La comunità di sviluppatori di Tor ha rilasciato una nuova versione dei servizi Tor , al fine di migliorare la sicurezza e la riservatezza della popolare rete onion . L’annuncio è avvenuto lo scorso 2 novembre, con un articolo sul blog relativo al progetto Tor.
With our next-gen design, your onion address is completely private: only known to you & whomever you disclose it to https://t.co/RnY9V8wqyj
– The Tor Project (@torproject) November 6, 2017
I nuovi servizi, facenti parte della proposta 224 , sono stati introdotti con la nuova versione alpha 0.3.2.1 di Tor, rilasciata due settimane fa. Di seguito i principali miglioramenti introdotti:
- i protocolli crittografici (algoritmo di hashing, firma digitale, algoritmo di cifratura) sono stati sostituiti , passando da SHA1, DH e RSA1024 a SHA3, ed25519 e curve25519;
- il protocollo di gestione delle directory è stato modificato, in modo da limitare il più possibile attacchi mirati e fornire meno informazioni ai directory server ;
- la sicurezza degli indirizzi onion è stata migliorata per impedire attacchi di tipo impersonation . La lunghezza dei nuovi indirizzi passa da 16 a 56 caratteri , ma gli indirizzi già esistenti continueranno a funzionare;
- i protocolli di introduzione e di rendezvous , usati per il routing all’interno della rete onion, sono stati migliorati per garantire una migliore scalabilità;
- il codice è stato pulito e reso maggiormente modulare.
Un ulteriore cambiamento significativo riguarda lo scheduler, il quale è stato sostituito da due nuove implementazioni, denominate rispettivamente KIST (Kernel Information Socket Transport) e KISTLite: KIST è disponibile esclusivamente per Linux ed è in grado di prevenire l’eccessiva crescita dei buffer TCP del kernel; KISTLite risolve il medesimo problema, su sistemi in cui non è possibile ottenere informazioni TCP dal kernel.
Nel frattempo, il team di Tor sta lavorando a diverse nuove funzionalità, le quali saranno implementate gradualmente nel lungo periodo, a man a mano che il codice diventerà più stabile: si parla di autenticazione avanzata per i client, un tool per la generazione offline di più chiavi, la possibilità per i nodi di raccogliere statistiche, supporto del protocollo blockchain .
Elia Tufarolo
-
dettaglio
L'articolo è fatto bene, ma il titolo e la tesi iniziale non è che siano così precise. Google è un mezzo per attirare le vittime, ma il trojan infetta usando alcune vulnerabilità del browser/sistema operativo.8b4a9821fbfRe: dettaglio
Ciao :) Ti ringrazio del commento, però non ho capito l'obiezione. Il senso del titolo e dell'articolo è sottolineare come, dall'analisi di Talos, è emerso che il suddetto malware abbia adottato anche il SERP poisoning come metodo di propagazione. Nell'istanza specifica inoltre non viene inoltre fatta leva su nessuna vulnerabilità in quanto l'attacco avviene tramite social engineering presentando un documento Word formattato ad-hoc. Potresti essere più chiaro? Un salutoPatrizio TufaroloRe: dettaglio
- Scritto da: Patrizio Tufarolo> Ciao :) Ti ringrazio del commento, però non ho> capito l'obiezione. Il senso del titolo e> dell'articolo è sottolineare come, dall'analisi> di Talos, è emerso che il suddetto malware abbia> adottato anche il SERP poisoning come metodo di> propagazione. Che non è niente di straordinario. SEO è usata normalmente da tanti che lavorano sul web, mi ricordo un paio di anni fa il boom degli aggregatori di prezzi che spammavano tutte le ricerche di google finché non hanno deciso di declassarli tutti. Il fatto che anche gli sviluppatori di malware usino SEO per aumentare la visibilità non stupisce.> Nell'istanza specifica inoltre non> viene inoltre fatta leva su nessuna vulnerabilità> in quanto l'attacco avviene tramite social> engineering presentando un documento Word> formattato ad-hoc. Potresti essere più chiaro? Un> salutoHmm, hai ragione, tecnicamente non è una vulnerabilità, ma è quel caso dove ti chiedi se è un bug o una feature. Do per scontato che il download del file word viene fatto o in Downloads o nei files temporanei di internet (se veramente è stato scaricato senza un presentare un menu all'utente). Permettere di attivare le macro ad un file di word lanciato da una directory temporanea decisamente non è una grande idea.0cf505c1623Re: dettaglio
- Scritto da: 0cf505c1623> - Scritto da: Patrizio Tufarolo> > Ciao :) Ti ringrazio del commento, però non ho> > capito l'obiezione. Il senso del titolo e> > dell'articolo è sottolineare come, dall'analisi> > di Talos, è emerso che il suddetto malware abbia> > adottato anche il SERP poisoning come metodo di> > propagazione. > > Che non è niente di straordinario. SEO è usata> normalmente da tanti che lavorano sul web, mi> ricordo un paio di anni fa il boom degli> aggregatori di prezzi che spammavano tutte le> ricerche di google finché non hanno deciso di> declassarli tutti. Il fatto che anche gli> sviluppatori di malware usino SEO per aumentare> la visibilità non> stupisce.Il tono dell'articolo non è sensazionalistico, infatti ciò che dici l'ho sottolineato.> > > Nell'istanza specifica inoltre non> > viene inoltre fatta leva su nessuna> vulnerabilità> > in quanto l'attacco avviene tramite social> > engineering presentando un documento Word> > formattato ad-hoc. Potresti essere più chiaro?> Un> > saluto> > Hmm, hai ragione, tecnicamente non è una> vulnerabilità, ma è quel caso dove ti chiedi se è> un bug o una feature. Do per scontato che il> download del file word viene fatto o in Downloads> o nei files temporanei di internet (se veramente> è stato scaricato senza un presentare un menu> all'utente). Permettere di attivare le macro ad> un file di word lanciato da una directory> temporanea decisamente non è una grande> idea.Di fatto Word le macro le blocca, se l'utente clicca "consenti" che ci vuoi fare? Ben più grave sarebbe la presenza di una vulnerabilità come quelle sfruttate nel passatoPatrizio TufaroloCertamente nulla di nuovo
Sono anni e anni che gli autori di malware utilizzano mezzi di SEO per far apparire i link a siti malevoli tra i primi risultati....Re: un malware gentile
Per il discorso documento Word, l'utente ci casca, soprattutto se la sua intenzione è quella di "vedere" un determinato contenuto (ovvero: sono andato a cercare informazioni sulla banca di mio interesse, e mi si è scaricato un documento "protetto"). Per il secondo punto, si, per rendere difficile l'analisi. Per il terzo punto... beh da quanto detto da Talos non è chiaro. Se usasse l'alias %APPDATA% per riferirsi alla Roaming, funzionerebbe bene anche su XP. Deduco che il path sia stato dedotto monitorando i cambiamenti del file system durante l'esecuzione del malware in sandboxPatrizio TufaroloRe: un malware gentile
premesso che facevo un po' di sarcasmo... visto che zeus bank in se non e' molto gentile ... :)- Scritto da: Patrizio Tufarolo> Per il discorso documento Word, l'utente ci> casca, soprattutto se la sua intenzione è quella> di "vedere" un determinato contenuto (ovvero:> sono andato a cercare informazioni sulla banca di> mio interesse, e mi si è scaricato un documento> "protetto").beh si certo.. il trucco e' proprio quello... ma e' ben frusto pero'... erano assai peggio gli exploit (vecchi) che citavi... li' l'user puo fare poco..> Per il secondo punto, si, per> rendere difficile l'analisi. pero' e' carino che si autotolga dai piedi... :)> Per il terzo> punto... beh da quanto detto da Talos non è> chiaro. Se usasse l'alias %APPDATA% per riferirsi> alla Roaming, funzionerebbe bene anche su XP.> Deduco che il path sia stato dedotto monitorando> i cambiamenti del file system durante> l'esecuzione del malware in> sandboxpotrebbe essere... ma siccome il crapware e' ciucciato via powershell... e che su xp/2003 non era certo abitudine averli...bubbaRe: un malware gentile
- Scritto da: bubba> premesso che facevo un po' di sarcasmo... visto> che zeus bank in se non e' molto gentile ...> :)> - Scritto da: Patrizio Tufarolo> > Per il discorso documento Word, l'utente ci> > casca, soprattutto se la sua intenzione è quella> > di "vedere" un determinato contenuto (ovvero:> > sono andato a cercare informazioni sulla banca> di> > mio interesse, e mi si è scaricato un documento> > "protetto").> beh si certo.. il trucco e' proprio quello... ma> e' ben frusto pero'... erano assai peggio gli> exploit (vecchi) che citavi... li' l'user puo> fare> poco..> > > Per il secondo punto, si, per> > rendere difficile l'analisi. > pero' e' carino che si autotolga dai piedi... :)> > > Per il terzo> > punto... beh da quanto detto da Talos non è> > chiaro. Se usasse l'alias %APPDATA% per> riferirsi> > alla Roaming, funzionerebbe bene anche su XP.> > Deduco che il path sia stato dedotto monitorando> > i cambiamenti del file system durante> > l'esecuzione del malware in> > sandbox> potrebbe essere... ma siccome il crapware e'> ciucciato via powershell... e che su xp/2003 non> era certo abitudine> averli...Gira e rigira, il succo e' sempre quello.Se versi acqua in uno scolapasta, questa passa attraverso con facilita'.Se invece la versi in una pentola con il fondo spesso, in acciaio linux, non passa niente.panda rossaRe: un malware gentile
> potrebbe essere... ma siccome il crapware e'> ciucciato via powershell... e che su xp/2003 non> era certo abitudine> averli...hai ragione! anche in questo caso sarebbe da capire se sia stata riportata solo la Macro per W7/WS2008+ (e quindi se sia presente un downloader differente per le versioni vecchie di windows), o se chi sta mandando in giro questo DOC ha deciso di deprecare la compatibilità con le versioni vecchie :PPatrizio TufaroloGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 7 nov 2017Ti potrebbe interessare