Menéame: comentarios [3010284]

#22 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--23321-- — Thu, 13 Sep 2018 19:34:51 +0000

#21

En un ordenador con una live de tails (la forma recomendada de uso), con salida a internet por un tunel, con camara desactivada por hardware, microfono desactivado por hardware, sin tarjeta wifi....

Me explicas como puedes desvelar mi identidad, aunque corras un exploit de remote root directo?

La seguridad no es meter grsec/pax, es tener una distro live sin acceso a disco, ni datos de ningun tipo, ni perifericos con información util, y con salida a internet exclusivamente vía un tunel tor, en una red aparte del resto.

» autor: --23321--

#21 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

saulot — Thu, 13 Sep 2018 16:27:34 +0000

#6 Por supuesto que no y precisamente ese es el problema de la noticia: Tor Browser no trae desactivado javascript por default y usando sólo su menú "Secure Setting" lo único que hace es poner en modo estricto NoScript pero como la nota lo dice, si hay una vulnerabilidad en NoScript como aquí pasó, ya te comprometió. La recomendación por eso es entrar al about:config y desde ahí configurar todo para no depender de extensiones que pueden tener bugs.

Y no, usar Tails no es la solución ya que por default las apps siguen corriendo sin estar aisladas. Lo más recomendable es Subgraph o Qubes donde Tor Browser queda siempre en un sandbox y nunca puede ver el resto del sistema. Además que Subgraph trae el kernel grsecurity/pax, lo más seguro que hay hoy en día en Linux.

Y eso sin mencionar la necesidad de Mac spoof y otras cosas.

» autor: saulot

#20 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

carademalo — Thu, 13 Sep 2018 12:15:31 +0000

#18 Obviamente, no es un método directo, pero se puede, con extensiones XML de javascript, a menos que esté parcheado totalmente en las últimas versiones del navegador. No sé si recuerdas lo de FoxAcid. Es probable que en actualizaciones modernas este tipo de ataques sean menos plausibles, pero nunca hay que estar seguro.

» autor: carademalo

#19 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--23321-- — Thu, 13 Sep 2018 09:45:25 +0000

#17 eso que comentas es mentira y por favor, deba de propagar desinformación.

Configurar el navegador, Tor, etc para alcanzar la seguridad de Tor browser es muy complejo, no está al alcance de casi nadie y estás dando consejos que ponen en peligro el anonimato de la gente.

Por favor, esto es un tema serio.

» autor: --23321--

#18 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--23321-- — Thu, 13 Sep 2018 09:44:01 +0000

#16 es imposible sacar la dirección pública de salida a internet de un ordenador que sale a internet exclusivamente a través de un túnel Tor.

Por cierto, con JavaScript no puedes hacer Ping. En todo caso el exploit ejecutará comandos. Pero es que si sales por un túnel Tor el Ping no funciona por qué no puedes tunelear ICMP sobre Tor.

» autor: --23321--

#17 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

redscare — Thu, 13 Sep 2018 08:54:33 +0000

#6 Tor browser es un bundle de tor + firefox tuneado. Eso significa que siempre hay un retraso entre que algo se cambia/arregla en tor/firefox y que llega a la siguente versión de tor browser. Si de verdad NECESITAS tor, más te vale instalarlo por separado y mantenerlo actualizado por tu cuenta.

» autor: redscare

#16 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

carademalo — Thu, 13 Sep 2018 07:49:51 +0000

#6 Aunque tu ordenador esté configurado sólo para que tenga conexión a través de tor, se puede obtener la IP real con ciertos exploits de javascript, alterando un iframe de la página web que haga ping a un servidor específico, etc. Ésto lo he comprobado tanto con Whonix como con Tails. De ahí la importancia de desactivar javascript.

Una capa más de seguridad, aunque no tenga que ver con la conexión a internet en sí, es encriptar los discos duros (usando LUKS, por ejemplo) y usar un live OS ejecutable desde un CD o una memoria flash. Eso, o contratar al informático del PP si guardas información sensible.

#7 Eso que dices ocurre desde la última versión. Con la 7.x ya venía configurado.

» autor: carademalo

#15 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--178580-- — Thu, 13 Sep 2018 07:30:40 +0000

Ah vaya, una tecnología supersegura imprescindible para mantener nuestro anonimato que se demuestra que es de todo menos segura. Qué novedad...

» autor: --178580--

#14 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

Endor_Fino — Thu, 13 Sep 2018 07:25:44 +0000

#13 How interesting

» autor: Endor_Fino

#13 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--553023-- — Thu, 13 Sep 2018 07:06:33 +0000

[Usuario deshabilitado]

» autor: --553023--

#12 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--588624-- — Thu, 13 Sep 2018 06:28:25 +0000

#7 Es que muchas páginas necesitan JavaScript para funcionar... El desactivarlo es responsabilidad del usuario pero el poder hacerlo depende mucho de cada página

» autor: --588624--

#11 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

disconubes — Thu, 13 Sep 2018 06:22:41 +0000

Edit.

» autor: disconubes

#10 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

sergiobe — Thu, 13 Sep 2018 06:07:39 +0000

Edit

» autor: sergiobe

#9 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

Pinrelnet — Thu, 13 Sep 2018 05:35:49 +0000

#6 Siempre se agradecen este tipo de aportes.

» autor: Pinrelnet

#8 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--101976-- — Thu, 13 Sep 2018 05:21:05 +0000

#6 ju
Y yo contento con mi pihole y pivpn.
#Boquiabierto

» autor: --101976--

#7 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--471550-- — Thu, 13 Sep 2018 01:44:39 +0000

Lo mas importante, es el uso de las diferentes identidades en linea.
Ross Ulbricht no fue atrapado por medios técnicos, sino por errores en la manera en la que desenvolvió su identidad.

#6 no, ya viene perfectamente configurado
Acabo de verificar y eso no es cierto, noscript esta instalado, pero configurado para aceptar javascript.
Por otro lado, por curiosidad, ¿que tal el uso de trackpoint en contra del fingerprint? Por simple eliminación (de los que no lo usan), pensaría que es mas inseguro.

» autor: --471550--

#6 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

--23321-- — Thu, 13 Sep 2018 01:20:08 +0000

#4 eso no es cierto. Tor browser es un paquete preconfigurado con un navegador hardeneado para que sea mas díficil desvelar tu identidad. Instalar tu cosas por tu cuenta va a ser mas peligroso que tor browser.

#5 no, ya viene perfectamente configurado

La única forma de utilizar internet de forma "anonima" (o lo mas cercano posible), consiste en que el terminal que utilizas, donde ejecutass el navegador, solo tenga salida a internet a través de tor. Utilizando una raspberry pi que es la que está conectada a tor y a tu red, y enruta los paquetes del ordenador con tor.

De esta forma, aunque te hackeen el navegador, no pueden desvelar tu dirección de red estableciendo una conexión que no pasa por tor, por que todo tu sistema sale a internet por tor, a través de un tunel.

Un riesgo es que te hackeen el browser y lean ficheros del sistema. Para evitar este tipo de riesgos, necesitas además del tunel de tor con la raspberry pi, utilizar una distro enfocada a la privacidad, como Tails, que arrancas desde un memoria externa, de esta forma tu sistema es volatil y no contiene información sobre tu identidad.

Obviamente necesitas tapar la webcam del ordenador, por si un exploit pudiese activarla, y necesitas desconectar el microfono fisicamente.

Uno de los mayores riesgos ahora sería que te hackeen el browser, ejecuten codigo arbitrario en tu maquina y escaneen las wifis que recibes. Con los BSSID de las redes que te rodean es posible aproximar tu ubicación, ya que varias empresas y organizaciones mapean el espacio de 802.11 con coches que registran los bssids en cada lugar del mundo. Otro peligro es que pongan la tarjeta wifi en modo monitor y capturen los broadcast de intento de conexión de tu teléfono, descubriendo tu identidad potencialmente.

Para evitar este tipo de ataques, es muy recomendable que no tengas tarjeta wifi en el ordenador que ejecuta tails, o si la tienes, que la desactives por hardware a poder ser (o en la bios/uefi).

Otro peligro sería los fingerprints de tu movimiento de ratón, que es algo en lo que personalmente he trabajado. Para mitigar esto te recomendaría usar un ratón y no un touchpad, donde el fingerprint de tus movimientos va a ser mucho mas claro.

Y con todo eso, ya puedes navegar de forma anonima.

» autor: --23321--

#5 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

saulot — Thu, 13 Sep 2018 00:31:34 +0000

#4 En realidad lo que pasa es que debes configurarlo una vez instalado, no sólo es de bajarlo, correrlo y ya. Y no, no me refiero solo a su esa configuración de seguridad. Si mal no recuerdo la primer ventana una vez que lo instalas te avisa de que no es suficiente. Y una de las cosas es precisamente entrar al about:config y desactivar entre otras cosas el javascript.

» autor: saulot

#4 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

redscare — Thu, 13 Sep 2018 00:20:49 +0000

Tor browser es para principiantes y no está recomendado para un uso serio. Si de verdad necesitas tor te conviene instalarlo por separado aunque sea más coñazo y complicado.

» autor: redscare

#3 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

Jakeukalane — Wed, 12 Sep 2018 23:16:41 +0000

Por otro lado la vulnerabilidad parece ser de NoScript. Cuando usaba firefox en cada actualización de NoScript se arreglaban cosas similares.

» autor: Jakeukalane

#2 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

jonolulu — Wed, 12 Sep 2018 23:15:06 +0000

0-day it's the best day!

» autor: jonolulu

#1 Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

Jakeukalane — Wed, 12 Sep 2018 23:04:33 +0000

¿"Es un must have"?

Hay veces que dan ganas de hacerles a los redactores...

» autor: Jakeukalane