The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.05.2016 08:57  Mozilla в суде добивается раскрытия уязвимости, применённой в атаке ФБР на Tor Browser

Юристы Mozilla направили в Окружной суд западного округа штата Вашингтон требование обязать правоохранительные органы раскрыть информацию об уязвимости, фигурирующей в одном из криминальных разбирательств.

Данная уязвимость была успешно использована для деанонимизации пользователя через проведение атаки на Tor Browser. Атака была совершена в соответствии с ордером суда в процессе сбора доказательств. Проблема состоит в том, что детали использованной уязвимости не разглашаются и проблема с большой вероятностью остаётся неисправленной в кодовой базе Firefox, которая используется и в Tor Browser, что ставит под угрозу миллионы добропорядочных пользователей.

В настоящий момент судья уже постановил предоставить информацию об атаке стороне защиты подозреваемого, которая может стать источником утечки сведений об ещё не исправленной уязвимости. Mozilla настаивает, что суд должен запретить правоохранительным органам утаивать сведения о неисправленных уязвимостях, и просит обязать раскрыть подробности и разработчикам Firefox, предоставив возможность выпустить исправление до попадания информации в третьи руки.

Инцидент также демонстрирует, что использование Tor Browser не гарантирует сохранение анонимности в случае взлома браузера - получив доступ к системе атакующие могут получить доступ ко всем данным пользователя и информацию об основном канале связи. Для обеспечения надёжной защиты следует использовать дополнительный слой изоляции, скрывающий параметры соединения, благодаря запуску Tor Browser в виртуальном окружении с фиктивными адресами и внешней блокировкой трафика, передаваемого не через Tor. Например, подобный уровень защиты обеспечивает дистрибутив Whonix.

  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Выпуск дистрибутива Tails 2.3 и web-браузера Tor Browser 5.5.5
  3. OpenNews: Выпуск Tor Browser 5.5
  4. OpenNews: Выпуск Whonix 12, дистрибутива для обеспечения анонимных коммуникаций
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: tor, browser, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, The same anonymous, 09:42, 12/05/2016 [ответить] [смотреть все]    [к модератору]
  • +8 +/
    Это же надо, код открытый а посмотреть не могут!
     
     
  • 2.2, Аноним, 09:45, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +7 +/
    Толи дело проприетарный либо совсем забили на безопасность, либо так же в свой собственный код посмотреть не могут.
     
     
  • 3.18, GrammarNarziss, 11:41, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +5 +/
    «то ли дело», бестолочь
     
     
  • 4.20, МОШЕЙНИК, 11:42, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +29 +/
    Чьё дело? Толи.
     
  • 4.43, 808, 01:50, 13/05/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +1 +/
    столочь
     
  • 2.3, Аноним, 09:46, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +16 +/
    > посмотреть не могут!

    Посмотреть могут. А вот найти - нет :)

     
     
  • 3.5, Аноним, 09:54, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +22 +/
    Тут как нельзя к стати фраза Кличко: "не все могут посмотреть, вернее посмотреть могут все, но не все могут увидеть".
     
     
  • 4.7, Какаянахренразница, 10:25, 12/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Спортсмены вообще отличаются глубокими философскими мыслями Если просто смотре... весь текст скрыт [показать]
     
     
  • 5.21, Аноним, 11:46, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    А ещё я туда ем.
     
     
  • 6.42, Анончег, 23:34, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не туда, а в неё.
     
  • 5.25, Анонизмус, 13:07, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    s/p/c/ ?
     
     
  • 6.36, Аноним, 17:16, 12/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Спостсмены вообще отличаются глубокими философскими мыслями Если псосто смотре... весь текст скрыт [показать]
     
  • 5.31, Аноним, 15:18, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Угу. И иногда раздражающими пробелами в образовании.
     
  • 4.19, GrammarNarziss, 11:42, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    «кстати», позорище
     
     
  • 5.26, OramahMaalhur, 13:10, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    К чему? К стати.
     
     
  • 6.28, Аноним, 14:02, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Он же запятыми не выделил, т е ты прав =)
     
  • 6.54, Аноним, 22:54, 14/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    формально — нет, а по смыслу — да
     
  • 4.30, Аноним, 14:45, 12/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Классиков с ошибками цитировать Позор А сегодня в завтрашний день не все мог... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 15:28, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Хороший клип сняли по этой песне
     
     
  • 6.65, Аосос, 08:05, 18/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ссылку давай.
     
  • 4.50, Аноним, 23:40, 13/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Если что, эта фраза впрямую относится ко всему СПО Миллионы глаз якобы пырятся ... весь текст скрыт [показать]
     
     
  • 5.67, Аноним, 10:21, 31/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    То ли дело закрытый код, ты ведь эту мысль проталкиваешь, Васенька?
     
  • 5.68, Аноним, 02:39, 02/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А ты не много на себя берешь, рассказывая за всех и никогда Я вот код почитал и... весь текст скрыт [показать]
     
  • 3.16, Аноним, 11:19, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    "Видишь суслика?" "Нет" "И я не вижу. А он есть!"
     
  • 3.22, Аноним, 12:26, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так пусть к Толе и пристают, чо к госоргану пристали, которому работать надо?
     
  • 2.15, Аноним, 11:03, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Почему бы вам самим не посмотреть в код и не указать людям на уязвимость Вам бу... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 23:40, 13/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Потому что и ты ни разу не читал ни единого сорца линя, верно А мешки-то стоя-а... весь текст скрыт [показать]
     
  • 2.23, Аноним, 12:36, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    судя по постоянно падающему качеству продуктов, у них там write-only код... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, дрыщ, 09:50, 12/05/2016 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Поясните пожалуйста, об использовании уязвимости в ПО Откуда пользователь зна... весь текст скрыт [показать]
     
     
  • 2.6, ADR, 10:10, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    Если вы поставили входную дверь, а через нее ходят посторонние люди, без ключей, это уязвимость?
     
     
  • 3.8, дрыщ, 10:27, 12/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Да, уязвимость для меня, потому что я ее поставил Но проходящий мимо человек не... весь текст скрыт [показать]
     
     
  • 4.53, Lain_13, 05:14, 14/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    8230 отвёрткой и считает, что это норм Все двери так и открываются же, разве ... весь текст скрыт [показать]
     
     
  • 5.61, дрыщ, 15:29, 16/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Прежде чем такую фигню писать прочел бы мой первый коммент
     
     
  • 6.63, Lain_13, 15:58, 16/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если у ПО есть нештатное поведение, приводящее к исполнению нежелательного кода ... весь текст скрыт [показать]
     
  • 3.9, Какаянахренразница, 10:27, 12/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Да определение двери Если она поставлена, чтобы предотвратить вход посторонних,... весь текст скрыт [показать]
     
  • 2.10, Какаянахренразница, 10:29, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну, в принципе, да Если разраб говорит так было задумано , то это вроде и не у... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Etch, 10:36, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    ...а бэкдор
     
     
  • 4.12, Какаянахренразница, 10:39, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Тоже верно :-)
     
     
  • 5.24, Какаянахренразница, 12:37, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > простите, ваш анус уязвим или это бэкдор ?

    Спросите у разраба.

     
  • 1.27, Нанобот, 13:55, 12/05/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    >проблема ... ставит под угрозу миллионы добропорядочных пользователей

    это проблема мозилки, а не ФБР. требовать через суд от ФБР помощи в исправлении - глупость

     
     
  • 2.35, lastvegas, 16:14, 12/05/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Это у нас стереотип менталитета. Вот представьте: "Telegram подал в суд на ФСБ...", даже думать об этом страшно.
     
     
  • 3.38, Аноним, 18:44, 12/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Как челобитную царю подаешь, холоп ?!!
     
  • 3.66, Аосос, 08:07, 18/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это у тебя стереотип менталитета по поводу стереотипа менталитета ... весь текст скрыт [показать]
     
  • 2.59, ACCA, 22:43, 15/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не глупость, а особенность юридической системы США Тому есть два основания - ... весь текст скрыт [показать] [показать ветку]
     
  • 1.29, User, 14:39, 12/05/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > требовать через суд от ФБР помощи в исправлении

    Помощь не требуют, а просят. Мозила имеет право требовать у ФБР, т.к. это касается их продукта.Будет ли удовлетворено требовате(?).

     
  • 1.32, Аноним, 15:20, 12/05/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это как захочет ФБР Суд с юристами мозилы ничего не решают Если ФБР захочет ... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 3.45, Анонимный Алкоголик, 06:55, 13/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    FBI приватизировали - ... весь текст скрыт [показать]
     
  • 1.41, Аноним, 22:21, 12/05/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Как известно нельзя получать информацию преступными методами В саша такая инфор... весь текст скрыт [показать]
     
     
  • 2.47, maximnik0, 09:59, 13/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В США конгресс решил и верховный суд постановление подтвердил ,что преступления ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 18:25, 13/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Никак не доказывает Где это видано, чтобы в ходе каждого судебного заседания об... весь текст скрыт [показать]
     
  • 1.46, Алкаш, 07:34, 13/05/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ясное дело жабаскрипт подвел
     
  • 1.48, IZh., 10:22, 13/05/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    На хабре была статья, как надо нормально шифроваться. В общем, без пары последовательных VPN'ов с подключением по RDP к виртуалке, в которой на голой винде крутится TOR, и которая периодически восстанавливается без образа, не обойтись. И всё это, естественно, оплачивается биткоинами.

    А просто TOR -- это так, на торренты зайти.

     
     
  • 2.52, Аноним, 23:42, 13/05/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Которые в твоей стране, внезапно, уже тоже вне закона Да-да, анонимный иксперд ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Аноним, 22:59, 14/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    в какой это стране торренты вне закона, иксперд?
     
     
  • 4.60, горожанин, 23:45, 15/05/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Он про биткойны, деревня
     
  • 4.64, Анонимный Алкоголик, 07:36, 18/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он про страну, в которой Надзор вне закона, не торренты А сажает вас Надзор, да... весь текст скрыт [показать]
     
  • 1.56, Azaza, 02:13, 15/05/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Почему мозила фоундэйшн решили, что была использована уязвимость в их продукте, а не отследили его ноду?
     
     
  • 2.57, Azaza, 02:16, 15/05/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >>Today, we filed a brief in an ongoing criminal case asking the court to ensure that, if our code is implicated in a security vulnerability, that the government must disclose the vulnerability to us before it is disclosed to any other party.

    Как-то слабовато. Фбр скажут, мол, нет уязвимости в вашем браузере, и что тогда?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor