Essensen av det som skjedde
I mai 2020 ble det oppdaget en gruppe utgangsnoder som forstyrrer utgående forbindelser. Spesielt lot de nesten alle forbindelser være intakte, men fanget opp forbindelser til et lite antall kryptovaluta-børser. Hvis brukere besøkte HTTP-versjonen av nettstedet (dvs. ukryptert og uautentisert), ble ondsinnede verter forhindret fra å omdirigere til HTTPS-versjonen (dvs. kryptert og autentisert). Hvis brukeren ikke la merke til erstatningen (for eksempel fraværet av et låsikon i nettleseren) og begynte å videresende viktig informasjon, kan denne informasjonen bli fanget opp av angriperen.
Tor-prosjektet ekskluderte disse nodene fra nettverket i mai 2020. I juli 2020 ble en annen gruppe reléer oppdaget som utførte et lignende angrep, hvoretter de også ble ekskludert. Det er fortsatt uklart om noen brukere ble angrepet, men basert på omfanget av angrepet og det faktum at angriperen prøvde igjen (det første angrepet påvirket 23 % av den totale gjennomstrømmingen til utgangsnodene, det andre omtrent 19 %). det er rimelig å anta at angriperen anså kostnadene ved angrepet forsvarlige.
Denne hendelsen er en god påminnelse om at HTTP-forespørsler er ukrypterte og uautentiserte og derfor fortsatt sårbare. Tor Browser kommer med en HTTPS-Everywhere-utvidelse spesielt designet for å forhindre slike angrep, men effektiviteten er begrenset til en liste som ikke dekker alle nettsider i verden. Brukere vil alltid være i faresonen når de besøker HTTP-versjonen av nettsteder.
Forhindre lignende angrep i fremtiden
Metoder for å forhindre angrep er delt inn i to deler: den første inkluderer tiltak som brukere og nettstedadministratorer kan iverksette for å styrke sikkerheten, mens den andre gjelder identifisering og rettidig oppdagelse av ondsinnede nettverksnoder.
Anbefalte handlinger fra nettsteder:
1. Aktiver HTTPS (gratis sertifikater leveres av La oss kryptere)
2. Legg til omdirigeringsregler i HTTPS-Everywhere-listen slik at brukere proaktivt kan etablere en sikker tilkobling i stedet for å stole på omdirigering etter å ha etablert en usikker tilkobling. I tillegg, hvis nettjenesteadministrasjonen ønsker å fullstendig unngå interaksjon med utgangsnoder, kan den gi en løkversjon av nettstedet.
Tor-prosjektet vurderer for øyeblikket å fullstendig deaktivere usikker HTTP i Tor-nettleseren. For noen år siden ville et slikt tiltak vært utenkelig (for mange ressurser hadde kun usikret HTTP), men HTTPS-Everywhere og den kommende versjonen av Firefox har et eksperimentelt alternativ for å bruke HTTPS som standard for den første tilkoblingen, med muligheten til å fall tilbake til HTTP om nødvendig. Det er fortsatt uklart hvordan denne tilnærmingen vil påvirke Tor Browser-brukere, så den vil først bli testet på høyere sikkerhetsnivåer i nettleseren (skjoldikon).
Tor-nettverket har frivillige som overvåker reléatferd og rapporterer hendelser slik at ondsinnede noder kan ekskluderes fra rotkatalogservere. Selv om slike rapporter vanligvis behandles raskt og ondsinnede noder blir koblet fra umiddelbart etter oppdagelse, er det ikke nok ressurser til å overvåke nettverket konstant. Hvis du klarer å oppdage et ondsinnet relé, kan du rapportere det til prosjektet, instruksjoner tilgjengelig på denne linken.
Dagens tilnærming har to grunnleggende problemer:
1. Når du vurderer et ukjent relé, er det vanskelig å bevise at det er ondsinnet. Hvis det ikke var noen angrep fra ham, burde han da bli stående på plass? Massive angrep som påvirker mange brukere er lettere å oppdage, men hvis angrep bare påvirker et lite antall nettsteder og brukere, angriperen kan handle proaktivt. Selve Tor-nettverket består av tusenvis av reléer rundt om i verden, og dette mangfoldet (og den resulterende desentraliseringen) er en av styrkene.
2. Når man vurderer en gruppe ukjente repeatere, er det vanskelig å bevise deres sammenkobling (det vil si om de utfører Sibyls angrep). Mange frivillige reléoperatører velger de samme lavprisnettverkene å være vertskap for, som Hetzner, OVH, Online, Frantech, Leaseweb, etc., og hvis flere nye reléer oppdages, vil det ikke være lett å definitivt gjette om det er flere nye. operatører eller bare én, kontrollerer alle de nye repeaterne.
Kilde: linux.org.ru