www.svethardware.cz
>
>
>
>

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu
, , aktualita
Bezpečnostní výzkumník informoval o několika chybách, které obsahuje známý prohlížeč zaměřený na soukromí. Zatím zveřejnil podrobnosti o dvou z nich, ale objevil i tři další. Tor Project se totiž prý k opravě nemá, i když svou nečinnost vysvětlil.
K oblíbeným
reklama
Software pro anonymizaci Tor bývá považován za jeden z nejbezpečnějších způsobů přístupu k internetu, i když zcela „neprůstřelný“ v žádném případě není. Bezpečnostní výzkumník dr. Neal Krawetz, který sám provozuje několik uzlů v síti Tor, se zabezpečením tohoto softwaru zabývá dlouhodobě. V minulosti kritizoval neziskovou organizaci Tor Project kvůli chybějící možnosti snadného nahlášení chyb. Tento nedostatek měl být vyřešen v roce 2017, kdy vývojáři v reakci na kritiku změnili design webových stránek, aby usnadnili hlášení chyb. Kromě toho také spustili bug bounty program prostřednictvím platformy HackerOne, kde mohou uživatelé získat odměnu za objevené zranitelnosti.
 
 
Krawetz ovšem tvrdí, že na neschopnosti řešit nahlášené chyby se nic moc nezměnilo. A nedávno mu došla trpělivost kvůli dvěma letošním událostem. První byl masivní DDoS útok v únoru, kdy byl vážně zasaženy i Krawetzovy služby, ale díky rychlému zjištění příčiny se vývojáři povedlo dát vše rychle do pořádku. Zranitelnost proto nahlásil přes bug bounty program a na žádost organizace Tor Project poskytl velmi detailní popis problému. Po diskuzi plné technických detailů ovšem dostal od zástupce podpory překvapivou odpověď, že se v daném vlákně „začíná ztrácet“ a pokud nemá žádnou konkrétní chybu, za kterou by mohl dostat odměnu, nemohou mu jinak pomoci.
 
Již v roce 2017 se ovšem Krawetz snažil nahlásit jinou zranitelnost, ale kvůli tehdejší absenci rozhraní pro oznámení chyb se mu to ovšem nepodařilo. Ačkoliv problém ohlásil později přes platformu HackerOne, získal za její objevení odměnu a případ byl označen jako vyřešený, zranitelnost v softwaru zůstala. Podobných zážitků měl více, proto se letos v červnu rozhodl ukončil spolupráci s organizací Tor Project a zveřejnit podrobnosti na svém blogu. Zatím v příspěvcích popisuje dvojici zero-day chyb (tj. neopravených), které umožňují poskytovatelům internetového připojení nebo třeba zaměstnavatelům blokovat přístup k síti Tor, a to pomocí detekce odlišných paketů.
 
Zatímco první chyba se týká přímého spojení se sítí Tor, druhá umožňuje poznat i tzv. nepřímé spojení. Jedná se o postup, který je používán právě k oklamání ISP. Uživatel se totiž k síti Tor připojuje přes tzv. mosty, které fungují jako vstupní body, a jejich seznam se často mění, aby nebylo snadné přístup k nim zablokovat. Tyto chyby přitom mohou být zneužívány vládami v zemích s represivními režimy, kde je síť Tor zakázána (např. Čína, Saudská Arábie nebo Írán). Krawetz dodává, že v blízké době publikuje informace o třech dalších chybách. Jedna z nich, která umožňuje detekovat zmíněné mosty, byla objevena před minimálně osmi lety.
 
Zbylé dvě – jednu lze zneužít pro detekci operačního systému podle šířky posuvníku v prohlížeči a druhou k identifikaci knihovny SSL používané servery Tor – znají vývojáři přinejmenším od roku 2017. Tor se po publicitě rozhodl k chybám obsáhle vyjádřit a uvedl, že pro uživatele nepředstavují reálné riziko. Vývojáři ovšem prý dlouhodobě pracují na řešení.
 
Zdroj: Zdnet.com


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Konfigurace Intel Alder Lake: jednoduché to nebude Konfigurace Intel Alder Lake: jednoduché to nebude
Server Coreboot ukázal obsah souboru se všemi možnými konfiguracemi procesorů Intel Alder Lake-S a Alder Lake-P. Vypadá to, že nám Intel svou nabídku dokáže znepřehlednit, za což bude moci především nová hybridní architektura. 
Dnes, aktualita, Jan Vítek
AMD Vermeer se ukázal: vzorek Ryzen 9 4950X/5950X s takty až 4,8 GHz AMD Vermeer se ukázal: vzorek Ryzen 9 4950X/5950X s takty až 4,8 GHz
Igor Wallossek se podělil o nové informace o chystaných procesorech generace Zen 3 a konkrétně o modelech Ryzen. Objevily se totiž inženýrské vzorky, které ukazují na turbo až 4,8 GHz. A to může být časem jen vyšší. 
Dnes, aktualita, Jan Vítek
Intel potvrzuje, Tiger Lake dorazí za necelý měsíc, promluví i Raja Koduri Intel potvrzuje, Tiger Lake dorazí za necelý měsíc, promluví i Raja Koduri
Vypuštění či alespoň představení procesorů Tiger Lake na začátku září bylo očekávané, ale dosud ne potvrzené. Nyní tu už ale máme přímo od Intelu potvrzení, že pozvánky pro média na blížící se virtuální událost se opravdu týkají těchto CPU. 
Dnes, aktualita, Jan Vítek
Další oběť ransomwaru od Maze s 10 TB ukradených dat: Canon USA Další oběť ransomwaru od Maze s 10 TB ukradených dat: Canon USA
Společnost Canon má teď trochu těžké období. Ze serverů cloudové služby image.canon kvůli chybě zmizely fotky uživatelů, nyní je celé její americké zastoupení terčem útoku vyděračského softwaru, tzv. ransomwaru.
Dnes, aktualita, Milan Šurkala
Nimbus počítá s SSD ExaDrive s kapacitami až 400 TB Nimbus počítá s SSD ExaDrive s kapacitami až 400 TB
Společnost Nimbus vyrábí SSD s obrovskými kapacitami. Její ExaDrive nabídne kapacity 50 TB i 100 TB, nicméně zástupci společnosti se nechali slyšet, že do budoucna počítají i s kapacitami 200 TB a dokonce i 400 TB.
Dnes, aktualita, Milan Šurkala3 komentáře