06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
чукча писательанон даже текст новости не может прочитать?А нахрена анону это знать? Анон знает, что бублоидов имеют через багу, неактуальную для нормального ржаволиса.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Это скорее к вопросу, что простое отключение JS ещё во вногих случаях не спасёт.
На момент атаки в составе актуальной версии TBB устаревшего (непатченного) браузера не было (не считая беты-2).
Вот ещё дырка во всех браузерах. Она заложена в принцип тайминга рендеринга, фиксить её, скорее всего, никто не будет. А список посещённых сайтов, вводимая информация и пр. также улетают наблюдателю со свистом. Хотя скорее со скрипом, т.к. атака трудоёмкая.
+1
Тяжёлая статья, много воды, повторений, а почти вся суть в огромном наборе умозаключений, которые никак не связаны в единую картину. Даже не понятно, что и где сработает, что нет, что отрепорчено, что считается фичей, а не багом. Если я понял правильно, то во всей работе предполагается, что следующее возможно:
Там же пишется, что это модная фича Web 2.0. Её можно как-то отключить совсем? Если да, то это будет нивелировать всё, о чём пишут авторы, или только отчасти?
Ещё упоминается бесскриптовый кейлоггер, но детали его совершенно непонятны. Т.е. звучит так, как будто любой сайт X может узнать всё, что вводить любой пользователь на сайте Y, если этот пользователь посещает как X, так и Y (а, может, и это излишне). Звучит фантастично, но деталей не вижу, текст большой. Их библилографическая ссылка [18] на чей-то кейлоггер требует JS.
Как я понял, без JS она не сработает. А принцип в чём? Разные сайты требуют разное время на отрисовку, и посторонний сайт может узнать, какие сайты сейчас открыты или были открыты ранее? При чём тут вводимая информация, не очень понял, хотя, наверно, как-то можно связать атаку и с ней.
P.S. Про проблему, что новый веб антагонистичен приватности, ещё давно говорилось. В сторону болота тянут аргументы о том, что пользователи хотят посещать современные сайты, использующие современные технологии, и при этом анонимно. Т.е. аргументы о том, что собственный внутренний безопасный интернет типа onion никому не нужен. В противоположную сторону тянет осознание того, что болото есть болото, и над антианонимностью работает индустрия из тысяч веб-разработчиков и веб-гигантов, которые диктуют свои условия всем и каждому, а на анонимность и приватность им наплевать.
Не все вопросы в жизни могут быть решены техническими средствами. Если за встраивание систем тайной слежки в веб-сайты их владельцам ничего не грозит, это будет везде и повсеместно. Если бы с этим злом боролись так же, как с цифровыми подписями, о возможности подобных механизмов в сайтах никто бы даже не узнал, а веб-разработчики шарахались бы при одном только упоминании об использовании этих методов. Каждый бы миллион раз подумал, стоит ли ему с этим связываться. Во всяком случае, официальные сайты коммерческих компаний обязаны соблюдать законы о защите прав потребителей, и их было бы можно к этому принудить.
Да, но как часто его обновляют? Автоапдейта там же нет.
Раз вонь поднялась, значит, кого-то пробили.
комментариев: 9796 документов: 488 редакций: 5664
Шум поднялся, потому что многие со стороны заметили аномалии на сайтах FH и начали всенародными усилиями их анализировать, а не так, как вы это представляете, будто кого-то пробили и он пошёл везде жаловаться.
Пишут, что Tails атака не коснулась, но был ли Tails уязвим? Судя по описанию, уязвимость кроссплатформенная, а, значит, и против Linux-версий могла ранее тайно использоваться.
Как соотносится актуальная версия TBB с версией, входящей в Tails? Всегда ли в Tails самая актуальная версия TBB? Была ли в Tails актуальная версия TBB на момент атаки, описываемой в новости? В принципе, TBB показывает уведомление, если он самый свежий, но вдруг в Tails это уведомление отключено...
Буду благодарен, если кто-то найдёт время ответить на эти вопросы.
Говорят, что на Win наблюдался крэш FireFox. Была ли версия FireFox уязвимой — не уточняется.
Где тот гость, который несколько страниц орал в треде, что связь с FH с Маркесом недоказана, и что взлом мог совершить, кто угодно?
По ссылкам ссылок, тех. детали:
Наверно, у него были опции сброса пароля. Или мог хостинг-компании позвонить.
Деньги приличные, ничего не скажешь.
Наверно, это они имеют в виду, что столько HS той самой категории хостилось на FH.
По всей видимости, FH был во Франции.
Хостинг покупался у левой хостиговой компании на рисованный паспорт.
Т.е. выпуск под подписку о невыезде мало что ему даст.
Новость от 12-го числа. Решение об экстрадиции уже известно?
Видимо, последнее страхующее звено безопасности не сработало, раз сканы паспорта всё-таки нашли и результаты его гуглопоиска тоже нашли. Не может не напомнить:
Далее:
А судье он доказательства кроме слов предоставил? Правда, если предположить, что его компьютер был захвачен в неудачное время, то проблем с доказательствами не будет, если факт имел место.
Что за сейриник?
Экстрадикции ему придётся долго ждать.
JS был CIPAVом, который отсылал юзеров на всё те же unallocated-сервера всё в той же Вирджинии — технология, которую ФБР использует уже минимум десятилетие, собираемые при этом данные тоже достаточно стандартны.
Жаль, не понять, как его вычислили. Могли, конечно, воспользоваться человеческой беспечностью и социнженерией — послать ему ссылку так, чтобы он открыл не через Tor, или ссылку, эксплуатриующую уязвимость браузера, в надежде, что у него нет подстраховок (виртуалок, файерволла и т.п.). Есть ли какая-то связь между денежными транзакциями и его деятельностью с FH — тоже неясно.