È stato presentato il rilascio di un browser specializzato, Tor Browser 11.0.2, focalizzato a garantire l'anonimato, la sicurezza e la privacy. Quando si utilizza Tor Browser, tutto il traffico viene reindirizzato solo attraverso la rete Tor ed è impossibile accedere direttamente tramite la connessione di rete standard del sistema attuale, che non consente di tracciare il vero indirizzo IP dell'utente (se il browser viene violato, gli aggressori può accedere ai parametri di rete del sistema, quindi per bloccare completamente eventuali perdite, è necessario utilizzare prodotti come Whonix). Le build di Tor Browser sono preparate per Linux, Windows e macOS.
Per fornire ulteriore sicurezza, Tor Browser include il componente aggiuntivo HTTPS Everywhere, che ti consente di utilizzare la crittografia del traffico su tutti i siti, ove possibile. Per ridurre la minaccia di attacchi JavaScript e bloccare i plugin per impostazione predefinita, è incluso il componente aggiuntivo NoScript. Per contrastare il blocco e l'ispezione del traffico si ricorre al trasporto alternativo. Per proteggere dall'evidenziazione di funzionalità specifiche del visitatore, le API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices e screen.orientation sono disabilitate o limitate Strumenti di invio di telemetria, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", modificato da libmdns.
La nuova versione si sincronizza con il codice base della versione Firefox 91.4.0, che ha corretto 15 vulnerabilità, di cui 10 contrassegnate come pericolose. 7 sono causate da problemi di memoria, come buffer overflow e accesso ad aree di memoria già liberate, e possono potenzialmente portare all'esecuzione di codice di un utente malintenzionato all'apertura di pagine appositamente progettate. Alcuni font ttf sono stati esclusi dalla build per la piattaforma Linux, il cui utilizzo ha portato all'interruzione del rendering del testo negli elementi dell'interfaccia in Fedora Linux. Viene disabilitata l'impostazione “network.proxy.allow_bypass” che controlla l'attività di protezione contro l'uso errato delle Proxy API nei componenti aggiuntivi. Per il trasporto obfs4, il nuovo gateway "deusexmachina" è abilitato di default.
Nel frattempo, la storia del blocco di Tor nella Federazione Russa continua. Roskomnadzor ha cambiato la maschera dei domini bloccati nel registro dei siti vietati da “www.torproject.org” a “*.torproject.org” e ha ampliato l'elenco degli indirizzi IP soggetti a blocco. La modifica ha causato il blocco della maggior parte dei sottodomini del progetto Tor, inclusi blog.torproject.org, gettor.torproject.org e support.torproject.org. forum.torproject.net, ospitato sull'infrastruttura Discourse, rimane disponibile. Parzialmente accessibili sono gitlab.torproject.org e lists.torproject.org, ai quali l'accesso era stato inizialmente perso, ma poi ripristinato, probabilmente dopo aver cambiato indirizzo IP (gitlab è ora indirizzato all'host gitlab-02.torproject.org).
Allo stesso tempo, i gateway e i nodi della rete Tor, nonché l’host ajax.aspnetcdn.com (Microsoft CDN), utilizzato nel trasporto mite, non sono stati più bloccati. Apparentemente, gli esperimenti con il blocco dei nodi della rete Tor dopo aver bloccato il sito Web Tor sono stati interrotti. Si presenta una situazione difficile con il mirror tor.eff.org, che continua a funzionare. Il fatto è che il mirror tor.eff.org è legato allo stesso indirizzo IP utilizzato per il dominio eff.org della EFF (Electronic Frontier Foundation), quindi il blocco di tor.eff.org porterà al blocco parziale di il sito di una nota organizzazione per i diritti umani.
Si segnala, inoltre, la pubblicazione di un nuovo report sui possibili tentativi di effettuare attacchi volti a de-anonimizzare gli utenti Tor associati al gruppo KAX17, identificati da specifiche email di contatto fittizie nei parametri del nodo. Nei mesi di settembre e ottobre, il progetto Tor ha bloccato 570 nodi potenzialmente dannosi. Al suo apice, il gruppo KAX17 è riuscito ad aumentare il numero di nodi controllati nella rete Tor a 900, ospitati da 50 diversi provider, che corrisponde a circa il 14% del numero totale di relè (per confronto, nel 2014, gli aggressori sono riusciti a ottenere il controllo su quasi la metà dei relè Tor e nel 2020 su oltre il 23.95% dei nodi di output).
Il posizionamento di un gran numero di nodi controllati da un operatore consente di de-anonimizzare gli utenti utilizzando un attacco di classe Sybil, che può essere effettuato se gli aggressori hanno il controllo sul primo e sull'ultimo nodo della catena di anonimizzazione. Il primo nodo della catena Tor conosce l'indirizzo IP dell'utente e l'ultimo conosce l'indirizzo IP della risorsa richiesta, il che rende possibile de-anonimizzare la richiesta aggiungendo una certa etichetta nascosta alle intestazioni dei pacchetti sul lato del nodo di input, che rimane invariato durante tutta la catena di anonimizzazione, e analizzando questa etichetta sul lato del nodo di output. Con i nodi di uscita controllati, gli aggressori possono anche apportare modifiche al traffico non crittografato, come rimuovere i reindirizzamenti alle versioni HTTPS dei siti e intercettare i contenuti non crittografati.
Secondo i rappresentanti della rete Tor, la maggior parte dei nodi rimossi in autunno sono stati utilizzati solo come nodi intermedi e non per elaborare le richieste in entrata e in uscita. Alcuni ricercatori notano che i nodi appartenevano a tutte le categorie e la probabilità di arrivare al nodo di input controllato dal gruppo KAX17 era del 16% e al nodo di output del 5%. Ma anche se così fosse, la probabilità complessiva che un utente colpisca contemporaneamente i nodi di input e output di un gruppo di 900 nodi controllati da KAX17 è stimata allo 0.8%. Non esiste alcuna prova diretta che i nodi KAX17 vengano utilizzati per sferrare attacchi, ma non si possono escludere possibili attacchi simili.
Fonte: opennet.ru