สาระสำคัญของสิ่งที่เกิดขึ้น
ในเดือนพฤษภาคม 2020 มีการค้นพบกลุ่มโหนดทางออกที่รบกวนการเชื่อมต่อขาออก โดยเฉพาะอย่างยิ่งพวกเขาทิ้งการเชื่อมต่อเกือบทั้งหมดไว้เหมือนเดิม แต่สกัดกั้นการเชื่อมต่อกับการแลกเปลี่ยนสกุลเงินดิจิตอลจำนวนเล็กน้อย หากผู้ใช้เยี่ยมชมเว็บไซต์เวอร์ชัน HTTP (เช่น ไม่ได้เข้ารหัสและไม่ได้รับการตรวจสอบสิทธิ์) โฮสต์ที่เป็นอันตรายจะถูกป้องกันไม่ให้เปลี่ยนเส้นทางไปยังเวอร์ชัน HTTPS (เช่น เข้ารหัสและรับรองความถูกต้อง) หากผู้ใช้ไม่สังเกตเห็นการทดแทน (เช่น ไม่มีไอคอนล็อคในเบราว์เซอร์) และเริ่มส่งต่อข้อมูลสำคัญ ผู้โจมตีอาจถูกดักข้อมูลนี้
โครงการทอร์ได้แยกโหนดเหล่านี้ออกจากเครือข่ายในเดือนพฤษภาคม 2020 ในเดือนกรกฎาคม 2020 มีการค้นพบรีเลย์อีกกลุ่มหนึ่งที่ทำการโจมตีที่คล้ายกัน หลังจากนั้นก็ถูกแยกออกไปด้วย ยังไม่ชัดเจนว่าผู้ใช้รายใดถูกโจมตีสำเร็จหรือไม่ แต่ขึ้นอยู่กับขนาดของการโจมตีและความจริงที่ว่าผู้โจมตีพยายามอีกครั้ง (การโจมตีครั้งแรกส่งผลกระทบ 23% ของปริมาณงานทั้งหมดของโหนดเอาท์พุต การโจมตีครั้งที่สองประมาณ 19%) มีเหตุผลที่จะสรุปได้ว่าผู้โจมตีถือว่าต้นทุนของการโจมตีนั้นสมเหตุสมผล
เหตุการณ์นี้เป็นเครื่องเตือนใจที่ดีว่าคำขอ HTTP นั้นไม่ได้เข้ารหัสและไม่ได้รับการรับรองความถูกต้อง และดังนั้นจึงยังคงมีช่องโหว่อยู่ Tor Browser มาพร้อมกับส่วนขยาย HTTPS-Everywhere ที่ออกแบบมาโดยเฉพาะเพื่อป้องกันการโจมตีดังกล่าว แต่ประสิทธิภาพของมันนั้นจำกัดอยู่เพียงรายการที่ไม่ครอบคลุมทุกเว็บไซต์ในโลก ผู้ใช้จะมีความเสี่ยงเสมอเมื่อเยี่ยมชมเว็บไซต์เวอร์ชัน HTTP
ป้องกันการโจมตีที่คล้ายกันในอนาคต
วิธีการป้องกันการโจมตีแบ่งออกเป็นสองส่วน ส่วนแรกประกอบด้วยมาตรการที่ผู้ใช้และผู้ดูแลไซต์สามารถใช้เพื่อเสริมความปลอดภัย ในขณะที่ส่วนที่สองเกี่ยวข้องกับการระบุและการตรวจจับโหนดเครือข่ายที่เป็นอันตรายอย่างทันท่วงที
การดำเนินการที่แนะนำในส่วนของไซต์:
1. เปิดใช้งาน HTTPS (มีใบรับรองฟรีให้โดย ขอเข้ารหัส)
2. เพิ่มกฎการเปลี่ยนเส้นทางในรายการ HTTPS-ทุกที่ เพื่อให้ผู้ใช้สามารถสร้างการเชื่อมต่อที่ปลอดภัยในเชิงรุก แทนที่จะอาศัยการเปลี่ยนเส้นทางหลังจากสร้างการเชื่อมต่อที่ไม่ปลอดภัย นอกจากนี้ หากผู้ดูแลระบบบริการเว็บต้องการหลีกเลี่ยงการโต้ตอบกับโหนดทางออกโดยสิ้นเชิง ก็สามารถทำได้ จัดทำเว็บไซต์เวอร์ชันหัวหอม.
ขณะนี้โครงการ Tor กำลังพิจารณาที่จะปิดการใช้งาน HTTP ที่ไม่ปลอดภัยอย่างสมบูรณ์ใน Tor Browser ไม่กี่ปีที่ผ่านมา มาตรการดังกล่าวอาจคิดไม่ถึง (มีทรัพยากรมากเกินไปมีเพียง HTTP ที่ไม่ปลอดภัยเท่านั้น) แต่ HTTPS-Everywhere และ Firefox เวอร์ชันที่กำลังจะมาถึงมีตัวเลือกทดลองให้ใช้ HTTPS เป็นค่าเริ่มต้นสำหรับการเชื่อมต่อครั้งแรก โดยมีความสามารถ ถอยกลับไปเป็น HTTP หากจำเป็น ยังไม่ชัดเจนว่าแนวทางนี้จะส่งผลต่อผู้ใช้เบราว์เซอร์ของ Tor อย่างไร ดังนั้นจะมีการทดสอบในระดับความปลอดภัยที่สูงขึ้นของเบราว์เซอร์ก่อน (ไอคอนรูปโล่)
เครือข่าย Tor มีอาสาสมัครคอยติดตามพฤติกรรมการถ่ายทอดและรายงานเหตุการณ์ เพื่อให้สามารถแยกโหนดที่เป็นอันตรายออกจากเซิร์ฟเวอร์ไดเรกทอรีรากได้ แม้ว่ารายงานดังกล่าวมักจะได้รับการจัดการอย่างรวดเร็วและโหนดที่เป็นอันตรายจะถูกออฟไลน์ทันทีเมื่อตรวจพบ แต่ก็มีทรัพยากรไม่เพียงพอที่จะตรวจสอบเครือข่ายอย่างต่อเนื่อง หากคุณจัดการเพื่อตรวจจับรีเลย์ที่เป็นอันตราย คุณสามารถรายงานไปยังโปรเจ็กต์ได้ ตามคำแนะนำ ได้ที่ลิงค์นี้.
แนวทางปัจจุบันมีปัญหาพื้นฐานสองประการ:
1. เมื่อพิจารณาถึงรีเลย์ที่ไม่รู้จัก เป็นการยากที่จะพิสูจน์ความประสงค์ร้ายของมัน หากไม่มีการโจมตีจากเขา เขาควรถูกทิ้งไว้ที่เดิมหรือไม่? การโจมตีขนาดใหญ่ที่ส่งผลกระทบต่อผู้ใช้จำนวนมากจะตรวจจับได้ง่ายกว่า แต่ถ้าการโจมตีส่งผลกระทบต่อไซต์และผู้ใช้จำนวนไม่มากนัก ผู้โจมตีสามารถดำเนินการเชิงรุกได้. เครือข่าย Tor นั้นประกอบด้วยรีเลย์หลายพันตัวที่ตั้งอยู่ทั่วโลก และความหลากหลายนี้ (และการกระจายอำนาจที่เกิดขึ้น) ก็เป็นหนึ่งในจุดแข็งของมัน
2. เมื่อพิจารณากลุ่มของทวนสัญญาณที่ไม่รู้จัก เป็นการยากที่จะพิสูจน์การเชื่อมต่อระหว่างกัน (นั่นคือ ไม่ว่าพวกเขาจะดำเนินการหรือไม่ การโจมตีของซิบิล). ผู้ดำเนินการถ่ายทอดโดยสมัครใจหลายรายเลือกเครือข่ายต้นทุนต่ำเดียวกันเพื่อโฮสต์ เช่น Hetzner, OVH, Online, Frantech, Leaseweb เป็นต้น และหากมีการค้นพบรีเลย์ใหม่หลายตัว ก็ไม่ใช่เรื่องง่ายที่จะคาดเดาได้อย่างแน่ชัดว่ามีรีเลย์ใหม่หลายตัวหรือไม่ โอเปอเรเตอร์หรือเพียงตัวเดียวที่ควบคุมรีพีทเตอร์ใหม่ทั้งหมด
ที่มา: linux.org.ru