22.01 // Стоит ли бояться испорченных луковиц?
Исследователи Philipp Winter и Stefan Lindskog опубликовали работу Spoiled Onions: Exposing Malicious Tor Exit Relays, в которой описывали, как с помощью различных тестов они выявляли злонамеренные исходящие узлы в сети Tor. За 4 месяца из в среднем 1000 исходящих узлов в сети Tor удалось выявить лишь 25 злонамеренных, которые проводят атаку человека посредине на подмену SSL и SSH соединений, инъекцию HTML-контента, цензуру DNS и пр. Большинство таких узлов находится в России. Сложно определить, осуществляют ли атаки сами владельцы исходящих узлов или их провайдеры (в т.ч. магистральные).
Как отмечают исследователи:
- Такое число узлов невелико, так что вероятность их выбора пользователем мала.
- Вероятность выбора этих узлов ещё ниже из-за их сравнительно невысокой пропускной способности.
- TorBrowser использует HTTPS-everywhere. Кроме того, не следует забывать, что открытый текст пропущенный через Tor всё равно остаётся открытым текстом.
Наконец, эти атаки неспецифичны для Tor'а. С таким же успехом подменять трафик пользователю может взломанный открытый WiFi, его собственный провайдер или любой другой узел в обычном интернете.
В работе отмечены лишь заведомо фальшивые сертификаты, многие из которых вызывают предупреждение "about:certerror" в свойствах сертификата.
Построение системы надёжных SSL-сертификатов, которая бы сохраняла целостность трафика в открытом интернете — тупиковая проблема при сегодняшних стандартах.
Источник: The Torproject Blog. См. также: Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них.
комментариев: 11558 документов: 1036 редакций: 4118
Использовать Perspectives для получения более объективной картины они не пытались?
комментариев: 9796 документов: 488 редакций: 5664
Для массового сканирования многих сайтов и узлов это слишком накладно.
комментариев: 1060 документов: 16 редакций: 32
Да ещё несколько сразу у одного провайдера.
комментариев: 9796 документов: 488 редакций: 5664
Russian Spy Nodes Caught Snooping on Facebook Users
Вот что было написано на самом деле:
Оригинал, стр. 9. По кр. мере это смотрится очень странно (MITM ФСБука). Есть, правда, вариант «иностранец купил хостинг в России, чтобы снифать на экситах».
P.S. Спасибо за перевод.
Даже не знал, что уже так много альтернатив стандартному PKI есть.
комментариев: 9796 документов: 488 редакций: 5664
скорее костылей вокруг.