To, kas atsitiko, esmė
2020 m. gegužės mėn. buvo aptikta grupė išėjimo mazgų, trukdančių išeinantiems ryšiams. Visų pirma, jie paliko beveik visus ryšius nepažeistus, tačiau perėmė ryšius su nedideliu skaičiumi kriptovaliutų biržų. Jei vartotojai lankėsi svetainės HTTP versijoje (t. y. nešifruota ir neautentifikuota), kenkėjiškoms priegloboms buvo užkirstas kelias peradresuoti į HTTPS versiją (t. y. užšifruota ir autentifikuota). Jei vartotojas nepastebėjo pakeitimo (pavyzdžiui, naršyklėje nėra spynos piktogramos) ir pradėjo persiųsti svarbią informaciją, užpuolikas gali perimti šią informaciją.
„Tor“ projektas pašalino šiuos mazgus iš tinklo 2020 m. gegužę. 2020 m. liepos mėn. buvo aptikta kita relių grupė, vykdanti panašią ataką, po kurios jie taip pat buvo pašalinti. Vis dar neaišku, ar kuris nors naudotojas buvo sėkmingai užpultas, tačiau atsižvelgiant į atakos mastą ir tai, kad užpuolikas bandė dar kartą (pirma ataka paveikė 23% viso išėjimo mazgų pralaidumo, antroji - maždaug 19%), galima pagrįstai manyti, kad užpuolikas atakos išlaidas laikė pagrįsta.
Šis incidentas yra geras priminimas, kad HTTP užklausos yra nešifruotos ir neautentifikuotos, todėl vis dar yra pažeidžiamos. „Tor Browser“ yra su HTTPS-Everywhere plėtiniu, specialiai sukurtu užkirsti kelią tokioms atakoms, tačiau jo veiksmingumas apsiriboja sąrašu, kuris neapima visų pasaulio svetainių. Lankydamiesi HTTP svetainių versijose naudotojai visada rizikuos.
Panašių išpuolių prevencija ateityje
Atakų prevencijos metodai yra suskirstyti į dvi dalis: pirmoji apima priemones, kurių vartotojai ir svetainių administratoriai gali imtis siekdami sustiprinti savo saugumą, o antroji susijusi su kenkėjiškų tinklo mazgų identifikavimu ir savalaikiu aptikimu.
Rekomenduojami svetainių veiksmai:
1. Įjunkite HTTPS (nemokamus sertifikatus teikia Let's Encrypt)
2. Pridėkite peradresavimo taisykles į HTTPS-Everywhere sąrašą, kad vartotojai galėtų aktyviai užmegzti saugų ryšį, o ne pasikliauti peradresavimu po to, kai užmezgė nesaugų ryšį. Be to, jei žiniatinklio paslaugų administracija nori visiškai išvengti sąveikos su išėjimo mazgais, ji gali pateikti svogūninę svetainės versiją.
„Tor Project“ šiuo metu svarsto galimybę visiškai išjungti nesaugų HTTP „Tor“ naršyklėje. Prieš kelerius metus tokia priemonė būtų buvę neįsivaizduojama (per daug išteklių turėjo tik neapsaugotą HTTP), tačiau HTTPS-Everywhere ir būsima Firefox versija turi eksperimentinę parinktį naudoti HTTPS pagal numatytuosius nustatymus pirmajam ryšiui su galimybe jei reikia, grįžkite į HTTP. Vis dar neaišku, kaip šis metodas paveiks „Tor Browser“ vartotojus, todėl pirmiausia jis bus išbandytas esant aukštesniam naršyklės saugumo lygiui (skydo piktograma).
„Tor“ tinkle yra savanorių, kurie stebi perdavimo elgseną ir praneša apie incidentus, kad kenkėjiški mazgai būtų pašalinti iš šakninių katalogų serverių. Nors į tokias ataskaitas dažniausiai reaguojama greitai, o kenkėjiški mazgai iš karto pašalinami iš interneto po aptikimo, nepakanka išteklių nuolatiniam tinklui stebėti. Jei pavyksta aptikti kenkėjišką relę, galite pranešti apie tai projektui, instrukcijas galima iš šios nuorodos.
Dabartinis požiūris turi dvi esmines problemas:
1. Svarstant apie nežinomą relę, sunku įrodyti jos piktybiškumą. Jei nebūtų jo priepuolių, ar jis turėtų būti paliktas vietoje? Didžiulius išpuolius, kurie paveikia daugelį vartotojų, aptikti lengviau, bet jei atakos paveikia tik nedidelį skaičių svetainių ir vartotojų, užpuolikas gali veikti aktyviai. Pats „Tor“ tinklas susideda iš tūkstančių relių, esančių visame pasaulyje, ir ši įvairovė (ir dėl to atsirandanti decentralizacija) yra viena iš jo stiprybių.
2. Kalbant apie nežinomų kartotuvų grupę, sunku įrodyti jų tarpusavio ryšį (ty ar jie elgiasi Sibilės puolimas). Daugelis savanoriškų perdavimo operatorių renkasi tuos pačius pigius tinklus, pvz., Hetzner, OVH, Online, Frantech, Leaseweb ir kt., o jei bus atrastos kelios naujos relės, nebus lengva galutinai atspėti, ar yra keletas naujų. operatoriai arba tik vienas, valdantis visus naujus kartotuvus.
Šaltinis: linux.org.ru