» »

Snakes On A Tor

Snakes On A Tor

Slo-Tech - V eni prejšnjih novic smo že poročali o odkritju zlonamerne izhodne točke v omrežju Tor, ki je pretrezala izhodni promet iz anonimizacijskega omrežja, lastniki pa so javno objavili ukradena uporabniška imena in gesla.

Na poštnem seznamu operaterjev Tor omrežja se je glede problema prestrezanja in spreminjanja izhodnega prometa (npr. možnost vrivanja virusov) razvila živahna debata. Padel je predlog za izdelavo programa, ki bi preverjal obstoj zlonamernih Tor izhodnih točk v omrežju, in Mike Perry je v nekaj dneh tak program tudi napisal. Gre za program z imenom Snakes On A Tor, ki je namenjen ugotavljanju, ali nekdo na Tor izhodni točki ne spreminja prometa (tim. injection) in SSL certifikatov (slednje omogoča man-in-the-middle napad). Mimogrede, program je ime dobil po "kultnem" filmu Snakes On A Plane.

Po nekaj dneh poiskusnega delovanja je program dejansko odkril zlonamerno izhodno točko, ki vse SSL certifikate "neopazno" zamenja s svojimi. Gre za izhodno točko z imenom "1" (ena).

V resnici ta zamenjava ni povsem neopazna, saj spletni brskalniki uporabnika opozorijo, da je certifikat samopodpisan s strani neznane spletne strani, a večina običajnih uporabnikov takega opozorila navadno niti ne opazi, kaj šele, da bi ga razumela. Takšna zamenjava napadalcu omogoči, da se ob povezovanju na SSL zaščiteno spletno stran (npr. GMail) od žrtve do njega vzpostavi šifrirana povezava (a z lažnim certifikatom), podatki se pri napadalcu dešifrirajo, nato pa ponovno šifrirajo do ciljnega sistema (npr. GMaila), tokrat s pravim certifikatom. Na ta način napadalec kljub uporabi SSL šifriranja pridobi podatke v nekriptirani obliki.

Izhodna točka (IP = 218.58.6.159) se sicer nahaja na Kitajskem in nekatera poizvedovanja kažejo, da je računalnik, kjer je postavljena Tor točka tudi sam žrtev "man-in-the-middle napada".

Razvijalci Tor omrežja že intenzivno iščejo rešitve (ena izmed njih bo verjetno tudi redno pregledovanje integritete omrežja), za uporabnike pa velja, naj ob surfanju preko Tor-a pazljivo berejo opozorila spletnih brskalnikov in redno uporabljajo tudi vse ostale varnostne mehanizme.

11 komentarjev

Raw ::

Tor zdalec ni popolna zadeva, sam se vedno velik bols kot nic.

btw: "...imenom Shakes On A Tor, ki je namenjen...", torej Snakes in ne Shakes
I am what I am and I do what I can

AndrejS ::

... prestrezanja pa se ne da ugotoviti...

Tear_DR0P ::

ena čist mim
eeeem bral sem samo štefančiča, tak da ne vem kaj je res, kaj ni
ampak če so film soustvarjal gledalci z interneta, a je kej upanja na dovoljenje za prenos filma preko spleta? al bojo vse avtorske pravice in zasluge pobasal producenti?

drgač pa nazaj na temo

a anonimizacija na toru še vedno obstaja? al je to zdej že šlo?
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

ahac ::

suuuure

Nihče ga ni "soustvarjal" (vsaj z interneta ne).
Pač gre za en film, ki bi bil čist brezveze, če ne bi imel tako kul naslova.
Slo-Tech Discord - https://discord.gg/ppCtzMW

poweroff ::

Torej. Hvala za popravek - snakes (kače) in ne shakes je prav, da.

Glede ugotavljanja prestrezanja... da se s pomočjo "honeypota". Logiraš se na server in si zapomniš kdaj si se ti logiral. Če se logira še nekdo drug, veš, da je prišlo do zlorabe.
Je pa res, da če napadalec nikoli ne zlorabi prestreženega gesla, ga nikoli ne ujameš.

a anonimizacija na toru še vedno obstaja? al je to zdej že šlo?
Ne, anonimizacija še vedno obstaja. Če pa si nepreviden, lahko izgubiš zasebnost. Exit point ve samo od katere točke v Tor omrežju je dobil promet, ne ve pa prve točke in izvora (sourca).

Načeloma so tri možnosti:
- uporaba nešifrirane komunikacije brez osebnih podatkov (navadno browsanje, npr. iskanje preko Googla) - tukaj Tor deluje sprejemljivo, problem je le v injectanju zlonamerne kode. To bi se sicer dalo rešiti s prilagojenim md5 hashiranjem spletnih strani, kar sem predlagal, problem je le v tem, ker je to izvesti v nekaterih primerih tehnično zapleteno.
- uporaba nešifrirane komunikacije z osebnimi podatki (recimo branje pošte preko POP3) - to je velika šibka točka Tora, a predvsem neumnost tistih, ki to uporabljajo. V bistvu bi moral uporabo tega skozi Tor nekako onemogočiti, ali pa vsakič odpreti en velik pop-up, da je to samomor.
- uporaba šifrirane komunikacije (z osebnimi podatki ali brez) - npr. branje Gmaila, Hotmaila, IMAPS, itd. Tukaj je edini problem v tem, da je mogoče izvajati man-in-the-middle attack. A če uporabnik pozorno pogleda veljavnost SSL certifikatov, problema ni. Firefox recimo ima to precej dobro poštimano, če bi ljudje le brali preden kliknejo OK. Ostalih browserjev ne poznam, ampak ziher imajo tudi poštimano (predvsem Opera).

Skratka - v primeru 1 in 3 z nekaj zdrave pameti Tor deluje povsem v redu, predvsem v primeru 3, kjer injectanja ni. V primeru 2 je pa tveganje izjemno in takrat uporabo Tora odsvetujem.
sudo poweroff

Looooooka ::

in moznost tri....nehite delat karkol ze delate da se tok bojite browsat po googlu. =)

darkolord ::

IE7 ima glede takšnih certifikatov zelo dobro poskrbljeno

klemen22 ::

Pa tele Tor novice res že presedajo. Čist usake 2 dni je ena.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

Matevžk ::

Nnneee .. ne spomnim se, kdaj je bila zadnja. Po drugi strani o novih grafičnih karticah beremo zelo pogosto.
Torej, ŠE ENKRAT, kot že neštetokrat: pač ignoriraj novice, ki te ne zanimajo. Hvala.
lp, Matevžk

klemen22 ::

So so novice precej pogoste, sicer jih pa lahko spregledam:)

Sicer pa res kaj za vraga delate na netu da imate tak fetiš na te Tore. Kake zanimive posle kaj?
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

jype ::

Kaj pa _tebe_ briga kaj _mi_ delamo na netu?

Rajš povej kaj _ti_ delaš. Sej nimaš nič za skrivat, ka-li?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ali lahko ponudnik interneta vidi po katerih straneh srfaš? (strani: 1 2 )

Oddelek: Pomoč in nasveti
5010593 (9663) poweroff
»

Iran blokiral TOR, popravek na voljo še isti dan

Oddelek: Novice / Varnost
85160 (3564) poweroff
»

Snakes On A Tor

Oddelek: Novice / Zasebnost
115494 (4806) jype
»

Nadzor Tor izhodnih točk (strani: 1 2 )

Oddelek: Novice / Zasebnost
7511841 (10377) poweroff
»

Nova različica brskalnika Torpark

Oddelek: Novice / Zasebnost
215640 (3986) poweroff

Več podobnih tem