La version d'un navigateur spécialisé, Tor Browser 11.0.2, a été présentée, axée sur la garantie de l'anonymat, de la sécurité et de la confidentialité. Lors de l'utilisation du navigateur Tor, tout le trafic est redirigé uniquement via le réseau Tor, et il est impossible d'y accéder directement via la connexion réseau standard du système actuel, ce qui ne permet pas de suivre la véritable adresse IP de l'utilisateur (si le navigateur est piraté, les attaquants peut accéder aux paramètres du réseau du système, donc pour compléter Pour bloquer d'éventuelles fuites, vous devez utiliser des produits tels que Whonix). Les versions du navigateur Tor sont préparées pour Linux, Windows et macOS.
Pour fournir une sécurité supplémentaire, Tor Browser inclut le module complémentaire HTTPS Everywhere, qui vous permet d'utiliser le cryptage du trafic sur tous les sites lorsque cela est possible. Pour réduire la menace d'attaques JavaScript et bloquer les plugins par défaut, le module complémentaire NoScript est inclus. Pour lutter contre les blocages de la circulation et les contrôles, des transports alternatifs sont utilisés. Pour éviter la mise en évidence des fonctionnalités spécifiques aux visiteurs, les API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices et screen.orientation sont désactivées ou limitées. outils d'envoi de télémétrie, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", libmdns modifiés.
La nouvelle version se synchronise avec la base de code de la version Firefox 91.4.0, qui a corrigé 15 vulnérabilités, dont 10 ont été marquées comme dangereuses. Les vulnérabilités 7 sont causées par des problèmes de mémoire, tels que des débordements de tampon et l'accès à des zones de mémoire déjà libérées, et peuvent potentiellement conduire à l'exécution de code attaquant lors de l'ouverture de pages spécialement conçues. Certaines polices ttf ont été exclues de la version pour la plate-forme Linux, dont l'utilisation a entraîné une perturbation du rendu du texte dans les éléments de l'interface de Fedora Linux. Le paramètre « network.proxy.allow_bypass » est désactivé, qui contrôle l'activité de protection contre une utilisation incorrecte de l'API Proxy dans les modules complémentaires. Pour le transport obfs4, la nouvelle passerelle "deusexmachina" est activée par défaut.
Pendant ce temps, l’histoire du blocage de Tor en Fédération de Russie continue. Roskomnadzor a modifié le masque des domaines bloqués dans le registre des sites interdits de « www.torproject.org » à « *.torproject.org » et a élargi la liste des adresses IP sujettes au blocage. Le changement a entraîné le blocage de la plupart des sous-domaines du projet Tor, notamment blog.torproject.org, gettor.torproject.org et support.torproject.org. forum.torproject.net, hébergé sur l'infrastructure Discourse, reste disponible. Partiellement accessibles sont gitlab.torproject.org et lists.torproject.org, dont l'accès a été initialement perdu, mais ensuite restauré, probablement après un changement d'adresse IP (gitlab est désormais dirigé vers l'hôte gitlab-02.torproject.org).
Dans le même temps, les passerelles et les nœuds du réseau Tor, ainsi que l'hôte ajax.aspnetcdn.com (Microsoft CDN), utilisé dans le transport doux et sûr, n'étaient plus bloqués. Apparemment, les expériences de blocage des nœuds du réseau Tor après le blocage du site Web Tor se sont arrêtées. Une situation difficile se présente avec le miroir tor.eff.org, qui continue de fonctionner. Le fait est que le miroir tor.eff.org est lié à la même adresse IP que celle utilisée pour le domaine eff.org de l'EFF (Electronic Frontier Foundation), donc le blocage de tor.eff.org entraînera un blocage partiel de le site d'une organisation de défense des droits de l'homme bien connue.
De plus, on peut noter la publication d'un nouveau rapport sur d'éventuelles tentatives d'attaques visant à désanonymiser les utilisateurs Tor associés au groupe KAX17, identifiés par des e-mails de contact fictifs spécifiques dans les paramètres du nœud. En septembre et octobre, le projet Tor a bloqué 570 nœuds potentiellement malveillants. À son apogée, le groupe KAX17 a réussi à augmenter le nombre de nœuds contrôlés dans le réseau Tor à 900, hébergés par 50 fournisseurs différents, ce qui correspond à environ 14 % du nombre total de relais (à titre de comparaison, en 2014, les attaquants ont réussi à prendre le contrôle de près de la moitié des relais Tor et en 2020 de plus de 23.95 % des nœuds de sortie).
Placer un grand nombre de nœuds contrôlés par un seul opérateur permet de désanonymiser les utilisateurs à l'aide d'une attaque de classe Sybil, qui peut être réalisée si les attaquants contrôlent le premier et le dernier nœuds de la chaîne d'anonymisation. Le premier nœud de la chaîne Tor connaît l'adresse IP de l'utilisateur, et le dernier connaît l'adresse IP de la ressource demandée, ce qui permet de désanonymiser la demande en ajoutant une certaine étiquette cachée aux en-têtes de paquet sur le du côté du nœud d'entrée, qui reste inchangé tout au long de la chaîne d'anonymisation, et analyser cette étiquette du côté du nœud de sortie. Grâce aux nœuds de sortie contrôlés, les attaquants peuvent également apporter des modifications au trafic non chiffré, par exemple en supprimant les redirections vers les versions HTTPS des sites et en interceptant le contenu non chiffré.
Selon les représentants du réseau Tor, la plupart des nœuds supprimés à l'automne étaient utilisés uniquement comme nœuds intermédiaires, non utilisés pour traiter les demandes entrantes et sortantes. Certains chercheurs notent que les nœuds appartenaient à toutes les catégories et que la probabilité d'accéder au nœud d'entrée contrôlé par le groupe KAX17 était de 16 % et au nœud de sortie de 5 %. Mais même si tel est le cas, alors la probabilité globale qu'un utilisateur accède simultanément aux nœuds d'entrée et de sortie d'un groupe de 900 nœuds contrôlés par KAX17 est estimée à 0.8 %. Il n’existe aucune preuve directe de l’utilisation de nœuds KAX17 pour mener des attaques, mais de potentielles attaques similaires ne peuvent être exclues.
Source: opennet.ru