Доброжелатели из АНБ информируют разработчиков Tor о выявляемых проблемах

22 августа 2014 года

Wikinews-logo-ru.svg

В интервью изданию BBC Эндрю Льюмен (Andrew Lewman), руководитель проекта Tor, рассказал о том, что в АНБ и Центре правительственной связи Великобритании ведётся скрупулёзная работа по анализу исходных текстов Tor с целью поиска уязвимостей, которые можно было бы использовать для компрометации анонимной сети и её пользователей. Интересно, что сведения о выявляемых ошибках и потенциальных проблемах в дизайне протокола не удаётся удержать в секрете, так как данные оперативно становятся известны разработчикам Tor благодаря утечкам информации от неизвестных доброжелателей, имеющих доступ к отчётам о ходе аудита и считающих, что Tor должен оставаться надёжной платформой для обеспечения анонимности.

Подобные сведения поступают анонимно практически каждый месяц. Разработчики не имеют возможности уточнить детали, но сообщения содержат достаточные намёки или ссылки на участки в коде, на которые следует обратить внимание. Утечкам способствует особенность работы системы отслеживания ошибок Tor, которая позволяет отправлять сообщения о проблемах в анонимном режиме. Также отмечается, что значение имеет и свободный характер проекта, который стимулирует раскрытие информации об ошибках. Навряд ли агенты-доброжелатели делятся подобной информацией с производителями проприетарного ПО. В итоге, разработчикам Tor удаётся достаточно быстро устранять выявляемые спецслужбами ошибки. Сообщается, что в настоящее время Tor используют примерно 2.5 млн человек в день, число загрузок пакета Tor Browser за прошлый год оценивается в 150 млн.

Дополнительно, разработчики проекта Tor сообщили о получении от компании iSEC Partners отчёта с анализом текущих средств обеспечения защиты Tor и оценкой возможных путей усиления безопасности. Кроме оценки защищённости протокола, в рамках исследования также была изучена история возникновения и исправления уязвимостей в браузере Firefox, используемых библиотеках и мультимедийных кодеках, применяемых в Tor Browser. Исследование проведено по заказу Фонда открытых технологий.

В качестве представленных в отчёте рекомендаций по усилению безопасности можно отметить задействование средств рандомизации адресного пространства на платформах Windows и OS X (в Linux рандомизация включена), стимулирование к поиску уязвимостей через участие в соревнованиях, подобных Pwn2Own, рекомендации по применению Microsoft Enhanced Mitigation Experience Toolkit для усиления безопасности версии для Windows, замена в Firefox подсистемы распределения памяти с jemalloc на ctmalloc/PartitionAlloc, задействование средств для блокировки уязвимостей, связанных с обращением к уже освобождённым областям памяти (use-after-free).

Кроме того, на основе анализа истории уязвимостей в Firefox, был сформирован список возможностей, в реализации которых всплывает больше всего уязвимостей. Для повышения безопасности предлагается реализовать средство для выборочного отключения

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Доброжелатели из АНБ информируют разработчиков Tor о выявляемых проблемах», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Доброжелатели из АНБ информируют разработчиков Tor о выявляемых проблемах