www.svethardware.cz
>
>
>
>

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu
, , aktualita
Bezpečnostní výzkumník informoval o několika chybách, které obsahuje známý prohlížeč zaměřený na soukromí. Zatím zveřejnil podrobnosti o dvou z nich, ale objevil i tři další. Tor Project se totiž prý k opravě nemá, i když svou nečinnost vysvětlil.
K oblíbeným
reklama
Software pro anonymizaci Tor bývá považován za jeden z nejbezpečnějších způsobů přístupu k internetu, i když zcela „neprůstřelný“ v žádném případě není. Bezpečnostní výzkumník dr. Neal Krawetz, který sám provozuje několik uzlů v síti Tor, se zabezpečením tohoto softwaru zabývá dlouhodobě. V minulosti kritizoval neziskovou organizaci Tor Project kvůli chybějící možnosti snadného nahlášení chyb. Tento nedostatek měl být vyřešen v roce 2017, kdy vývojáři v reakci na kritiku změnili design webových stránek, aby usnadnili hlášení chyb. Kromě toho také spustili bug bounty program prostřednictvím platformy HackerOne, kde mohou uživatelé získat odměnu za objevené zranitelnosti.
 
 
Krawetz ovšem tvrdí, že na neschopnosti řešit nahlášené chyby se nic moc nezměnilo. A nedávno mu došla trpělivost kvůli dvěma letošním událostem. První byl masivní DDoS útok v únoru, kdy byl vážně zasaženy i Krawetzovy služby, ale díky rychlému zjištění příčiny se vývojáři povedlo dát vše rychle do pořádku. Zranitelnost proto nahlásil přes bug bounty program a na žádost organizace Tor Project poskytl velmi detailní popis problému. Po diskuzi plné technických detailů ovšem dostal od zástupce podpory překvapivou odpověď, že se v daném vlákně „začíná ztrácet“ a pokud nemá žádnou konkrétní chybu, za kterou by mohl dostat odměnu, nemohou mu jinak pomoci.
 
Již v roce 2017 se ovšem Krawetz snažil nahlásit jinou zranitelnost, ale kvůli tehdejší absenci rozhraní pro oznámení chyb se mu to ovšem nepodařilo. Ačkoliv problém ohlásil později přes platformu HackerOne, získal za její objevení odměnu a případ byl označen jako vyřešený, zranitelnost v softwaru zůstala. Podobných zážitků měl více, proto se letos v červnu rozhodl ukončil spolupráci s organizací Tor Project a zveřejnit podrobnosti na svém blogu. Zatím v příspěvcích popisuje dvojici zero-day chyb (tj. neopravených), které umožňují poskytovatelům internetového připojení nebo třeba zaměstnavatelům blokovat přístup k síti Tor, a to pomocí detekce odlišných paketů.
 
Zatímco první chyba se týká přímého spojení se sítí Tor, druhá umožňuje poznat i tzv. nepřímé spojení. Jedná se o postup, který je používán právě k oklamání ISP. Uživatel se totiž k síti Tor připojuje přes tzv. mosty, které fungují jako vstupní body, a jejich seznam se často mění, aby nebylo snadné přístup k nim zablokovat. Tyto chyby přitom mohou být zneužívány vládami v zemích s represivními režimy, kde je síť Tor zakázána (např. Čína, Saudská Arábie nebo Írán). Krawetz dodává, že v blízké době publikuje informace o třech dalších chybách. Jedna z nich, která umožňuje detekovat zmíněné mosty, byla objevena před minimálně osmi lety.
 
Zbylé dvě – jednu lze zneužít pro detekci operačního systému podle šířky posuvníku v prohlížeči a druhou k identifikaci knihovny SSL používané servery Tor – znají vývojáři přinejmenším od roku 2017. Tor se po publicitě rozhodl k chybám obsáhle vyjádřit a uvedl, že pro uživatele nepředstavují reálné riziko. Vývojáři ovšem prý dlouhodobě pracují na řešení.
 
Zdroj: Zdnet.com


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Nabídne Core i3-1115G4 Tiger Lake obrovský nárůst základního taktu? Nabídne Core i3-1115G4 Tiger Lake obrovský nárůst základního taktu?
Generace Ice Lake nás minulý rok moc nenadchla, a to i kvůli jejím slabým základním taktům a velkému rozpětí turba. Jak to ale vypadá, alespoň v některých případech by na tom Tiger Lake mohly být mnohem, mnohem lépe. 
Dnes, aktualita, Jan Vítek
Muskova Boring Company prodlouží tunel až do Resorts World Las Vegas Muskova Boring Company prodlouží tunel až do Resorts World Las Vegas
The Boring Company Elona Muska před čtvrt rokem dokončila ražení tunelu Las Vegas Convention Center Loop (LVCC Loop). Nyní bylo rozhodnuto, že se prodlouží až do nového centra Resorts World Las Vegas.
Dnes, aktualita, Milan Šurkala
Radeon Navi 2X s 12 a 16 GB paměti, chystá se prý už Navi 4X Radeon Navi 2X s 12 a 16 GB paměti, chystá se prý už Navi 4X
Z fór Chiphell přichází informace, která je v podstatě v souladu s tím, co jsme nedávno slyšeli i o nových GeForce. Jde o kapacitu paměti na nových kartách a vedle toho se podíváme i na zprávy o teprve chystaných GPU Radeon.
Dnes, aktualita, Jan Vítek1 komentář
NASA nechává pandemii za sebou a vyhlíží nový rok, jaký bude? NASA nechává pandemii za sebou a vyhlíží nový rok, jaký bude?
NASA již ústy svého šéfa Jima Bridenstina mluví o pandemii jako o věci minulosti, se kterou se úspěšně vypořádala a nyní už pomalu vyhlíží další rok. My se můžeme podívat na to, co si pro něj chystá. 
Dnes, aktualita, Jan Vítek
TweakTown: nereferenční verze Ampere přijdou velice brzy TweakTown: nereferenční verze Ampere přijdou velice brzy
Server TweakTown s odkazem na svůj zdroj tvrdí, že NVIDIA si tentokrát nerezervuje exkluzivní lhůtu pro prodej čistě vlastních karet Founders Edition. Nereferenční verze by totiž měly dorazit velice brzy. 
Dnes, aktualita, Jan Vítek1 komentář