Один из исследователей безопасности обратил внимание (https://wireflaw.net/blog/apache-hidden-service-vuln.html) на беспечность администраторов скрытых сервисов Tor, использующих для обеспечения работы своих сайтов http-сервер Apache в конфигурации по умолчанию.
Большинство дистрибутивов Linux включает модуль mod_status, который позволяет при открытии служебной страницы /server-status посмотреть статистику обработки запросов. По умолчанию просмотр страницы /server-status разрешён только с локальной машины и доступен для запросов с адреса 127.0.0.1.
Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям (https://help.riseup.net/en/security/network-security/tor/oni...) по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.URL: http://arstechnica.com/security/2016/02/default-settings-in-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=43800
Ну написали бы какой-нибудь скрипт, который проверял бы наличие таких вот нюансов.
Тором ведь пользуются не только большие спецы. И для человека в таких вещах не шарящего, указанный момент может быть неочевиден уже потому, что этот человек мог впервые вообще слышать про mod_status.
А запустить скрипт и почитать ворнинги -- сможет каждый.
Да, и апач тоже неспецы себе ставят.
Апач неспецы еще как ставят, только, как говорится, в путь.
А пользователи не достигшие полового возраста nginx не ставят?
Что такое половой возраст?
Открыть "/server-status"?
Ну подобных моментов, вероятно, много. И они разные.
Может подгузники менять автоматически? На всякий случай, а то вдруг человек штаны одевать не умеет.
Ну нельзя же быть спецом во всём. Вот анон не знает, что по-русски правильно "надеть".
Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда его видно быть не должно, а ведь там не только /server-status/ может быть но и какой-нить *sqladmin с дефолтным паролем ;)
> Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда
> его видно быть не должно,А куда его еще выдавать? В документации честно предупреждают. И наверное желание поднять скрытый сервис все-таки подразумевает минимальное знание работы сетей. Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...
> чем-нибудь попроще. Сельским хозяйством, животноводством...О, илитка пожаловала.
>Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...Посмотрим, сколько ты протянешь на сельском хозяйстве, прежде чем у тебя все звери сдохнут.
А нафига держать контент и статистику на одном порту?
Круто, столько лет этому tor'у, а такой косяк только сейчас выловили. Интересно, сколько onionman о нем знали и эксплуатировали в тихую, а теперь будет универсальный "Скрипт-Закрыватор-Бага-Вася777-Эдишон-Утьтимэйт.{bat,sh}" который покажет им Болт.
> Круто, столько лет этому tor'у, а такой косяк только сейчас выловили.Тупость админов - давно известный косяк. Но в случае tor он делает использование tor малорезультативным и от этого довольно сложно что-то придумать. Давно известно что дураки находят очень изобретательные способы обхода защит от дурака.
От намеренно дырявого тора ожидали чего-то другого?
Толсто.
1 Большинство людей скорее-всего пользуются бинарными сборками с сайта и при наличии исходников проверять их никто не будет.
2 Их количество будет достаточно чтобы получить контроль над сетью. Как сеть ведёт себя они скомпроментированы?
Какая компрометация? Вы о чем? Это позволяет полазить по статистике апача, если админ - лошпед. Это позволяет набрать данных о том что происходит на сервере, что плохо но само по себе даже не деанонимизирует никого. Но позволяет атакующему набрать данных для более прицельных атак.
Чукча не читатель, чукча писатель ?
Это позволяет увидеть в этой самой статистике внешний IP скрытого Tor-сервиса, если Апач слушает не только localhost. Что, собственно, полностью его компрометирует.
> бинарными сборками ... проверять их никто не будетДостаточно всего несколько раз проверить. Вот только не говорите, что никто и никогда этого не делал.
> От намеренно дырявого тора ожидали чего-то другого?Предложите альтернативу ?
А на другие порты через тор и локалхост можно выйти?
Вот поддерживаю.
Tor-ом можно на любой порт localhosta выйти ?
Нет, почему вы так думаете? Он же проксирует определенный порт на определенный порт.
>>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.Вот тебе и анонимный браузер! Как ни крути, а IP адрес все равно узнаешь через передаваемые запросы, к которой привязана локальная машина!
>Вот тебе и анонимный браузер!где ты там видишь слово "браузер"?
>>>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.
> Вот тебе и анонимный браузер! Как ни крути, а IP адрес все
> равно узнаешь через передаваемые запросы, к которой привязана локальная машина!Уровень подготовленности аудитории opennet растет от года к году. СпасибоШигоринуЗаЭто.
Высокотехнологичненько.
и в каком из дистрибутивов этот модуль включен по-умолчанию? а то у меня rm на всех серверах есть, и наверное уже пора писать на опеннет новость
Если речь именно про "модуль включен по-умолчанию", то это как минимум в rhel и debian, то есть с учетом производных получаем подавляющее большинство серверов.
#
# Allow serverstatus reports generated by mod_status,
# with the URL of http://servername/server-status
# Change the ".example.com" to match your domain to enable.
#
#<Location /server-status>
# SetHandler server-status
# Order deny,allow
# Deny from all
# Allow from .example.com
#</Location>где этот твой минимум, балаболка? среди модулей?
А что тут удивляться, тор специально был создан для таких целей.
> А что тут удивляться, тор специально был создан для таких целей.Все проще: безопасность не получается нажатием 1 кнопки. А до того как тыкать 500-фунтовых горилл палочкой - проверьте прочность вольера.
127.0.0.1/8 их, локалхостов, целых 16 млн.. юзай-нехочу, а все вяжут всё к одному, единственному.. что за .. ох ладно.
Есть только один истинный localhost - ::1, остальные - от лукавого
tun/tap? Нет, не слышали.