Se ha presentado el lanzamiento de un navegador especializado, Tor Browser 11.0.2, enfocado a garantizar el anonimato, la seguridad y la privacidad. Cuando se utiliza el navegador Tor, todo el tráfico se redirige únicamente a través de la red Tor y es imposible acceder directamente a través de la conexión de red estándar del sistema actual, lo que no permite rastrear la dirección IP real del usuario (si el navegador es pirateado, los atacantes puede obtener acceso a los parámetros de red del sistema, por lo que para bloquear por completo posibles fugas, debe utilizar productos como Whonix). Las compilaciones del navegador Tor están preparadas para Linux, Windows y macOS.
Para brindar seguridad adicional, Tor Browser incluye el complemento HTTPS Everywhere, que le permite utilizar cifrado de tráfico en todos los sitios donde sea posible. Para reducir la amenaza de ataques de JavaScript y bloquear complementos de forma predeterminada, se incluye el complemento NoScript. Para combatir el bloqueo y la inspección del tráfico, se utiliza el transporte alternativo. Para protegerse contra el resaltado de funciones específicas de los visitantes, las API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices y screen.orientation están deshabilitadas o limitadas. Herramientas de envío de telemetría, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", modificado por libmdns.
La nueva versión se sincroniza con el código base de la versión Firefox 91.4.0, que solucionó 15 vulnerabilidades, de las cuales 10 estaban marcadas como peligrosas. 7 son causadas por problemas con la memoria, como desbordamientos del búfer y acceso a áreas de memoria ya liberadas, y pueden conducir potencialmente a la ejecución de código de atacante al abrir páginas especialmente diseñadas. Algunas fuentes ttf fueron excluidas de la compilación para la plataforma Linux, cuyo uso provocó la interrupción de la representación del texto en los elementos de la interfaz en Fedora Linux. La configuración "network.proxy.allow_bypass" está deshabilitada, que controla la actividad de protección contra el uso incorrecto de la API Proxy en complementos. Para el transporte obfs4, la nueva puerta de enlace "deusexmachina" está habilitada por defecto.
Mientras tanto, continúa la historia del bloqueo de Tor en la Federación Rusa. Roskomnadzor cambió la máscara de dominios bloqueados en el registro de sitios prohibidos de “www.torproject.org” a “*.torproject.org” y amplió la lista de direcciones IP sujetas a bloqueo. El cambio provocó que se bloquearan la mayoría de los subdominios del proyecto Tor, incluidos blog.torproject.org, gettor.torproject.org y support.torproject.org. forum.torproject.net, alojado en la infraestructura de Discourse, permanece disponible. Son parcialmente accesibles gitlab.torproject.org y listas.torproject.org, a los que inicialmente se perdió el acceso, pero luego se restableció, probablemente después de cambiar las direcciones IP (gitlab ahora se dirige al host gitlab-02.torproject.org).
Al mismo tiempo, las puertas de enlace y los nodos de la red Tor, así como el host ajax.aspnetcdn.com (Microsoft CDN), utilizado en el transporte Meek-asure, ya no estaban bloqueados. Aparentemente, los experimentos para bloquear los nodos de la red Tor después de bloquear el sitio web Tor se han detenido. Surge una situación difícil con el espejo tor.eff.org, que sigue funcionando. El hecho es que el espejo tor.eff.org está vinculado a la misma dirección IP que se utiliza para el dominio eff.org de la EFF (Electronic Frontier Foundation), por lo que bloquear tor.eff.org conducirá a un bloqueo parcial de el sitio de una conocida organización de derechos humanos.
Además, podemos destacar la publicación de un nuevo informe sobre posibles intentos de realizar ataques para anonimizar a los usuarios de Tor asociados al grupo KAX17, identificados por correos electrónicos de contacto ficticios específicos en los parámetros del nodo. Durante septiembre y octubre, el Proyecto Tor bloqueó 570 nodos potencialmente maliciosos. En su apogeo, el grupo KAX17 logró aumentar el número de nodos controlados en la red Tor a 900, alojados en 50 proveedores diferentes, lo que corresponde aproximadamente al 14% del número total de retransmisiones (en comparación, en 2014, los atacantes lograron ganar control sobre casi la mitad de los relés Tor, y en 2020 más del 23.95% de los nodos de salida).
Colocar una gran cantidad de nodos controlados por un operador permite anonimizar a los usuarios mediante un ataque de clase Sybil, que puede llevarse a cabo si los atacantes tienen control sobre el primer y último nodo de la cadena de anonimización. El primer nodo de la cadena Tor conoce la dirección IP del usuario y el último conoce la dirección IP del recurso solicitado, lo que permite anonimizar la solicitud agregando una determinada etiqueta oculta a los encabezados de los paquetes en el lado del nodo de entrada, que permanece sin cambios a lo largo de toda la cadena de anonimización, y analizando esta etiqueta en el lado del nodo de salida. Con nodos de salida controlados, los atacantes también pueden realizar cambios en el tráfico no cifrado, como eliminar redireccionamientos a versiones HTTPS de sitios e interceptar contenido no cifrado.
Según representantes de la red Tor, la mayoría de los nodos eliminados en el otoño se utilizaron sólo como nodos intermedios, no para procesar solicitudes entrantes y salientes. Algunos investigadores señalan que los nodos pertenecían a todas las categorías y la probabilidad de llegar al nodo de entrada controlado por el grupo KAX17 era del 16% y al nodo de salida, del 5%. Pero incluso si esto fuera así, entonces la probabilidad general de que un usuario acceda simultáneamente a los nodos de entrada y salida de un grupo de 900 nodos controlados por KAX17 se estima en un 0.8%. No hay evidencia directa de que se hayan utilizado nodos KAX17 para llevar a cabo ataques, pero no se pueden descartar posibles ataques similares.
Fuente: opennet.ru