Lek in Tor-browser maakte ip zichtbaar op macOS en Linux

The Tor Project heeft een lek gedicht in de Linux- en macOS-versies van zijn browser. Met een kleine aanpassing aan een url kon het OS ertoe overgehaald worden niet via de Tor-browser, maar direct verbinding te maken met het adres, waardoor het ip-adres van de gebruiker zichtbaar werd.

De bug, die afstamt van de Firefox-browser waar de Tor-browser op gebaseerd is, uit zich wanneer gebruikers naar een url navigeren die met 'file://' begint in plaats van 'http(s)://'. Wanneer dat gebeurt, wordt het verzoek tot verbinden doorgegeven aan het os, waardoor het ip-adres van de gebruiker zichtbaar wordt voor de buitenwereld, wat indruist tegen het hele idee van de Tor-browser. Misbruik hiervan maken is zo simpel als een url op een webpagina aanpassen. Het beveiligingsgat is in deze versies tijdelijk gedicht door de functionaliteit deels uit te schakelen.

De kwetsbaarheid werd aan het ontwikkelteam gemeld op 26 oktober door We Are Segment, dat het TorMoil genoemd heeft. The Tor Project vertelt dat de bug op 26 oktober gemeld werd en dat een fix op dinsdag 31 oktober klaar was. Op vrijdag 3 november, drie dagen later, kwam de update daadwerkelijk online. Een definitieve update, die ook de nieuw ontstane bug rondom niet werkende 'file://'-url's moet verhelpen, moet nog volgen.

De alfaversie van de Tor-Browser voor Linux en macOS heeft de fix niet ontvangen. Deze komt naar verwachting op maandag uit. Gebruikers wordt dan ook aangeraden om nu nog de laatste stabiele versie van de browser te gebruiken.

Reacties (59)

magnifor 5 november 2017 14:30

Is Tails (OS wat geoptimaliseerd is om al je internetverkeer vanuit de machine waarop je Tails start via TOR laten te laten verlopen) ook vatbaar voor deze bug?

8088 @magnifor • 5 november 2017 15:04

NOTE: Tails is unaffected.

https://cve.mitre.org/cgi...e.cgi?name=CVE-2017-16541

87Dave @magnifor • 5 november 2017 15:04

Nee.
"all connections to the Internet are forced to go through the Tor network"
Tails is wel linux, maar in Tails gaat alle verkeer via TOR netwerk. Dus niet alleen het TOR browser verkeer. Dus daar zal de eerste stap van een exploit wel lukken (browser een url via OS laten afhandelen), maar het OS zelf handelt het dan toch via TOR af.

Kain_niaK @magnifor • 5 november 2017 22:12

Tails gebruik ik zelf het meeste. Hoeft niet echt, maar ik vind het goed dat ik wat ervaring krijg in het (semi) anoniem surfen voor als ik het ooit echt nodig heb. En ook als middelvinger naar de grote machten. Ik vind het een leuk gevoel om te surfen over verschillende landen. Heb nog niet veel problemen gehad met websites die TOR nodes blokkeren.

Tails zit goed in elkaar. Open je een terminal kun je ook niet pingen.

Ik heb het geinstalleerd op een usb stickje zodat ik het op elke computer kan gebruiken.

Elke tweaker zou wat ervaring met Tails moeten opdoen. Browsen over TOR gaat trager maar is nog goed te doen.

honey @Kain_niaK • 6 november 2017 12:00

Elke tweaker zou wat ervaring met Tails moeten opdoen. Browsen over TOR gaat trager maar is nog goed te doen.

Waar kun je dit leren?

Kain_niaK @honey • 6 november 2017 12:58

offtopic:
@Jerie Stap 0) Als je hyper paranoïde bent haak dan maar af, ik werk voor de NSA, de politie, de AIVD, je provider en ik ben de piemel die 3 jaar lang in een busje voor je huis op je WIFI netwerk zit te wachten tot je eindelijk tails download.

Stap 1) Download de laatste iso van https://tails.boum.org/

Stap 2) Download de zip van easy2boot van http://www.easy2boot.com/

offtopic:
EDIT: easy2boot is trouwens super coole software. Je kunt gewoon ISO files naar je USB stickje kopiëren en dan kun je bij het booten uit al die iso files kiezen welke je wilt booten! Dus je kunt zo 20 boot cd's of alle windows installaties op een usb stickje zetten. En het werkt echt goed en installeert allemaal prima. Falcon's Four Ultimate Boot CD? Als je die mappen naar de root van je USB kopieert is het hele F4UBC ook gewoon beschikbaar als menu onder easy2boot en ook mini windows XP, Mini windows xp laad in - 3 seconden en is suuuuuper handing voor computer repair, autorun --> load offline registers --> alles wat niet microsoft is uit --> computer booten zonder dat er iets laad dat geen Microsoft is.

Stap 3) Pak de zip ergens uit op je computer

Stap 4) Neem een usb stickje waar geen belangrijke data opstaat dat geformatteerd mag worden.

Stap 5) Voor het easy2boot .cmd uit als je op windows zit en het linux script als je op linux zit en volg de instructies en vragen. Pas goed op dat je niet het verkeerde opslag medium formatteert.

Stap 6) Kopier de tails iso naar de _ISO/LINUX map op je USB stickje

Stap 7) Boot je computer vanaf de usb stick door op de juiste functie knop te duwen tijdens het starten. Eventueel moet je de bios in om secure boot uit te zetten en legacy boot aan te zetten of de usb stick als boot medium te selecteren. Zie dat je FAT32 gebruikt.

Stap

in het easy2boot menu selecteer je LINUX en dan zul je de tails iso zien staan. Die word dan geladen.

Stap 9) Geniet van het anoniem surfen, na een reboot en terug zetten van je bios instellingen is alles weer van het ouwe. Als je al heel je leven een keer een doodsbedreiging op twitter wil zetten is nu het moment. Maar maakt best een nieuw twitter account aan. Je bent op tails natuurlijk alleen maar anoniem tot je identiteit weggeeft. Een google search kan dat al doen.

Stap 10) Je kunt linux tails ook op het USB stickje zelf installeren zodat je wijzigingen kunt opslaan. Eventueel kun je de installatie ook encrypteren zodat niemand het kan lezen. Wees wel zo slim om geen stickertje met "Tails OS fuck the NSA" op de usb stick te plakken en dan naar America te vliegen. De douane zal je dan waarschijnlijk een beetje kietelen met een eendenveertje tot je wat vraagjes beantwoord. Mocht dan gebeuren blijf dan kalm en vertel hun vooral al lachend niet dat je een bitcoin brainwallet met meer dan 9000 bitcoins bij je hebt. Het kietelen met een eenden veertje zal dan waarschijnlijk veranderen in kietelen met de loop van een AR-15. Wat je ook doet zeg helemaal niet dat je schijt hebt aan het Vrijheidsbeeld want dan sluiten ze je voor altijd op in de gevangenis.

[Reactie gewijzigd door Kain_niaK op 3 augustus 2024 09:32]

Jerie

@Kain_niaK • 6 november 2017 16:41

Je vergeet iets simpels als check de checksum van de Tails download.

Meulugar @Jerie • 7 november 2017 01:36

vergeet niet om nooit in te loggen op email / social media / elk ander account dat je ook gebruikt op een niet tails pc, anders ben je nog steeds het haasje. dit soort systemen vragen om een 2e alias op het net. compleet gescheiden van je normale internet leven. tegenwoordig is het niet meer zo makkelijk als het lijkt om volledig anoniem te gaan.

Jerie

@Meulugar • 7 november 2017 10:51

Dat niet alleen, ook bepaald gebruik van een alternatieve zoekmachine, de grootte van je beeldscherm, bepaalde zoektermen kunnen leiden tot correlation attacks.

Gamebuster 5 november 2017 13:18

Nou euh... lekker dan. Denk je veilig te zijn

Wel snel afgehandeld gelukkig. Toch wel raar dat zo’n request het IP “lekt”

[Reactie gewijzigd door Gamebuster op 3 augustus 2024 09:32]

Soldaatje @Gamebuster • 5 november 2017 13:24

Merkwaardig inderdaad dat dit mogelijk is, webpagina's zouden helemaal geen toegang hebben tot lokale file:// url's. http://kb.mozillazine.org/Links_to_local_pages_do_not_work
Misschien dat het via een UNC pad kan: file://///8.8.8.8/iplog naar een samba server?

[Reactie gewijzigd door Soldaatje op 3 augustus 2024 09:32]

Cyb @Soldaatje • 5 november 2017 18:40

Het is denk ik zoals @mrdemc aangeeft in een andere reply, in het file uri scheme kan je naast een (lokaal) path ook een host aangegeven. Geef je de host aan i.c.m. de file protocol, waar TOR geen juiste ondersteuning voor heeft, dan maakt het OS direct verbinding met de host, waardoor je IP naar buiten lekt.

De file uri scheme ziet er als volgt uit:
file://HOST/PATH

Voor lokale files kan je het HOST deel leeglaten, bijv:
file:///c:/users/admin/
of
file:///home/admin/

Je IP lekt zou dus niet naar buiten lekken met een URL als file://blabla.jpg (i.t.t. wat iemand anders op deze pagina beweert), want .jpg is geen geldige top-level-domain. Maar wel indien je bijv. via TOR Tweakers bezoekt, en Tweakers in de pagina een image zou laden met:
file://tweakers.net/nonExistingImageForIPDetection.jpg

doom71 @Gamebuster • 5 november 2017 13:20

Ook de TOR browser blijft een stuk software wat fouten kan bevatten. Je verlaten op één optie voor veiligheid oid is nooit aan te raden. Een VPN erbij en het is al weer een stukje veiliger/onzichtbaarder.

Verwijderd @doom71 • 5 november 2017 14:20

Nog beter is een router gebruiken waarop tor geïnstalleerd is dan kan je PC het ip adres niet lekken.

Baseboy @Verwijderd • 5 november 2017 14:53

Heb persoonlijk me router al gelijk naar expressVPN verbonden zodat alles wat hier de deur uitgaat al over VPN gaat

Tor is leuk maar je kan niet echt kiezen welk land je wil als extern IP. Zeker voor Netflix en Play van KPN is dat verekte handig aangezien je dan gewoon Amerikaanse content en Nederlandse TV kan bekijken.

Woon btw zelf in de Filipijnen en kijk op die manier NL TV of USA Films.

Router waar ik gebruik van maak is de Draytec Vigor 2925LN was een investering maar 100% Verbinding!

[Reactie gewijzigd door Baseboy op 3 augustus 2024 09:32]

Stannieman @Baseboy • 5 november 2017 18:45

Dat kan wel. Je kan in een config file (weet nu niet uit het hoofd welke) aangeven dat je een bepaalde exit node wil gebruiken, of een exit node in een bepaald land, of bepaalde nodes blacklisten etc. Natuurlijk er vanuit gaande dat een exit node waarvan Tor denkt dat die in land X staat ook effectief daar staat.
Kan me best voorstellen dat de NSA een paar nodes in de USA hebben draaien terwijl die voor iedereen in Rusland lijken te staan, maar dat is natuurlijk een ander verhaal...

Zelf gebruik ik dit af en toe om een nummer te kopen waarvan het record label beslist om het enkel beschikbaar te maken in bv. de UK. Bij veel downloadwinkels "bestaat het nummer dan niet" als je het zoekt met een Belgisch IP, tot je even langs de UK gaat. Geen ideale oplossing, maar voor sporadisch gebruik een prima alternatief voor een betaalde VPN service.

[Reactie gewijzigd door Stannieman op 3 augustus 2024 09:32]

Verwijderd @Stannieman • 5 november 2017 20:20

Config file is torrc

Met ExcludeNodes {landcode} ExitNodes {landcode} en EntryNodes {landcode} bepaal je via welke landen je verkeer gaat. De landcode is volgens ISO3166

dehardstyler @Baseboy • 5 november 2017 16:19

Daar is TOR dan ook niet voor bedoeld. Het is bedoeld om veilig te kunnen verbinden naar websites (Die bijvoorbeeld een TORmail server hosten. ), ongeacht de situatie in een bepaald land. Dus ook als zeg Egypte probeert om iedereen af te luisteren of het verkeer te blokkeren naar bepaalde delen van het internet, blijft TOR verbinding maken. Volgens mij heeft alleen China het redelijk voor elkaar om het te kunnen blokkeren met de Great Firewall, maar zelfs daar is nog wel om heen te werken. En dat zegt best een hoop.

NiLSPACE @Gamebuster • 5 november 2017 13:22

Geen enkel systeem is volledig veilig, dus er zullen ongetwijfeld nog meer van zulk soort exploits in de code zitten.

Caelestis 5 november 2017 13:26

Gewoon een vraagje. Als firefox de bug heeft waarom is het windows versie dan niet kwetsbaar?

wouter6022 @Caelestis • 5 november 2017 13:36

In het artikel staat dat de bug zich uit bij urls die beginnen met file:// (ipv bijvoorbeeld http://). Zo'n soort url is bedoeld om lokale bestanden te openen. Linux en Macos zijn gebaseerd op een andere kernel dan Windows, dus blijkbaar uit de bug zich niet bij de Windows kernel. Het kan zijn dat deze bug alleen in de binary voor Macos en Linux zit omdat de code simpelweg anders is. Het heeft in ieder geval te maken met de samenwerking tussen de Firefox binary en het os.

[Reactie gewijzigd door wouter6022 op 3 augustus 2024 09:32]

Caelestis @wouter6022 • 5 november 2017 14:03

Ja sorry had eigenlijk wat meer moeten toelichten voor mijn vraag. Waar het mij om gaat is dat URL handeling vrijwel identiek is tussen de versies van firefox en zelfs tussen verschillende browsers. Zowel macOS als Linux zijn gebouwd op Unix dus wil ik graag weten wat het verschil is tussen URL handeling dat windows er geen last van heeft.
Ik vindt het gewoon een beetje te toevallig dat het niet 1 van de twee Unix systemen is maar dat het gelijk voor allebei geldt wat mij eerder doet denken dat het nog wel eens een Unix bug zou kunnen zijn en niet perse een firefox bug is.

.oisyn Moderator Devschuur® @Caelestis • 5 november 2017 14:14

Het is niet zozeer een bug, er is op linux en macos gewoon een protocolhandler voor file:// die remote verbindingen ondersteunt. Op Windows zou dat ook best kunnen werken als je 'm laat wijzen naar een SMB share volgens mij.

Brahiewahiewa @.oisyn • 5 november 2017 18:15

Nee, op Windows werkt deze bug gewoon niet. Anders was er ook wel een geupdate versie voor windows geweest

.oisyn Moderator Devschuur® @Brahiewahiewa • 5 november 2017 19:24

Dan houdt Firefox dat tegen, want als ik iets als "file://nas/web/test.png" opstart vanuit Start -> Run (win+R), dan opent hij gewoon de file op mijn nas in een image viewer. Windows heeft protocol handlers voor file:, en je kunt daarmee bij SMB shares.

[Reactie gewijzigd door .oisyn op 3 augustus 2024 09:32]

.oisyn Moderator Devschuur® @Brahiewahiewa • 6 november 2017 15:05

Als je het bijbehorende bug report had gelezen

Ik ga gewoon uit van wat anderen hier zeggen. Ik claim geen absolute waarheid te posten. Bedankt voor de info.

Ik begrijp dat je wereldbeeld behoorlijk begint te wankelen als blijkt dat windows iets wel goed doet en een opensource project niet. Even de tandjes op elkaar en swallow it

Was dit nou echt nodig? Bovendien, dit zeg je tegen iemand met een Windows PC, een Surface Pro, een Windows 10 mobile telefoon en een Xbox One onder z'n tv

. Sommige mensen zouden mij classificeren als MS fanboy.

[Reactie gewijzigd door .oisyn op 3 augustus 2024 09:32]

Brahiewahiewa @.oisyn • 7 november 2017 04:30

Was dit nou echt nodig?

Nee dus. Excuus dat ik je gekwetst heb.

P1nGu1n

@wouter6022 • 5 november 2017 13:42

Het lijkt me niet dat dit iets met de kernel te maken heeft

Erik-Hendriks @Caelestis • 5 november 2017 14:22

Ik denk omdat Windows
"file:///c:/subdir/file.ext"
gebruikt en Linux "file:///home/username/file.ext" gebruikt.

aadv 5 november 2017 14:03

Begrijp ik het goed dat het 'probleem' zich enkel voordoet als je bijvoorbeeld een opgeslagen pagina via file://mijn_pagina.xxx lokaal opent.
Direct naar het web surfen zou geen probleem zijn, dat is dan toch niets om hysterisch van te worden?

Cerberus_tm

@aadv • 5 november 2017 14:15

Als ik een webpagina maak met daarop een link naar b.v. file://blabla, en jij klikt op die link, dan kan het zijn ik je ip-adres al kan zien. Het enige wat jij dus hoeft te doen is op die link te klikken. En ik vraag me af of het niet ook kan werken als ik file://blabla.jpg instel als plaatje dat automatisch hoort te laden (zoals alle plaatjes in een normaal <image>-tag op een webpagina). Misschien hoef jij dan wel nergens op te klikken, hoef je alleen die normale http-pagina te bezoeken waarop dat plaatje 'staat'.

xiphoid @Cerberus_tm • 5 november 2017 16:23

En die jpg is eigenlijk een php die de info opslaat in sql. En hoppa, auto fingerprinting..
Maakt men op streamsites are jaren gebruik van via naughty-advertisers

Cerberus_tm

@xiphoid • 5 november 2017 20:09

Ja, precies. Daarom gebruik ik ook Request Policy om inhoud die van een ander domein komt dan het hoofddomein in principe te blokkeren (tenzij, etc.).

mrdemc @Cerberus_tm • 5 november 2017 17:18

Het gaat om het protocol wat hier de boosdoener is in combinatie met een externe server. Uiteraard werkt het dus niet bij lokale files maar gaat het om de file access vanuit het OS (de verkenner bijv.) die door de uri scheme link een verbinding probeert te maken met de file die op de externe server staat. Bijv file://externeserver.ext zal dan over het gewone netwerk gaan.

[Reactie gewijzigd door mrdemc op 3 augustus 2024 09:32]

TheMak @mrdemc • 5 november 2017 18:44

Welk protocol wordt er dan gebruikt, vraag ik me af.

mrdemc @TheMak • 6 november 2017 13:45

Protocol veranderd in uri scheme

Onder Linux kun je in de mimeapps.list kijken door te zoeken naar x-scheme-handler welke scheme handlers er actief zijn.

Peatsmoke

5 november 2017 13:45

Dat bewijst maar weer eens dat enkel het gebruik van TOR en VPN nog geen zekerheid geeft dat je anoniem op internet bent.

theduke1989 @Peatsmoke • 5 november 2017 14:49

Is dat echt zo.

Of bedoel je eigen opgezette VPN? Want kan me niet. Voorstellen dat bijvoorbeeld betaalde services OpenVPN bijvoorbeeld wanneer de overheid vraagt naar gegevens ze dit niet kunnen doen omdat ze het zelf ook niet opslaan?

RGAT @theduke1989 • 5 november 2017 15:30

Die betaalde services hebben jouw gegevens voor in ieder geval het betalen en kunnen dus in ieder geval jou linken aan een VPN, wat je meer verdacht maakt (voor de politie dan).
En de meeste zeggen 'wij loggen niets' maar loggen alsnog van alles, debuggen is niet echt mogelijk zonder informatie over wat je moet repareren, of het boeit ze niks

Gert @RGAT • 5 november 2017 19:40

Die betaalde service kan via bitcoin worden afgerekend en de gegevens die je opgeeft kunnen ook die van Pipo de clown zijn.

Dat is toch redelijk anoniem...

biglia @Gert • 5 november 2017 20:58

Maar je connecteert toch met je Nederlands IP adres van je ISP met die VPN service? Zouden die VPN services dat niet bijhouden? Vorige week heb ik op deepdotweb.com nog een artikel gelezen waarbij de FBI alle gegevens bij een VPN provider vroeg en kreeg terwijl die VPN provider adverteert dat ze geen logs bijhouden.

!dragon! @biglia • 6 november 2017 09:41

PureVPN is die provider in kwestie.
https://www.deepdotweb.co...provider-shared-logs-fbi/

Die spraken zichzelf volgens dat artikel in hun privacy policy flink tegen .
“We do NOT keep any logs that can identify or help in monitoring a user’s activity. You are Invisible"

En een stukje verder in de privacy policy stond dit:
"PureVPN records the connection times, bandwidth use, the user’s real name, e-mail address, and phone number."

Misschien dat ze deze nu aangepast of in ieder geval verduidelijkt hebben ,
want het eerste wat er in hun privacy policy staat
is dat ze gegevens loggen als (maar niet gelimiteerd tot) naam,email en telefoonnummer.

En een stukje verder staat dat als de autoriteiten met een bevel komen of slachtoffers met duidelijk bewijs komen ze al je gegevens delen.

Zo blijkt maar weer dat een policy erg belangrijk is om goed door te lezen

PureVPN heeft trouwens ook een (in mijn ogen laffe ) uitleg hierover op hun blog geplaatst
https://www.purevpn.com/blog/vpn-logs-explained/

Nazlive @Gert • 6 november 2017 08:03

Er is er zelfs eentje waar je cash kan betalen door het op te sturen.

Verwijderd @theduke1989 • 5 november 2017 16:32

In veel landen gebeurt het opslaan van metadata daar waar de providers data uitwisselen. (Vaak een BGP exchange.) De VPN provider zelf hoeft dus helemaal niks op te slaan en hoeft zelfs niet betrokken te worden bij een onderzoek. (Al is dat soms wel makkelijker.)

Die metadata kan gebruikt worden om VPN pakketjes die naar een VPN server gaan te correleren met gewone data pakketjes die er weer uitkomen. (Anders dan TOR gebruiken de meeste OpenVPN diensten geen multi-hop architectuur om deze correlatie te bemoeilijken.)

De "wij loggen niets" claim van veel VPN diensten kan dus heel goed waar zijn, maar is compleet irrelevant wanneer het op onderzoek door autoriteiten aankomt.

Gomez12 @Verwijderd • 5 november 2017 19:25

De "wij loggen niets" claim van veel VPN diensten kan dus heel goed waar zijn, maar is compleet irrelevant wanneer het op onderzoek door autoriteiten aankomt.

Het voorbeeld wat jij beschrijft is heel leuk in theorie, maar in de praktijk loop je tegen allerhande problemen aan (BGP-exchange in een ander land, verschillende BGP-routes, hoeveelheid data van een BGP-exchange etc etc etc) waardoor men toch kiest voor gewoon de VPN dienst het te laten aanleveren.

En "wij loggen niets", tja ik ken geen enkele dienst die daar geen kleine lettertjes bij heeft.

pauldaytona 5 november 2017 13:41

En hoelang wisten allerlei geheime diensten dit al niet?

Verwijderd @pauldaytona • 5 november 2017 17:50

Niet lang vermoed ik. Anders waren de honderdduizenden gebruikers van PlayPen allang bekend.

Los daarvan weet ik niet of ze er veel aan hebben, want je moet wel kunnen bewijzen dat die mensen iets verkeerd deden. Je kan namelijk alleen zien dat ze naar een bepaalde site gingen, en niet wat ze er deden. Het kan best zijn dat ze niet ingelogd waren of niets strafbaars bekeken.

Los daarvan moest de site ook overgenomen zijn door de autoriteiten om dit soort links aan re brengen op de Tor Hidden Site. Die kans is ook niet zo groot.

Cyb @pauldaytona • 5 november 2017 18:42

Toch wel moeilijk voor te stellen dat dat nu pas naar buiten komt.
Ik heb wel vaker webpagina's gezien waar de editor een foutje heeft gemaakt met file:// ipv http://.

Verwijderd @pauldaytona • 5 november 2017 15:30

Als het goed is al heel lang. Anders doen ze hun werk niet goed....

Brahiewahiewa @pauldaytona • 5 november 2017 18:29

geheime diensten hebben dit niet nodig; ze hebben al genoeg exitnodes onder contrôle

Tetraquark 5 november 2017 14:34

daarom regel 1: OPSEC en is er zelden een probleem

ViperXL 5 november 2017 15:18

Ik draai Anonym8 voor meerdere lagen beveiliging.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: