image

Apache-instelling kan gegevens Tor-server lekken

maandag 1 februari 2016, 11:13 door Redactie, 5 reacties

Een instelling van de webserversoftware Apache kan ervoor zorgen dat informatie van Tor-servers lekt, zo waarschuwt een beveiligingsonderzoeker. Voor het opzetten van een server op het Tor-netwerk kan Apache worden gebruikt. In veel gevallen wordt Apache geleverd met een feature genaamd 'mod_status'.

Het is een pagina die allerlei statistieken weergeeft, zoals uptime, verkeer, ingeschakelde virtuele hosts en actieve http-verzoeken. Het is standaard alleen toegankelijk voor localhost. De Tor-software draait echter op localhost. Daardoor is de statuspagina van de Tor-server via het internet toegankelijk. Volgens de onderzoeker zou een aanvaller in dit geval gevoelige requests kunnen monitoren, de lengtegraad van de server kunnen bepalen als de tijdszone is ingesteld en mogelijk zelfs het ip-adres achterhalen als een clearnet Virtual Host aanwezig is.

De afgelopen maanden ontdekte de onderzoeker verschillende servers waar de statuspagina toegankelijk was, waaronder een populaire Tor-zoekmachine. Beheerders krijgen dan ook het advies om hun instellingen goed na te lopen. "Het is eigenlijk te gek voor woorden dat een eenvoudige servermisconfiguratie zo gevaarlijk is. Vergeet zero-days, verkeersanalyse en crypto-aanvallen: het zijn dit soort eenvoudige fouten die het meest pijn kunnen doen."

Reacties (5)
01-02-2016, 11:48 door Anoniem
Of je gebruikt gewoon geen TOR? Probleem opgelost en is er ook geen veiligheid probleem.

Met iedere plugin / software op je server, moet je nadenken wat de impact is van de software. Als je dat niet doet, ben houd het op.
01-02-2016, 12:28 door Anoniem
Zo ken ik er nog een: Als je op je supergeheime tor-website bij de contact-gegevens je thuisadres publiceert dan kunnen die uitlekken...

TOR werkt alleen maar als je begrijpt wat je aan het doen bent. Als je een webserver op tor draait zonder de instellingen op privacy/anonimiteit na te lopen dan heb je het gewoon niet helemaal begrepen....
Kortom: m.i. weinig nieuwswaarde.
01-02-2016, 12:49 door Anoniem
Er zijn nog wel meer instellingen waar je rekening mee moet houden als je echt verstoppertje wil spelen. Ondertussen was de onderzoeker zelf niet zo goed in dat spelletje anders had hij dit al geweten.

https://cryptome.org/2013/09/tor-analysis-hidden-services.pdf
https://www.reddit.com/r/TOR/comments/1xgya7/apache_serverstatus_and_tor_hidden_services/
https://leap.se/code/issues/7456

Bottom line: wie verstoppertje wil spelen trekt camouflage aan en neemt geen onnodige zaken mee. Of dat nu mod status is of andere standaard en niet standaard instellingen. De onderzoeker heeft zich daar niet aan gehouden en speelt dus als een klein kind met lucifers.
01-02-2016, 13:34 door Anoniem
Apache heeft standaard een hele reeks modules enabled. Weet iemand een lijstje met enkel de noodzakelijke modules zodat al de rest uitgezet kan worden? Ik kan het ook met trial-en-error proberen, maar misschien horen er ook een paar goede security mods in thuis die standaard juist niet aan staan, maar best wel aangezet worden.
01-02-2016, 16:30 door softwaregeek
Door Anoniem: Of je gebruikt gewoon geen TOR? Probleem opgelost en is er ook geen veiligheid probleem.

Met iedere plugin / software op je server, moet je nadenken wat de impact is van de software. Als je dat niet doet, ben houd het op.

ja; het Internet is onveilig; dan gebruik je toch geen Internet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.