Обновлённый Tor гарантирует полную анонимность в сети
Cервис анонимного веб-сёрфинга The Tor Project объявил о масштабном обновлении одноимённого браузера и всей системы в целом. По словам представителей сообщества, использование новых криптографических алгоритмов, технологии улучшенной авторизации и переосмысленной маршрутизации позволит сохранить «луковые» адреса полностью зашифрованными и известными только пользователям. В прошлом несовершенство системы делало её уязвимой перед атаками хакеров и спецслужб.
Tor используется для обхода искусственных блокировок нежелательного контента в разных странах, а также для простого веб-сёрфинга в условиях полной анонимности. В последние годы Tor был неоднократно скомпрометирован после серии удачных вычислений личности пользователей и владельцев сетевых узлов. Впрочем, даже такие крупные компании, как The New York Times и Facebook, зарегистрировали собственные страницы в Tor, что положительно сказалось на популярности «лукового» браузера. В настоящее время число пользователей анонимной сети по самым скромным подсчётам составляет порядка двух миллионов человек по всему миру.
В настоящее время скачать браузер Tor для Windows, macOS и Linux можно на официальном сайте проекта. Подробности об обновлении мобильного браузера Orbot от The Tor Project пока не сообщается
В конце минувшей недели организация Tor Project, стоящая за разработкой и поддержкой браузера Tor, выпустила его версию 7.0.9, устраняющую опасную уязвимость. Она была выявлена исследователем Филиппо Кавалларином и позволяет устанавливать подлинные IP-адреса пользователей, сокрытие которых является главной задачей браузера. Филиппо Кавалларин обнаружил, что при обработке особым образом сконструированных URL-ссылок операционная система напрямую обращается к удаленному хосту – даже при запущенном браузере Tor.
Исследователь сообщил о проблеме разработчикам, и представители Tor Project оперативно устранили уязвимость совместно с коллегами, обеспечивающими поддержку браузера Firefox (на базе которого и создан Tor). Следует отметить, что уязвимость не затрагивает Tor для Windows. А вот пользователям MacOS и Linux, заботящимся о своей анонимности, следует незамедлительно обновить версию браузера.
Представлен выпуск инструментария Tor 0.4.6.5, используемого для организации работы анонимной сети Tor. Версия Tor 0.4.6.5 признана первым стабильным выпуском ветки 0.4.6, которая развивалась последние пять месяцев. Ветка 0.4.6 будет сопровождаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.7.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года. Одновременно сформированы выпуски Tor 0.3.5.15, 0.4.4.9 и 0.4.5.9 в которых устранены DoS-уязвимости, позволяющие вызвать отказ в обслуживании клиентов onion-сервисов и релеев.
Основные изменения:
Добавлена возможность создания onion-сервисов на базе третьей версии протокола с аутентификацией доступа клиентов через файлы в каталоге 'authorized_clients'.
Для релеев добавлен признак, позволяющий оператору узла понять, что релей не включён в консенсус в процессе выбора серверами директорий (например, когда слишком много релеев на одном IP-адресе).
Обеспечена возможность передавать сведения о перегрузке в данных extrainfo, которые могут использоваться при балансировке нагрузки в сети. Передача метрики контролируется при помощи опции OverloadStatistics в torrc.
В подсистему защиты от DoS-атак добавлена возможность ограничения интенсивности соединений клиентов к релеям.
В релеях реализована публикация статистики о числе onion-сервисов на базе третьей версии протокола и объёме их трафика.
Из кода для релеев удалена поддержка опции DirPorts, которая не используется для данного типа узлов.
Проведён рефакторинг кода. Подсистема защиты от DoS-атак перемещена в менеджер subsys. Прекращена поддержка старых onion-сервисов на базе второй версии протокола, который был объявлен устаревшим год назад. Полностью удаление кода, связанного со второй версией протокола ожидается осенью. Вторая версия протокола была разработана около 16 лет назад и из-за применения устаревших алгоритмов в современных условиях не может считаться безопасной. Два с половиной года назад в выпуске 0.3.2.9 пользователям была предложена третья версия протокола для onion-сервисов, примечательная переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.
Устранены уязвимости:
CVE-2021-34550 - обращение к области памяти вне выделенного буфера в коде для парсинга дескрипторов onion-сервисов на базе третьей версии протокола. Атакующий может через размещение специально оформленного дескриптора onion-сервиса инициировать крах любого клиента, попытавшегося обратиться к этому onion-сервису.
CVE-2021-34549 - возможность проведения атаки для вызова отказа в обслуживании релеев. Атакующий может сформировать цепочки с идентификаторами, вызывающими коллизии в хэш-функции, обработка которых приводит к большой нагрузке на CPU.
CVE-2021-34548 - релей мог выполнить спуфинг ячеек RELAY_END и RELAY_RESOLVED в наполовину закрытых потоках, что позволяло завершить поток, который был создан без участия данного релея.
TROVE-2021-004 - добавлены дополнительные проверки сбоев при обращении генератору случайных чисел OpenSSL (с вызываемой по умолчанию реализацией RNG в OpenSSL подобные сбои не проявляются).
