openPGP в России

22.01 // Стоит ли бояться испорченных луковиц?

Исследователи Philipp Winter^[link1] и Stefan Lindskog^[link2] опубликовали работу Spoiled Onions: Exposing Malicious Tor Exit Relays^[link3], в которой описывали, как с помощью различных тестов они выявляли злонамеренные исходящие узлы в сети Tor. За 4 месяца из в среднем 1000 исходящих узлов в сети Tor удалось выявить лишь 25 злонамеренных, которые проводят атаку человека посредине на подмену SSL и SSH соединений, инъекцию HTML-контента, цензуру DNS и пр. Большинство таких узлов находится в России. Сложно определить, осуществляют ли атаки сами владельцы исходящих узлов или их провайдеры (в т.ч. магистральные).

Как отмечают исследователи:

1. Такое число узлов невелико, так что вероятность их выбора пользователем мала.
2. Вероятность выбора этих узлов ещё ниже из-за их сравнительно невысокой пропускной способности.
3. TorBrowser использует HTTPS-everywhere^[link4]. Кроме того, не следует забывать, что открытый текст пропущенный через Tor всё равно остаётся открытым текстом^[link5].

Наконец, эти атаки неспецифичны для Tor'а. С таким же успехом подменять трафик пользователю может взломанный открытый WiFi, его собственный провайдер или любой другой узел в обычном интернете.

В работе отмечены лишь заведомо фальшивые сертификаты, многие из которых вызывают предупреждение "about:certerror" в свойствах сертификата.

Построение системы надёжных SSL-сертификатов, которая бы сохраняла целостность трафика в открытом интернете — тупиковая проблема при сегодняшних стандартах.

Источник: The Torproject Blog^[link6]. См. также: Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них^[link7].