Mozilla: geen zero-dayaanval op gebruikers Tor Browser
In tegenstelling tot wat verschillende media en bedrijven beweren is er bij de aanval op gebruikers van Tor Browser geen 'zero-day' gebruikt, zo laat Daniel Veditz weten, securitychef bij Mozilla. Dit weekend werd bekend dat gebruikers van Tor Browser met malware besmet raakten nadat ze Tor-sites hadden bezocht die bij het hostingbedrijf Freedom Hosting waren gehost.
Het hostingbedrijf was gehackt en aanvallers hadden een exploit aan de gehoste Tor-sites toegevoegd. Deze exploit maakt misbruik van een beveiligingslek dat op 25 juni van dit jaar in Firefox 22.0, Firefox ESR 17.0.7, Thunderbird 17.0.7, Thunderbird ESR 17.0.7 en SeaMonkey 2.19 was gepatcht.
Patch
Tor Browser is een programma dat uit twee delen bestaat: een deel dat verbinding met het Tor anonimiseringsnetwerk maakt en Firefox 17 ESR. Op 26 juni bracht het Tor Project Tor Browser Bundle 2.3.25-10 uit. Deze versie bevat Firefox ESR 17.0.7 en is niet kwetsbaar. Alleen gebruikers van oudere Tor Browsers liepen dan ook risico.
"Dit was geen 'zero day' aanval, het was een exploit gebaseerd op een security advisory van zes weken geleden. Het aantal kwetsbare gebruikers, wie niet up-to-date zijn, daalt snel, dus de exploit verliest toch al het meeste van zijn waarde", stelt Veditz.
Immers, als ze een echte 0-day hadden gebruikt, dan wisten alle pedofielen daar nu ook van. En nu hebben ze een exploit waar de rest van internet zich hopelijk al tegen beschermd heeft via automatische updates (heeft tor bundle niet). Zorgvuldige afweging zit hier achter tussen 1) alle 'darknet' pedofielen ontmaskeren 2) alle niet pedofiele firefox gebruikers beschermen tegen 0-day malware van criminelen.
Ik vraag me ook af of PRISM hierbij geholpen heeft (of hoe het ook allemaal heet). Het is al vanaf het begin van TOR bekend dat een aanvaller die tegelijk het begin en eindpunt van een chain kan zien, die twee kan correleren met elkaar. Omdat er geen reordering of padding van TOR verkeer is...
Een hidden service is helemaal makkelijk omdat je daar gigantisch veel verkeer door kan jagen zonder dat dat erg opvalt. Een website kan immers veel traffic hebben. Dat is normaal. Side channel attack is dit toch? Had ook wel zonder PRISM gekund denk ik dus. PRISM kost alleen maar heel erg veel geld en is moeilijk geheim te houden door alle Snowdentjes die de zaak draaiend houden.
Overigens snapt iedereen dat als je het begin en eindpunt van een route hebt, je de weg ook wel kunt berekenen. Het punt van Tor is juist dat je alleen het eindpunt ziet waardoor de verzender of beginpunt hidden blijft.
Dan als laatste.. Side channel attacks hebben niks met gigantische hoeveelheden traffic te maken noch met hidden services. Get your facts straight! Totaal nutteloze comment, sorry dat ik het zeg.
Lees je artikelen en bijbehorende bronnen wel alvorens je reageert ?
FBI bids to extradite 'largest child-porn dealer on planet'
http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html
Side channel attacks zijn uitstekend om TOR gebruikers mee aan te vallen, zie bijvoorbeeld :
Spying in the Dark: TCP and Tor Traffic Analysis
http://u.cs.biu.ac.il/~herzbea/security/12_02.pdf
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.