«Чёрные шляпы» против Tor
Хорошая мишень Tor, создатели открыты миру, поэтому находятся желающие её "укусить" (природа такая у кусающих). Не исключением стали очередные "ломатели" Tor, которые в предверии весёлой вечеринки Defcon запустили несколько серверов (вероятно чужих) в сеть Tor, с целью проэксплуатировать 0-day уязвимость в IE. Плюс используя особенности настроек пользователей Tor решили "поломать" и их.
При помощи серверов (два засвеченных) которые являлись экзитами и "обрабатывали" только веб трафик, "шапки" внедряли html код, скрипты, и ссылки для свежей уязвимости от IE. Ссылка на очередные дыры (или возможно "фичи") от майкрософт (http://docs.google.com/View?docid=dg4dtz42_10gvjgjb) (период существования ссылки неизвестен). Атаковавший утверждает что IE и windows в очередной раз могут полностью разрушить анонимность пользователя этих продуктов, не поможет в некоторых случаях даже виртуальная машина. (трижды впн тоже не поможет)
Внедряемый HTML код был направлен на отправку посредством POST – кодов управления Tor'ом на умолчально установленный Видалией в настройках (torrc) порт (9051), на котором к тому же ею не предусматривались методы аутентификации (в самом Tor это есть, но Видалия при развертывании и настройках не использует эти возможности). В качестве "спускового" механизма запускающего POST'инг использовались скрипты, плюс производилась подмена уже существующих, на инфицируемых страницах, форм, и отравляющим настройки (если скрипты не сработали) своего клиента был сам пользователь (к примеру если подменили страницу google и пользователь лично "кликал" в форме поиска).
После отправки новых настроек клиент открывал множество скрытых ресурсов у себя ссылаясь на разного рода возможно запущеные сервисы (21, 22, 135, 445 порты и много других), кроме того менялись настройки корневых нод, и клиент начинал использовать отдельно развернутую "шапками" Tor-сеть, оказываясь полностью под контролем атакующих.
Справедливости ради. Надо отметить что в коде Tor'а ожидалась авторизация или упоминание что её нет до победного, никак не реагируя на тонны мусора которые могли свалиться перед этим событием в порт (сейчас это уже исправлено и фокус с постингом просто не пройдет). В целом картина не так печальна и одновременно не так весела для "шапок": необходим открытый и стандартный порт управления (настройка через видалию), запущеные скрипты, низкая наблюдательность пользователя. Не заметить их методику очень сложно, даже на сверх быстром соеденении с интернетом.
Из печального на мой взгляд стоит отметить, что одна из "шапок" есть фигура не последняя в процессе улучшения Tor, и это заставляет много думать. Впрочем за код самого Tor'а беспокоиться по этому поводу не надо, просто плохо что он не поделился наблюдениями с авторами (по признаниям одной из "шапок" они готовили это два месяца), а предпочел славу "черных шапок".
Сейчас все сломанные узлы выявлены и удалены из использования в цепочках. Для устранения описанных недостатков и успокоения души создатели рекомендуют обновиться.
комментариев: 1515 документов: 44 редакций: 5786
P. S.: если что, то я не гуру :-)
От внедрения злонамеренного трафика никто не застрахован (этот метод "атаки" дешевле, чем атаковать саму анонимизирующую сеть), поэтому всегда советуют по возможности дополнительные средства аутентификации и защиты трафика для своего приложения (https, ssh). Даже просто подмененая html страница с данным о погоде, в некоторых случаях может оказаться роковой (полет на гаваи без информации об изменении там климата на резко арктический). В случае работы напрямую через провайдера (открытым текстом), эта атака все также возможна, просто она будет точечная и достанет не всех (рассуждения на тему – кому мы нужны, чтоб нам страницы подменяли). В анонимизирующих сетях такой внедряемый трафик больше напоминает вандализм.
Обращаюсь с просьбой к администрации и модераторам удалить (или временно скрыть для доступа) "описание". К тому-же там еще очень туманная история со "шляпами", прийдет время создатели сами все расскажут, останется только перевести.
комментариев: 11558 документов: 1036 редакций: 4118
Лыжи_асфальт, добавьте, пожалуйста, новость сами, а я вынесу её на главную страницу. Если сделаете это до полуночи по Москве, сообщение пойдёт и в выпуск рассылки на эту неделю.
комментариев: 1515 документов: 44 редакций: 5786
+1 в пользу ручной нстройки связки privoxy+tor вместо использования автоматизированных решений.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
Да, это единственный минус подобных решений :(
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
Тогда нужно забыть про *nix, windows, доработать все накопленные идеи и писать систему с нуля, которая была бы архитектурно секъюрной в отличие от всех предыдущих. Для реализации идеи нужно столько сил, что до сих пор никто не решился – проще наращивать костыли, оттягивая свой собственный конец.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786