Apache-instelling kan gegevens Tor-server lekken
Een instelling van de webserversoftware Apache kan ervoor zorgen dat informatie van Tor-servers lekt, zo waarschuwt een beveiligingsonderzoeker. Voor het opzetten van een server op het Tor-netwerk kan Apache worden gebruikt. In veel gevallen wordt Apache geleverd met een feature genaamd 'mod_status'.
Het is een pagina die allerlei statistieken weergeeft, zoals uptime, verkeer, ingeschakelde virtuele hosts en actieve http-verzoeken. Het is standaard alleen toegankelijk voor localhost. De Tor-software draait echter op localhost. Daardoor is de statuspagina van de Tor-server via het internet toegankelijk. Volgens de onderzoeker zou een aanvaller in dit geval gevoelige requests kunnen monitoren, de lengtegraad van de server kunnen bepalen als de tijdszone is ingesteld en mogelijk zelfs het ip-adres achterhalen als een clearnet Virtual Host aanwezig is.
De afgelopen maanden ontdekte de onderzoeker verschillende servers waar de statuspagina toegankelijk was, waaronder een populaire Tor-zoekmachine. Beheerders krijgen dan ook het advies om hun instellingen goed na te lopen. "Het is eigenlijk te gek voor woorden dat een eenvoudige servermisconfiguratie zo gevaarlijk is. Vergeet zero-days, verkeersanalyse en crypto-aanvallen: het zijn dit soort eenvoudige fouten die het meest pijn kunnen doen."
Met iedere plugin / software op je server, moet je nadenken wat de impact is van de software. Als je dat niet doet, ben houd het op.
TOR werkt alleen maar als je begrijpt wat je aan het doen bent. Als je een webserver op tor draait zonder de instellingen op privacy/anonimiteit na te lopen dan heb je het gewoon niet helemaal begrepen....
Kortom: m.i. weinig nieuwswaarde.
https://cryptome.org/2013/09/tor-analysis-hidden-services.pdf
https://www.reddit.com/r/TOR/comments/1xgya7/apache_serverstatus_and_tor_hidden_services/
https://leap.se/code/issues/7456
Bottom line: wie verstoppertje wil spelen trekt camouflage aan en neemt geen onnodige zaken mee. Of dat nu mod status is of andere standaard en niet standaard instellingen. De onderzoeker heeft zich daar niet aan gehouden en speelt dus als een klein kind met lucifers.
Met iedere plugin / software op je server, moet je nadenken wat de impact is van de software. Als je dat niet doet, ben houd het op.
ja; het Internet is onveilig; dan gebruik je toch geen Internet!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.