Скомпрометирована половина сайтов на базе Tor. Основатель Tor Freedom Hosting арестован.

Вчера пользователи анонимной сети Tor обратили внимание на пропажу из каталога около половины onion-сайтов, работающих в виде скрытых сервисов Tor. Указанный эффект оказался следствием закрытия хостинг-компании Freedom Hosting, в рамках которой был организован крупнейший хостинг анонимных сайтов.

Создатель Freedom Hosting арестован ирландскими властями после запроса ФБР о его депортации в США по обвинению в распространении детской порнографии, для организации доступа к которой использовалась технология скрытых сервисов Tor.

Более того, стало известно о внедрении в сервисы, работающие на мощностях Freedom Hosting, троянского JavaScript-кода, поражающего Windows-сборки браузера Firefox 17 и позволяющего отслеживать активность пользователей анонимных сервисов (на внешний сервер отправлялся идентификатор клиента, позволяющий деанонимизировать пользователя и сопоставить анонимный вход с другой активностью в сети). Вредоносное ПО эксплуатировало неисправленную уязвимость в ветке Firefox с длительным сроком поддержки, используемой в качестве основы продукта «Tor Browser».

В итоге, удалось зафиксировать анонимную активность пользователей уязвимого браузера в сети Tor, пользуясь тем, что для анонимной и неаноимной работы в Сети часто используется одна система, а также то, что поддержка JavaScript в Tor Browser с некоторых пор по умолчанию включена.

В число поражённых onion-сайтов попали не только страницы связанные с распространением порнографии, но и такие крупные сервисы, как анонимный почтовый ресурс TORmail. Все пользователи обращавшиеся со 2 по 4 августа к сервисам, размещённым с использованием Freedom Hosting, потенциально могли стать жертвами атаки (выводилась страница о временных технических работах на сервере, в которую был встроен вредоносный код).

Отдельно стоит отметить, что проект Freedom Hosting развивался людьми никак не связанными с организацией Tor Project. Проведённая атака также не является свидетельством обнаружения уязвимостей в технологиях Tor — атака была проведена на стороне сервера, обслуживающего работу конечных сайтов (на сайты был внедрён iframe с вредоносным кодом).

Проект Mozilla опубликовал результат анализа эксплуатированной уязвимости. По данным Mozilla проблема связана с уязвимостью MFSA 2013-53, которая была устранена 25 июня в выпусках Firefox 17.0.7 и 22. Таким образом, в атаке была задействована не 0-day уязвимость, а уже известная и исправленная проблема, которая представляет опасность только для необновлённых версий Tor Browser и Firefox.