Беше представена версията на специализиран браузър Tor Browser 11.0.2, фокусиран върху осигуряването на анонимност, сигурност и поверителност. Когато използвате Tor Browser, целият трафик се пренасочва само през Tor мрежата и е невъзможно да се осъществи директен достъп през стандартната мрежова връзка на текущата система, което не позволява проследяване на реалния IP адрес на потребителя (ако браузърът е хакнат, нападателите може да получи достъп до мрежовите параметри на системата, така че за пълно За да блокирате възможни течове, трябва да използвате продукти като Whonix). Изгражданията на Tor Browser са подготвени за Linux, Windows и macOS.
За да осигури допълнителна сигурност, Tor Browser включва добавката HTTPS Everywhere, която ви позволява да използвате криптиране на трафика на всички сайтове, където е възможно. За да се намали заплахата от JavaScript атаки и да се блокират плъгини по подразбиране, е включена добавката NoScript. За борба с блокирането на трафика и проверката се използва алтернативен транспорт. За да се предпазят от осветяване на специфични за посетителя функции, приложните програмни интерфейси WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation са деактивирани или ограничени .инструменти за изпращане на телеметрия, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифициран от libmdns.
Новата версия се синхронизира с кодовата база на версията на Firefox 91.4.0, която поправи 15 уязвимости, от които 10 бяха маркирани като опасни. 7 уязвимостите са причинени от проблеми с паметта, като препълване на буфера и достъп до вече освободени области на паметта, и потенциално могат да доведат до изпълнение на код на атакуващ при отваряне на специално проектирани страници. Някои ttf шрифтове бяха изключени от компилацията за платформата Linux, чието използване доведе до прекъсване на изобразяването на текст в елементите на интерфейса във Fedora Linux. Деактивирана е настройката “network.proxy.allow_bypass”, която контролира активността на защита срещу неправилно използване на Proxy API в добавките. За транспорта obfs4 новият шлюз "deusexmachina" е активиран по подразбиране.
Междувременно историята с блокирането на Tor в Руската федерация продължава. Roskomnadzor промени маската на блокираните домейни в регистъра на забранените сайтове от „www.torproject.org“ на „*.torproject.org“ и разшири списъка с IP адреси, подлежащи на блокиране. Промяната доведе до блокиране на повечето от поддомейните на проекта Tor, включително blog.torproject.org, gettor.torproject.org и support.torproject.org. forum.torproject.net, хостван в инфраструктурата на Discourse, остава достъпен. Частично достъпни са gitlab.torproject.org и lists.torproject.org, до които достъпът първоначално беше загубен, но след това възстановен, вероятно след промяна на IP адресите (gitlab сега е насочен към хоста gitlab-02.torproject.org).
В същото време шлюзовете и възлите на мрежата Tor, както и хостът ajax.aspnetcdn.com (Microsoft CDN), използвани в транспорта meek-asure, вече не бяха блокирани. Очевидно експериментите с блокиране на мрежови възли на Tor след блокиране на уебсайта Tor са спрени. Трудна ситуация възниква с огледалото tor.eff.org, което продължава да работи. Факт е, че огледалото tor.eff.org е свързано със същия IP адрес, който се използва за домейна eff.org на EFF (Electronic Frontier Foundation), така че блокирането на tor.eff.org ще доведе до частично блокиране на сайтът на известна правозащитна организация.
Освен това можем да отбележим публикуването на нов доклад за възможни опити за извършване на атаки за деанонимизиране на потребители на Tor, свързани с групата KAX17, идентифицирани от конкретни фиктивни имейли за контакт в параметрите на възела. През септември и октомври проектът Tor блокира 570 потенциално злонамерени възли. В своя пик групата KAX17 успя да увеличи броя на контролираните възли в мрежата Tor до 900, хоствани от 50 различни доставчика, което съответства на приблизително 14% от общия брой релета (за сравнение, през 2014 г. нападателите успяха да придобиват контрол над почти половината от релетата Tor, а през 2020 г. над 23.95% от изходните възли).
Поставянето на голям брой възли, контролирани от един оператор, прави възможно деанонимизирането на потребителите с помощта на атака от клас Sybil, която може да се извърши, ако атакуващите имат контрол върху първия и последния възел във веригата за анонимизиране. Първият възел във веригата Tor знае IP адреса на потребителя, а последният знае IP адреса на искания ресурс, което прави възможно деанонимизирането на заявката чрез добавяне на определен скрит етикет към заглавките на пакетите на страна на входния възел, който остава непроменен през цялата верига на анонимизиране, и анализиране на този етикет от страната на изходния възел. С контролирани изходни възли, атакуващите могат също да правят промени в некриптиран трафик, като например премахване на пренасочвания към HTTPS версии на сайтове и прихващане на некриптирано съдържание.
Според представители на мрежата Tor повечето от премахнатите през есента възли са използвани само като междинни възли, а не за обработка на входящи и изходящи заявки. Някои изследователи отбелязват, че възлите принадлежат към всички категории и вероятността да се стигне до входния възел, контролиран от групата KAX17, е 16%, а до изходния възел - 5%. Но дори и това да е така, тогава общата вероятност потребителят да удари едновременно входните и изходните възли на група от 900 възела, контролирани от KAX17, се оценява на 0.8%. Няма преки доказателства за използване на KAX17 възли за извършване на атаки, но не могат да бъдат изключени потенциални подобни атаки.
Източник: opennet.ru