Esencja tego, co się wydarzyło
W maju 2020 roku odkryto grupę węzłów wyjściowych zakłócających połączenia wychodzące. W szczególności pozostawili prawie wszystkie połączenia nienaruszone, ale przechwycili połączenia z niewielką liczbą giełd kryptowalut. Jeśli użytkownicy odwiedzili wersję witryny HTTP (tj. niezaszyfrowaną i nieuwierzytelnioną), złośliwe hosty nie mogły przekierować do wersji HTTPS (tj. zaszyfrowanej i uwierzytelnionej). Jeśli użytkownik nie zauważył podmiany (na przykład braku ikony kłódki w przeglądarce) i zaczął przekazywać ważne informacje, informacja ta może zostać przechwycona przez atakującego.
Projekt Tor wykluczył te węzły z sieci w maju 2020 r. W lipcu 2020 r. odkryto kolejną grupę przekaźników przeprowadzającą podobny atak, po czym one również zostały wykluczone. Nadal nie jest jasne, czy którykolwiek z użytkowników został skutecznie zaatakowany, ale biorąc pod uwagę skalę ataku i fakt, że atakujący podjął ponowną próbę (pierwszy atak dotyczył 23% całkowitej przepustowości węzłów wyjściowych, drugi około 19%), rozsądne jest założenie, że atakujący uznał koszt ataku za uzasadniony.
Ten incydent dobrze przypomina, że żądania HTTP są nieszyfrowane i nieuwierzytelnione, a zatem nadal są podatne na ataki. Przeglądarka Tor jest wyposażona w rozszerzenie HTTPS-Everywhere zaprojektowane specjalnie w celu zapobiegania takim atakom, ale jego skuteczność jest ograniczona do listy, która nie obejmuje wszystkich witryn internetowych na świecie. Użytkownicy zawsze będą narażeni na ryzyko podczas odwiedzania stron internetowych w wersji HTTP.
Zapobieganie podobnym atakom w przyszłości
Metody zapobiegania atakom dzielą się na dwie części: pierwsza obejmuje środki, które użytkownicy i administratorzy witryn mogą podjąć w celu wzmocnienia swojego bezpieczeństwa, natomiast druga dotyczy identyfikacji i szybkiego wykrywania szkodliwych węzłów sieciowych.
Zalecane działania ze strony witryn:
1. Włącz HTTPS (bezpłatne certyfikaty zapewnia Zakodujmy)
2. Dodaj reguły przekierowań do listy HTTPS-Everywhere, aby użytkownicy mogli aktywnie nawiązywać bezpieczne połączenie, zamiast polegać na przekierowaniach po nawiązaniu niezabezpieczonego połączenia. Ponadto, jeśli administracja usług sieciowych chce całkowicie uniknąć interakcji z węzłami wyjściowymi, może to zrobić udostępnij cebulową wersję witryny.
Projekt Tor rozważa obecnie całkowite wyłączenie niezabezpieczonego protokołu HTTP w przeglądarce Tor. Kilka lat temu takie rozwiązanie byłoby nie do pomyślenia (zbyt wiele zasobów miało tylko niezabezpieczony protokół HTTP), ale HTTPS-Everywhere i nadchodząca wersja przeglądarki Firefox mają eksperymentalną opcję domyślnego używania protokołu HTTPS przy pierwszym połączeniu, z możliwością jeśli to konieczne, wróć do protokołu HTTP. Nadal nie jest jasne, jak to podejście wpłynie na użytkowników przeglądarki Tor, dlatego zostanie najpierw przetestowane na wyższych poziomach bezpieczeństwa przeglądarki (ikona tarczy).
Sieć Tor ma ochotników monitorujących zachowanie przekaźników i zgłaszających incydenty, dzięki czemu można wykluczyć złośliwe węzły z serwerów katalogów głównych. Chociaż takie zgłoszenia są zazwyczaj szybko rozwiązywane, a szkodliwe węzły są wyłączane natychmiast po wykryciu, zasoby nie są wystarczające, aby stale monitorować sieć. Jeśli uda Ci się wykryć złośliwy przekaźnik, możesz zgłosić to do projektu, instrukcja dostępne pod tym linkiem.
Obecne podejście ma dwa podstawowe problemy:
1. Rozważając nieznany przekaźnik, trudno jest udowodnić jego szkodliwość. Jeżeli nie było żadnych ataków z jego strony, czy należy go pozostawić na miejscu? Masowe ataki, które dotykają wielu użytkowników, są łatwiejsze do wykrycia, ale jeśli ataki dotyczą tylko niewielkiej liczby witryn i użytkowników, atakujący może działać proaktywnie. Sama sieć Tor składa się z tysięcy przekaźników rozmieszczonych na całym świecie i ta różnorodność (i wynikająca z niej decentralizacja) jest jedną z jej mocnych stron.
2. Rozważając grupę nieznanych wzmacniaków, trudno jest udowodnić ich wzajemne powiązanie (tj. to, czy przewodzą). Atak Sybilli). Wielu dobrowolnych operatorów przekaźników wybiera do hostowania te same tanie sieci, takie jak Hetzner, OVH, Online, Frantech, Leaseweb itp., a jeśli zostanie odkrytych kilka nowych przekaźników, nie będzie łatwo z całą pewnością odgadnąć, czy istnieje kilka nowych operatorów lub tylko jednego, sterującego wszystkimi nowymi przemiennikami.
Źródło: linux.org.ru