06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
Мало. Один юзер на 7000 жителей страны. В мск их по такой логике (при равномерном распределении) всего-то ≈2000. Хотя там, скорей всего, намного больше — тысяч 10, думаю.
Статистика по ru по тому же файлу: exe — 3081, не exe — 19918. Винды в РФ ровно 13%! Слава pgpru.com! Можно сказать, остался лишь подоходный налог, который платят линуксоиды.
Вообще, люди делают плохую услугу. Мало ли кто захочет поглядеть, что это за сервер на картинке, а потом к ним придут люди в чёрном.
комментариев: 11558 документов: 1036 редакций: 4118
По крайней мере, ещё не все эксплоиты работают без Вайна.
комментариев: 9796 документов: 488 редакций: 5664
Надо grep exe$, чтобы не попадалось exe.asc, кстати видно, насколько мало качают OpenPGP подписи и для каких ОС это чаще (не) делают.
97 пользователей маков ещё.
540/30056
.01796646260314080383
617/105479
.00584950558879018572
2% линуксоидов проверяют подписи и пол-процента виндузятников. Линуксоиды в 4 раза в среднем умнее. :-)
Рунет:
16/3081
.00519311911716975008
37/19918
.00185761622652876794
0.2% линуксоидов проверяют и 0.5% виндовозов. Странная пропорция.
Отсылка на ирландскую статью, ничего интересного. Пишут, что ему инкрименируют 4 вещи: распространение, сокрытие факта распространения, рекламирование и помощь (другим) в сокрытии рекламирования. Журналистский бред какой-то. Без точных документов ничего не сказать.
Момент с российский визой символичен. Это было найдено на его ПК. Значит, он не был шифрован, или они перехватили доступ к ПК в момент, когда он был незалочен. Если кто-то ещё думает, что есть информация, которая безопасна, это наглядный пример обратного: никогда не знаешь, какие безобидные, казалось бы, данные, когда и в какой момент вдруг выйдут боком.
Можно было улучить момент, когда он где-то в публичном месте (говорят, что его взяли на DEFCON-конференции) сидит за своим ПК, после чего заломить ему внезапно руки и прошерстить компьютер. Шифрование и амнезия в этом случае не помогут, как не трудно догадаться.
Судя по некоторым анонсам, он писал в onion, какое железо и сервер он приобрёл. У меня сложилось мнение, что сервер был один и находился в одном месте, но это только догадки. Пишут про его собственную компанию. Эта компания занималась предоставлением хостингов? Тогда он мог хостить сервер у себя же в компании. А другие думают, что сервер был в Румынии, и переводы денег туда были связаны с оплатой услуг за хостинг. Опять остаются одни спекуляции.
Я никогда не слышал, чтоб FH принимал от кого-то плату за сервис, хоть битками, хоть ещё как-то. Если у него была отдельная компания, предоставляющая услуги хостинга, никак не связанная с FH, то почему бы ему не принимать оплату неанонимными способами? Это был обычный легальный бизнес.
В Европе ездят все и много, каждая семья — хотя бы 2 раза в год, это не должно вызывать подозрений само по себе. Румыния находится в еврозоне, кстати, так что всё ещё чище.
Я думаю, что найти местоположение сервера, через который проходит
50%99% всего трафика onion-сети — не большая задача для глобального наблюдателя, имеющего такие ресурсы, как PRISM. Наоборот, я удивлён, что им на это понадобился год. Если сервер найден, задача кардинально упрощается, потому что достаточно определить, от кого поступают регулярные платежи. Полностью анонимная оплата невозможна даже битками, т.к. нал в систему надо где-то неанонимно вводить, а все транзации в биткоинах отслеживаются. Можно цепочку посредников городить, но и её иногда раскручивают. Короче, регулярные платежи очень трудно сделать абсолютно анонимными.В Ирландии, по запросу ФБР, ага. Всё в сети есть сплетни, возможно и имеющие под собой основания. Но фактов, связывающих Ирландский арест и проблемы с FH, нет. Пока это всё FUD, который растиражировали крупные IT издания, приняв заголовок на reddit'е как проверенный факт.
Всё может быть, но кого тогда могли бы подразумевать под самым главным фасилитатором на планете? Других-то кандидатов нет, в этом вся проблема.
Весна покажет, кто гдеВремя покажет.А вот не факт. В интересах суда не разглашать информацию о конкретных адресах и серверах, чтобы не пропагандировать их ещё больше.
Можно подробнее? У них на сайте написано, что они анонимные.