Bistvo dogajanja
Maja 2020 je bila odkrita skupina izhodnih vozlišč, ki motijo odhodne povezave. Predvsem so pustili skoraj vse povezave nedotaknjene, prestregli pa so povezave do manjšega števila menjalnic kriptovalut. Če so uporabniki obiskali različico HTTP spletnega mesta (tj. nešifrirano in nepreverjeno), je bilo zlonamernim gostiteljem preprečeno preusmerjanje na različico HTTPS (tj. šifrirano in overjeno). Če uporabnik ni opazil zamenjave (na primer odsotnosti ikone ključavnice v brskalniku) in je začel posredovati pomembne informacije, bi te informacije lahko prestregel napadalec.
Projekt Tor je ta vozlišča izključil iz omrežja maja 2020. Julija 2020 je bila odkrita druga skupina relejev, ki je izvajala podoben napad, nato pa so bili tudi izključeni. Še vedno ni jasno, ali je bil kateri od uporabnikov uspešno napaden, a glede na obseg napada in dejstvo, da je napadalec poskusil znova (prvi napad je vplival na 23 % skupne prepustnosti izhodnih vozlišč, drugi na približno 19 %), razumno je domnevati, da je napadalec menil, da so stroški napada upravičeni.
Ta dogodek je dober opomnik, da so zahteve HTTP nešifrirane in nepreverjene ter so zato še vedno ranljive. Brskalnik Tor ima razširitev HTTPS-Everywhere, ki je posebej zasnovana za preprečevanje takšnih napadov, vendar je njena učinkovitost omejena na seznam, ki ne zajema vseh spletnih mest na svetu. Uporabniki bodo vedno ogroženi pri obisku HTTP različice spletnih mest.
Preprečevanje podobnih napadov v prihodnosti
Metode preprečevanja napadov so razdeljene na dva dela: prvi vključuje ukrepe, s katerimi lahko uporabniki in skrbniki strani okrepijo svojo varnost, drugi pa se nanaša na prepoznavanje in pravočasno odkrivanje zlonamernih omrežnih vozlišč.
Priporočeni ukrepi s strani spletnih mest:
1. Omogočite HTTPS (brezplačne certifikate zagotavlja Let's Encrypt)
2. Dodajte pravila preusmeritve na seznam HTTPS-Everywhere, tako da lahko uporabniki proaktivno vzpostavijo varno povezavo, namesto da se zanašajo na preusmeritev po vzpostavitvi nezaščitene povezave. Poleg tega se lahko, če se administracija spletnih storitev popolnoma izogne interakciji z izhodnimi vozlišči zagotoviti čebulno različico spletnega mesta.
Projekt Tor trenutno razmišlja o popolni onemogočitvi nevarnega HTTP v brskalniku Tor. Pred nekaj leti bi bil tak ukrep nepredstavljiv (preveč virov je imelo samo nezaščiten HTTP), vendar imata HTTPS-Everywhere in prihajajoča različica Firefoxa poskusno možnost privzete uporabe HTTPS za prvo povezavo z možnostjo po potrebi se vrnite na HTTP. Še vedno ni jasno, kako bo ta pristop vplival na uporabnike brskalnika Tor, zato bo najprej preizkušen na višjih stopnjah varnosti brskalnika (ikona ščita).
Omrežje Tor ima prostovoljce, ki spremljajo vedenje releja in poročajo o incidentih, tako da je mogoče zlonamerna vozlišča izključiti iz strežnikov korenskega imenika. Čeprav se takšna poročila običajno obravnavajo hitro in zlonamerna vozlišča takoj po odkritju prekinejo povezavo, ni dovolj sredstev za stalno spremljanje omrežja. Če vam uspe odkriti zlonamerni rele, ga lahko prijavite projektu, navodila na voljo na tej povezavi.
Trenutni pristop ima dve temeljni težavi:
1. Pri obravnavi neznanega releja je težko dokazati njegovo zlonamernost. Če ne bi bilo njegovih napadov, bi ga morali pustiti na mestu? Množične napade, ki prizadenejo veliko uporabnikov, je lažje odkriti, če pa napadi prizadenejo le majhno število spletnih mest in uporabnikov, napadalec lahko deluje proaktivno. Samo omrežje Tor je sestavljeno iz tisočev relejev, ki se nahajajo po vsem svetu, in ta raznolikost (in posledična decentralizacija) je ena od njegovih prednosti.
2. Pri obravnavi skupine neznanih repetitorjev je težko dokazati njihovo medsebojno povezanost (to je, ali vodijo Sibylin napad). Številni operaterji prostovoljnih relejev izberejo ista nizkocenovna omrežja za gostovanje, kot so Hetzner, OVH, Online, Frantech, Leaseweb itd., in če se odkrije več novih relejev, ne bo lahko dokončno uganiti, ali obstaja več novih operaterji ali samo eden, ki nadzoruje vse nove repetitorje.
Vir: linux.org.ru