プロホスト > ブログ > インターネットニュース > Tor セキュリティ評議会レポート: 悪意のある出口ノードが sslstrip を使用しました。

Tor セキュリティ評議会レポート: 悪意のある出口ノードが sslstrip を使用しました。


Tor セキュリティ評議会レポート: 悪意のある出口ノードが sslstrip を使用しました。

起こった事の本質

2020 年 XNUMX 月に、発信接続を妨害する出口ノードのグループが発見されました。 特に、ほぼすべての接続はそのまま残されましたが、少数の暗号通貨取引所への接続は傍受されました。 ユーザーがサイトの HTTP バージョン (つまり、暗号化されておらず認証されていない) にアクセスした場合、悪意のあるホストが HTTPS バージョン (つまり、暗号化されて認証されていない) にリダイレクトすることは防止されます。 ユーザーが置換 (ブラウザーに鍵アイコンがないなど) に気付かずに重要な情報を転送し始めた場合、この情報は攻撃者によって傍受される可能性があります。

Tor プロジェクトは、2020 年 2020 月にこれらのノードをネットワークから除外しました。23 年 19 月には、同様の攻撃を実行している別のリレー グループが発見され、その後、これらのノードも除外されました。 ユーザーが攻撃に成功したかどうかはまだ不明ですが、攻撃の規模と攻撃者が再試行したという事実に基づくと (最初の攻撃は出力ノードの合計スループットの XNUMX% に影響を与え、XNUMX 番目の攻撃は約 XNUMX% に影響しました)、攻撃者は攻撃のコストが正当であると考えたと考えるのが合理的です。

このインシデントは、HTTP リクエストが暗号化されておらず認証されていないため、依然として脆弱であることを思い出させます。 Tor ブラウザには、このような攻撃を防ぐために特別に設計された HTTPS-Everywhere 拡張機能が付属していますが、その有効性はリストに限定されており、世界中のすべての Web サイトをカバーしているわけではありません。 ユーザーが HTTP バージョンの Web サイトにアクセスするときは、常に危険にさらされます。

今後の同様の攻撃の防止

攻撃を防ぐ方法は XNUMX つの部分に分かれています。XNUMX つ目は、ユーザーとサイト管理者がセキュリティを強化するために実行できる対策が含まれ、XNUMX つ目は、悪意のあるネットワーク ノードの特定とタイムリーな検出に関するものです。

サイト側で推奨されるアクション:

1. HTTPS を有効にします (無料の証明書は次のサイトから提供されます)。 暗号化しよう)

2. HTTPS-Everywhere リストにリダイレクト ルールを追加して、ユーザーが安全でない接続を確立した後にリダイレクトに依存するのではなく、安全な接続を積極的に確立できるようにします。 さらに、Web サービス管理者が出口ノードとの対話を完全に回避したい場合は、次のようにすることができます。 サイトのオニオンバージョンを提供する.

Tor プロジェクトは現在、Tor ブラウザで安全でない HTTP を完全に無効にすることを検討しています。 数年前には、このような対策は考えられませんでした (セキュリティで保護されていない HTTP しか持たないリソースが多すぎた) ですが、HTTPS-Everywhere と Firefox の次期バージョンには、最初の接続にデフォルトで HTTPS を使用する実験的なオプションがあり、次のような機能があります。必要に応じて HTTP にフォールバックします。 このアプローチが Tor ブラウザ ユーザーにどのような影響を与えるかはまだ不明であるため、最初はブラウザのより高いセキュリティ レベル (盾のアイコン) でテストされます。

Tor ネットワークには、悪意のあるノードをルート ディレクトリ サーバーから除外できるように、リレーの動作を監視し、インシデントを報告するボランティアがいます。 通常、このようなレポートは迅速に対処され、悪意のあるノードは検出されるとすぐにオフラインになりますが、ネットワークを常に監視するにはリソースが不十分です。 悪意のあるリレーを検出できた場合は、プロジェクトに報告できます。 このリンクから入手可能.

現在のアプローチには XNUMX つの基本的な問題があります。

1. 未知のリレーを考慮した場合、その悪意を証明することは困難です。 彼からの攻撃がなかった場合、彼はその場に残すべきでしょうか? 多数のユーザーに影響を与える大規模な攻撃は検出しやすくなりますが、少数のサイトやユーザーのみに影響を与える攻撃の場合は、 攻撃者は積極的に行動できる。 Tor ネットワーク自体は世界中にある何千ものリレーで構成されており、この多様性 (およびその結果としての分散化) がその強みの XNUMX つです。

2. 未知の中継器のグループを考慮する場合、それらの相互接続を証明することは困難です (つまり、中継器が通信を行っているかどうか) シビルの攻撃)。 自主的なリレー オペレータの多くは、Hetzner、OVH、Online、Frantech、Leaseweb などの同じ低コスト ネットワークをホストに選択しており、いくつかの新しいリレーが発見された場合、いくつかの新しいリレーがあるかどうかを明確に推測するのは簡単ではありません。オペレーターまたは XNUMX 人だけがすべての新しいリピーターを制御します。

出所: linux.org.ru

コメントを追加します