【IT】匿名性崩壊 TorノードにOpenSSLの脆弱性、通信内容の平文流出も [4/18]

このエントリーをはてなブックマークに追加
1かじりむし ★@転載禁止
TorノードにOpenSSLの脆弱性、通信内容の平文流出も
http://www.itmedia.co.jp/enterprise/articles/1404/18/news046.html
[鈴木聖子,ITmedia] 2014年04月18日 07時34分 UPDATE


脆弱性のある出口ノードのユーザートラフィックが平文で流出し、ホスト名や
ダウンロードしたWebコンテンツ、セッションIDなどの情報が露出しているこ
とが分かったという。


 OpenSSLの脆弱性が見つかった問題で、匿名化ツールTorの多数のノードが影
響を受け、トラフィックが平文で流出する恐れがあることが分かった。Tor
Projectは脆弱性のあるノードのブラックリストを公表している。

 セキュリティ研究者のコリン・マリナー氏は、4月11日から13日にかけ、約
5000のTorをスキャンして脆弱性の影響を調べた。

 その結果、約20%に当たる1045ノードにOpenSSLの脆弱性が存在することを
確認。流出したメモリを調べたところ、脆弱性のある出口ノードのユーザート
ラフィックが平文で流出していて、ホスト名やダウンロードしたWebコンテン
ツ、セッションIDなどの情報が露出していることが分かったという。

 TorではSSLを使って各ノード間のトラフィックを暗号化しており、OpenSSL
の脆弱性が発覚した時点で影響を受けるTorコンポーネントについての情報を
公開していた。4月16日のメーリングリストでは、これまでに脆弱性が発覚し
てリジェクトした380ノードのブラックリストを公表した。
2名無しさん@13周年@転載禁止:2014/04/18(金) 12:42:46.54 ID:TULtsnda0
Hotspot Shield派の俺には関係なかった
3名無しさん@13周年@転載禁止:2014/04/18(金) 12:42:47.18 ID:beZ3wp7T0
おれのWin98は大丈夫ですか?
4名無しさん@13周年@転載禁止:2014/04/18(金) 12:43:27.85 ID:8d5kmw330
>>3
パソコン持って逃げろ。
5名無しさん@13周年@転載禁止:2014/04/18(金) 12:45:42.81 ID:/wV5TMeE0
まだxpでつ
6名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:05.77 ID:zRFXinN80
国内でopenssl使ってるとか聞いたことな〜わ
7名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:21.82 ID:xVSp+qm30
>>5
7、8の評価版使えばいいよ。
8名無しさん@13周年@転載禁止:2014/04/18(金) 12:47:43.73 ID:yol0DW+y0
TOR使って無ければ問題ない?
9名無しさん@13周年@転載禁止:2014/04/18(金) 12:48:27.14 ID:8d5kmw330
>>6
グンマー王国の土人?
10名無しさん@13周年@転載禁止:2014/04/18(金) 12:48:52.61 ID:gKB0MDst0
Torにかぎらず国内のSSLサイトの半分くらいがヤバイ
11名無しさん@13周年@転載禁止:2014/04/18(金) 12:48:58.35 ID:2A4PmS6/0
ゆうちゃんピンチ
12名無しさん@13周年@転載禁止:2014/04/18(金) 12:50:50.46 ID:58c7SatR0
これはとんでもないことやと思うよ。
13名無しさん@13周年@転載禁止:2014/04/18(金) 12:51:35.13 ID:ql5AMFzL0
http://www.geocities.jp/jview2000/
14名無しさん@13周年@転載禁止:2014/04/18(金) 12:52:36.93 ID:H48de4hC0
伊藤平文
15名無しさん@13周年@転載禁止:2014/04/18(金) 12:55:09.67 ID:ngBdIwjw0
OpenSSLを最新版にしましょう。セキュリティソフトが最新版でないとセキュリティの意味がなくなってしまう。
16名無しさん@13周年@転載禁止:2014/04/18(金) 12:57:20.32 ID:s1wEkFDY0
ゆうちゃんぴんちだな
17名無しさん@13周年@転載禁止:2014/04/18(金) 12:58:06.07 ID:9Uf6/bfs0
逆に脆弱性の確認された出口ノードだけ弾くソフトを自分で作ればいいだけだろこれ
18名無しさん@13周年@転載禁止:2014/04/18(金) 12:58:50.54 ID:zRFXinN80
国内の銀行系なんてopensslゼロやろw
気にしすぎ
19名無しさん@13周年@転載禁止:2014/04/18(金) 13:02:57.17 ID:ngBdIwjw0
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる
http://opensource.slashdot.jp/story/14/04/17/0541224/
20名無しさん@13周年@転載禁止:2014/04/18(金) 13:03:38.80 ID:Up3fq1UD0
わざと脆弱性残したまま放置したりリストに乗ったらまた別ノードの振りして公開、わざとバックドアつくったノード公開することも可能だよね
湯水のごとく資金つかえてノード立ち上げられる機関がいる状況で本当に安全なノードなんてない
21名無しさん@13周年@転載禁止:2014/04/18(金) 13:04:46.75 ID:PnSxqda+0
きじゃくせ
22名無しさん@13周年@転載禁止:2014/04/18(金) 13:05:23.53 ID:JVMBjXdW0
むしろ平文であることを逆手にとって
全部否定形に書き換えたらいいんじゃね?
23名無しさん@13周年@転載禁止:2014/04/18(金) 13:06:57.88 ID:p3K3VOWv0
僕の肛門もセキュリティホールです><
24名無しさん@13周年@転載禁止:2014/04/18(金) 13:07:00.75 ID:y36e8j930
rubyのopensslモジュールも指摘されてるな
25名無しさん@13周年@転載禁止:2014/04/18(金) 13:07:39.23 ID:261mF8/M0
自分がまともなSSLソフトを使っていても通信の相手側がどうなのかは
分からないだろうから、安全性は確保できないんだろうな。
相手側を調べるためには、まさにセキュリティアタックをかけるのと
同じことをしなければならないのだろうし。
26名無しさん@13周年@転載禁止:2014/04/18(金) 13:09:56.65 ID:oSGN9adh0
だからあれほど、I2P使っとけと。
27名無しさん@13周年@転載禁止:2014/04/18(金) 13:16:46.29 ID:c63AopCN0
犬に餌ぐらいくれてやりゃいいじゃん
28名無しさん@13周年@転載禁止:2014/04/18(金) 13:19:44.07 ID:1f7+aiEi0
tor経由でメールのやり取りすると出口ノードからは内容丸見えだと随分前に聞いたことあるな
今回の件とは関係ないはずだけどなんで内容バレるん
29名無しさん@13周年@転載禁止:2014/04/18(金) 13:22:43.45 ID:kSe511QB0
>>23
Ass hole ってやつか
30名無しさん@13周年@転載禁止:2014/04/18(金) 13:23:21.20 ID:zRFXinN80
DNS詐称でフィッシング誘導とかに気をつければ後はどうでもいいよ
31名無しさん@13周年@転載禁止:2014/04/18(金) 13:25:49.51 ID:fFBkgoOS0
youtubeとか単に画像見るだけなのにhttpsなのは何で?
32名無しさん@13周年@転載禁止:2014/04/18(金) 13:27:37.40 ID:ZYJ97u1F0
NSAは絶対知ってたろ、これ
33名無しさん@13周年@転載禁止:2014/04/18(金) 13:29:14.46 ID:l4dtfsF10
なんか問題が深刻すぎてもうXPのサポート切れとか
どうでもよくなってきたような気がする。
34名無しさん@13周年@転載禁止:2014/04/18(金) 13:30:21.47 ID:kJXCOIOQ0
>>31
cookieで個人情報を収集しているから
35名無しさん@13周年@転載禁止:2014/04/18(金) 13:30:51.35 ID:KKaAeN2C0
ID:zRFXinN80
は国内でどれだけのHTTPサーバがOpenSSLの脆弱性に影響を受けるApacheで運用されてるのか知らんのかww
36名無しさん@13周年@転載禁止:2014/04/18(金) 13:49:19.96 ID:C/9iJZMr0
>>18
この大騒ぎはどうやらBSD方面の連中がOpenSSLを貶めて注意を惹きたかったからのようだ
37名無しさん@13周年@転載禁止:2014/04/18(金) 13:51:34.49 ID:C/9iJZMr0
それと>>35みたいなオープンソースアンチね
たぶんApple信者も絡んでいる
本当に薄汚い連中だぜ
38名無しさん@13周年@転載禁止:2014/04/18(金) 13:55:17.05 ID:9Uf6/bfs0
俺のIDで必チェかけてる変態野郎がこのスレに一匹紛れ込んでるな
39名無しさん@13周年@転載禁止:2014/04/18(金) 13:59:45.10 ID:wX7totNP0
これでtor終わったな。
openssl1.0.1e仕込んだノードを捜査機関が何箇所か混ぜとけば
平文抜き放題(゚д゚)ウマー
40名無しさん@13周年@転載禁止:2014/04/18(金) 14:06:02.96 ID:JKePIDbx0
これで誤認逮捕事件も解決するな、良かったなぁ。
41名無しさん@13周年@転載禁止:2014/04/18(金) 14:08:08.79 ID:GyInsq+40
>>37
OSXにもOpenSSL入ってるけど、バージョン違いで大丈夫だった、というだけ。
42名無しさん@13周年@転載禁止:2014/04/18(金) 14:20:05.28 ID:HBKt1RMz0
OSX使ってる時点でかなりの情弱だしな。
セキュリティ?なにそれ美味しいの?みたいな馬鹿ばっか。
43名無しさん@13周年@転載禁止:2014/04/18(金) 14:33:32.52 ID:dIFWjDu50
ネットに匿名性とかとっくに幻想なのに
44名無しさん@13周年@転載禁止:2014/04/18(金) 14:35:09.63 ID:wX7totNP0
つうかオープンソースだから何時でも勝手に弄ってビルド出来んだから
バージョンなんか関係ねえな。
torがOpenSSLのライブラリに依存してる限り何しても意味無し
45名無しさん@13周年@転載禁止:2014/04/18(金) 14:38:46.18 ID:fbz/uOye0
OS/2 Warp使いのオレには死角が無かった!
46名無しさん@13周年@転載禁止:2014/04/18(金) 14:41:20.64 ID:fbz/uOye0
>>23
安心しろ。お前の不細工な容姿が強靱なセキュリティーとなっている。

お前のアナルは強靱に守られている!
47名無しさん@13周年@転載禁止:2014/04/18(金) 14:45:21.54 ID:IE4uIQHv0
torってtorrentと同じものだとずっと思ってたわ
48名無しさん@13周年@転載禁止:2014/04/18(金) 15:21:27.04 ID:fFBkgoOS0
>>34
ああ、それでか。あり。
49名無しさん@13周年@転載禁止:2014/04/18(金) 15:22:57.39 ID:0EflUh7J0
tor使ってれば安心、ってわけでもないんだな
50名無しさん@13周年@転載禁止:2014/04/18(金) 15:24:01.04 ID:F6BAAAKV0
OpenSSLのこれ、ぶっちゃけバックドアでしょw
51名無しさん@13周年@転載禁止:2014/04/18(金) 15:36:07.05 ID:wJG1plv00
やっぱ匿名性なんて無かったんだ。いつかばれる日が来るんだ
●みたく
52名無しさん@13周年@転載禁止
TLS一本でいこう(白目)