[tc] Brutte notizie per TOR
Alessandro Bottoni
alessandro-bottoni a libero.it
Ven 20 Ott 2006 13:25:47 CEST
Davide Vernizzi ha scritto:
> Avete letto questa?
>
> http://isc.sans.org/diary.php?storyid=1794
>
> Per i non anglofoni, in breve è una specie di howto che spiega come
> creare un nodo TOR che sia in grado di revocare buona parte della
> privacy del traffico TOR che gli passa attraverso.
Yep! La chiave di tutto è in queste frasi del PDF:
5. Javascript executing on VictimHost...
6. Schockwave flash esxecuting on VictimHost...
Nel momento in cui un server può eseguire codice sulla macchina client, può
succedere quasi di tutto, compreso che "chiami casa" attraverso canali non
anonimizzanti o che rilevi ed invii informazioni utili alla identificazione del
client.
Se qualcuno pensava che bastasse proteggere il file system locale per "spezzare
le chele" al codice client-side... eccolo accontentato.
In questi giorni stavo appunto parlando male del codice client side (VB, JS,
etc.) su Oceani Digitali. Temo che per affrontare questo tipo di problemi
occorrerrà fare una analisi molto, molto più seria dei comportamenti
potenzialmente pericolosi del codice client side e magari implementare gli
opportuni meccanismi di gestione e di controllo a livello di virtual machine
(di interprete del linguaggio, per capirci).
Se esistesse un meccanismo per impedire allo script flash o JS di chiamare casa
senza passare da TOR, il problema sarebbe risolto.
CU
------------------------
Alessandro Bottoni
Maggiori informazioni sulla lista
tc