22.01 // Стоит ли бояться испорченных луковиц?
Исследователи Philipp Winter и Stefan Lindskog опубликовали работу Spoiled Onions: Exposing Malicious Tor Exit Relays, в которой описывали, как с помощью различных тестов они выявляли злонамеренные исходящие узлы в сети Tor. За 4 месяца из в среднем 1000 исходящих узлов в сети Tor удалось выявить лишь 25 злонамеренных, которые проводят атаку человека посредине на подмену SSL и SSH соединений, инъекцию HTML-контента, цензуру DNS и пр. Большинство таких узлов находится в России. Сложно определить, осуществляют ли атаки сами владельцы исходящих узлов или их провайдеры (в т.ч. магистральные).
Как отмечают исследователи:
- Такое число узлов невелико, так что вероятность их выбора пользователем мала.
- Вероятность выбора этих узлов ещё ниже из-за их сравнительно невысокой пропускной способности.
- TorBrowser использует HTTPS-everywhere. Кроме того, не следует забывать, что открытый текст пропущенный через Tor всё равно остаётся открытым текстом.
Наконец, эти атаки неспецифичны для Tor'а. С таким же успехом подменять трафик пользователю может взломанный открытый WiFi, его собственный провайдер или любой другой узел в обычном интернете.
В работе отмечены лишь заведомо фальшивые сертификаты, многие из которых вызывают предупреждение "about:certerror" в свойствах сертификата.
Построение системы надёжных SSL-сертификатов, которая бы сохраняла целостность трафика в открытом интернете — тупиковая проблема при сегодняшних стандартах.
Источник: The Torproject Blog. См. также: Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них.