id: Гость   вход   регистрация
текущее время 07:18 25/04/2024
Владелец: unknown (создано 06/08/2013 11:38), редакция от 06/08/2013 13:53 (автор: SATtva) Печать
Категории: софт, анонимность, tor, ошибки и баги, атаки
https://www.pgpru.com/Новости/2013/УведомлениеОКритическойУязвимостиВTorBrowser
создать
просмотр
редакции
ссылки

06.08 // Уведомление о критической уязвимости в Tor Browser


Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).


Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:


2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)


Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.

Кто подвержен уязвимости


В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.


Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.


Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.

Последствия


Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.


На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.

Рекомендации


Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.


Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/


В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.


В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.


Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и fileWiNoN. Пожалуйста, окажите в этом свою помощь!


Источник: Tor Announce mailing list


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии [скрыть комментарии/форму]
— Гость (05/08/2013 23:48)   <#>
tl;dr для параноиков: отключите JS

На профилирование, насколько я понимаю, всем теперь плевать? Что делать пользователям, которые не бегают по скрытым сервисам, сидят с Debian-a и которым нужна только анонимность?
— unknown (06/08/2013 10:08, исправлен 06/08/2013 10:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Уязвимы были только старые версии TBB. Применялась ли это атака во времена их актуального использования — неизвестно.


To be clear, while the Firefox vulnerability is cross-platform, the attack code is Windows-specific. It appears that TBB users on Linux and OS X, as well as users of LiveCD systems like Tails, were not exploited by this attack.

Как и ожидалось.


attack appears to collect the hostname and MAC address of the victim computer, send that to a remote webserver over a non-Tor connection, and then crash or exit

У вас ещё не настроен файрволл, роутер или виртуалка для прозрачной торификации?


And you might want to randomize your MAC address, install various firewalls, etc.

Тогда ждите новых дыр в FF:

Third, realize that this wasn't the first Firefox vulnerability, nor will it be the last

Для тех, кому очень хочется отключить JS, хотя нет проблем сделать это и сейчас:

A future version of Tor Browser Bundle will have an easier interface for letting you configure your JavaScript settings

Винда — кривое решето:

Fourth, consider switching to a "live system" approach like Tails [13]. Really, switching away from Windows is probably a good security move for many reasons.

Использование дырок конкретно JS ограничивается фантазией дыркоискателей. Просто пока им проще использовать его. Но есть неисчерпаемый потенциал для всего остального. К тому же, срабатывание этих дырок зависит от окружения ОС.

And finally, be aware that many other vectors remain for vulnerabilities in Firefox. JavaScript is one big vector for attack, but many other big vectors exist, like css, svg, xml, the renderer, etc.


Если сидеть только в онионах, то практически да. Хотя, если все такие онионы хостятся в одном месте — то это бред. Если ходить через тор в открытый интернет, то одинаковый профиль псевдонима будет ярко светиться на всех экситах, сотрудничающие из которых соберут более обширную историю его похождений, чем просто за один десятиминутный обрывок сеанса.

— Гость (06/08/2013 11:20)   <#>
то одинаковый профиль псевдонима будет ярко светиться на всех экситах
Отсюда вывод, что он должен быть каждый выход разным? Как это реализуется? Какой перечень параметров, по максимуму, остается на экзит нодах?
— Гость (06/08/2013 11:34)   <#>

В отличие от вас, даже порой высказывая противоположную точку зрения, я понимаю ту долю истины, которая стоит за высказываниями «этих».


Ищите офицеров в других местах, здесь для них слишком трудно. Дебил не способен понять, что не только исполнение произвольного кода, но и профилирование, в конечном счёте, ведёт ко всё той же деаононимизации, которой все опасаются. Поставьте себе уникальные настройки, сообщайте всем, что вы на OpenBSD с JS и ждите, когда объём информации о вас и ваших похождениях накопится до такой степени, что полный деанон станет только вопросом времени. Итак, есть два эффекта, оба ведут к одной антицели — деанону, причём нейтрализовывая одну цель, вы помогаете другой. Отсюда появляются речи про нахождение разумного баланса.

К счастью, Tor услышал мои мольбы, поэтому скоро всем станет хорошо. Что касается JS, это правда, что многие сайты без него не работают. Мало кто об этом знает, но JS часто используется на форумах и др. сайтах принудительно, чтобы защитить его от простейших DDoS-атак. Из популярных сайтов в рутене без JS не работают: d3; один или форум по IT, на который часто натыкаюсь по гуглу (забыл название); вконтакт; хабр (комментарии к страницам в TBB раньше всегда обрезались справа, но не знаю, как сейчас), впрочем, не факт, что это из-за JS; про файлообменники вообще помолчу, т.к. даже дружелюбный к приватности и безрекламности rghost не даёт загрузить файлы без JS. У гламурных кис список ими посещаемых сайтов с JS будет намного шире, а массовость в Tor откуда-то брать надо, потому и было принято кардинальное решение включить JS по умолчанию. Опять же, нельзя сделать так, чтоб всё, всем и всегда было хорошо, нужен баланс. В общем, я считаю, что этот шаг — в правильном направлении.


SATtva, кишки в ссылках удаляются вот так: ((http://ссылка название)). Они упомянули Whonix, интересный проект. Недятлы могут начать читать отсюда. Он, своего рода, метарешение — озвучены общие идеи, а компоненты можно подбирать самому по своему вкусу. FAQ их тоже порадовал — точь-в-точь то же, о чём и здесь упоминалось.


I2P пока никому не нужен, но если за него возьмутся, проблем у него в тысячи раз больше, чем у Tor — например, один-единственный ключ может подделать всю статистику сети. Вы уверены, что этот хост, как и сами разработчики, не из АНБ? Анонимы на pgpru такие смешные, аж до жути.


Не только не бегают, но ещё и полностью доверяют как экситам, так и хостам, с которыми соединяются? :) Если считаете, что вас никто не будет атаковать и причинять вам вред, может, тогда от использования анонимных сетей вообще отказаться? А что, мир состоит из добрых и благожелательных к вам людей.

P.S. Можно хоть JS on, хоть Flash on, только инфраструктура под это требуется: виртуалки, снапшоты с амнезией, скрытие информации о железе.
— Гость (06/08/2013 11:43)   <#>

Не зависит. Firefox везде один и тот же. Просто дыроискателям целесообразней атаковать самую распространённую ОС на свете, чтобы оптимизировать свой профит. Поразительно, но даже в среде Tor-юзеров она самая распространённая. Вообще, было бы интересно увидеть статистику, сколько процентов Tor-пользователей сидят на Win. Tor Project мог бы её собрать по статистике загрузок бандлов со своего сервиса.
— Гость (06/08/2013 11:58)   <#>
Они упомянули Whonix,
Проект может и интресный, но нужна ОС на которой он (проект) будет крутится. Не понравилась легкая тормознутость системы. Debian в Tails "легче" работает (все в той же виртуалке). VBox – тоже спорное преимущество. Имхо vmware лучше.
— Гость (06/08/2013 12:00)   <#>
Tor Project мог бы её собрать по статистике загрузок бандлов со своего сервиса
Не даст корректных результатов. Не хочется приводить список простых причин, которые будут значительно искажать статистику.
— Гость (06/08/2013 12:13)   <#>

Проприетарная виртуалка лучше открытой?


Насчёт «искажать» согласен, а насчёт «сильно» я бы поспорил, только не надо говорить, что все Linux'оиды-параноики качают такой софт с зеркал и торрентов.
— Гость (06/08/2013 12:22)   <#>
Искажение появляется хотя бы при установке TBB одним пользователем (одно скачивание) на нескольких физических и/или виртуальных системах.
— Гость (06/08/2013 12:25)   <#>

У них есть вот это. Точных данных и цифр там не найти, но это всё что есть сейчас.
— Гость (06/08/2013 12:30)   <#>

К примеру статистика по URL'ам за апрель.
— Гость (06/08/2013 14:07)   <#>

Это искажение не страшное, пользователи винды могут делать так же. Страшно то, что специфично для конкретной ОС, т.е. то, что будет нарушать пропорции в статистике.


Неплохо. Считаем (предварительно убрав всё лишнее из html-файла):
$ cat url_201304.html |grep tor-browser |grep -v exe |cut -f 1 -d ' ' > res
$ cat url_201304.html |grep tor-browser |grep exe |cut -f 1 -d ' ' > exe-res
В vim в получившемся столбце добавляем к каждой строке (помимо первой) +, после чего считаем:
$ cat exe-res |bc
105497
$ cat res |bc
30056
$ bc -l
...
30056/(30056+105497)
.22172877029648919610
Итак, у винды примерно 78%. Что ж, не мало.
— Гость (06/08/2013 14:56)   <#>

19838 tor-browser-gnu-linux-i686-2.3.25-6-dev-ru.tar.gz
Едят что-ли?
— Гость (06/08/2013 15:45)   <#>
https://xkcd.com/1247/
— Гость (06/08/2013 15:57)   <#>

Да, в России всё серьёзно, не зря Маркес искал, как на визу подать.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3