image

Aangevallen Firefox-lek in Tor Browser zou al jaar bekend zijn

zaterdag 3 december 2016, 07:50 door Redactie, 5 reacties

Het beveiligingslek in Firefox waarmee gebruikers van Tor Browser zijn aangevallen zou bij sommige partijen al een jaar lang bekend zijn geweest. Via de kwetsbaarheid werd geprobeerd om het ip-adres en mac-adres van Tor Browser-gebruikers te achterhalen, die via de browser juist anoniem willen blijven.

Het beveiligingslek in kwestie zou in december vorig jaar door Exodus Intelligence aan beveiligingsbedrijf Fortinet zijn verkocht, zo melden zakenblad Forbes en Vice Magazine. Exodus Intelligence betaalt beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden, die het vervolgens aan klanten doorspeelt, zoals beveiligingsbedrijven en opsporingsdiensten. Fortinet voegt dergelijke informatie aan de eigen beveiligingsapparatuur toe, zodat klanten van het bedrijf tegen eventuele aanvallen beschermd zijn. Op 10 december 2015 verscheen er een tweet van Fortinet dat het informatie over een "zero day" in Firefox aan de eigen systemen had toegevoegd.

Bronnen laten tegenover Forbes weten dat dit de kwetsbaarheid is waarvoor deze week een noodpatch van Mozilla en het Tor Project verscheen, zodat gebruikers van Firefox en Tor Browser beschermd zijn. "We hebben de afgelopen jaren meerdere kwetsbaarheden in Firefox aan onze klanten geleverd. Deze lijkt inderdaad er één van ons te zijn, maar we onderzoeken op dit moment hoe het precies is gelekt en hoe het was gebruikt", zegt Logan Brown, president van Exodus Intelligence.

Een bron verklaart aan Vice Magazine dat de kwetsbaarheid en een werkende exploit om er misbruik van te maken begin dit jaar aan een "offensieve klant" zijn doorverkocht. "Een offensieve klant bij een opsporingsdienst had er ergens deze zomer de beschikking over", laat de bron verder weten, die ook opmerkt dat het lek mogelijk met meerdere partijen is gedeeld. In een reactie zegt Brown dat Exodus Intelligence de leverancier in kwestie niet altijd inlicht over een kwetsbaarheid in diens producten, wat inhoudt dat beveiligingslekken lange tijd ongepatcht kunnen blijven. In dit geval heeft Brown toegezegd dat hij met Mozilla zal samenwerken om te kijken of de kwetsbaarheid in kwestie nu echt volledig is gepatcht.

Reacties (5)
03-12-2016, 20:55 door Anoniem
Leve tails en whonix.
03-12-2016, 22:40 door Anoniem
Door Anoniem: Leve tails en whonix.
En leve niet lang de lekke Torbrowser versies die er in zitten......
04-12-2016, 07:10 door Anoniem
Door Anoniem: Leve tails en whonix.
Alsof daar geen fouten in zouden zitten.
05-12-2016, 12:55 door PJW9779
Heet dat dan een '365-Days Exploit'?
06-12-2016, 17:20 door Anoniem
Kan iemand hier van de tor beveiliging ingewijden reageren op
het ontwikkelen door Google van onzichtbare captcha's,
die zo onzichtbaar onderscheid maken tussen een of ander bot of een menselijke bezoeker?

Re: https://www.google.com/recaptcha/intro/comingsoon/invisible.html

Betekent dit weer niet nog een nieuwe manier van "security through obscurity"
en is het niet tevens een toegevoegde nieuwe bedreiging voor de tor-gebruiker.

Ik zou liever weten waar ik die onzichtbare captcha's tref (in de cloud bijvoorbeeld),
en wie mij ermee probeert te tracken of wellicht fingerprinten.

Is het waar dat de anonimiteit van de tor browser gebruiker steeds verder onder vuur komt te liggen
van die partijen, die de Internet gebruiker liever helemaal transparant wil hebben?

Beschouwen ze ons eerder als vijanden of toch liever weer als melkvee?
Of is het eerder een "en en"?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.