Olanların özü
Mayıs 2020'de, giden bağlantılara müdahale eden bir grup çıkış düğümü keşfedildi. Özellikle, neredeyse tüm bağlantıları olduğu gibi bıraktılar, ancak az sayıda kripto para birimi borsasına olan bağlantıları ele geçirdiler. Kullanıcılar sitenin HTTP sürümünü (yani şifrelenmemiş ve kimliği doğrulanmamış) ziyaret ederse, kötü amaçlı ana bilgisayarların HTTPS sürümüne (yani şifrelenmiş ve kimliği doğrulanmış) yönlendirme yapması engellendi. Kullanıcı değişikliği fark etmediyse (örneğin, tarayıcıda kilit simgesinin olmaması) ve önemli bilgileri iletmeye başladıysa, bu bilgiler saldırgan tarafından ele geçirilebilir.
Tor projesi, Mayıs 2020'de bu düğümleri ağdan çıkardı. Temmuz 2020'de, benzer bir saldırı gerçekleştirdiği başka bir aktarma grubunun keşfedilmesinin ardından onlar da ağdan çıkarıldı. Herhangi bir kullanıcının başarılı bir şekilde saldırıya uğrayıp uğramadığı hala belirsiz, ancak saldırının boyutuna ve saldırganın tekrar denediği gerçeğine bağlı olarak (ilk saldırı, çıkış düğümlerinin toplam veriminin %23'ünü etkiledi, ikincisi ise yaklaşık %19'unu etkiledi), Saldırganın, saldırının maliyetini haklı bulduğunu varsaymak mantıklıdır.
Bu olay, HTTP isteklerinin şifrelenmemiş ve kimlik doğrulaması yapılmamış olduğunu ve bu nedenle hâlâ savunmasız olduğunu hatırlatan güzel bir olaydır. Tor Tarayıcı, bu tür saldırıları önlemek için özel olarak tasarlanmış bir HTTPS-Everywhere uzantısıyla birlikte gelir ancak etkinliği, dünyadaki her web sitesini kapsamayan bir listeyle sınırlıdır. Web sitelerinin HTTP sürümünü ziyaret eden kullanıcılar her zaman risk altında olacaktır.
Gelecekte benzer saldırıların önlenmesi
Saldırıları önleme yöntemleri iki bölüme ayrılır: Birincisi, kullanıcıların ve site yöneticilerinin güvenliklerini güçlendirmek için alabilecekleri önlemleri içerir, ikincisi ise kötü amaçlı ağ düğümlerinin tanımlanması ve zamanında tespit edilmesiyle ilgilidir.
Siteler açısından önerilen eylemler:
1. HTTPS'yi etkinleştirin (ücretsiz sertifikalar Şifreleyelim)
2. Kullanıcıların güvenli olmayan bir bağlantı kurduktan sonra yeniden yönlendirmeye güvenmek yerine proaktif olarak güvenli bir bağlantı kurabilmesi için HTTPS-Everywhere listesine yönlendirme kuralları ekleyin. Ayrıca web hizmetleri yönetimi çıkış düğümleriyle etkileşimi tamamen önlemek isterse, sitenin soğan versiyonunu sağlayın.
Tor Projesi şu anda Tor Tarayıcıda güvenli olmayan HTTP'yi tamamen devre dışı bırakmayı düşünüyor. Birkaç yıl önce böyle bir önlem düşünülemezdi (çok fazla kaynak yalnızca güvenli olmayan HTTP'ye sahipti), ancak HTTPS-Everywhere ve Firefox'un gelecek sürümü, ilk bağlantı için varsayılan olarak HTTPS'yi kullanma konusunda deneysel bir seçeneğe sahip. gerekirse HTTP'ye geri dönün. Bu yaklaşımın Tor Tarayıcı kullanıcılarını nasıl etkileyeceği hala belirsiz olduğundan, öncelikle tarayıcının daha yüksek güvenlik düzeylerinde (kalkan simgesi) test edilecektir.
Tor ağında, kötü niyetli düğümlerin kök dizin sunucularından hariç tutulabilmesi için aktarma davranışını izleyen ve olayları rapor eden gönüllüler bulunur. Bu tür raporlar genellikle hızlı bir şekilde ele alınsa ve kötü amaçlı düğümler tespit edildikten hemen sonra çevrimdışına alınsa da, ağı sürekli olarak izlemek için yeterli kaynak yoktur. Kötü amaçlı bir geçiş tespit etmeyi başarırsanız bunu projeye bildirebilirsiniz, talimatlar bu linkten ulaşılabilir.
Mevcut yaklaşımın iki temel sorunu var:
1. Bilinmeyen bir aktarım söz konusu olduğunda kötü niyetli olduğunu kanıtlamak zordur. Eğer ondan herhangi bir saldırı olmasaydı yerinde mi bırakılmalıydı? Birçok kullanıcıyı etkileyen büyük saldırıların tespit edilmesi daha kolaydır ancak saldırılar yalnızca az sayıda site ve kullanıcıyı etkiliyorsa, saldırgan proaktif davranabilir. Tor ağının kendisi dünya çapında bulunan binlerce aktarıcıdan oluşur ve bu çeşitlilik (ve bunun sonucunda ortaya çıkan merkezi olmayan yönetim) Tor'un güçlü yönlerinden biridir.
2. Bilinmeyen tekrarlayıcılardan oluşan bir grup göz önüne alındığında, bunların ara bağlantılarını (yani, hareket edip etmediklerini) kanıtlamak zordur. Sibyl'in saldırısı). Birçok gönüllü aktarım operatörü, barındırmak için Hetzner, OVH, Online, Frantech, Leaseweb vb. gibi aynı düşük maliyetli ağları seçer ve birkaç yeni aktarım keşfedilirse, birkaç yeni aktarım olup olmadığını kesin olarak tahmin etmek kolay olmayacaktır. tüm yeni tekrarlayıcıları kontrol eden operatörler veya yalnızca bir tanesi.
Kaynak: linux.org.ru