Същността на случилото се
През май 2020 г. бяха открити група изходни възли, които пречат на изходящите връзки. По-специално, те оставиха почти всички връзки непокътнати, но прихванаха връзки към малък брой борси за криптовалута. Ако потребителите са посетили HTTP версията на сайта (т.е. некриптирана и неавтентифицирана), злонамерените хостове са били предотвратени от пренасочване към HTTPS версията (т.е. криптирана и удостоверена). Ако потребителят не е забелязал подмяната (например липсата на икона за заключване в браузъра) и е започнал да препраща важна информация, тази информация може да бъде прихваната от нападателя.
Проектът Tor изключи тези възли от мрежата през май 2020 г. През юли 2020 г. беше открита друга група релета, извършващи подобна атака, след което те също бяха изключени. Все още не е ясно дали някой потребител е бил успешно атакуван, но въз основа на мащаба на атаката и факта, че атакуващият е опитал отново (първата атака засегна 23% от общата пропускателна способност на изходните възли, втората приблизително 19%), разумно е да се предположи, че нападателят е счел цената на атаката за оправдана.
Този инцидент е добро напомняне, че HTTP заявките са некриптирани и неудостоверени и следователно все още са уязвими. Браузърът Tor идва с разширение HTTPS-Everywhere, специално създадено за предотвратяване на подобни атаки, но неговата ефективност е ограничена до списък, който не обхваща всеки уебсайт в света. Потребителите винаги ще бъдат изложени на риск, когато посещават HTTP версията на уебсайтовете.
Предотвратяване на подобни атаки в бъдеще
Методите за предотвратяване на атаки са разделени на две части: първата включва мерки, които потребителите и администраторите на сайтове могат да предприемат, за да подобрят сигурността си, докато втората се отнася до идентифицирането и навременното откриване на злонамерени мрежови възли.
Препоръчителни действия от страна на сайтовете:
1. Активирайте HTTPS (безплатните сертификати се предоставят от Нека да шифроваме)
2. Добавете правила за пренасочване към списъка HTTPS-Everywhere, така че потребителите да могат проактивно да установят защитена връзка, вместо да разчитат на пренасочване след установяване на незащитена връзка. Освен това, ако администрацията на уеб услугите желае напълно да избегне взаимодействие с изходни възли, тя може предоставяне на лук версия на сайта.
В момента проектът Tor обмисля напълно да деактивира несигурния HTTP в браузъра Tor. Преди няколко години подобна мярка би била немислима (твърде много ресурси имаха само незащитен HTTP), но HTTPS-Everywhere и предстоящата версия на Firefox имат експериментална опция за използване на HTTPS по подразбиране за първата връзка, с възможност за върнете се към HTTP, ако е необходимо. Все още не е ясно как този подход ще се отрази на потребителите на Tor Browser, така че първо ще бъде тестван при по-високи нива на сигурност на браузъра (икона на щит).
Мрежата Tor има доброволци, които наблюдават поведението на релето и докладват инциденти, така че злонамерените възли да могат да бъдат изключени от сървърите на основната директория. Въпреки че такива доклади обикновено се адресират бързо и злонамерените възли се изключват веднага след откриването им, няма достатъчно ресурси за постоянно наблюдение на мрежата. Ако успеете да откриете злонамерено реле, можете да го докладвате на проекта, инструкции достъпни на тази връзка.
Настоящият подход има два основни проблема:
1. Когато се разглежда неизвестно реле, е трудно да се докаже неговата злонамереност. Ако нямаше нападки от него, трябваше ли да бъде оставен на място? Масовите атаки, които засягат много потребители, са по-лесни за откриване, но ако атаките засягат само малък брой сайтове и потребители, нападателят може да действа проактивно. Самата мрежа Tor се състои от хиляди релета, разположени по целия свят, и това разнообразие (и произтичащата от това децентрализация) е една от нейните силни страни.
2. Когато се разглежда група от неизвестни повторители, е трудно да се докаже тяхната взаимовръзка (т.е. дали те провеждат Атаката на Сибила). Много оператори на доброволно предаване избират едни и същи евтини мрежи за хостване, като Hetzner, OVH, Online, Frantech, Leaseweb и т.н., и ако бъдат открити няколко нови предавания, няма да е лесно да се отгатне окончателно дали има няколко нови оператори или само един, контролиращ всички нови повторители.
Източник: linux.org.ru