Tor被曝多个0 day漏洞,官方给出回应!

栏目: IT技术 · 发布时间: 4年前

内容简介:安全研究人员Neal Krawetz 在7月23日和30日分别公布了2个影响Tor网络和浏览器的0 day漏洞技术细节,并称近期会发布其他3个漏洞的细节。有专家确认,利用这些漏洞中的1个可以对Tor服务器进行去匿名,获取真实的IP 地址。漏洞概述

Tor被曝多个0 day漏洞,官方给出回应!

安全研究人员Neal Krawetz 在7月23日和30日分别公布了2个影响Tor网络和浏览器的0 day漏洞技术细节,并称近期会发布其他3个漏洞的细节。有专家确认,利用这些漏洞中的1个可以对Tor服务器进行去匿名,获取真实的IP 地址。

漏洞概述

漏洞1

在7月23日的博文中,研究人员描述了企业和互联网服务提供商如何通过扫描包签名的网络连接来拦截用户连接到Tor网络,因为Tor流量的包签名是独特的可以作为特征来识别的。

更多技术细节参见:

https://www.hackerfactor.com/blog/index.php?/archives/888-Tor-0day-Stopping-Tor-Connections.html

漏洞2

在7月30日的博文中,研究人员称该漏洞可以让网络运营者检测到Tor流量。第一个漏洞可以用来检测到Tor网络的直接连接,而第二个漏洞可以用来检测间接的连接。Tor bridge是在用户和Tor网络间中继连接的代理节点。考虑到Tor服务器的敏感性,Tor bridge列表一直在不断地更新使得互联网服务提供商难以检测和拦截。研究人员介绍了识别Tor bridge流量的方法,其中包括2个0 day漏洞利用,一个漏洞利用可以检测obfs4,一个漏洞利用可以检测meek。

更多技术细节参见:

https://www.hackerfactor.com/blog/index.php?/archives/889-Tor-0day-Burning-Bridges.html

Krawetz公开这些漏洞的原因是他认为Tor Project在其网络、 工具 和用户的安全性方面做得不够。比如,2017年6月发现的Tor 滚动条宽度可以用来检测和获取Tor 浏览器用户指纹,该漏洞至今没有修复。Krawetz称放弃将漏洞报告给Tor Project,因为Tor有许多严重的安全问题需要处理,但是许多都被拒绝修复了。

Tor Project回应

Tor Project对Krawetz的博文进行了回应,称已经着手分析是否存在安全问题,但研究团队与Krawetz的观点不完全相同。关于第一个安全漏洞,Tor团队称Tor 浏览器用户操作系统被发现和检测的方法有很多,Tor 浏览器并没有直接与用户操作系统通信,Tor 浏览器致力于在不破坏用户浏览的情况下避免用户隐私泄露。关于使用含有防火墙规则的TLS来识别Tor流量,Tor团队称他们不应该试图模仿正常的SSL证书,因为这是一场我们赢不了的战斗。Tor Project的目标是帮助人们从受监管的网络连接到 Tor。

对于7月30日的博文,Tor Project回应称在实际应用中目前没有检测和拦截obfs4的情况,这仍处于学术研究范畴。文中提出的漏洞只是现有攻击的一个变种,而非0 day漏洞。

总结

就像之前爆出的Tor漏洞一样,本次爆出的0 day漏洞可能并不会被修复。但是有什么办法呢?就像Krawet 推特中写到的:

We need Tor now, even with bugs.

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

另一个地球

另一个地球

[美]马克·格雷厄姆、威廉·H·达顿 / 胡泳、徐嫩羽 / 电子工业出版社 / 2015-10-1 / 78

互联网在日常工作和生活中扮演日益重要的角色,互联网将如何重塑社会?本书通过汇集有关互联网文化、经济、政治角色等问题的研究成果,提供了特定社会制度背景下解决这一问题的根本办法。 关于互联网的研究是蓬勃发展的崭新领域,牛津大学互联网研究院(OII)作为创新型的跨学科学院,自成立起就专注于互联网研究。牛津大学互联网研究院关于互联网+社会的系列讲座在一定程度上塑造了互联网+社会。本书内容基于不同学科......一起来看看 《另一个地球》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具