» »

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Slo-Tech - Po tem, ko smo pred nekaj dnevi poročali o novem anonimizacijskem orodju TorFox (gre za program, ki združuje Tor in Firefox), je raziskovalec Kyle Williams danes objavil varnostno analizo tega orodja.

Žal se izkaže, da je v produktu polno pomanjkljivosti. Tako niso onemogočeni dodatki (Flash, Adobe Reader, itd.), poleg tega pa je pravi IP naslov uporabnika TorFoxa mogoče razkriti še na nekaj drugih načinov, kar bi bilo sicer mogoče preprečiti že z namestitvijo dodatka TorButton. Kot kaže avtor TorFoxa ni opravil niti osnovnih testiranj (npr. JanusVM testa in Decloak testa). Celotno testiranje TorFoxa je sicer na voljo na internetu.

Očitno TorFox trenutno ni primeren za resno uporabo, pač pa zgolj za testiranje. Glede na to, da avtor TorFoxa uporabnike preusmerja na svojo spletno stran, ki prikazuje Google oglase pa gre morda celo za precej neresen poskus služenja denarja.

Mimogrede, dva bistveno bolj kvalitetna produkta za anonimno brskanje po internetu sta sicer Tor Browser Bundle in XB Browser. Prvi je popolnoma brezplačen, XB Browser pa v brezplačni različici omogoča uporabo Tor omrežja, v plačljivi različici pa uporabo hitrejšega XeroBank anonimizacijskega omrežja.

15 komentarjev

PaX_MaN ::

Kot kaže avtor TorFoxa ni opravil niti osnovnih testiranj (npr. JanusVM testa in Decloak testa).

Meni passa kar oba(to je, pr Janusu, Decloak povezava enako kaže na Janusa), pa nimam nič od Tora gor.

(Dober komad, drgač.)

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

Azrael ::

Kaj pa ti testi sploh delajo? Pri meni je vse Passed, pa ne uporabljam ne Tor in še manj pa FF.

Oziroma ali testi pokažejo pričakovano, da je Torfox samo eden izmed nepregledne množice hudo sumljivih dodatkov za brskalnik FF, ki se razglaša kot kao varen brskalnik (vejžda), vendar za minimum minimuma funkcionalnosti rabi tisoč in en bolj ali manj sumljiv plugin?
Nekoč je bil Slo-tech.

Ayumi ::

Kaj pa ti testi sploh delajo? Pri meni je vse Passed, pa ne uporabljam ne Tor in še manj pa FF.

Oziroma ali testi pokažejo pričakovano, da je Torfox samo eden izmed nepregledne množice hudo sumljivih dodatkov za brskalnik FF, ki se razglaša kot kao varen brskalnik (vejžda), vendar za minimum minimuma funkcionalnosti rabi tisoč in en bolj ali manj sumljiv plugin?


+1 na to. Sicer uporabljam FF, vendar nič drugega. Sploh. Še Windows Firewall in Defender sta izklopljena. Win7. WIN!

jype ::

A ste bukovi?

Testi so uspešni, če se vaš IP razlikuje od tistega ki ga vidi remote - če se ne, potem itak lahko pogleda v svoj log in mu ni treba skozi te trike, da bi ga našel.

poweroff ::

Link na decloak sem popravil.

Sicer pa da - test samo ugotavlja ali se ugotovljeni IP-ji kaj razlikujejo. Ne preverja ali imate IP v rangu Tor IPjev. Za to so drugi servisi.

Mislim, Azrael - od tebe bi pričakoval, da boš vedel to...
sudo poweroff

Azrael ::

@Matthai

Vem, da zadeva hoče z raznimi triki izvohati moj trenutni IP, kar mu ne uspe in tako moj PC uspešno prestane ta test.

Toda, kot si sam rekel, ne gleda ostalega in je tako lahko vzrok napačni diagnozi: Juhej!Meni pa anonimnost (na popolnomma neznan način) dela.

Pa temu ni tako! Tako S-T, kot ostali forumi, na katerih sem prijavljen, 100% zabeležijo moj pravi IP (sem šel pravkar pogledat na forum, kjer imam admin dostop).

Samo zato sprašujem, saj me zanima kolikšna je sploh vrednost tega testa.

Nič ne bi rekel, če bi na testu padel skozi, saj sem to pričakoval, ne pa Čestitamo in vse zeleno.
Nekoč je bil Slo-tech.

jype ::

Jao. Test ugotavlja, če se naslov IP, s katerega prihajaš do spletnega strežnika, razlikuje od naslova IP, ki ga vidi tvoj brskalnik pri tebi.

poweroff ::

Azrael. Daj prosim malo razmisli.

Test naredi tole:
1. na različne metode ugotovi tvoj IP
2. če katera izmed metod pokaže drugačen IP (se pravi če vsi testi en dajo enakega rezultata), je nekaj narobe. Če je je OK - vsi testi so odkrili enak IP.

Daj si zdaj namontiraj Tor in Torbutton in pojdi na teste in potem še na svoj forum in poročaj kakšen IP si dobil.

Ali pa preko XeroBanka.
sudo poweroff

Azrael ::

Zakaj, čemu še malo komaj beta SW smetja na PC?

Dokler testna stran javi:
If you do not see your real IP address in the report, then CONGRATULATIONS!
This means that you have a very good anonymity service, that's if you are using one.
Je sporočilo najmanj zavajajoče.
Nekoč je bil Slo-tech.

jype ::

Ampak ti vidiš svoj pravi naslov IP in zato zate čestitke ne veljajo.

Azrael ::

To vsekakor NI dovolj. Zavaja s tem ko na zelenem polju izpiše Repoted IP: Not Detected.

Enkrat ste se v podobni temi (Izšel TOR verzije 0.000 ena polovica codename Čunga Lunga) drli, da IP, ki ga izpljune ShieldUp test preko TOR, pridobljen lokalno in ne preko neta in je zato pravi, sedaj, da tisti IP zgoraj vsekakor ni lokalno pridobljen.

Zanimivo?.

Ali kot se običajno izkaže pri "varnostnih strokovnjakih" na tem forumu, da ste spet popušili? Po možnosti v obeh primerih.
Nekoč je bil Slo-tech.

poweroff ::

Azrael - nastrojen si proti Toru, zato včasih ne premisliš zadev racionalno, ampak samo butneš i izjavo.

Se pa strinjam - zeleno polje je napisano zavajajoče. Bom obvestil lastnika servisa naj popravi oz. vključi še preverjanje ali je IP iz Tor poola.
sudo poweroff

poweroff ::

Evo, sem poslal.

Ampak, če prevereš natančno piše:

If you do not see your real IP address in the report, then CONGRATULATIONS!
This means that you have a very good anonymity service, that's if you are using one.
sudo poweroff

Azrael ::

Drži. Toda sedaj daj tak link nekomu, ki je prej namestil neko programje, ki obljublja oh in sploh varnost in anonimnost na spletu. Žal pa ne ve ali noče vedeti, da ta SW kljub lepo napisanemu besedilu, vse prej kot to (Spyware Sheriff, Antivirus 2009, Security Toolbari in derivati takih zadev npr.).

Kaj bo zaključek?

Nič drugega kot, da njegov PC prestane test, saj je namestil vse sorte za varnost in anonimnost, v resnici pa je rezultat tak zaradi npr nastavitev v FW ali manjku ali nedelujoče komponente sistema.

Zato je meni osebno bolj povšeči razvlečen pristop, kot ga imajo pri grc.com. Lepo po korakih in opisi kaj to je, kaj se bo zgodilo, kako mora biti in načine kako preveriti na "roke".

Ekspresna rešitev je dovolj za poznavalca, ne pa za večino.
Nekoč je bil Slo-tech.

poweroff ::

No, sem kontaktiral developerja včeraj in mi je rekel, da bo upošteval predlog. Je pa stvar v tem, da ne želi testirati samo za Tor, pač pa za vsa anonimizacijska omrežja.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Delite informacije s Slo-Techom varno in anonimno: Kako uporabljati Tor in SecureDrop (strani: 1 2 )

Oddelek: Novice / Obvestila
6222745 (18303) matijadmin
»

BitBlinder novo anonimizacijsko omrežje, ki deluje na P2P principu

Oddelek: Novice / Zasebnost
304484 (2672) Daedalus
»

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Oddelek: Novice / Varnost
153397 (2412) poweroff
»

Nova različica brskalnika Torpark

Oddelek: Novice / Zasebnost
215317 (3663) poweroff
»

Napad na razvijalca sistema Freegate

Oddelek: Novice / Varnost
163879 (2719) Yerpo

Več podobnih tem