De release van een gespecialiseerde browser, Tor Browser 11.0.2, is gepresenteerd, gericht op het garanderen van anonimiteit, veiligheid en privacy. Bij gebruik van Tor Browser wordt al het verkeer alleen omgeleid via het Tor-netwerk en is het onmogelijk om rechtstreeks toegang te krijgen via de standaard netwerkverbinding van het huidige systeem, waardoor het echte IP-adres van de gebruiker niet kan worden gevolgd (als de browser is gehackt, kunnen aanvallers kan toegang krijgen tot systeemnetwerkparameters, dus voor volledige (Om mogelijke lekken te blokkeren, moet u producten zoals Whonix gebruiken). Tor Browser-builds zijn voorbereid voor Linux, Windows en macOS.
Om extra beveiliging te bieden, bevat Tor Browser de add-on HTTPS Everywhere, waarmee u waar mogelijk verkeersversleuteling op alle sites kunt gebruiken. Om de dreiging van JavaScript-aanvallen te verminderen en plug-ins standaard te blokkeren, is de NoScript-add-on meegeleverd. Om verkeersblokkades en controles tegen te gaan wordt er gebruik gemaakt van alternatief vervoer. Ter bescherming tegen het benadrukken van bezoekerspecifieke functies zijn de API's WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices en screen.orientation uitgeschakeld of beperkt tools voor het verzenden van telemetrie, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", aangepast door licmdns.
De nieuwe versie synchroniseert met de codebasis van de Firefox 91.4.0-release, waarin 15 kwetsbaarheden zijn opgelost, waarvan er 10 als gevaarlijk zijn gemarkeerd. 7-kwetsbaarheden worden veroorzaakt door geheugenproblemen, zoals bufferoverflows en toegang tot reeds vrijgemaakte geheugengebieden, en kunnen mogelijk leiden tot het uitvoeren van aanvallercode bij het openen van speciaal ontworpen pagina's. Sommige ttf-lettertypen werden uitgesloten van de build voor het Linux-platform, waarvan het gebruik leidde tot verstoring van de tekstweergave in interface-elementen in Fedora Linux. De instelling “network.proxy.allow_bypass” is uitgeschakeld, die de beschermingsactiviteit tegen onjuist gebruik van de Proxy API in add-ons regelt. Voor het obfs4-transport is de nieuwe gateway "deusexmachina" standaard ingeschakeld.
Ondertussen gaat het verhaal van het blokkeren van Tor in de Russische Federatie verder. Roskomnadzor veranderde het masker van geblokkeerde domeinen in het register van verboden sites van “www.torproject.org” in “*.torproject.org” en breidde de lijst met IP-adressen uit die kunnen worden geblokkeerd. De wijziging zorgde ervoor dat de meeste subdomeinen van het Tor-project werden geblokkeerd, waaronder blog.torproject.org, gettor.torproject.org en support.torproject.org. forum.torproject.net, gehost op de Discourse-infrastructuur, blijft beschikbaar. Gedeeltelijk toegankelijk zijn gitlab.torproject.org en Lists.torproject.org, waartoe de toegang aanvankelijk verloren was gegaan, maar vervolgens hersteld, waarschijnlijk na het wijzigen van IP-adressen (gitlab is nu doorverwezen naar de host gitlab-02.torproject.org).
Tegelijkertijd werden gateways en knooppunten van het Tor-netwerk, evenals de host ajax.aspnetcdn.com (Microsoft CDN), gebruikt in het zachtmoedige transport, niet langer geblokkeerd. Blijkbaar zijn de experimenten met het blokkeren van Tor-netwerkknooppunten na het blokkeren van de Tor-website gestopt. Er doet zich een moeilijke situatie voor met de tor.eff.org-spiegelserver, die blijft werken. Feit is dat de tor.eff.org-mirror is gekoppeld aan hetzelfde IP-adres dat wordt gebruikt voor het eff.org-domein van de EFF (Electronic Frontier Foundation), dus het blokkeren van tor.eff.org zal leiden tot een gedeeltelijke blokkering van de site van een bekende mensenrechtenorganisatie.
Daarnaast kunnen we de publicatie noteren van een nieuw rapport over mogelijke pogingen om aanvallen uit te voeren om Tor-gebruikers geassocieerd met de KAX17-groep te de-anonimiseren, geïdentificeerd door specifieke fictieve contact-e-mails in de knooppuntparameters. In september en oktober blokkeerde het Tor-project 570 potentieel kwaadaardige knooppunten. Op zijn hoogtepunt slaagde de KAX17-groep erin het aantal gecontroleerde knooppunten in het Tor-netwerk uit te breiden tot 900, gehost door 50 verschillende providers, wat overeenkomt met ongeveer 14% van het totale aantal relais (ter vergelijking: in 2014 slaagden aanvallers erin om controle krijgen over bijna de helft van de Tor-relais, en in 2020 meer dan 23.95% van de uitgangsknooppunten).
Het plaatsen van een groot aantal knooppunten die door één operator worden beheerd, maakt het mogelijk om gebruikers te de-anonimiseren met behulp van een Sybil-klasseaanval, die kan worden uitgevoerd als aanvallers controle hebben over de eerste en laatste knooppunten in de anonimiseringsketen. Het eerste knooppunt in de Tor-keten kent het IP-adres van de gebruiker, en het laatste kent het IP-adres van de opgevraagde bron, wat het mogelijk maakt om het verzoek te de-anonimiseren door een bepaald verborgen label toe te voegen aan de pakketheaders op de kant van het invoerknooppunt, dat gedurende de gehele anonimiseringsketen onveranderd blijft, en het analyseren van dit label aan de kant van het uitvoerknooppunt. Met gecontroleerde exit-nodes kunnen aanvallers ook wijzigingen aanbrengen in niet-versleuteld verkeer, zoals het verwijderen van omleidingen naar HTTPS-versies van sites en het onderscheppen van niet-versleutelde inhoud.
Volgens vertegenwoordigers van het Tor-netwerk werden de meeste knooppunten die in de herfst werden verwijderd alleen gebruikt als tussenliggende knooppunten en niet voor het verwerken van inkomende en uitgaande verzoeken. Sommige onderzoekers merken op dat de knooppunten tot alle categorieën behoorden en dat de kans om bij het invoerknooppunt te komen dat werd gecontroleerd door de KAX17-groep 16% was, en bij het uitvoerknooppunt - 5%. Maar zelfs als dit zo is, wordt de algemene waarschijnlijkheid dat een gebruiker tegelijkertijd de invoer- en uitvoerknooppunten van een groep van 900 knooppunten bestuurd door KAX17 raakt, geschat op 0.8%. Er is geen direct bewijs dat KAX17-nodes worden gebruikt om aanvallen uit te voeren, maar potentiële soortgelijke aanvallen kunnen niet worden uitgesloten.
Bron: opennet.ru