Pozor, pokvarjena čebula

Raziskovalci z Univerze v Karlstadu so v štirimesečni analizi odkrili 25 računalnikov, ki delujejo kot izhodna vozlišča (exit relay) v sistemu Tor (The Onion Router) in izvajajo MITM-napade. Poimenovali so jih pokvarjena čebula in analizirali, kaj počno (znanstveni članek).

Tor je omrežje za anonimizacijo prometa na internetu, a ni vse mogočen. Sestavlja ga več vozlišč (relays), ki si med seboj podajajo šifriran promet. Promet v Tor vstopi prek vstopnega vozlišča (entry node), s katerim se poveže uporabnik, potem pa si promet med seboj nekajkrat izmenjajo notranja vozlišča, s čimer se zakrije njegov vir. Na koncu se njegova pot po Toru konča pri izhodnem vozlišču, kjer se mora odšifrirati in poslati v nezaščiten internet do končnega cilja. Prav ta izstopna vozlišča so lahka tarča ali vektor za napade.

Poganjanje vozlišč je neplačano početje, ki pa zahteva strojno opremo, internetno povezavo in prinaša določene stroške. Zato se postavi vprašanje, zakaj bi kdo to sploh počel prostovoljno. Prostovoljci vseeno obstajajo, a že dlje časa se je skupnost spraševala, ali nemara NSA ali kakšna druga agencija ne poganja svojih zlonamerni izhodnih vozlišč, na katere se povezujejo nič hudega sluteči uporabniki Tora. Pri 25 odkritih pokvarjenih čebulah NSA najbrž nima nič z vsem skupaj, a slab priokus (ali pa zadah) ostaja.

Ugotovili so, da so izmed 25 pokvarjenih čebul trije strežniki konfigurirani napak, medtem ko ostali nečednosti počno namenoma. Uporabljajo različne vrste MITM-napadov, recimo sslstrip, ki jim omogoča prestrezanje podatkov v paketkih, ali druge načine MITM-napadov na HTTPS ali SSH. Strežniki so namreč ob vzpostavitvi povezave stranki podtaknili svoj certifikat, kar jim je omogočilo prisluškovanje prometu, ne da bi stranka to vedela.

Za predstavo povejmo, da ima Tor trenutno okrog 1000 izhodnih vozlišč. Velika večina izmed teh zlonamernih strežnikov domuje v Rusiji. Kar 19 jih podtika isti certifikat in uporablja staro verzijo Tora 0.2.2.37. Komu pripadajo, niso uspeli ugotoviti, so pa številni med njimi delo iste združbe.

Tor omrežje seveda nikoli ni obljubljajo šifriranja podatkov in njihove zaščite po tem, ko zapustijo omrežje. Kdor želi to, mora za šifriranje (recimo prek HTTPS) skrbeti sam. Avtor članka je v blogu dodatno pojasnil, kaj vse skupaj pomeni za uporabnike. Kot poudarja, 25 strežnikov med tisočimi v štirih mesecih ni veliko; zlasti ker niso bili vse aktivni ves čas, ampak so sproti umirali. Poleg tega so bili precej počasni, tako da se skoznje ni preusmerilo veliko prometa. Nadalje, Tor privzeto namesti vtičnik HTTPS-Everywhere za Firefox, ki poizkusi do vseh strani najprej priti prek varne HTTPS-povezave. V tem primeru smo varni. Dejstvo pa ostaja, da pošiljanje nešifriranega prometa pomeni, da ga lahko prebere kdorkoli, četudi ga pošiljamo prek Tora.