E foi lançado o Tor 0.4.6.5 com suporte para a terceira versão dos serviços onion. Confira as novidades dessa importante atualização e veja como instalar.
Tor é um poderoso software livre e de código aberto que proporciona a comunicação anônima e segura ao navegar na Internet e em atividades online, protegendo contra a censura e principalmente a privacidade.
O nome dele é derivado de um acrônimo do projeto original do software chamado “The Onion Router”, em português “O Roteador Cebola”. O Tor direciona o tráfego da Internet por meio de uma rede sobreposta livre e de alcance mundial, consistindo de mais de sete mil retransmissores, para ocultar a localização e utilização do usuário de qualquer pessoa que realize vigilância de rede ou análise de tráfego.
Há alguns anos, foi anunciado o lançamento da nova versão do Tor 0.4.6.5, considerada a primeira versão estável do branch 0.4.6, que evoluiu nos últimos cinco meses.
A ramificação 0.4.6 será mantida como parte de um ciclo de manutenção regular; As atualizações serão interrompidas 9 meses ou 3 meses após o lançamento do branch 0.4.7.x, além de continuar a fornecer um longo ciclo de suporte (LTS) para o branch 0.3.5, cujas atualizações serão lançadas até 1 Fevereiro de 2022.
Ao mesmo tempo, as versões do Tor 0.3.5.15, 0.4.4.9 e 0.4.5.9 foram formadas, que corrigiram vulnerabilidades DoS que poderiam causar negação de serviço para clientes de serviço Onion e Relay.
Novidades do Tor 0.4.6.5
Nesta nova versão, foi adicionada a capacidade de criar “serviços onion” com base na terceira versão do protocolo com autenticação de acesso do cliente por meio de arquivos no diretório “authorized_clients”.
Além disso, também foi fornecida a capacidade de passar informações de congestionamento em dados extrainfo que podem ser usados para equilibrar a carga na rede. A transferência de métricas é controlada pela opção OverloadStatistics no torrc.
Também podemos descobrir que um sinalizador foi adicionado para os relés que permite ao operador do nó entender que o relé não está incluído no consenso quando os servidores selecionam diretórios (por exemplo, quando há muitos relés em um endereço IP).
Por outro lado, é referido que foi retirado o suporte para os serviços mais antigos do onion baseados na segunda versão do protocolo, que foi declarado obsoleto há um ano. A remoção completa do código associado à segunda versão do protocolo é esperada para o outono. A segunda versão do protocolo foi desenvolvida há cerca de 16 anos e, devido ao uso de algoritmos desatualizados, não pode ser considerado seguro nas condições modernas.
Há dois anos e meio, na versão 0.3.2.9, era oferecida aos usuários a terceira versão do protocolo, com destaque para a transição para endereços de 56 caracteres, proteção mais confiável contra vazamentos de dados através de servidores de diretório, estrutura modular extensível e o uso dos algoritmos SHA3, ed25519 e curve25519 em vez de SHA1, DH e RSA-1024.
Das vulnerabilidades resolvidas no Tor 0.4.6.5, são mencionadas as seguintes:
- CVE-2021-34550: acesso a uma área de memória fora do buffer alocado no código para analisar descritores de serviço onion com base na terceira versão do protocolo. Um invasor pode, ao colocar um descritor de serviço onion especialmente criado, iniciar o bloqueio de qualquer cliente que tente acessar esse serviço onion.
- CVE-2021-34549 – Capacidade de realizar um ataque que provoque a negação de serviço dos relés. Um invasor pode formar strings com identificadores que causam colisões na função hash, cujo processamento leva a uma grande carga na CPU.
- CVE-2021-34548 – Um relé pode falsificar células RELAY_END e RELAY_RESOLVED em fluxos semifechados, permitindo que um fluxo que foi criado sem o envolvimento deste relé seja encerrado.
- TROVE-2021-004: Adicionadas verificações adicionais para detectar falhas ao acessar o gerador de número aleatório OpenSSL (com a implementação padrão de RNG em OpenSSL, tais falhas não aparecem).
Das outras mudanças que se destacam:
- A capacidade de limitar a força das conexões do cliente aos relés foi adicionada ao subsistema de proteção DoS.
- Nos relés, a publicação de estatísticas sobre o número de serviços onion é implementada com base na terceira versão do protocolo e no volume do seu tráfego.
- O suporte para a opção DirPorts foi removido do código para relés, que não é usado para este tipo de nó.
- Refatoração de código.
- O subsistema de proteção DoS foi movido para o gerenciador de subsistema.
Para saber mais sobre essa versão do Tor, acesse a nota de lançamento.
Como instalar ou atualizar
Para instalar a versão mais recente do Tor nas principais distribuições Linux, você pode baixar o código fonte do Tor 0.4.6.5 agora mesmo no site oficial, no entanto, como ele precisa ser compilado.
Por isso, os usuários finais são recomendados para aguardar a nova versão chegar nos repositórios de software estáveis de suas distribuições Linux favoritas antes de atualizar.
O Tor 0.4.6.5 também será incluído no próximo lançamento principal do Tor Browser, que deve ser lançado na próxima semana, e provavelmente no próximo lançamento da distribuição Tails Linux.
