Esto es un aviso urgente para quienes utilizan TOR como medio de proteger su privacidad.
En los últimos días se ha reportado una vulnerabilidad de Javascript que afecta al navegador Firefox en el que se basa Tor Browser Bundle (modificación de Firefox con importantes modificaciones de seguridad y privacidad).
Especialmente vulnerables son los usuarios de Tor Brownser Bundle que usan el sistema operativo Windows. Dicha vulnerabilidad ha sido corregida en la versión 17.0.7 ESR de Firefox. Las siguientes versiones de Tor Browser Bundle incluyen esta versión corregida:
* 2.3.25-10 (26 de junio de 2013)
* 2.4.15-alpha-1 (26 de junio de 2013)
* 2.4.15-beta-1 (8 de julio de 2013)
* 3.0alpha2 (30 de junio de 2013)
Todos los usuarios de Tor Browser Bundle deberían actualizar inmediatamente a alguna de estas versiones recientes así como adoptar las precacuciones que se describen más abajo.
¿A quienes afecta la vulnerabilidad?
En principio a todos los usuarios de versiones anteriores a las indicadas arriba pero, en la práctica, parece que solo a los usuarios de Windows con versiones vulnerables del navegador. Para decirlo más claramente, aunque la vulnerabilidad de Firefox es independiente del sistema operativo el código atacante es específico de Windows. Según esto, los usuarios de Tor Browser sobre OS X o Linux así como los que lo utilizan mediante un sistema Live CD como Tails no son atacados por este exploit.
Si no estás seguro de cuál es tu versión haz click en "Ayuda" => "Acerca de TorBrowser" y comprueba que en la ventana emergente ponga "Firefox 17.0.7" [video]
Impacto
La vulnerabilidad permite la ejecución arbitraria de código malicioso permitiendo al atacante tomar control sobre la máquina del usuario. Sin embargo, las versiones observadas del ataque parecen coleccionar el nombre del host y la dirección MAC de la víctima para enviarla a un host remoto fuera de la red TOR. Este exploit ha sido inyectado en o por varios servicios ocultos de TOR y es razonable concluir que el atacante tiene ahora una lista de usuarios vulnerables que han visitado esos servicios. Por otra parte no parece que el ataque haya modificado nada en las computadoras víctimas.
¿Qué hacer?
Primero que todo y lo principal actualizar a una versión reciente de Tor Browser Bundle.
Segundo, asegurarse de mantenerse actualizado en el futuro. Tor Browse Bundle automáticamente comprueba si está actualizado o no y notifica en la página de inicio si es necesario actualizar. Las versiones recientes incluso agregan un signo de exclamación intermitente sobre el icono de la cebolla TOR.
Tercero, comprender que esta no es la primera vulnerabilidad de Firefox y, con toda seguridad, no será la última.
Considera seriamente deshabilitar Javascript haciendo click sobre la S azul al lado de la cebolla verde y pulsando sobre "Bloquear javascript globalmente (recomendado)"
Deshabilitar javascript reducirá notablemente tu vulnerabilidad a otros ataques de esta misma índole. Como mal menor esto hará que algunos sitios web no se visualicen de la forma original. Una versión futura de Tor Browser Bundle vendrá con una interfaz más práctica para configurar las opciones Javascript. Otras cosas interesantes son aleatorizar tu dirección MAC, instalar varios Firewalls y cuantas medidas de seguridad adicionales creas conveniente. Si no sabes cómo hacerlo hay numerosos tutoriales en Internet.
Cuarto, considera cambiar a un sistema Live como Tails; ejecutable desde un CD o DVD así como desde una memoria USB.
Quinto, abandonar Windows es, probablemente, un paso importante en tu seguridad y privacidad por muchas razones.
Por último, no olvides que hay muchas otras vías para hacer un sistema vulnerable incluyendo css, svg, xml, etc. Es tarea de tod@s contribuir a mejorar la usabilidad y seguridad. Algo que te concierne especialmente si eres programador. Como usuario, ya has dado un gran paso si mantienes tu interés por el proyecto TOR y lo utilizas.
Fuente: TorProject Blog
Suscribirse a:
Enviar comentarios (Atom)
-
Panóptico - Herramienta de pruebas de penetración para la caza vulnerabilidades LFI Panóptico es una herramienta que busca en los ...
-
Panóptico - Herramienta de pruebas de penetración para la caza vulnerabilidades LFI Panóptico es una herramienta que busca en los archivos c...
-
Carta abierta de Google, Apple, Facebook, Microsoft, Twitter y demás han enviado a Obama En el blog de Google han publicado la car...
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias