Slo-Tech

» »

Prikaz še enega napada na anonimnost

Prikaz še enega napada na anonimnost

Slo-Tech - Pri FortConsult so objavili raziskovalni članek z naslovom Practical Onion Hacking: finding the real address of Tor clients. V njem do pokazali, kako je v HTML kodo mogoče vriniti "spletnega hrošča", ki razkrije pravo identiteto obiskovalca (pravi IP naslov). To so storili s pomočjo JavaScripta in Flasha, zaključujejo pa, da je uporaba teh tehnik razmeroma enostavna.

Pri odkriti ranljivosti pa ne gre za ranljivost Tor omrežja, pač pa za ranljivost podpornih programov in programov, ki uporabljajo Tor. Avtorji članka upajo, da bo na podlagi njihove raziskave popravljen podporni program privoxy (ki bo tako zlonamerno kodo sposoben odstranjevati), kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...

Samo za paranoike.

26 komentarjev

_n00b_ ::

Javascriptu tako ali tako ne zaupam, uporabljam lisico tak da activex odpade, wtf is java :D,edino flash se nisem dol vrgel in DNS serverje sem pozabil...

Malo se, pa bom zdrav paranoik :P

sverde21 ::

Some paranoid ppl. :O
<?php echo `w`; ?>

Vice ::

Znanstveniki pa jaki. Pod najhitrejšo rešitev bi lahko dodali še opcijo za disable mrežne kartice

MrStein ::

Sam sranje, ko že 88% strani ne dela brez JavaShit-a...
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.

Da kukijev ne omenjam.

(sicer sam ne uporabljam Tor)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Azrael ::

Zelo zanimivo, kako pozno opažajo, da je Tor samo burka in nekaj kar nikoli ni in ne more delovati, vsaj ne tako, kot nakladajo najbolj glasni agitatorji Tor-a.

Ampak za naivne paranoike je zadeva kot nalašč, odprtokodna in vse kar še paše zraven, samo... US Navy tega skupka nepregledne kode ni šenkala zato, ker so oni tako dobri, ampak samo zato, ker so ugotovili, da je stvar zanič, kar se tiče anonimnosti. Nasprotno, kot trojanec pa je odlična.

Čakam le še na to, da se bo izvedelo, kako gre avtomatično ves zanimiv del prometa (gesla, pravi IPji in podobne reči), preko tega "anonimnega???" omrežja direktno k NSA in podobnim agencijam.

Edit typo
Nekoč je bil Slo-tech.

Zgodovina sprememb…

  • spremenil: Azrael ()

darkolord ::

kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...

uporabo interneta, uporabo računalnika,...

Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.

ja? s čim?
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

stb ::

Verjetno to v primeru, da je uporabnik v lokalni mreži (za kakim poceni routerjem) pomeni le razkritje lokalnega IPja (eg 192.168.1.3 ipd), kakršnega pač vidi brskalnik in njegovi prirastki (javascript, flash...).

kronik ::

Po mojem mnenju bi moral tor delovati tako, da bi preprosto dodal novi ethernet interface v sistem, tako da bi celi promet potekal preko tega. Ne pa neki proxy-i in podobni crap. Naprimer
Hamachi ima tako narejeno.

Matthai ::

Tor deluje čisto v redu. Seveda je pa v alpha (!!!) fazi testiranja. In tole je pač samo še en bug, ki ga bodo kmalu potolkli.

Oz. če smo natančni, to NI problem Tora, to je problem spremljevalnih aplikacij, ki niso dovol privacy aware. No, tudi te hrošče bodo potolkli.
All those moments will be lost in time, like tears in rain...
Time to die.

MrM ::

Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.

ja? s čim?

Lepo te prosim. Ogromno javascripta na sajtih je odvečnega in bi se dalo ekvivalentno narediti samo s HTML+CSS. Kot najbolj očiten primer lahko navedem dropdown menuje, ki jih še vedno večina dela z javascriptom. Da sploh ne omenjam najnovejšega "hita", ki sem ga npr. zasledil tukaj, da je celotna navigacija narejena z javascriptom/ajaxom.
I have always wished for a computer that would be as easy to use as my
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup

Matthai ::

Za Hamachi sem že slišal. Zadeva je sicer v redu, vendar gre za drug namen kot za Tor (OK, pogrešam tudi source). Res pa je, da je morda princip zasnove Tora malce zgrešen - to pravita tudi avtorja v zgornjem prispevku.

Ampak večino problemov, ki so jih morali rešiti s Torom je po mojem precej preprosto portati na novo zasnovo. Dejansko pa imaš prav - rabil bi posebno virtualno grafično kartico preko katere bi speljal promet. Edini problem je, da za to potrebuješ administratorski dostop...
All those moments will be lost in time, like tears in rain...
Time to die.

Osprey ::

Matthai: sigurno si mislil mrežno, ne grafično kartico.

Če mene vprašate, mi Ajax deluje perfektno. No, še bolj kot za web predstavitve, je uporaben za spletne aplikacije, kjer rešuje ogromno težav in omogoča narediti aplikacijo vsestransko uporabnejšo in prijaznejšo. Seveda se te tehnologije (Ajax, JS...) da tudi odlično zlorabiti v namene hekanja, vdiranja v zasebnost.... ampak vseeno prav, da obstajajo - zaradi spletnih aplikacij, ki velikokrat tudi niso mišljene za splošno avdienco in je zato varnost malo manj pomembna, kot pri splošnih web predstavitvah. Zato je na stvar treba gledati širše in ne ožigosati kar vsepovprek.

Zgodovina sprememb…

  • spremenilo: Osprey ()

Looooooka ::

wow...kr vse izklopmo.
bogi pedofili zdej ne bojo mogl javascripta uporablat na toru(ja pedofili je napisu).

darkolord ::

Da sploh ne omenjam najnovejšega "hita", ki sem ga npr. zasledil tukaj, da je celotna navigacija narejena z javascriptom/ajaxom.

in kaj točno je z ajaxom narobe?
spamtrap@hokej.si
spamtrap@gettymobile.si

Matthai ::

Ja, mrežno sem mislil.

Loooka - saj vendar veš, da so glavni pedofili skriti med desničarji, ne? Republikanec Foley, pa Artiče, pa da ne naštevam dalje.

Tako da počasi lahko nehaš zavajat. Vsako tehnologijo je mogoče uporabiti za dobro ali slabo. Kako bo uporabljena je pa odvisno predvsem od ljudi.
All those moments will be lost in time, like tears in rain...
Time to die.

Brane2 ::

Hehe. Dobra fora, ena od mnogih. Ravna podobni iz "Snatcha", ko tip maskiranega napadalca vpraša "sinko, kako ti je ime ?"

Skriješ se za Tor, nakar tvoja mašina pošlje ciljnemu strežniku tvoj IP naslov. :D
On the journey of life, I chose the psycho path.

Mercier ::

Matthai:
Ampak večino problemov, ki so jih morali rešiti s Torom je po mojem precej preprosto portati na novo zasnovo. Dejansko pa imaš prav - rabil bi posebno virtualno grafično kartico preko katere bi speljal promet. Edini problem je, da za to potrebuješ administratorski dostop...

Če hočeš pri meni pognati Tor rabiš administratorski dostop, oziroma bi to moral izrecno dovolit.

Matthai ::

Brane - točno zato pa rabimo reality testing. V teoriji je Tor izgledal super že v osnutku. Ko pa zadevo implementiraš, se pokaže kup praktičnih problemov, ki jih je treba odpravljati. In to je tisti pravi izziv.

Ravno zato je Tor še vedno v alpha fazi.

Drugače pa Tor clienta na običajni Windows mašini lahko zaženeš brez administratorskih privilegijev. Ravnov tem je čar, da imaš lahko TorPark, ki ga zaženeš iz USB ključa...
All those moments will be lost in time, like tears in rain...
Time to die.

Mercier ::

Matthai, saj rezumem, ampak sem mnenja, da imam običajne windows mašine in, sem sicer dober, nisem pa noben genij, pa to uredim s čisto konvencionalnimi sredstvi in ne veliko dela. Tor ne funkcionira prav dobro kot zaščita pred zoprnim delodajalcem.

MrStein ::

darkolord:
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.

ja? s čim?

CSS za menije (ja, v IE6 ne delajo ravno najbolj, hvala Microsoft...)
popup-i ---> popup killer (ja, brez popupov bomo, hvala bogu)
form validation - server side (ja, počasneje je; nisem rekel 100% vse isto brez JS, ampak 99% funckcionalnosti, ene pač malo počasneje)

Bistvo je, da bi brez JS tudi 99% stvari delalo (mogoče tu in tam malo počasneje).

Saj zaradi mene lahko imajo JS, samo naj imajo tudi NOSCRIPT, da dela tudi brez ...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Heh, za zpornega delodajalca si ogled TCP-over-HTTP ali TCP-over-DNS tunelling >:D
All those moments will be lost in time, like tears in rain...
Time to die.

Mercier ::

Brez da poganjaš posebne programe za tele "inovacije" na klijentu?

Matthai ::

Ja, seveda rabiš poseben program. Lahko pa ga poženeš iz USB ključka...
All those moments will be lost in time, like tears in rain...
Time to die.

Mercier ::

To, da lahko poganjaš kar neki program, skripto iz USB ključka ali od koderkoli se mi ne zdi sprejemljivo za običajno varnostno politiko. Kaj šele, da bi htel najedat.

Matthai ::

Hja, odvisno. Če si tajnica, itak nimaš poganjat česa drugega kot Word. Če si pa razvijalec...
All those moments will be lost in time, like tears in rain...
Time to die.

MrM ::

in kaj točno je z ajaxom narobe?

Nič ni narobe z ajaxom per se, je pa hudo narobe, ko je le-ta zlorabljen za npr. navigacijo po spletni strani.

Razlogi:
1. Strani se nalagajo dlje in ne hitreje, kot bi pričakoval.
2. Do podstrani ne moreš priti z direktnim linkom, kar je slabo iz večih razlogov, med drugim zaradi indeksiranja iskalnikov.
3. Za tako preprosto stvar, kot je navigacija, potrebuješ javascript, kar je nedopustno. S tem avtomatično odrežeš vse uporabnike, ki imajo javascript izklopljen ali pa uporabljajo brskalnik, ki ga ne podpira (text-only, mobilni telefon,...).

Pa še bi lahko našteval.

Ajax je torej zelo uporabna stvar, ko ga uporabiš za to, čemur je namenjen - namenske aplikacije ali pa izboljšanje uporabnikove izkušnje (s fallback sistemom).
I have always wished for a computer that would be as easy to use as my
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

header animacija

Oddelek: Izdelava spletišč
7771 (627) jonynho
»

Odkrita nova Flash ranljivost, ki ugrabi odložišče (strani: 1 2 )

Oddelek: Novice / Varnost
537313 (3118) r0b3rt
»

JavaScript ugrabljanje

Oddelek: Novice / Zasebnost
203080 (2342) Matevžk
»

Prikaz še enega napada na anonimnost

Oddelek: Novice / Zasebnost
263781 (2687) MrM
»

[JS] zamenjava barve v sliki

Oddelek: Programiranje
5966 (907) snow

Več podobnih tem