Регистрация06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и 
WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
FH уже ломали анонимы. Один раз кто-то сломал, почему не сделать второй раз. Да ещё подгадать к новости из Ирландии.
Если это ФБР поломало и помогло вычислить хостера, то почему при аресте не изъяли сервера и они ещё работают? Зачем было размещать экслоит для пофикшенной более месяца назад уязвимости?
Нет связи между ФБР и FH, кроме сфабрикованного заголовка на реддите со ссылкой на новость про возможно реального ирландского фасцилятора.
Поместил сообщения на реддите аноним который специально для этого зарегился и больше не появлялся.
И поэтому это можно печатать как новость провереную фактами?
Некоторые считают, что уязвимость, которой воспользовалось ФБР — вот эта, назвать её 0day'ем нельзя.
Помимо уже озвученных корреляций есть анализ эксплоита и IP-адрес, на который слалась статистика. Характер эксплоита и принадлежность IP-адреса прозрачно намекают на всё тот же вывод.
Какой характер? Вы уверены, что этот адрес вообще принимал хоть что-то? Про намеки про принадлежность лучше молчать.
Затрудняюсь понять, что они хотели этим сказать. Хотя связь с FH не была инкриминирована стороной обвинения, утверждалось, что он был широко связан с FH посредством дискуссий на новостных Tor- и Wiki-сайтах? И как это понимать? Если я сейчас обсуждаю FH, я, значит, тоже его админ — так что ли по их логике?
Специально перевирали. Переврано всё. Враньё в каждом предложении. Админы — клиенты силка.
Чтобы вычислить клиентов.
В TBB она не была пофиксена.
Есть вещи, о которых писать неанонимно опасно.
Зачем писать эксплоит с редиректом на адрес, который ничего не принимает? Адрес принадлежит Verizon, это известно достоверно. А насчёт уверенности... вы головой вниз с 9-го этажа прыгали? Не прыгали — не утверждайте, что это опасно.
Да, профилирование и безопасность часто противоположны, нужно выбирать что-то среднее, оптимальное. Я думаю, выключающих скрипты среди всей массы Tor-пользователей достаточно много, и поэтому на частичное профилирование можно забить. Однако, было бы интересно взглянуть на конкретные цифры статистического исследования, чтобы не было спекуляций.
Какие ваши доказательства? Кодеры из мазиллы пишут, что 17.0.7 пофикшена. Кодеры из тор пишут, что у них в основе браузера 17.0.7.
Это придумали журналисты из arstechnica. В заметке из ирландии ничего этого нет.
Особенно фейковые заголовки.
комментариев: 9796 документов: 488 редакций: 5664
Пока у разработчиков тренд на массовость и использование TBB для просмотра всего интернета по-умолчанию (за исключением редких сайтов). А не наоборот: чтобы TBB использовали только для просмотра чего-то особо запрещённого.
Иначе затем будут такие же вопли с другой стороны: как включить скрипты? Как уже было по поводу Flash. Будут жаловаться, что не работает любимая веб-почта, форумы, бложики, твиттеры, не показывают тубы,
порнофотохостинги и пр. Да даже на элементарных новостных сайтах крупные картинки (фоторепортажи с места событий) часто только через JS открываются, от местных задрищенсков до крупных порталов.Не мешайте смотреть арабам голые коленки и Аль-Джазиру, пусть они массовость в сети создают и затрудняют разбор трафика, а особым анонимам-параноикам можно отключать JS при посещении скрытых сервисов, можно хоть отдельный Tor Browser для этого держать со всем отключенным, можно даже в отдельном профиле, кто запрещает то?
При посещении HS шифрование end-to-end, экситы трафик не видят (как и нет внешнего наблюдателя), корреляций нет — только если между разными сотрудничающими скрытыми сервисами, или хостящимися в одном месте, как на FH. Если вам надо только туда, то можете спокойно отключать JS, опасность профилирования там намного ниже, чем в обычном вебе. Особенно по сравнению с деанонимизирующими эксплойтами.
Более того, стало известно о внедрении в сервисы, работающие на мощностях Freedom Hosting, троянского JavaScript-кода, поражающего Windows-сборки браузера Firefox 17 и позволяющего ФБР отслеживать активность пользователей анонимных сервисов (на сервер ФБР отправлялся идентификатор клиента, позволяющий деанонимизировать пользователя и сопоставить анонимный вход с другой активностью в сети). Бэкдор использовал неисправленную уязвимость в ветке Firefox с длительным сроком поддержки, используемой в качестве основы продукта "Tor Browser", и мог зафиксировать анонимную активность пользователя в сети Tor, пользуясь тем, что для анонимной и неаноимной работы в Сети обычно используется один и тот же браузер, а также то, что пользователи обычно включают поддержку JavaScript, по умолчанию отключенную в Tor Browser.
В число поражённых onion-сайтов попали не только страницы связанные с распространением порнографии, но такие крупные сервисы, как анонимный почтовый ресурс TORmail. Все пользователи обращавшиеся со 2 по 4 августа к сервисам, размещённым с использованием Freedom Hosting, потенциально могли стать жертвами атаки (выводилась страница о временных технических работах на сервере, в которую был встроен вредоносный код).
Отдельно стоит отметить, что проект Freedom Hosting развивался людьми никак не связанными с организацией Tor Project, курирующей развитие технологий Tor. Проведённая атака также не является свидетельством обнаружения уязвимостей в технологиях Tor – атака была проведена на стороне сервера, обслуживающего работу конечных сайтов (на сайты был внедрён iframe с вредоносным кодом). Соответственно, сами анонимные сайты были источником распространения вредоносного ПО. Указанная атака является одной из крупнейших демонстраций того, что все усилия по обеспечению анонимного доступа и защиты от прослушивания трафика могут быть сведены на получением контроля над конечной реализацией сервиса, обслуживающего запросы пользователей.
Напомним, что технология скрытых сервисов Tor (Hidden Services) позволяет создавать анонимные серверные приложения, принимающие соединения по TCP, но не имеющие конкретного адреса и месторасположения. Подобные сайты адресуются через специальный анонимный домен ".onion", например "http://idnxcnkne4qt76tg.onion/". Одной из областей применения таких сервисов является анонимная публикация контента в Web, без раскрытия источника его распространения. Для распространения подобного контента не требуется фиксированный IP-адрес или регистрация доменного имени – доступ к контенту осуществляется через сеть Tor.
Источник: OpenNET