Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Исследователь раскрыл информацию о двух уязвимостях в Tor

31/07/20

Tor slicingИсследователь безопасности Нил Кравец (Neal Krawetz) опубликовал технические подробности двух уязвимостей в браузере Tor. Эксперт также намерен раскрыть информацию якобы еще как минимум о трех уязвимостях нулевого дня в Tor. Одна из проблем, по его словам, может показать реальный IP-адрес серверов Tor.

Первая проблема связана с тем, что компании и интернет-провайдеры могут блокировать подключение пользователей к сети Tor путем сканирования сетевых подключений на предмет «отличительной подписи пакета», уникальной для трафика Tor. Пакет может быть использован для блокировки инициирования Tor-подключений и фактически полностью запретить использование Tor.

Вторая уязвимость , как и первая, позволяет сетевым операторам обнаруживать трафик Tor. Однако, вторая может использоваться для обнаружения непрямых подключений. Подобные соединения пользователи устанавливают с мостами Tor, когда компании и интернет-провайдеры блокируют прямой доступ к сети Tor. По словам Кравеца, соединения с мостами Tor можно легко обнаружить, используя аналогичную технику отслеживания определенных TCP-пакетов.

Причина, по которой Кравец публикует информацию о проблемах в Tor, заключается в том, что Tor Project якобы недостаточно серьезно относится к безопасности своих сетей, инструментов и пользователей. Исследователь безопасности ссылается на предыдущие инциденты, когда он пытался сообщить об уязвимостях Tor, но ему только обещали их исправить и так никогда не выпускали исправления.

Представители проекта Tor ответили на сообщения в блоге исследователя. По словам Tor Project, им известно о данных проблемах, однако они различаются по уровню угроз, которые они представляют для пользователей, и их якобы нельзя проэксплуатировать в масштабе.

Темы:ОтрасльTor0Day-уязвимости
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...