22.01 // Стоит ли бояться испорченных луковиц?
Исследователи Philipp Winter[link1] и Stefan Lindskog[link2] опубликовали работу Spoiled Onions: Exposing Malicious Tor Exit Relays[link3], в которой описывали, как с помощью различных тестов они выявляли злонамеренные исходящие узлы в сети Tor. За 4 месяца из в среднем 1000 исходящих узлов в сети Tor удалось выявить лишь 25 злонамеренных, которые проводят атаку человека посредине на подмену SSL и SSH соединений, инъекцию HTML-контента, цензуру DNS и пр. Большинство таких узлов находится в России. Сложно определить, осуществляют ли атаки сами владельцы исходящих узлов или их провайдеры (в т.ч. магистральные).
Как отмечают исследователи:
- Такое число узлов невелико, так что вероятность их выбора пользователем мала.
- Вероятность выбора этих узлов ещё ниже из-за их сравнительно невысокой пропускной способности.
- TorBrowser использует HTTPS-everywhere[link4]. Кроме того, не следует забывать, что открытый текст пропущенный через Tor всё равно остаётся открытым текстом[link5].
Наконец, эти атаки неспецифичны для Tor'а. С таким же успехом подменять трафик пользователю может взломанный открытый WiFi, его собственный провайдер или любой другой узел в обычном интернете.
В работе отмечены лишь заведомо фальшивые сертификаты, многие из которых вызывают предупреждение "about:certerror" в свойствах сертификата.
Построение системы надёжных SSL-сертификатов, которая бы сохраняла целостность трафика в открытом интернете — тупиковая проблема при сегодняшних стандартах.
Источник: The Torproject Blog[link6]. См. также: Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них[link7].
[link2] http://www.cs.kau.se/~stefan/
[link3] http://www.cs.kau.se/philwint/spoiled_onions/
[link4] https://www.eff.org/Https-everywhere
[link5] https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext
[link6] https://blog.torproject.org/blog/what-spoiled-onions-paper-means-tor-users
[link7] http://www.pgpru.com/biblioteka/statji/certifiedlies