Een hostingbedrijf dat de helft van alle websites op het Tor anonimiseringsnetwerk zou hosten is dit weekend offline gehaald, waarbij gebruikers van de Tor Browser via lekken in Firefox 17 zijn aangevallen. Zaterdag kwam de Ierse Independent met nieuws over de uitlevering van de 28-jarige Ier Eric Eoin Marques. De man was op verzoek van de Amerikaanse autoriteiten aangehouden.

Hij wordt verdacht van het verspreiden en promoten van kinderporno op internet. De FBI, die om de uitlevering van Marques heeft gevraagd, zou een jaar zijn bezig geweest om hem te vinden. Marques zou ook de man achter Freedom Hosting zijn, een hostingbedrijf dat onder andere allerlei Tor-websites hoste. Een groot deel van deze websites ging dit weekend offline.

Hidden service
Tor biedt gebruikers de mogelijkheid om een Hidden service te starten. Een server waarvan de websites die het aanbiedt alleen via het Tor-netwerk te bereiken zijn. Volgens het Tor Project lijkt het erop dat iemand erin is geslaagd om de software die Freedom Hosting gebruikt te hacken. Het gaat hier niet om een lek in het Tor-netwerk, maar mogelijk de serversoftware, zoals bijvoorbeeld PHP, Apache of MySQL

Vervolgens werd de server van Freedom Hosting zo ingesteld dat er op alle webpagina's die bezoekers kregen te zien een JavaScript-exploit werd toegevoegd. Deze exploit zou weer zijn gebruikt om de computer van gebruikers met malware te infecteren.

"De malware zou mogelijk potentiële beveiligingslekken in Firefox 17 ESR kunnen gebruiken, waar onze Tor Browser is op gebaseerd", aldus het Tor Project in een verklaring. De ontwikkelaars zeggen dat ze de bugs aan het onderzoeken zijn en indien mogelijk zullen verhelpen.

Firefox ESR
Er zijn verschillende versies van Firefox die door Mozilla, de makers van de browser, worden aangeboden. Naast de standaardversie die de meeste gebruikers gebruiken, en waarvan versie 22 de meest recente versie is, is er ook een ESR-versie. De Firefox Extended Support Release (ESR) is bedoeld voor organisaties en bedrijven die niet om de zes weken een nieuwe browser willen testen en uitrollen.

De ESR-versie wordt dan ook een jaar lang ondersteund en Firefox 17 ESR is in deze reeks de meest recente versie. De exploits, hoewel ze nog niet bevestigd zijn, zouden daardoor ook gevolgen voor organisaties en bedrijven kunnen hebben die deze versie van de browser gebruiken.

"Mozilla is ingelicht over potentiële kwetsbaarheden in Firefox 17. Firefox 17 is op het moment de extended support release versie. We zijn actief deze informatie aan het onderzoeken en zullen aanvullende informatie verstrekken als het beschikbaar wordt", zegt Mozilla's Michael Coates.

Update 9:40
Mozilla's Daniel Veditz bevestigt dat de aanvaller of aanvallers CVE-2013-1690 gebruikten. Deze kwetsbaarheid is in Firefox 22 en Firefox ESR 17.0.7 verholpen. Gebruikers die hun browser updaten liepen en lopen dan ook geen risico.

Beveiligingsonderzoeker Vlad Tsrklevich analyseerde de exploit en stelt dat die werd gebruikt waarschijnlijk door opsporingsdiensten is ontwikkeld. "Omdat deze lading geen tweede backdoor uitvoert of downloadt, is het zeer waarschijnlijk dat die door een opsporingsdienst is gebruikt en niet door blackhats."

update: de titel van het artikel is aangepast met de nieuwe informatie