Nieuws
image

Metasploit Decloak ontmaskert proxy-surfers

zondag 21 december 2008, 11:53 door Redactie, 11 reacties

Internetgebruikers die hun IP-adres achter een proxy verbergen zijn dankzij een nieuwe tool toch te identificeren. Via een combinatie van client-side technologieën en zelf ontwikkelde services achterhaalt de Metasploit Decloak Engine het echte IP-adres. De eerste versie werd in juni 2006 gelanceerde, maar legde het af tegen de Torbutton Firefox extensie en aanpassingen van de Flash plugin. De nieuwe versie bevat een aantal verbeteringen, gebruikt geen Javascript en ondersteunt iTunes, QuickTime en Microsoft Office technieken. Wie deze plugins geïnstalleerd heeft loopt risico zijn of haar anonimiteit te verliezen. De tool kan een parameter naar de QuickTime plugin sturen, die er dan voor zorgt dat er een directe verbinding wordt opgezet, waarbij het de instellingen van de browser negeert.

Ontwikkelaar H.D. Moore geeft toe dat een goed geconfigureerde Tor, Torbutton en Privoxy combinatie nog steeds de anonimiteit van de gebruiker garandeert, maar dat de rest faalt. "Decloack is uniek omdat het het adres van de DNS server die de browser gebruikt kan achterhalen, gecombineerd met de resultaten van een verschillende applicatie protocollen." Websites die het echte IP-adres van hun bezoekers willen weten kunnen de Metasploit Decloaking Engine via deze pagina implementeren.

Reacties (11)
21-12-2008, 15:06 door Anoniem
Zouden de genoemde plugins hiertegen nog gepatched worden of ziet men dit niet als veiligheidsrisico?
21-12-2008, 18:02 door Skizmo
Nou nou zeg. . ze hebben lekken gevonden in andermans rotzooi, en nu blazen ze hoog van de toren. ... waardeloos.
21-12-2008, 18:22 door Anoniem
Door AnoniemZouden de genoemde plugins hiertegen nog gepatched worden of ziet men dit niet als veiligheidsrisico?

De 'bug' in Flash zit er al een tijdje in afaik, ik denk niet dat Adobe daar ook maar iets aan gaat patchen.
22-12-2008, 01:26 door [Account Verwijderd]
[Verwijderd]
22-12-2008, 08:40 door Anoniem
De decloack werkt inderdaad niet als je de plugins uitzet (vooral Flash en Java). Getest met Opera met als anonimiseringsdienst JAP/Jondo en wat blijkt: zodra de plugins uitgeschakeld zijn kan de test er geen IP-adres meer mee achterhalen. De door JAP speciaal aangepaste Firefox (JonDoFox) is helemaal waterdicht. Dus het lijkt erop dat het uitschakelen van plugins voldoende is.
22-12-2008, 10:51 door wizzkizz
Same here, door het gebruik van NoScript werkt deze dienst niet goed, hij blijft gewoon het adres van mijn proxy-server geven (semi-permanente proxy, gewoon ingelogd middels SSH). Alleen als ik het OpenOffice-document open, wordt wel mijn echte IP-adres verraden, maar wie opent er dan ook een office-document als hij gewoon alleen een webpagina wil bezoeken.

Na het tijdelijk toestemming geven van de pagina via NoScript kan zowel via Java als via Flash mijn real IP achterhaald worden. De tool werkt dus wel, maar is niet bestand tegen zaken die allerhande plugins uitschakelen. Helaas surft waarschijnlijk minder dan 0.01% van de internet-populatie op deze manier, dus is het wel degelijk een werkende tool. Maar het is niet toereikend om mensen die een aantal kleine ingrepen hebben gedaan tot aan hun eigen IP te herleiden.
22-12-2008, 11:58 door [Account Verwijderd]
[Verwijderd]
22-12-2008, 15:07 door Anoniem
Als men een VPN service gebruikt om het IP te verbergen, werkt deze techniek dan nog steeds?
22-12-2008, 16:52 door [Account Verwijderd]
[Verwijderd]
22-12-2008, 17:37 door Anoniem
Door AnoniemAls men een VPN service gebruikt om het IP te verbergen, werkt deze techniek dan nog steeds?
Nee, dan het niet. Tenminste: het achterhaalt niet het adres van je eth0, maar van je virtuele adapter.
23-12-2008, 01:45 door Anoniem
Het gaat er niet om of het binnen bepaalde situaties onsuccesvol ingezet kan worden, maar of er situaties zijn waarbij met gebruikelijke configuraties het succesvol is om gegevens te achterhalen die juist niet te achterhalen horen te zijn. Het probleem is dat veel gebruikers zich niet bewust zijn waar de zwaktes van hun configuratie zitten. Reacties hierboven lijken dat volgens mij te bevestigen. Hoe kun je nu serieus kiezen voor anonimiteit middels een proxy als je je er niet van bewust bent hoe en waarmee je privacy niet bestaat. Ik vind dat een zelfde houding die ik managers zie aannemen en hoe verkopers beveiliging nog steeds op de markt zetten: als we dit doen of nemen, dan is alles wel opgelost, als je niet verder wil kijken. Of dit verhaal nu dus nieuw is of niet, het is nog steeds tijd voor een cultuuromslag. U bent niet veilig zolang u niet weet welke risico's u loopt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search