Alfonso Maruccia

Firefox ha una relazione complicata con TOR

Un baco nell'implementazione del protocollo a cipolla. Si rischia la fine dell'anonimato. E ci sono anche estensioni "pirata" che fanno i propri comodi con la connessione altrui

UPDATE - Č stato rilasciato un aggiornamento al pacchetto Tor Browser Bundle che argina il problema. La versione da scaricare è la 2.2.35-11.

Roma - Il Web può essere un posto pericoloso, ma quando il pericolo arriva da un baco nell'implementazione di Tor in Firefox il rischio riguarda la privacy e la riservatezza online. Il baco in questione è stato individuato in Tor Browser Bundle (TBB), versione "tutto compreso" del browser open source abilitato alla navigazione anonima attraverso la rete a cipolla e i siti .onion.

Le versioni recenti di TBB per Windows, OSX e Linux sono tutte affette dal problema: quando il browser viene spinto a usare il protocollo WebSocket, la richiesta di risoluzione al DNS non passa attraverso la rete di Tor ma viene spedita "in chiaro". Il risultato è che l'anonimato che Tor dovrebbe difendere viene annullato e l'indirizzo IP dell'utente torna a essere potenzialmente visibile a occhi esterni. In attesa della disponibilità di una nuova versione di TBB mondata dal problema, gli utenti del pacchetto anonimizzatore possono disabilitare WebSocket per evitare di incappare nel baco.
Non esiste invece soluzione al problema delle estensioni per Firefox "infedeli", che surrettiziamente o meno abusano della connessione dell'utente per scopi molto diversi da quelli indicati.Una di queste estensioni infedeli scoperte di recente è ad esempio ShowIP, popolare addon per l'identificazione dell'indirizzo IP di un sito visitato che apparentemente invia di nascosto le abitudini di navigazione dell'utente a un sito tedesco specializzato in marketing telematico.

Ancor più inquietante il comportamento di una estensione "rogue" scoperta dalla società di sicurezza StopMalvertising, che si camuffa come update da installare per Adobe Flash e prende poi ad abusare la sessione del browser forzando la visita di URL aggiuntivi oltre a quelli visitati "in chiaro" dall'utente.

Contro questi e altri problemi i coder Mozilla spingo per l'adozione del "click-to-play", vale a dire l'attivazione manuale dei plugin e componenti aggiuntivi come il summenzionato Flash al posto del caricamento automatico all'avvio del browser. Sarà la soluzione giusta? Forse no, visto che gli attacchi più recenti fanno largo impiego dell'ingegneria sociale e il click-to-play potrebbe semplicemente limitarsi a ritardare la loro efficacia nel colpire l'utente.

Alfonso Maruccia
Notizie collegate
  • TecnologiaFirefox spegne Java per Mac?I problemi di sicurezza spinono Mozilla a bloccare il Java che gira su Mac. Nel frattempo si pensa ad un pulsante che limiti i plugin pių problematici: Flash in testa
25 Commenti alla Notizia Firefox ha una relazione complicata con TOR
Ordina
  • Cosi pare. il bug di TOR (in realta' di firefox) e' una cosa, ShowIP e un Addon con finto aggiornamento BEN ALTRE. Tra l'altro ancora diverse tra loro.

    ShowIP e' gia una mezza inutility.. una cosa per mocciosi che non sanno fare un nslookup o whois da se... cmq a parte questo, il segmento "malevolo" poi pare non facesse altro che accedere a un sito (non menzionanto nella descriz) per richiedere la posizione geografica (x mostrarla all'utente)

    Tutt'altra cosa e' l'add-on "rogue"... siti porno che ti presentano un msg di "il tuo Adobe flash e' obsoleto vuoi aggiornare?" tu dici yes, e ti esce un megapopup di firefox con [Attenti: installa addon solo da sorgenti di fiducia - freepornix.com : Flash plugin Y/N ] ... se poi uno vuole gli aggiornamenti di "Adobe" forniti da freepornix, sono affari suoi.Con la lingua fuoripP

    Tre cose completamente scorrelate... bah.
    non+autenticato
  • - Scritto da: bubba
    > Cosi pare. il bug di TOR (in realta' di firefox)
    > e' una cosa, ShowIP e un Addon con finto
    > aggiornamento BEN ALTRE. Tra l'altro ancora
    > diverse tra
    > loro.
    >
    > ShowIP e' gia una mezza inutility.. una cosa per
    > mocciosi che non sanno fare un nslookup o whois
    > da se... cmq a parte questo, il segmento
    > "malevolo" poi pare non facesse altro che
    > accedere a un sito (non menzionanto nella
    > descriz) per richiedere la posizione geografica
    > (x mostrarla
    > all'utente)
    >
    > Tutt'altra cosa e' l'add-on "rogue"... siti porno
    > che ti presentano un msg di "il tuo Adobe flash
    > e' obsoleto vuoi aggiornare?" tu dici yes, e ti
    > esce un megapopup di firefox con [Attenti:
    > installa addon solo da sorgenti di fiducia -
    > freepornix.com : Flash plugin Y/N ] ... se poi
    > uno vuole gli aggiornamenti di "Adobe" forniti da
    > freepornix, sono affari suoi.
    >Con la lingua fuoripP
    >
    > Tre cose completamente scorrelate... bah.


    così come è stato descritto, ShowIP pare pure uno strumento errato.
    Infatti non è certo che l'ip fornito da showip sia esattamente quello a cui siamo collegati quando visitiamo un certo sito.

    infatti se visito www.example.com magari il "www.example.com" ha vari IP e io mi collego a uno solo di quelli.
    poi showip passa www.example.com ai suoi server per fare il resolve dns.
    a quel punto ottengo da showip un ip che è molto probabilmente DIVERSO da quello a cui io sono collegato per accedere alla pagina "www.example.com"
    Ad esempio io potrei accedere a www.example.com tramite un ip tedesco dell'azienda che possiede example.com.
    Perà l'ip che showip utilizza è diverso. Quindi può capitare che showip mi venga a dire che per accedere a www.example.com mi son collegato a un server americano o francese ecc mentre in realtà non è vero.

    quindi showip è TOTALMENTE INUTILE.
    Sfrutta l'ingenuità dell'utente per carpire dati, orvero per tracciare l'attività dell'utente.



    @bubba
    il "bug" in firefox non esiste in questo caso.
    firefox è ok a quanto ho capito.
    il "bug" esiste solo se firefox lo usi assieme a Tor (poichè c'è un leak di informazioni che annulla l'anonimato)
    di fatto il fix non è niente che riguardi il codice (a parte il bundle) , si tratta invece di una configurazione che solitamente sarebbe ok ma che quando si abbina firefox a Tor crea problemi (annulla di fatto l'anonimato)
    non+autenticato
  • per evitare simili problemi esistono altri modi (oltre all'upgrade )

    ad esempio:

    su una macchina basta fare: route -del 0.0.0.0
    poi si apre un tunnel ssh verso un altra macchina in cui s'è fatto partire Tor.

    si installa un proxy tipo polipo o privoxy configurato con forward verso la porta locale di tunnel ssh al tor dell'altra macchina.

    in questo modo ci si può collegare usando il proxy per accedere al Tor dell'altra macchina.

    tutte le eventuali connessioni 'leaked' che cercano di non usare Tor finiranno nel nulla (visto che il default route della macchina non è settato)
    in questo modo il browser potrà fare SOLO connessioni passanti per Tor.

    Occhiolino
    non+autenticato
  • Si risolve nel solito modo: unico posto, controllato, dive poterli scaricare. Come fa Safari.
    ruppolo
    33147
  • Allora mi tocca comperare un Mac? In lacrimeIn lacrimeIn lacrimeIn lacrimeIn lacrime
    non+autenticato
  • - Scritto da: ruppolo
    > Si risolve nel solito modo: unico posto,
    > controllato, dive poterli scaricare. Come fa
    > Safari.

    aahahahha

    questo però implica che ti devi fidare di Apple, quindi alla fine il gioco non vale la candela finisci solo col passare dalla padella alla brace.

    molto meglio usare firefox quindi e stare attenti a quel che va a installare.

    Delegare ad altri la nostra sicurezza è un'idiozia bella e buona
    non+autenticato
  • e' come dire che per risolvere il problema della criminalita' basta mettere il coprifuoco 24h e usare il visto per ogni spostamento fuori casa. Per funzionare, funzionerebbe, ma la chiamiamo ancora vita?
    non+autenticato
  • - Scritto da: vuoto
    > e' come dire che per risolvere il problema della
    > criminalita' basta mettere il coprifuoco 24h e
    > usare il visto per ogni spostamento fuori casa.
    > Per funzionare, funzionerebbe, ma la chiamiamo
    > ancora vita?

    Inoltre resterebbe il problema dei controllori, tutti questi che stanno in strada a chiedere il visto siamo sicuri che non se ne vadano in giro dove non e' loro permesso ?
    krane
    22544
  • Non ho capito... il bug stava in Tor, in Firefox o in TBB? Insomma, una comune installazione di Firefox + Tor + Vidalia + Torbutton ne era affetta?
    non+autenticato
  • - Scritto da: Klut
    > Non ho capito... il bug stava in Tor, in Firefox
    > o in TBB? Insomma, una comune installazione di
    > Firefox + Tor + Vidalia + Torbutton ne era
    > affetta?
    Il bug era in Firefox ma vanificava lo scopo di tutto il bundle.
    https://blog.torproject.org/blog/firefox-security-...

    bug comunque già corretto
    https://blog.torproject.org/blog/new-tor-browser-b...
    non+autenticato
  • - Scritto da: Klut
    > Non ho capito... il bug stava in Tor, in Firefox
    > o in TBB? Insomma, una comune installazione di
    > Firefox + Tor + Vidalia + Torbutton ne era
    > affetta?

    per correggere il bug comunque ti basta:
    1) andare in about:config di firefox
    2) cercare network.websocket.enabled
    3) modificare il suo valore da true a false
    non+autenticato
  • - Scritto da: wake up
    > - Scritto da: Klut
    > > Non ho capito... il bug stava in Tor, in
    > Firefox
    > > o in TBB? Insomma, una comune installazione
    > di
    > > Firefox + Tor + Vidalia + Torbutton ne era
    > > affetta?
    >
    > per correggere il bug comunque ti basta :
    > 1) andare in about:config di firefox
    > 2) cercare network.websocket.enabled
    > 3) modificare il suo valore da true a false

    Fix: ti bastava.

    Ora basta scaricare la nuova versione (che comprende anche altre correzioni) e decomprimerla sovrascrivendo la vecchia.
    https://blog.torproject.org/blog/new-tor-browser-b...
    non+autenticato
  • il bug è stato prontamente corretto.
    riguardo showip e altri plugin non vedo dove sia il problema ?!?
    è noto che NON vanno installati plugin di alcun genere su Torbrowser (dopotutto Tor non è certo pensato per vedere video flash su youtube o altre simil stronzate)

    quindi il problema con ShowIP è un problema del plugin, non certo di Tor.
    non+autenticato
  • > quindi il problema con ShowIP è un problema del
    > plugin, non certo di
    > Tor.

    Cmq ShowIP non aveva una backdoor, ma una feature che si appoggiava sulle API di un sito esterno... cosa che fanno molti altri addons. Questa feature gli serviva per ricevere la posizione geografica (nazione, città) del server che si stava visitando, quindi inviava l'hostname del server su cui si stava navigando.
    Poi, con Tor non è un problema, perchè al massimo avrebbe tracciato l'exit node.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)