» »

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Slo-Tech - Po tem, ko smo pred nekaj dnevi poročali o novem anonimizacijskem orodju TorFox (gre za program, ki združuje Tor in Firefox), je raziskovalec Kyle Williams danes objavil varnostno analizo tega orodja.

Žal se izkaže, da je v produktu polno pomanjkljivosti. Tako niso onemogočeni dodatki (Flash, Adobe Reader, itd.), poleg tega pa je pravi IP naslov uporabnika TorFoxa mogoče razkriti še na nekaj drugih načinov, kar bi bilo sicer mogoče preprečiti že z namestitvijo dodatka TorButton. Kot kaže avtor TorFoxa ni opravil niti osnovnih testiranj (npr. JanusVM testa in Decloak testa). Celotno testiranje TorFoxa je sicer na voljo na internetu.

Očitno TorFox trenutno ni primeren za resno uporabo, pač pa zgolj za testiranje. Glede na to, da avtor TorFoxa uporabnike preusmerja na svojo spletno stran, ki prikazuje Google oglase pa gre morda celo za precej neresen poskus služenja denarja.

Mimogrede, dva bistveno bolj kvalitetna produkta za anonimno brskanje po internetu sta sicer Tor Browser Bundle in XB Browser. Prvi je popolnoma brezplačen, XB Browser pa v brezplačni različici omogoča uporabo Tor omrežja, v plačljivi različici pa uporabo hitrejšega XeroBank anonimizacijskega omrežja.

15 komentarjev

PaX_MaN ::

Kot kaže avtor TorFoxa ni opravil niti osnovnih testiranj (npr. JanusVM testa in Decloak testa).

Meni passa kar oba(to je, pr Janusu, Decloak povezava enako kaže na Janusa), pa nimam nič od Tora gor.

(Dober komad, drgač.)

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

Azrael ::

Kaj pa ti testi sploh delajo? Pri meni je vse Passed, pa ne uporabljam ne Tor in še manj pa FF.

Oziroma ali testi pokažejo pričakovano, da je Torfox samo eden izmed nepregledne množice hudo sumljivih dodatkov za brskalnik FF, ki se razglaša kot kao varen brskalnik (vejžda), vendar za minimum minimuma funkcionalnosti rabi tisoč in en bolj ali manj sumljiv plugin?
Nekoč je bil Slo-tech.

Ayumi ::

Kaj pa ti testi sploh delajo? Pri meni je vse Passed, pa ne uporabljam ne Tor in še manj pa FF.

Oziroma ali testi pokažejo pričakovano, da je Torfox samo eden izmed nepregledne množice hudo sumljivih dodatkov za brskalnik FF, ki se razglaša kot kao varen brskalnik (vejžda), vendar za minimum minimuma funkcionalnosti rabi tisoč in en bolj ali manj sumljiv plugin?


+1 na to. Sicer uporabljam FF, vendar nič drugega. Sploh. Še Windows Firewall in Defender sta izklopljena. Win7. WIN!

jype ::

A ste bukovi?

Testi so uspešni, če se vaš IP razlikuje od tistega ki ga vidi remote - če se ne, potem itak lahko pogleda v svoj log in mu ni treba skozi te trike, da bi ga našel.

Matthai ::

Link na decloak sem popravil.

Sicer pa da - test samo ugotavlja ali se ugotovljeni IP-ji kaj razlikujejo. Ne preverja ali imate IP v rangu Tor IPjev. Za to so drugi servisi.

Mislim, Azrael - od tebe bi pričakoval, da boš vedel to...
All those moments will be lost in time, like tears in rain...
Time to die.

Azrael ::

@Matthai

Vem, da zadeva hoče z raznimi triki izvohati moj trenutni IP, kar mu ne uspe in tako moj PC uspešno prestane ta test.

Toda, kot si sam rekel, ne gleda ostalega in je tako lahko vzrok napačni diagnozi: Juhej!Meni pa anonimnost (na popolnomma neznan način) dela.

Pa temu ni tako! Tako S-T, kot ostali forumi, na katerih sem prijavljen, 100% zabeležijo moj pravi IP (sem šel pravkar pogledat na forum, kjer imam admin dostop).

Samo zato sprašujem, saj me zanima kolikšna je sploh vrednost tega testa.

Nič ne bi rekel, če bi na testu padel skozi, saj sem to pričakoval, ne pa Čestitamo in vse zeleno.
Nekoč je bil Slo-tech.

jype ::

Jao. Test ugotavlja, če se naslov IP, s katerega prihajaš do spletnega strežnika, razlikuje od naslova IP, ki ga vidi tvoj brskalnik pri tebi.

Matthai ::

Azrael. Daj prosim malo razmisli.

Test naredi tole:
1. na različne metode ugotovi tvoj IP
2. če katera izmed metod pokaže drugačen IP (se pravi če vsi testi en dajo enakega rezultata), je nekaj narobe. Če je je OK - vsi testi so odkrili enak IP.

Daj si zdaj namontiraj Tor in Torbutton in pojdi na teste in potem še na svoj forum in poročaj kakšen IP si dobil.

Ali pa preko XeroBanka.
All those moments will be lost in time, like tears in rain...
Time to die.

Azrael ::

Zakaj, čemu še malo komaj beta SW smetja na PC?

Dokler testna stran javi:
If you do not see your real IP address in the report, then CONGRATULATIONS!
This means that you have a very good anonymity service, that's if you are using one.
Je sporočilo najmanj zavajajoče.
Nekoč je bil Slo-tech.

jype ::

Ampak ti vidiš svoj pravi naslov IP in zato zate čestitke ne veljajo.

Azrael ::

To vsekakor NI dovolj. Zavaja s tem ko na zelenem polju izpiše Repoted IP: Not Detected.

Enkrat ste se v podobni temi (Izšel TOR verzije 0.000 ena polovica codename Čunga Lunga) drli, da IP, ki ga izpljune ShieldUp test preko TOR, pridobljen lokalno in ne preko neta in je zato pravi, sedaj, da tisti IP zgoraj vsekakor ni lokalno pridobljen.

Zanimivo?.

Ali kot se običajno izkaže pri "varnostnih strokovnjakih" na tem forumu, da ste spet popušili? Po možnosti v obeh primerih.
Nekoč je bil Slo-tech.

Matthai ::

Azrael - nastrojen si proti Toru, zato včasih ne premisliš zadev racionalno, ampak samo butneš i izjavo.

Se pa strinjam - zeleno polje je napisano zavajajoče. Bom obvestil lastnika servisa naj popravi oz. vključi še preverjanje ali je IP iz Tor poola.
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

Evo, sem poslal.

Ampak, če prevereš natančno piše:

If you do not see your real IP address in the report, then CONGRATULATIONS!
This means that you have a very good anonymity service, that's if you are using one.
All those moments will be lost in time, like tears in rain...
Time to die.

Azrael ::

Drži. Toda sedaj daj tak link nekomu, ki je prej namestil neko programje, ki obljublja oh in sploh varnost in anonimnost na spletu. Žal pa ne ve ali noče vedeti, da ta SW kljub lepo napisanemu besedilu, vse prej kot to (Spyware Sheriff, Antivirus 2009, Security Toolbari in derivati takih zadev npr.).

Kaj bo zaključek?

Nič drugega kot, da njegov PC prestane test, saj je namestil vse sorte za varnost in anonimnost, v resnici pa je rezultat tak zaradi npr nastavitev v FW ali manjku ali nedelujoče komponente sistema.

Zato je meni osebno bolj povšeči razvlečen pristop, kot ga imajo pri grc.com. Lepo po korakih in opisi kaj to je, kaj se bo zgodilo, kako mora biti in načine kako preveriti na "roke".

Ekspresna rešitev je dovolj za poznavalca, ne pa za večino.
Nekoč je bil Slo-tech.

Matthai ::

No, sem kontaktiral developerja včeraj in mi je rekel, da bo upošteval predlog. Je pa stvar v tem, da ne želi testirati samo za Tor, pač pa za vsa anonimizacijska omrežja.
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Oddelek: Novice / Varnost
152872 (1887) Matthai
»

Izšel Incognito 2008.1

Oddelek: Novice / Zasebnost
224287 (2448) Jst
»

Na voljo Ubuntu skladišča za Vidalio in Mixminion

Oddelek: Novice / Zasebnost
103480 (2792) Matthai
»

"TorButton" za brskalnik Safari

Oddelek: Novice / Zasebnost
93081 (2609) FireSnake
»

Nova različica dodatka za Firefox TorButton (strani: 1 2 )

Oddelek: Novice / Zasebnost
776292 (4972) Matthai

Več podobnih tem