image

Tor Browser kon ip-adres Linux- en Mac-gebruikers lekken

vrijdag 3 november 2017, 17:22 door Redactie, 24 reacties

Het Tor Project heeft een belangrijke update voor Tor Browser op Linux en macOS uitgebracht die een bug verhelpt waardoor het ip-adres van gebruikers kon lekken. De bug bevond zich in Firefox en deed zich voor bij het verwerken van url's die beginnen met file://.

Als de gebruiker een speciaal geprepareerde url zou openen kon het besturingssysteem direct verbinding met de server maken, waarbij Tor Browser werd omzeild. Het probleem speelde niet bij de Windows-versie en ook niet bij gebruikers van het privacybesturingssysteem Tails en de gesandboxte versie van Tor Browser. De bug werd op donderdag 26 oktober door onderzoeker Filippo Cavallarin aan het Tor Project gerapporteerd.

In samenwerking met Mozilla werd er de volgende dag een oplossing ontwikkeld. Deze oplossing bleek het lek echter gedeeltelijk te verhelpen. Afgelopen dinsdag 31 oktober werd er een aanvullende update ontwikkeld waarmee het lek wordt voorkomen. Het gaat hier om een 'workaround', die als neveneffect heeft dat file:// url's in bepaalde gevallen niet goed meer werken. Voor zover bekend is de kwetsbaarheid niet actief gebruikt om Tor Browser-gebruikers mee te ontmaskeren, zo laat het Tor Project verder weten. Gebruikers krijgen het advies om te updaten naar Tor Browser 7.0.9.

Reacties (24)
03-11-2017, 18:08 door Anoniem
Daarom zorgen dat je eerst een VPN gestart is en dan pas je Tor.
03-11-2017, 19:02 door Anoniem
Door Anoniem: Daarom zorgen dat je eerst een VPN gestart is en dan pas je Tor.

Nee, nee, nee.... VPN is geen middel om te anonimiseren (ook al wordt dat soms zo gebracht).

Verbind altijd eerst met Tor en pas daarna met VPN. https://www.bestvpn.com/using-vpn-tor-together/
03-11-2017, 19:09 door Anoniem
Het gebruik van een VPN i.c.m. met tor maakt je altijd kwetsbaarder dan enkel tor te gebruiken. De VPN is dan namelijk altijd een constante factor waardoor je zichtbaarder bent. Beter zou zijn om iets als Whonix te gebruiken. Een VPN gebruiken om dit risico te mitigeren is een slecht idee.
03-11-2017, 21:36 door Anoniem
Daarom moeten we ook naar de niet-loggende blockchain gedecentraliseerde VPN.

Maar er zullen ook meer privacy beschermende middelen moeten worden genomen door degenen,
die verantwoordelijk zijn voor de veiligheid van een website en CDNs en hosters als zodanig.

Iedereen moet gemotiveerd zijn en daardoor enthousiast zijn om de boel goed dicht te spijkeren
tegen kwaadwillenden en tevens ook tegen kwaadwillende overheden.

Dus echt geen lucky13 kwetsbaarheid etc. meer, meer en betere implementatie van security headers, same origin gehandhaafd en gemonitord en SRI-hashes gegenereerd. Invoeren van best practices. Geen kwetsbare af te voeren code meer gebruiken en zeker geen verlaten code. Letten op kwetsbare code en consiguraties. Veel meer ontwerpen met veiligheid als eerste oogmerk.

Een kwetsbare infrastructuur is met name een risico voor een ieder en dus ook voor de veiligheid van naties.

Daarom wilde Mainland China niet meedoen aan de race met achterdeurtjes en zero-days en eindeloze patch cycli ten behoeve van een surveillance op een niet veilig te branden infrastructuur en dit al vanaf het vroegste uur.

Javascript had in de vorm waarop het werd gelanceerd, zo nooit naar het Internet mogen ontsnappen. Encryptie embargo's uit den boze, geencrypte en plain txt versies naast elkaar bewaren, een voor de klant en een voor de meeglurende overheidsdienst nooit doen, de cybercrimineel maakt van de veiligheid van ons bedrijfsleven vogelvoer en letterlijk.

Wanneer gat het eens doordringen dat we met zijn allen heel verkeerd bezig zijn door steeds het paard achter de wagen te willen spannen.
04-11-2017, 00:29 door Anoniem
De hier gegeven argumenten om geen vpn te gebruiken zijn weinig overtuigend.
04-11-2017, 13:36 door Anoniem
Door Anoniem: De hier gegeven argumenten om geen vpn te gebruiken zijn weinig overtuigend.
Het torproject heeft zelf een aardige uitleg van de potentiële impact van de combinatie
tor met een VPN of andere techniek: httpsject.org/projects/tor/wiki/doc/TorPlusVPN

Het specifieke geval hier, connecties buiten toe om, kan gemitigeerd worden door verplicht alle verbindingen door tor/VPn te laten lopen (transparant proxy). Deze maatregel heeft niks te maken met de onbetrouwbaarheid van enkel toe gebruiken. Alle suggesties voor het gebruik van een VPN zijn dus totaal irrelevant en adresseren niet het core issue, namelijk de transparante proxy zoals dit bijvoorbeeld in Whonix of deels in Tails gebruikt wordt.

Zoals het artikel uitlegd is het goed mogelijk de veiligheid van tor aan te tasten door deze te combineren met een VPN, helemaal als de VPN je laatste hop is. Laten we het de normale gebruikers niet te moeilijk maken met suggereren dat een VPN extra veiligheid bied omdat er dan aan een stuk meer gedacht moet worden en in het algemeen een slecht idee is en niet toepasselijk op het risico wat je wilt reduceren.

<Tinfoilhat>
Het hele idee van VPN gebruiken i.c.m. tor zonder de extra risico's en setup vereisten uit te leggen is een vrij succesvolle campagne van de inlichtendiensten geworden om het gemakkelijker te maken individuele gebruikers te deanonimiseren op basis van VPN gebruik
</Tinfoilhat>
04-11-2017, 14:26 door Anoniem
De gecombineerde inspanningen van de opvolgers van Cyberpunk tegenover de gecombineerde inspanningen van de global surveillance spooks. "Hoe is de stand, Mieke?".

Op android dank zij apps collusion en Google etc. bent u al vogelvoer voor de laatstgenoemde global sp**ks.

luntrus
04-11-2017, 19:13 door Anoniem
Je moet ALTIJD eeen VPN gebruiken icm TOR !!!!, juist als je zonder gebruikt ben je gewoon dom bezig. Maar alleen met een VPN ben je er nog niet.

Wil je echt anoniem browsen is het heel belangrijk om te begrijpen dat je een apart OS moet gebruiken en geen tor moet draaien op je normale PC. Je moet een aparte identiteit aanhouden en niet inloggen ergens met je echte gegevens.

Dus gebruik bijv. een Virtuele Machine vanaf encrypted storage in een totaal geïsoleerd netwerk (bijv. VLAN) achter een aparte NAT router zodat dit besturingssysteem geen enkele weet heeft van de rest van jou netwerk of jou echte WAN IP. En natuurlijk heb je daar een VPN tunnel bij nodig of meerdere zelfs, hoeveel moet je zelf weten. Maar stel je voor dat door 1 of andere truckje het WAN IP bekend wordt, dan hebben ze alleen het VPN IP adres. Of je krijgt malware, die kan de rest van je netwerk dan in ieder geval niet besmetten. etc etc.

In alle gevallen geldt...hoe meer lagen hoe beter je anonimiteit beschermd is.
04-11-2017, 22:06 door Anoniem
Door Anoniem: Je moet ALTIJD eeen VPN gebruiken icm TOR !!!!, juist als je zonder gebruikt ben je gewoon dom bezig. Maar alleen met een VPN ben je er nog niet.

Wil je echt anoniem browsen is het heel belangrijk om te begrijpen dat je een apart OS moet gebruiken en geen tor moet draaien op je normale PC. Je moet een aparte identiteit aanhouden en niet inloggen ergens met je echte gegevens.

Dus gebruik bijv. een Virtuele Machine vanaf encrypted storage in een totaal geïsoleerd netwerk (bijv. VLAN) achter een aparte NAT router zodat dit besturingssysteem geen enkele weet heeft van de rest van jou netwerk of jou echte WAN IP. En natuurlijk heb je daar een VPN tunnel bij nodig of meerdere zelfs, hoeveel moet je zelf weten. Maar stel je voor dat door 1 of andere truckje het WAN IP bekend wordt, dan hebben ze alleen het VPN IP adres. Of je krijgt malware, die kan de rest van je netwerk dan in ieder geval niet besmetten. etc etc.

In alle gevallen geldt...hoe meer lagen hoe beter je anonimiteit beschermd is.
Als je ronduit een vpn provider zomaar vertrouwd is dat ook dom. Daarbij is anoniem surfen ook al niet mogelijk, omdat iedere hacker uiteindelijk toch altijd gepakt wordt. Máár privacy is gelukkig wel mogelijk vanwege de encryptie die meer en meer gebruiksvriendelijker aan het worden is. Denk bijvoorbeeld aan signal private messenger en de encryptie mogelijkheid over e-mail bij tutanota en protonmail. Meer en meer mensen gebruiken het vanwege de gebruiksvriendelijkheid. Overigens is Tor Browser ook nog steeds goed voor privacy tegen trackers (denk maar aan facebook pixel).
05-11-2017, 00:57 door Anoniem
Zoals we hier tussen de regels door kunnen lezen is het bewaren van enige vorm van complete privacy tegen het doordrammende geweld van het Anglo-Amerikaanse surveillance beleid, waar we als Nederland met "nine eyes" ook onder vallen, een steeds moeilijker en steeds frustrerender aangelegenheid.

Een klein moment van onbedachtzaamheid, zorgt ook hier dat men jaren schreit. We zullen echt een innovatieve afgekoppelde schaduwstructuur op moeten zetten tegen de "forces that be" of ten dienste van ons aller welzijn op de digitale infrastructuur, anders gaat het op een gegeven moment helemaal mis en hebben we alle Internet vrijheid verspeeld.

Kom op innovatieve onafhankelijke ontwerpgeesten, kom ons van goede wil te hulp.

Bedenk ook wat u niet met Internet deelt, u ook later niet in uw k*nt kan komen bijten.

Het ware plaatje is helaas niet anders te brengen. U bent allemaal gewaarschuwd. Watch your bytes!
05-11-2017, 10:19 door Anoniem
Whonix is een simpele maatregel die je tegen dit soorr exploits beschermt.
05-11-2017, 14:30 door Anoniem
Door Anoniem:
Door Anoniem: Je moet ALTIJD eeen VPN gebruiken icm TOR !!!!, juist als je zonder gebruikt ben je gewoon dom bezig. Maar alleen met een VPN ben je er nog niet.

Wil je echt anoniem browsen is het heel belangrijk om te begrijpen dat je een apart OS moet gebruiken en geen tor moet draaien op je normale PC. Je moet een aparte identiteit aanhouden en niet inloggen ergens met je echte gegevens.

Dus gebruik bijv. een Virtuele Machine vanaf encrypted storage in een totaal geïsoleerd netwerk (bijv. VLAN) achter een aparte NAT router zodat dit besturingssysteem geen enkele weet heeft van de rest van jou netwerk of jou echte WAN IP. En natuurlijk heb je daar een VPN tunnel bij nodig of meerdere zelfs, hoeveel moet je zelf weten. Maar stel je voor dat door 1 of andere truckje het WAN IP bekend wordt, dan hebben ze alleen het VPN IP adres. Of je krijgt malware, die kan de rest van je netwerk dan in ieder geval niet besmetten. etc etc.

In alle gevallen geldt...hoe meer lagen hoe beter je anonimiteit beschermd is.
Als je ronduit een vpn provider zomaar vertrouwd is dat ook dom. Daarbij is anoniem surfen ook al niet mogelijk, omdat iedere hacker uiteindelijk toch altijd gepakt wordt. Máár privacy is gelukkig wel mogelijk vanwege de encryptie die meer en meer gebruiksvriendelijker aan het worden is. Denk bijvoorbeeld aan signal private messenger en de encryptie mogelijkheid over e-mail bij tutanota en protonmail. Meer en meer mensen gebruiken het vanwege de gebruiksvriendelijkheid. Overigens is Tor Browser ook nog steeds goed voor privacy tegen trackers (denk maar aan facebook pixel).

Wie zegt dat je ronduit 1 VPN provider moet vertrouwen? Maar alleen op TOR vertrouwen is nog onverstandiger. Hoe meer obstakels naar je identiteit hoe beter. Maar al die encryptie stelt niks voor als je zelf zo dom bent om ergens met je echte naam in te loggen.

Trouwens is helemaal niet waar, lang niet iedere hacker wordt gepakt maar je laat zelf al weer zien hoe krom jij en de meute denkt, want wat heeft dit met hackers te maken? Als je graag anoniem bent op internet heb je blijkbaar snode plannen en ben je een hacker??

En het is inderdaad lastig om 100% anoniem te zijn maar dat wil niet zeggen dat je het niet moet proberen.
05-11-2017, 18:24 door Anoniem
De bug bevond zich in Firefox en deed zich voor bij het verwerken van url's die beginnen met file://.
Krijg het niet gereproduceerd, iemand een voorbeeldlink die werkt?
06-11-2017, 00:48 door Anoniem
Voor zover bekend is de kwetsbaarheid niet actief gebruikt om Tor Browser-gebruikers mee te ontmaskeren, zo laat het Tor Project verder weten
Het letterlijke statement is
We are not aware of this vulnerability being exploited in the wild.
. Een statement met deze strekking moet vragen oproepen.

Voorop moet afgevraagd worden of Tor Project in staat is om weet te hebben of een exploit in gebruik is geweest. Het antwoord is nee, tenzij iemand vrijwillig bewijs levert aan Tor Project. De schrijver van het statement lijkt dat te willen onderschrijven door het gebruik van
we are not aware of
.

Maar als je geen aanwijzingen hebt dat er gebruik is gemaakt van een exploit en weet dat je niet in de positie zit om dat te kunnen weten, waarom zou Tor Project dan dit statement doen? Het antwoord kan zijn om gebruikers van Tor Browser gerust te stellen over het gevaar dat ze liepen.

Is het eerlijk om sussende woorden te gebruiken in plaats van eerlijk te zijn of je het risico kan aangeven? Bij Tor Project vinden ze het kennelijk belangrijker om te sussen dan om eerlijk te zijn of Tor Project wel kan weten in hoeverre gebruikers risico liepen.
06-11-2017, 01:30 door Anoniem
Door Anoniem: Daarom moeten we ook naar de niet-loggende blockchain gedecentraliseerde VPN.
bla bla.
Wanneer gat het eens doordringen dat we met zijn allen heel verkeerd bezig zijn
Met je stelling in de eerst zin heb je zelf al antwoord gegeven op je laatste zin. Onbewezen technologie verkondigen als een oplossing is geen oplossing.

Blockchain is (ook) niet ontworpen voor alle aspecten van security, waardoor je kunstjes moet gaan toepassen om het voor andere toepassingen bruikbaar te maken. En daar zit al een groot risico in, want hoewel het simpel lijkt is er voor veel simpele problemen geen simpele oplossing. De oplossingen die wel worden gegeven moeten practisch ook haalbaar zijn.

Of je nu een centraal of decentraal systeem hebt, je bent volkomen afhankelijk van vertrouwen in anderen om je de waarheid te vertellen over hun verwerking van informatie. Wat de blockchain in de stelling hierboven als bijdrage levert valt ook op te lossen met andere technieken die veel kosten effectiever zijn. Daarmee klinkt de stelling vooral als roep van een groepie die perse een blockchain wil gebruiken dan serieus een probleem wil oplossen.
06-11-2017, 09:47 door Anoniem
Daarom zorgen dat je eerst een VPN gestart is en dan pas je Tor.

Of gewoon zorgen dat je bezig bent met zaken die het daglicht kunnen verdragen. Zolang je dat doet, is de vraag of je IP adres lekt eigenlijk vrij irrelevant. Tenzij je natuurlijk een klokkenluider bent, een mensenrechtenactivist in een dictatuur, etc.
06-11-2017, 09:48 door Anoniem
Als je ronduit een vpn provider zomaar vertrouwd is dat ook dom. Daarbij is anoniem surfen ook al niet mogelijk, omdat iedere hacker uiteindelijk toch altijd gepakt wordt.

De pakkans bij hacking is nog altijd nihiel. Het grootste deel van de hacks wordt niet eens onderzocht, laat staan dat de dader boven water komt.
06-11-2017, 09:53 door Anoniem
Het gebruik van een VPN i.c.m. met tor maakt je altijd kwetsbaarder dan enkel tor te gebruiken.

Hangt heel erg van de vraag af *waartegen* je je wenst te beschermen. Gaat het erom dat je werkgever niet ziet welke website je bezoekt ? Of gaat het erom dat de politie niet middels vorderingen achter je gedrag kan komen. In het laatste geval zouden mensen ook kunnen overwegen waar ze eigenlijk mee bezig zijn. De kans dat de politie ooit mijn TOR/VPN gedrag gaat onderzoeken is non-existent. Omdat ik niks doe wat hen interesseert.

In discussies hier vergeten mensen vrijwel de vraag ''tegen welk risico wil ik mij beschermen''. Alsof dat voor iedereen de overheid is, en daaraan gelieerde opsporings- en inlichtingendiensten.
06-11-2017, 16:20 door Anoniem
Door Anoniem:
Het gebruik van een VPN i.c.m. met tor maakt je altijd kwetsbaarder dan enkel tor te gebruiken.

Hangt heel erg van de vraag af *waartegen* je je wenst te beschermen. Gaat het erom dat je werkgever niet ziet welke website je bezoekt ? Of gaat het erom dat de politie niet middels vorderingen achter je gedrag kan komen. In het laatste geval zouden mensen ook kunnen overwegen waar ze eigenlijk mee bezig zijn. De kans dat de politie ooit mijn TOR/VPN gedrag gaat onderzoeken is non-existent. Omdat ik niks doe wat hen interesseert.

Totdat in de nieuwe sleepwet je buurman 'onder de tap' gaat en heel de wijk daarin meegaat. Tor/VPN verkeer is per definitie verdacht.
06-11-2017, 16:48 door Anoniem
@anoniem van gisteren 18:24

Waarschijnlijk is de ontwerp fout aan het licht gekomen,
doordat men over is gegaan op unix domain sockets.

Lees hierover door Robert Ransom bij op: https://packetstormsecurity.com/files/112439/torproxy-bypass.txt

Hoe te reproduceren vroeg u:
Daarvoor een info quote uit: https://trac.torproject.org/projects/tor/ticket/5741


Download and verify "tor-browser-gnu-linux-i686-2.2.35-10-dev-en-US.tar.gz"
Start up Wireshark to monitor your network, optionally filtering for "dns"
Unpack Tor and start it by running the "start-tor-browser" script
Once TorBrowser is open, go to "?http://bitcoincharts.com/"
See DNS request for "bitcoincharts.com" being logged in Wireshark
System information:
Tor Browser Bundle for 32-bit Linux, version 2.2.35-10
Running on Fedora 16

Voor het juist reproduceren van het lek zijn de gebruikte syntax en omgeving belangrijk,
obfuscatie kan hierbij ook reeds onverklaarbaar storen,
geef eventueel feedback met een eigen 'scrum-report' a.u.b.

luntrus
07-11-2017, 10:24 door [Account Verwijderd] - Bijgewerkt: 07-11-2017, 10:25
[Verwijderd]
07-11-2017, 11:08 door Anoniem
@Neb Poorten,

Ik zeg niet dat er geen grote partijen mee bezig zijn en wat CyberPunks e.d. voorstonden, zonder de technologische mogelijkheden van thans, nu niet al ten dele wordt gerealiseerd. Ik beweer dat in het geheel niet.

Wat mij dwarszit is de huidige slechte beveiligingstoestand op de generale infrastructuur. Wat in de USA geldt als universitaire studiegraad zou hier nog niet eens wegkomen met een HBO diploma en wat ze in praktijk laten zien is er dan ook vaak naar, de kleine groep experts niet te na gesproken, hoor!

Ik zie dagelijks website structuren en beveiligingsniveau's ,waar je echt de tranen bij in de ogen schieten. Dan heb ik het niet alleen over veredelde gedoogde amateur sites. Als dat de 60 % is, die de rest van degenen, die wel weten hoe ze zich beveiligen moeten (en dan stel ik het uiterst optimistisch natuurlijk ) dan maak ik me nog steeds grote zorgen of dient iedereen zich grote zorgen te maken. Vraag, hoe kan het vaak zo lang nog op houtje touwtjeen gommelastieke bandje manier goed gaan?!?

Er is dus een heel pak rotzooi, die het algemene beveiligingsniveau van de gemiddelde Internetter/eindgebruiker dagelijks in de weg zit en daar wordt behalve wat belijden met de mond uiterst weinig aan gedaan. We laten G*ds water maar over G*ds akker stromen, als de ads en tracking maar genoeg opleveren, https-only en certificate transparency ten spijt.

Zeg nu eens eerlijk Neb, wat kunnen we feitelijk, bijvoorbeeld waar het gaat om certs, nog vertrouwen? De in elkaar gestorte "trust" daar gaat het om. Hoe makkelijk is het niet om met een gekaapt 'certificaatje van echtheid' als malcode langs de malware detectie van zo'n 24 AV boeren te fietsen. Moet toch helemaal niet kunnen in deze wereld?

Dat bedoel ik,

luntrus
07-11-2017, 11:54 door Anoniem
@ Neb Poorten,

Hier kunnen nog wel wat security puntjes op de i gezet worden, zie: https://privacyscore.org/site/34025/json/
enzie tevens: https://privacyscore.org/site/34025/

Kwetsbaar voor Lucky13 en de meest gangbare security headers niet geset.
Draait op PHP/5.5.9-1ubuntu4.21 met 12 kwetsbaarheden.
SSL anonyme suthenticatie mogelijk via mimikatz.

Af te voeren bibliotheek: http://retire.insecurity.today/#!/scan/c989f46450eddf925f09fc10ca4880608fd09dca1b83216db50cbf3b5373b3ac

Heeft deze Word Press plug-in de laatste versie? js_composer_salient

Google op -iad23s44-in-f8.1e100.net kan ons goed in beeld hebben.

Verder externe links naar Externally Linked Host Hosting Provider Country

news.bitcoin.com CloudFlare United States

bitconnect.co CloudFlare United States

www.cryptocoinsnews.com CloudFlare United States

github.com GitHub United States

techannouncer.com GoDaddy.com, LLC United States

www.linkedin.com LinkedIn Corporation United States

mvp.mysterium.network DigitalOcean Netherlands

goo.gl Google United States

www.sarunas-savickas.com OOO NPO Relcom Lithuania

www.subscribepage.com CloudFlare United States

twitter.com United States

www.the-blockchain.com CJ2 Hosting&Development Netherlands

www.digitaljournal.com Digital Journal, Inc. United States

lt.linkedin.com LinkedIn Corporation United States

medium.com CloudFlare United States

cointelegraph.com CloudFlare United States

Kwestie wederom van vertrouwen in de integriteit daar.
08-11-2017, 10:05 door [Account Verwijderd] - Bijgewerkt: 08-11-2017, 10:05
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.