Die kern van wat gebeur het
In Mei 2020 is 'n groep uitgangsnodusse ontdek wat inmeng met uitgaande verbindings. Hulle het veral byna alle verbindings ongeskonde gelaat, maar verbindings na 'n klein aantal cryptocurrency-uitruilings onderskep. As gebruikers die HTTP-weergawe van die webwerf besoek het (d.w.s. ongeënkripteer en ongeverifieer), is kwaadwillige gashere verhinder om na die HTTPS-weergawe te herlei (d.w.s. geïnkripteer en geverifieer). As die gebruiker nie die vervanging opgemerk het nie (byvoorbeeld die afwesigheid van 'n slot-ikoon in die blaaier) en begin om belangrike inligting aan te stuur, kan hierdie inligting deur die aanvaller onderskep word.
Die Tor-projek het hierdie nodusse in Mei 2020 van die netwerk uitgesluit. In Julie 2020 is 'n ander groep relais ontdek wat 'n soortgelyke aanval uitgevoer het, waarna hulle ook uitgesluit is. Dit is nog onduidelik of enige gebruikers suksesvol aangeval is, maar op grond van die omvang van die aanval en die feit dat die aanvaller weer probeer het (die eerste aanval het 23% van die totale deurset van die uitgangsnodusse beïnvloed, die tweede ongeveer 19%), dit is redelik om te aanvaar dat die aanvaller die koste van die aanval geregverdig geag het.
Hierdie voorval is 'n goeie herinnering dat HTTP-versoeke ongeënkripteer en ongeverifieer is en dus steeds kwesbaar is. Tor Browser kom met 'n HTTPS-Everywhere-uitbreiding wat spesifiek ontwerp is om sulke aanvalle te voorkom, maar die doeltreffendheid daarvan is beperk tot 'n lys wat nie elke webwerf ter wêreld dek nie. Gebruikers sal altyd 'n risiko loop wanneer hulle die HTTP-weergawe van webwerwe besoek.
Voorkom soortgelyke aanvalle in die toekoms
Metodes om aanvalle te voorkom word in twee dele verdeel: die eerste sluit maatreëls in wat gebruikers en werfadministrateurs kan tref om hul sekuriteit te versterk, terwyl die tweede die identifisering en tydige opsporing van kwaadwillige netwerknodes betref.
Aanbevole handelinge aan die kant van werwe:
1. Aktiveer HTTPS (gratis sertifikate word verskaf deur Kom ons enkripteer)
2. Voeg herleidingreëls by die HTTPS-Everywhere-lys sodat gebruikers proaktief 'n veilige verbinding kan vestig eerder as om op herleiding staat te maak nadat hulle 'n onveilige verbinding tot stand gebring het. Daarbenewens, as die webdienste-administrasie interaksie met uitgangsnodusse heeltemal wil vermy, kan dit verskaf 'n uie weergawe van die webwerf.
Die Tor-projek oorweeg dit tans om onveilige HTTP in die Tor-blaaier heeltemal uit te skakel. 'n Paar jaar gelede sou so 'n maatreël ondenkbaar gewees het (te veel hulpbronne het net onversekerde HTTP gehad), maar HTTPS-Everywhere en die komende weergawe van Firefox het 'n eksperimentele opsie om HTTPS by verstek te gebruik vir die eerste verbinding, met die vermoë om val terug na HTTP indien nodig. Dit is nog onduidelik hoe hierdie benadering Tor Browser-gebruikers sal beïnvloed, so dit sal eers op hoër sekuriteitsvlakke van die blaaier getoets word (skildikoon).
Die Tor-netwerk het vrywilligers wat aflosgedrag monitor en voorvalle rapporteer sodat kwaadwillige nodusse uitgesluit kan word van wortelgidsbedieners. Alhoewel sulke verslae gewoonlik vinnig aangespreek word en kwaadwillige nodusse onmiddellik vanlyn geneem word met opsporing, is daar onvoldoende hulpbronne om die netwerk voortdurend te monitor. As jy daarin slaag om 'n kwaadwillige aflos op te spoor, kan jy dit aan die projek rapporteer, instruksies beskikbaar by hierdie skakel.
Die huidige benadering het twee fundamentele probleme:
1. Wanneer 'n onbekende aflos oorweeg word, is dit moeilik om die kwaadwilligheid daarvan te bewys. As daar geen aanvalle van hom was nie, moet hy in plek gelaat word? Massiewe aanvalle wat baie gebruikers raak, is makliker om op te spoor, maar as aanvalle slegs 'n klein aantal werwe en gebruikers raak, die aanvaller kan proaktief optree. Die Tor-netwerk self bestaan uit duisende relais wat regoor die wêreld geleë is, en hierdie diversiteit (en die gevolglike desentralisasie) is een van sy sterkpunte.
2. Wanneer 'n groep onbekende herhalers oorweeg word, is dit moeilik om hul interkonneksie te bewys (dit wil sê of hulle Sibille se aanval). Baie vrywillige aflosoperateurs kies dieselfde laekoste-netwerke om te huisves, soos Hetzner, OVH, Online, Frantech, Leaseweb, ens., en as verskeie nuwe aflosse ontdek word, sal dit nie maklik wees om definitief te raai of daar verskeie nuwes is nie. operateurs of slegs een, wat al die nuwe herhalers beheer.
Bron: linux.org.ru