Фишинг и сниффинг в сети Tor

По многочисленным сообщениям в рассылке tor участились случаи злонамеренного использования своего положения исходящими узлами.

Поскольку они не связаны ни законодательными, ни какими-то особенными моральными ограничениями, они воруют пароли к форумам и почте и в открытую публикуют их в сети, делаю доступными через google.

Также есть случаи связи через поддельные SSL-сертификаты, модификации скачиваемых файлов и т.д.

Единственный выход использовать почту и форумы через SSL со строгой проверкой сертификатов.

P. S. 2 SATtva. Понимаю, что это трудно и возможно дорого, но хорошо бы в будущем приделать SSL вход на форум. Пусть это будет свой самоподписанный сертификат, но заверенный ключами участников проекта, который можно импортировать в браузер.

Иначе кто-нибудь из зарегестрированных TOR-гостей потеряет все свои посты или они будут искажены. Бэкапы это конечно хорошо, но только на крайний случай. Нужна криптографическая аутентификация.

На страницу: 1, 2, 3 След.

Комментарии

—	*Гость* (16/10/2006 23:12) <#>

Какой, если не секрет ?

Мне не пришло в голову как его определить. Внешние IP определяемые скриптами типа http://php.spb.ru/proxy постоянно изменялись. Постоянным оставался только выходной узел для pgpru.com (в соответствии с TrackHostExits).

—	*Гость* (17/10/2006 01:36) <#>

Ну так а в TrackHostExits что у вас написано?

—	*Гость* (17/10/2006 09:21) <#>

[q]Ну так а в TrackHostExits что у вас написано?[/q]
Неужели я так неясно выражаюсь? .pgpru.com и другие доменные имена. Я же писал об этом в первом постинге! Это не должно иметь значение.
Ну вот почти весь список:
.rapidshare.de openvpn.se .pgpru.com .securitylab.ru .bugtraq.ru .ixbt.com

(некоторые хосты я опустил, не обессудьте :) ) Простите, такое впечатление что Вы не совсем ориентируетесь в предмете. :)

—	*Гость* (17/10/2006 09:25) <#>

Разумеется в новой сессии Тор все симптомы сразу пропали.

—	*Гость* (17/10/2006 14:13) <#>

Да уж, это я TrackHostExits с exitnodes перепутал, sorry.

—	ParanoidAnt (26/10/2006 19:47) профиль/связь <#> комментариев: 56 документов: 12 редакций: 2

Подозреваю что я "поймал" две (за один день) попытки man in the middle атаки на SSH соединение. Putty сообщил о том что ключ сервера изменился (а это не так). Соединения ест-но не устанавливал, теперь мучаюсь вопросом как в такой ситуации узнать свой exit node ?

—	SATtva (26/10/2006 21:19) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

По логам Tor'а. При смене цепочек он сигнализирует с уровнем Info или Notice (раньше точно было Notice, как сейчас — не обращал внимания, перепроверьте). Можно пробежаться по последним перестройкам, жёстко задавая исходящий узел в настройках. Единственно, это не слишком действенная мера: ничто не мешает зловредному узлу сменить никнэйм, перерегистрироваться с директории и снова ловить прохожих.

Можно для таких случаев попытаться построить некий динамический список наподобие RBL-спам-листов, но и эффективность у него будет, как у тех же RBL. Подобные меры всегда носят запаздывающий характер — мы просто реагируем на происшествие. Предупреждать такие явления в анонимной среде, особенно с дальнейшим разрастанием сети, будет становиться всё труднее. Разработчики сами отмечали это в своём генеральном плане развития (Challenges... как-то там, последний раз видел его в CVS).

—	ParanoidAnt (27/10/2006 13:21) профиль/связь <#> комментариев: 56 документов: 12 редакций: 2

К сожалению, логи tor сервера использовать не удобно, т.к. крайне трудно вычленить конкретные соединения. Я сделал проще, посмотрел журнал sshd непосредственно на сервере.

—	SATtva (27/10/2006 14:36) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Каковы результаты? Хотя бы регионально где размещены подозрительные узлы?

—	spinore (27/10/2006 21:22) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

А можно вопрос в тему: если у меня установлена tcp-сессия, и скачивается файл через тор, а 15-минутка истекла, надо менять exit node. Что в таких случая делает тор? Или меняет айпи на ходу сессии и это не критично для соединения?

—	SATtva (27/10/2006 23:22) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Для действующих потоков Tor не перестраивает цепочки. Таким образом, каждый файл, независимо от его размера, всегда закачивается через одну и ту же последовательность узлов, сколько бы времени это ни заняло. По этой же причине, кстати, IRC-сессии тоже не меняют IP.

—	spinore (28/10/2006 00:15) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

>По этой же причине, кстати, IRC-сессии тоже не меняют IP.

Гы, лол... И что, значит, это и джаббера касается с аськой и всех IM? :(

—	*Гость* (28/10/2006 11:12) <#>

в ситуации у ParanoidAnt злонамеренным тор-узлом ведь мог быть и входящий тор-узел. Тогда логи sshd-сервера ничего не дадут.

—	SATtva (28/10/2006 20:08) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Нет, Гость, не мог быть входящий. Все узлы, кроме исходящего, видят один шифртекст.

Гы, лол... И что, значит, это и джаббера касается с аськой и всех IM? :(

Нет, в них нет единой сессии, как таковой. IP меняется.

—	ParanoidAnt (30/10/2006 12:55) профиль/связь <#> комментариев: 56 документов: 12 редакций: 2

> злонамеренным тор-узлом ведь мог быть и входящий тор-узел

вы что-то путаете, такого быть не может,"входящий" узел всегда ваш локальный иначе использовать Tor просто не имеет смысла.

SATtva, я не сохранил ip. Кажется германия, но могу ошибаться.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]