TOR là mặt tối của Internet, cái gọi là dark web, nơi cung cấp nơi trú ẩn an toàn cho những người ủng hộ quyền riêng tư nhưng cũng là nơi buôn bán ma túy, sát thủ thuê và các hoạt động kỳ lạ và bất hợp pháp khác.
Một lỗ hổng zero-day được tuyên bố trong Firefox 17 đã được FBI sử dụng để xác định một số người dùng mạng ẩn danh Tor bảo vệ quyền riêng tư. FBI đã không xâm phạm chính mạng TOR và nhiều lớp mã hóa phức tạp vẫn đứng vững. Thay vào đó, FBI đã xâm phạm trình duyệt TOR chỉ bằng cách khai thác JavaScript zero-day và sử dụng điều này để cấy một cookie lấy dấu vân tay của người dùng thông qua một máy chủ bên ngoài cụ thể.
Marques đã bị bắt theo lệnh của Maryland bao gồm tội phân phối và quảng bá khiêu dâm trẻ em trực tuyến. Anh ta phải đối mặt với bốn cáo buộc liên quan đến tội danh khiêu dâm trẻ em với tổng cộng 30 năm tù, được FBI gọi là “người hỗ trợ lớn nhất cho trẻ em p * rn trên hành tinh.” Nhu cầu đó đặc biệt tăng lên với nhiều tiết lộ về chương trình Prism của Hoa Kỳ và các sáng kiến gián điệp mạng khác.
Ông Marques nói với tòa rằng ông sinh ra ở Mỹ nhưng đã sống ở Ireland từ năm lên 5. Anh ấy nói rằng anh ấy đã ở Romania lần cuối vài tuần trước khi rút 6.000 euro từ thẻ tín dụng của mình để giúp một người bạn bắt đầu kinh doanh.
Mạng Tor là một công cụ mạnh mẽ dành cho các nhà báo, người tố cáo, người bất đồng chính kiến và những người khác muốn công bố thông tin theo cách không dễ dàng truy ngược lại họ. Việc bắt giữ anh ta trùng hợp với sự cố ngừng hoạt động hàng loạt trên Darknet ảnh hưởng đến các dịch vụ phổ biến như thư rác, HackBB và Wiki ẩn được chạy trên Freedom Hosting. Tồi tệ hơn, có nhiều báo cáo về nhiều dịch vụ ẩn TOR nổi tiếng có thể bị xâm phạm bằng cách khai thác trình duyệt.
“Tin tức hiện tại chỉ ra rằng ai đó đã khai thác phần mềm đằng sau Freedom Hosting. Từ những gì được biết cho đến nay, vi phạm đã được sử dụng để định cấu hình máy chủ theo cách nó đưa một số loại khai thác javascript vào các trang web được phân phối cho người dùng. Khai thác này được sử dụng để tải phần mềm độc hại để lây nhiễm vào máy tính của người dùng. Tải trọng phần mềm độc hại có thể đang cố gắng khai thác các lỗi tiềm ẩn trong Firefox 17 ESR, mà Trình duyệt Tor của chúng tôi dựa trên đó. Chúng tôi đang điều tra những lỗi này và sẽ khắc phục chúng nếu có thể.” Andrew Lewman, Giám đốc điều hành của Dự án Tor cho biết trong một bài đăng trên blog.
Mozilla cho biết họ đã được thông báo về một lỗ hổng bảo mật tiềm ẩn trong Firefox 17 (MFSA 2013-53), hiện là phiên bản phát hành hỗ trợ mở rộng (ESR) của Firefox. Mã khai thác được đăng bởi Mozilla và Deobfuscate JS được sử dụng bởi khai thác Trình duyệt Tor được đăng trên Google Code.
Javascript độc hại là một tệp thực thi Windows nhỏ ẩn trong một biến có tên “nam châm“, nhưng mã Magneto không tải xuống bất cứ thứ gì. Nó tra cứu địa chỉ MAC của nạn nhân và tên máy chủ Windows của nạn nhân. Sau đó, nó gửi nó đến máy chủ Virginia, bên ngoài Tor, để lộ địa chỉ IP thực của người dùng và được mã hóa dưới dạng yêu cầu web HTTP tiêu chuẩn.
FBI dường như đã giành được quyền truy cập vào Freedom Hosting và tiêm mã HTML độc hại để kiểm tra trình duyệt của khách truy cập xem liệu anh ta có đang sử dụng Firefox 17 hay không. Một số khách truy cập khi xem mã nguồn của trang bảo trì đã nhận ra rằng nó bao gồm một iframe đã tải một đoạn mã Javascript bí ẩn từ một địa chỉ internet của Verizon Business nằm ở phía đông Virginia.
Openwatch đã báo cáo rằng, Việc thực thi JavaScript độc hại bên trong Tor Browser Bundle, có lẽ là ứng dụng khách Tor được sử dụng phổ biến nhất, gây ngạc nhiên cho nhiều người dùng. Trước đây, trình duyệt đã tắt thực thi JavaScript theo mặc định vì mục đích bảo mật, tuy nhiên, thay đổi này gần đây đã được các nhà phát triển hoàn nguyên để làm cho sản phẩm hữu ích hơn cho người dùng internet bình thường. Tuy nhiên, kết quả là các ứng dụng trở nên rất dễ bị tấn công như thế này.
Tải trọng của mã JavaScript được nhà phát triển khai thác và kỹ thuật đảo ngược phân tích Vlad Tsyrklevich, người tiết lộ rằng nó kết nối nhanh với máy chủ và gửi tên máy chủ cũng như địa chỉ MAC của nạn nhân. “Tóm lại, tải trọng này kết nối với 65.222.202.54:80 và gửi cho nó một yêu cầu HTTP bao gồm tên máy chủ (thông qua lấy tên máy chủ()) và địa chỉ MAC của máy cục bộ (thông qua gọi SendARP trên gethostbyname()->h_addr_list). Sau đó, nó dọn dẹp trạng thái và dường như cố tình gặp sự cố.“
Microsoft đã từng cung cấp cho chính phủ Hoa Kỳ sự khởi đầu sớm về các lỗ hổng bảo mật của mình, được cho là đã sử dụng để hỗ trợ các chương trình gián điệp mạng của họ. Nhưng ở đây không có ý tưởng nào vào thời điểm này, rằng Mozilla đã làm việc với chính phủ trong trường hợp này.
Tất nhiên, điều này cho thấy sự tự mãn có thể là một điều rất tồi tệ như thế nào, đặc biệt là khi nói đến vấn đề bảo mật. Trong nỗ lực hạ bệ hình ảnh trẻ em, nhưng nó cũng có thể có nghĩa là vi phạm an ninh nghiêm trọng đối với các nhà hoạt động quốc tế và người dùng internet sống ở các quốc gia bị đàn áp, những người sử dụng dịch vụ để thực hành quyền tự do ngôn luận trực tuyến.
Đảm bảo rằng bạn đang chạy Gói trình duyệt Tor đủ mới. Điều đó sẽ giữ cho bạn an toàn từ cuộc tấn công này. Người dùng Windows nên cập nhật Gói trình duyệt Tor, phiên bản 2.3.25-10 (phát hành ngày 26 tháng 6 năm 2013), 2.4.15-alpha-1 (phát hành ngày 26 tháng 6 năm 2013), 2.4.15-beta-1 (phát hành ngày 8 tháng 7 năm 2013) , 3.0alpha2 (phát hành ngày 30 tháng 6 năm 2013) bao gồm bản sửa lỗi. Cân nhắc việc tắt JavaScript (nhấp vào chữ “S” màu xanh bên cạnh củ hành xanh và chọn “Cấm tập lệnh trên toàn cầu”). Vô hiệu hóa JavaScript sẽ giảm khả năng bị tấn công của bạn trước các cuộc tấn công khác như cuộc tấn công này, nhưng việc vô hiệu hóa JavaScript sẽ khiến một số trang web không hoạt động như bạn mong đợi.
Cập nhật: Dựa theo Nghiên cứu của Baneki Privacy Labsđịa chỉ IP 65.222.202.53 được mã hóa cứng vào khai thác thuộc về Virginia thực sự thuộc sở hữu của Tập đoàn Khoa học Ứng dụng Quốc tế (SAIC), một nhà thầu lớn về tình báo, quân sự, hàng không vũ trụ, kỹ thuật và hệ thống có liên quan đến Cục Điều tra Liên bang (FBI), Cơ quan Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA) , Cơ quan Tình báo Trung ương (CIA) và Cơ quan An ninh Quốc gia (NSA).
Họ tin rằng địa chỉ IP được mã hóa cứng được phân bổ trực tiếp cho Hệ thống tự trị (AS) của NSA, vì vậy có lẽ không phải FBI, mà NSA của họ đã sử dụng khai thác Firefox Zero-Day để xâm phạm mạng Freedom Hosting và TOR.
