ip трафика. Впрочем это уже обсуждали, да.

P. S. Писал долго, SATtva всё этого же выразил короткими цитатами.
— Гость (17/06/2009 18:03)   <#>
Уважаемые Лисовладельцы с окошками (Firefox под виндоус), теперь и на вашей улице праздник. На указанном в новости демонстрационном сайте, вас ожидают призы и подарки, акробаты и клоуны. Спешите видеть!
(В действительно это еще ничего не означает, но вы очень поможете, если сходите и проверитесь, а результатом с описанием: "как под чем с чем и куда и что получилось", поделитесь здесь. Спасибо!)
— Гость (18/06/2009 02:47)   <#>
Уважаемые Лисовладельцы с окошками

http://www.tellicoimages.com/sitebuilder/images/arctic_fox1-600x401.jpg

Песец то хоть неполный?
— spinore (18/06/2009 03:21)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
вы очень поможете, если сходите и проверитесь

У меня под ff проверить возможности нет, тем более под виндой.
А что, под другими ОС и с TorButton работать уже не будет? Слабовато, если так, бо здесь под виндой мало кто сидит, имхо. И всё же интересно, на чём "эффект" сидит в ff(?).
— spinore (18/06/2009 03:33)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Это не совсем так:
...
P. S. Писал долго, SATtva всё этого же выразил короткими цитатами

Это всё понятно, но я имел в виду несколько другое. Есть всего 3 достаточно распространённых браузера: Firefox, IE и Opera. На сайте тора была официальная инструкция по их торификации (изначально). Наверное, неявно предполагалось, что те, кто писали инструкцию, гарантировали, что известных согласно документации способов обхода прокси в браузерах нет (хороший пример: про то, что Java и Flash потенциально легко позволяют обойти настройки прокси писалось открытым текстом и везде где можно). Потом вдруг оказывается, что такие способы есть, и, более того, они вполне легитимны, т.е. очевидны любому, кто тщательно читал документацию на браузер. Если я правильно понимаю, то дело здесь нисколько не в закрытом коде, т.е. Opera-team и не скрывали что браузер работает с nntp, а потому возникает вопрос: почему писавшие инструкцию писуны банально не озаботились получением полного списка официально поддерживаемых браузером протоколов? Дело исключительно в безолаберности и неаккуратности: проблема лежала на поверхности и была тривиально предсказуемой. И да, TorButton появился не так давно, а инструкции по торификации стандартных браузеров были в ещё незапамятные времена. Я к тому, что с аргументацией в целом согласен, но есть ряд "но" и ответственности со стороны составлявших официальные инструкции.
— Гость (18/06/2009 08:45)   <#>

И всё же интересно, на чём "эффект" сидит в ff(?).


Всё дело в окошках. Ну и немного багов в лисе. Песец не худой, в окошках (но не в этом примере, хотя наверняка возможно углУбить и этот эффект)
— Гость (18/06/2009 09:12)   <#>

почему писавшие инструкцию писуны



ответственности со стороны составлявших официальные инструкции.


Возможно, да. Хотя вот единственный случай официального упоминания Оперы. https://www.torproject.org/docs/tor-doc-web.html По моему мнению на инструкцию, по гарантировании от протечек, это вообще не походит, кратенько описали где найти настройки прокси во всех популярных некогда браузерах. Кстати если уж сокрушаться, то надо поставить ввину упоминание IE без сопроводительного жирным красным предупреждения об его использовании. Более того на той страницы не упомянули вообще о каких бы то нибыло протечках, ни даже яву с флэшом не вспомнили.
— Гость (18/06/2009 09:21)   <#>

надо поставить ввину упоминание IE без


Не тем местом читал, заранее настривался на красное и жирное, извиняйте. Есть сопроводительный текст: не советуют использовать IE. Но тогда читаем всё с самого начала:

Если вы используете Firefox (мы рекомендуем), вам не нужна эта страница. Просто установите плагин Torbutton, перезапустите браузер, и всё готово


Рекомендуют страницу не читать, да.
— spinore (18/06/2009 14:30)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Просто установите плагин Torbutton, перезапустите браузер, и всё готово
...
Песец не худой, в окошках (но не в этом примере, хотя наверняка возможно углУбить и этот эффект)

С TorButton оно под окошками будет работать? Или надо ограничиться лишь конвенциональным прописыванием прокси?
— Гость (18/06/2009 16:24)   <#>

С TorButton оно под окошками будет работать? Или надо ограничиться лишь конвенциональным прописыванием прокси?


Есть такие опасения (вполне реальные) что будет оно работать под 3-им лисом в окошках при любом положении переключателя в Torbutton. По причине того, что FF3 забил на собственные же настройки и забыл рассказать это разработчикам расширений (как минимум одного расширения). Тут вопрос в другом, что просто передать из браузера на обработку какой-либо урл (ссылка на ньюзы или поточное видео на внешний плеер) это удобно, но до тех пор пока не случаются окошки. Впрочем даже если пофиксить такой путь, у черных вязанных шапочек еще есть шансы, отправить запрос на доступ к ресурсам обработчику вне браузера, и это не всегда были есть и будут баги, а просто очередные концептуальности.

P. S. Хостинг на скрытом рисурсе слишком скрытный. Весь день не отвечает, однако.
— SATtva (18/06/2009 19:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
P. S. Хостинг на скрытом рисурсе слишком скрытный. Весь день не отвечает, однако.

Очень, да. Со вчерашнего вечера не могу достучаться.

[offtopic]
Гость, Вы увлекательно пишете. :-) Наверное, не я один так думаю.
[/offtopic]
— DDRTL (18/06/2009 22:31)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Не так страшен черт как его малюют)
— Анонимус (19/06/2009 16:41)   <#>
не совсем понимаю, каким боком это коснется тех, кто действительно заботится о безопасности и идентити своей системы

банальная схема
deny all

allow OUT remote host localhost, remote port x (privoxy daemon)

allow IN from localhost to local port x
allow OUT remote port http, https, ftps
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3