image

Onderzoeker: Tor Browser-gebruikers kwetsbaar voor aanval

woensdag 14 september 2016, 12:46 door Redactie, 5 reacties

Door verschillende kwetsbaarheden aan elkaar te koppelen is het mogelijk om gebruikers van Tor Browser met malware te infecteren, ongeacht welk platform ze gebruiken, zo claimt een beveiligingsonderzoeker genaamd "movrcx". De aanval zou zowel door een staat als de beheerder van een Tor-exitserver zijn uit te voeren, maar is niet eenvoudig, aangezien er een geldig of gespooft certificaat voor addons.mozilla.org is vereist.

Daarnaast moet de aanvaller voldoende Tor-exitservers beheren. Ook dit is volgens de onderzoeker niet ondenkbaar. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt.

Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller kan met het eerder verkregen certificaat het updateverkeer van de NoScript-extensie in Tor Browser naar addons.mozilla.org onderscheppen. Vervolgens stuurt de aanvaller een kwaadaardige extensie terug die vervolgens zonder interactie van gebruikers wordt geïnstalleerd.

De kern van het probleem is volgens de onderzoeker dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Als het certificaat door een certificaatautoriteit is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam.

Volgens de onderzoeker kan een aanvaller die over voldoende middelen beschikt via de door hem geschetste methode alle Tor Browser-gebruikers infecteren. Naar eigen zeggen is het onderzoek naar de aanvalsmethode nog in volle gang, maar heeft hij besloten nu al in de openbaarheid te treden zodat er snel een oplossing kan worden uitgerold.

Reacties (5)
14-09-2016, 14:55 door BadAss.Sx
Ik zeg al jaren dat Tor niet veilig is (genoeg artikelen over te vinden), maar niemand luistert. Men blijft maar doorgaan het te gebruiken.

Simpele optel som. Een project die gefundeerd is door de Amerikaanse overheid welke vervolgens aan het publiek is vrijgegeven. Welk argument in die zin moet al bellen laten rinkelen?
14-09-2016, 15:07 door Anoniem
Zit in Firefox browser althans die versie vindt het wel een aandacht vraag jochie om hem nou gelijk "onderzoeker" status te geven is wel heel veel van het goede. Kijkend naar zijn tweets lijkt dit meer afpersen dan hulp.
14-09-2016, 16:25 door Anoniem
Door BadAss.Sx: Ik zeg al jaren dat Tor niet veilig is (genoeg artikelen over te vinden), maar niemand luistert. Men blijft maar doorgaan het te gebruiken.

Simpele optel som. Een project die gefundeerd is door de Amerikaanse overheid welke vervolgens aan het publiek is vrijgegeven. Welk argument in die zin moet al bellen laten rinkelen?

Over rinkelende bellen gesproken.
Omdat je naam ook je website is dat zogenaamde privacy producten verkoopt even aangestipt waarom Tor meer te vertrouwen is dan jouw zeer dure pseudo privacy services.
https://www.badass.sx/badass-faq/

Prijs
Are you mad?? 2500EUR for an anonymous website??
Komt in deze buurt.
https://www.security.nl/posting/429638/Friese+USB-stick+voor+anoniem+internetten+kost+999+euro

Pseudo privacy
But what if the bad boys use your services after all?
Simple, if it has something to do with child porn or terrorism, i will do everything in my power to reveal their identity to the local authorities. Don’t get me wrong, privacy IS a huge issue for me, but when you abuse children or bomb people for the love of your god, you are just plain sick in your head. I don’t want that kind of customers in my administration.
Hier wordt je dus eigenlijk twee keer bij de neus genomen, een hoge prijs voor pseudo privacy.
Badass toont zich daarmee 'een echte badass' door helemaal geen privacy te garanderen!
Immers, als je echt niets bewaart heeft een bovenstaand beschreven moeite helemaal geen zin.
Conclusie : kennelijk monitor/inspecteer je verkeer wel en bewaar je dingen wel ook al beweer en suggereer je van niet.
Dat is heel stout!

Hoe afkeurenswaardig sommige zaken ook mogen zijn, je biedt wel of geen privacy en niet half op basis van de morele standpunten/meningen die je zelf op dat moment hebt, dat is een wassen neus privacy garantie en daar kopen klanten niets voor.
Wat vind je morgen verwerpelijk? Overmorgen? Hoe recht is je rug als de deurbel gaat?
Een garantie van niets als je wel een achterdeur in je services hebt ingebouwd!

De faq kan dus beter aangevuld worden met de volgende zinsnede
"Are you mad?? 2500EUR for a pseudo anonymous service??
En eigenlijk overal waar het woord privacy voorkomt op je website zou je dat deel beter voorzien van een belangrijke toevoeging, zodat het weer past bij wat je werkelijk doet, namelijk het bieden van pseudo privacy voor een dubbel forse prijs.
Anders is het misleidend en dat mag niet (van de reclame code commissie).

Sluikreclame maken middels je website-adres hier als pseudoniemnaam te nemen kan hier dan weer wel.
Kijk nou maar naar waar het beter (en goedkoper) kan met je eigen producten dan Tor met valse argumenten proberen onderuit te halen.
Misschien gaat er dan wel een keer iemand naar je luisteren.
14-09-2016, 17:26 door Anoniem
Door BadAss.Sx: Ik zeg al jaren dat Tor niet veilig is (genoeg artikelen over te vinden), maar niemand luistert. Men blijft maar doorgaan het te gebruiken.
Artikel (en kop) gelezen?
Tor browser
15-09-2016, 11:12 door Anoniem
Is er meer info hier over dan wat tweets? Lijkt me een beetje vreemd dat je add-ons kan kapen aangezien ze sinds een tijdje worden ondertekend. Dat dat domein niet gepind is zou dus waarschijnlijk geen probleem zijn want het lijkt me zeer sterk dat je je add-on met een willekeurig vertrouwd certificaat kan ondertekenen. Je zou dan dus je add-on eerst door Mozilla moeten laten keuren en ondertekenen en dan zou je daarmee een reeds geïnstalleerde add-on mogelijk kunnen kapen, maar het klinkt vrij omslachtig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.