Patch komt uit voor Firefox-lek dat Tor-gebruikers kan ontmaskeren

Mozilla heeft een patch uitgebracht voor het Firefox-lek dat gebruikt kan worden om Tor-gebruikers te ontmaskeren. Het team achter de Tor-browser heeft de patch in zijn browser overgenomen en een nieuwe versie uitgebracht.

TorMozilla laat weten dat het een patch heeft ontwikkeld, nadat het recentelijk op de hoogte werd gebracht van een exploit die gebruikmaakte van een nog onbekend Firefox-lek. Woensdag meldde de organisatie nog dat de patch in ontwikkeling was. Door een slachtoffer een webpagina te laten laden met kwaadaardige javascript- en svg-code, was het mogelijk om het mac- en ip-adres te achterhalen. De exploit zelf werkt volgens Mozilla alleen op Windows, maar de kwetsbaarheid die daaraan ten grondslag ligt, bestaat ook op Linux en macOS.

Het team achter de op Firefox gebaseerde Tor Browser meldt dat het inmiddels versie 6.0.7 heeft uitgebracht, waarin de Mozilla-patch is opgenomen. Gebruikers die de 'security slider', oftewel de schuifknop voor het beveiligingsniveau, in Tor op 'hoog' hadden staan, waren volgens het team veilig voor de exploit. Het is aan te bevelen de update meteen uit te voeren en de Tor-browser te herstarten, aldus de organisatie. Een update voor de 'hardened' en de alfaversie van de anonieme browser volgt nog, daarom is het aan te raden de stabiele versie te gebruiken.

Mozilla meldt niet met zekerheid te kunnen zeggen of de exploit dezelfde is die door de FBI is ingezet om verdachten in een kinderpornozaak te identificeren. Volgens de organisatie zijn er overeenkomsten tussen de exploits, waardoor er veel speculatie is ontstaan.

Door Sander van Voorst

Nieuwsredacteur

01-12-2016 • 15:48

36

Reacties (36)

36
30
15
1
0
4
Wijzig sortering
"Door een slachtoffer een webpagina te laten laden met kwaadaardige javascript- en svg-code, was het mogelijk om het mac- en ip-adres te achterhalen."
Ik dacht dat javascript standaard uit staat of vergis ik mij nu?
Dat heeft denk ik met die security slider te maken. Ik weet niet hoe het in de huidige versie zit maar voor een oudere versie van TOR als volgt:

Here is a list of what each level changes:

High - JavaScript is disabled on all sites by default, some types of images are disabled.
Medium-High - All JavaScript performance optimizations are disabled, some font rendering features are disabled, JavaScript is disabled on all non-HTTPS sites by default.
Medium-Low - HTML5 video and audio are click-to-play, some JavaScript performance optimizations are disabled, remote JAR files are blocked and some methods to display math equations are disabled.
Low (default) - All browser features are enabled.

bron: http://www.ghacks.net/201...-slider-and-improvements/

[Reactie gewijzigd door laminaatplaat op 3 augustus 2024 12:46]

Hmz als ik dan s in TORbrowser kijk met about:config en zoek op java dan staat javascript op enabled. Ook met die securityslide op hoog.
Vroeger was de noscript add-on standaard actief als ik het me nog goed herinner. Die blokkeert dan alle scripts ipv een setting in de browser.
Waarschijnlijk gebruiken ze het scriptblokkeringsmechanisme van NoScript in plaats van dat van Firefox. (NoScript wordt standaard meegeleverd met Tor Browser.)
Anoniem: 636203 1 december 2016 17:21
Nogmaals: de exploit werkt alleen als je Javascript hebt aanstaan en alleen onder Windows.

Ik denk dat als je Tor gebruikt Javascript hoe dan ook uit moet zetten omdat er nog vele andere soortgelijke bugs in Javascript (libraries) zitten.
Maar er staat ook iets over svg-code: weet je zeker dat de exploit niet binnen kan dringen dmv. svg-code wanneer Javascript uit staat? Svg werkt namelijk zonder Javascript (net getest).
Ja, maar hoe ga je via SVG-code alle data oversturen naar de partij die jouw gegevens wilt ontvangen?
Als een SVG exploit arbitraire code kan uitvoeren dan kan je natuurlijk alles doen wat je wilt. Je kan het dan alleen niet in Javascript schrijven maar je moet het dan in assembler of C schrijven.
OK maar is dat hier het geval, dat men door SVG-code willekeurige code kan uitvoeren? Of gaat het om een kwetsbaarheid die alleen uitgebuit kan worden als de aanvaller zowel Javascript als SVG-code kan uitvoeren bij het doelwit?
Sowiezo is het misschien handig javascript in alle browsers uit te zetten en alleen vertrouwde sites te whitelisten, ongeacht platform kan je namelijk altijd nog via WebRTC gegevens uitlezen;
https://www.privacytools.io/webrtc.html
Nogmaals: de exploit werkt alleen als je Javascript hebt aanstaan en alleen onder Windows.
Dat niet alleen. Je moet ook een geïnfecteerde website bezoeken..
Los van Tor, kan deze lek ook je echt IP adres ontmaskeren bij VPN verbindingen?
Als er iets onveiligs is, is het wel een VPN verbinding. Met de zelfde exploit of een simpel javascript is gewoon je externe IP nummer te achterhalen wanneer je ook resources buiten de tunnel kan benaderen. Zolang de fysieke interface van je computer geen VPN endpoint is, is er altijd een weg om buiten de tunnel om cruciale informatie op te halen met behulp van software op je PC.

Redelijk veilig: Je router zet een VPN tunnel op en ALLE verkeer gaat over de VPN heen. Maar dan ook ALLES;
Onveilig: Je PC achter een router zet een VPN tunnel op. In dit geval is een simpele uitbraak uit de VPN (het is tenslotte allemaal software) voldoende om je externe IP te exposen.
Je moet niet de vraag kant maar de aanbod kant van kinderporno aanpakken. Maar dit is een stuk moeilijker omdat de mensen die het maken een stuk voorzichter zijn met het gebruik van technologie. Het pakken van die mensen en het pakken van de exploitanten van sites waarop kinderporno staat zou prioriteit moeten hebben over het pakken van de bezoekers van de site. Maar om dat het nu eenmaal makkelijker is en minder resources vergt pakken ze de bezoekers maar.

Ik wil wel een verschil maken met mensen die kinderporno kijken en mensen die ook echt kinderen misbruiken. Die laatste groep moet je natuurlijk zwaar straffen. Ik geloof zelf niet dat die twee groepen noodzakelijkerwijs dezelfde mensen zijn. Er zal wel wat overlap zijn maar ik denk dat alleen een heel kleine minderheid van de pedofielen ook echt overgaat op het misbruiken van kinderen. De meeste pedofielen beseffen wel degelijk dat ze "ziek" zijn.

Ik heb de roman Lolita van Vladimir Nabokov gelezen wat over een pedofiel gaat. Maakt mij dit een pedofiel? Ik mag hopen van niet. Dit boek heeft erotische elementen maar het gaat eigenlijk over het verlies van identiteit van Lolita (Ze heet eigenlijk Dolores). Belangrijk thema, is de drang tot het najagen van lustgevoelens door Humbert wat uiteindelijk zelfs ten koste van andermans leven. Het boek wordt gezien als een klassieker in de wereldliteratuur.

Ik ga nu iets heel raars zeggen zo het kan zijn dat hierdoor weggemod wordt maar hier gaan we:
Is het niet beter dat pedofielen kinderporno kijken ipv dat ze op echte kinderen hun lusten gaan botvieren? M.a.w. maak je het probleem niet juist erger door de bezoekers van de sites aan te pakken? Zo heb je bijvoorbeeld ook kinderporno die gesimuleerd is dmv computers. Ik kan er ook niets aan doen maar je kan het zo gek niet bedenken of het gebeurt. Met de videokaarten van vandaag kun je al bijna fotorealistische resultaten krijgen. Dit is ook keihard verboden. Zou door het legaliseren hiervan niet kindermisbruik kunnen worden voorkomen? Alle beetjes helpen zou ik zeggen. Als ik het zelf maar niet hoef te zien. Ik bekijk het nu van de pragmatische kant. Vanuit moreel oogpunt is elke vorm van misbruik van kinderen natuurlijk afschuwelijk. Simulaties vind ik ook afschuwelijk. Een tegenargument is dat ik bijvoorbeeld zelf ook first person shooters speel die (extrreem) geweld simuleren en dit wordt vaak heel realistisch (of overdreven) in beeld gebracht. Guilty as charged. Maar betekent dat dat ik in real life ook hetzelfde gedrag ga vertonen? Die indruk wordt wel eens gewekt door de media. Ook maar verbieden dan? Er zijn geen simpele oplossingen voor complexe problemen.

De "war on drugs" heeft ook gefaald. Je kan mensen die een grammetje coke bij zich hebben wel in de gevangenis stoppen maar dan blijf je dus bezig. In America kan je in Texas bijvoorbeeld al een jaartje of twee de gevangenis ingaan als je minder dan een gram bij je hebt. Het is dus niet verwonderlijk dat de gevangenissen in America overvol zitten. in Nederland hebben we te maken met het omgekeerde. Zo was er dit jaar het bericht dat sluiting van gevangenissen onvermijdelijk is. Dat komt onder meer door de daling van de criminaliteit (yeah, right) en het feit dat rechters minder lange straffen opleggen.

Als je echt iets aan de cocaine productie wil doen moet je heel Columbia plat bombarderen wat ze niet leuk zouden vinden en ook niet te rechtvaardigen.. Bovendien zullen dan anderen meteen in dit gat springen. In Nederland probeert de politie bijvoorbeeld het aanbod te pakken van drugs dat de Rotterdamse haven binnenkomt en ze gaan niet achter individuele gebruikers aan. Ook in America is dit besef al doorgedrongen dat dat niet opschiet. In meerdere staten is het gebruik van wiet al gelegaliseerd. Het aanpakken van het aanbod heeft ook weinig effect maar geeft de samenleving het idee dat we er iets aan doen. Mensen die het willen gebruiken kun je toch niet tegen houden.

Een soortgelijke strategie wordt toegepast door onze vrienden van Stichting Brein. Het is voornamelijk de aanbod kant die wordt aangepakt. Dit heeft ook vrij weinig effect maar stelt de houders van het copyright enigzins gerust. Bovendien worden gebruikers er op geattendeerd dat het niet legaal is. Moeten we downloaden criminaliseren en zware boetes en gevangenisstraffen op gaan leggen? Dan lossen we ook gelijk de leegstand van de gevangenissen op. Het is een idee. Maar dat moeten we natuurlijk niet willen in Nederland.
Ik begrijp wat je zegt, maar het aanpakken van de verspreiders is ook het aanpakken van het aanbod. Zelfs goede kans dat daar ook makers tussen zitten.
[quote]Je moet niet de vraag kant maar de aanbod kant van kinderporno aanpakken. [quote]
Dat moet de prioriteit hebben, nu lijkt die aan de aanbodkant te liggen. Wel is het zo dat zolang er vraag is, zolang mensen bereid zijn ervoor te betalen, dat het lucratief is om het te maken en dat dat door zal blijven gaan. Ook aan de vraagkant moet je dus iets doen. Daarop zo meer.
Maar dit is een stuk moeilijker omdat de mensen die het maken een stuk voorzichter zijn met het gebruik van technologie.
Is dat zo? In de reportages die ik gezien heb lijkt het redelijk open en bloot te gebeuren, het is vooral dat de politie daar niet de capaciteit heeft om het te onderzoeken (net zoals er hier geen capaciteit is voor onderzoek naar fietsendiefstal en inbraak maar wel voor flitscontrole en risicowedstrijden in het voetbal) en de bewijsvoering is niet altijd zo simpel, het heeft weinig zin om een inval te doen als je het bewijs niet rondkrijgt. Het moet dus een heterdaadje zijn wat betreft het misbruik. Vaststellen van de leeftijd van iemand aan de hand van een foto is niet betrouwbaar, zeker niet in landen waar ook de volwassenen niet groot zijn.
Het pakken van die mensen en het pakken van de exploitanten van sites waarop kinderporno staat zou prioriteit moeten hebben over het pakken van de bezoekers van de site. Maar om dat het nu eenmaal makkelijker is en minder resources vergt pakken ze de bezoekers maar.
Makers en exploitanten zitten in andere landen als bezoekers, zijn vaak op verschillende plaatsen terwijl de sitebezoekers wel op één plaats blijven en bewijsmateriaal verzamelen.
Ik wil wel een verschil maken met mensen die kinderporno kijken en mensen die ook echt kinderen misbruiken. Die laatste groep moet je natuurlijk zwaar straffen. Ik geloof zelf niet dat die twee groepen noodzakelijkerwijs dezelfde mensen zijn. Er zal wel wat overlap zijn maar ik denk dat alleen een heel kleine minderheid van de pedofielen ook echt overgaat op het misbruiken van kinderen. De meeste pedofielen beseffen wel degelijk dat ze "ziek" zijn.
Allereerst zou ik deze mensen niet willen beschouwen als pedofielen. Het woord pedofiel betekend letterlijk, iemand die van kinderen houdt. In zekere zin heeft (bijna) iedereen een stukje gezonde pedofilie in zich (bijna omdat er ook echte kinderhaters kunnen zijn). Zonder dit zouden ouders niet van hun kinderen kunnen houden, enzovoorts.
Mensen met een gezonde vorm van pedofilie gaan werken als docent of in de kinderopvang, of worden jeugdleider bij een sportclub of jeugdbeweging. Degenen waar jij het over hebt zijn mensen met pedosexuele gevoelens, kortom, mogelijke pedosexuelen. In hoeverre deze beseffen dat ze ziek zijn laat ik in het midden, maar zieken moeten behandeld worden.
Ik heb de roman Lolita van Vladimir Nabokov gelezen wat over een pedofiel gaat. Maakt mij dit een pedofiel? Ik mag hopen van niet. Dit boek heeft erotische elementen maar het gaat eigenlijk over het verlies van identiteit van Lolita (Ze heet eigenlijk Dolores). Belangrijk thema, is de drang tot het najagen van lustgevoelens door Humbert wat uiteindelijk zelfs ten koste van andermans leven. Het boek wordt gezien als een klassieker in de wereldliteratuur.
Lolita is een verzonnen verhaal. De werkelijkheid is veel diverser. In het verhaal, ik ken het niet goed genoeg, zou je kunnen argumenteren dat het goed had kunnen aflopen als de situatie geaccepteerd had geweest en in goede banen geleid. Het sexuele initiatief licht in dit verhaal immers bij Dolores.

De werkelijkheid is veel grimmiger. Geld en lust gaan hand in hand en consequenties zijn van ondergeschikt belang. In de werkelijkheid is het meestal de zwakste die het onderspit delft, neem als voorbeeld Dutroux, Josef Fritzl. Ook de kinderen die het overleven zijn psychisch beschadigd.

Echter, net als Dolores heeft ook de huidige jeugd vaak al vroeg drang tot het sexuele en hier wordt in de wetgeving min of meer aan voorbij gegaan, met name in de USA. Onthouding is daar wat men predikt en voorlichting en leren ermee omgaan wordt is al illegaal. De praktijk is anders, nergens zijn er zoveel tienerzwangerschappen als daar en programmas als '16 and pregnant' illustreren dat.
Ik ga nu iets heel raars zeggen zo het kan zijn dat hierdoor weggemod wordt maar hier gaan we:
Is het niet beter dat pedofielen kinderporno kijken ipv dat ze op echte kinderen hun lusten gaan botvieren?
Zoiets heb ik ook al eens bepleit. Als het materiaal dat reeds gemaakt is vrij toegankelijk is zouden degenen die er behoefte aan hebben er niet voor hoeven betalen, zou het maken niet meer lucratief zijn en dus daalt het misbruik uit commercieel oogpunt. Iets soortgelijks zou kunnen gelden voor bijvoorbeeld ivoor, maar in beide gevallen wilt men daar internationaal niet aan. Echter om te voorkomen dat een kijker overgaat tot zelf nadoen zouden we die tegen zijn ziekte/afwijking moeten behandelen. Kortom bedenk iets dat ze mogen kijken mits ze ook behandeld worden. En als blijkt dat er risico is dat deze van kijken overgaat tot handelen, neem daar maatregelen tegen. Ik ben geen dokter, zeker geen psycholoog of psychiater, dus hoe dat verder ingevuld zou moeten worden, vooral op praktisch vlak, moeten de specialisten dan uitmaken.
M.a.w. maak je het probleem niet juist erger door de bezoekers van de sites aan te pakken?
Je zorgt dat ze ondergronds gaan, net zoals de makers en indien ze niet te vinden zijn, kun je ook niet ingrijpen als het mis dreigt te gaan.
Een tegenargument is dat ik bijvoorbeeld zelf ook first person shooters speel die (extrreem) geweld simuleren en dit wordt vaak heel realistisch (of overdreven) in beeld gebracht. Guilty as charged. Maar betekent dat dat ik in real life ook hetzelfde gedrag ga vertonen? Die indruk wordt wel eens gewekt door de media.
Die verbanden lijken aangetoond maar dat betekent niet dat iedere virtuele dader ook een werkelijke dader wordt. Er zijn meer factoren, zoals dat ook is bij gokken, alcoholische drank, sigaretten en drugs. De ene persoon is gevoeliger voor verslaving als de andere.
In het geval van geweld lijkt de leeftijd ook een rol te spelen.
De "war on drugs" heeft ook gefaald. ... Ook in America is dit besef al doorgedrongen dat dat niet opschiet. In meerdere staten is het gebruik van wiet al gelegaliseerd.
De war on drugs heeft vooralsnog tot gevolg dat het voor criminelen lucratief is. Echter massaal gebruik wil je zeker ook niet. Ook marihuana is schadelijk en heroïne is zelfs zo verslavend dat je dat zeker tegen moet houden. Dat hier geen simpele oplossing voor is, is duidelijk. Voorlichting, zorgen dat mensen het niet willen gebruiken is het enige dat echt effectief is.

Als laatste opmerking, wij leggen in het geval van porno en seks de leeftijden bij 18 en 16 maar andere landen hanteren andere normen, sommigen enkel 18 of zelfs 21 en 23. In het verleden was het zo dat hiervoor jongere leeftijden geaccepteerd waren, en ook veel landen hanteren 15 of 14 (EU) of zelfs 11. De tendens is wel om deze te verhogen. Zelfde normen gelden (golden) voor autorijden, alcohol en tabak.

Wat tabak betreft, doelstelling hier lijkt te zijn om op termijn tot een totaal verbod te komen uitgezonderd voor de bestaande gevallen. Omdat je dat laatste niet eenvoudig kunt vaststellen is er deze omweg. Men kan stellen dat men dit doet om te voorkomen dat mensen gaan roken omdat na een bepaalde leeftijd gewoontes niet meer snel veranderen.

Wat betreft alcohol kun je stellen dat er nog sprake is van voortschrijdend inzicht, immers pas bij 23 zijn de hersenen min of meer uitgegroeid. Deskundigen raden die leeftijd aan.

Wat betreft seks licht dat anders Overeenstemming is er wel dat men kindermisbruik, kindhuwelijken en gedwongen huwelijken in het algemeen wilt tegengaan en ouderen zijn meestal mondiger. Echter er zijn geen objectieve normen waarom de leeftijden verhoogd worden. Ja, hoe jonger iemand is, hoe groter de kans is op problemen, zowel psychisch als lichamelijk maar dat verschilt van persoon tot persoon. Wat we wel zien is dat tegenwoordig de puberteit vroeger komt, daarmee ook de daarbij horende groeispurt en ook de seksuele interesse. Ook is de huidige jeugd groter, 13 à 14 jarigen zijn langer als de 17 à 18 jarigen 30 jaar geleden, en ze zien er ook volwassener uit. Meisjes zijn ook al eerder uitgegroeid als vroeger. Dit lijkt juist eerder te pleiten voor verlaging van de leeftijd.

Dat is het zelfde als wat met autorijden is gebeurd. Vroeger gold dat je onder de 18 nog onvoldoende in staat was het verkeer en risico's in te schatten. We verklaarden de Amerikanen voor gek dat je daar al met 16 mocht rijden. Tegenwoordig is er een regeling dat je met 16 je theorie mag doen, met 16½ rijlessen mag nemen en met 17 een rijbewijs kunt halen mits je tot 18 onder begeleiding rijdt en ervaring op doet. Daarbij lijkt dit goed te werken, er gebeuren met jongeren minder ongelukken.
Persoonlijk is het zonde dat dit is uitgekomen. Door dit lek konden ze duizenden pedofielen ontmaskeren.
ja en door dit lek konden duizenden dissidenten en journalisten in het buitenland worden opgepakt door verschillende regimes. Jammer dat de Erdogan's van deze wereld nu dit lek niet meer kunnen gebruiken.......... 8)7
Ja klopt, da's de keerzijde .... :-).
het mes snijdt aan 2 kanten met Tor... Ja pedofilie, Ja vrijheid van meningsuiting en andere dingen waar regimes nogal lak aan hebben
Wat je bedoelt is not onwaar, maar de manier waarop je het brengt kan handiger:

- Dat iets kan worden gebruikt als middel om illegale praktijken makkelijker te maken, betekent niet dat het illegaal is. Het is makkelijker om met een auto dan te voet gestolen goederen te vervoeren, maar dat maakt een auto ook niet illegaal.
- We hebben recht op privacy. Dit is een middel om onze privacy te verbeteren. Daarom is het goed dat een mogelijk probleem met onze privacy verholpen wordt.
- Je privacy inleveren voor een beloofde verbetering in vrijheid is geen goede zet.
Vreemd dat ik weg gemod word , maar eigenlijk is het heel simpel , het excuus van veiligheids gaten laten zitten om kinderporno of terrorisme aan te pakken.
is olie dom omdat het nou eenmaal niet mogelijk is om een goodguys only veiligheids gat te laten zitten....
Nederland lijkt trouwens al begonnen met het niet patchen van sommige gaten , als je bijvoorbeeld ubuntu update vanaf nl. geeft minder updates dan bijvoorbeeld een server in ijsland....

http://nl.archive.ubuntu.com/ (nederland)
http://is.archive.ubuntu.com/ (ijsland)
Met privacy spelen? Leg eens uit?
Ze dichten toch juist een lek, het is niet alsof ze er drie nieuwe in hebben geplaatst.

[Reactie gewijzigd door DeathMaster op 1 augustus 2024 18:52]

Srry jongens ik had de reactie op het verkeerde tablad geplaatst ik had er meerderen openstaan! dus trek je niks van die reactie aan.
Op wat voor manier spelen zij met onze privacy hier dan? Die beschermen ze toch?
Juist minder nu door het oplossen van deze bug. Elk topic op tweakers omtrent het misbruiken van bugs in software door de fbi resulteert in een discussie gaande over onze privacy. Moet maar eens afgelopen zijn daarmee...
Als bepaalde zaken spelen dan spelen ze nu eenmaal hè? Wat is daar mis mee in jouw ogen? Als het mij niet interesseert reageer ik niet of neem ik überhaupt de moeite niet om de reacties te lezen. Nogal een harde stelling die je hier inneemt.

Discussie is namelijk dubbel te voeren: je eigen privacy die gekoppeld wordt aan de FBI. Bot gezegd: 'ohnee ze zien mij fappen op porno'. Aan de andere kant is het niet verkeerd als de FBI bekende lekken test bij allerlei "instanties" die zich met mindere zaken bezig houden. Ik noem een 'Boko Haram' of 'IS' en alle splintergroeperingen die daar nog omheen hangen.

De discussie naar het persoonlijke trekken is waanzinnig natuurlijk: tenzij jij binnen bepaalde algoritmes valt met je gedrag op internet gaat er geen enkele overheidsdienst manuren spenderen aan een willekeurig persoon die verbonden is met internet. Er wordt al snel gesproken over 'ze weten alles van je' maar het enige wat ze weten zijn wat nulletjes en eentjes. Daar een logisch geheel van maken is een extreem proces!

[Reactie gewijzigd door Typhone op 29 juli 2024 15:51]

Ik heb nooit gezegd welk standpunt ik neem in de discussie. Ik ben er namelijk fel op tegen dat de fbi ook maar iets over mij te weten kan komen via het internet
Ik heb nooit gezegd welk standpunt ik neem in de discussie. Ik ben er namelijk fel op tegen dat de fbi ook maar iets over mij te weten kan komen via het internet
Prima, ik ook.

Maar als de FBI zo`n achterdeur heeft betekend imo ook automatisch dat andere bedrijven deze zelfde achterdeur kunnen gebruiken (en laten we de criminelen maar even vergeten voor het gemak) Naast dat ik denk dat we de "oorlog" om onze privacy al hebben verloren, denk ik ook dat we door steeds maar weer zo`n stelling als de jouwe aan te nemen dit steeds makkelijker accepteren.

Op dit item kan niet meer gereageerd worden.