» »

Nekateri TOR exit nodi dodajo malware v prenesene datoteke

Nekateri TOR exit nodi dodajo malware v prenesene datoteke

leviathansecurity.com - Ljudje ponujajo Tor node-e iz različnih razlogov, večinoma dobrih, se pa najdejo tudi taki, ki bi radi izkoristili uporabnike tega anonimizacijskega omrežja in jim namesto želenih datotek podtaknejo take z dodanim malwarom.

Josh Pitts, varnostni raziskovalec za ameriško hišo Leviathan Security, že nekaj let predava o metodah za spreminjanje izvršljivih datotek (t.i. binary patching). Pri tem rad poudarja, da ne gre za pretirano zahtevno operacijo in da so vsa potrebna orodja pravzaprav že precej let na voljo v odprtokodni in dobro dokumentirani obliki (k čemur prispeva tudi sam). Zato naj bi bilo zgolj vprašanje časa, preden se bo nekdo spomnil to tehniko uporabljati za okuževanje računalnikov. Napadalec z polnim dostopom do omrežnega prometa bi mirno lahko čakal na prenose izvršljivih (ali tudi drugih) datotek po nešifriranem protokolu HTTP, ter jih kar med prenosom napolnil s svojo škodljivo kodo. Za demonstracijske potrebe je celo združil svoje obstoječe orodje BDF (the backdoor factory) z dobro znanim MITM toolkitom mitmproxy v delujoč BDF Proxy.

Situacije, kjer bi napadalec imel ustrezni dostop do našega mrežnega kabla, niti niso tako redke. Prisluškovanje (sniffing) in potem spreminjanje vsebine prometa (spoofing) je povsem možno v poslovnem okolju (MITM napadi na transparentnem proxy-ju), ali pri vseh tistih brezplačnih wifij-jih po lokalih, ki jih tako radi uporabljamo (BEAST oz. CRIME). Resni ponudniki interneta (ISP-ji) naj tega ne bi počeli, oz. ob uzakonjenih pravilah nevtralnosti omrežja tudi ne bi smeli početi, a to ni čisto res, ko pa ameriški mobilni operater Verizon svojim uporabnikom mobilnega interneta mirno blokira rabo šifriranega dostopa do poštnih strežnikov (točneje, z MITM napadom onemogoča STARTTSL operacijo v IMAPS protokolu, tako da se je vaš poštni klient primoran povezati po nešifrirani povezavi). A če pustimo zdaj to: MITM napadi so povsem možni tudi v omrežju TOR. Ker gre TOR promet prav načrtno skozi mrežno opremo - relaye in exit node-e - ki jo zagotavljajo tretje osebe (ne operaterji), je seveda treba zaupati tem osebam.

Da bi preveril, ali katera od izhodnih točk manipulira nešifrirane prenose datotek, je Pitts s pomočjo knjižnice exitmap od projekta Spoiled Onions poskusil isto datoteko potegniti čez vse javno dostopne TOR exit node. Za vsak prenos je potem izdelal zgoščeno vrednost (hash) in tako preveril, ali je na koncu dobil točno takšno datoteko, kot bi jo moral.

Pri skoraj vseh od 1100 in nekaj znanih izhodnih točk je bilo vse v redu, ena pa je namesto želene datoteke, npr. putty.exe ali tcpview.exe, servirala takšno, ki je vsebovala tudi trojanskega konja. Če je uporabnik takšno takoteko pognal, si je najprej okužil računalnik, potem pa se mu je, kot je treba, pognal še putty oz. tcpview. Na ta način uporabnik zelo težko posumi, da je šlo kaj narobe, še posebej ne zato, ker že itak uporablja anonimizacijsko omrežje in si torej obeta "povečano mero varnosti in anonimnosti".

Sporni exit node je imel v času pisanja članka oznako "8361A794DFA231D863E109FC9EEEF21F4CF09DDD" in IP naslov 78.24.222.229.

Seveda, takšen napad "načeloma" deluje zgolj pri prenosih po nešifriranem protokolu HTTP. A kot se izkaže, veliko popularnih strani za prenos datotek še vedno podpira prenos datotek po takšnem kanalu.

Prvo priporočilo vsem uporabnikom TOR-a bi torej moralo biti, da vklopijo še brskalniško razširitev HTTPS Everywhere, ki se s spletnimi stranmi, če to le podpirajo, vedno pogovarja preko šifrirane povezave. A to je šele začetek dela. Tudi šifrirane povezave so lahko predmet napada, če ima napadalec na voljo malo več volje, časa in resursov. Načini so različni - vsiljevanje rabe starejše različice SSL specifikacije (POODLE), izkoriščanje pomanjkljivo spisanih in nepregledanih razširitev TSL protokola (HEARTBEAT), izkoriščanje dejstva, da velika večina Android aplikacij zavoljo lenobe avtorjev dopušča tudi rabo samopodpisanih strežniških certifikatov, priprava ponarejenih strežniških certifikatov, če imetnik še vedno podpira takšne z nezanesljivimi podpisnimi algoritmi (FLAME), napad na certifikacijsko avtoriteto (indijski NIC) oz. njihovega slabo zavarovanega resellerja (diginotar) in potem izdaja lažnih certifikatov .. in še in še. Internet je precej nevaren že sam po sebi.

9 komentarjev

vostok_1 ::

A res ni mogoče exit node naredit bolj varnostno robustne?

ales85 ::

Če imaš interes za to je vsekakor možno, v nasprotnem primeru pač nastopijo drugi interesi :)

frke ::

Po končanem prenosu se lahko preveri hash (md5, sha..:), če je na viru prenosa napisan

tomaz88 ::

vostok_1 je izjavil:

A res ni mogoče exit node naredit bolj varnostno robustne?

vedi čemu tor služi pa bo

Mitch ::

frke je izjavil:

Po končanem prenosu se lahko preveri hash (md5, sha..:), če je na viru prenosa napisan


Z vrivanjem ukazov nop se da prirediti tudi hash tako da ustreza pravilnemu...

vostok_1 ::

Samo omrežje kolkr sem uspel razumet je dovolj robustno, problem so izhodi in vhodi.
Glede na to, da tor uporabljajo kriminalne združbe in obični nepridipravi, bi rekel, da deluje.

Po končanem prenosu se lahko preveri hash (md5, sha..:), če je na viru prenosa napisan


Po moji laični presoji se mi zdi to super ideja, če ti nekdo hoče kaj uvalit. Problem je seveda nešifrirana povezava iz exit node-a.

MrStein ::

netvtralnosti omrežja

napača
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

frke je izjavil:

Po končanem prenosu se lahko preveri hash (md5, sha..:), če je na viru prenosa napisan

Ja, samo redkokje je napisan.
Prednost imajo protokoli, ki imajo check že vgrajen, a kaj ko so ... frowned upon?

HTTPS bi tudi krepko zmanjšal ta problem, ampak... glej prejšnjo točko.

Sem preveril zadnja dva ducata svoj downloadov in celo pol ducata jih je preko HTTPS, kar me je pozitivno presenetilo.
Tri četrtine pa so še vedno bile HTTP.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mandi ::

MrStein je izjavil:

netvtralnosti omrežja

napača

poštimano, hvala.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181840 (64394) jukoz
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185792 (59987) MrStein
»

Pozor, pokvarjena čebula

Oddelek: Novice / Varnost
117052 (5103) poweroff
»

Ali lahko ponudnik interneta vidi po katerih straneh srfaš? (strani: 1 2 )

Oddelek: Pomoč in nasveti
5010688 (9758) poweroff
»

Snakes On A Tor

Oddelek: Novice / Zasebnost
115522 (4834) jype

Več podobnih tem