A történtek lényege
2020 májusában egy csoport kilépési csomópontot fedeztek fel, amelyek zavarják a kimenő kapcsolatokat. Konkrétan, szinte minden kapcsolatot érintetlenül hagytak, de néhány kriptovaluta tőzsdével kapcsolatban elfogták a kapcsolatokat. Ha a felhasználók meglátogatták a webhely HTTP-verzióját (azaz nem titkosított és nem hitelesített), a rosszindulatú gazdagépek megakadályozták, hogy átirányítsanak a HTTPS-verzióra (azaz titkosítva és hitelesítve). Ha a felhasználó nem vette észre a helyettesítést (például a lakat ikon hiányát a böngészőben), és fontos információkat kezdett továbbítani, ezeket az információkat a támadó elkaphatja.
A Tor projekt 2020 májusában kizárta ezeket a csomópontokat a hálózatból. 2020 júliusában egy másik relékcsoportot fedeztek fel, amely hasonló támadást hajt végre, majd ezeket szintén kizárták. Még mindig nem világos, hogy sikeresen megtámadták-e a felhasználókat, de a támadás mértéke és az a tény, hogy a támadó újra próbálkozott (az első támadás a kimeneti csomópontok teljes átviteli sebességének 23%-át, a második körülbelül 19%-át érintette), ésszerűen feltételezhető, hogy a támadó indokoltnak tartotta a támadás költségeit.
Ez az incidens jó emlékeztető arra, hogy a HTTP-kérések nem titkosítottak és nem hitelesítettek, ezért továbbra is sebezhetők. A Tor Browser egy HTTPS-Everywhere kiterjesztéssel rendelkezik, amelyet kifejezetten az ilyen támadások megelőzésére terveztek, de hatékonysága egy olyan listára korlátozódik, amely nem fedi le a világ minden webhelyét. A felhasználók mindig veszélyben vannak, amikor a webhelyek HTTP-verzióját látogatják.
Hasonló támadások megelőzése a jövőben
A támadások megelőzésének módszerei két részre oszlanak: az első olyan intézkedéseket tartalmaz, amelyeket a felhasználók és a webhely rendszergazdái tehetnek biztonságuk megerősítése érdekében, míg a második a rosszindulatú hálózati csomópontok azonosítására és időben történő észlelésére vonatkozik.
Javasolt intézkedések a webhelyek részéről:
1. Engedélyezze a HTTPS-t (ingyenes tanúsítványokat a Titkosítjuk)
2. Adjon hozzá átirányítási szabályokat a HTTPS-Everywhere listához, hogy a felhasználók proaktívan létesíthessenek biztonságos kapcsolatot ahelyett, hogy a nem biztonságos kapcsolat létrehozása után az átirányításra hagyatkoznának. Ezenkívül, ha a webszolgáltatások adminisztrációja teljesen el kívánja kerülni a kilépési csomópontokkal való interakciót, megteheti biztosítsa a webhely hagymás változatát.
A Tor Project jelenleg a nem biztonságos HTTP teljes letiltását fontolgatja a Tor böngészőben. Néhány évvel ezelőtt egy ilyen intézkedés még elképzelhetetlen lett volna (túl sok erőforrás csak nem biztonságos HTTP-vel rendelkezett), de a HTTPS-Everywhere és a Firefox hamarosan megjelenő verziója rendelkezik egy kísérleti lehetőséggel arra, hogy az első kapcsolatnál alapértelmezés szerint HTTPS-t használjon. szükség esetén térjen vissza a HTTP-re. Még mindig nem világos, hogy ez a megközelítés hogyan érinti a Tor Browser felhasználóit, ezért először a böngésző magasabb biztonsági szintjén tesztelik (pajzs ikon).
A Tor-hálózat önkéntesei figyelik a továbbítási viselkedést és jelentik az incidenseket, így a rosszindulatú csomópontok kizárhatók a gyökérkönyvtár-kiszolgálókról. Bár az ilyen jelentéseket általában gyorsan kezelik, és a rosszindulatú csomópontok észlelésük után azonnal offline állapotba kerülnek, nincs elegendő erőforrás a hálózat folyamatos figyeléséhez. Ha sikerül rosszindulatú közvetítőt észlelni, jelentheti a projektnek, utasítások ezen a linken érhető el.
A jelenlegi megközelítésnek két alapvető problémája van:
1. Ha egy ismeretlen relét veszünk figyelembe, nehéz bizonyítani annak rosszindulatú voltát. Ha nem támadtak tőle, akkor hagyják a helyén? A sok felhasználót érintő masszív támadások könnyebben észlelhetők, de ha a támadások csak kis számú webhelyet és felhasználót érintenek, a támadó proaktívan tud fellépni. Maga a Tor hálózat több ezer közvetítőből áll, amelyek szerte a világon találhatók, és ez a sokszínűség (és az ebből eredő decentralizáció) az egyik erőssége.
2. Ha egy ismeretlen átjátszó csoportot veszünk figyelembe, nehéz bizonyítani az összekapcsolódásukat (vagyis, hogy vezetnek-e Sibyl támadása). Sok önkéntes közvetítő üzemeltető ugyanazokat az olcsó hálózatokat választja hosztolásra, mint például a Hetzner, az OVH, az Online, a Frantech, a Leaseweb stb., és ha több új közvetítőt fedeznek fel, nem lesz könnyű egyértelműen kitalálni, hogy van-e több új operátorok vagy csak egy, az összes új átjátszó vezérlése.
Forrás: linux.org.ru