Extreem ernstig privacylek in Tor gepatcht
Anonimiseringsnetwerk Tor heeft een nieuwe versie van de software uitgebracht, die verschillende lekken verhelpt waardoor de identiteit van gebruikers was te achterhalen. De update verschijnt na een demonstratie van drie onderzoekers, die lieten zien hoe ze delen van het Tor-netwerk kunnen overnemen. Tor is een programma dat gebruikers anoniem laat internetten. De aanval is gebaseerd op vier punten. Gebruikers hergebruiken hun TLS-certificaat als ze met verschillende Tor relays communiceren. Een relay kan een Tor-gebruiker aan de ideniteitssleutel in het certificaat herkennen.
Een aanvaller die deze sleutel kent, kan vervolgens elk "guard relay" langsgaan om te zien of de sleutel met de relay verbinding heeft. Ook is het via verschillende aanvallen voor kwaadaardige websites mogelijk om te zien welke guard relays bezoekende Tor-gebruikers gebruiken. Verder bleek dat Tor-gebruikers meestal drie willekeurige guard relays kiezen. Deze verzameling zou daarmee als een unieke vingerafdruk van de gebruiker kunnen dienen.
Problemen
Tor 0.2.2.34 verhelpt de problemen met de verschillende relays en de identiteitssleutel, waarmee de aanval voorkomen wordt. De aanval door kwaadaardige websites die de guard relays kunnen achterhalen en de unieke vingerafdruk, blijven als "onderzoeksproblemen" bestaan.
Vanwege de ernst van het probleem adviseert Tor alle gebruikers van de software om direct te upgraden. Verder verhelpt de nieuwste versie een aanval waardoor het mogelijk was om bridge relays te achterhalen.
--
Maar de exit nodes zijn vaak de pisang als de gebruikers illigaal bezig zijn.
Special thanks to "frosty_un" for reporting the issue to us! (As far as we know, this has nothing to do with any claimed attack currently getting attention in the media.)
https://blog.torproject.org/blog/tor-02234-released-security-patches
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.