Фишинг и сниффинг в сети Tor
По многочисленным сообщениям в рассылке tor участились случаи злонамеренного использования своего положения исходящими узлами.
Поскольку они не связаны ни законодательными, ни какими-то особенными моральными ограничениями, они воруют пароли к форумам и почте и в открытую публикуют их в сети, делаю доступными через google.
Также есть случаи связи через поддельные SSL-сертификаты, модификации скачиваемых файлов и т.д.
Единственный выход использовать почту и форумы через SSL со строгой проверкой сертификатов.
P.S. 2 SATtva. Понимаю, что это трудно и возможно дорого, но хорошо бы в будущем приделать SSL вход на форум. Пусть это будет свой самоподписанный сертификат, но заверенный ключами участников проекта, который можно импортировать в браузер.
Иначе кто-нибудь из зарегестрированных TOR-гостей потеряет все свои посты или они будут искажены. Бэкапы это конечно хорошо, но только на крайний случай. Нужна криптографическая аутентификация.
Ссылки
[link1] http://www.pgpru.com/Новости#add
SSL будет обязательно установлен! Эта потребность была одной из причин недавней смены хостинга. Пока я осваиваюсь на новом месте, и работы по переносу страниц в вики ещё непочатый край, но SSL стоит приоритетом. Постараюсь уложиться в две недели.
Кстати, большинство новостей лучше публиковать здесь[link1]. К этому сообщению это, пожалуй, не относится, но на будущее имейте в виду.
Полноценный хостинг это здорово!
Насчёт форума через tor, я решил что сообщение действительно не тянет ни на новость, ни на отдельную тему по поводу обсуждения работы форума.
Просто предупреждение пользователям.
Кстати, в списке рассылки Tor пришли к выводу, что ситуация была связана скорее всего не с явно злонамеренным Tor-узлом, а с действиями его интернет-провайдера (этот узел находится в Китае). Гуделл высказал интересную мысль, что сама наша способность с помощью Tor оценивать аутентичность потоков данных в разных сегментах интернета, сравнивать их просто уникальна и крайне полезна.
Провайдеры в Китае – это одно, а вот ноды снифающие траффик тоже встречаются:
http://unixgu.ru/?go=tor
И ничто им не мешает выложить полный список паролей, доступный для поиска через google. Разумеется, источник траффика останется анонимным, если не раскроет себя как-то иначе. Но пользователям форумов, сайтов, всяких журналов и т.д. стоит подумать о том, что если пароль передаётся в нешифрованном виде от последнего tor-узла до сервера, то они могут потерять свою регистрацию, а их контент стать жертвой сетевого вандализма.
Ещё бы он не высказал, у него ведь целый проект:
http://afs.eecs.harvard.edu/~goodell/blossom/
Между прочим, если закрыть SSL'ом только страницы логинов, Ева всё равно сможет считать из HTTP REQUEST хэши паролей, передающиеся из куков. Не то, чтобы серьёзная уязвимость. Использовать их для нелегитимного входа она не сможет, равно — и восстановить из них пароль.
А превратиться в Мэллори, стать человеком посредине и захватить хотя бы один единственный сеанс она может? Ну что бы хоть по мелочи напакостить.
Я отменную глупость сказал. Конечно может! Ей, или уже ему — Мэллори, — не нужно даже обращать хэш в строковой пароль. Когда он перехватит хэш из HTTP REQUEST, то просто создаст cookie сайта (или исправит уже установленный), указав в нём перехваченный хэш и логин целевого пользователя. При следующем открытии страницы сайта он автоматически залогинится под этим пользователем.
Решений тут два. Во-первых, просто установить SSL на весь сайт целиком, а не на отдельные страницы. Учитывая сравнительно небольшие объёмы трафика, это, наверное, реальная задача. Во-вторых, можно сделать ограниченные по времени сессии и требовать перелогиниваться (вводить текстовый пароль) по их завершении. Пожалуй, для пользователей это будет не слишком удобно. Можно в качестве компромисса ограничить сессию одними сутками: это снизит ущерб в случае компрометации пароля и не будет вызывать слишком больших неудобств. Но, по-моему, это скорее полумера: лучше уж не делать вообще, чем в таком виде.
В продолжение темы.
Если я все таки организую exit node, заявляю официально что трафик будет просматриваться. Специально собирать пароли и тем более распространять эти данные я не буду, но иссследование потока будет обязательно. Собственно это одна из задач этого проекта.
Если все будет хорошо, возможно будет даже несколько узлов (до 5-ти).
Ага, это называется "сивиллова атака". ;)
Я лично столкнулся с фишингом при доступе через Тор к cайту PGPRU. COM. При заходе черз Тор на PGPRU. COM – появляется липовая страница с рекламой!!! К сожалению не могу вставить скриншот, так что приведу просто текст:
Тор у меня сконфигурирован так, чтобы доступ к этом сайту проходил через постоянный IP: (TrackHostExits ...)
Так что, для меня пока только VPNClient остаётся реально действующей альтернативой.
не верится даже. Плохо что скрина нету.
Для меня это больше похоже на некорректно настроенный DNS у последнего Tor-узла в цепочке. Знаю, что unknown неоднократно сталкивался с чем-то похожим, когда pgpru.com был расположен на другой хостинг-площадке.
Интернет вообще штука сложная. Допустим даже, что Ваш последний Tor-узел работает нормально, но его провайдер при отправке DNS-запроса получил "левый" IP (уж не знаю, случайно или намеренно навязанный) и его закэшировал. Чаще такие ситуации вызваны просто некорректными настройками или проблемами в связности Сети.
Тут явно намеренные действия. (См. цитату – там указано доменное имя PGPRU. COM) Неизвестно со стороны узла Тор или со стороные его провайдера...
Какой, если не секрет ?
У меня тоже такое было. Там явно не в DNS дело – УРЛ менялся. Помогло
ExcludeNodes whistlersmother, BeingJohnMalkovich
Мне не пришло в голову как его определить. Внешние IP определяемые скриптами типа http://php.spb.ru/proxy постоянно изменялись. Постоянным оставался только выходной узел для pgpru.com (в соответствии с TrackHostExits).
Ну так а в TrackHostExits что у вас написано?
[q]Ну так а в TrackHostExits что у вас написано?[/q]
Неужели я так неясно выражаюсь? .pgpru.com и другие доменные имена. Я же писал об этом в первом постинге! Это не должно иметь значение.
Ну вот почти весь список:
.rapidshare.de openvpn.se .pgpru.com .securitylab.ru .bugtraq.ru .ixbt.com
(некоторые хосты я опустил, не обессудьте :) ) Простите, такое впечатление что Вы не совсем ориентируетесь в предмете. :)
Разумеется в новой сессии Тор все симптомы сразу пропали.
Да уж, это я TrackHostExits с exitnodes перепутал, sorry.
Подозреваю что я "поймал" две (за один день) попытки man in the middle атаки на SSH соединение. Putty сообщил о том что ключ сервера изменился (а это не так). Соединения ест-но не устанавливал, теперь мучаюсь вопросом как в такой ситуации узнать свой exit node ?
По логам Tor'а. При смене цепочек он сигнализирует с уровнем Info или Notice (раньше точно было Notice, как сейчас — не обращал внимания, перепроверьте). Можно пробежаться по последним перестройкам, жёстко задавая исходящий узел в настройках. Единственно, это не слишком действенная мера: ничто не мешает зловредному узлу сменить никнэйм, перерегистрироваться с директории и снова ловить прохожих.
Можно для таких случаев попытаться построить некий динамический список наподобие RBL-спам-листов, но и эффективность у него будет, как у тех же RBL. Подобные меры всегда носят запаздывающий характер — мы просто реагируем на происшествие. Предупреждать такие явления в анонимной среде, особенно с дальнейшим разрастанием сети, будет становиться всё труднее. Разработчики сами отмечали это в своём генеральном плане развития (Challenges... как-то там, последний раз видел его в CVS).
К сожалению, логи tor сервера использовать не удобно, т.к. крайне трудно вычленить конкретные соединения. Я сделал проще, посмотрел журнал sshd непосредственно на сервере.
Каковы результаты? Хотя бы регионально где размещены подозрительные узлы?
А можно вопрос в тему: если у меня установлена tcp-сессия, и скачивается файл через тор, а 15-минутка истекла, надо менять exit node. Что в таких случая делает тор? Или меняет айпи на ходу сессии и это не критично для соединения?
Для действующих потоков Tor не перестраивает цепочки. Таким образом, каждый файл, независимо от его размера, всегда закачивается через одну и ту же последовательность узлов, сколько бы времени это ни заняло. По этой же причине, кстати, IRC-сессии тоже не меняют IP.
Гы, лол... И что, значит, это и джаббера касается с аськой и всех IM? :(
в ситуации у ParanoidAnt злонамеренным тор-узлом ведь мог быть и входящий тор-узел. Тогда логи sshd-сервера ничего не дадут.
Нет, Гость, не мог быть входящий. Все узлы, кроме исходящего, видят один шифртекст.
Нет, в них нет единой сессии, как таковой. IP меняется.
вы что-то путаете, такого быть не может,"входящий" узел всегда ваш локальный иначе использовать Tor просто не имеет смысла.
SATtva, я не сохранил ip. Кажется германия, но могу ошибаться.
В icq через Тор – соединение практически не меняется! То есть оно меняется
примерно раз в несколько часов, видимо при обновлении списка серверов, но не
каждые 10 минут! Ася постоянно висит на одной и той же цепочке по очень долгу. (и, как я писал в другой теме, список выходных серверов – подозрительно узок и повторяем, что пугает)
А вы как хотите – чтобы Tor перестраивал цепочку пока вы находитесь в онлайне (по отношению к icq-серверу) тем самым приводя к разрыву соединения? И даже если так – каким образом при этом будет достигаться бОльшая анонимность?
Для установленного соединения цепочка не меняется максимально возможное время (т.е. пока один из серверов в цепочке не отвалится).