Serwer projektu Tor został zdyskredytowany

Inicjatorzy projektu Tor zalecają użytkownikom aktualizację ich oprogramowania anonimizującego Tor do wersji 0.2.1.22 albo 0.2.2.7-alpha. Przyczyną jest ujawnione na początku stycznia włamanie do dwóch z siedmiu serwerów katalogowych (Directory Authorities, DA) projektu (moria1 i gabelmoo), a także do serwera statystycznego metrics.torproject.org. Oprócz tego na Morii znajdują się repozytoria Git i Subversion programistów.

Krótko po wykryciu włamania serwery zostały odłączone od Sieci. Operatorzy nie podają informacji na temat przyczyny włamania, ale luka została już naprawiona. Tymczasem systemy zostały zainstalowane na nowo wraz z nowymi kluczami wykorzystywanymi przez DA do podpisywania list serwerów Tora – w związku z czym teraz konieczna jest także aktualizacja klienta sieci Tor.

Według pierwszych obserwacji repozytoria nie zostały zmanipulowane. Wszystko wskazuje na to, że domniemani włamywacze nie wiedzieli, gdzie się włamali. Wykorzystali oni jedynie serwery do ataków na inne systemy. Poziom anonimizacji sieci Tor w żaden sposób nie został naruszony.

Źródło : heise-online.pl