Snakes On A Tor
Matej Kovačič
29. avg 2006 ob 15:00:47
V eni prejšnjih novic smo že poročali o odkritju zlonamerne izhodne točke v omrežju Tor, ki je pretrezala izhodni promet iz anonimizacijskega omrežja, lastniki pa so javno objavili ukradena uporabniška imena in gesla.
Na poštnem seznamu operaterjev Tor omrežja se je glede problema prestrezanja in spreminjanja izhodnega prometa (npr. možnost vrivanja virusov) razvila živahna debata. Padel je predlog za izdelavo programa, ki bi preverjal obstoj zlonamernih Tor izhodnih točk v omrežju, in Mike Perry je v nekaj dneh tak program tudi napisal. Gre za program z imenom Snakes On A Tor, ki je namenjen ugotavljanju, ali nekdo na Tor izhodni točki ne spreminja prometa (tim. injection) in SSL certifikatov (slednje omogoča man-in-the-middle napad). Mimogrede, program je ime dobil po "kultnem" filmu Snakes On A Plane.
Po nekaj dneh poiskusnega delovanja je program dejansko odkril zlonamerno izhodno točko, ki vse SSL certifikate "neopazno" zamenja s svojimi. Gre za izhodno točko z imenom "1" (ena).
V resnici ta zamenjava ni povsem neopazna, saj spletni brskalniki uporabnika opozorijo, da je certifikat samopodpisan s strani neznane spletne strani, a večina običajnih uporabnikov takega opozorila navadno niti ne opazi, kaj šele, da bi ga razumela. Takšna zamenjava napadalcu omogoči, da se ob povezovanju na SSL zaščiteno spletno stran (npr. GMail) od žrtve do njega vzpostavi šifrirana povezava (a z lažnim certifikatom), podatki se pri napadalcu dešifrirajo, nato pa ponovno šifrirajo do ciljnega sistema (npr. GMaila), tokrat s pravim certifikatom. Na ta način napadalec kljub uporabi SSL šifriranja pridobi podatke v nekriptirani obliki.
Izhodna točka (IP = 218.58.6.159) se sicer nahaja na Kitajskem in nekatera poizvedovanja kažejo, da je računalnik, kjer je postavljena Tor točka tudi sam žrtev "man-in-the-middle napada".
Razvijalci Tor omrežja že intenzivno iščejo rešitve (ena izmed njih bo verjetno tudi redno pregledovanje integritete omrežja), za uporabnike pa velja, naj ob surfanju preko Tor-a pazljivo berejo opozorila spletnih brskalnikov in redno uporabljajo tudi vse ostale varnostne mehanizme.