Суть події
У травні 2020 року було виявлено групу вихідних вузлів, які втручалися у вихідні з'єднання. Зокрема, вони залишали незайманими майже всі з'єднання, але перехоплювали підключення до невеликої кількості криптовалютних бірж. Якщо користувачі відвідували HTTP-версію сайту (тобто незашифровану та неавтентифіковану), шкідливі вузли запобігали перенаправленню на HTTPS-версію (тобто зашифровану та автентифіковану). Якщо користувач не помічав заміни (наприклад, відсутності значка замка в браузері) і починав пересилати важливу інформацію, ця інформація могла бути перехоплена атакуючим.
Проект Tor виключив ці вузли з мережі у травні 2020. У липні 2020 була виявлена чергова група ретрансляторів, які проводили аналогічну атаку, після чого їх також виключили. Досі не ясно, чи були успішно атаковані якісь користувачі, але виходячи з масштабів атаки і того факту, що атакуючий повторив спробу (перший випадок торкнувся 23% сумарної пропускної спроможності вихідних вузлів, другий — приблизно 19%), розумно припускати, що зловмисник вважав витрати на атаку виправданими.
Цей інцидент є добрим нагадуванням, що HTTP-запити незашифровані і неавтентифіковані і тому досі вразливі. Tor Browser має в комплекті розширення HTTPS-Everywhere, спеціально призначене для запобігання подібним атакам, але його ефективність обмежена списком, що не охоплює всі веб-сайти у світі. Користувачі під час відвідування HTTP-версії сайтів завжди будуть під загрозою.
Запобігання подібним атакам у майбутньому
Способи запобігання атак діляться на дві частини: перша включає заходи, які можуть здійснити користувачі та адміністратори сайтів, посилюючи свою безпеку, тоді як друга стосується ідентифікації та своєчасного виявлення шкідливих вузлів мережі.
Рекомендовані дії з боку сайтів:
1. Увімкнення HTTPS (безкоштовні сертифікати надає Давай шифрувати)
2. Додавання правил перенаправлення до списку HTTPS-Everywhere, щоб користувачі могли превентивно встановлювати захищене з'єднання, а не покладатися на перенаправлення після встановлення незахищеного з'єднання. Крім того, якщо адміністрація веб-сервісів бажає повністю уникнути взаємодії з вихідними вузлами, вона може надати onion-версію сайту.
На даний момент проект Tor розглядає можливість повного відключення незахищеного HTTP Tor Browser. Кілька років тому подібна міра була немислима (занадто багато ресурсів розташовували лише незахищеним HTTP), але HTTPS-Everywhere і майбутня версія Firefox має експериментальну можливість використовувати HTTPS за умовчанням для першого з'єднання, з можливістю повернутися до HTTP при необхідності. Все ще неясно, як подібний підхід вплине на користувачів Tor Browser, тому його буде випробувано спочатку на більш високих рівнях безпеки браузера (іконка щита).
З боку мережі Tor є добровольці, які спостерігають за поведінкою ретрансляторів і повідомляють про інциденти, завдяки чому шкідливі вузли можуть бути виключені кореневими серверами каталогів. Хоча такі доповіді зазвичай розглядаються швидко та шкідливі вузли відключаються відразу після виявлення, ресурсів для постійного спостереження за мережею недостатньо. Якщо вам вдалося виявити шкідливий ретранслятор — ви можете повідомити про це проект, інструкція доступна за цим посиланням.
У поточного підходу є дві фундаментальні проблеми:
1. Під час розгляду невідомого ретранслятора складно довести його шкідливість. Якщо атаки з його боку не спостерігалося, чи слід залишити його на місці? Масові атаки, що зачіпають багатьох користувачів, легше піддаються виявленню, але якщо атаки зачіпають лише невелику кількість сайтів та користувачів, атакуючий може діяти з випередженням. Сама по собі мережа Tor складається з тисяч ретрансляторів, розташованих по всьому світу, і таке різноманіття (і децентралізація, що з нього випливає) — одна з її сильних сторін.
2. При розгляді групи невідомих ретрансляторів складно довести їхню взаємопов'язаність (тобто, чи проводять вони атаку Сівіли). Багато добровільних операторів ретрансляторів вибирають ті самі дешеві мережі для розміщення, такі як Hetzner, OVH, Online, Frantech, Leaseweb і т.д., і якщо буде виявлено кілька нових ретрансляторів, буде непросто однозначно припустити, чи з'явилося кілька нових операторів або тільки один, який керує всіма новими ретрансляторами.
Джерело: linux.org.ru