A esencia do que pasou
En maio de 2020, descubriuse un grupo de nodos de saída que interferían coas conexións de saída. En particular, deixaron case todas as conexións intactas, pero interceptaron conexións a un pequeno número de intercambios de criptomonedas. Se os usuarios visitaron a versión HTTP do sitio (é dicir, sen cifrar e sen autenticar), impediuse que os servidores maliciosos redireccionaran á versión HTTPS (é dicir, cifrados e autenticados). Se o usuario non se decatou da substitución (por exemplo, a ausencia dunha icona de bloqueo no navegador) e comezase a enviar información importante, esta información podería ser interceptada polo atacante.
O proxecto Tor excluíu estes nodos da rede en maio de 2020. En xullo de 2020, descubriuse outro grupo de relés realizando un ataque similar, tras o cal tamén foron excluídos. Aínda non está claro se algún usuario foi atacado con éxito, pero en función da escala do ataque e do feito de que o atacante intentou de novo (o primeiro ataque afectou ao 23% do rendemento total dos nodos de saída, o segundo aproximadamente ao 19%). é razoable supoñer que o atacante considerou xustificado o custo do ataque.
Este incidente é un bo recordatorio de que as solicitudes HTTP están sen cifrar e non autenticadas e, polo tanto, seguen sendo vulnerables. O navegador Tor inclúe unha extensión HTTPS-Everywhere deseñada especificamente para evitar este tipo de ataques, pero a súa eficacia limítase a unha lista que non abarca todos os sitios web do mundo. Os usuarios sempre estarán en risco cando visiten a versión HTTP dos sitios web.
Prevención de ataques similares no futuro
Os métodos para previr ataques divídense en dúas partes: a primeira inclúe medidas que os usuarios e administradores do sitio poden tomar para reforzar a súa seguridade, mentres que a segunda refírese á identificación e detección oportuna de nodos de rede maliciosos.
Accións recomendadas por parte dos sitios:
1. Activa HTTPS (os certificados gratuítos son proporcionados por Imos cifrar)
2. Engade regras de redirección á lista HTTPS-Everywhere para que os usuarios poidan establecer de forma proactiva unha conexión segura en lugar de depender da redirección despois de establecer unha conexión non segura. Ademais, se a administración dos servizos web desexa evitar completamente a interacción cos nodos de saída, pode facelo proporcionar unha versión cebola do sitio.
O proxecto Tor está considerando actualmente desactivar completamente o HTTP inseguro no navegador Tor. Hai uns anos, tal medida sería impensable (demasiados recursos só tiñan HTTP non seguro), pero HTTPS-Everywhere e a próxima versión de Firefox teñen unha opción experimental para usar HTTPS por defecto para a primeira conexión, coa capacidade de volva a HTTP se é necesario. Aínda non está claro como afectará este enfoque aos usuarios do navegador Tor, polo que se probará primeiro en niveis de seguridade máis altos do navegador (icona de escudo).
A rede Tor conta con voluntarios que supervisan o comportamento dos relés e informan de incidentes para que os nodos maliciosos poidan ser excluídos dos servidores de directorio raíz. Aínda que estes informes adoitan abordarse rapidamente e os nodos maliciosos desconectaranse inmediatamente despois da súa detección, non hai recursos suficientes para supervisar constantemente a rede. Se logras detectar un relé malicioso, podes denuncialo ao proxecto, instrucións dispoñible nesta ligazón.
O enfoque actual ten dous problemas fundamentais:
1. Cando se considera un relé descoñecido, é difícil probar a súa malicia. Se non houbese ataques del, debería deixarse no lugar? Os ataques masivos que afectan a moitos usuarios son máis fáciles de detectar, pero se os ataques afectan só a un número reducido de sitios e usuarios, o atacante pode actuar de forma proactiva. A propia rede Tor está formada por miles de relés localizados en todo o mundo, e esta diversidade (e a descentralización resultante) é un dos seus puntos fortes.
2. Cando se considera un grupo de repetidores descoñecidos, é difícil probar a súa interconexión (é dicir, se realizan O ataque de Sibyl). Moitos operadores de relés voluntarios elixen as mesmas redes de baixo custo para acoller, como Hetzner, OVH, Online, Frantech, Leaseweb, etc., e se se descobren varios relés novos, non será doado adiviñar definitivamente se hai varios relés novos. operadores ou só un, controlando todos os novos repetidores.
Fonte: linux.org.ru