所發生事件的本質
2020 年 XNUMX 月,發現一組出口節點幹擾傳出連結。 特別是,他們幾乎保持所有連線完好無損,但攔截了與少數加密貨幣交易所的連線。 如果使用者造訪該網站的 HTTP 版本(即未加密且未經驗證),則惡意主機將無法重新導向至 HTTPS 版本(即已加密且經過驗證)。 如果使用者沒有註意到替換(例如,瀏覽器中沒有鎖定圖示)並開始轉發重要訊息,則該訊息可能會被攻擊者攔截。
Tor 專案於 2020 年 2020 月從網路中排除了這些節點。23 年 19 月,發現另一組中繼進行類似的攻擊,之後它們也被排除在外。 目前還不清楚是否有用戶被成功攻擊,但根據攻擊的規模和攻擊者再次嘗試的事實(第一次攻擊影響了輸出節點總吞吐量的 XNUMX%,第二次攻擊大約為 XNUMX%),可以合理地假設攻擊者認為攻擊成本是合理的。
此事件很好地提醒我們,HTTP 請求未加密且未經身份驗證,因此仍然容易受到攻擊。 Tor 瀏覽器附帶了專門設計用於防止此類攻擊的 HTTPS-Everywhere 擴展,但其有效性僅限於一個列表,並未涵蓋世界上的每個網站。 使用者在造訪 HTTP 版本的網站時始終會面臨風險。
防止未來發生類似攻擊
預防攻擊的方法分為兩部分:第一部分包括使用者和網站管理員可以採取的加強安全性的措施,第二部分涉及惡意網路節點的識別和及時偵測。
建議網站採取的措施:
1.啟用HTTPS(免費證書由 讓我們加密)
2. 在 HTTPS-Everywhere 清單中新增重定向規則,以便使用者可以主動建立安全連接,而不是在建立不安全連接後依賴重定向。 此外,如果 Web 服務管理希望完全避免與出口節點交互,它可以 提供網站的洋蔥版本.
Tor 專案目前正在考慮在 Tor 瀏覽器中完全停用不安全的 HTTP。 幾年前,這樣的措施是不可想像的(太多資源只有不安全的 HTTP),但 HTTPS-Everywhere 和即將推出的 Firefox 版本有一個實驗性選項,默認在第一次連接時使用 HTTPS,能夠如有必要,請回退到HTTP。 目前尚不清楚這種方法將如何影響 Tor 瀏覽器用戶,因此將首先在瀏覽器的較高安全等級(盾牌圖示)上進行測試。
Tor 網路有志工監控中繼行為並報告事件,以便將惡意節點排除在根目錄伺服器之外。 儘管此類報告通常很快就會處理,惡意節點在偵測到後會立即下線,但沒有足夠的資源來持續監控網路。 如果您設法偵測到惡意中繼,您可以將其報告給項目,說明 可以透過此連結獲取.
目前的方法有兩個基本問題:
1.當考慮未知中繼時,很難證明其惡意性。 如果沒有他的攻擊,他是不是應該被留在原地? 影響許多用戶的大規模攻擊更容易檢測,但如果攻擊只影響少數網站和用戶, 攻擊者可以主動採取行動。 Tor 網路本身由分佈在世界各地的數千個中繼組成,這種多樣性(以及由此產生的去中心化)是其優勢之一。
2. 當考慮一組未知的中繼器時,很難證明它們之間的互連性(即它們是否進行 西比爾的攻擊)。 許多自願中繼業者選擇相同的低成本網路來託管,例如 Hetzner、OVH、Online、Frantech、Leaseweb 等,如果發現多個新中繼,則很難明確猜測是否有多個新中繼操作員或只有一名操作員控制所有新的中繼器。
來源: linux.org.ru