Software::Security
Untersuchung zur Erhöhung der Sicherheit des Tor-Browsers
Das vom Open Technology Fund unterstützte Tor-Browser-Projekt hat eine Studie zur Sicherheit von Tor-Browser durchführen lassen. Die Ergebnisse sind jetzt verfügbar.
Der Tor-Browser ist für viele Benutzer der Einstiegspunkt für Tor, ein anonymisierendes Netzwerk, das die Kommunikation vor Ausspähung und Manipulation schützen will. Die Sicherheits des Tor-Browserpakets ist aber stark von der Sicherheit des zugrundeliegenden Webbrowsers Firefox abhängig. So beauftragte der Open Technology Fund, der Tor maßgeblich fördert, eine Studie bei der auf Sicherheitsanalysen spezialisierten Firma iSEC.
Die Studie hatte sechs vorrangige Ziele: Der aktuelle Zustand der Sicherheitsmaßnahmen in Tor Browser war zu untersuchen, ebenso die Möglichkeiten zur weiteren Härtung und Instrumentation des Pakets. Die bisher bekannt gewordenen Sicherheitslücken von Firefox sollten untersucht werden. Bild-, Audio- und Video-Codecs sollten auf ihre bisherigen Sicherheitslücken untersucht werden. Die aktuellen Einstellungen in about:config sollten einer Überprüfung unterzogen werden mit der Fragestellung, wie sicher sie sind und wie sie die Anfälligkeit für Sicherheitslücken reduzieren können. Auch die alternativen und weniger genutzten Protokoll- und Anwendungs-Behandlungsroutinen sollten analysiert werden.
Das Ergebnis der Studie wurde jetzt im Tor-Blog zusammengefasst. Die zufällige Anordnung der Speicherblöcke, die es Angreifern erschweren soll, nützliche Adressen zu finden, ist unter MS Windows und Mac OS X abgeschaltet und soll von den Tor-Browser-Entwicklern bald behoben werden. Für MS Windows soll möglicherweise das Microsoft Enhanced Mitigation Experience Toolkit zum Einsatz kommen. iSEC empfahl dem Projekt, am Pwn2Own-Wettbewerb teilzunehmen, wo Belohnungen für gefundene Sicherheitslücken gezahlt werden. Dafür werden Sponsoren benötigt.
Der Speicherallokator von Firefox, jemalloc, sollte durch ctmalloc/PartitionAlloc ersetzt werden. Dieser Allokator wurde von Google im Hinblick auf mehr Sicherheit entwickelt. Grund für dieses Ergebnis ist die Analyse, wonach die meisten Sicherheitslücken in Firefox durch Speicherprobleme verursacht werden. Die beiden Top-Probleme bei Firefox waren demnach der Zugriff auf Speicherbereiche, die bereits wieder freigegeben waren, und allgemein »Korruption des Speichers«. Diese Probleme könnten durch die Partitionierung des Speichers, wie sie PartitionAlloc vornimmt, reduziert werden. Außerdem könnten in begrenzten Bereichen des Codes Assertions eingebaut werden.
Es wurden auch Vorschläge erarbeitet, wie man die Angriffsfläche des Browsers reduzieren kann. Diesem Aspekt war sogar ein großer Teil der Studie gewidmet. Das Projekt plant einen »Sicherheits-Schieberegler«, der vom Benutzer so eingestellt werden kann, dass ein optimaler Kompromiss zwischen Funktionalität und Sicherheit entsteht. Denn nicht alle Funktionen, die ein Browser besitzt, lassen sich mit höheren Sicherheitsanforderungen vereinbaren. Auf der anderen Seite sind diese Funktionen zumindest manchmal unverzichtbar, wenn man einen praktisch noch brauchbaren Browser haben will. Die geplante Lösung ist, dass der Benutzer selbst die Sicherheitsstufe einstellt. Der »Sicherheits-Schieberegler« soll vier Positionen haben. In der Einstellung »Niedrige Sicherheit« werden die momentanen Einstellungen des Tor-Browsers und der JIT-Compiler verwendet. »Medium-Low« deaktiviert den größten Teil des JIT-Compilers und verhindert mittels NoScript, dass HTML5-Medien automatisch starten. »Medium-High« deaktiviert den JIT-Compiler ganz, deaktiviert JavaScript außer wenn es über HTTPS kommt, und deaktiviert SVG. Die höchste Sicherheitsstufe »High« deaktiviert JavaScript komplett, sperrt Schriftarten von Webservern mittels NoScript aus und deaktiviert alle Medien-Codecs außer WebM.
Langfristig hofft das Projekt auf weitere Verbesserungen in Firefox wie das Sandboxing. Neuere Funktionalität von GCC wie der AddressSanitizer und Virtual Table Verification sollen den Code des Tor-Browsers weniger angreifbar machen. Ein Wechsel auf Google Chrome als Browser wird von dem Projekt ausgeschlossen. Zwar sei Chrome weiter, was Sicherheitsfunktionen angeht. Doch zum einen fehlen dem Projekt die Ressourcen zu einer Umstellung, zum anderen ist Firefox wesentlich leichter anzupassen. Änderungen in Chrome, die zur Verbesserung der Privatsphäre und zur Unterstützung von Tor nötig gewesen wären, wurden laut dem Projekt blockiert. Ein eigener Fork von Chrome würde fünfmal so viele Entwickler benötigen, wie das Projekt jetzt hat.
Die komplette Studie kann frei aus einem Github-Projekt heruntergeladen werden.
