Die Essenz dessen, was passiert ist
Im Mai 2020 wurde eine Gruppe von Exit-Knoten entdeckt, die ausgehende Verbindungen störten. Insbesondere ließen sie fast alle Verbindungen intakt, fingen jedoch Verbindungen zu einer kleinen Anzahl von Kryptowährungsbörsen ab. Wenn Benutzer die HTTP-Version der Website besuchten (d. h. unverschlüsselt und nicht authentifiziert), wurde verhindert, dass böswillige Hosts zur HTTPS-Version (d. h. verschlüsselt und authentifiziert) umleiteten. Wenn der Benutzer die Ersetzung nicht bemerkt (z. B. das Fehlen eines Schlosssymbols im Browser) und beginnt, wichtige Informationen weiterzuleiten, können diese Informationen vom Angreifer abgefangen werden.
Das Tor-Projekt hat diese Knoten im Mai 2020 aus dem Netzwerk ausgeschlossen. Im Juli 2020 wurde eine weitere Gruppe von Relays entdeckt, die einen ähnlichen Angriff durchführten, woraufhin auch sie ausgeschlossen wurden. Es ist immer noch unklar, ob Benutzer erfolgreich angegriffen wurden, aber basierend auf dem Ausmaß des Angriffs und der Tatsache, dass der Angreifer es erneut versuchte (der erste Angriff beeinträchtigte 23 % des Gesamtdurchsatzes der Ausgangsknoten, der zweite etwa 19 %), Es ist davon auszugehen, dass der Angreifer die Kosten des Angriffs für gerechtfertigt hielt.
Dieser Vorfall ist eine gute Erinnerung daran, dass HTTP-Anfragen unverschlüsselt und nicht authentifiziert sind und daher immer noch anfällig sind. Tor Browser verfügt über eine HTTPS-Everywhere-Erweiterung, die speziell zur Verhinderung solcher Angriffe entwickelt wurde. Ihre Wirksamkeit ist jedoch auf eine Liste beschränkt, die nicht jede Website auf der Welt abdeckt. Benutzer sind beim Besuch der HTTP-Version von Websites immer einem Risiko ausgesetzt.
Ähnliche Angriffe in Zukunft verhindern
Die Methoden zur Verhinderung von Angriffen sind in zwei Teile gegliedert: Der erste Teil umfasst Maßnahmen, die Benutzer und Site-Administratoren ergreifen können, um ihre Sicherheit zu erhöhen, während der zweite Teil die Identifizierung und rechtzeitige Erkennung bösartiger Netzwerkknoten betrifft.
Empfohlene Maßnahmen seitens der Websites:
1. Aktivieren Sie HTTPS (kostenlose Zertifikate werden bereitgestellt von Lass uns verschlüsseln)
2. Fügen Sie Umleitungsregeln zur HTTPS-Everywhere-Liste hinzu, damit Benutzer proaktiv eine sichere Verbindung herstellen können, anstatt sich nach dem Herstellen einer unsicheren Verbindung auf die Umleitung zu verlassen. Darüber hinaus kann die Webdienstverwaltung die Interaktion mit Exit-Knoten vollständig vermeiden Bereitstellung einer Zwiebelversion der Website.
Das Tor-Projekt erwägt derzeit, unsicheres HTTP im Tor-Browser vollständig zu deaktivieren. Vor ein paar Jahren wäre eine solche Maßnahme undenkbar gewesen (zu viele Ressourcen hatten nur ungesichertes HTTP), aber HTTPS-Everywhere und die kommende Version von Firefox verfügen über eine experimentelle Option, HTTPS standardmäßig für die erste Verbindung zu verwenden, mit der Möglichkeit dazu Greifen Sie bei Bedarf auf HTTP zurück. Es ist noch unklar, wie sich dieser Ansatz auf Benutzer des Tor-Browsers auswirken wird, daher wird er zunächst bei höheren Sicherheitsstufen des Browsers (Schildsymbol) getestet.
Im Tor-Netzwerk gibt es Freiwillige, die das Relay-Verhalten überwachen und Vorfälle melden, damit bösartige Knoten von den Root-Verzeichnisservern ausgeschlossen werden können. Obwohl auf solche Meldungen in der Regel schnell reagiert wird und bösartige Knoten sofort nach Entdeckung offline geschaltet werden, sind nicht genügend Ressourcen vorhanden, um das Netzwerk ständig zu überwachen. Wenn es Ihnen gelingt, ein bösartiges Relay zu entdecken, können Sie es gemäß den Anweisungen des Projekts melden verfügbar unter diesem Link.
Der aktuelle Ansatz weist zwei grundlegende Probleme auf:
1. Wenn man ein unbekanntes Relay in Betracht zieht, ist es schwierig, seine Bösartigkeit zu beweisen. Wenn es keine Angriffe von ihm gäbe, sollte er dann an Ort und Stelle bleiben? Massive Angriffe, die viele Benutzer betreffen, sind leichter zu erkennen, wenn Angriffe jedoch nur eine kleine Anzahl von Websites und Benutzern betreffen, Der Angreifer kann proaktiv handeln. Das Tor-Netzwerk selbst besteht aus Tausenden von Relays auf der ganzen Welt, und diese Vielfalt (und die daraus resultierende Dezentralisierung) ist eine seiner Stärken.
2. Wenn man eine Gruppe unbekannter Repeater betrachtet, ist es schwierig, ihre Verbindung untereinander zu beweisen (d. h., ob sie leiten). Sibyls Angriff). Viele freiwillige Relay-Betreiber wählen dieselben kostengünstigen Netzwerke zum Hosten aus, etwa Hetzner, OVH, Online, Frantech, Leaseweb usw., und wenn mehrere neue Relays entdeckt werden, wird es nicht einfach sein, definitiv zu erraten, ob es mehrere neue gibt Betreiber oder nur einer, der alle neuen Repeater steuert.
Source: linux.org.ru