Usuarios TOR: Infeccion Malware.

Cabo_Tito · Mensajepor **Cabo_Tito** » 05 Ago 2013 03:18

Tor Project’s Executive Director has confirmed in his blog that Freedom Host servers were breached before going offline and it is claimed that hidden Tor sites in Freedom Host had been injecting a javascript exploit in an attempt to identify its users. The vulnerability only worked in Firefox 17, on which Tor Browser Bundle is based and is therefore vulnerable, the developers had recently turned on javascript by default in an attempt to make it more user friendly. People using the the NoScript addon or Tails live DVD to access Freedom Host hidden sites should have been protected from the exploit.

El Director ejecutivo del proyecto TOR ha confirmado en su blog que los servidores Freedom cometieron ilegalidades antes de quedar desconectados y se avisa que sitios ocultos de TOR en Freedom han sido inyectados con un exploit javascript en un intento de identificar sus usuarios. La vulnerabilidad solo funcionaba en Firefox17, en el que se basa el paquete Tor Browser y por lo tanto vulnerable, los desarrolladores habian activado javascript por defecto en un intento de hacerlo mas amigable. El personal que utiliza el añadido "NoScript" o el "Live CD Tails", para acceder a sitios ocultos del Host Freedom deberian haber estado protegidos del exploit.

Yo por ahora desinstalo Vidalia ... hasta que me llegue aviso de que Tor esta limpio otra vez, hay buenos sitios para enterarte de cosas que no se comentan por otros lares pero que algunos no quieren que leamos ( o saldrian en paginas del Internet abierto ¿no? ).

grafitti · Mensajepor **grafitti** » 05 Ago 2013 03:43

Gracias Cabo!

Cabo_Tito · Mensajepor **Cabo_Tito** » 05 Ago 2013 03:56

En vez de poner trozos de la noticia, lo pongo entero ... el que sepa ingles (o se las apañe con el) bien, el que no ... que use el traductor de Google, o el que mas le guste.

Freedom Host administrator has been arrested in Ireland, he is currently awaiting extradition to the US, being described by an FBI special agent as “the largest facilitator of child porn on the planet.” Freedom Host was a service inside the Tor network hosting anonymous content that could consist of anything, ranging from leaked documents to hacking tools and illegal images.

Tor Project’s Executive Director has confirmed in his blog that Freedom Host servers were breached before going offline and it is claimed that hidden Tor sites in Freedom Host had been injecting a javascript exploit in an attempt to identify its users. The vulnerability only worked in Firefox 17, on which Tor Browser Bundle is based and is therefore vulnerable, the developers had recently turned on javascript by default in an attempt to make it more user friendly. People using the the NoScript addon or Tails live DVD to access Freedom Host hidden sites should have been protected from the exploit.
OnionNews posters also link FreedomHost administrator with Tormail and a Bitcoin escrow service called OnionBank, those services should be considered compromised by law enforcement as well.

It is important to remember that what has been seized are servers belonging to an individual running various Tor services, this is not a Tor network vulnerability, as long as you did not run the Tor Browser Bundle you should be safe. Hidden sites running on different servers should also be safe, but this sends a strong message that what has happened to one operator might happen to others. The lesson learnt here is that you should always disable javascript in your browser.

Y en el Blog del sitio de Tor:

Hidden Services, Current Events, and Freedom Hosting
Posted August 4th, 2013 by phobos

Around midnight on August 4th we were notified by a few people that a large number of hidden service addresses have disappeared from the Tor Network. There are a variety of rumors about a hosting company for hidden services: that it is suddenly offline, has been breached, or attackers have placed a javascript exploit on their web site.

A Hidden service is a server – often delivering web pages – that is reachable only through the Tor network. While most people know that the Tor network with its thousands of volunteer-run nodes provides anonymity for users who don´t want to be tracked and identified on the internet, the lesser-known hidden service feature of Tor provides anonymity also for the server operator.

Anyone can run hidden services, and many do. We use them internally at The Tor Project to offer our developers anonymous access to services such as SSH, IRC, HTTP, and our bug tracker. Other organizations run hidden services to protect dissidents, activists, and protect the anonymity of users trying to find help for suicide prevention, domestic violence, and abuse-recovery. Whistleblowers and journalists use hidden services to exchange information in a secure and anonymous way and publish critical information in a way that is not easily traced back to them. The New Yorker's Strongbox is one public example.

Hidden service addresses, aka the dot onion domain, are cryptographically and automatically generated by the tor software. They look like this https://idnxcnkne4qt76tg.onion/, which is our torproject.org website as a hidden service.

There is no central repository nor registry of addresses. The dot onion address is both the name and routing address for the services hosted at the dot onion. The Tor network uses the .onion-address to direct requests to the hidden server and route back the data from the hidden server to the anonymous user. The design of the Tor network ensures that the user can not know where the server is located and the server can not find out the IP-address of the user, except by intentional malicious means like hidden tracking code embedded in the web pages delivered by the server. Additionally, the design of the Tor network, which is run by thousands of volunteers, ensures that it is impossible to censor or block certain .onion-addresses.

The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.

As for now, one of multiple hidden service hosting companies appears to be down. There are lots of rumors and speculation as to what's happened. We're reading the same news and threads you are and don't have any insider information. We'll keep you updated as details become available.

Cabo_Tito · Mensajepor **Cabo_Tito** » 05 Ago 2013 17:32

SUMMARY:
This is a critical security announcement.

An attack that exploits a Firefox vulnerability in JavaScript [1]
has been observed in the wild. Specifically, Windows users using the
Tor Browser Bundle (which includes Firefox plus privacy patches [2])
appear to have been targeted.

This vulnerability was fixed in Firefox 17.0.7 ESR [3]. The following
versions of the Tor Browser Bundle include this fixed version:
2.3.25-10 (released June 26 2013) [4]
2.4.15-alpha-1 (released June 26 2013) [4]
2.4.15-beta-1 (released July 8 2013) [5]
3.0alpha2 (released June 30 2013) [6]

Tor Browser Bundle users should ensure they're running a recent enough
bundle version, and consider taking further security precautions as
described below.

WHO IS AFFECTED:
In principle, all users of all Tor Browser Bundles earlier than
the above versions are vulnerable. But in practice, it appears that
only Windows users with vulnerable Firefox versions were actually
exploitable by this attack.

(If you're not sure what version you have, click on "Help -> About
Torbrowser" and make sure it says Firefox 17.0.7. Here's a video: [7])

To be clear, while the Firefox vulnerability is cross-platform, the
attack code is Windows-specific. It appears that TBB users on Linux
and OS X, as well as users of LiveCD systems like Tails, were not
exploited by this attack.

IMPACT:
The vulnerability allows arbitrary code execution, so an attacker
could in principle take over the victim's computer. However, the
observed version of the attack appears to collect the hostname and MAC
address of the victim computer, send that to a remote webserver over
a non-Tor connection, and then crash or exit [8]. The attack appears
to have been injected into (or by) various Tor hidden services [9],
and it's reasonable to conclude that the attacker now has a list of
vulnerable Tor users who visited those hidden services.

We don't currently believe that the attack modifies anything on the
victim computer.

WHAT TO DO:
First, be sure you're running a recent enough Tor Browser Bundle. That
should keep you safe from this attack.

Second, be sure to keep up-to-date in the future. Tor Browser Bundle
automatically checks whether it's out of date, and notifies you on its
homepage when you need to upgrade. Recent versions also add a flashing
exclamation point over the Tor onion icon. We also post about new
versions on the Tor blog: https://blog.torproject.org/

Third, realize that this wasn't the first Firefox vulnerability, nor
will it be the last [10]. Consider disabling JavaScript (click the blue
"S" beside the green onion, and select "Forbid Scripts Globally").
Disabling JavaScript will reduce your vulnerability to other attacks
like this one, but disabling JavaScript will make some websites not work
like you expect. A future version of Tor Browser Bundle will have an
easier interface for letting you configure your JavaScript settings [11].
You might also like Request Policy [12]. And you might want to randomize
your MAC address, install various firewalls, etc.

Fourth, consider switching to a "live system" approach like Tails [13].
Really, switching away from Windows is probably a good security move
for many reasons.

And finally, be aware that many other vectors remain for vulnerabilities
in Firefox. JavaScript is one big vector for attack, but many other
big vectors exist, like css, svg, xml, the renderer, etc. We need
help improving usability of (and doing more security analysis of)
better sandboxing approaches [14] as well as VM-based approaches like
Whonix [15] and WiNoN [16]. Please help!

Ese el es mensaje original de Roger Dingledine, el director de TOR, avisando que los viejos paquetes de navegador TOR son vulnerables.

Cabo_Tito · Mensajepor **Cabo_Tito** » 05 Ago 2013 22:35

Algo mas, ahora en español.

http://www.theinquirer.es/2013/08/05/el-ataque-a-la-red-anonima-tor-podria-ser-obra-de-la-nsa.html

Publicado el 5 de agosto de 2013 por Antonio Rentero
Tor es una especie de “Internet clandestina” en la que el anonimato es premisa fundamental, y eso la idea de comunicaciones sin identificar a sus interlocutores por la Red es algo que no le hace mucha gracia a las agencias de seguridad estadounidenses. Ayer esta red sufrió un importante ataque de malware y hoy parece que la dirección IP de la que procede se ha identificado como procedente a la NSA, Agencia de Seguridad Nacional de Estados Unidos de América.

Como las capas de una cebolla, que para eso es su logotipo, en Tor se oculta la identidad del usuario tras sucesivas conexiones anónimas y mediante herramientas que protegen al navegante de intromisiones ilegítimas en sus comunicaciones a través de la Red. Entre otras cosas, esto se consigue a través de una red de servidores propios completamente seguros y supuestamente “ocultos” a los ojos de quienes quieren saber el contenido de nuestras comunicaciones privadas, pero recientemente uno de estos servidores ha sufrido un ataque con malware que permitía vulnerar la protección de ese anonimato a través de un fallo de vulnerabilidad en una extensión de la versión para Windows del navegador Firefox que, a pesar de que ya fue corregida en junio, dado que el navegador no incluye la opción de actualización automática habría quedado sin recibir el parche oportuno en los casos de aquellos usuarios que no hayan procedido a actualizar manualmente su versión de este navegador.

Tras conocerse esta brecha un grupo de especialistas en seguridad han analizado ese ataque y han identificado la dirección IP desde la que se envió dicho ataque como perteneciente a SAIC, un contratista habitual del Departamento de Defensa USA, ubicada dicha conexión geográficamente además en Arlington (Virginia), ciudad muy próxima a Washington D.C., sede de numerosas agencias gubernamentales con un 60 % de sus oficinas ocupadas por instalaciones oficiales y contratistas gubernamentales, por no hablar de que es donde está ubicado el Pentágono (aunque su dirección oficial sea Washington D.C. al otro lado del río Potomac).

El hecho de que de las investigaciones realizadas se haya podido concluir que las DNS empleadas estaban asignadas permanentemente a la NSA a través de este contratista ofrece una doble lectura: o alguien ha metido la pata dejando un rastro tan evidente o bien se trata de un “aviso” destinado a poner nerviosos a los usuarios de Tor, una especie de “podemos entrar a vuestra Red anónima” con el que la Agencia de Seguridad Nacional estaría haciendo una declaración de intenciones en su propósito de conocer todas nuestras comunicaciones.

VBull · Mensajepor **VBull** » 05 Ago 2013 23:55

La pena es que no hayan volado directamente ese servidor los contratistas de la NSA.

Tanta historia con la privacidad de las comunicaciones en la red y al final resulta que el anonimato solo beneficia a piratas, pederastas, traidores, terroristas y delincuentes de mil raleas.

Cabo_Tito · Mensajepor **Cabo_Tito** » 06 Ago 2013 00:25

Al pederasta que lo frian a fuego lento y aliñado con spray de pimienta, a este y a todos los que pululan por ahi.

Aparte de eso tambien hay informacion, publicaciones y es un medio para que gente que no puede comunicarse de forma normal (Pakistan, China, Corea N.) puedan hacerlo con un minimo de seguridad, a eso podemos añadir que los Servicios Diplomaticos (mensajes privados, de estado, consultas, etc...) suelen usar este medio desde hace mucho tiempo.

Para mandar un mensaje seguro por TOR, aparte de que dicen que el mensaje sale al pulsar "enviar", llega al pimer enlace y se cifra .. pasa por todos los demas (pueden llegar a ser cientos) y se descifra en el ultimo por el que pasa antes del ordenador destino ... tambien se puede cifrar con GPG y enviarlo asi, de este modo nadie "en el medio" puede leer lo que dices. Aun no estoy seguro de que Wikileaks no fuera conseguido de esta red, interceptando (man in the middle) los mensajes en algun nodo por que el que pasara la mayoria.

Lo de los piratas ... depende, si pirata es un tipo que investiga, aprende, no hace daño NUNCA y que ademas puede ofrecer solucionres ... es el tipico Hacker, a veces precisamente son estos "indeseables" los que obligan a las empresas privadas a preocuparse y trabajar para que los sistemas sean seguros ... eso si, indeseables vamos a encontrar en todos lados, ¡Hasta en mi pueblo! ... y no saben nada de ordenadores. Y sin ir demasiado lejos: Mira la evolucion de la banca, de ser una empresa que se ofrecia para guardar tus efectivos ... a cambio de negociar con ellos y repartir el beneficio contigo .. a ser usureros que cobran por pisar la puerta de entrada o por permitirte que ingreses tu sueldo para que puedan arruinarse y luego cobrarte via impuestos del estado lo que han disfrutado derrochando en juegos malabares, y que tu les confiaste; A ti te han echado del curro porque no hay prestamos para la empresa, pero ellos siguen subiendose los sueldos y cobrando un potosi ... por vivir a tu costa y joderte ahora y en el futuro. Los que han cotizado se les acaba la ayuda, las empresas cierran por falta de efectivo que invertir (esta en el banco y se contaba con ello) y a ti te hacen gastarte el dinero en "buscar empleo" o perder el tiempo en cursos que jamas te van a servir para absolutamente nada. Pero el banco cobra ... si o si ... de ti o del estado y si no pagas o pagan : Siria, Libia .... ¿Capicci? ... Tor estara infectado de indeseables, estoy seguro que son mas decentes que muchisimos decentes que vemos dia a dia ... cierra los ojos y piensa en politicos, banqueros y como vemos que estan dejando Europa ... prefiero mil veces TOR, donde puedo hablar de lo que me gusta y discutir y poner a parir a quien creo que lo merece, o donde me dicen cifras, timos, metodos de la gentuza para vivir a mi costa -cuando curraba- y que encima usan para afearme que estoy en paro ... echandome la culpa de lo que solo ellos han provocado .

xload · Mensajepor **xload** » 06 Ago 2013 00:31

Cabo_Tito escribió:Yo por ahora desinstalo Vidalia ... hasta que me llegue aviso de que Tor esta limpio otra vez, hay buenos sitios para enterarte de cosas que no se comentan por otros lares pero que algunos no quieren que leamos ( o saldrian en paginas del Internet abierto ¿no? ).

Torno esta limpio o sucio, lo que estaban infectadas eran las webs alojadas en Freedom Host (que dicho sea de paso, tenia bastantes mas cosas además de contenido pederasta)

Es el gran doble filo de la privacidad y el anonimato... al igual que se acoge a ellos la gente de bien, también se acoge la mala gente.

Cabo_Tito · Mensajepor **Cabo_Tito** » 06 Ago 2013 00:51

Lo se, pero hace unos dias estaba en TOR cuando me entro una confirmacion de conexion ... mi cortafuegos me dio una IP ... al mirarla veo que era de una empresa "micro..."nosoque .. busco en Startpage y resulta que es una corporacion USA, haciendo uso de "whois" sencillamente no aparece en ninguno de los servidores ... eso me mosqueo ... para colmo cierro navegador pensando en ir a ver la pagina mas tarde con mas detenimiento y resulta que no la tengo en el historico, eso ya lo veo MUY RARO, luego viene esta noticia y ya me decidi a eliminar TOR, esperare a la proxima version que saque Roger Dingledine ... y que me llegue con aviso firmado con GPG y que resulte correcta...

(manias que tiene uno ...

).

john_the_ripper · Mensajepor **john_the_ripper** » 06 Ago 2013 14:07

Yo lo instalé el otro día, había visto en El lado del mal una web onion donde se vendían armas y quería echar un vistazo.
Lo acabo de abrir. Es la versión: Firefox 17.0.7 y
Vidalia 0.2.21

Usuarios TOR: Infeccion Malware.

Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

Re: Usuarios TOR: Infeccion Malware.

¿Quién está conectado?