«Чёрные шляпы» против Tor

Хорошая мишень Tor, создатели открыты миру, поэтому находятся желающие её "укусить" (природа такая у кусающих). Не исключением стали очередные "ломатели" Tor, которые в предверии весёлой вечеринки Defcon запустили несколько серверов (вероятно чужих) в сеть Tor, с целью проэксплуатировать 0-day уязвимость в IE. Плюс используя особенности настроек пользователей Tor решили "поломать" и их.

При помощи серверов (два засвеченных) которые являлись экзитами и "обрабатывали" только веб трафик, "шапки" внедряли html код, скрипты, и ссылки для свежей уязвимости от IE. Ссылка на очередные дыры (или возможно "фичи") от майкрософт (http://docs.google.com/View?docid=dg4dtz42_10gvjgjb) (период существования ссылки неизвестен). Атаковавший утверждает что IE и windows в очередной раз могут полностью разрушить анонимность пользователя этих продуктов, не поможет в некоторых случаях даже виртуальная машина. (трижды впн тоже не поможет)

Внедряемый HTML код был направлен на отправку посредством POST – кодов управления Tor'ом на умолчально установленный Видалией в настройках (torrc) порт (9051), на котором к тому же ею не предусматривались методы аутентификации (в самом Tor это есть, но Видалия при развертывании и настройках не использует эти возможности). В качестве "спускового" механизма запускающего POST'инг использовались скрипты, плюс производилась подмена уже существующих, на инфицируемых страницах, форм, и отравляющим настройки (если скрипты не сработали) своего клиента был сам пользователь (к примеру если подменили страницу google и пользователь лично "кликал" в форме поиска).

После отправки новых настроек клиент открывал множество скрытых ресурсов у себя ссылаясь на разного рода возможно запущеные сервисы (21, 22, 135, 445 порты и много других), кроме того менялись настройки корневых нод, и клиент начинал использовать отдельно развернутую "шапками" Tor-сеть, оказываясь полностью под контролем атакующих.

Справедливости ради. Надо отметить что в коде Tor'а ожидалась авторизация или упоминание что её нет до победного, никак не реагируя на тонны мусора которые могли свалиться перед этим событием в порт (сейчас это уже исправлено и фокус с постингом просто не пройдет). В целом картина не так печальна и одновременно не так весела для "шапок": необходим открытый и стандартный порт управления (настройка через видалию), запущеные скрипты, низкая наблюдательность пользователя. Не заметить их методику очень сложно, даже на сверх быстром соеденении с интернетом.

Из печального на мой взгляд стоит отметить, что одна из "шапок" есть фигура не последняя в процессе улучшения Tor, и это заставляет много думать. Впрочем за код самого Tor'а беспокоиться по этому поводу не надо, просто плохо что он не поделился наблюдениями с авторами (по признаниям одной из "шапок" они готовили это два месяца), а предпочел славу "черных шапок".

Сейчас все сломанные узлы выявлены и удалены из использования в цепочках. Для устранения описанных недостатков и успокоения души создатели рекомендуют обновиться.

На страницу: 1, 2 След.

Комментарии

—	*Гость* (02/08/2007 17:31) <#>

Все вышесказаное подтверждает давно известный факт – IE использовать нельзя ни в коем случае. Впрочем, FireFox ненамного безопасней, так что все переходим на Opera.

—	Лыжи_асфальт (04/08/2007 22:44) <#>

Кажется бегу впереди паровоза. Авторы Tor'а не зря молчат о деталях, много людей у кого контрол_порт на распашку (не только с видалией, есть еще tork и прочий софт который не умеет еще аутентифицироваться). Поэтому у меня вопрос к SATtva и всем гуру проекта, если по моему "описанию" можно восcтановить сценарий атаки (не считая 0-дэй для IE), то возможно стоит удалить сообщение. И отдельно новостью проинформировать о необходимости обновить Tor.

—	spinore (05/08/2007 01:36) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Мне казалось, что эта уязвимость имеет отношение только к IE, то есть к стандартной связке tor+privoxy отношения не имеет, если только гипотетически (скорее баг дизайна, который позволит использовать дыру, если она возникнет). Не прав?
P. S.: если что, то я не гуру :-)

—	Лыжи_асфальт (05/08/2007 13:14) <#>

Из "описания" действительно не совсем понятно, что все заканчивается не только одним IE. Ошибка дизайна, если можно так выразиться, находилась в зоне обработчика порта управления.

От внедрения злонамеренного трафика никто не застрахован (этот метод "атаки" дешевле, чем атаковать саму анонимизирующую сеть), поэтому всегда советуют по возможности дополнительные средства аутентификации и защиты трафика для своего приложения (https, ssh). Даже просто подмененая html страница с данным о погоде, в некоторых случаях может оказаться роковой (полет на гаваи без информации об изменении там климата на резко арктический). В случае работы напрямую через провайдера (открытым текстом), эта атака все также возможна, просто она будет точечная и достанет не всех (рассуждения на тему – кому мы нужны, чтоб нам страницы подменяли). В анонимизирующих сетях такой внедряемый трафик больше напоминает вандализм.

Обращаюсь с просьбой к администрации и модераторам удалить (или временно скрыть для доступа) "описание". К тому-же там еще очень туманная история со "шляпами", прийдет время создатели сами все расскажут, останется только перевести.

—	SATtva (05/08/2007 20:30) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Решения проблемы два:

Обновить Tor до версии 0.1.2.16.
Запускать Tor более ранней версии вручную (без графических оболочек типа Vidalia или TorK) и убедиться, что в конфигурации Tor'а не открыт порт управления — директива ControlPort закомментирована.

Лыжи_асфальт, добавьте, пожалуйста, новость сами, а я вынесу её на главную страницу. Если сделаете это до полуночи по Москве, сообщение пойдёт и в выпуск рассылки на эту неделю.

—	*Гость* (06/08/2007 01:17) <#>

А не поможет поменять номер порта?

—	Лыжи_асфальт (06/08/2007 01:45) <#>

От оригинальной атаки "шляп" помогло бы, но это будет полумера. Если кто-то решит повторить их подвиг, то он может хоть все 64К портов опробывать (с рабочими скриптами и хорошим каналом у клиента). Никогда не знаешь что будет внедрено экзит-нодой, или сломанным веб сервером (особенно весело когда он в списке доверяемых), зачем испытывать судьбу если есть решение.

—	spinore (06/08/2007 13:28) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

SATtva

2. Запускать Tor более ранней версии вручную (без графических оболочек типа Vidalia или TorK) и убедиться, что в конфигурации Tor'а не открыт порт управления? Директива ControlPort закомментирована.

+1 в пользу ручной нстройки связки privoxy+tor вместо использования автоматизированных решений.

—	SATtva (06/08/2007 13:43) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Ручная настройка вообще имеет много плюсов. По крайней мере, это лучший способ почти досконально изучить систему. Но не у каждого есть не это время, поэтому разные хэлперы и GUI тоже должны существовать, а разработчики и мы как сообщество должны уделять внимание их безопасности и надёжности на благо пользовательской общественности.

—	spinore (06/08/2007 14:37) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

SATtva

Но не у каждого есть не это время

Да, это единственный минус подобных решений :(

—	Лыжи_асфальт (06/08/2007 14:43) <#>

В видалии можно лицезреть на географической карте через какие страны строятся цепочки, сменить используемую на новую. И все это через порт управления. Да и сам порт удобная практичная вещь, хотя этот случай очередной раз доказывает что настройки по умолчанию как всегда проигрывают, стоило при развертывании выбирать порт псевдослучайным образом и даже наличие ошибки дизайна свело бы "атаку" в теоретическую плоскость.

—	SATtva (06/08/2007 15:25) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

И ещё раз показывает, что аутентификации много не бывает. Аутентифицировать нужно даже вероятно доверенные локальные соединения. Вот почему по-настоящему безопасную ОС мы вряд ли скоро увидим.

—	spinore (06/08/2007 15:30) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

И ещё раз показывает, что аутентификации много не бывает. Аутентифицировать нужно даже вероятно доверенные локальные соединения. Вот почему по-настоящему безопасную ОС мы вряд ли скоро увидим.

Тогда нужно забыть про *nix, windows, доработать все накопленные идеи и писать систему с нуля, которая была бы архитектурно секъюрной в отличие от всех предыдущих. Для реализации идеи нужно столько сил, что до сих пор никто не решился – проще наращивать костыли, оттягивая свой собственный конец.

—	SATtva (06/08/2007 15:34) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Вы хорошо описали нынешнее положение дел. :-)

—	spinore (06/08/2007 16:51) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Да, и ещё одна из проблем реализации этой затеи состоит в том, что "ОС нового поколения" не будет совместима с остальными – пожалуй, это один из основных затыков. Нужны, очевидно, другие интерфейсы, другие <...>, всё другое... Внезапный процесс перехода на такую систему, даже при условии её содания, обернулся бы множественными потерями для коммерции, которая сейчас правит миром (к сожалению). За её создание возьмутся не ранее, чем выяснят, что наращивать костыли будет большим убытком.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]