06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
На профилирование, насколько я понимаю, всем теперь плевать? Что делать пользователям, которые не бегают по скрытым сервисам, сидят с Debian-a и которым нужна только анонимность?
комментариев: 9796 документов: 488 редакций: 5664
Уязвимы были только старые версии TBB. Применялась ли это атака во времена их актуального использования — неизвестно.
Как и ожидалось.
У вас ещё не настроен файрволл, роутер или виртуалка для прозрачной торификации?
Тогда ждите новых дыр в FF:
Для тех, кому очень хочется отключить JS, хотя нет проблем сделать это и сейчас:
Винда — кривое решето:
Использование дырок конкретно JS ограничивается фантазией дыркоискателей. Просто пока им проще использовать его. Но есть неисчерпаемый потенциал для всего остального. К тому же, срабатывание этих дырок зависит от окружения ОС.
Если сидеть только в онионах, то практически да. Хотя, если все такие онионы хостятся в одном месте — то это бред. Если ходить через тор в открытый интернет, то одинаковый профиль псевдонима будет ярко светиться на всех экситах, сотрудничающие из которых соберут более обширную историю его похождений, чем просто за один десятиминутный обрывок сеанса.
В отличие от вас, даже порой высказывая противоположную точку зрения, я понимаю ту долю истины, которая стоит за высказываниями «этих».
Ищите офицеров в других местах, здесь для них слишком трудно. Дебил не способен понять, что не только исполнение произвольного кода, но и профилирование, в конечном счёте, ведёт ко всё той же деаононимизации, которой все опасаются. Поставьте себе уникальные настройки, сообщайте всем, что вы
на OpenBSDс JS и ждите, когда объём информации о вас и ваших похождениях накопится до такой степени, что полный деанон станет только вопросом времени. Итак, есть два эффекта, оба ведут к одной антицели — деанону, причём нейтрализовывая одну цель, вы помогаете другой. Отсюда появляются речи про нахождение разумного баланса.К счастью, Tor услышал мои мольбы, поэтому скоро всем станет хорошо. Что касается JS, это правда, что многие сайты без него не работают. Мало кто об этом знает, но JS часто используется на форумах и др. сайтах принудительно, чтобы защитить его от простейших DDoS-атак. Из популярных сайтов в рутене без JS не работают: d3; один или форум по IT, на который часто натыкаюсь по гуглу (забыл название); вконтакт; хабр (комментарии к страницам в TBB раньше всегда обрезались справа, но не знаю, как сейчас), впрочем, не факт, что это из-за JS; про файлообменники вообще помолчу, т.к. даже дружелюбный к приватности и безрекламности rghost не даёт загрузить файлы без JS. У гламурных кис список ими посещаемых сайтов с JS будет намного шире, а массовость в Tor откуда-то брать надо, потому и было принято кардинальное решение включить JS по умолчанию. Опять же, нельзя сделать так, чтоб всё, всем и всегда было хорошо, нужен баланс. В общем, я считаю, что этот шаг — в правильном направлении.
SATtva, кишки в ссылках удаляются вот так: ((http://ссылка название)). Они упомянули Whonix, интересный проект. Недятлы могут начать читать отсюда. Он, своего рода, метарешение — озвучены общие идеи, а компоненты можно подбирать самому по своему вкусу. FAQ их тоже порадовал — точь-в-точь то же, о чём и здесь упоминалось.
I2P пока никому не нужен, но если за него возьмутся, проблем у него в тысячи раз больше, чем у Tor — например, один-единственный ключ может подделать всю статистику сети. Вы уверены, что этот хост, как и сами разработчики, не из АНБ? Анонимы на pgpru такие смешные, аж до жути.
Не только не бегают, но ещё и полностью доверяют как экситам, так и хостам, с которыми соединяются? :) Если считаете, что вас никто не будет атаковать и причинять вам вред, может, тогда от использования анонимных сетей вообще отказаться? А что, мир состоит из добрых и благожелательных к вам людей.
P.S. Можно хоть JS on, хоть Flash on, только инфраструктура под это требуется: виртуалки, снапшоты с амнезией, скрытие информации о железе.
Не зависит. Firefox везде один и тот же. Просто дыроискателям целесообразней атаковать самую распространённую ОС на свете, чтобы оптимизировать свой профит. Поразительно, но даже в среде Tor-юзеров она самая распространённая. Вообще, было бы интересно увидеть статистику, сколько процентов Tor-пользователей сидят на Win. Tor Project мог бы её собрать по статистике загрузок бандлов со своего сервиса.
Проприетарная виртуалка лучше открытой?
Насчёт «искажать» согласен, а насчёт «сильно» я бы поспорил, только не надо говорить, что все Linux'оиды-параноики качают такой софт с зеркал и торрентов.
У них есть вот это. Точных данных и цифр там не найти, но это всё что есть сейчас.
К примеру статистика по URL'ам за апрель.
Это искажение не страшное, пользователи винды могут делать так же. Страшно то, что специфично для конкретной ОС, т.е. то, что будет нарушать пропорции в статистике.
Неплохо. Считаем (предварительно убрав всё лишнее из html-файла):
19838 tor-browser-gnu-linux-i686-2.3.25-6-dev-ru.tar.gz
Едят что-ли?
Да, в России всё серьёзно, не зря Маркес искал, как на визу подать.