Esența a ceea ce s-a întâmplat
În mai 2020, a fost descoperit un grup de noduri de ieșire care interferează cu conexiunile de ieșire. În special, au lăsat aproape toate conexiunile intacte, dar au interceptat conexiuni la un număr mic de schimburi de criptomonede. Dacă utilizatorii au vizitat versiunea HTTP a site-ului (adică, necriptată și neautentificată), gazdele rău intenționate au fost împiedicate să redirecționeze către versiunea HTTPS (adică, criptată și autentificată). Dacă utilizatorul nu a observat înlocuirea (de exemplu, absența unei pictograme de lacăt în browser) și a început să transmită informații importante, aceste informații ar putea fi interceptate de atacator.
Proiectul Tor a exclus aceste noduri din rețea în mai 2020. În iulie 2020, a fost descoperit un alt grup de relee care efectuează un atac similar, după care au fost și ei excluși. Încă nu este clar dacă vreun utilizator a fost atacat cu succes, dar pe baza amplorii atacului și a faptului că atacatorul a încercat din nou (primul atac a afectat 23% din debitul total al nodurilor de ieșire, al doilea aproximativ 19%), este rezonabil să presupunem că atacatorul a considerat costul atacului justificat.
Acest incident este un bun memento că cererile HTTP sunt necriptate și neautentificate și, prin urmare, sunt încă vulnerabile. Tor Browser vine cu o extensie HTTPS-Everywhere special concepută pentru a preveni astfel de atacuri, dar eficacitatea sa este limitată la o listă care nu acoperă fiecare site web din lume. Utilizatorii vor fi întotdeauna expuși riscului atunci când vizitează versiunea HTTP a site-urilor web.
Prevenirea unor atacuri similare în viitor
Metodele de prevenire a atacurilor sunt împărțite în două părți: prima include măsuri pe care utilizatorii și administratorii site-ului le pot lua pentru a le consolida securitatea, în timp ce a doua se referă la identificarea și detectarea în timp util a nodurilor de rețea rău intenționate.
Acțiuni recomandate din partea site-urilor:
1. Activați HTTPS (certificatele gratuite sunt furnizate de Să ștergem)
2. Adăugați reguli de redirecționare la lista HTTPS-Everywhere, astfel încât utilizatorii să poată stabili în mod proactiv o conexiune sigură, în loc să se bazeze pe redirecționare după stabilirea unei conexiuni nesigure. În plus, dacă administrația serviciilor web dorește să evite complet interacțiunea cu nodurile de ieșire, poate furnizați o versiune ceapă a site-ului.
Proiectul Tor ia în considerare în prezent dezactivarea completă a HTTP nesigur în browserul Tor. Acum câțiva ani, o astfel de măsură ar fi fost de neconceput (prea multe resurse aveau doar HTTP nesecurizat), dar HTTPS-Everywhere și viitoarea versiune de Firefox au o opțiune experimentală de a utiliza HTTPS în mod implicit pentru prima conexiune, cu capacitatea de a reveniți la HTTP dacă este necesar. Încă nu este clar cum va afecta această abordare utilizatorii browserului Tor, așa că va fi testat mai întâi la niveluri de securitate mai ridicate ale browserului (pictograma scut).
Rețeaua Tor are voluntari care monitorizează comportamentul releului și raportează incidente, astfel încât nodurile rău intenționate să poată fi excluse de pe serverele directorului rădăcină. Deși astfel de rapoarte sunt de obicei abordate rapid și nodurile rău intenționate sunt scoase offline imediat după detectare, există resurse insuficiente pentru a monitoriza în mod constant rețeaua. Dacă reușiți să detectați un releu rău intenționat, îl puteți raporta proiectului, instrucțiuni disponibil de la acest link.
Abordarea actuală are două probleme fundamentale:
1. Când luăm în considerare un releu necunoscut, este dificil să-i dovedești răutatea. Dacă nu au existat atacuri din partea lui, ar trebui să fie lăsat pe loc? Atacurile masive care afectează mulți utilizatori sunt mai ușor de detectat, dar dacă atacurile afectează doar un număr mic de site-uri și utilizatori, atacatorul poate acționa proactiv. Rețeaua Tor în sine este formată din mii de relee situate în întreaga lume, iar această diversitate (și descentralizarea rezultată) este unul dintre punctele sale forte.
2. Când luăm în considerare un grup de repetoare necunoscute, este dificil să se dovedească interconectarea acestora (adică dacă conduc Atacul lui Sibyl). Mulți operatori de relee voluntare aleg aceleași rețele low-cost pe care să le găzduiască, precum Hetzner, OVH, Online, Frantech, Leaseweb etc., iar dacă se descoperă mai multe relee noi, nu va fi ușor de ghicit definitiv dacă există mai multe relee noi. operatori sau doar unul, controlând toate repetitoarele noi.
Sursa: linux.org.ru