Ponad 100 nodów w sieci TOR szpieguje użytkowników!
Dwójka specjalistów, Amirali Sanatinia oraz Guevara Noubir z Północnozachodniego Uniwersytetu (http://www.northwestern.edu/) odkryło ponad 100 podejrzanych nodów w sieci TORa, których zachowanie określili jako „wadliwe” i potencjalnie szpiegujące strony Dark Web w celu identyfikacji jej operatorów. Wykonali oni 72 dniowy eksperyment w sieci Tora i odkryli co najmniej 110 podejrzanych Nodów, tzw. HSDirs (Tor Hidden Services Directories) w sieci.
HSDirs w sieci Tora są serwerami, które są tzw. punktami wprowadzającymi i są skonfigurowane do obsługi ruchu między użytkownikami, a ukrytymi usługami w domenach .onion. Są one kluczowym elementem do ukrycia prawdziwego adresu IP w sieci TORa.
Jednak jest pewien szkopuł – HSDirs mogą być uruchomione przez kogokolwiek:
Anonimowość sieci TORa opiera się na założeniu, że większość punktów jest „uczciwa” i działa w sposób prawidłowy. Noubir z resztą mówi, że „Szczególnie prywatność ukrytych serwisów jest zależna od uczciwości operatorów HSDirs”.
W ramach eksperymentu wprowadzono ok. 1500 serwerów typu honeypot, które nazwali HOnions z frameworkiem, którego zadaniem było odkycie, które z HSDirów zostały zmodyfikowane, aby „węszyć” w ukrytych serwisach, które były przez nich hostowane. W ten sposón odkryto ponad 100 podejrzanych nodów, które szpiegują użytkowników Dark Webu.
Po eksperymencie, który był przeprowadzany po między 12 lutego 2016, a 24 kwietniem 2016, naukowcy zgromadzili i przeanalizowane dane odkrywając i identyfikując przynajmniej 110 podejrzanych HSDirów, które były w większości zlokalizowane w USA, Niemczech, Francji, na terenie Zjednoczonego Królestwa oraz Holandii.
Ponad 70% ze 110 podejrzanych nodów było hostowane w profesjonalnych infrastrukturach typu cloud, co z kolei uniemożliwiło sprawdzenie, kto za nimi stoi. Z kolei 25% z podejrzanych
HSDirsów, funkcjonowały jednocześnie jako punkty tranzytowe oraz punkty wyjściowe z sieci TOR, pozwalając tym samym na gromadzenie niezaszyfrowanych danych, przeprowadzania ataków typu man-in-the-middle, oraz sniffowania samego ruchu sieciowego TOR.
Dokument „Honions: Towards Detection and Identification of Misbehaving Tor HSDirs” (PDF) opisuje szczegółowo pracę naukowców i będzie zaprezentowany w przyszłym tygodniu podczas DEF CON SECURITU CONFERENCE.
Podczas gdy większość podejrzanych nodów szuka danych, takich jak root paths, plików typu description.json, czy sprawdzają stan wersji serwerów Apache, inne próbują wykonać na ukrytych usługach ataki typu XSS, SQL injection, czy path traversal.
Odkryliśmy wiele różnych wektorów ataku, takich jak SQL injection, wyliczanie nazw użytkowników na Drupalu, skrypty typu cross-site (XSS), path traversal (szukających za boot.ini i /etc/passwd, targetowanych na framework Ruby on Rails (rails/info/właściwości), oraz PHP Easter Eggs (?=PHP*-*-*-*-*)
Specjaliści zaprezentują swoje znalezisko w piątek podczas sympozjum „Privacy Enhancing Technologies” w Niemczech.
Nowa sieć tora zaprojektowana do wzmocnienia ukrytych usług TORa
Naukowcy mówią, że Tor Project został ostrzeżony o problemie z HSDirami i pracują nad zindentyfikowaniem i usunięciem wszystkich podejrzanych nodów ze swojej sieci.
„Na tyle, na ile możemy powiedzieć, celem podejrzanych węzłów w tym przypadki jest odkrycie prawdziwych adresów .onion, których w normalny sposób nie byliby w stanie poznać – nie są w stanie zidentyfikować adresów IP hostów czy gości w ukrytych usługach TOR.” – pisze na swoim blogu Tor Project.
Mimo, że Tor Project pracuje nad usunięciem nieprawidłowych HSDirów, rozwiązaniem długoterminowym jest nowy projekt ukrytych usług o kryptonimie: Mission: Montreal!
Nowy kod został już napisany, ale data jego wydania jest wciąż do ustalenia. Jak podaje Tor Project, „Deweloperzy skończyli implementację protokołu kilka miesięcy temu i od tamtego czasu jest przeglądany, poddawany audytowi i testom.
Nawiązując do Dewerloperów TOR, nowy protokół dostarczy losowo wygenerowany system, który „nidgy wcześniej nie był rozmieszczony w Internecie.”
Użytkownicy TORa: cel rządowych hackerów
Ataki na TORa nie są niczym nowym. Obecna sytuacja jest jednym z ostatnich incydentów, które dopadły ukryte usługi, co z kolei spowodowało, że sieć nie może gwarantować swoim użytkownikom 100% gwarancji anonimowości.
W zeszłym roku FBI odkryło tożsamość użytkownikó TOR w śledztwie związanym z największą stroną w Dark Webie związaną z dziecięcą pornografią „Playpen” wykorzystując „Network Invetigative Technique”, która do dzisiaj nie została ujawniona.
Tor Project podobno oskarżył FBI, że zapłaciło przynajmniej $1,000,000 dolarów badaczom z Carniegie Mellon University, żeby odkryli sposób, który pozwoli im odkryć tożsamość użytkowników TORa.
Badacze anulowali bez wyjasnienia swoje wystąpienie w 2014 roku na konferencji Black Hat, w który mieli zademonstrować technikę ujawniania tożsamości użytkowników TORa. Od tamtego czasu projekt TOR został załatany, aby uniemożliwić używanie exploita FBI.
Ostatnio naukowcy z MIT stworzyli Riffle, który, wg nich, posiada lepsze zabezpieczenia przeciwko serwerom-szpiegom, uruchomionym przez hackerów, na których sieć TOR jest podatna, chodź chwilowo jest do tego jeszcze daleka droga.
Źródło: thehackernews.com