30.11.2016 | 09:49

Adam Haertle

Atak na użytkowników TorBrowsera – używany błąd 0day w TorBrowserze / Firefoksie

Wczoraj wieczorem ujawniono istnienie błędu w TorBrowserze, który wykorzystywany jest w trwających atakach na użytkowników. Błąd istnieje także w aktualnym Firefoksie a Mozilla pracuje nad jego usunięciem.

Przeglądanie sieci za pomocą TorBrowsera i sieci Tor nie zawsze jest bezpieczne. Co kilkanaście miesięcy pojawiają się informacje o kolejnym ataku pomagającym w deanonimizacji użytkowników. Na szczęście ofiarami tego typu ataków najczęściej padają przestępcy.

Ujawnienie ataku

Wczoraj wieczorem na liście dyskusyjnej tor-talk pojawił się interesujący wpis pod tytułem Javascript exploit. Anonimowy autor opublikował w nim kod złośliwego ataku, na który – jak twierdzi – trafił w sieci. Wstępne analizy wykazują, że exploit jest prawdziwy. Co wiemy o nim do tej pory? Dan Guido przedstawił dobre podsumowanie.

Odkryty kod exploita atakuje wyłącznie TorBrowsera (w oparciu o nazwę przeglądarki podawaną w żądaniu) lecz działa na najnowszej wersji Firefoksa (wg niektórych analiz od wersji 41 do 50). Wczoraj o problemie została powiadomiona Mozilla, która potwierdziła istnienie błędu i pracuje nad jego usunięciem.

Podatność istnieje w Firefoksie zarówno na Windowsie jak i OS X, jednak ujawniony kod exploita atakuje wyłącznie systemy Windows. Użytkownicy Linuksów mogą spać spokojnie – chyba że istnieje inna wersja exploita, która nie została jeszcze złapana. Sama podatność to podobno dość prymitywny błąd typu use-after-free w przetwarzaniu plików SVG.

Użyty w exploicie shellcode jest bardzo podobny do tego, który był zastosowany w ataku z roku 2013 na użytkowników Freedom Hosting (tak, Avast nie lubi tego linka). Czy to oznacza, że ten atak także przeprowadza FBI? Przeciwko tej teorii przemawia fakt, że adres IP 5.39.27.226 należy do OVH, a amerykański sędzia mógłby nie chcieć autoryzować ataku w którym informacje trafiają na zagraniczny serwer. W przypadku z roku 2013 exploit łączył się do serwera w USA.

torbrowser

Co dalej

Jeśli korzystaliście z TorBrowsera z włączonym JavaScriptem do odwiedzania stron, którymi mogły interesować się służby wywiadowcze, a TorBrowser działał w systemie operacyjnym który znał Wasz prawdziwy adres IP, to istnieje prawdopodobieństwo, że ktoś mógł wykonać kod na Waszym komputerze i ustalić dane Waszego połączenia internetowego. Jeśli po prostu korzystacie z Firefoksa, to możecie poczekać na aktualizację lub od razu przesiąść się na inną przeglądarkę. Zapewne za kilka miesięcy dowiemy się, kto i kogo tym atakiem próbował złapać i co z tego wyszło.

Powrót

Komentarze

  • 2016.11.30 10:42 Ag3ntJ23

    Oj, nigdy nie widziem systemu w 100% bezpiecznego, nie podatnego na zadne ataki, i zachowujacego prywatnosc w 100%. To chyba utopia… Trzeba zaznaczyc iz nie tylko FBI interesuje sie uzytkownikami sieci tor. Z drugiej strony, nie jest zalecane zezwolenie na uzywanie scryptow w tej sieci. Mozna je zablokowac za pomoca wtyczki NoScript.

    Odpowiedz
    • 2016.12.01 16:29 Nie powiem

      A ja widziałem – można takim uczynić każdy system. Wystarczy odłączyć kabel od internetu.

      Odpowiedz
      • 2016.12.02 13:58 Ag3ntJ23

        To troche za malo… chyba ze calkowicie wylaczysz maaszyne, ale jaki uzytek wtedy?

        Odpowiedz
      • 2016.12.05 00:16 Ag3ntJ23

        No dobrze, podpowiem troche:
        Mialem na mysli wirusa stuxnet i spektakularny atak na wirowki sluzace do „wzbogacania” uranu, ktore znajdowaly sie w Iranie. Atak zostal przeprowadzony na siec kopletnie odizolowana i nie majaca zadnej stycznosci z internet. Dlatego sadze iz samo wyciagniecie kabelka sieciowego nie wystarcza.

        Odpowiedz
      • 2016.12.06 20:31 Pryncyp

        Definicja bezpieczeństwa informacji zakłada z definicji zapewnienie każdego z 3 filarów: poufności, integralności i dostępności informacji. O ile funkcją systemu ma być zapewnianie dostępu do zasobu w sieci, to jego odłączenie powoduje, że system nie spełnia cech systemu bezpiecznego z definicji.

        Odpowiedz
  • 2016.11.30 10:54 Art

    TorBrowser z włączonym javascript? Ktoś używa takiej konfiguracji? To chyba nawet defaultowo jest wyłączone.

    Odpowiedz
    • 2016.11.30 12:13 Ag3ntJ23

      Logujac sie na forach na przyklad, musisz zezwolc na scrypty na danej stronie. W przeciwnym wypadku to nie bedzie mozliwe…

      Odpowiedz
      • 2016.12.05 18:40 kszh

        Potrzebne sa ciastka do przechowywania danych sesji (i sledzenia). JS jest do wodotryskow i innych zlosliwych rzeczy. Jesli wymagany do logowania, lepiej odpuscic sobie taka strone.

        Odpowiedz
    • 2016.12.05 21:00 Stefan

      JavaScript jest domyślnie włączona.

      javascript.enabled : true ustawic na false

      Odpowiedz
      • 2016.12.20 17:56 Kandek

        Java jest włączona, ale działa dodatek do przeglądarki blokujący działanie skryptów, można to jednym kliknięciem przywrócić.

        Odpowiedz
  • 2016.11.30 11:04 Norbert z Klanu na TVP

    Chcialbym sie przesiasc na inna przegladarke, ale Chrome jest straszynym g*wnem, wiec uzywam jej tylko gdy potrzebuje Flasha.

    Odpowiedz
  • 2016.11.30 11:10 Adam

    Firefox zostal zaktualizowany do 50.0.1. Chyba po problemie :)
    Ale tor wciaz niezalatany.

    Odpowiedz
    • 2016.11.30 13:35 Duży Pies

      „Ale tor wciaz niezalatany”
      Nie „tor”, tylko „Tor Browser” jest niezałatany.
      .
      A poza tym, można uruchomić każdego FF lub inną przeglądarkę z ustawieniami dla sieci Tor – w ustawieniach połączenia sieciowego dla SOCKS v.5 należy podać:
      1) IP: 127.0.0.1 – proxy znajdujący się na naszym komputerze;
      2) port: 9150 – domyślny port Tora, przez który trasuje on nasze połączenie.

      Odpowiedz
      • 2016.11.30 21:39 Ag3ntJ23

        To nie jest zbyt bezpieczne rozwiazanie. Chodzi o pluginy przegladarek. Java i Flash na przyklad lacza sie bezposrednio omijajac proxi i o zgrozo… znaja twoje ip.

        Odpowiedz
        • 2016.12.01 10:53 Duży Pies

          To jest bezpieczne jeśli kontrolujesz skrypty. Nie trzeba używać Tor Browsera żeby bezpiecznie serfować po cebulowej Sieci.
          Należy tylko używać dodatków do przeglądarek i mądrze je skonfigurować: NoScript + HTTPS Everywhere. Poza tym blokujesz Flasha/Javę/Silverlighta i resztę wtyczek typu czytnik PDF, etc.

          Odpowiedz
    • 2016.12.01 07:01 yy

      raczej nie, wczoraj w katalogach rc pojawił się FF v50.0.2 więc pewnie dopiero ta wersja załata

      Odpowiedz
    • 2016.12.01 10:38 Anonim47328

      Mi się dzisiaj FF zaktualizował do 50.0.2.

      Odpowiedz
    • 2016.12.05 20:57 Stefan

      Ledwo co pojawila sie wersja 50.0.1, a chwile pozniej wypuscili update 50.0.2.

      Odpowiedz
  • 2016.11.30 12:50 Krzysztof Kozłowski

    ” Na szczęście ofiarami tego typu ataków najczęściej padają przestępcy.”

    Polityczni?

    Nie no naprawdę to zdanie powinniście wykreślić bo może ktoś jeszcze uwierzyć.

    Ofiarami padają ci na których zostanie atak skierowany i może to być dokładnie każdy. Jak ktoś coś chce ukryć ktoś inny może być żywo zainteresowany tym.
    Nawet głupie legalne porno może być dla szanowanego polityka problemem a dla atakującego ciekawe.

    Odpowiedz
    • 2016.11.30 14:47 Ag3ntJ23

      Fakt, atak moga przeprowadzic agencje rzadowe w krajach „kwitnacej demokracji” by zidentyfikowac przeciwnikow politycznych…

      Odpowiedz
      • 2016.12.03 01:13 ManiaPrześladowcza

        twoją postawę można chyba sprowadzić do lepiej chronić pedofilów w imie demokracji niż agencje rządowe w imię walki z pedofiliom. Dość specyficzne dla ludzi z dawnego bloku wschodniego, prędzej uwierzą w kokakole i całe zło tego świata niż w państwo w którym się wychowali.
        Dlaczego wszyscy uważają że państwo na nich poluje, przecież gdyby państwo było takie totalitarne to nie musiało by się bawić w expolitowanie FF, po prostu zapukało by kolbami w wybrane drzwi o 5 nad ranem, założyło delikwentom kaptur na głowę i wywiozło ich na miłą pogawędkę do jakiegoś pobliskiego lasu.
        Czego, kogo i poco bronisz, zastanawiałeś się przez chwilę choćby nad tym w jakim stopniu cię takie akcje dotyczą i jeśli tak to dlaczego ?
        Zastanawiałeś się kiedyś nad czym kolwiek w ogóle ?

        Odpowiedz
        • 2016.12.04 14:00 Ag3ntJ23

          Wybacz, kto tobie powiedzial iz jestem polakiem? Widzisz, czasem pozory (takie jak fakt iz posluguje sie polskim) myla. Nie bronie pedofilow. Wiedz iz oni sa celem nie tylko agencji rzadowych, ale takze wszelkiego rodzaju hackers obecnych w sieci Tor. Zapraszam do przeczytania ponizszych postow gdzie wyjasnilem do czego ta siec zostala stworzona.
          Daje pod rozwage ponizsza wypowiedz wciaz aktualna:

          B. FRANKLIN – „Narod ktory zgodzi sie na utrate czesci swojej wolnosci by uzyskac (pozorny) sentyment bezpieczenstwa, nie zasluguje ani na wolnosc ani na bezpieczenstwo. W koncowej fazie utraci wszystko”.

          Pozdrawiam

          Odpowiedz
          • 2016.12.04 18:51 ...

            Paradoxalnie to chyba gdzieś czytałem że koncepcja i realizacja sieci TOR wyszła od rządu a później została zaadoptowana i rozwijana w celach rekreacyjnych, ile w tym prawdy nie wiem w końcu to internet najgenialniejsza koncepcja reklamy świata, za którą ludzie dadzą się zamordować bo utożsamiają ją z wolnością.

          • 2016.12.04 21:54 Ag3ntJ23

            Tak, to prawda. Na poczatku to byl projekt US Navy, ktory mial sluzyc dyplomatom a w qaczegolnosci attaché militaires w ambasadach, by mogli komunikowac omijajac podsluch wywiadow krajow w ktorych sie znajdowali. Pozniej projekt tradil do domeny publicznej i tak jest do dzis.
            Paradoksalnie mozna stwierdzic iz najwiekszym kontrybutorem projektu jest wlasnie rzad US i armia US.
            Pozdrawiam

        • 2016.12.30 09:06 nom

          Latwiej sie kontroluje kogos, kto mysli, ze jest wolny, niz kogos kto wie, ze nie jest.
          I ty mozesz „zostac” pedofilem – i skonczysz na waterbording’u w obozie koncentracyjnym przy wschodniej granicy (tak, tak, juz mamy), gdy ktos bedzie chcial udowodnic zasadnosc swojej „pracy”. Niejedna wojna tak sie zaczela. Niejaki busz chetnie tak pracowal i wywalczyl nam nowy, piekny swiat.

          Odpowiedz
    • 2016.11.30 16:35 Przemko

      No więc sam widzisz że nie każdy, lecz każdy kto chce coś ukryć. Nie mierz wszystkich swoją miarą, nie każdy ma coś do ukrycia.

      Odpowiedz
      • 2016.11.30 21:32 Ag3ntJ23

        Doprawdy nie masz niczego do ukrycia?
        To nie do wiary… loginow i hasel tez nie ukrywasz? No dobrze, tu moze przesadzilem.
        Faktem jest iz sa ludzie, ktorzy chca przekazac cos waznego i nie chca byc zidentyfikowani gdyz moze to stwarzac dla nich zagrozenie. Mam tu na mysli dziennikarzy lub dzialaczy na rzecz obrony praw człowieka i znajdujacych sie w krajach, ktore ta wolnosc pogwalcaja. Wlasnie w tym celu siec tor powstala. Jesli chodzi o przestepcow, to wiedz oni wola raczej Dark Net (siec prywatna podobna do VPV dzialajacego w sieci tor) niz Deep Web (zwykla siec tor dostepna publicznie). Jesli natrafisz na pezestepcow dzialajacych w Deep Web, to wiedz iz to sa ci, ktorzy probuja zaistniec (naciagacze, oszusci…) a nie „grube ryby”
        Pozdrawiam

        Odpowiedz
    • 2016.12.30 08:38 MIRKOL

      ” Na szczęście ofiarami tego typu ataków najczęściej padają przestępcy.” – CZYLI NP. BRYGADA Z3S BO PODOBNO SURFUJE PO SIECI TOR.

      Odpowiedz
  • 2016.11.30 14:50 Wiadro

    „(…) a TorBrowser działał w systemie operacyjnym który znał Wasz prawdziwy adres IP (…)” – czy możliwa jest sytuacja, że system operacyjny nie zna mojego prawdziwego adresu IP?

    Odpowiedz
    • 2016.11.30 17:45 Adam

      Np. maszyna wirtualna, komputer za VPNem itp.

      Odpowiedz
      • 2016.11.30 21:21 Duży Pies

        Chciałeś napisać Adamie: „bezpieczna maszyna wirtualna” czyli taka która nie zostawia śladów na hoście gospodarza, np. w pliku swap.
        .
        A „komputer za VPNem” to zapewne miało być: „za bezpiecznym VPNem”. Swoją drogą, znasz takowy?
        Ja używam 2, jeden z nich to Mullvad – jest szybki, ma kilkanaście serwerów na kilku kontynentach, ma dobry stosunek jakości do ceny i pozwala na podłączenie 3 urządzeń (w tym routerów) – ale głowy bym nie dał że w razie czego nie udostępnią metadanych.

        Odpowiedz
        • 2016.12.02 23:34 zaiks

          Mullvad – torenty na tym chodzą?

          Odpowiedz
          • 2016.12.04 15:21 Ag3ntJ23

            Z zalozenia siec Tor to socket. Nadaje sie do protokolu http. Nie ppwinno sie w niej uzywac innych, gdyz do tego nie zostala stworzona i nie ma zapewnien bezpieczenstwa innych protokolow. Prosze o zapoznanie sie z dokumzntacja, ktora jest dostepna na oficjalnej stronie TorProjet :)

        • 2016.12.05 12:10 hrw#

          udostęnią

          Odpowiedz
      • 2016.11.30 21:45 Ag3ntJ23

        Z vpn tez ostroznie. DNS moze zdradzic…

        Odpowiedz
      • 2016.12.01 01:52 Kappa

        Albo chociażby za NAT-em

        Odpowiedz
    • 2016.12.01 08:38 Johnny

      Zobacz sobe Whonixa, masz dwie maszyny wirtualne, gdzie jedna jest gatewayem z torem i to ona ma dostęp do internetu, a na drugiej normalnie pracujesz, ale dostęp do sieci masz tylko przez gateway.

      Odpowiedz
  • 2016.12.01 01:35 s1m0n

    Hm. Kilka miesięcy powiadasz. Po bebechach powiedziałbym, że kod jest bliźniaczo podobny do tego opisanego ponad trzy lata temu tutaj – https://www.wired.com/2013/08/freedom-hosting/ . Te unicody to zapytania HTTP z gzipem.


    2013:
    GET /1f84ae1d-0b15-44dc-9963-8bc971104590 HTTP/1.1
    Host: ?
    Cookie: ID=ws2_32IPHLPAPIPA

    2016:
    GET /0a821a80/05dc0212 HTTP/1.1
    Host: ?A
    Cookie: MC=ws2_32IPHLPAPI

    Odpowiedz
    • 2016.12.01 10:52 Ag3ntJ23

      Prawda, lecz nie wiadomo ile czasu komus zajela adaptacja kodu. Tak na prawde nie wiadomo ile czasu to cos bylo w sieci. Cala reszta to sa przypuszczenia.
      Dzis wlasnie patch zostal udostepniony. Czas pokaze jak dlugo bedzie skuteczny.

      Odpowiedz
  • 2016.12.01 10:37 Anonim47328

    Wydaje mi się, że Tor Browser ma zawsze ten sam user agent, niezależnie na którym systemie zostanie uruchomiony.
    Innymi słowy jeśli uruchomię Tor Browser na Gnu/Linuksie to dalej będę miał w User Agencie system Windows.

    Odpowiedz
    • 2016.12.01 16:35 Duży Pies

      Są wtyczki do Tor Browser/FF i innych przeglądarek zmieniające user agenta. Niektóre VPN też potrafią zmienić user agenta przeglądarkom, np. CyberGhost VPN.

      Odpowiedz
      • 2016.12.02 14:17 Ag3ntJ23

        Nigdy nie wiadomo kto te wtyczki programowal i jakie informacje moga wyciekac poprzez ich instalacje. Dlatego TorProjet nie zaleca instalacji dodatkowych wtyczek do tor-browser. Skonsultuj dokumentacje i zalecenia. Znajduja sie one na ich oficjalnej stronie :)

        Odpowiedz
  • 2016.12.01 14:08 Piotruś

    A mnie zastanawia jedna kwestia, mianowicie jaka jest różnica między Darknetem a Deepwebem?

    Odpowiedz
    • 2016.12.01 22:50 Ag3ntJ23

      Struktura
      Deep web to jest to co jest ukryte w sieci tor a do czego masz dostep uzywajac tor browser na przyklad.
      Dark net to siec bardzej ukryta na zasadzie laczy podobnych do vpn opartych na sieci tor. Jest to w zasadzie siec prywatna, do ktorej dostep zdobedziesz jesli uzyskasz kompletne zaufanie jej administratorow.

      Odpowiedz
      • 2016.12.03 06:57 Frodo

        @Ag3ntJ23 często te dwa pojęcia nachodzą na siebie, ogólnie za część Darknetu chyba możemy uważać jakieś specjalne fora lub strony do których dostęp mamy tylko poprzez zaproszenie.

        Odpowiedz
        • 2016.12.03 22:45 Ag3ntJ23

          Swego czasu w Pl istnial portal grono.pl (nie wiem czy jeszcze istnieje) gdzie takze potrzebne bylo zaproszenie. Czy to byl DarkNet?
          Podobnie jest z kazdym zamknietym forum w Deep web.
          Niestety, dziennikarze myla nazewnictwo. Dla nich hacker na przyklad rowna sie przestepca.
          DarkNet rozni sie od Deep web concepcja gdyz dziala na zasadzie warstwy vpn uzywajacej siec Tor jako support z dodatkowa warstwa kryptograficzna (trzeba chronic interesy…). Czasem sa to lacza klient z klientem, gdyz wiele jest wariantow.
          W przeciwienstwie do Tor, nie jest jedna siecia. Oznacza to iz istnieje ich wiele i kazda organizacja posiada wlasna.
          Prawda jest iz w mediach przyjeto zasade nazywania Deep web DarkNetem, ale to mylne nazewnictwo (jak w wiekszosci przypadkow).

          Odpowiedz
          • 2016.12.04 00:31 Frodo

            @Ag3ntJ23 ciekawie prawisz, możesz w takim razie podać jakieś udokumentowane przykłady lub adresy sieci typu Darknet?

          • 2016.12.04 14:27 Ag3ntJ23

            Do redkcji z3s: Adam, nie chce sie reklaowac, wiec masz prawo usunac link jak rowniez przetlumaczyc i uzyc tresci. Uwazam iz wiedza ma sens jesli sie nia wszyscy dzielimy.

            @Frodo
            Opisalem to kiedys (czesciowo) na mojej stronie (niestety, nie po polsku)

            https://ncc1701.fr/bienvenues-sur-deep-web/

            Niestety, nie posiadam adresow DarkNet, gdyz one sa tajemnica organizacji ich uzywajacych. To sa sieci brdzo zamkniete.
            Wszystko co tu wam opisalem, to rezultat dlugich rozmow na forach hackers (niektore z.tych for juz nie istnieja, ale wciaz znajduja sie w spisie The Hidden Wiki) znajdujacych sie wlasnie w Deep web i dziele sie tu z wami moja wiedza, tak jak to powinno sie robic.
            Pozdrawiam

  • 2016.12.02 15:43 bolo

    najbezpieczniej jest chyba uzywac VPN + Whonix, bo tego raczej nie da sie obejsc za pomoca zadnego syfu rozrzucanego przez fbi

    Odpowiedz
    • 2016.12.04 14:50 Ag3ntJ23

      Wszystko da sie obejsc. To tylko kwestia czasu no i budzetu. Zlamanie silnych zabezpieczen jest kosztowne i nie jest dostepne dla zwylego zjadacza chleba, ale dla agencji rzadowych niektorych panstw jak najbardziej. Jesli bedziesz stwarzal powazne zagrozenie dla bezpieczenstwa, to wiedz iz tor nie pomoze za wiele. Istnieje mozliwosc ataku statystycznego. Jego cena to w przyblizeniu 40 do 70 K€ na osobe. To nie lezy w twoich mozliwosciach, ale dla taliej NSA to nie jest zbyt duzy wydatek.
      Wez to pod uwage…

      Odpowiedz
  • 2016.12.03 08:20 pompa

    Sorry, ale nawet moja 60 letnia mama używa noscripta… Bez javascriptu spokojnie da się nawet zalogować do facebooka, gmaila i tu napisać komentarz :)))

    Odpowiedz
    • 2016.12.04 14:37 Ag3ntJ23

      Zmien ustawienia na jak najbardziej paranoiczne…

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Atak na użytkowników TorBrowsera – używany błąd 0day w TorBrowserze / Firefoksie

Komentarze