id: Гость   вход   регистрация
текущее время 12:55 28/03/2024
Владелец: spinore (создано 17/06/2009 02:45), редакция от 17/06/2009 11:59 (автор: unknown) Печать
Категории: софт, анонимность, приватность, анализ трафика, прослушивание коммуникаций, ошибки и баги, уязвимости, атаки, побочные каналы, закрытый софт
https://www.pgpru.com/Новости/2009/ТривиальныйОбходНастроекПроксиВOpera
создать
просмотр
редакции
ссылки

17.06 // Тривиальный обход настроек прокси в Opera


Не много времени прошло с предыдущей новости о деанонимизации Opera при определённых настройках сети, как стало известно о куда более плачевном положении дел: возможности деанонимизации при заходе на ссылку вида nntp://. Вставка блока наподобие



в код отображаемой страницы позволяет узнать реальный IP-адрес пользователя. Таким образом, деанонимизация происходит при использовании абсолютно штатных средств, что стало возможным лишь вследствие отсутствия должного понимания функционала, имеющегося в браузере. Стоит отметить, что на уязвимость стиля "браузер поддерживает больше протоколов, чем позволяет проксифицировать" уже указывалось ранее, только вместо Opera фигурировал links, а вместо nntp – https (возможно, сейчас ту брешь уже закрыли). Остаётся только догадываться сколько ещё тайных подводных камней касаемо браузеров могут быть известны узкому кругу людей, эксплуатирующих их для деанонимизации. Кроме того, Opera поддерживает и другие протоколы, типа torrent, которые также не проксифицируются посредством стандартных меню, что, возможно, также позволяет деанонимизировать пользователя, заставив его щёлкнуть по подставлной ссылке (в данном случае, по умолчанию, опера выводит окно настроек для torrent по клику на такую ссылку).


Firefox предварительно считается не подверженным указанной уязвимости, так как в умолчальной поставке не поддерживает протокол nntp. Впрочем, в firefox могут быть и другие уязвимости подобного рода.


Это ещё одно подтверждение тому, что не следует полагаться на надёжность настроек на стороне браузера, а следует настраивать "прозрачную проксификацию" средствами firewall'а.


Спасибо Гостю за обращение внимания общественности на данную уязвимость. Исчерпывающие подробности относительно опубликованной новости не до конца ясны (почему об этом не предупреждали разработчики OperaTor – неужели они не знали функционал Opera? Какие версии подвержены уязвимости? Почему так получилось, что об ошибках такого рода, лежащих на поверхности, ничего не сказано на официальном сайте Tor? И т.д.), потому имеется просьба исправлять неточности в тексте новости по мере их обнаружения.


PS: я не стал писать никаких слов про следующую из представленной информации деанонимизацию при использовании Tor, так как это лишь частный случай прокси.


Источник: /comment31168 с отсылкой на демонстрационный сайт на скрытом ресурсе Tor


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (21/06/2009 12:58)   <#>

Только непонятно. Какая информация есть, давайте её сюда, пожалуйста.


Да, Вы правы, получается русский вариант арракиса, много страха, запугиваний и мало деталей. Впрочем дело лишь в том, что реальные детали то и неизвестны. Все ранее описанные соображения, строятся лишь на основе общих фраз от представителей херобанковых, обещаний всех деанонимизировать через концептуальные уязвимости окружения Тор "и других дешевых сервисов" (вероятно речь в массе своей про виндовые конфигурации). Извлечены в реальность, пока только Опера со встроенным ньюс-клиентом.

P. S. Но у меня еще остался спайс. Это не научный поход, однако. Научным, будет сразу зарубить все протечки в зародыше, как это делает например для виндоус (или всё-таки полунаучный?) TorVM.
— SATtva (21/06/2009 13:17)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Научным, будет сразу зарубить все протечки в зародыше, как это делает например для виндоус (или всё-таки полунаучный?) TorVM.

Отчего же полунаучный? Если ОС не видит сеть, кроме как через интерфейс виртуальной машины, получается вполне обоснованно.
— Гость (21/06/2009 21:10)   <#>
русский вариант арракиса

Это что за зверь?

обещаний всех деанонимизировать через концептуальные уязвимости окружения Тор "и других дешевых сервисов" (вероятно речь в массе своей про виндовые конфигурации).

Я так понимаю, речь идёт о заявлении какого-то официального лица или опубликованной новости. Может быть есть ссылка/подробности? Откуда вы сами-то всё это узнали?

Прозрачная проксификация надёжна лишь настолько, насколько сам firewall. Помня про найденный PoD в OpenBSD и черви под Linux-рутеры слабо верится, что-то серьёзно заботится о безопасности :-( Да и история с OpenSSL в Debian-based дистрах – в ту же копилку.
— Гость (21/06/2009 23:02)   <#>

Это что за зверь?


Arrakis, автор торпака, ныне херобанк.

Я так понимаю, речь идёт о заявлении какого-то официального лица или опубликованной новости. Может быть есть ссылка/подробности? Откуда вы сами-то всё это узнали?


Официального лица херобанка. Подробности найти не трудно, как мне думается. Не хотелось бы тут разводить рекламных ссылок, куда-то не туда. Если очень интересно, можно узнать адреса для ознакомления с заявлениями, отсюда: https://blog.torproject.org/bl.....eleased#comment-1482 (анонимный комментарий 1482)

(Можно также начать с просмотра более ранних его заявлений по многим другим вопросам, из архива рассылки or-talk, тоже занимательно хоть и к делу напрямую не относится. Что однако не мешает рассматривать его публичные угрозы в адрес пользователей Tor, всерьез, т.к он лично не автор, он лишь оплачивает разработки)


Прозрачная проксификация надёжна лишь настолько, насколько сам firewall. Помня про найденный PoD в OpenBSD и черви под Linux-рутеры слабо верится, что-то серьёзно заботится о безопасности :-( Да и история с OpenSSL в Debian-based дистрах – в ту же копилку.


Конечно понятие безопасности широко. Но вот отказ в обслуживании не всегда может быть использован для нарушения анонимности (противник должен уже быть поблизости к жертве и лишь уточнить для себя правильность догадки с помощью контрольного выстрела). В домашнем маршрутизаторе проблема тоже не в оси, она в разработчике железки для конечного домашнего пользователя, и в другой степени пользователя. Сбор энтропии в дебиановском openssl, хм а где там прозрачная проксификация или фаерволл? Впрочем это конечно само по себе полный... Но ведь заметили это в конце-то концов :)
— SATtva (21/06/2009 23:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
[offtopic]
Но ведь заметили это в конце-то концов :)

Почти случайно, кстати, как обычно в таких случаях. (Вон, как вчера Kent у нас в движке случайно XSS нашёл.)
[/offtopic]
— somehowu (28/06/2009 07:28)   <#>
FF(gnu icecat 3.0.0.11-g1), torbutton, linux(gentoo) – в обычном режиме показал мне ссылку на этот тред и сказал 'loading..' ша типа. я понял, что так кина не будет и разрешил ему скрипты (NoScript). потом разрешил куда-то редирект – и получил окошко, что что-то хочет открыться тут, желательно почтовиками. Открыл мауспадом (блокнот), это оказался пустой файлик, названый mail@google.com. деанономизации не произшло.
— Гость (28/06/2009 11:09)   <#>

FF(gnu icecat 3.0.0.11-g1), torbutton, linux(gentoo)



потом разрешил куда-то редирект – и получил окошко, что что-то хочет открыться тут, желательно почтовиками.



деанономизации не произшло.


Закономерный результат. Спасибо, за подробный комментарий.
— Гость (29/06/2009 11:22)   <#>
потом разрешил куда-то редирект

После разрешения он уже отослал что-то деанонимизирующее? Или он что-то такое шлёт лишь после "получения окошка"?
— Гость (29/06/2009 12:17)   <#>

После разрешения он уже отослал что-то деанонимизирующее? Или он что-то такое шлёт лишь после "получения окошка"?


Разрешение в данном случае, это разрешенный к действию мета рефреш, есть такой метод запрета в 3-ей лисе. Баннер вверху страницы выскакивает, с возможностью проигнорировать его или разрешить переход. Не заостряйте внимание особо на методе атаки, это частности, т.к. можно использовать и другие способы перенаправления урла на внешний обработчик, или просто обманом вынудить вручную кликнуть по нужной ссылке.


что что-то хочет открыться тут


Вот эта реакция, опять же встроенная в лису, важнее. Активируется торбаттоном. Ожидается одно из двух: либо разрешить запрос чего-то во вне браузера, любо отказаться и выжить. Вот под виндоусом, с особенными умолчально системными обработчиками, судя по баг репортам в багзиллу, такого сообщения может не случиться в 3-ей лисе, и тихо-мирно что-то ужасное запустится и обработает запрошенное засветив пользователя.
— Гость (29/06/2009 13:36)   <#>

если он должен об этом написать прямым текстом, то он об этом не сказал)
— Гость (29/06/2009 13:54)   <#>
Объясните для тупых: я проследовал по ссылке, выбрал "2. Check your Firefox (3.x) with or w/o Torbutton" (FF 3.0.11, Torbutton 1.2.1, NoScript 1.9.3.3, Ubuntu 9.04) и у меня открылось окошко почтовика с адресом //mail@google.com. Никаких JavaScript не разрешал. Меня поимели?
— Гость (29/06/2009 14:13)   <#>

Меня поимели?


Вас лисица предупредила? Вы соглашались? Значит как-бы теоретически можно было сделать что-то нехорошее. Но это врядли. Мне, к примеру, не известно чтобы можно было через mailto: заставить мыльного клиента автоматически отправить почту (тему, содержимое, это ему передать возможно).
Вот если обработчик news имеется в наличии (лису надо научать), тогда надо смотреть, кто его открывает и как он реагирует на запросы. Попробуйте "1." кликнуть из ссылки (там условно ожидаются окошечники, как умеющие с рождения открывать ньюсы)
— Гость (29/06/2009 14:41)   <#>
Попробуйте "1." кликнуть из ссылки (там условно ожидаются окошечники, как умеющие с рождения открывать ньюсы)

По "1." открывается красивая картинка, типа, "я пришол":), делается попытка открыть ньюс, но "клиент не найден".
А в чем опасность? Если у меня весь трафик прозрачно торифицируется через iptables, то и ньюс должен идти через тор?
— unknown (29/06/2009 15:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Попробуйте "1." кликнуть из ссылки (там условно ожидаются окошечники, как умеющие с рождения открывать ньюсы)

А в чем опасность? Если у меня весь трафик прозрачно торифицируется через iptables, то и ньюс должен идти через тор?

у окошечников появился iptables?
— SATtva (29/06/2009 15:24, исправлен 29/06/2009 15:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
unknown, у окошечков7 появилась КонсольСилы (PowerShell), которая знает ls, например. В следующей версии появится iptables, реестр переедет в /etc, NUL переименуется в /dev/null, и Редмонд наконец сбросит Линукс с его однопроцентного олимпа.

ЗЫ ...И займёт его место.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3