Η ουσία αυτού που συνέβη
Τον Μάιο του 2020, ανακαλύφθηκε μια ομάδα κόμβων εξόδου που παρεμποδίζουν τις εξερχόμενες συνδέσεις. Συγκεκριμένα, άφησαν άθικτες σχεδόν όλες τις συνδέσεις, αλλά υποκλοπή συνδέσεων σε μικρό αριθμό ανταλλακτηρίων κρυπτονομισμάτων. Εάν οι χρήστες επισκέπτονταν την έκδοση HTTP του ιστότοπου (δηλαδή, μη κρυπτογραφημένη και χωρίς έλεγχο ταυτότητας), οι κακόβουλοι κεντρικοί υπολογιστές δεν μπορούσαν να ανακατευθυνθούν στην έκδοση HTTPS (δηλαδή, κρυπτογραφημένοι και πιστοποιημένοι). Εάν ο χρήστης δεν παρατήρησε την αντικατάσταση (για παράδειγμα, την απουσία εικονιδίου κλειδώματος στο πρόγραμμα περιήγησης) και άρχισε να διαβιβάζει σημαντικές πληροφορίες, αυτές οι πληροφορίες θα μπορούσαν να υποκλαπούν από τον εισβολέα.
Το έργο Tor απέκλεισε αυτούς τους κόμβους από το δίκτυο τον Μάιο του 2020. Τον Ιούλιο του 2020, ανακαλύφθηκε μια άλλη ομάδα ηλεκτρονόμων που εκτελούσε παρόμοια επίθεση, μετά την οποία αποκλείστηκαν επίσης. Δεν είναι ακόμα σαφές εάν κάποιος χρήστης δέχτηκε επιτυχή επίθεση, αλλά με βάση την κλίμακα της επίθεσης και το γεγονός ότι ο εισβολέας προσπάθησε ξανά (η πρώτη επίθεση επηρέασε το 23% της συνολικής απόδοσης των κόμβων εξόδου, η δεύτερη περίπου το 19%), είναι λογικό να υποθέσουμε ότι ο επιτιθέμενος θεώρησε δικαιολογημένο το κόστος της επίθεσης.
Αυτό το περιστατικό είναι μια καλή υπενθύμιση ότι τα αιτήματα HTTP δεν είναι κρυπτογραφημένα και χωρίς έλεγχο ταυτότητας και επομένως εξακολουθούν να είναι ευάλωτα. Το Tor Browser συνοδεύεται από μια επέκταση HTTPS-Everywhere ειδικά σχεδιασμένη για την πρόληψη τέτοιων επιθέσεων, αλλά η αποτελεσματικότητά του περιορίζεται σε μια λίστα που δεν καλύπτει κάθε ιστότοπο στον κόσμο. Οι χρήστες θα βρίσκονται πάντα σε κίνδυνο όταν επισκέπτονται την έκδοση HTTP των ιστότοπων.
Αποτροπή παρόμοιων επιθέσεων στο μέλλον
Οι μέθοδοι αποτροπής επιθέσεων χωρίζονται σε δύο μέρη: το πρώτο περιλαμβάνει μέτρα που μπορούν να λάβουν οι χρήστες και οι διαχειριστές του ιστότοπου για να ενισχύσουν την ασφάλειά τους, ενώ το δεύτερο αφορά τον εντοπισμό και την έγκαιρη ανίχνευση κακόβουλων κόμβων δικτύου.
Προτεινόμενες ενέργειες από την πλευρά των τοποθεσιών:
1. Ενεργοποιήστε το HTTPS (παρέχονται δωρεάν πιστοποιητικά από Ας κρυπτογραφήσουμε)
2. Προσθέστε κανόνες ανακατεύθυνσης στη λίστα HTTPS-Everywhere, έτσι ώστε οι χρήστες να μπορούν να δημιουργήσουν προληπτικά μια ασφαλή σύνδεση αντί να βασίζονται στην ανακατεύθυνση μετά τη δημιουργία μιας μη ασφαλούς σύνδεσης. Επιπλέον, εάν η διαχείριση των υπηρεσιών web επιθυμεί να αποφύγει εντελώς την αλληλεπίδραση με τους κόμβους εξόδου, μπορεί παρέχετε μια έκδοση onion του ιστότοπου.
Το Tor Project εξετάζει αυτήν τη στιγμή την πλήρη απενεργοποίηση του μη ασφαλούς HTTP στο πρόγραμμα περιήγησης Tor. Πριν από μερικά χρόνια, ένα τέτοιο μέτρο θα ήταν αδιανόητο (πάρα πολλοί πόροι είχαν μόνο μη ασφαλές HTTP), αλλά το HTTPS-Everywhere και η επερχόμενη έκδοση του Firefox έχουν μια πειραματική επιλογή να χρησιμοποιούν το HTTPS από προεπιλογή για την πρώτη σύνδεση, με τη δυνατότητα επιστρέψτε στο HTTP εάν είναι απαραίτητο. Δεν είναι ακόμη σαφές πώς αυτή η προσέγγιση θα επηρεάσει τους χρήστες του Tor Browser, επομένως θα δοκιμαστεί πρώτα σε υψηλότερα επίπεδα ασφαλείας του προγράμματος περιήγησης (εικονίδιο ασπίδας).
Το δίκτυο Tor έχει εθελοντές που παρακολουθούν τη συμπεριφορά του αναμετάδοσης και αναφέρουν περιστατικά, έτσι ώστε οι κακόβουλοι κόμβοι να μπορούν να αποκλειστούν από τους διακομιστές ριζικού καταλόγου. Αν και τέτοιες αναφορές αντιμετωπίζονται συνήθως γρήγορα και οι κακόβουλοι κόμβοι αποσυνδέονται αμέσως μόλις εντοπιστούν, δεν υπάρχουν επαρκείς πόροι για τη συνεχή παρακολούθηση του δικτύου. Εάν καταφέρετε να εντοπίσετε ένα κακόβουλο ρελέ, μπορείτε να το αναφέρετε στο έργο, οδηγίες διαθέσιμο σε αυτόν τον σύνδεσμο.
Η τρέχουσα προσέγγιση έχει δύο βασικά προβλήματα:
1. Όταν εξετάζετε ένα άγνωστο ρελέ, είναι δύσκολο να αποδείξετε την κακοήθεια του. Αν δεν υπήρξαν επιθέσεις από μέρους του, θα έπρεπε να μείνει στη θέση του; Οι μαζικές επιθέσεις που επηρεάζουν πολλούς χρήστες είναι πιο εύκολο να εντοπιστούν, αλλά εάν οι επιθέσεις επηρεάζουν μόνο έναν μικρό αριθμό τοποθεσιών και χρηστών, ο εισβολέας μπορεί να ενεργήσει προληπτικά. Το ίδιο το δίκτυο Tor αποτελείται από χιλιάδες ηλεκτρονόμους που βρίσκονται σε όλο τον κόσμο και αυτή η ποικιλομορφία (και η αποκέντρωση που προκύπτει) είναι ένα από τα δυνατά του σημεία.
2. Όταν εξετάζουμε μια ομάδα άγνωστων επαναληπτών, είναι δύσκολο να αποδειχθεί η διασύνδεσή τους (δηλαδή, εάν διεξάγουν Η επίθεση της Σίβυλλας). Πολλοί εθελοντές χειριστές αναμετάδοσης επιλέγουν τα ίδια δίκτυα χαμηλού κόστους για να φιλοξενήσουν, όπως τα Hetzner, OVH, Online, Frantech, Leaseweb κ.λπ., και αν ανακαλυφθούν πολλά νέα ρελέ, δεν θα είναι εύκολο να μαντέψει κανείς οριστικά αν υπάρχουν πολλά νέα χειριστές ή μόνο ένας, που ελέγχει όλους τους νέους επαναλήπτες.
Πηγή: linux.org.ru