Odkrycie złośliwych węzłów wyjściowych zwiększyło bezpieczeństwo Tora

Odkrycie złośliwych węzłów wyjściowych zwiększyło bezpieczeństwo Tora27.01.2014 14:08

Cebulowy router Tor potwierdził swoją wartość w ciągu ostatniegodziesięciolecia, stając się największym publicznie dostępnymdarknetem, pozwalającym milionom użytkowników z całego świata, w tymkrajów aktywnie zwalczających wolność słowa, na bezpiecznekorzystanie z Internetu i anonimową komunikację. To, że samwykorzystywany w Torze model komunikacji okazał się na tylebezpieczny, że skorzystał z niego nawet Edward Snowden, przesyłającsekretne dokumenty NSA do redakcji The Guardian i Washington Post,nie oznacza oczywiście, że niemożliwe są ataki przeciwko samymużytkownikom Tora. W zeszłym roku FBI zdołało przejąć kontrolę naddostawcą anonimowego hostingu Freedom Hosting, wstrzykując wserwowane przez niego strony złośliwy kod, wykorzystujący lukę wFirefoksie do zdemaskowania internautów. Nie jest to jedyny rodzajmożliwych ataków – interesujące realne zagrożenie opisaliostatnio badacze Philipp Winter i Stefan Lindskog z grupy PrivSec wKarlstadt University.W styczniu 2014 w Sieci działało około tysiąca węzłów wyjściowychTora – komputerów, z których ruch sieciowy trasowany przezwewnętrzne węzły-przekaźniki zostaje wyprowadzony na zewnątrz, dopublicznego Internetu. Wewnątrz samego Tora ruch sieciowy jestoczywiście szyfrowany, jednak opuszczając węzeł wyjściowy, wraca dooryginalnego stanu. Oznacza to, że jeśli anonimowo przeglądanawitryna nie stosuje szyfrowanego transportu, np. TLS, węzeł wyjściowymoże przeprowadzić inspekcję pakietów, by ustalić, czym interesująsię użytkownicy Tora.[img=tor-opener]Z tego też powodu deweloperzy Tora zalecają łączenie się zdocelowymi witrynami po HTTPS. Domyślna przeglądarka pakietu TorBundle – Firefox ESR – zawiera preinstalowanerozszerzenie HTTPS Everywhere, wymuszające nawiązywanie szyfrowanychpołączeń. Nawet to jednak nie może zagwarantować, że węzeł wychodzącynie uzyska dostępu do opuszczających router cebulowy pakietów. Znanesą techniki ataków typu man-in-the-middle, pozwalających namanipulowanie połączeniami HTTPS, zerwanie szyfrowania czypodszywanie się pod wyjściową witrynę z wykorzystaniem sfałszowanychcertyfikatów SSL. Co gorsza, to nie tylko akademickie rozważania –w 2007 roku niezależny ekspert od bezpieczeństwa Ryan Paulopublikował listę 100 haseł do skrzynek pocztowych używanych przezurzędników amerykańskiej administracji federalnej, przejętych nakontrolowanym przez niego węźle wyjściowym Tora.Badacze z Karlstadt University postanowili więc przyjrzeć siębliżej temu, co dziś robią wyjściowe węzły Tora. Opracowali w tymcelu szybki, modularny skaner o nazwie exitmap, który zostałwykorzystany do testowania wszystkich wyjściowych węzłów cebulowegoroutera przez cztery miesiące. W ten sposób udało im sięzidentyfikować 25 węzłów, których zachowanie było wyraźnie złowrogie.I tak 14 zidentyfikowanych węzłów wykorzystywało atakiman-in-the-middle do przejęcia ruchu HTTPS z wykorzystaniemsfałszowanych certyfikatów, cztery węzły sniffowały zarównopołączenia HTTPS jak i SSH, jeden robił to tylko z połączeniami SSH.Dwa węzły przeprowadzały ataksslstrip przeciwko połączeniom HTTPS, jeden wstrzykiwałJavaScript w ruch HTTP, a trzy zajmowały się blokowaniem dostępu dookreślonych witryn na poziomie DNS. O ile w wypadku blokowaniadostępu winą można obarczyć błędną konfigurację wyjściowego węzła, tow pozostałych wypadkach na pewno mieliśmy do czynienia z wrogąwzględem Tora aktywnością. Badacze uważają, że za wyjściowymi węzłami przechwytującymi ruchHTTPS i SSH stać musi ta sama osoba lub grupa osób, gdyż wszystkieone stosowały tę samą przestarzałą wersję oprogramowania Tora,wszystkie znajdowały się na wirtualnych serwerach u rosyjskichhosterów i wszystkie korzystały z samodzielnie podpisanychcertyfikatów, przeprowadzając swoje ataki tylko względem częściprzechodzącego przez nie ruchu sieciowego, w szczególności połączeń zFacebookiem. Winter i Lindskog przekonani są, że efektywność tychataków nie mogła być zbyt duża – Firefox ostrzega przedsamodzielnie podpisanymi certyfikatami, więc większość użytkownikówpowinna zauważyć, że coś nie jest w porządku. Stworzenie exitmapera w znaczący sposób zwiększyło bezpieczeństwoTora – wszystkie niewłaściwie zachowujące się węzły wyjściowezostały wciągnięte na czarną listę cebulowego routera. Skanowanie zużyciem tego narzędzia odbywać się będzie regularnie. Dodatkowobadacze stworzyli rozszerzenie dla przeglądarki, które alarmujeużytkownika w sytuacji, w której zachodzi podejrzenie, żeprzeprowadzany jest atak man-in-the-middle. W razie wykryciaproblemów z certyfikatem otwiera ono alternatywny obwód do docelowejwitryny i porównuje ze sobą otrzymane certyfikaty. Wówczas użytkownikmoże przerwać sesję i opcjonalnie wysłać zgłoszenie do deweloperówTora. Cały kod zostałopublikowany na wolnej licencji GPLv3.Więcej informacji o problemie, konstrukcji exitmapa i wynikachbadania możecie znaleźć w artykulept. Spoiled Onions: Exposing Malicious Tor Exit Relays.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na