r   e   k   l   a   m   a
r   e   k   l   a   m   a

Odkrycie złośliwych węzłów wyjściowych zwiększyło bezpieczeństwo Tora

Strona główna AktualnościINTERNET

Cebulowy router Tor potwierdził swoją wartość w ciągu ostatniego dziesięciolecia, stając się największym publicznie dostępnym darknetem, pozwalającym milionom użytkowników z całego świata, w tym krajów aktywnie zwalczających wolność słowa, na bezpieczne korzystanie z Internetu i anonimową komunikację. To, że sam wykorzystywany w Torze model komunikacji okazał się na tyle bezpieczny, że skorzystał z niego nawet Edward Snowden, przesyłając sekretne dokumenty NSA do redakcji The Guardian i Washington Post, nie oznacza oczywiście, że niemożliwe są ataki przeciwko samym użytkownikom Tora. W zeszłym roku FBI zdołało przejąć kontrolę nad dostawcą anonimowego hostingu Freedom Hosting, wstrzykując w serwowane przez niego strony złośliwy kod, wykorzystujący lukę w Firefoksie do zdemaskowania internautów. Nie jest to jedyny rodzaj możliwych ataków – interesujące realne zagrożenie opisali ostatnio badacze Philipp Winter i Stefan Lindskog z grupy PrivSec w Karlstadt University.

W styczniu 2014 w Sieci działało około tysiąca węzłów wyjściowych Tora – komputerów, z których ruch sieciowy trasowany przez wewnętrzne węzły-przekaźniki zostaje wyprowadzony na zewnątrz, do publicznego Internetu. Wewnątrz samego Tora ruch sieciowy jest oczywiście szyfrowany, jednak opuszczając węzeł wyjściowy, wraca do oryginalnego stanu. Oznacza to, że jeśli anonimowo przeglądana witryna nie stosuje szyfrowanego transportu, np. TLS, węzeł wyjściowy może przeprowadzić inspekcję pakietów, by ustalić, czym interesują się użytkownicy Tora.

Z tego też powodu deweloperzy Tora zalecają łączenie się z docelowymi witrynami po HTTPS. Domyślna przeglądarka pakietu Tor Bundle – Firefox ESR – zawiera preinstalowane rozszerzenie HTTPS Everywhere, wymuszające nawiązywanie szyfrowanych połączeń. Nawet to jednak nie może zagwarantować, że węzeł wychodzący nie uzyska dostępu do opuszczających router cebulowy pakietów. Znane są techniki ataków typu man-in-the-middle, pozwalających na manipulowanie połączeniami HTTPS, zerwanie szyfrowania czy podszywanie się pod wyjściową witrynę z wykorzystaniem sfałszowanych certyfikatów SSL. Co gorsza, to nie tylko akademickie rozważania – w 2007 roku niezależny ekspert od bezpieczeństwa Ryan Paul opublikował listę 100 haseł do skrzynek pocztowych używanych przez urzędników amerykańskiej administracji federalnej, przejętych na kontrolowanym przez niego węźle wyjściowym Tora.

Badacze z Karlstadt University postanowili więc przyjrzeć się bliżej temu, co dziś robią wyjściowe węzły Tora. Opracowali w tym celu szybki, modularny skaner o nazwie exitmap, który został wykorzystany do testowania wszystkich wyjściowych węzłów cebulowego routera przez cztery miesiące. W ten sposób udało im się zidentyfikować 25 węzłów, których zachowanie było wyraźnie złowrogie.

I tak 14 zidentyfikowanych węzłów wykorzystywało ataki man-in-the-middle do przejęcia ruchu HTTPS z wykorzystaniem sfałszowanych certyfikatów, cztery węzły sniffowały zarówno połączenia HTTPS jak i SSH, jeden robił to tylko z połączeniami SSH. Dwa węzły przeprowadzały atak sslstrip przeciwko połączeniom HTTPS, jeden wstrzykiwał JavaScript w ruch HTTP, a trzy zajmowały się blokowaniem dostępu do określonych witryn na poziomie DNS. O ile w wypadku blokowania dostępu winą można obarczyć błędną konfigurację wyjściowego węzła, to w pozostałych wypadkach na pewno mieliśmy do czynienia z wrogą względem Tora aktywnością.

Badacze uważają, że za wyjściowymi węzłami przechwytującymi ruch HTTPS i SSH stać musi ta sama osoba lub grupa osób, gdyż wszystkie one stosowały tę samą przestarzałą wersję oprogramowania Tora, wszystkie znajdowały się na wirtualnych serwerach u rosyjskich hosterów i wszystkie korzystały z samodzielnie podpisanych certyfikatów, przeprowadzając swoje ataki tylko względem części przechodzącego przez nie ruchu sieciowego, w szczególności połączeń z Facebookiem. Winter i Lindskog przekonani są, że efektywność tych ataków nie mogła być zbyt duża – Firefox ostrzega przed samodzielnie podpisanymi certyfikatami, więc większość użytkowników powinna zauważyć, że coś nie jest w porządku.

Stworzenie exitmapera w znaczący sposób zwiększyło bezpieczeństwo Tora – wszystkie niewłaściwie zachowujące się węzły wyjściowe zostały wciągnięte na czarną listę cebulowego routera. Skanowanie z użyciem tego narzędzia odbywać się będzie regularnie. Dodatkowo badacze stworzyli rozszerzenie dla przeglądarki, które alarmuje użytkownika w sytuacji, w której zachodzi podejrzenie, że przeprowadzany jest atak man-in-the-middle. W razie wykrycia problemów z certyfikatem otwiera ono alternatywny obwód do docelowej witryny i porównuje ze sobą otrzymane certyfikaty. Wówczas użytkownik może przerwać sesję i opcjonalnie wysłać zgłoszenie do deweloperów Tora. Cały kod został opublikowany na wolnej licencji GPLv3.

Więcej informacji o problemie, konstrukcji exitmapa i wynikach badania możecie znaleźć w artykule pt. Spoiled Onions: Exposing Malicious Tor Exit Relays.

r   e   k   l   a   m   a
© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.