Kärnan i det som hände
I maj 2020 upptäcktes en grupp utgångsnoder som stör utgående anslutningar. I synnerhet lämnade de nästan alla anslutningar intakta, men avlyssnade anslutningar till ett litet antal kryptovalutabörser. Om användare besökte HTTP-versionen av webbplatsen (d.v.s. okrypterad och oautentiserad), förhindrades skadliga värdar från att omdirigera till HTTPS-versionen (d.v.s. krypterade och autentiserade). Om användaren inte märkte ersättningen (till exempel frånvaron av en låsikon i webbläsaren) och började vidarebefordra viktig information, kan denna information fångas upp av angriparen.
Tor-projektet uteslöt dessa noder från nätverket i maj 2020. I juli 2020 upptäcktes en annan grupp reläer som utförde en liknande attack, varefter de också uteslöts. Det är fortfarande oklart om några användare attackerades framgångsrikt, men baserat på attackens omfattning och det faktum att angriparen försökte igen (den första attacken påverkade 23 % av den totala genomströmningen av utmatningsnoderna, den andra cirka 19 %), det är rimligt att anta att angriparen ansåg kostnaden för attacken motiverad.
Den här incidenten är en bra påminnelse om att HTTP-förfrågningar är okrypterade och oautentiserade och därför fortfarande är sårbara. Tor Browser kommer med ett HTTPS-Everywhere-tillägg speciellt utformat för att förhindra sådana attacker, men dess effektivitet är begränsad till en lista som inte täcker alla webbplatser i världen. Användare kommer alltid att vara i riskzonen när de besöker HTTP-versionen av webbplatser.
Förhindra liknande attacker i framtiden
Metoder för att förhindra attacker är uppdelade i två delar: den första inkluderar åtgärder som användare och webbplatsadministratörer kan vidta för att stärka sin säkerhet, medan den andra gäller identifiering och snabb upptäckt av skadliga nätverksnoder.
Rekommenderade åtgärder från webbplatser:
1. Aktivera HTTPS (gratis certifikat tillhandahålls av Låt oss kryptera)
2. Lägg till omdirigeringsregler till HTTPS-Everywhere-listan så att användare proaktivt kan upprätta en säker anslutning istället för att förlita sig på omdirigering efter att ha upprättat en osäker anslutning. Om webbtjänstadministrationen dessutom helt vill undvika interaktion med utgångsnoder kan den göra det tillhandahålla en lökversion av webbplatsen.
Tor-projektet överväger för närvarande att helt inaktivera osäker HTTP i Tor-webbläsaren. För några år sedan skulle en sådan åtgärd ha varit otänkbar (för många resurser hade bara osäkrad HTTP), men HTTPS-Everywhere och den kommande versionen av Firefox har ett experimentellt alternativ att använda HTTPS som standard för den första anslutningen, med möjligheten att fall tillbaka till HTTP om det behövs. Det är fortfarande oklart hur detta tillvägagångssätt kommer att påverka Tor Browser-användare, så det kommer att testas först på högre säkerhetsnivåer i webbläsaren (sköldikon).
Tor-nätverket har volontärer som övervakar reläbeteende och rapporterar incidenter så att skadliga noder kan uteslutas från rotkatalogservrar. Även om sådana rapporter vanligtvis åtgärdas snabbt och skadliga noder tas offline direkt efter upptäckt, finns det inte tillräckliga resurser för att ständigt övervaka nätverket. Om du lyckas upptäcka ett skadligt relä kan du rapportera det till projektet, instruktioner finns på denna länk.
Det nuvarande tillvägagångssättet har två grundläggande problem:
1. När man överväger ett okänt relä är det svårt att bevisa dess skadlighet. Om det inte fanns några attacker från honom, borde han lämnas på plats? Massiva attacker som påverkar många användare är lättare att upptäcka, men om attacker bara påverkar ett litet antal webbplatser och användare, angriparen kan agera proaktivt. Själva Tor-nätverket består av tusentals reläer runt om i världen, och denna mångfald (och den resulterande decentraliseringen) är en av dess styrkor.
2. När man överväger en grupp okända repeatrar är det svårt att bevisa deras sammankoppling (det vill säga om de utför Sibyls attack). Många frivilliga reläoperatörer väljer samma lågkostnadsnät att vara värd för, såsom Hetzner, OVH, Online, Frantech, Leaseweb, etc., och om flera nya reläer upptäcks blir det inte lätt att definitivt gissa om det finns flera nya. operatörer eller bara en, som styr alla nya repeatrar.
Källa: linux.org.ru