Kjarninn í því sem gerðist
Í maí 2020 uppgötvaðist hópur útgönguhnúta sem trufluðu útleiðandi tengingar. Sérstaklega skildu þeir næstum allar tengingar ósnortnar, en hleruðu tengingar við lítinn fjölda dulritunargjaldmiðlaskipta. Ef notendur heimsóttu HTTP útgáfu síðunnar (þ.e. ódulkóðuð og óstaðfest) var komið í veg fyrir að illgjarnir gestgjafar beindi áfram í HTTPS útgáfuna (þ.e. dulkóðuð og auðkennd). Ef notandinn tók ekki eftir breytingunni (til dæmis skortur á læsingartákn í vafranum) og byrjaði að senda mikilvægar upplýsingar, gæti árásarmaðurinn stöðvað þessar upplýsingar.
Tor verkefnið útilokaði þessa hnúta frá netinu í maí 2020. Í júlí 2020 uppgötvaðist annar hópur liða sem gerði svipaða árás, eftir það voru þeir einnig útilokaðir. Það er enn óljóst hvort ráðist hafi verið á einhverja notendur, en miðað við umfang árásarinnar og þá staðreynd að árásarmaðurinn reyndi aftur (fyrsta árásin hafði áhrif á 23% af heildarafköstum úttakshnúta, sú seinni um 19%), sanngjarnt er að ætla að árásarmaðurinn hafi talið kostnað við árásina réttlætanlegan.
Þetta atvik er góð áminning um að HTTP beiðnir eru ódulkóðaðar og óstaðfestar og eru því enn viðkvæmar. Tor Browser kemur með HTTPS-Everywhere viðbót sem er sérstaklega hönnuð til að koma í veg fyrir slíkar árásir, en skilvirkni hans er takmörkuð við lista sem nær ekki yfir allar vefsíður í heiminum. Notendur munu alltaf vera í hættu þegar þeir heimsækja HTTP útgáfu vefsíðna.
Koma í veg fyrir svipaðar árásir í framtíðinni
Aðferðir til að koma í veg fyrir árásir skiptast í tvennt: sá fyrri felur í sér ráðstafanir sem notendur og síðustjórnendur geta gert til að efla öryggi sitt, en sá síðari varðar auðkenningu og tímanlega uppgötvun skaðlegra nethnúta.
Ráðlagðar aðgerðir af hálfu vefsvæða:
1. Virkjaðu HTTPS (ókeypis vottorð eru veitt af Skulum dulrita)
2. Bættu tilvísunarreglum við HTTPS-Everywhere listann þannig að notendur geti með fyrirbyggjandi hætti komið á öruggri tengingu frekar en að treysta á endurvísun eftir að hafa komið á óöruggri tengingu. Þar að auki, ef stjórnendur vefþjónustunnar vilja algjörlega forðast samskipti við útgönguhnúta, getur hún það útvega laukútgáfu af síðunni.
Tor verkefnið er að íhuga að slökkva algjörlega á óöruggu HTTP í Tor vafranum. Fyrir nokkrum árum hefði slík ráðstöfun verið óhugsandi (of mörg auðlindir höfðu aðeins ótryggða HTTP), en HTTPS-Everywhere og væntanleg útgáfa af Firefox hafa tilraunamöguleika til að nota HTTPS sjálfgefið fyrir fyrstu tengingu, með möguleika á að falla aftur í HTTP ef þörf krefur. Það er enn óljóst hvernig þessi nálgun mun hafa áhrif á Tor Browser notendur, svo hún verður fyrst prófuð á hærra öryggisstigum vafrans (skjöldartákn).
Tor-netið hefur sjálfboðaliða sem fylgjast með gengishegðun og tilkynna atvik svo hægt sé að útiloka illgjarna hnúta frá rótarskráaþjónum. Þótt slíkum tilkynningum sé venjulega brugðist fljótt við og illgjarnir hnútar séu teknir utan nets strax við uppgötvun, þá eru ekki nægileg úrræði til að fylgjast stöðugt með netinu. Ef þér tekst að greina illgjarn gengi geturðu tilkynnt það til verkefnisins, leiðbeiningar í boði á þessum hlekk.
Núverandi nálgun hefur tvö grundvallarvandamál:
1. Þegar litið er til óþekkts gengis er erfitt að sanna illgirni þess. Ef það voru engar árásir frá honum, ætti hann þá að vera á sínum stað? Auðveldara er að greina gríðarlegar árásir sem hafa áhrif á marga notendur, en ef árásir hafa aðeins áhrif á lítinn fjölda vefsvæða og notenda, árásarmaðurinn getur virkað fyrirbyggjandi. Tor netið sjálft samanstendur af þúsundum liða um allan heim og þessi fjölbreytni (og valddreifingin sem af því leiðir) er einn af styrkleikum þess.
2. Þegar litið er til hóps óþekktra endurvarpa er erfitt að sanna samtengingu þeirra (þ.e. hvort þeir stunda Árás Sibyl). Margir frjálsir boðstjórnendur velja sömu lággjalda netkerfin til að hýsa, svo sem Hetzner, OVH, Online, Frantech, Leaseweb o.s.frv., og ef nokkur ný gengi uppgötvast verður ekki auðvelt að giska endanlega á hvort það séu nokkrir nýir rekstraraðila eða aðeins einn, sem stjórnar öllum nýju endurvarpunum.
Heimild: linux.org.ru