Аудит кода Tor выявил 17 уязвимостей

Аудит кода Tor выявил 17 уязвимостей

Специалисты провели тщательный анализ нескольких компонентов анонимной сети Tor. В результате обнаружились 17 уязвимостей, включая проблему, получившую высокую степень риска.

Аудит проводили эксперты некоммерческой организации Radically Open Security, специализирующиеся на кибербезопасности, в период с апреля по август 2023 года.

Под проверку попали браузер Tor, точки выхода (exit relays), инфраструктура, службы, а также инструменты для тестирования. Результаты появились в блоге Tor на этой неделе.

Отмечается, что в ходе тестирования у специалистов был доступ к исходному коду. Анализ помог выявить уязвимости, большая часть которых получила средний и низкий уровни опасности.

Например, такие бреши могли привести к DoS, снизить степень защиты или полностью обойти её, а также получить доступ к закрытой информации. Ряд багов связан с устаревшими сторонними компонентами.

Наиболее серьёзная выявленная проблема — CSRF в Onion Bandwidth Scanner (Onbasca). Она одна получила высокую степень риска, поскольку позволяет неаутентифицированному атакующему внедрить мосты в базу данных.

Onbasca представляет собой сканер пропускной способности, помогающий отслеживать производительность и равномерно распределять нагрузку по сети Tor.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

СУАТМ поможет бороться с кол-центрами и звонками мошенников в мессенджерах

В России может появиться еще одна антифрод-платформа. По замыслу, система учета и анализа телефонного мошенничества (СУАТМ) позволит вовлечь в обмен данными всех заинтересованных лиц с тем, чтобы охватить даже такие каналы, как IP-телефония и мессенджеры.

Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.

СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.

Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.

Если это другой оператор, перебирается вся цепочка (за несколько минут), и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.

По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru