Mozilla: geen zero-dayaanval op gebruikers Tor Browser
In tegenstelling tot wat verschillende media en bedrijven beweren is er bij de aanval op gebruikers van Tor Browser geen 'zero-day' gebruikt, zo laat Daniel Veditz weten, securitychef bij Mozilla. Dit weekend werd bekend dat gebruikers van Tor Browser met malware besmet raakten nadat ze Tor-sites hadden bezocht die bij het hostingbedrijf Freedom Hosting waren gehost.
Het hostingbedrijf was gehackt en aanvallers hadden een exploit aan de gehoste Tor-sites toegevoegd. Deze exploit maakt misbruik van een beveiligingslek dat op 25 juni van dit jaar in Firefox 22.0, Firefox ESR 17.0.7, Thunderbird 17.0.7, Thunderbird ESR 17.0.7 en SeaMonkey 2.19 was gepatcht.
Patch
Tor Browser is een programma dat uit twee delen bestaat: een deel dat verbinding met het Tor anonimiseringsnetwerk maakt en Firefox 17 ESR. Op 26 juni bracht het Tor Project Tor Browser Bundle 2.3.25-10 uit. Deze versie bevat Firefox ESR 17.0.7 en is niet kwetsbaar. Alleen gebruikers van oudere Tor Browsers liepen dan ook risico.
"Dit was geen 'zero day' aanval, het was een exploit gebaseerd op een security advisory van zes weken geleden. Het aantal kwetsbare gebruikers, wie niet up-to-date zijn, daalt snel, dus de exploit verliest toch al het meeste van zijn waarde", stelt Veditz.
Immers, als ze een echte 0-day hadden gebruikt, dan wisten alle pedofielen daar nu ook van. En nu hebben ze een exploit waar de rest van internet zich hopelijk al tegen beschermd heeft via automatische updates (heeft tor bundle niet). Zorgvuldige afweging zit hier achter tussen 1) alle 'darknet' pedofielen ontmaskeren 2) alle niet pedofiele firefox gebruikers beschermen tegen 0-day malware van criminelen.
Ik vraag me ook af of PRISM hierbij geholpen heeft (of hoe het ook allemaal heet). Het is al vanaf het begin van TOR bekend dat een aanvaller die tegelijk het begin en eindpunt van een chain kan zien, die twee kan correleren met elkaar. Omdat er geen reordering of padding van TOR verkeer is...
Een hidden service is helemaal makkelijk omdat je daar gigantisch veel verkeer door kan jagen zonder dat dat erg opvalt. Een website kan immers veel traffic hebben. Dat is normaal. Side channel attack is dit toch? Had ook wel zonder PRISM gekund denk ik dus. PRISM kost alleen maar heel erg veel geld en is moeilijk geheim te houden door alle Snowdentjes die de zaak draaiend houden.
Overigens snapt iedereen dat als je het begin en eindpunt van een route hebt, je de weg ook wel kunt berekenen. Het punt van Tor is juist dat je alleen het eindpunt ziet waardoor de verzender of beginpunt hidden blijft.
Dan als laatste.. Side channel attacks hebben niks met gigantische hoeveelheden traffic te maken noch met hidden services. Get your facts straight! Totaal nutteloze comment, sorry dat ik het zeg.
Lees je artikelen en bijbehorende bronnen wel alvorens je reageert ?
FBI bids to extradite 'largest child-porn dealer on planet'
http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html
Side channel attacks zijn uitstekend om TOR gebruikers mee aan te vallen, zie bijvoorbeeld :
Spying in the Dark: TCP and Tor Traffic Analysis
http://u.cs.biu.ac.il/~herzbea/security/12_02.pdf
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
