Подано реліз спеціалізованого браузера Tor Browser 11.0.2, зосередженого на забезпеченні анонімності, безпеки та приватності. При використанні Tor Browser весь трафік перенаправляється тільки через мережу Tor, а звернутися безпосередньо через штатне мережеве з'єднання поточної системи неможливо, що не дозволяє відстежити реальну IP-адресу користувача (у разі злому браузера атакуючі можуть отримати доступ до системних параметрів мережі, тому для повного блокування можливих витоків слід використовувати такі продукти як Whonix). Складання Tor Browser підготовлено для Linux, Windows і macOS.
Для забезпечення додаткового захисту до складу Tor Browser входить додаток HTTPS Everywhere, що дозволяє використовувати шифрування трафіку на всіх сайтах, де це можливо. Для зниження загрози від проведення атак з використанням JavaScript та блокування за замовчуванням плагінів у комплекті постачається додаток NoScript. Для боротьби з блокуванням та інспектуванням трафіку застосовуються альтернативні транспорти. Для захисту від виділення специфічних для конкретного відвідувача особливостей відключені або обмежені API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices та screen. засоби надсилання телеметрії, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel = preconnect", модифікований libmdns.
У новій версії здійснено синхронізацію з кодовою базою випуску Firefox 91.4.0, у якому усунуто 15 уразливостей, з яких 10 позначені як небезпечні. 7 уразливостей викликані проблемами роботи з пам'яттю, такими як переповнення буферів та звернення до вже звільнених областей пам'яті, і потенційно здатні призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок. Зі складання для платформи Linux виключені деякі ttf-шрифти, використання яких призводило до порушення відмальовування тексту в елементах інтерфейсу Fedora Linux. Вимкнено налаштування «network.proxy.allow_bypass», що управляє активністю захисту від некоректного використання API Proxy у додатках. Для транспорту obfs4 за замовчуванням задіяно новий шлюз «deusexmachina».
Тим часом продовжується історія з блокуванням Tor у РФ. Роскомнагляд змінив у реєстрі заборонених сайтів маску доменів, що блокуються, з «www.torproject.org» на «*.torproject.org» і розширив список IP-адрес, що підлягають блокуванню. Більшість піддоменів проекту Tor, зокрема blog.torproject.org, gettor.torproject.org і support.torproject.org, були заблоковані через зміну. Залишається доступний forum.torproject.net, розміщений в інфраструктурі Discourse. Частково доступні gitlab.torproject.org і lists.torproject.org, до яких спочатку зник доступ, але потім був відновлений, ймовірно, після зміни IP-адрес (gitlab зараз направлений на хост gitlab-02.torproject.org).
При цьому перестали відзначати блокування шлюзів і вузлів мережі Tor, а також хоста ajax.aspnetcdn.com (CDN Microsoft), що використовується в транспорті meek-asure. Зважаючи на все, експерименти з блокуванням вузлів мережі Tor після блокування сайту Tor припинилися. Непроста ситуація складається із дзеркалом tor.eff.org, яке продовжує працювати. Справа в тому, що дзеркало tor.eff.org прив'язане до тієї ж IP-адреси, що використовується для домену eff.org організації EFF (Electronic Frontier Foundation), тому блокування tor.eff.org призведе до часткового блокування сайту відомої правозахисної організації.
Додатково можна відзначити публікацію нового звіту про можливі спроби проведення атак з деанонімізації користувачів Tor, що зв'язуються з групою KAX17, що виділяється за специфічними фіктивними контактними електронними повідомленнями в параметрах вузлів. Протягом вересня та жовтня проектом Tor було заблоковано 570 потенційно шкідливих вузлів. У піку групі KAX17 вдалося довести число підконтрольних вузлів у мережі Tor до 900, розміщених у 50 різних провайдерів, що відповідає приблизно 14% від загальної кількості релеїв (для порівняння в 2014 атакуючим вдалося отримати контроль майже над половиною релеїв Tor, а в 2020 році над 23.95% вихідних вузлів).
Розміщення великої кількості підконтрольних одному оператору вузлів дозволяє деанонімізувати користувачів за допомогою атаки класу Sybil, яка може бути проведена за наявності зловмисників контролю над першим і останнім вузлами в ланцюжку анонімізації. Перший вузол у ланцюжку Tor знає IP-адресу користувача, а останній знає IP-адресу запитаного ресурсу, що дозволяє деанонімізувати запит через додавання на стороні вхідного вузла певної прихованої мітки в заголовки пакетів, що залишаються незмінними протягом усього ланцюжка анонімізації, та аналізу даної мітки на стороні вихідного вузла. За наявності підконтрольних вихідних вузлів атакуючі також можуть вносити зміни до незашифрованого трафіку, наприклад, видаляти перенаправлення на HTTPS-варіанти сайтів та перехоплювати незашифрований вміст.
За даними представників мережі Tor більшість з віддалених восени вузлів використовувалися лише як проміжні вузли, які не використовуються для обробки вхідних та вихідних запитів. Окремі дослідники відзначають, що вузли належали до всіх категорій і ймовірність попадання на підконтрольний групі KAX17 вхідний вузол становила 16%, а на вихідний – 5%. Але навіть якщо це так, то загальна ймовірність влучення користувача одночасно на вхідний та вихідний вузли групи з 900 підконтрольних KAX17 вузлів оцінюється в 0.8%. Прямі докази використання вузлів KAX17 для атак відсутні, але потенційно подібні атаки не виключені.
Джерело: opennet.ru