Mais três razões para manter o JavaScript desativado no Tor

Dr. Neal Krawetz, especialista de segurança autoproclamado e pesquisador forense, levou seu blog pessoal para divulgar três vulnerabilidades de baixo nível no pacote do navegador Tor. Após a primeira leitura dessa frase, pode-se imaginar por que o Dr. Krawetz usou seu blog pessoal em vez dos canais apropriados. Isso, ao que parece, era um elemento majoritariamente frustrante para o pesquisador: os canais “oficiais” raramente provocavam uma resposta.

Com base em seu post que resumiu três vulnerabilidades no navegador Tor, pode-se considerar a falta de comunicação entre o Tor Project e (pelo menos neste caso) pesquisas de segurança de uma vulnerabilidade própria. Uma leitura rápida em algumas de suas postagens revelou que o pesquisador teve uma relação complicada com o projeto Tor e o navegador Tor. Mas, também mostrou que ele não estava com experiência no mundo do anonimato e da privacidade na internet. Apesar de algumas das diferenças fundamentais entre seu blog, The Hacker Factor (Blog) e DeepDotWeb, o Dr. Krawetz levantou preocupações que eram inegavelmente relevantes para qualquer usuário Tor.

Aqui, ele explica as dificuldades que enfrenta quando tenta entrar em contato com qualquer pessoa (além dos usuários oficiais da conta do Twitter) no Tor Project.

“Ao longo dos últimos anos, tentei relatar alguns desses métodos de perfil (e soluções) ao Tor Project, mas toda tentativa resultou em falha. Muitas vezes, minhas tentativas de relatar um risco de vulnerabilidade ou perfil foram respondidas com silêncio. No entanto, eu tomarei o silêncio sobre a ignorância intencional. Por exemplo, expor um risco no canal TOR no Reddit geralmente termina com pessoas tentando me explicar como um risco não é um risco. Aqui está uma dica útil: se eu posso identificar qualquer coisa sobre você – além de “você está usando o navegador TOR”, então é um risco para sua privacidade. Qualquer divulgação de informações derrota o propósito de tentar parecer com todos os outros “.

As preocupações de privacidade delineadas pelo Dr. Krawetz caíram na seção “fingerprinting” do anonimato. Uma breve explicação: o navegador Tor, em primeiro lugar, protege um endereço IP de ser usado (contra você) como uma medida de identificação. Todo mundo que usa Tor deve parecer o mesmo que alguém usando Tor. Fingerprinting, se você quiser, geralmente se traduz em um vazamento de dados aparentemente não crítico que, ao longo do tempo, pode soltar um usuário entre hordas de outros – mesmo que todos pareçam os mesmos. Até Mesmo o Mozilla trabalhou em contramedidas de impressões digitais semelhantes a Tor em seu próprio Firefox.

O entusiasta da segurança, José Carlos Norte, explicou o termo muito melhor: “Um problema comum que o navegador tenta abordar é a impressão digital de usuários. Se um site for capaz de gerar uma impressão digital única que identifique cada usuário que entra na página, então é possível rastrear a atividade desse usuário no tempo, por exemplo, correlacionar as visitas do usuário durante um ano inteiro, sabendo que é o Mesmo usuário “.

A primeira das questões de impressões digitais delineadas pelo Dr. Krawetz foi sobre tamanho de janela e tela. Uma vez que computadores e dispositivos móveis vêm com telas de todos os tamanhos, o navegador Tor relata um valor falso: que a tela e a janela são do mesmo tamanho. Se um tamanho de janela e um tamanho de tela forem iguais, “o JavaScript pode detectar imediatamente o TOR-Browser”.

A correção do Dr. Krawetz: faça o navegador Tor sempre informar que o cliente usa uma tela com um tamanho maior que o da janela aberta.

O segundo problema, outro problema de tela, afetou apenas os usuários do MacOS. (Ou, principalmente, MacOS.) O navegador às vezes calcula incorretamente o tamanho da tela e, assim, recalcula o tamanho da janela padrão – um consistente 1000 × 1000. “se a tela é menor do que isso, então ele escolherá uma largura que é um múltiplo de 200 pixels e uma altura que é um múltiplo de 100 pixels”.

Ele explicou que esta questão era inconsistente, mas foi “corrigida” após a remoção do banco. E, portanto, explicou o pesquisador, o navegador Tor revelou um usuário que executou o Tor no Mac OS.

A correção do Dr. Krawetz: calcular corretamente o tamanho da tela.

E a terceira questão é com a barra de rolagem. Diferentes sistemas operacionais usam barras de rolagem de largura diferentes. O navegador Tor faz tentativas de manter todos olhando o mesmo em relação à tela e / ou tamanho da janela. Mas, “se as barras de rolagem forem exibidas, o Tamanho do Visor pode ser subtraído do Tamanho da Janela para encontrar a espessura das barras de rolagem”.

Graças à sua pesquisa, conhecemos as especificidades:

  • Tor no Mac OS usa 15 pixels do tamanho da janela.

  • Tor no Windows moderno usa 17 pixels.

  • O Tor no Linux permite uma identificação ainda mais específica. “A espessura depende da variante Linux e plataforma de desktop, como Gnome ou KDE.” 10 pixels no Linux Mint com Gtk-3.0. 13 para o Ubuntu 16.04 com o Gnome.

  • E os navegadores Tor não oficiais para uso móvel usam zero pixels.

A correção do Dr. Krawetz: em vez de puxar o verdadeiro valor da barra de rolagem, o navegador Tor informa um falso. Ele sugeriu um valor de 17 pixels – o tamanho do sistema operacional mais prevalente existente, o Windows.

Fonte: deepdotweb.com



Ahhhh :(

Nosso site tem anúncios que ajudam a manter o serviço online e a informação disponível para todos.

Por favor, se possível, desative o AdBlock enquanto estiver aqui com a gente, ok? <3

Muito obrigado!

AdBlock detectado!

Ahhhh :(

Nosso site tem anúncios que ajudam a manter o serviço online e a informação disponível para todos.

Por favor, se possível, desative o AdBlock enquanto estiver aqui com a gente, ok? <3

Muito obrigado!