The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

12.05.2016 08:57  Mozilla в суде добивается раскрытия уязвимости, применённой в атаке ФБР на Tor Browser

Юристы Mozilla направили в Окружной суд западного округа штата Вашингтон требование обязать правоохранительные органы раскрыть информацию об уязвимости, фигурирующей в одном из криминальных разбирательств.

Данная уязвимость была успешно использована для деанонимизации пользователя через проведение атаки на Tor Browser. Атака была совершена в соответствии с ордером суда в процессе сбора доказательств. Проблема состоит в том, что детали использованной уязвимости не разглашаются и проблема с большой вероятностью остаётся неисправленной в кодовой базе Firefox, которая используется и в Tor Browser, что ставит под угрозу миллионы добропорядочных пользователей.

В настоящий момент судья уже постановил предоставить информацию об атаке стороне защиты подозреваемого, которая может стать источником утечки сведений об ещё не исправленной уязвимости. Mozilla настаивает, что суд должен запретить правоохранительным органам утаивать сведения о неисправленных уязвимостях, и просит обязать раскрыть подробности и разработчикам Firefox, предоставив возможность выпустить исправление до попадания информации в третьи руки.

Инцидент также демонстрирует, что использование Tor Browser не гарантирует сохранение анонимности в случае взлома браузера - получив доступ к системе атакующие могут получить доступ ко всем данным пользователя и информацию об основном канале связи. Для обеспечения надёжной защиты следует использовать дополнительный слой изоляции, скрывающий параметры соединения, благодаря запуску Tor Browser в виртуальном окружении с фиктивными адресами и внешней блокировкой трафика, передаваемого не через Tor. Например, подобный уровень защиты обеспечивает дистрибутив Whonix.

  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Выпуск дистрибутива Tails 2.3 и web-браузера Tor Browser 5.5.5
  3. OpenNews: Выпуск Tor Browser 5.5
  4. OpenNews: Выпуск Whonix 12, дистрибутива для обеспечения анонимных коммуникаций
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: tor, browser, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, The same anonymous (?), 09:42, 12/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    Это же надо, код открытый а посмотреть не могут!
     
     
  • 2.2, Аноним (-), 09:45, 12/05/2016 [^] [ответить]    [к модератору]
  • +7 +/
    Толи дело проприетарный либо совсем забили на безопасность, либо так же в свой собственный код посмотреть не могут.
     
     
  • 3.18, GrammarNarziss (?), 11:41, 12/05/2016 [^] [ответить]    [к модератору]
  • +5 +/
    «то ли дело», бестолочь
     
     
  • 4.20, МОШЕЙНИК (?), 11:42, 12/05/2016 [^] [ответить]    [к модератору]
  • +29 +/
    Чьё дело? Толи.
     
  • 4.43, 808 (??), 01:50, 13/05/2016 [^] [ответить]    [к модератору]
  • +1 +/
    столочь
     
  • 2.3, Аноним (-), 09:46, 12/05/2016 [^] [ответить]    [к модератору]  
  • +16 +/
    > посмотреть не могут!

    Посмотреть могут. А вот найти - нет :)

     
     
  • 3.5, Аноним (-), 09:54, 12/05/2016 [^] [ответить]    [к модератору]  
  • +22 +/
    Тут как нельзя к стати фраза Кличко: "не все могут посмотреть, вернее посмотреть могут все, но не все могут увидеть".
     
     
  • 4.7, Какаянахренразница (ok), 10:25, 12/05/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Спортсмены вообще отличаются глубокими философскими мыслями.

    "Если просто смотреть, то много можно увидеть" © Йоги Бэрра, бейсболист-созерцатель

     
     
  • 5.21, Аноним (-), 11:46, 12/05/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    А ещё я туда ем.
     
     
  • 6.42, Анончег (?), 23:34, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Не туда, а в неё.
     
  • 5.25, Анонизмус (?), 13:07, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    s/p/c/ ?
     
     
  • 6.36, Аноним (-), 17:16, 12/05/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Спостсмены вообще отличаются глубокими философскими мыслями.

    "Если псосто смотреть, то много можно увидеть" © Йоги Бэрра, бейсболист-созерцатель

     
  • 5.31, Аноним (-), 15:18, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Угу. И иногда раздражающими пробелами в образовании.
     
  • 4.19, GrammarNarziss (?), 11:42, 12/05/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    «кстати», позорище
     
     
  • 5.26, OramahMaalhur (ok), 13:10, 12/05/2016 [^] [ответить]    [к модератору]  
  • –4 +/
    К чему? К стати.
     
     
  • 6.28, Аноним (-), 14:02, 12/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Он же запятыми не выделил, т е ты прав =)
     
  • 6.54, Аноним (-), 22:54, 14/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    формально — нет, а по смыслу — да
     
  • 4.30, Аноним (-), 14:45, 12/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Классиков с ошибками цитировать Позор А сегодня в завтрашний день не все мог... весь текст скрыт [показать]
     
     
  • 5.34, Аноним (-), 15:28, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Хороший клип сняли по этой песне
     
     
  • 6.65, Аосос (?), 08:05, 18/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ссылку давай.
     
  • 4.50, Аноним (-), 23:40, 13/05/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Если что, эта фраза впрямую относится ко всему СПО Миллионы глаз якобы пырятся ... весь текст скрыт [показать]
     
     
  • 5.67, Аноним (-), 10:21, 31/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    То ли дело закрытый код, ты ведь эту мысль проталкиваешь, Васенька?
     
  • 5.68, Аноним (-), 02:39, 02/06/2016 [^] [ответить]     [к модератору]  
  • +/
    А ты не много на себя берешь, рассказывая за всех и никогда Я вот код почитал и... весь текст скрыт [показать]
     
  • 3.16, Аноним (-), 11:19, 12/05/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    "Видишь суслика?" "Нет" "И я не вижу. А он есть!"
     
  • 3.22, Аноним (-), 12:26, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Так пусть к Толе и пристают, чо к госоргану пристали, которому работать надо?
     
  • 2.15, Аноним (-), 11:03, 12/05/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Почему бы вам самим не посмотреть в код и не указать людям на уязвимость? Вам будут очень благодарны.
     
     
  • 3.51, Аноним (-), 23:40, 13/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Потому что и ты ни разу не читал ни единого сорца линя, верно А мешки-то стоя-а... весь текст скрыт [показать]
     
  • 2.23, Аноним (-), 12:36, 12/05/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Это же надо, код открытый а посмотреть не могут!

    судя по постоянно падающему качеству продуктов, у них там write-only код

     
  • 1.4, дрыщ (?), 09:50, 12/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    Поясните пожалуйста, об использовании уязвимости в ПО Откуда пользователь зна... весь текст скрыт [показать]
     
     
  • 2.6, ADR (ok), 10:10, 12/05/2016 [^] [ответить]    [к модератору]  
  • +10 +/
    Если вы поставили входную дверь, а через нее ходят посторонние люди, без ключей, это уязвимость?
     
     
  • 3.8, дрыщ (?), 10:27, 12/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Да, уязвимость для меня, потому что я ее поставил. Но проходящий мимо человек не считает ее уязвимостью, он не в курсе, просто открывает.
     
     
  • 4.53, Lain_13 (ok), 05:14, 14/05/2016 [^] [ответить]    [к модератору]  
  • +/
    …отвёрткой и считает, что это норм. Все двери так и открываются же, разве нет?
     
     
  • 5.61, дрыщ (?), 15:29, 16/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Прежде чем такую фигню писать прочел бы мой первый коммент
     
     
  • 6.63, Lain_13 (ok), 15:58, 16/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Если у ПО есть нештатное поведение, приводящее к исполнению нежелательного кода ... весь текст скрыт [показать]
     
  • 3.9, Какаянахренразница (ok), 10:27, 12/05/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Да определение двери Если она поставлена, чтобы предотвратить вход посторонних,... весь текст скрыт [показать]
     
  • 2.10, Какаянахренразница (ok), 10:29, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Само признание это уязвимостью лежит на разработчике, а не на
    > пользователе, разве не так?

    Ну, в принципе, да. Если разраб говорит "так было задумано", то это вроде и не уязвимость.

     
     
  • 3.11, Etch (?), 10:36, 12/05/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    ...а бэкдор
     
     
  • 4.12, Какаянахренразница (ok), 10:39, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Тоже верно :-)
     
     
  • 5.24, Какаянахренразница (ok), 12:37, 12/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > простите, ваш анус уязвим или это бэкдор ?

    Спросите у разраба.

     
  • 1.27, Нанобот (ok), 13:55, 12/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >проблема ... ставит под угрозу миллионы добропорядочных пользователей

    это проблема мозилки, а не ФБР. требовать через суд от ФБР помощи в исправлении - глупость

     
     
  • 2.35, lastvegas (?), 16:14, 12/05/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Это у нас стереотип менталитета. Вот представьте: "Telegram подал в суд на ФСБ...", даже думать об этом страшно.
     
     
  • 3.38, Аноним (-), 18:44, 12/05/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Как челобитную царю подаешь, холоп ?!!
     
  • 3.66, Аосос (?), 08:07, 18/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Это у нас стереотип менталитета. Вот представьте: "Telegram подал в суд на
    > ФСБ...", даже думать об этом страшно.

    Это у тебя стереотип менталитета по поводу стереотипа менталитета.

     
  • 2.59, ACCA (ok), 22:43, 15/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Не глупость, а особенность юридической системы США Тому есть два основания - ... весь текст скрыт [показать]
     
  • 1.29, User (??), 14:39, 12/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > требовать через суд от ФБР помощи в исправлении

    Помощь не требуют, а просят. Мозила имеет право требовать у ФБР, т.к. это касается их продукта.Будет ли удовлетворено требовате(?).

     
  • 1.32, Аноним (-), 15:20, 12/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Это как захочет ФБР Суд с юристами мозилы ничего не решают Если ФБР захочет ... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 3.45, Анонимный Алкоголик (??), 06:55, 13/05/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    FBI приватизировали - ... весь текст скрыт [показать]
     
  • 1.41, Аноним (-), 22:21, 12/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Как известно нельзя получать информацию преступными методами В саша такая инфор... весь текст скрыт [показать]
     
     
  • 2.47, maximnik0 (?), 09:59, 13/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Как известно нельзя получать информацию преступными методами. В Cша такая информация даже
    > не рассматривается судом. Интересно, будут ли фбровцы привлечены к ответственности? Ведь
    > использование уязвимости чтобы залезть на удаленный комп является преступлением

    В США конгресс решил и верховный суд постановление подтвердил ,что преступления в интернете из-за межнациональных границ практически не раскрываемые.И поэтому разрешил по ордерам выданным в США следить за компьютерами подозреваемых за пределами США, а по антеристическому акту признана законной и взлом и установка следящих программ.Другое дело
    что почему-то  пресса не интересуется как  фбр потом доказывает что не залила к примеру детскую порнографию на компьютер подозреваемого ......


     
     
  • 3.49, Аноним (-), 18:25, 13/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Никак не доказывает Где это видано, чтобы в ходе каждого судебного заседания об... весь текст скрыт [показать]
     
  • 1.46, Алкаш (?), 07:34, 13/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ясное дело жабаскрипт подвел
     
  • 1.48, IZh. (?), 10:22, 13/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    На хабре была статья, как надо нормально шифроваться. В общем, без пары последовательных VPN'ов с подключением по RDP к виртуалке, в которой на голой винде крутится TOR, и которая периодически восстанавливается без образа, не обойтись. И всё это, естественно, оплачивается биткоинами.

    А просто TOR -- это так, на торренты зайти.

     
     
  • 2.52, Аноним (-), 23:42, 13/05/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Которые в твоей стране, внезапно, уже тоже вне закона Да-да, анонимный иксперд ... весь текст скрыт [показать]
     
     
  • 3.55, Аноним (-), 22:59, 14/05/2016 [^] [ответить]    [к модератору]  
  • +/
    в какой это стране торренты вне закона, иксперд?
     
     
  • 4.60, горожанин (?), 23:45, 15/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Он про биткойны, деревня
     
  • 4.64, Анонимный Алкоголик (ok), 07:36, 18/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > в какой это стране торренты вне закона, иксперд?

    Он про страну, в которой Надзор вне закона, не торренты. А сажает вас Надзор, да...

     
  • 1.56, Azaza (?), 02:13, 15/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Почему мозила фоундэйшн решили, что была использована уязвимость в их продукте, а не отследили его ноду?
     
     
  • 2.57, Azaza (?), 02:16, 15/05/2016 [^] [ответить]    [к модератору]  
  • +/
    >>Today, we filed a brief in an ongoing criminal case asking the court to ensure that, if our code is implicated in a security vulnerability, that the government must disclose the vulnerability to us before it is disclosed to any other party.

    Как-то слабовато. Фбр скажут, мол, нет уязвимости в вашем браузере, и что тогда?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor