Сутнасць здарэння
У маі 2020 года была знойдзена група выхадных вузлоў, якія ўмешваліся ў выходныя злучэнні. У прыватнасці, яны пакідалі некранутымі амаль усе злучэнні, але перахаплялі падключэнні да невялікай колькасці криптовалютных біржаў. Калі карыстачы наведвалі HTTP-версію сайта (г.зн. незашыфраваную і неаўтэнтыфікаваную), шкоднасныя вузлы прадухілялі перанакіраванне на HTTPS-версію (г.зн. зашыфраваную і аўтэнтыфікаваную). Калі карыстач не заўважаў падмены (напрыклад, адсутнасці значка замка ў браўзэры) і пачынаў перасылаць важную інфармацыю, гэтая інфармацыя магла быць перахоплена атакавалым.
Праект Tor выключыў гэтыя вузлы з сеткі ў траўні 2020. У ліпені 2020 была выяўленая чарговая група рэтранслятараў, якія праводзілі аналагічную атаку, пасля чаго яны таксама былі выключаныя. Да гэтага часу не ясна, ці былі паспяхова атакаваныя якія-небудзь карыстачы, але зыходзячы з маштабаў нападу і таго факту, што атакавалы паўтарыў спробу (першы выпадак закрануў 23% сумарнай прапускной здольнасці выходных вузлоў, другі - прыкладна 19%), разумна меркаваць, што зламыснік палічыў выдаткі на атаку апраўданымі.
Гэты інцыдэнт - добры напамін, што HTTP-запыты незашыфраваныя і неаўтэнтыфікаваныя і таму да гэтага часу ўразлівыя. Tor Browser мае ў камплекце пашырэнне HTTPS-Everywhere, спецыяльна прызначанае для прадухілення падобных нападаў, але яго эфектыўнасць абмежавана спісам, які не ахоплівае ўсе вэб-сайты ў свеце. Карыстальнікі пры наведванні HTTP-версіі сайтаў заўсёды будуць пад пагрозай.
Прадухіленне падобных нападаў у будучыні
Спосабы прадухілення нападаў падзяляюцца на дзве часткі: першая ўключае меры, якія могуць распачаць карыстачы і адміністратары сайтаў, узмацняючы сваю бяспеку, тады як другая дакранаецца ідэнтыфікацыі і своечасовага выяўлення шкоднасных вузлоў сеткі.
Рэкамендуемыя дзеянні з боку сайтаў:
1. Уключэнне HTTPS (бясплатныя сертыфікаты дае давайце Encrypt)
2. Даданне правіл перанакіраванні ў спіс HTTPS-Everywhere, каб карыстачы маглі прэвентыўна ўсталёўваць абароненае злучэнне, а не належыць на перанакіраванне пасля ўсталявання неабароненага злучэння. Акрамя таго, калі адміністрацыя вэб-сэрвісаў жадае цалкам пазбегнуць узаемадзеянні з выходнымі вузламі, яна можа даць onion-версію сайта.
На дадзены момант праект Tor разглядае магчымасць поўнага адключэння неабароненага HTTP у Tor Browser. Некалькі гадоў таму падобная мера была неймаверная (занадта многія рэсурсы размяшчалі толькі неабароненым HTTP), але ў HTTPS-Everywhere і будучай версіі Firefox маецца эксперыментальная магчымасць выкарыстоўваць HTTPS па змаўчанні для першага злучэння, з магчымасцю вярнуцца да HTTP пры неабходнасці. Усё яшчэ незразумела, як падобны падыход паўплывае на карыстальнікаў Tor Browser, таму ён будзе апрабаваны перш на больш высокіх узроўнях бяспекі браўзэра (іконка шчыта).
З боку сеткі Tor маюцца добраахвотнікі, якія назіраюць за паводзінамі рэтранслятараў і дакладваюць аб інцыдэнтах, дзякуючы чаму шкоднасныя вузлы могуць быць выключаны каранёвымі серверамі каталогаў. Хаця такія даклады звычайна разглядаюцца хутка і шкоднасныя вузлы адключаюцца адразу пасля выяўлення, рэсурсаў для пастаяннага назірання за сеткай недастаткова. Калі вам удалося выявіць шкоднасны рэтранслятар - вы можаце паведаміць аб гэтым праекце, інструкцыя даступная па гэтай спасылцы.
У бягучага падыходу ёсць дзве фундаментальныя праблемы:
1. Пры разглядзе невядомага рэтранслятара складана даказаць яго шкоднасць. Калі нападаў з яго боку не назіралася, ці варта пакінуць яго на месцы? Масавыя напады, якія закранаюць шматлікіх карыстачоў, лягчэй паддаюцца выяўленню, але калі напады закранаюць толькі невялікі лік сайтаў і карыстачоў, атакуючы можа дзейнічаць з апярэджаннем. Сама па сабе сетка Tor складаецца з тысяч рэтранслятараў, размешчаных па ўсім свеце, і падобная разнастайнасць (і якая вынікае з яго дэцэнтралізацыя) - адна з яе моцных бакоў.
2. Пры разглядзе групы невядомых рэтранслятараў складана даказаць іх узаемазвязанасць (гэта значыць, праводзяць ці яны атаку Сівілы). Многія добраахвотныя аператары рэтранслятараў выбіраюць адны і тыя ж танныя сеткі для размяшчэння, такія як Hetzner, OVH, Online, Frantech, Leaseweb і г.д., і калі будзе выяўлена некалькі новых рэтранслятараў, будзе няпроста адназначна выказаць здагадку, ці з'явілася некалькі новых аператараў ці толькі адзін, які кіруе ўсімі новымі рэтранслятарамі.
Крыніца: linux.org.ru