Reduzir os riscos de segurança de software de código aberto
Perfuração advogados da Universidade Carnegie Mellon-se aniquilou uma das palestras mais esperadas no chapéu preto fala que mostram como revelam os serviços ocultos e endereços IP de usuários com menos de US $ 3.000, de kit.
A universidade não disse por que torpedeado a conversa provocando aceitou especulação que ele temia quebrar as leis federais ou escutas telefônicas haviam simplesmente não ganhou pré-aprovação ea minar era uma parte da burocracia interna.
Projeto Tor líder Roger Dingledine disse que foi fornecido com o acesso informal para alguns materiais de investigação, mas "nunca recebeu slides ou qualquer descrição do que seria apresentado na própria conversa para além do que estava disponível na webpage Black Hat".
"Nós não pedimos Black Hat ou CERT (Computer Emergency Response Team da universidade) para cancelar a conversa Nós fizemos -. E ainda o fazem - têm perguntas para o apresentador e para CERT sobre alguns aspectos da pesquisa, mas não tínhamos idéia a conversa seria puxado antes do anúncio foi feito ".
Esse anúncio foi planejada para ser feita ainda esta semana, que incluiria mais detalhes sobre o ataque.
Dingledine disse que os pesquisadores anteriores haviam avisado Tor sobre bugs e descobriu o projeto a ser "muito útil" e "geralmente positivo" para trabalhar.
Pesquisadores da Universidade de Alexander Volynkin e Michael McCord planejado para demonstrar como centenas de milhares de clientes Tor, juntamente com milhares de serviços ocultos poderia ser de-anónima dentro de um par de meses.
Não faria isso com não especificadas vulnerabilidades recentemente divulgados dentro da concepção e implementação de Tor anonimato do usuário e cerca de US $ 3000 de ferramentas, incluindo um "punhado de servidores poderosos e um links casal gigabit".
Volynkin e McCord disse ter testado com sucesso os ataques em estado selvagem.
Mais detalhes não foram discutidos, mas Tor Projeto em uma empresa sinopse apagados eles escreveram eles planejavam cobrir a viabilidade e as limitações de ataques antes de detalhar como botnet servidores de comando e controle, fóruns de pornografia infantil e mercados de drogas escondidas, como Silk Road foram revelados.
"Não há nada que o impeça de usar seus recursos para de-anónimos usuários da rede, explorando falhas fundamentais na concepção e implementação Tor", disseram os pesquisadores. "E você não precisa de os orçamentos da NSA para fazer isso."
"Olhando para o endereço IP de um usuário do Tor? Não é um problema. Tentando descobrir a localização de um serviço Invisível? Feito".
Uma ou duas palestras controversas são puxados a partir das BlackHat e DEF CON eventos a cada ano, geralmente para permitir que os vendedores afetados e desenvolvedores de tempo para corrigir vulnerabilidades e falhas de projeto.
No ano passado, três pesquisadores da Universidade do Luxemburgo revelou em um artigo de Arrasto para Tor Serviços ocultos: Detecção, Medição, Deanonymisation [PDF] como falhas na concepção e implementação de serviços ocultos de Tor permitidos serviços ocultos para ser de-anónima e levado para baixo . ®
Nenhum comentário:
Postar um comentário