Tapahtuneen ydin
Toukokuussa 2020 löydettiin joukko poistumissolmuja, jotka häiritsevät lähteviä yhteyksiä. Erityisesti he jättivät lähes kaikki yhteydet koskemattomiksi, mutta siepasivat yhteyksiä pieneen määrään kryptovaluuttapörssejä. Jos käyttäjät vierailivat sivuston HTTP-versiossa (eli salaamattomassa ja todentamattomassa), haitallisia isäntiä estettiin ohjaamasta HTTPS-versioon (eli salattu ja todennettu). Jos käyttäjä ei huomannut korvaamista (esimerkiksi lukkokuvakkeen puuttumista selaimesta) ja alkoi välittää tärkeitä tietoja, hyökkääjä saattoi siepata nämä tiedot.
Tor-projekti sulki nämä solmut verkosta toukokuussa 2020. Heinäkuussa 2020 löydettiin toinen ryhmä releitä suorittamassa vastaavaa hyökkäystä, minkä jälkeen ne myös suljettiin pois. Vielä on epäselvää, hyökättiinkö käyttäjiä onnistuneesti, mutta hyökkäyksen laajuuden ja sen tosiasian perusteella, että hyökkääjä yritti uudelleen (ensimmäinen hyökkäys vaikutti 23 %:iin lähtösolmujen kokonaissuorituskyvystä, toinen noin 19 %), On kohtuullista olettaa, että hyökkääjä piti hyökkäyksen kustannuksia perusteltuina.
Tämä tapaus on hyvä muistutus siitä, että HTTP-pyynnöt ovat salaamattomia ja todentamattomia, joten ne ovat edelleen haavoittuvia. Tor-selaimen mukana tulee HTTPS-Everywhere-laajennus, joka on erityisesti suunniteltu estämään tällaisia hyökkäyksiä, mutta sen tehokkuus rajoittuu luetteloon, joka ei kata kaikkia verkkosivustoja maailmassa. Käyttäjät ovat aina vaarassa vieraillessaan verkkosivustojen HTTP-versioissa.
Vastaavien hyökkäysten estäminen tulevaisuudessa
Hyökkäysten ehkäisymenetelmät on jaettu kahteen osaan: ensimmäinen sisältää toimenpiteitä, joilla käyttäjät ja sivustojen ylläpitäjät voivat vahvistaa turvallisuuttaan, kun taas toinen koskee haitallisten verkkosolmujen tunnistamista ja oikea-aikaista havaitsemista.
Sivustojen suositellut toimenpiteet:
1. Ota HTTPS käyttöön (ilmaisia varmenteita tarjoaa Let's Encrypt)
2. Lisää uudelleenohjaussäännöt HTTPS-Everywhere-luetteloon, jotta käyttäjät voivat muodostaa suojatun yhteyden ennakoivasti sen sijaan, että luottaisivat uudelleenohjaukseen suojaamattoman yhteyden luomisen jälkeen. Lisäksi, jos verkkopalveluiden hallinta haluaa kokonaan välttää vuorovaikutuksen poistumissolmujen kanssa, se voi tarjota sipuliversio sivustosta.
Tor-projekti harkitsee parhaillaan suojaamattoman HTTP:n poistamista kokonaan käytöstä Tor-selaimessa. Muutama vuosi sitten tällainen toimenpide olisi ollut mahdotonta ajatella (liian monissa resursseissa oli vain suojaamaton HTTP), mutta HTTPS-Everywheressa ja tulevassa Firefox-versiossa on kokeellinen vaihtoehto käyttää HTTPS:ää oletusarvoisesti ensimmäisellä yhteydellä. palaa tarvittaessa HTTP:hen. On edelleen epäselvää, kuinka tämä lähestymistapa vaikuttaa Tor-selaimen käyttäjiin, joten sitä testataan ensin selaimen korkeammilla suojaustasoilla (kilpikuvake).
Tor-verkossa on vapaaehtoisia, jotka tarkkailevat välityskäyttäytymistä ja raportoivat tapauksista, jotta haitalliset solmut voidaan sulkea pois juurihakemistopalvelimista. Vaikka tällaiset raportit käsitellään yleensä nopeasti ja haitalliset solmut siirretään offline-tilaan välittömästi havaitsemisen jälkeen, verkon jatkuvaan valvontaan ei ole riittävästi resursseja. Jos onnistut havaitsemaan haitallisen releen, voit ilmoittaa siitä projektille, ohjeet saatavilla tältä linkiltä.
Nykyisellä lähestymistavalla on kaksi perusongelmaa:
1. Kun harkitaan tuntematonta relettä, on vaikea todistaa sen haitallisuutta. Jos hän ei hyökkäisi, pitäisikö hänet jättää paikoilleen? Massiiviset hyökkäykset, jotka vaikuttavat moniin käyttäjiin, on helpompi havaita, mutta jos hyökkäykset vaikuttavat vain pieneen määrään sivustoja ja käyttäjiä, hyökkääjä voi toimia ennakoivasti. Tor-verkko itsessään koostuu tuhansista eri puolilla maailmaa sijaitsevista releistä, ja tämä monimuotoisuus (ja siitä johtuva hajauttaminen) on yksi sen vahvuuksista.
2. Kun tarkastellaan ryhmää tuntemattomia toistimia, on vaikea todistaa niiden keskinäistä yhteyttä (eli johtaako ne Sibylin hyökkäys). Monet vapaaehtoiset välitysoperaattorit valitsevat isännöikseen samat halpaverkot, kuten Hetzner, OVH, Online, Frantech, Leaseweb jne., ja jos useita uusia releitä löydetään, ei ole helppoa arvata, onko uusia useita. operaattorit tai vain yksi, joka ohjaa kaikkia uusia toistimia.
Lähde: linux.org.ru