Foi apresentado o lançamento de um navegador especializado, Tor Browser 11.0.2, focado em garantir anonimato, segurança e privacidade. Ao utilizar o Navegador Tor, todo o tráfego é redirecionado apenas pela rede Tor, sendo impossível o acesso direto pela conexão de rede padrão do sistema atual, o que não permite rastrear o endereço IP real do usuário (se o navegador for hackeado, os invasores pode obter acesso aos parâmetros de rede do sistema, portanto, para bloquear completamente possíveis vazamentos, você deve usar produtos como Whonix). As compilações do navegador Tor são preparadas para Linux, Windows e macOS.
Para fornecer segurança adicional, o Tor Browser inclui o complemento HTTPS Everywhere, que permite usar criptografia de tráfego em todos os sites sempre que possível. Para reduzir a ameaça de ataques JavaScript e bloquear plug-ins por padrão, o complemento NoScript está incluído. Para combater o bloqueio e fiscalização do trânsito, são utilizados transportes alternativos. Para proteger contra o destaque de recursos específicos do visitante, as APIs WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices e screen.orientation estão desabilitadas ou limitadas Ferramentas de envio de telemetria, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", modificado por libmdns.
A nova versão sincroniza com a base de código da versão 91.4.0 do Firefox, que corrigiu 15 vulnerabilidades, das quais 10 foram marcadas como perigosas. 7 são causadas por problemas de memória, como buffer overflows e acesso a áreas de memória já liberadas, e podem potencialmente levar à execução de código invasor ao abrir páginas especialmente projetadas. Algumas fontes ttf foram excluídas da construção para a plataforma Linux, cujo uso levou à interrupção da renderização de texto em elementos de interface no Fedora Linux. A configuração “network.proxy.allow_bypass” está desabilitada, que controla a atividade de proteção contra o uso incorreto da API Proxy em complementos. Para o transporte obfs4, o novo gateway "deusexmachina" está habilitado por padrão.
Enquanto isso, a história do bloqueio do Tor na Federação Russa continua. Roskomnadzor alterou a máscara de domínios bloqueados no registro de sites proibidos de “www.torproject.org” para “*.torproject.org” e ampliou a lista de endereços IP sujeitos a bloqueio. A mudança fez com que a maioria dos subdomínios do projeto Tor fossem bloqueados, incluindo blog.torproject.org, gettor.torproject.org e support.torproject.org. forum.torproject.net, hospedado na infraestrutura do Discourse, permanece disponível. Parcialmente acessíveis estão gitlab.torproject.org e lists.torproject.org, para os quais o acesso foi inicialmente perdido, mas depois restaurado, provavelmente após alteração de endereços IP (gitlab agora é direcionado para o host gitlab-02.torproject.org).
Ao mesmo tempo, os gateways e nós da rede Tor, bem como o host ajax.aspnetcdn.com (Microsoft CDN), usado no transporte meek-asure, não foram mais bloqueados. Aparentemente, os experimentos com bloqueio de nós da rede Tor após o bloqueio do site Tor foram interrompidos. Uma situação difícil surge com o espelho tor.eff.org, que continua a funcionar. O fato é que o espelho tor.eff.org está vinculado ao mesmo endereço IP usado para o domínio eff.org da EFF (Electronic Frontier Foundation), portanto, o bloqueio de tor.eff.org levará ao bloqueio parcial de o site de uma conhecida organização de direitos humanos.
Além disso, podemos notar a publicação de um novo relatório sobre possíveis tentativas de realizar ataques para desanonimizar usuários Tor associados ao grupo KAX17, identificados por e-mails de contato fictícios específicos nos parâmetros do nó. Durante setembro e outubro, o Projeto Tor bloqueou 570 nós potencialmente maliciosos. No seu auge, o grupo KAX17 conseguiu aumentar para 900 o número de nós controlados na rede Tor, hospedados por 50 provedores diferentes, o que corresponde a aproximadamente 14% do número total de relés (para efeito de comparação, em 2014, os invasores conseguiram ganhar controle sobre quase metade dos relés Tor e, em 2020, acima de 23.95% dos nós de saída).
Colocar um grande número de nós controlados por um operador torna possível desanonimizar os usuários usando um ataque da classe Sybil, que pode ser realizado se os invasores tiverem controle sobre o primeiro e o último nó da cadeia de anonimato. O primeiro nó da cadeia Tor conhece o endereço IP do usuário, e o último conhece o endereço IP do recurso solicitado, o que permite desanonimizar a solicitação adicionando um determinado rótulo oculto aos cabeçalhos dos pacotes no lado do nó de entrada, que permanece inalterado ao longo de toda a cadeia de anonimato, e analisando esse rótulo no lado do nó de saída. Com nós de saída controlados, os invasores também podem fazer alterações no tráfego não criptografado, como remover redirecionamentos para versões HTTPS de sites e interceptar conteúdo não criptografado.
Segundo representantes da rede Tor, a maioria dos nós removidos no outono foram usados apenas como nós intermediários, não usados para processar solicitações de entrada e saída. Alguns pesquisadores observam que os nós pertenciam a todas as categorias e a probabilidade de chegar ao nó de entrada controlado pelo grupo KAX17 era de 16%, e ao nó de saída - 5%. Mas mesmo que seja assim, a probabilidade geral de um usuário atingir simultaneamente os nós de entrada e saída de um grupo de 900 nós controlados pelo KAX17 é estimada em 0.8%. Não há evidências diretas de que nós KAX17 sejam usados para realizar ataques, mas possíveis ataques semelhantes não podem ser descartados.
Fonte: opennet.ru