image

Mozilla: geen zero-dayaanval op gebruikers Tor Browser

maandag 5 augustus 2013, 13:01 door Redactie, 5 reacties

In tegenstelling tot wat verschillende media en bedrijven beweren is er bij de aanval op gebruikers van Tor Browser geen 'zero-day' gebruikt, zo laat Daniel Veditz weten, securitychef bij Mozilla. Dit weekend werd bekend dat gebruikers van Tor Browser met malware besmet raakten nadat ze Tor-sites hadden bezocht die bij het hostingbedrijf Freedom Hosting waren gehost.

Het hostingbedrijf was gehackt en aanvallers hadden een exploit aan de gehoste Tor-sites toegevoegd. Deze exploit maakt misbruik van een beveiligingslek dat op 25 juni van dit jaar in Firefox 22.0, Firefox ESR 17.0.7, Thunderbird 17.0.7, Thunderbird ESR 17.0.7 en SeaMonkey 2.19 was gepatcht.

Patch
Tor Browser is een programma dat uit twee delen bestaat: een deel dat verbinding met het Tor anonimiseringsnetwerk maakt en Firefox 17 ESR. Op 26 juni bracht het Tor Project Tor Browser Bundle 2.3.25-10 uit. Deze versie bevat Firefox ESR 17.0.7 en is niet kwetsbaar. Alleen gebruikers van oudere Tor Browsers liepen dan ook risico.

"Dit was geen 'zero day' aanval, het was een exploit gebaseerd op een security advisory van zes weken geleden. Het aantal kwetsbare gebruikers, wie niet up-to-date zijn, daalt snel, dus de exploit verliest toch al het meeste van zijn waarde", stelt Veditz.

Reacties (5)
05-08-2013, 13:48 door Fwiffo
Ze zijn goed bezig bij de FBI! Kan onze minister nog wat van leren.

Immers, als ze een echte 0-day hadden gebruikt, dan wisten alle pedofielen daar nu ook van. En nu hebben ze een exploit waar de rest van internet zich hopelijk al tegen beschermd heeft via automatische updates (heeft tor bundle niet). Zorgvuldige afweging zit hier achter tussen 1) alle 'darknet' pedofielen ontmaskeren 2) alle niet pedofiele firefox gebruikers beschermen tegen 0-day malware van criminelen.

Ik vraag me ook af of PRISM hierbij geholpen heeft (of hoe het ook allemaal heet). Het is al vanaf het begin van TOR bekend dat een aanvaller die tegelijk het begin en eindpunt van een chain kan zien, die twee kan correleren met elkaar. Omdat er geen reordering of padding van TOR verkeer is...

Een hidden service is helemaal makkelijk omdat je daar gigantisch veel verkeer door kan jagen zonder dat dat erg opvalt. Een website kan immers veel traffic hebben. Dat is normaal. Side channel attack is dit toch? Had ook wel zonder PRISM gekund denk ik dus. PRISM kost alleen maar heel erg veel geld en is moeilijk geheim te houden door alle Snowdentjes die de zaak draaiend houden.
05-08-2013, 14:54 door Arnhemmer
Niet zo goed bezig FBI heel wat onschuldige sites uit de lucht waaronder TorMail.
05-08-2013, 15:52 door EzMe
Ik zie nergens een verwijzing naar de FBI? Wat heeft die er mee te maken? En PRISM? De advisory was reeds wijd beschikbaar op internet. Daarvoor hoef je geen mensen te volgen en heeft er dus ook niets mee van doen. En wat hebben pedofielen te maken met TOR? Ze maken er gebruik van deze service? Tja.. ze rijden ook vast in auto's..
Overigens snapt iedereen dat als je het begin en eindpunt van een route hebt, je de weg ook wel kunt berekenen. Het punt van Tor is juist dat je alleen het eindpunt ziet waardoor de verzender of beginpunt hidden blijft.
Dan als laatste.. Side channel attacks hebben niks met gigantische hoeveelheden traffic te maken noch met hidden services. Get your facts straight! Totaal nutteloze comment, sorry dat ik het zeg.
05-08-2013, 16:33 door Anoniem
"Ik zie nergens een verwijzing naar de FBI? En wat hebben pedofielen te maken met TOR?"

Lees je artikelen en bijbehorende bronnen wel alvorens je reageert ?

FBI bids to extradite 'largest child-porn dealer on planet'
http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html
05-08-2013, 16:40 door Anoniem
"Side channel attacks hebben niks met gigantische hoeveelheden traffic te maken noch met hidden services. Get your facts straight! Totaal nutteloze comment, sorry dat ik het zeg."

Side channel attacks zijn uitstekend om TOR gebruikers mee aan te vallen, zie bijvoorbeeld :

Spying in the Dark: TCP and Tor Traffic Analysis
http://u.cs.biu.ac.il/~herzbea/security/12_02.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.