The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти привязку сертификатов

17.09.2016 09:07

Разработчики анонимной сети Tor представили новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (ESR-45), которая пока остаётся неисправленной в Firefox (проблема будет устранена в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта.

Уязвимость позволяет атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться выполнения в браузере подставного вредоносного дополнения и получить полный контроль над браузером. Например, можно передать данные о наличии обновления NoScript или HTTPS Everywhere, и при попытке его установки передать вредоносную сборку дополнения.

Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), а для атаки требуется компрометация какого-либо удостоверяющего центра. Т.е. атака не может быть проведена обычными злоумышленниками, но не исключается, что ей могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser. Напомним, что в 2011 году в результате взлома удостоверяющего центра DigiNotar атакующие смогли получить поддельный сертификат для домена addons.mozilla.org.

  1. Главная ссылка к новости (https://blog.torproject.org/bl...)
  2. OpenNews: Обновление Tor Browser 6.0.4
  3. OpenNews: Стабильный выпуск новой ветки Tor 0.2.8
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45165-tor
Ключевые слова: tor, browser, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (ok), 09:57, 17/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Тор браузер собирают в Debian Wheezy, а я чисто для себя делаю свою сборку в CentOS (с работы в социалочки заходить). Подскажите как а). Собирать русский язык б). Сделать так, чтобы моя сборка смотрела обновления на моём сайте (который, правда, ещё нужно поднять)
     
     
  • 2.18, Аноним (-), 19:44, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Охренеть ты вантузоид, прям неожиданно
     
     
  • 3.20, Zenitur (ok), 21:55, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И давно CentOS - Windows?
     
     
  • 4.23, Аноним (-), 22:33, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    браузер самостоятельно следящий за обновлениями на какой-то левый сайт вместо системы управления софтом, использующей репозитории с пакетами — это что? Это вантуз. Естественно, в твоей голове, а не в центоси, да.
     
     
  • 5.32, Аноним (-), 17:20, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    #23, чини детектор. Если бы у Зенитара была возможность добавить свой репозиторий в систему, то вряд ли ему был бы нужен Tor Browser. Обычно на рабочих компьютерах у юзеров нет прав админа, и поэтому софт ставится в home и обновляется либо вручную, либо апдейтером, идущим в комплекте.
     
     
  • 6.40, Аноним (-), 08:11, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > #23, чини детектор. Если бы у Зенитара была возможность добавить свой репозиторий
    > в систему, то вряд ли ему был бы нужен Tor Browser.
    > Обычно на рабочих компьютерах у юзеров нет прав админа, и поэтому
    > софт ставится в home и обновляется либо вручную, либо апдейтером, идущим
    > в комплекте.

    зенитарка, залогинься, всё равно я теперь знаю, что ты работаешь винтиком среднего звена в офисе, взял ипотеку на юго-востоке, и дрожишь, чтобы начальник не спалил тебя за просмотром порнухи

     
  • 2.19, Ergil (ok), 21:41, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    «Сборка» не должна искать что-то на сайте. Собирай пакет для свой OS, поднимай репозиторий и добавляй его в пакетный менеджер, обновляй пакетным менеджером. Можешь использовать OBS, он, вроде, умел делать пакеты для CentOS.
     
     
  • 3.24, Аноним (-), 22:34, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > «Сборка» не должна искать что-то на сайте. Собирай пакет для свой OS,
    > поднимай репозиторий и добавляй его в пакетный менеджер, обновляй пакетным менеджером.
    > Можешь использовать OBS, он, вроде, умел делать пакеты для CentOS.

    Похоже, этот ненастоящий зенитарка, тот про OBS знал, и подобную хрень не писал бы.

     

  • 1.2, 0eviy (ok), 11:02, 17/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот все интересно почему при использовании тора капчи чаще всплывают на сатйх чем при исползовании впн, и например музыку в вк через впн нормально слушаю, а если через тор, тодва трека с плейлиста играет и все иророр и ирор на каждой записи следующей, чистиш кеш потом норм, но все равно оч неудобно пришлось впн расширение для хромиум ставить из за такого. Как то можно сделать чтоб тор меньше стопали каптчами или дело не в конфиге?
     
     
  • 2.5, Аноним (-), 11:11, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Дело в отношении к exit нодам тора.
     
     
  • 3.7, 0eviy (ok), 11:58, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Дело в отношении к exit нодам тора.

    но раньше такого не было, даже в прошлом кажется году и вроде в позапрошллом тоже не было, вообще раньше каптч не видел через тор лазая, но спасибо за ответ, понял теперь, предполагал что то подобное.

     
     
  • 4.25, Аноним (-), 02:54, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > но раньше такого не было

    А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/

     
     
  • 5.27, 0eviy (ok), 03:33, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/

    спс, почитаю, только если по руски про это есть в сети.

     
     
  • 6.48, Аноним (-), 14:48, 21/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/
    > спс, почитаю, только если по руски про это есть в сети.

    Слушай, ты уверен, что ты айтишнег? Они вообще по умолчанию по-английски читать обязаны.

     
     
  • 7.50, 0eviy (ok), 17:40, 21/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/
    >> спс, почитаю, только если по руски про это есть в сети.
    > Слушай, ты уверен, что ты айтишнег? Они вообще по умолчанию по-английски читать
    > обязаны.

    я не айтишник, но мне нравится идея опенсорц

     
  • 2.11, Аноним (-), 12:52, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Точно не знаю как работает тор, но скорее-всего он за эти две песни успевает поменять айпи, а аудиозаписи в ВК привязаны к IP-адресу
     
     
  • 3.26, 0eviy (ok), 03:32, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > песни успевает поменять айпи, а аудиозаписи в ВК привязаны к IP-адресу

    ) впн на котором сижу, тоже меняет айпи, конечно не так часто и в основном тоько последние цифры адреса, но с музыкой все норм, а вот тору постоянно вылазиет предупреждение сервер не доступен и переключается на следующую запись и с ней такая же история, отправлял в вк поддержку письмо с выводом из инспектора хромиум, где неаписано что нет соединения с таким то адресом песи, они говорят, что пробовали делать то же самое через тор, слушать всмысле песни и у них все нормально работает.

     
  • 2.21, rshadow (ok), 22:13, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что через тор работают не только пользователи, но и все SEO, качалки, и т.д. А это очень большой паразитный трафик для сайта, особенно если на нем реально есть интересные вещи.
    Поэтому многие закрывают этот канал капчей, либо более строгими правилами. Список выходных нод общедоступен, так что при необходимости это может автоматизировать любой админ.
     
     
  • 3.28, 0eviy (ok), 03:35, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому что через тор работают не только пользователи, но и все SEO,
    > качалки, и т.д. А это очень большой паразитный трафик для сайта,
    > особенно если на нем реально есть интересные вещи.
    > Поэтому многие закрывают этот канал капчей, либо более строгими правилами. Список выходных
    > нод общедоступен, так что при необходимости это может автоматизировать любой админ.

    отличный имха ответ, теперь совсем понятно стало, да, впн юзать продолжу а небо оставим птицам

     
     
  • 4.36, Аноним (-), 23:32, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    клоун: да что уж там, пиши сразу "гениальный". Сам бы ты никогда не догадался, что слова "С вашего IP адреса идёт большой траффик, поэтому просим ввести капчу" означают, что с твоего IP адреса идёт большой траффик.
     

  • 1.3, Аноним (-), 11:08, 17/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Tor всё актуальнее и актуальнее становится с каждым годом =)
     
  • 1.4, Брат (?), 11:10, 17/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    И это прекрасно! АНБ как всегда в попке!
     
     
  • 2.6, Аноним (-), 11:38, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Читайте иногда блог Torproject: https://blog.torproject.org/blog/fbis-quiet-plan-begin-mass-hacking

    Я бы не радовался так сильно. Там тоже не идиоты сидят.

     
     
  • 3.9, Брат (?), 12:12, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Но ведь вместе мы сила?! Подними дома RELAY NODE, и сделаешь сеть Tor мощнее. А если есть возможность арендовать сервер, на котором можно поднять EXIT NODE, то сделаешь мир еще лучше! Мы с братанами так и сделали, и всем совет даем.
     
     
  • 4.12, Аноним (-), 13:00, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Можете с братанами и в этом месте помочь:
    OONI - https://ooni.torproject.org/
     
     
  • 5.13, Аноним (-), 13:04, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Можно вкратце для непосвященных - что это?
     
     
  • 6.14, Аноним (-), 13:32, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Открытая обсерватория сетевых помех

    Бесплатное программное обеспечение, глобальная сеть наблюдений для обнаружения цензуры, наблюдения и манипуляции с трафиком в Интернете

     
     
  • 7.22, rshadow (ok), 22:24, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Мы сделали слежку за следящими чтобы выследить когда за нами будут следить".
     
     
  • 8.33, Аноним (-), 17:28, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Yo dawg, i head you like censorship, so we ve set surveillance on censors so you... текст свёрнут, показать
     
     
  • 9.34, Аноним (-), 17:29, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    s head heard ... текст свёрнут, показать
     
  • 6.15, Аноним (-), 13:35, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл переводчик нормально справляется с переводом:
    https://translate.google.ru/translate?sl=en&tl=ru&js=y&prev=_t&hl=ru&ie=UTF-8&
     
  • 4.16, Аноним (-), 13:49, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тем кто проникся предложением:

    - https://ru.wikipedia.org/wiki/Tor
    - https://en.wikibooks.org/wiki/How_to_Protect_your_Internet_Anonymity_and_Priva
    - https://blog.torproject.org/blog/run-tor-bridge-amazon-cloud
    - https://cloud.torproject.org/
    - https://habrahabr.ru/post/228971/

    Тем кто задумывается об выходной ноде - читать 5 раз по столько же (три раза в день))

     
  • 3.10, 0eviy (ok), 12:35, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ну и еще паре тройке мест тожи значимых в некатарых кругах ))
     
  • 2.39, АНБ (?), 05:17, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Кто в попе то?
    Ну отработали очередные уязвимости уже своё, их позакрывали.
    Не волнуйся, естественно есть и текущие хорошего уровня, которые тоже спустя значительное вемя закроют, и ты об этом узнаешь. Но хоть повод порадоваться будет у тебя :)
     
     
  • 3.43, Мощный Аноним (?), 12:36, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе сказали АНБ в попе.
     
  • 3.46, Аноним (-), 15:11, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В попе АНБ, это понятно. А вот у кого в попе, как часто и в каких позах - сильно зависит от числа 0-day уязвимостей того же тора)
     

  • 1.8, 0eviy (ok), 12:07, 17/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я бы вообще сказал вот где нет идиотов так это только там )
     
     
  • 2.17, Аноним (-), 13:53, 17/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Врага вообще вредно недооценивать.
    Лучше перебдеть, чем недобдеть!
     
     
  • 3.29, 0eviy (ok), 03:36, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Врага вообще вредно недооценивать.
    > Лучше перебдеть, чем недобдеть!

    особенно когда от него не только твоя но и остальные жизни хорошие зависят

     

  • 1.30, Аноним (-), 08:01, 18/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я все равно не могу выйти в инет через Tor в КЗ.
    Даже с новыми бриджами полученными через почту.

    Где затык?

     
     
  • 2.31, Аноним (-), 12:19, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Затык в самом КЗ.
    А если серьезно, то используйте ВПН, потом Tor.
     
  • 2.35, Аноним (-), 17:30, 18/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В конфигурялке тора есть много способов связи, вы все перепробовали?
     
     
  • 3.45, Pipec (?), 12:44, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовал все!

     
  • 2.47, Аноним (-), 15:14, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Где затык?

    Скройте сам факт использования ТОРа от провайдера. Юзайте TOR over VPN или (что намного лучше и нередко быстрее) TOR over SSH.


     

  • 1.37, Аноним (-), 23:36, 18/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    клоун: И давно в нём эта ошибка? Т.е. используя незащищённый браузер я оставался незащищённым. А использую защищённый браузер (который жутко тормозит в работе) я тоже оставался незащищённым.

    Точнее так: до вчерашнего дня я думал, что я защищён, но был не защищён. Сейчас я думаю что защищён, но это не факт.

    Из этой спирали бреда есть выход - использовать IE 5.0. Защищёнными нам всё равно не быть, так зачем нам всё это ПО с багами, нам что багов IE мало?

     
     
  • 2.38, Аноним (-), 00:56, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну пройдись по ссылкам багов, не маленький же.
    > That means the AMO pins expired on Sept 3 in releases based on 45.3 (see last line)
    > The static pins in Firefox 48.0.x expired also, on Sept 10.
     
  • 2.41, pkdr (ok), 09:51, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ универсальный: этот сок мозга из тебя течёт потому, что ты MSSP. У людей таких проблем с мозгом нет.
     
     
  • 3.42, Аноним (-), 10:37, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    клоун: Слышал фразу "Отвечать за базар"? Если ты пишешь программу для рисования кружочков, то рисование кружочков должно выполняться быстро и без ошибок. Остальное как получится.

    Если ты упираешь в защищённость и безопасность, то эта часть кода должна быть вылизана от и до. И никаких детских ошибок в ней быть не должно по определению.

    И я вполне чётко понимаю, что если ключевой функционал глючит, значит он не являлся приоритетом в разработке. Вообще, черезж---пно: когда ключевой функционал не является приоритетным.

    Хотя, о чём это я? Здесь же всё по принципу "мне п-х" (это такой перевод "just for fun").

     
     
  • 4.44, Аноним (-), 12:36, 19/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя изнасиловал клоун?
     
     
  • 5.49, Аноним (-), 14:49, 21/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Тебя изнасиловал клоун?

    Его давно изнасиловал. Это альтер эго шигораса :)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру