id: Гость   вход   регистрация
текущее время 14:26 29/03/2024
Автор темы: unknown, тема открыта 28/08/2006 11:18 Печать
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ФишингИСниффингВСетиTor
создать
просмотр
ссылки

Фишинг и сниффинг в сети Tor


По многочисленным сообщениям в рассылке tor участились случаи злонамеренного использования своего положения исходящими узлами.


Поскольку они не связаны ни законодательными, ни какими-то особенными моральными ограничениями, они воруют пароли к форумам и почте и в открытую публикуют их в сети, делаю доступными через google.


Также есть случаи связи через поддельные SSL-сертификаты, модификации скачиваемых файлов и т.д.


Единственный выход использовать почту и форумы через SSL со строгой проверкой сертификатов.


P. S. 2 SATtva. Понимаю, что это трудно и возможно дорого, но хорошо бы в будущем приделать SSL вход на форум. Пусть это будет свой самоподписанный сертификат, но заверенный ключами участников проекта, который можно импортировать в браузер.


Иначе кто-нибудь из зарегестрированных TOR-гостей потеряет все свои посты или они будут искажены. Бэкапы это конечно хорошо, но только на крайний случай. Нужна криптографическая аутентификация.


 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (28/08/2006 19:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
SSL будет обязательно установлен! Эта потребность была одной из причин недавней смены хостинга. Пока я осваиваюсь на новом месте, и работы по переносу страниц в вики ещё непочатый край, но SSL стоит приоритетом. Постараюсь уложиться в две недели.

Кстати, большинство новостей лучше публиковать здесь. К этому сообщению это, пожалуй, не относится, но на будущее имейте в виду.
— unknown (29/08/2006 14:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Полноценный хостинг это здорово!

Насчёт форума через tor, я решил что сообщение действительно не тянет ни на новость, ни на отдельную тему по поводу обсуждения работы форума.

Просто предупреждение пользователям.
— SATtva (29/08/2006 18:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кстати, в списке рассылки Tor пришли к выводу, что ситуация была связана скорее всего не с явно злонамеренным Tor-узлом, а с действиями его интернет-провайдера (этот узел находится в Китае). Гуделл высказал интересную мысль, что сама наша способность с помощью Tor оценивать аутентичность потоков данных в разных сегментах интернета, сравнивать их просто уникальна и крайне полезна.
— unknown (30/08/2006 09:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, в списке рассылки Tor пришли к выводу, что ситуация была связана скорее всего не с явно злонамеренным Tor-узлом, а с действиями его интернет-провайдера.

Провайдеры в Китае – это одно, а вот ноды снифающие траффик тоже встречаются:

http://unixgu.ru/?go=tor

И ничто им не мешает выложить полный список паролей, доступный для поиска через google. Разумеется, источник траффика останется анонимным, если не раскроет себя как-то иначе. Но пользователям форумов, сайтов, всяких журналов и т.д. стоит подумать о том, что если пароль передаётся в нешифрованном виде от последнего tor-узла до сервера, то они могут потерять свою регистрацию, а их контент стать жертвой сетевого вандализма.

Гуделл высказал интересную мысль, что сама наша способность с помощью Tor оценивать аутентичность потоков данных в разных сегментах интернета, сравнивать их просто уникальна и крайне полезна.

Ещё бы он не высказал, у него ведь целый проект:
http://afs.eecs.harvard.edu/~goodell/blossom/
— SATtva (07/09/2006 16:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Между прочим, если закрыть SSL'ом только страницы логинов, Ева всё равно сможет считать из HTTP REQUEST хэши паролей, передающиеся из куков. Не то, чтобы серьёзная уязвимость. Использовать их для нелегитимного входа она не сможет, равно — и восстановить из них пароль.
— unknown (08/09/2006 11:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ева всё равно сможет считать из HTTP REQUEST хэши паролей, передающиеся из куков. Не то, чтобы серьёзная уязвимость. Использовать их для нелегитимного входа она не сможет, равно — и восстановить из них пароль.

А превратиться в Мэллори, стать человеком посредине и захватить хотя бы один единственный сеанс она может? Ну что бы хоть по мелочи напакостить.
— SATtva (08/09/2006 14:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Я отменную глупость сказал. Конечно может! Ей, или уже ему — Мэллори, — не нужно даже обращать хэш в строковой пароль. Когда он перехватит хэш из HTTP REQUEST, то просто создаст cookie сайта (или исправит уже установленный), указав в нём перехваченный хэш и логин целевого пользователя. При следующем открытии страницы сайта он автоматически залогинится под этим пользователем.

Решений тут два. Во-первых, просто установить SSL на весь сайт целиком, а не на отдельные страницы. Учитывая сравнительно небольшие объёмы трафика, это, наверное, реальная задача. Во-вторых, можно сделать ограниченные по времени сессии и требовать перелогиниваться (вводить текстовый пароль) по их завершении. Пожалуй, для пользователей это будет не слишком удобно. Можно в качестве компромисса ограничить сессию одними сутками: это снизит ущерб в случае компрометации пароля и не будет вызывать слишком больших неудобств. Но, по-моему, это скорее полумера: лучше уж не делать вообще, чем в таком виде.
— paranoid ant (15/09/2006 11:55)   <#>
В продолжение темы.

Если я все таки организую exit node, заявляю официально что трафик будет просматриваться. Специально собирать пароли и тем более распространять эти данные я не буду, но иссследование потока будет обязательно. Собственно это одна из задач этого проекта.

Если все будет хорошо, возможно будет даже несколько узлов (до 5-ти).
— SATtva (15/09/2006 21:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ага, это называется "сивиллова атака". ;)
— Гость (16/10/2006 12:32, исправлен 16/10/2006 16:43)   <#>
Я лично столкнулся с фишингом при доступе через Тор к cайту PGPRU. COM. При заходе черз Тор на PGPRU. COM – появляется липовая страница с рекламой!!! К сожалению не могу вставить скриншот, так что приведу просто текст:

Welcome to pgpru.com

auto
buch
business
computer
computerspiele
partnersuche
einrichtung
elektronik
essen trinken
finanz
fitness


urlaub | multimedia | health & beauty | geschenkideen | geld & vermögen | haus & garten
Why am I seeing this web site?



Тор у меня сконфигурирован так, чтобы доступ к этом сайту проходил через постоянный IP: (TrackHostExits ...)

Так что, для меня пока только VPNClient остаётся реально действующей альтернативой.
— spinore (16/10/2006 14:03)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
не верится даже. Плохо что скрина нету.
— SATtva (16/10/2006 16:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Для меня это больше похоже на некорректно настроенный DNS у последнего Tor-узла в цепочке. Знаю, что unknown неоднократно сталкивался с чем-то похожим, когда pgpru.com был расположен на другой хостинг-площадке.

Интернет вообще штука сложная. Допустим даже, что Ваш последний Tor-узел работает нормально, но его провайдер при отправке DNS-запроса получил "левый" IP (уж не знаю, случайно или намеренно навязанный) и его закэшировал. Чаще такие ситуации вызваны просто некорректными настройками или проблемами в связности Сети.
— Гость (16/10/2006 18:43)   <#>
Тут явно намеренные действия. (См. цитату – там указано доменное имя PGPRU. COM) Неизвестно со стороны узла Тор или со стороные его провайдера...
— Гость (16/10/2006 21:22, исправлен 16/10/2006 21:31)   <#>
Тор у меня сконфигурирован так, чтобы доступ к этом сайту проходил через постоянный IP: (TrackHostExits ...)

Какой, если не секрет ?
— Гость (16/10/2006 22:13)   <#>
У меня тоже такое было. Там явно не в DNS дело – УРЛ менялся. Помогло
ExcludeNodes whistlersmother, BeingJohnMalkovich
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3