openPGP в России / Новости / 2008 / Уязвимость в opera: элементарная деанонимизация при работе в Tor

29.10 // Уязвимость в opera: элементарная деанонимизация при работе в Tor

Уязвимость, присутствующая в браузере opera, позволяет деанонимизировать любого пользователя, работающего по http/https, посредством специально сформированной web-страницы, если в настройках не включена опция "использовать прокси для локальных серверов". В opera 9.61 (под Windows) Функция, проверяющая адрес на предмет локальности/удалённости, считает все адреса удалёнными, кроме следующих:

10.x.x.x
127.x.x.x
172.{1,2,3}.x.x
192.168.x.x
произвольная строка, не содержащая точек, например http://qwerty, http://1 или http://1123637608.

Однако, согласно распространённой практике, не являющейся стандартом, адреса вида http://число также могут быть истолкованы как десятичное представление IP-адреса, например: 66.249.89.104 (IP гугла) --> 1123637608 = 66*256^3+249*256^2+89*256+104. Opera, соответственно, расценивает такой адрес как локальный. Итак, если ссылка имеет вид http://1123637608, а опция "использовать прокси для локальных серверов" не включена, то соединение с гуглом произойдёт минуя настройки прокси. Для эксплуатации уязвимости достаточно вставить в HTML-страницу (например, CSS) следующий код:
img src=http://1123637608/img/pic.jpg link rel="stylesheet" type="text/css" href="http://1123637608/style.css"
В этом случае соединение с самим сайтом произойдёт через прокси, а картинка pic.jpg и стилевой файл будет запрошена с гугла напрямую, минуя настройки прокси.

Предположительно, уязвимости подвержены все версии opera. Для нивелирования ошибки в старых версиях opera'ы (информация не проверена!), следует, предварительно выйдя из программы, прописать в файле конфигурации (Opera6.ini или OperaDef6.ini):
Use Proxy On Local Names Check=1

Стоит отметить, что включение опции "использовать прокси для локальных адресов" было бы необходимо вне зависимости от наличия указанной выше уязвимости, ибо отсутствие опции открывает путь для атак со стороны злонамеренных серверов локальной сети, среди которых вполне может оказаться и сам узел ISP. Поскольку, как ожидается, у многих эта опция уже была включена из вышеназванных соображений, массовой деанонимизации из-за уязвимости не ожидается.

В качестве противодействия подобному виду угроз, рекомендуется настроить файерволл таким образом, чтобы принудительно отправлять весь трафик с браузера, а также opera mail, только на IP:порт прокси. Естественно, что вышесказанное верно для настроек любой прокси, в том числе и privoxy. Firefox, как утверждается, не подвержен этим уязвимостям, однако аналогичные превентивные меры в отношении как него, так и других программ, работающих с сетью через прокси/Tor, нивелируют последствия от подобных ошибок в будущем. Настройка файерволла для фильтрации по приложениям (например, xauth+authpf+PF+tor в BSD), уже обсудавшаяся на pgpru.com, оказалась как никогда кстати.

Предоставленный материал частично основан на источнике http://eqt5g4fuenphqinx.onion/talk/1783, однако, не подтверждает всех предоставленных им фактов.
Доступ к источнику через гейт с обычного интернета: https://www.awxcnx.de/cgi-bin/proxy1/nph-proxy.cgi/000000A/http/eqt5g4fuenphqinx.onion/talk/1783

На страницу: 1, 2, 3, 4, 5 След.

Комментарии [скрыть комментарии/форму]

—	*Гость* (03/09/2010 08:38) <#>

Не знаю. Здесь вот кто-то жаловался, что никак не может отключить: Несанкционированный Трафик Opera.

—	isuser (04/09/2010 06:43) <#>

Пусть попробует как я написал в operaprefs.ini и будет ок.
Дело в том,что адреса,куда лезет опера известны и принадлежат различным примочкам оперы.А панику поднимают те кто лениться иногда почитать "доки-факи" .Opera mini для мобил работает через серваки типа *.opera-mini.net и разумеется "privacy" ноль ,но никто не возмущается.На самом деле для меня функции Opera не плохи и удобны,но реализовать их надо в виде плагинов,чтобы в коде самой оперы
и в помине не было автообнвления,проверки на мошенников и т.д. и тогда особо впечатлительные
могли бы просто сносить плагины и радоваться :-)ИМХО .Кстати примочка опера-турбо на модеме реально увеличивает скорость и вся эта тема работает через серваки оперы ,типа как в мини для мобил. Вообщем как-то так хотелось высказаться
:-)

—	*Гость* (04/09/2010 14:34) <#>

Для Opera'ы, как и для любого closed source, всегда существует вероятность что что-то вы не учли (типа она ломится на определённые IP раз в несколько месяцев из-за того-то и того-то) в процессе наблюдения за её поведением, и это однажды внезапно нарушит вашу privacy. Именно поэтому всё такое — wrong way.

—	isuser (05/09/2010 01:00) <#>

Вероятность и в open source не меньшая,я пробовал капаться в чужих исходниках и пришел к выводу,что если надо и в open source можно внести таакую неразбериху(например надо скрыть закладку),что в течении года хрен найдешь гадость.Не зря же в Linux все находят и находят уязвимости,а ведь код там неплохо структурирован,но всеж пропускают дыры и коды доступны миллионам программеров.Так что для меня не уязвимого софта не существует,поэтому надо СТРОИТЬ оборону,а не полагаться на OPEN SRC Ну а если не хочешь или лень учиться,некогда и т.п. жди неприятностей чаще,чем при построенной обороне :-)
з.ы кстати в 10.70 появилась геолокация,которая тоже деаномизирует IP .А описывая настройки operaprefs.ini забыл упомянуть (это я к тому,что надо изучать возможности софта постоянно,а не однократно).
[Geolocation]
Enable geolocation=0
Ну а наблюдая и читая логи FW за последние 2года я не видел ,чтоб в Opera ,были закладки,хотя она может спит до часа Х,например войны с Норвегией :-).

—	*Гость* (05/09/2010 01:50) <#>

Не зря же в Linux все находят и находят уязвимости,а ведь код там неплохо структурирован,но всеж пропускают дыры и коды доступны миллионам программеров.

Так их находят не потому, что там закладки — это всего-навсего банальные ошибки программеров. И вероятность обнаружения ошибки в opensource куда выше, чем в проприетарном коде, да и в сам код народ время от времени смотрит. Насчёт ядра Linus всё уже сказал: "Linux должен быть в среднем хорош во всём", и "Мы не обезьяны, мастурбирующие на бзеопасность". Именно поэтому у "обезьян" дыры обнаруживаются несколько реже :)

—	isuser (05/09/2010 03:36) <#>

Так их находят не потому, что там закладки — это всего-навсего банальные ошибки программеров

-:)))))))))))))))))) из-за банальности и происходят взломы !!!!!

ООО!! Я не о Linux говорил.Господи,бляха-муха, моя ошибка линукс тронуть.Кошмар. Почитайте мой коментарий повнимательнее и не вырывайте из контекста ,О чем я говорил. Охренеть,цитатами от "бога" Линуса Т. пошли сыпать (он же сам так о себе говорит).
Как обычно с Оперы на Линух.
з.ы. Вы знаете я уважаю Slackware и WinXP,обе среды стоят на компе.
Каждая делает свою работу на 4 и 5 доволен обеими средами .Спорить про Опен-клоз сырцы – глупо и бесполезно.Я сторонник того ,что мир полярен и всегда будет "-" и "+" иначе хана !!!!
Успехов и до свидания бай бай !!!!

—	*Гость* (05/09/2010 04:03) <#>

Вы знаете я уважаю Slackware и WinXP, обе среды стоят на компе.
Спорить про Опен-клоз сырцы – глупо и бесполезно.

Понятно. Вопросов больше нет.

—	*Гость* (05/09/2010 15:44) <#>

Спорить про <что угодно> – глупо и бесполезно, поскольку мир полярен и всегда будет "-" и "+" (т.е. что-то хуже, а что-то лучше). Успехов и до свидания, гы гы )))

—	*Гость* (05/09/2010 17:07) <#>

~~Спорить~~ Рассуждать и думать про <что угодно> – глупо и бесполезно, поскольку всегда будут альтернативные мнения.

—	*Гость* (06/09/2010 17:57) <#>

Закрыты все порты,кроме 8118,9050

Если порты закрыты физически, то "чуда не будет" — только вот у многих ли пользователей Tor они закрыты?

Вот интересно, isuser ограничивал ли браузер одними лишь локалхостовыми адресами или кроме портов ничего не запрещалось, и запрос из браузера может теоретически так "обойти" прокси, что не застрянет на файрволле желая подключения к адресу google.com:8118?

—	*Гость* (06/09/2010 19:32) <#>

Вот этого правила достаточно для описания всего трафика, порождаемого заанонимизированным пользователем tor_user на PC (всё остальное для него запрещено):
pass out on lo0 inet proto tcp from localhost to localhost port {8118,9050} user tor_user

—	unknown (09/12/2010 22:11, исправлен 09/12/2010 22:12) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

http://archives.seul.org/or/talk/Dec-2010/msg00068.html

a warning for using Google Chrome, Safari or other Webkit based browsers
with Tor. Because of a bug in the FTP proxy settings user can
deanonymized by FTP links.
The Anonymity test of JonDonym checks FTP connections too and you can
test it very simple. See:

http://what-is-my-ip-address.a.....s-proxy-servers.net/

JonDos has published a warning for JonDonym users,

https://anonymous-proxy-server.....leak-IP-address.html

May be, Torproject.org can blog a warning for Tor users too.

Greetings
Karsten N.

http://archives.seul.org/or/talk/Dec-2010/msg00069.html

Let me be even broader: if you want to be safe, you must never use Tor
with any browser except Firefox, and you must also use Torbutton. If
you don't do both, you can lose from a wide variety of application-level
attacks.
See also
https://www.torproject.org/download/download#warning

– - Roger

Вот такая официальная позиция Роджера по вопросу по поводу браузеров, не исследуемых на безопасность Tor-прожектом. Времена, когда можно было надеяться на privoxy, прошли.

—	*Гость* (10/12/2010 15:57) <#>

Позиция Роджера понятна.
А вот когда и в чем провинился privoxy не очень.Можно об этом подробнее?
privoxy+tor:
Аrora не то чтобы не проходит вышеуказанный тест на JonDos,но просто отказывается его проходить )
privoxy+tor-torbutton:
тест Firefox на JonDos ничего подозрительного не выявил.
Может кто-нибудь поделиться своими наблюдениями?

—	unknown (10/12/2010 17:01, исправлен 10/12/2010 17:53) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>когда и в чем провинился privoxy не очень.Можно об этом подробнее

Да ничем таким. Он просто перестал быть актуальным. Поначалу думали лишь о заворачивании трафика через локальный прокси в Tor и о борьбе с утечками DNS-запросов, вот privoxy активно и советовали.

А сейчас понятно, что он принципиально не фильтрует https, не приводит пользователей к единому профилю, так как не синхронизируется с проектом Tor и т.д. Так что связка "абы-какой браузер + privoxy" может не прокатить.

—	*Гость* (10/12/2010 19:25) <#>

Коль скоро privoxy "в связях порочащих не замечен",то надеяться на него можно,имхо.

Он просто перестал быть актуальным.

для разработчиков Tor-прожекта,что огорчает,ибо
инструмент гибкий и альтернатива кнопке 'сделай мне гут'.С другой стороны,дай им сил укротить такого монстра,как FF.
А кто фильтрует https и так ли важно приводить пользователей к единому профилю?
Подмену useragent по https умеет,к примеру, User Agent Switcher,(FF's extension).
Ничто не мешает прописать торбатоновские(как и любые другие) значения в нем и в конфиге привокси.

На страницу: 1, 2, 3, 4, 5 След.

Ваша оценка документа [показать результаты]