【IT】匿名性崩壊 TorノードにOpenSSLの脆弱性、通信内容の平文流出も [4/18]
1 :
かじりむし ★@転載禁止:
TorノードにOpenSSLの脆弱性、通信内容の平文流出も
http://www.itmedia.co.jp/enterprise/articles/1404/18/news046.html [鈴木聖子,ITmedia] 2014年04月18日 07時34分 UPDATE
脆弱性のある出口ノードのユーザートラフィックが平文で流出し、ホスト名や
ダウンロードしたWebコンテンツ、セッションIDなどの情報が露出しているこ
とが分かったという。
OpenSSLの脆弱性が見つかった問題で、匿名化ツールTorの多数のノードが影
響を受け、トラフィックが平文で流出する恐れがあることが分かった。Tor
Projectは脆弱性のあるノードのブラックリストを公表している。
セキュリティ研究者のコリン・マリナー氏は、4月11日から13日にかけ、約
5000のTorをスキャンして脆弱性の影響を調べた。
その結果、約20%に当たる1045ノードにOpenSSLの脆弱性が存在することを
確認。流出したメモリを調べたところ、脆弱性のある出口ノードのユーザート
ラフィックが平文で流出していて、ホスト名やダウンロードしたWebコンテン
ツ、セッションIDなどの情報が露出していることが分かったという。
TorではSSLを使って各ノード間のトラフィックを暗号化しており、OpenSSL
の脆弱性が発覚した時点で影響を受けるTorコンポーネントについての情報を
公開していた。4月16日のメーリングリストでは、これまでに脆弱性が発覚し
てリジェクトした380ノードのブラックリストを公表した。
Hotspot Shield派の俺には関係なかった
3 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:42:47.18 ID:beZ3wp7T0
おれのWin98は大丈夫ですか?
4 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:43:27.85 ID:8d5kmw330
5 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:45:42.81 ID:/wV5TMeE0
まだxpでつ
6 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:05.77 ID:zRFXinN80
国内でopenssl使ってるとか聞いたことな〜わ
7 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:21.82 ID:xVSp+qm30
8 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:43.73 ID:yol0DW+y0
TOR使って無ければ問題ない?
9 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:48:27.14 ID:8d5kmw330
Torにかぎらず国内のSSLサイトの半分くらいがヤバイ
ゆうちゃんピンチ
これはとんでもないことやと思うよ。
14 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:52:36.93 ID:H48de4hC0
伊藤平文
OpenSSLを最新版にしましょう。セキュリティソフトが最新版でないとセキュリティの意味がなくなってしまう。
16 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:57:20.32 ID:s1wEkFDY0
ゆうちゃんぴんちだな
逆に脆弱性の確認された出口ノードだけ弾くソフトを自分で作ればいいだけだろこれ
18 :
名無しさん@13周年@転載禁止:2014/04/18(金) 12:58:50.54 ID:zRFXinN80
国内の銀行系なんてopensslゼロやろw
気にしすぎ
20 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:03:38.80 ID:Up3fq1UD0
わざと脆弱性残したまま放置したりリストに乗ったらまた別ノードの振りして公開、わざとバックドアつくったノード公開することも可能だよね
湯水のごとく資金つかえてノード立ち上げられる機関がいる状況で本当に安全なノードなんてない
21 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:04:46.75 ID:PnSxqda+0
きじゃくせ
22 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:05:23.53 ID:JVMBjXdW0
むしろ平文であることを逆手にとって
全部否定形に書き換えたらいいんじゃね?
僕の肛門もセキュリティホールです><
24 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:07:00.75 ID:y36e8j930
rubyのopensslモジュールも指摘されてるな
25 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:07:39.23 ID:261mF8/M0
自分がまともなSSLソフトを使っていても通信の相手側がどうなのかは
分からないだろうから、安全性は確保できないんだろうな。
相手側を調べるためには、まさにセキュリティアタックをかけるのと
同じことをしなければならないのだろうし。
26 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:09:56.65 ID:oSGN9adh0
だからあれほど、I2P使っとけと。
27 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:16:46.29 ID:c63AopCN0
犬に餌ぐらいくれてやりゃいいじゃん
28 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:19:44.07 ID:1f7+aiEi0
tor経由でメールのやり取りすると出口ノードからは内容丸見えだと随分前に聞いたことあるな
今回の件とは関係ないはずだけどなんで内容バレるん
29 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:22:43.45 ID:kSe511QB0
30 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:23:21.20 ID:zRFXinN80
DNS詐称でフィッシング誘導とかに気をつければ後はどうでもいいよ
youtubeとか単に画像見るだけなのにhttpsなのは何で?
NSAは絶対知ってたろ、これ
なんか問題が深刻すぎてもうXPのサポート切れとか
どうでもよくなってきたような気がする。
>>31 cookieで個人情報を収集しているから
ID:zRFXinN80
は国内でどれだけのHTTPサーバがOpenSSLの脆弱性に影響を受けるApacheで運用されてるのか知らんのかww
36 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:49:19.96 ID:C/9iJZMr0
>>18 この大騒ぎはどうやらBSD方面の連中がOpenSSLを貶めて注意を惹きたかったからのようだ
37 :
名無しさん@13周年@転載禁止:2014/04/18(金) 13:51:34.49 ID:C/9iJZMr0
それと
>>35みたいなオープンソースアンチね
たぶんApple信者も絡んでいる
本当に薄汚い連中だぜ
俺のIDで必チェかけてる変態野郎がこのスレに一匹紛れ込んでるな
これでtor終わったな。
openssl1.0.1e仕込んだノードを捜査機関が何箇所か混ぜとけば
平文抜き放題(゚д゚)ウマー
これで誤認逮捕事件も解決するな、良かったなぁ。
>>37 OSXにもOpenSSL入ってるけど、バージョン違いで大丈夫だった、というだけ。
42 :
名無しさん@13周年@転載禁止:2014/04/18(金) 14:20:05.28 ID:HBKt1RMz0
OSX使ってる時点でかなりの情弱だしな。
セキュリティ?なにそれ美味しいの?みたいな馬鹿ばっか。
43 :
名無しさん@13周年@転載禁止:2014/04/18(金) 14:33:32.52 ID:dIFWjDu50
ネットに匿名性とかとっくに幻想なのに
つうかオープンソースだから何時でも勝手に弄ってビルド出来んだから
バージョンなんか関係ねえな。
torがOpenSSLのライブラリに依存してる限り何しても意味無し
45 :
名無しさん@13周年@転載禁止:2014/04/18(金) 14:38:46.18 ID:fbz/uOye0
OS/2 Warp使いのオレには死角が無かった!
46 :
名無しさん@13周年@転載禁止:2014/04/18(金) 14:41:20.64 ID:fbz/uOye0
>>23 安心しろ。お前の不細工な容姿が強靱なセキュリティーとなっている。
お前のアナルは強靱に守られている!
torってtorrentと同じものだとずっと思ってたわ
49 :
名無しさん@13周年@転載禁止:2014/04/18(金) 15:22:57.39 ID:0EflUh7J0
tor使ってれば安心、ってわけでもないんだな
50 :
名無しさん@13周年@転載禁止:2014/04/18(金) 15:24:01.04 ID:F6BAAAKV0
OpenSSLのこれ、ぶっちゃけバックドアでしょw
やっぱ匿名性なんて無かったんだ。いつかばれる日が来るんだ
●みたく
TLS一本でいこう(白目)