CULTURA Y TECNOLOGíA
154 meneos
3455 clics
Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

El navegador Tor es un must have para todo usuario que desee navegar por los remotos lares de la Internet Profunda. Este navegador, entre otras cosas, permite ocultar tu identidad rebotando tu conexión de un servidor a otro, haciéndote (en cierto modo) irrastreable. Sin embargo, la tecnología no es perfecta y puede fallar cuando menos te lo esperas.

| etiquetas: vulnerabilidad , zero , day , navegador , tor
¿"Es un must have"?

Hay veces que dan ganas de hacerles :wall: a los redactores...
0-day it's the best day!
Por otro lado la vulnerabilidad parece ser de NoScript. Cuando usaba firefox en cada actualización de NoScript se arreglaban cosas similares.
Tor browser es para principiantes y no está recomendado para un uso serio. Si de verdad necesitas tor te conviene instalarlo por separado aunque sea más coñazo y complicado.
#4 En realidad lo que pasa es que debes configurarlo una vez instalado, no sólo es de bajarlo, correrlo y ya. Y no, no me refiero solo a su esa configuración de seguridad. Si mal no recuerdo la primer ventana una vez que lo instalas te avisa de que no es suficiente. Y una de las cosas es precisamente entrar al about:config y desactivar entre otras cosas el javascript.
#4 eso no es cierto. Tor browser es un paquete preconfigurado con un navegador hardeneado para que sea mas díficil desvelar tu identidad. Instalar tu cosas por tu cuenta va a ser mas peligroso que tor browser.

#5 no, ya viene perfectamente configurado

La única forma de utilizar internet de forma "anonima" (o lo mas cercano posible), consiste en que el terminal que utilizas, donde ejecutass el navegador, solo tenga salida a internet a través de tor. Utilizando una raspberry pi que es…   » ver todo el comentario
Lo mas importante, es el uso de las diferentes identidades en linea.
Ross Ulbricht no fue atrapado por medios técnicos, sino por errores en la manera en la que desenvolvió su identidad.

#6 no, ya viene perfectamente configurado
Acabo de verificar y eso no es cierto, noscript esta instalado, pero configurado para aceptar javascript.
Por otro lado, por curiosidad, ¿que tal el uso de trackpoint en contra del fingerprint? Por simple eliminación (de los que no lo usan), pensaría que es mas inseguro.
#7 Es que muchas páginas necesitan JavaScript para funcionar... El desactivarlo es responsabilidad del usuario pero el poder hacerlo depende mucho de cada página
#6 Aunque tu ordenador esté configurado sólo para que tenga conexión a través de tor, se puede obtener la IP real con ciertos exploits de javascript, alterando un iframe de la página web que haga ping a un servidor específico, etc. Ésto lo he comprobado tanto con Whonix como con Tails. De ahí la importancia de desactivar javascript.

Una capa más de seguridad, aunque no tenga que ver con la conexión a internet en sí, es encriptar los discos duros (usando LUKS, por ejemplo) y usar un live OS ejecutable desde un CD o una memoria flash. Eso, o contratar al informático del PP si guardas información sensible. :troll:

#7 Eso que dices ocurre desde la última versión. Con la 7.x ya venía configurado.
#16 es imposible sacar la dirección pública de salida a internet de un ordenador que sale a internet exclusivamente a través de un túnel Tor.

Por cierto, con JavaScript no puedes hacer Ping. En todo caso el exploit ejecutará comandos. Pero es que si sales por un túnel Tor el Ping no funciona por qué no puedes tunelear ICMP sobre Tor.
#18 Obviamente, no es un método directo, pero se puede, con extensiones XML de javascript, a menos que esté parcheado totalmente en las últimas versiones del navegador. No sé si recuerdas lo de FoxAcid. Es probable que en actualizaciones modernas este tipo de ataques sean menos plausibles, pero nunca hay que estar seguro.
#6 ju
Y yo contento con mi pihole y pivpn.
#Boquiabierto
#6 Siempre se agradecen este tipo de aportes.
#6 Tor browser es un bundle de tor + firefox tuneado. Eso significa que siempre hay un retraso entre que algo se cambia/arregla en tor/firefox y que llega a la siguente versión de tor browser. Si de verdad NECESITAS tor, más te vale instalarlo por separado y mantenerlo actualizado por tu cuenta.
#17 eso que comentas es mentira y por favor, deba de propagar desinformación.

Configurar el navegador, Tor, etc para alcanzar la seguridad de Tor browser es muy complejo, no está al alcance de casi nadie y estás dando consejos que ponen en peligro el anonimato de la gente.

Por favor, esto es un tema serio.
#6 Por supuesto que no y precisamente ese es el problema de la noticia: Tor Browser no trae desactivado javascript por default y usando sólo su menú "Secure Setting" lo único que hace es poner en modo estricto NoScript pero como la nota lo dice, si hay una vulnerabilidad en NoScript como aquí pasó, ya te comprometió. La recomendación por eso es entrar al about:config y desde ahí configurar todo para no depender de extensiones que pueden tener bugs.

Y no, usar Tails no es la solución…   » ver todo el comentario
#21

En un ordenador con una live de tails (la forma recomendada de uso), con salida a internet por un tunel, con camara desactivada por hardware, microfono desactivado por hardware, sin tarjeta wifi....

Me explicas como puedes desvelar mi identidad, aunque corras un exploit de remote root directo?

La seguridad no es meter grsec/pax, es tener una distro live sin acceso a disco, ni datos de ningun tipo, ni perifericos con información util, y con salida a internet exclusivamente vía un tunel tor, en una red aparte del resto.
Edit
Edit.
Ah vaya, una tecnología supersegura imprescindible para mantener nuestro anonimato que se demuestra que es de todo menos segura. Qué novedad...
comentarios cerrados

menéame