Прадстаўлены рэліз спецыялізаванага браўзэра Tor Browser 11.0.2, засяроджанага на забеспячэнні ананімнасці, бяспекі і прыватнасці. Пры выкарыстанні Tor Browser увесь трафік перанакіроўваецца толькі праз сетку Tor, а звярнуцца напрамую праз штатнае сеткавае злучэнне бягучай сістэмы немагчыма, што не дазваляе адсачыць рэальны IP-адрас карыстача (у выпадку ўзлому браўзэра, атакавалыя могуць атрымаць доступ да сістэмных параметраў сеткі, таму для поўнага блакавання магчымых уцечак варта выкарыстоўваць такія прадукты, як Whonix). Зборкі Tor Browser падрыхтаваны для Linux, Windows і macOS.
Для забеспячэння дадатковай абароны ў склад Tor Browser уваходзіць дадатак HTTPS Everywhere, якое дазваляе выкарыстоўваць шыфраванне трафіку на ўсіх сайтах, дзе гэта магчыма. Для зніжэння пагрозы ад правядзення нападаў з выкарыстаннем JavaScript і блакаванні па змаўчанні плагінаў у камплекце пастаўляецца дадатак NoScript. Для барацьбы з блакіроўкай і інспектаваннем трафіку прымяняюцца альтэрнатыўныя транспарты. Для абароны ад вылучэння спецыфічных для канкрэтнага наведвальніка асаблівасцяў адключаныя або абмежаваныя API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices і screen. сродкі адпраўкі тэлеметрыі, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel = preconnect", мадыфікаваны libmdns.
У новай версіі ажыццёўлена сінхранізацыя з кодавай базай выпуску Firefox 91.4.0, у якім ухілена 15 уразлівасцяў, з якіх 10 пазначаныя як небяспечныя. 7 уразлівасцяў выкліканыя праблемамі працы з памяццю, такімі як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці, і патэнцыйна здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак. З зборкі для платформы Linux выключаны некаторыя ttf-шрыфты, выкарыстанне якіх прыводзіла да парушэння адмалёўкі тэксту ў элементах інтэрфейсу ў Fedora Linux. Адключана настройка "network.proxy.allow_bypass", якая кіруе актыўнасцю абароны ад некарэктнага выкарыстання API Proxy у дадатках. Для транспарта obfs4 па змаўчанні задзейнічаны новы шлюз "deusexmachina".
Тым часам працягваецца гісторыя з блакіроўкай Tor у РФ. Раскамнагляд змяніў у рэестры забароненых сайтаў маску блакуемых даменаў з "www.torproject.org" на "*.torproject.org" і пашырыў спіс IP-адрасоў, якія падлягаюць блакаванню. З-за змены апынуліся заблакаванымі большасць паддаменаў праекту Tor, уключаючы blog.torproject.org, gettor.torproject.org і support.torproject.org. Застаецца даступны forum.torproject.net, размешчаны ў інфраструктуры Discourse. Часткова даступныя gitlab.torproject.org і lists.torproject.org, да якіх спачатку знік доступ, але потым быў адноўлены, верагодна пасля змены IP-адрасоў (gitlab зараз накіраваны на хост gitlab-02.torproject.org).
Пры гэтым перасталі адзначацца блакіроўкі шлюзаў і вузлоў сеткі Tor, а таксама хаста ajax.aspnetcdn.com (CDN Microsoft), які выкарыстоўваецца ў транспарце meek-asure. Судзячы па ўсім, эксперыменты з блакаваннем вузлоў сеткі Tor пасля блакавання сайта Tor спыніліся. Няпростая сітуацыя складваецца з люстэркам tor.eff.org, якое працягвае працаваць. Справа ў тым, што люстэрка tor.eff.org прывязана да таго ж IP-адрасу, што выкарыстоўваецца для дамена eff.org арганізацыі EFF (Electronic Frontier Foundation), таму блакіроўка tor.eff.org прывядзе да частковага блакавання сайта вядомай праваабарончай арганізацыі.
Дадаткова можна адзначыць публікацыю новай справаздачы аб магчымых спробах правядзення нападаў па дэананімізацыі карыстальнікаў Tor, якія злучаюцца з групай KAX17, якая выдаткоўваецца па спецыфічным фіктыўным кантактным email у параметрах вузлоў. На працягу верасня і кастрычніка праектам Tor было заблакавана 570 патэнцыйна шкоднасных вузлоў. У піку групе KAX17 атрымалася давесці лік падкантрольных вузлоў у сетцы Tor да 900, размешчаных у 50 розных правайдэраў, што адпавядае прыкладна 14% ад агульнай колькасці рэлеяў (для параўнання ў 2014 году атакавалым атрымалася атрымаць кантроль амаль над паловай рэлеяў Tor, а ў 2020 году над 23.95% выходных вузлоў).
Размяшчэнне вялікай колькасці падкантрольных аднаму аператару вузлоў дазваляе дэананімізаваць карыстальнікаў пры дапамозе атакі класа Sybil, якая можа быць праведзена пры наяўнасці ў зламыснікаў кантролю над першым і апошнім вузламі ў ланцужку ананімізацыі. Першы вузел у ланцужку Tor ведае IP-адрас карыстача, а апошні ведае IP-адрас запытанага рэсурсу, што дазваляе дэананімізаваць запыт праз даданне на боку ўваходнага вузла вызначанай утоенай пазнакі ў загалоўкі пакетаў, якія застаюцца нязменнымі на працягу ўсяго ланцужка ананімізацыі, і аналізу дадзенай пазнакі на баку выходнага вузла. Пры наяўнасці падкантрольных выходных вузлоў атакавалыя таксама могуць уносіць змены ў незашыфраваны трафік, напрыклад, выдаляць перанакіраванні на HTTPS-варыянты сайтаў і перахапляць незашыфраваны змесціва.
Па дадзеных прадстаўнікоў сеткі Tor большасць з выдаленых увосень вузлоў выкарыстоўваліся толькі як прамежкавыя вузлы, не выкарыстоўваныя для апрацоўкі ўваходных і выходных запытаў. Асобныя даследнікі адзначаюць, што вузлы ставіліся да ўсіх катэгорый і верагоднасць траплення на падкантрольны групе KAX17 ўваходны вузел складала 16%, а на выходны – 5%. Але нават калі гэта так, то агульная верагоднасць траплення карыстача адначасова на ўваходны і выходны вузлы групы з 900 падкантрольных KAX17 вузлоў ацэньваецца ў 0.8%. Прамыя доказы выкарыстання вузлоў KAX17 для здзяйснення нападаў адсутнічаюць, але патэнцыйна падобныя напады не выключаны.
Крыніца: opennet.ru