Juhtunu olemus
2020. aasta mais avastati rühm väljumissõlmi, mis häirivad väljuvaid ühendusi. Eelkõige jätsid nad puutumata peaaegu kõik ühendused, kuid pidasid kinni ühendused väikese arvu krüptovaluutabörsidega. Kui kasutajad külastasid saidi HTTP-versiooni (st krüptimata ja autentimata), takistati pahatahtlikel hostidel ümbersuunamist HTTPS-i versioonile (st krüptitud ja autentitud). Kui kasutaja ei märganud asendust (näiteks lukuikooni puudumist brauseris) ja hakkas olulist teavet edastama, võib ründaja selle teabe kinni püüda.
Tor-projekt välistas need sõlmed võrgust 2020. aasta mais. 2020. aasta juulis avastati veel üks releede rühm, kes sooritas sarnast rünnakut, misjärel need samuti välja jäeti. Siiani on ebaselge, kas mõnda kasutajat rünnati edukalt, kuid rünnaku ulatuse ja ründaja uuesti proovimise põhjal (esimene rünnak mõjutas 23% väljundsõlmede kogu läbilaskevõimest, teine umbes 19%), on mõistlik eeldada, et ründaja pidas rünnaku maksumust õigustatuks.
See juhtum on hea meeldetuletus, et HTTP-päringud on krüptimata ja autentimata ning seetõttu endiselt haavatavad. Tor Browser on varustatud HTTPS-Everywhere laiendusega, mis on spetsiaalselt loodud selliste rünnakute vältimiseks, kuid selle tõhusus on piiratud loendiga, mis ei hõlma kõiki veebisaite maailmas. Veebisaitide HTTP-versiooni külastades on kasutajad alati ohus.
Sarnaste rünnakute vältimine tulevikus
Rünnakute ennetamise meetodid on jagatud kahte ossa: esimene sisaldab meetmeid, mida kasutajad ja saidiadministraatorid saavad oma turvalisuse tugevdamiseks võtta, teine aga pahatahtlike võrgusõlmede tuvastamist ja õigeaegset tuvastamist.
Soovitatavad toimingud saitide poolt:
1. Lubage HTTPS (tasuta sertifikaate pakub Let's Encrypt)
2. Lisage loendisse HTTPS-Everywhere ümbersuunamisreeglid, et kasutajad saaksid enne ebaturvalise ühenduse loomist luua turvalise ühenduse, mitte loota ümbersuunamisele. Lisaks, kui veebiteenuste administraator soovib täielikult vältida suhtlemist väljumissõlmedega, saab ta seda teha esitage saidi sibulaversioon.
Tor-projekt kaalub praegu ebaturvalise HTTP täielikku keelamist Tor-brauseris. Mõned aastad tagasi poleks selline meede olnud mõeldav (liiga paljudel ressurssidel oli ainult turvamata HTTP), kuid HTTPS-Everywhere'il ja tuleval Firefoxi versioonil on eksperimentaalne võimalus kasutada esimese ühenduse jaoks vaikimisi HTTPS-i, mis võimaldab pöörduge vajadusel tagasi HTTP-le. Siiani on ebaselge, kuidas see lähenemine Tor Browseri kasutajaid mõjutab, seega testitakse seda esmalt brauseri kõrgematel turvatasemetel (kilbiikoon).
Tor-võrgus on vabatahtlikud, kes jälgivad relee käitumist ja teavitavad juhtudest, et pahatahtlikud sõlmed saaks juurkataloogiserveritest välja jätta. Kuigi selliste aruannetega tegeletakse tavaliselt kiiresti ja pahatahtlikud sõlmed lülitatakse kohe pärast tuvastamist võrguühenduseta, pole võrgu pidevaks jälgimiseks piisavalt ressursse. Kui teil õnnestub tuvastada pahatahtlik relee, saate sellest projekti teavitada, juhised saadaval sellel lingil.
Praegusel lähenemisviisil on kaks põhiprobleemi:
1. Tundmatut releed arvesse võttes on selle pahatahtlikkust raske tõestada. Kui ta rünnakuid ei oleks, kas ta tuleks jätta oma kohale? Massiivseid rünnakuid, mis mõjutavad paljusid kasutajaid, on lihtsam tuvastada, kuid kui rünnakud mõjutavad vaid väikest hulka saite ja kasutajaid, ründaja saab tegutseda ennetavalt. Tori võrk ise koosneb tuhandetest üle maailma paiknevatest releedest ning see mitmekesisus (ja sellest tulenev detsentraliseerimine) on üks selle tugevusi.
2. Arvestades tundmatute repiiterite rühma, on raske tõestada nende omavahelist seotust (st kas nad juhivad Sibyli rünnak). Paljud vabatahtlikud releeoperaatorid valivad majutamiseks samad odavad võrgud, nagu Hetzner, OVH, Online, Frantech, Leaseweb jne ning kui avastatakse mitu uut releed, ei ole lihtne lõplikult ära arvata, kas uusi on mitu. operaatorid või ainult üks, mis juhib kõiki uusi repiitereid.
Allikas: linux.org.ru