image

Ernstig beveiligingslek in Tor Browser gedicht

vrijdag 16 september 2016, 14:45 door Redactie, 4 reacties

Het Tor Project heeft een ernstig beveiligingslek in Tor Browser gedicht waardoor gebruikers van de browser met malware konden worden geïnfecteerd, ongeacht welk platform ze gebruikten. De kwetsbaarheid bevindt zich in het updaten van browser-extensies en werd eerder deze week onthuld.

Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller die voor addons.mozilla.org een geldig ssl-certificaat weet te verkrijgen kan vervolgens een kwaadaardige extensie-update aanbieden en zo willekeurige code op het systeem van Tor Browser-gebruikers uitvoeren.

De kern van het probleem is volgens onderzoekers dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet goed hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Deze controle is in het geval van Firefox en Tor Browser te omzeilen. Het vereist nog steeds dat de aanvaller over een geldig ssl-certificaat voor addons.mozilla.org moet beschikken, maar volgens het Tor Project is dit haalbaar voor landen en inlichtingendiensten. Partijen die vaak interesse in Tor-gebruikers hebben.

Gebruikers krijgen dan ook het dringende advies om zo snel als mogelijk naar Tor Browser 6.0.5 te updaten, die op Firefox 45.4.0esr is gebaseerd. In deze versie is het probleem gepatcht. Mozilla heeft de kwetsbaarheid in de verschillende Firefox-versies verholpen, maar deze versies zijn op het moment van schrijven nog niet uitgekomen. Verder bevat Tor 6.0.5 nieuwe versies van de Tor-software en HTTPS-Everywhere. Updaten kan via de browser of TorProject.org.

Reacties (4)
16-09-2016, 15:27 door Anoniem
Dat ernstige beveiliginglek kan iets worden geflatteerd.
Elke Torbrowser release bevat een update van de addons / extensions.
Je kon er al voor kiezen, om diverse redenen, die automatische update uit te zetten.
Zoveel extension updates zijn er niet binnen de release cycle van de browser.
Maar goed, het is een voorstelbaar security issue.

Er is overigens nog wat anders aan de hand met Torproject, dat helaas op zich begrijpelijkerwijs onderbelicht blijft maar als je het weet en hebt opgemerkt je vertrouwen in de nieuwe leiding van het project zou kunnen doen afnemen.
Al een tijdje is er duidelijk merkbaar dat security gevoelige feedback al dan niet vergezeld met kritische opmerkingen naar Torproject of aangaande bijdragen van Torproject medewerkerbloggers, vaak niet meer worden geplaatst. Ook niet na herformulering. Als het te gevoelig ligt komt het er niet door.
Kritische bijdragen en of voor Torproject mogelijk gevoelige zaken worden botweg weggehouden van de eigen open ogende pagina's met reactie mogelijkheid.

Dat geeft meer en meer te denken over wat er daar aan de hand is.
Nieuwe koers? Een privacy variant op walt Disneyland waar iedereen verplicht is kritiekloos lief te lachen?
Allemaal meisjesachtig met bloemetjes in de haren parmantig het protest verklaren?
Het begint er meer en meer op te lijken daar en geeft te denken wat de nieuwe agenda van dit project nu werkelijk is.
Bedenk dat als je het Torblog leest en velen het voortdurend met elkaar eens zijn dat niet geheel toevallig meer is, als het dat al was.
Niet zo raar dat lekken en kritiek op het project dus op andere plekken op het web verschijnen.

Censored blog
https://blog.torproject.org/
16-09-2016, 17:08 door Anoniem
Oké, nu is het al duidelijker. Firefox' statische certificaat pinning was stuk voor ingebouwde certificaten waardoor extensies gekaapt konden worden mits je een valide certificaat voor addons.mozilla.org kon krijgen (of een eigen CA incompileerde).

Ook blijkt het niet zo heel moeilijk om je add-on door mozilla te laten ondertekenen aangezien het automatisch gaat en je je add-on volgens mij niet hoeft te publiceren. Wat ik wel raar vind is dat Firefox zomaar een andere add-on als update accepteert. Lijkt me dat het een naam of een guid zou moeten checken die niet vervalst kan worden omdat Mozilla de add-ons ondertekent.

Toch mooi dat door middel van Tor dit soort fouten eruit gehaald worden.
18-09-2016, 13:07 door Anoniem
Ondertussen liggen diverse delen van torproject plat, oa https://blog.torproject.org/ .
18-09-2016, 20:51 door Anoniem
en verdwijnen er nog meer comments
https://trac.torproject.org/projects/tor/ticket/20158
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.