De essentie van wat er is gebeurd
In mei 2020 werd een groep exitknooppunten ontdekt die de uitgaande verbindingen verstoorden. In het bijzonder lieten ze bijna alle verbindingen intact, maar onderschepten ze verbindingen met een klein aantal cryptocurrency-uitwisselingen. Als gebruikers de HTTP-versie van de site bezochten (d.w.z. niet-versleuteld en niet-geverifieerd), werd voorkomen dat kwaadwillende hosts omleidden naar de HTTPS-versie (dat wil zeggen, versleuteld en geverifieerd). Als de gebruiker de vervanging niet opmerkte (bijvoorbeeld de afwezigheid van een slotpictogram in de browser) en belangrijke informatie begon door te sturen, zou deze informatie door de aanvaller kunnen worden onderschept.
Het Tor-project sloot deze knooppunten in mei 2020 uit van het netwerk. In juli 2020 werd een andere groep relais ontdekt die een soortgelijke aanval uitvoerde, waarna ook zij werden uitgesloten. Het is nog steeds onduidelijk of er gebruikers met succes zijn aangevallen, maar op basis van de omvang van de aanval en het feit dat de aanvaller het opnieuw probeerde (de eerste aanval beïnvloedde 23% van de totale doorvoer van de uitvoerknooppunten, de tweede ongeveer 19%), het is redelijk om aan te nemen dat de aanvaller de kosten van de aanval gerechtvaardigd achtte.
Dit incident is een goede herinnering dat HTTP-verzoeken niet-versleuteld en niet-geverifieerd zijn en daarom nog steeds kwetsbaar zijn. Tor Browser wordt geleverd met een HTTPS-Everywhere-extensie die speciaal is ontworpen om dergelijke aanvallen te voorkomen, maar de effectiviteit ervan is beperkt tot een lijst die niet elke website ter wereld bestrijkt. Gebruikers lopen altijd risico wanneer ze de HTTP-versie van websites bezoeken.
Het voorkomen van soortgelijke aanvallen in de toekomst
Methoden voor het voorkomen van aanvallen zijn onderverdeeld in twee delen: het eerste omvat maatregelen die gebruikers en sitebeheerders kunnen nemen om hun beveiliging te versterken, terwijl het tweede de identificatie en tijdige detectie van kwaadaardige netwerkknooppunten betreft.
Aanbevolen acties van sites:
1. Schakel HTTPS in (gratis certificaten worden geleverd door Laten we versleutelen)
2. Voeg omleidingsregels toe aan de HTTPS-Everywhere-lijst, zodat gebruikers proactief een veilige verbinding tot stand kunnen brengen in plaats van te vertrouwen op omleiding na het tot stand brengen van een onveilige verbinding. Als de webservicesadministratie de interactie met exit-knooppunten volledig wil vermijden, kan dat bovendien zorg voor een uienversie van de site.
Het Tor Project overweegt momenteel om onveilige HTTP in de Tor Browser volledig uit te schakelen. Een paar jaar geleden zou een dergelijke maatregel ondenkbaar zijn geweest (te veel bronnen hadden alleen onbeveiligde HTTP), maar HTTPS-Everywhere en de komende versie van Firefox hebben een experimentele optie om HTTPS standaard te gebruiken voor de eerste verbinding, met de mogelijkheid om val indien nodig terug op HTTP. Het is nog onduidelijk welke gevolgen deze aanpak zal hebben voor Tor Browser-gebruikers, daarom zal deze eerst worden getest op hogere beveiligingsniveaus van de browser (schildpictogram).
Het Tor-netwerk beschikt over vrijwilligers die het relaisgedrag monitoren en incidenten rapporteren, zodat kwaadaardige knooppunten kunnen worden uitgesloten van rootdirectoryservers. Hoewel dergelijke meldingen doorgaans snel worden aangepakt en kwaadaardige knooppunten bij detectie onmiddellijk offline worden gehaald, zijn er onvoldoende middelen om het netwerk voortdurend te monitoren. Als het je lukt om een kwaadaardig relais te detecteren, kun je dit melden aan het project, instructies beschikbaar via deze link.
De huidige aanpak kent twee fundamentele problemen:
1. Bij het overwegen van een onbekend relais is het moeilijk om de kwaadaardigheid ervan te bewijzen. Als er geen aanvallen van hem waren, zou hij dan op zijn plaats moeten blijven? Massale aanvallen die veel gebruikers treffen, zijn gemakkelijker te detecteren, maar als aanvallen slechts een klein aantal sites en gebruikers treffen, de aanvaller kan proactief handelen. Het Tor-netwerk zelf bestaat uit duizenden relais verspreid over de hele wereld, en deze diversiteit (en de daaruit voortvloeiende decentralisatie) is een van de sterke punten ervan.
2. Bij het beschouwen van een groep onbekende repeaters is het moeilijk om hun onderlinge verbinding te bewijzen (dat wil zeggen of ze geleiden Sibyl's aanval). Veel vrijwillige relay-operators kiezen ervoor om dezelfde goedkope netwerken te hosten, zoals Hetzner, OVH, Online, Frantech, Leaseweb, etc., en als er meerdere nieuwe relay-netwerken worden ontdekt, zal het niet eenvoudig zijn om definitief te raden of er meerdere nieuwe relay-netwerken zijn. operators of slechts één, die alle nieuwe repeaters bestuurt.
Bron: linux.org.ru