18:49
19/8/2014

* Tor Browser: raport z analizy bezpieczeństwa

Firma iSEC Partners opublikowała raport z prac, jakie wykonała na zlecenie Tor Project za pieniądze Open Technology Fund.

Rekomendacje co do poniesienia bezpieczeństwa Tor Browsera są dość szerokie, od odpowiednich opcji na poziomie kompilacji do uczestnictwa w konkursie Pwn2Own. Okazało się też, że wersje windowsowa i macowa nie posiadają włączonego ASLR

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

13 komentarzy

Dodaj komentarz
  1. To uczucie gdy stracham przez używaniem tora i w tym roku nie będzie wysyłania zlewów na 20 sierpnia (Święto Cudów) ;_;

  2. A o rozpruciu Tora i jego załataniu, ani słowa…

  3. CI, którzy używają Tor Browsera bez (przynajmniej) maszyny wirtualnej to “niezbyt mądrzy ludzie”.

    Firefox nie posiada *żadnego* zabezpieczenia w postaci sandboxingu (tak jak ma to IE11 i Chrome/Chromium), tzn, że wyeksplojtowanie np. buffer overflow-a albo innego format bug-a to od razu remote code execution na maszynie klienta. Tak jak zrobiło to FBI jakiś rok temu.

    Wyeksplojtowanie IE/Chrome jest rzędy razy trudniejsze (tu nie chodzi o statystyke z Pwn2Own tylko o rzetelną analizę architektury), a i tak nikt nie wykorzystałby ich (już pomijając fakt, że IE działa tylko na Windowsie) bez albo mocnego sandboxingu albo w maszynie wirtualnej (najlepej także sandboxowanej, ale przynajmniej na maszynie wirtualnej).

    Ci, którzy korzystają z Tor Browser-a “ot tak” na swoim systemie, to mogą ukryć swoje IP przed swoim wujkiem, ale już przed agencją rządową większego państwa (chyba Polski jeszcze nie), to już nie.

    • W ogóle fakt, że Tor Browser wciąż jest oparty na FF (i to jeszcze chyba starym) to straszny strzał w stopę. Może po tym raporcie się obudzą i poprawią parę rzeczy, z przejściem na chrome/chromium (albo od razu ultron) bo z funkcjonalnością całej paczki jest tak sobie (acz punkcik za uniemożliwienie uruchomienia z konta roota ;).

    • Po pierwsze to pleciesz trzy po trzy, a po drugie to używaj języka Polskiego z angielskimi wstawkami jeżeli już musisz, a nie pseudo fachowego bełkotu.

      Jeżeli już chodzi o samą budowę aplikacji to piaskownica, o której piszesz nie zapewni Ci żadnego bezpieczeństwa tak samo jak nikt nie potrzebuje twojego adresu IP żeby chwycić Cię za rękę.

    • >Tak jak zrobiło to FBI jakiś rok temu.

      Tak, niesamowity atak na nieaktualne wersje Tor Browsera, używający błędów załatanych wcześniej w Firefoksie. I działający tylko przy założeniu, że użytkownik odwiedzający stronę z pornografią dziecięcą nie zablokował skryptów NoScriptem. Na pewno TorBrowser zadrżał w posadach po tym wiekopomnym ataku agencji rządowej. Spróbuj napisać bez JavaScriptu exploita na *którykolwiek* z błędów Firefoksa, powiedzmy, od 2012 roku. Tylko nie na Windowsa XP bez service packów, proszę.

    • @Janusz – ale samego Tor-a już raz co najmniej rozpruli ( a nawet więcej ;) ) i niedawno go załatano, więc można to zrobić drugi raz, a kto wie czy to się nie dzieje aktualnie?

  4. Używanie tora chroni Twoje IP, ale w logach ISP masz że byłeś w danych czasie podpięty do niego. Więc po to są vpny żeby orange nie mógł sobie filter by date and tor_connection = true ;) Dalej to już tylko internety z gsm z jednorazowo użytego urządzenia (imei).

  5. > Węc po to są vpny żeby orange nie mógł sobie filter by date and tor_connection = true ;)
    > Dalej to już tylko internety z gsm z jednorazowo użytego urządzenia (imei).

    Trzeba by tu wykazać korelację czasową, która ponad wszelką wątpliwość wskazała by urządzenie jako sprawcę “czegokolwiek”. Taka korelacja, jak mniemam dla celów sądowych w warunkach polskich byłaby nie do zrobienia (byłaby chyba pierwsza na świecie, w ogóle). Dlatego używanie jednorazowych telefonów czy wifi w starbaksie jakoś szczególnie nie zwiększa poziomu bezpieczeństwa usera w przypadku gdy nie ma szyfrowania danych i izolacji środowiska.

    Najważniejsze to posiadanie zaszyfrowanego dysku (dla chcących, łącznie z ochroną kernela, czyli z kernelem na kluczyku USB) oraz zsandboxowanego środowiska (chociażby VM) dla przeglądarki.

    Zaszyfrowany dysk, bo wiadomo: do tego w Polsce utarło się szanowanie prawa przez prokuraturę do odmowy składania wyjaśnień przez obwinionego/świadka/oskarżonego, które rozciąga się na dane kryptograficzne – więc tu na razie jesteśmy bezpieczni (zobaczymy do kiedy).

    Zsandboxowane środowisko z IP flow isolation (może być np whonix czy tails) – żeby nam byle buffer overflow nie wysłał pakietu omijając socks-y tora. Osobną sprawą jest sandboxing samego tor-a, który może mieć błędy, ale i tak ma o niebo mniejszy attack surface niż FF.

    • Pewne poziomy paranoi jestem w stanie zrozumieć, ale sandboxowanie przeglądarki? Po tym jak Chrome izoluje procesy poszczególnych kart? Nie wystarczy do tego tryb incognito?
      I ile stron jest w stanie zrobić taki numer, żeby zlokalizować taką maszynę?

  6. A co złego jest w dodatkowym sanodboksowaniu przegladarki ktora sama w sobie sanboksuje swoje zakladki? Ja widzę same plusy. Tryb incognito for real + 0day na chrome moze ci nic nie zrobic dzieki temu ze masz go wlasnie uruchomione w dodatkowym izolowanym sandboksie.

    Na marginesie dzieki zewnetrznej piaskownicy jestes w stanie obnizyc przegladarce dodatkowe funkcje (np. ograniczyc ilosc informacji jakie moze pobrac na temat systemu operacyjnego, czy dostep do urzadzen typu kamera i mikrofon – do ktorych zlosliwy skrypt moze miec dostep bez twojej zgody lub podstepnie przez clickjacking).

    Pomijajac inne zalety jakie daje ci piaskownica np. uruchamianie zainfekowanych keygenów, podejrzanych aplikacji, brak sladow w systemie z uzywania niektorych narzedzi itp.

    • Nie przeczę, że wirtualizacja to fajna rzecz, sam testuję różne dziwne programy na virtualboxie albo vmware. Ale osobna, redundantna wirtualka tylko do przeglądania neta? To już za dużo zachodu jak dla mnie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.