06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
Какие ваши доказательства? Ну кроме факта сообщения на хабре, с этими пациентами зобмоящика и так всё давно ясно.
Даже если всё так и окажется, внезапно, сейчас то откуда такая информация?
На многих сайтах уже просят дисэйблить скрипты, так это желательно всегда делать, несмотря на якобы профилирование.
Инфы на данном этапе маловато, конечно. Думаю, в течение нескольких дней ситуация проясниться. Но по отдельным лоскуткам пока складывается не очень приятное ощущение. Рад ошибаться.
Первоисточник — сайт independent.ie, на него все ссылаются по приведённым ссылкам.
А вот про связь с DEFCON мало что написано, сам не понял.
Sorry, This server is currently offline for maintenance. Please try again in a few hours."
If you saw this while browsing Tor you went to an onion hosted by Freedom Hosting. The javascript exploit was injected into your browser if you had javascript enabled.
What the exploit does:
The JavaScript zero-day exploit that creates a unique cookie and sends a request to a random server that basically fingerprints your browser in some way, which is probably then correlated somewhere else since the cookie doesn't get deleted. Presumably it reports the victim's IP back to the FBI.
Дело в том, что натыкаясь на подобные этому ответы сервера, никаких скриптов на странице не было. Мне не попались ни разу, наверно я везунчик.
Сейчас некоторые сайты, не будем акцентировать внимание на направленности ресурсов, отдают то такой ответ в стиле 503, то нормально отображаются, правда, некоторые со скриптами. Как было до этих событий — не знаю, раньше не особо интересовался, сейчас же скрипты где-то есть, где-то нет. Какие-то ресурсы вообще не отвечают.
Как вы это определили? Сайт может смотреть, какие фичи есть у браузера: если есть JS, отдавать одну страницу, если нет, то другую. Сайты, принудительно требующие JS в onion (иначе контент не будет показываться) — единичные явления, видел такое от силы пару раз.
Я бы посоветовал до прояснения ситуации не шастать по onion-сайтам, если только у вас не double VPN + Tor в затюнингованной виртуалке, где вы полностью отдаёте себе отчёт в том, что делаете.
Ничего страшного не вижу в серфинге онионлэнда. Равно как и не вижу особого смысла в данном случае в даблвпнах и виртуалках. За меня не переживайте. А вот админа, владельца или дропа жалко, если угроза имеет место быть реально. Пока не совсем понятно, что же все же произошло, в коммьюнити паника, судя по сумбурным каментам, идет разбор скриптов, мнения разные и т. д. Я за попкорном, вам захватить?
Там нет указания на FH, Tor, и скрытно-сети.
комментариев: 11558 документов: 1036 редакций: 4118
Анализ экслоита
комментариев: 9796 документов: 488 редакций: 5664
В блоге анонимы пишут, что эксплойт работает против нового FirefoxFF v17, на котором собран JonDoFox и Tor Browser 3.0 alpha. В этом FF новый движок JS, которого нет в стабильной версии TBB. Ещё есть споры по поводу того, что часть эксплойта, которая исполняет произвольный код (в отличие от той, которая только манипулирует cookie и перенаправлением запросов на адреса), неспособна сработать в не-Windows системах.
Стабильную на данный момент версию TBB эта уязвимость вроде как не затрагивает. Но официальных коментов пока нет, да и вариантов эксплойта может быть несколько.
Shellcode
Tor Browser-3.0alpha2 состоит из того-же 17.0.7esr. Если стабильная не затрагивается, то и альфа от 30 июня 2013 тоже не подвержена уязвимости.
Вот эти три коммента интересны: [1], [2] (было на pgpru в новостях), [3]. Интересно, после этой новости TBB-девы отключат JS или им до сих пор неймётся?
А я понял так, что затрагивает. Детального разбора ситуации пока нет, есть только те или иные мнения со сравнительно поверхностным анализом происходящего.
Классическое превращение слуха в новость. Подробности появляются напрямую из астрала. Вот уже как, оказывается пофикшенная бага в браузере позволила поймать хостера.
В ирландской газете было сказано что он главный facilitator понятно чего. Сразу после этого начались проблемы на FH. Корреляции не доказывают, но прозрачно намекают на тесную связь событий.
Держите в курсе происходящего, да.