Регистрация21.01 // Уведомление о взломе корневых директорий сети Tor
Лидер проекта Tor (Roger Dingledine) разместил следующее предупреждение:
Пользователи Tor должны обновиться до версий 0.2.1.22 или 0.2.2.7-alpha
https://www.torproject.org/download.html.en
В начале января мы обнаружили, что два из семи серверов директорий статистики были взломаны (moria1 и gabelmoo) вместе с сервером metrics.torproject.org, новым сервером, который был недавно запущен для обслуживания измерений данных и визуализации графиков. Эти три сервера были переинсталлированы с сервисами, перенесёнными на другие серверы.
Мы создали новые идентификационные ключи для двух серверов директорий статистики, поэтому вам следует обновиться.
На Moria также размещался наш git-репозиторий и svn-репозиторий. Мы сразу же отключили серверы, как только изучили брешь в системе. Всё выглядит так, что атакующий не осознавал, что именно ему удалось взломать — он просто смог найти какие-то серверы с высокой пропускной способностью. Атакующий установил некоторые ssh-ключи и продолжил использовать три сервера для запуска других атак. Мы провели некоторые предварительные сравнения и всё выглядит так, что git и svn не были затронуты никаким образом.
Нам очень везло в прошедшие годы в отношении безопасности. Этот взлом всё ещё выглядит как не имеющий отношения непосредственно к самому проекту Tor. Для ясности — это не означает, что кто-то пытался атаковать наши серверы специально, чтобы захватить контроль над Тором. Кажется, что мы были атакованы ради вычислительных ресурсов и пропускной способности серверов и как только это случилось, серверы тут же были выведены из функционирования в Tor.
Мы пытаемся дать ответы на самые очевидные вопросы:
- Означает ли это, что кто-то мог выслеживать местонахождение пользователей?
Нет. По протоколу Tor требует большинства серверов директорий (в данном случае четырёх) для создания консенсуса; и как и другие узлы Tor-сети, узлы корневых директорий статистики не могут сопоставить трафик пользователя и его местоположение.
- Значит ли это, что кто-то подменил исходники Tor?
Нет, мы проверили исходники. Это значит, что вам нужно обновить свой клиент, чтобы он знал всё необходимое о новых корневых директориях.
- Значит ли это, что кто-то получил больше сведений о Tor, чем простой пользователь?
Поскольку наше ПО и спецификации открыты, каждый имеет доступ практически ко всему материалу, размещённому на этих машинах ... за исключением некоторых старых дексрипторов бридж-узлов, которые мы выдаём только небольшими порциями для клиентов, которые находятся под блокировкой.
- Могу ли я доверять безопасности Tor?
Мы предпринимаем шаги для устранения уязвимостей, которые были выявлены и укрепляем защиту наших систем на будущее. Tor имеет отчёты и записи с позиции открытости и прозрачности, как с его исходным кодом и спецификациями, так и с его производимыми операциями. Более того, мы раскрываем уязвимости, наподобие данной, так, чтобы вы могли мониторить наш статус. Вам не следует думать, что те, кто не раскрывал никаких дыр в безопасности, никогда не имели их на самом деле!
Roger
Источник: The or-talk mailing list
Впрочем там вся ветка обсуждения, стоит того чтобы её прочитать.
Из дальнейших объяснений следует, что на мории было много всего лишнего и много лишних аккаунтов (возможно университетское наследство). Взломщик или имел или получил к одному из этих акков доступ, и далее локальным сплоитом получил рута. Возможно последуют объяснения природы сплоита, пока не очень ясно был ли это новый "нульдей" или действительно "очень везло в прошедшие годы в отношении безопасности".
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
http://deb.torproject.org/torproject.org/
комментариев: 9796 документов: 488 редакций: 5664
А теперь все дружно поверили, что взломщик случайно наткнулся на три произвольных сервера и взломал их для атак только на другие серверы, а то, что три сервера принадлежат верхушке проекта Tor — чистая случайность.
И для атаки по методу виртуализации соединений пользователя (позаимствованной с нашего форума) это не подошло. Признавайтесь, кто это сделал? :)
Хотя, конечно, могли просто от одного сервера к другому пойти, после удачного взлома.
комментариев: 9796 документов: 488 редакций: 5664
Несчастные разработчики Тора разрабатывают его непосредственно на Дебьяне, впервую очередь под него собирают пакеты и наверное на нём же и хостят весь проджект. Пусть скажут правду, где там у них было решето!
Прийдёт зелёный человечек и уведёт в страну машины-имени-неизвестного, если конечно выбъет себе машинного времени на КК вне очереди для получения ещё 2-ух сертификатов.
Можно ещё не обновляясь обновить отпечатки через конфиг, для этого читать мануал. (Но делать это следует только в присутсвии телемастера.)
Не вы одни... В смысле? Можно пояснить?
комментариев: 9796 документов: 488 редакций: 5664
Им спонсор выделил новые серверы, а они долго и медленно переезжали и переехать не успели.
Если получить все (или большинство) ключей DA, то можно подделывать статистику ключей и айпишников всех подключенных к сети Tor серверных узлов.
Отсюда:
То есть обладатель четырех серверов может выслеживать местонахождение пользователей? Это что-то вроде harvesting attack, то есть не так уж и страшно? Или же они могут разузнать что-то еще?
комментариев: 9796 документов: 488 редакций: 5664
Это значит, что более половины серверов DA (если их взломать) могут выдавать фальшивую статистику пользователям, подключать к сети Tor фиктивные узлы, подменять в статистике ключи уже запущенных узлов и пытаться делать прочие пакости. Правда из-за публичного ведения логов и путём сравнения статистики между разными пользователями и присмотра со стороны самих разработчиков это не пройдёт незамеченным. Если разработчики в сговоре, то они могут и логи подменить, но кто-то из сети обнаружит подмену рано или поздно. Не все DA принадлежат разработчикам, хотя и доступ на почётное членство держателей серверов DA несвободный. Подмена статистики может быть замечена не только с DA, но теоретически с любого узла сети.
Другой гипотетический вариант — прицельная атака при помощи ключей от корневых директорий против одного пользователя в сговоре с его провайдером (сами серверы DA ломать необязательно — достаточно поиметь с них ключи и оставить в покое). Пользователь будет подключаться к сети Tor, но провайдер будет эмулировать эту сеть со всеми узлами, но фальшивыми ключами, расшифровывать весь трафик пользователя и перенаправлять его в настоящий Tor с настоящими цепочками, которые выбрал пользователь. Тогда пользователь ничего не заметит. Атака тривиальна по сути, так как угроза незаметного похищения всех (или большей части — для получения консенсуса) ключей DA — слишком сильная модель угрозы, выходящая за рамки дизайна сети (псевдодецентрализованная аутентификация на малом числе корневых DA). Нетрививальна только реализация — расширенный MITM с виртуализацией на участке {пользователь — провайдер — Tor}.
Всё о чём здесь предупреждается — слишком преувеличено, это домыслы, которые авторы когда-то косвенно подтверждали, но сейчас не будут их повторять, чтобы не нагнетать паники у малопонимающих пользователей. Такие сценарии атак на раскрытие анонимности маловероятны (если не ничтожно малы) и не особо практичны. А данный взлом, так как его описывают авторы, не представляет никакой угрозы для пользователей даже с необновлённым клиентом (теоретически у них снижена безопасность, если прямо сейчас произойдёт более массированный, прицельный и изощрённый взлом). Но обновиться всё-таки следует.
Насколько у нас обсуждалось, клиент сам выбирает, с каких именно 4х (из 7ми) серверов скачать и проверить на консенсус статистику. Т.е. чтобы MITM в виде машинки unknown'а заработал, даже при краже 4х ключей нужно совпадение определённых событий, а иначе логи всё покажут...