| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5098
Ratio: 25.179
Поблагодарили: 13237
100%
|
Разработчики анонимной сети Tor опубликовали результаты аудита браузера Tor Browser и развиваемых проектом инструментариев OONI Probe, rdsys, BridgeDB и Conjure, применяемых для анонимных сетевых соединений, защищённых от прослушивания и механизмов анализа трафика.
Проверке подверглись Tor Browser, OONI Probe, rdsys, BridgeDB и Conjure. Было выявлено 9 уязвимостей, две из которых носят критический характер.
Tor Project отмечает, что:
«Аудит безопасности важен: он выявляет «слепые пятна», устраняет предположительные недостатки и показывает нам способы улучшения общего состояния безопасности» .
Аудит проводился компанией Cure53 с ноября 2022 года по апрель 2023 года. В ходе проверки были выявлены 9 уязвимостей, две из которые отнесены к категории опасных, одной присвоен средний уровень опасности, а 6 отнесены к проблемам с незначительным уровнем опасности. Также в кодовой базе было найдено 10 проблем, отнесённых к категории не связанных с безопасностью недоработок.
| ! | В целом код проекта Tor отмечен как соответствующий практикам безопасного программирования. |
Были обнаружены следующие проблемы:
- Первая опасная уязвимость в rdsys: Уязвимость была обнаружена в бэкенде rdsys, который используется для доставки различных ресурсов пользователям, в том числе списков прокси и ссылок для загрузки. Проблема заключалась в отсутствии аутентификации при обращении к регистрационному обработчику ресурсов. Это давало возможность атакующему зарегистрировать свой вредоносный ресурс и предоставить его пользователям. Эксплуатировать уязвимость можно было, отправив HTTP-запрос к обработчику rdsys.
- Вторая опасная уязвимость в Tor Browser: Проблема была связана с отсутствием проверки цифровой подписи при загрузке списка мостов через rdsys и BridgeDB. Поскольку этот список загружается до подключения к анонимной сети Tor, возможна подмена содержимого списка атакующим, например, через перехват соединения. Это могло привести к тому, что пользователи подключались бы через компрометированные мостовые узлы, контролируемые злоумышленником.
- Уязвимость средней степени опасности в rdsys: Уязвимость была обнаружена в подсистеме rdsys в скрипте развёртывания сборок. Она позволяла атакующему повысить свои привилегии с уровня пользователя nobody до пользователя rdsys, при наличии доступа к серверу и возможности записи в каталог с временными файлами. Эксплуатация уязвимости сводится к замене размещаемого в каталоге /tmp исполняемого файла. Получение прав пользователя rdsys позволяет атакующему внести изменения в запускаемые через rdsys исполняемые файлы.
- Уязвимости низкой степени опасности: Большинство из них были связаны с использованием устаревших библиотек, содержащих известные уязвимости, или с возможностью совершения отказа в обслуживании. В Tor Browser, например, была возможность обойти запрет выполнения JavaScript при выставлении высшего уровня защиты, отсутствие ограничений по загрузке файлов и потенциальная утечка информации через пользовательскую домашнюю страницу, позволяющая отслеживать пользователей между перезапусками.
На текущий момент все уязвимости были исправлены. Кроме того, внедрены дополнительные меры безопасности, включая аутентификацию для всех компонентов rdsys и проверку цифровых подписей при загрузке списков в Tor Browser.
Дополнительно можно отметить выпуск браузера Tor Browser версии 13.0.1, которая основана на Firefox 115.4.0 ESR, и в ней было исправлено 19 уязвимостей . В Tor Browser 13.0.1 для Android перенесены исправления уязвимостей из ветки Firefox 119.
Источник |
|
|
 |
Abyss1266
Стаж: 3 года 10 мес.
Сообщений: 29
Ratio: 18.335
100%
|
|
|
|
NoNameUser2387
Стаж: 6 мес. 14 дней
Сообщений: 43
Ratio: 34.555
90.36%
Откуда: из Москвы
|
Abyss1266 писал(а):  | проект спец. служб |
Интернет это вообще проект американских спецслужб, так наш царь как-то сказал. Надо вообще всем выбросить компьютер и смартфон, чтобы враги западные за нами не следили!  |
|
|
|
|
admiking
Стаж: 12 лет 11 мес.
Сообщений: 219
Ratio: 13.203
100%
|
Хорошо, что хоть нашли, хотя возникает вопрос сколько же людей по настоящему пользуется браузером не для каких либо незаконных действий? |
|
|
|
|
NoNameUser2387
Стаж: 6 мес. 14 дней
Сообщений: 43
Ratio: 34.555
90.36%
Откуда: из Москвы
|
| admiking писал(а): | возникает вопрос сколько же людей по настоящему пользуется браузером не для каких либо незаконных действий? |
Возникает такой же вопрос - сколько же людей по настоящему пользуется ножом не для каких либо незаконных действий? По сабжу, обновил, работает кое как через мосты. |
|
|
|
|
danrecords
Стаж: 12 лет 5 мес.
Сообщений: 5219
Ratio: 9.196
Поблагодарили: 4
100%
Откуда: Беларусь, Минск
|
Ввиду того что у меня Tor работал криво, через раз, перестал им пользоваться вообще, да и особо он мне не нужен был, все необходимые для моей деятельности сайты открываются без проблем, и сомнения меня берут по поводу повышенной приватности и безопасности... |
_________________
Слушать попсу нельзя!
|
|
|
|
Ruroni-SPb
Стаж: 10 лет 10 мес.
Сообщений: 926
Ratio: 10.469
27.58%
Откуда: SPb
|
| danrecords писал(а): | все необходимые для моей деятельности сайты открываются без проблем. |
Tor сеть заявлена не как "средство обхода", а как средство "повышения приватности и безопасности в интернете", анонимности. То есть, теоретически, дальше подключения к входному узлу вас не должны "отследить". Даже в начале заметки написано "применяемых для анонимных сетевых соединений, защищённых от прослушивания и механизмов анализа трафика". А доступ к заблокированным ресурсам - это уже не основное назначение. Закончили аудит в апреле, а затем полгода исправляли найденные уязвимости? Информация только сейчас появилась? "Проблема заключалась в отсутствии аутентификации при обращении к регистрационному обработчику ресурсов. Это давало возможность атакующему зарегистрировать свой вредоносный ресурс и предоставить его пользователям. Проблема была связана с отсутствием проверки цифровой подписи при загрузке списка мостов через rdsys и BridgeDB. Поскольку этот список загружается до подключения к анонимной сети Tor, возможна подмена содержимого списка атакующим." Интересно, если такие элементарные вещи были упущены, кто же писал и проверял на безопасность код? В подобном софте это "по недосмотру" не появляется. |
|
|
|
|
kbvverde
Стаж: 10 лет 3 мес.
Сообщений: 330
Ratio: 5.842
26.98%
|
danrecords
Это безусловно очень полезная для всех информация. Продолжайте вести наблюдения, конспектировать и публиковать в этой ветке |
|
|
|
|
stugot
Стаж: 5 мес. 29 дней
Сообщений: 11
Ratio: 0.496
100%
|
Вероятно c развитием i2p тор будет терять свою аудиторию. Я его на днях попробовал, но тормоза страшные и ничего пока интересного нет |
|
|
|
|
fibi768
Стаж: 11 лет 6 мес.
Сообщений: 1802
Ratio: 1.705
100%
Откуда: Киев
|
Надеюсь все знают кто создал TOR? |
|
|
|
|
avb85
Стаж: 12 лет 2 мес.
Сообщений: 75
Ratio: 2.206
5.35%
|
| Abyss1266 писал(а): | проект спец. служб |
Главное что не наших ) |
_________________
Aquila non captat muscas
|
|
|
|
f_blaizer
Стаж: 16 лет 11 мес.
Сообщений: 117
Ratio: 42.509
100%
|
Сам тор мне не понравился по этому быстро его удалил. А вот броузер BRAVE со встроенным TOR прижился, им хожу на российские сайты. Местные новости давно противно слушать , а евроньюс я прозвал новостной помойкой. |
|
|
|
|
avb85
Стаж: 12 лет 2 мес.
Сообщений: 75
Ratio: 2.206
5.35%
|
| NoNameUser2387 писал(а): | | admiking писал(а): | возникает вопрос сколько же людей по настоящему пользуется браузером не для каких либо незаконных действий? |
Возникает такой же вопрос - сколько же людей по настоящему пользуется ножом не для каких либо незаконных действий? По сабжу, обновил, работает кое как через мосты. |
У меня вот с этими мостами проблема. Запрашиваю их на почту гугловскую, но ничего не присылают. И хочу знать где их брать |
_________________
Aquila non captat muscas
|
|
|
|
PatchCleaner
Стаж: 4 года 4 мес.
Сообщений: 335
Ratio: 5.146
Раздал: 1.821 TB
99.23%
|
Мамкины шпионы )) По факту подавляющему большинству из здесь присутствующих "тайных агентов" достаточно простого браузерного расширения для открытия заблокированных в РФ сайтов , но я конечно понимаю , что понты дороже денег )) |
_________________
Общественное мнение - заведомо ложное мнение, так как большинство людей, к сожалению, полные идиоты.
© Эдгар Аллан По
|
|
|
|
lve55
Олигарх+
Стаж: 14 лет 6 мес.
Сообщений: 1333
Ratio: 18.214
Раздал: 9.975 TB
Поблагодарили: 5185
100%
Откуда: Петроград - Ленинград
|
Tor Browser выручал и не раз. Не стоит ругаться и возмущаться на то что помогает, хотя и не часто.
В любом случае весьма благодарен команде Tor . |
_________________
"Сначала революция, потом - мир... С врагами нужно биться, а не соглашаться!"
Иосиф Виссарионович Сталин
|
|
|
|
|
|
