Четверть выходных нод TOR под контролем злоумышленников / forpes.ru

Главная
Четверть выходных нод TOR под контролем злоумышленников

Четверть выходных нод TOR под контролем злоумышленников +17

11.08.2020 18:56

Intercepter 31 13100 Источник

9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь.

Истинный масштаб операций этой группы неизвестен, но их главной целью является получение прибыли. Злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Особенность ситуации в том, что атакующие применяли технику sslstrip, которая почему-то считается давно умершей и утратившей актуальность. Пока т.н. специалисты твердят об HTTP Strict Transport Security (= HSTS) и прочих preloaded списках доменов, сетевые злодеи вовсю эксплуатируют старую технику. В свое время Эдвард Сноуден использовал такие же приемы в своей деятельности.

Таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-серсивов.

Предлагаю вам ознакомиться с двумя видео роликами. В первом рассказывается история и суть атаки sslstrip, которая позволяет обрезать https ссылки и перехватывать данные предназначенные для ssl сессии.

Во втором рассказывается о механизме HSTS, который призван предотвратить использование техники sslstrip. Кроме этого в ролике демонстрируется способ обхода HSTS при помощи инструмента Intercepter-NG и объясняется принцип действия.

Также рекомендую ознакомиться со следующим интервью, в котором затрагиваются вопросы MiTM атак и возможные способы защиты от них.

Комментарии (31)

Kvazzzar
11.08.2020 23:36
#21948548
+1
Извините, а можно текстом? Ну, или хотя бы картинками.
1. Intercepter Автор
  11.08.2020 23:39
  #21948556
  +3
  про стрип вроде не писал, про hsts было здесь — habr.com/ru/post/263789

ProRunner
11.08.2020 23:36
#21948550
Кому, как мне, лень смотреть видео:

SSLStrip:
sslstrip — это инструмент, который незаметно перехватывает HTTP трафик в сети, следит за HTTPS ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP двойникам или омографически сходным HTTPS ссылкам.
HSTS:
HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS… Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP
1. Intercepter Автор
  11.08.2020 23:40
  #21948560
  +2
  TLDR, да, но в видео с деталями
1. warehouse13
  12.08.2020 01:12
  #21948694
  +2
  У Intercepter-а подача в видео классная. Всегда интересно смотреть.
  1. Intercepter Автор
    12.08.2020 01:12
    #21948696
    +2
    стараемся

powerman
12.08.2020 02:41
#21948754
+1
Учитывая, как нынче браузеры помечают http-сайты, довольно сложно не заметить в адресной строке предупреждение, особенно в момент работы с финансами… Так что простой внимательности против sslstrip должно хватать.

Что до HSTS, то заблокировать его возможно только если это первое посещение сайта, что так же уменьшает шанс успешной атаки.

Кстати, любопытно, насколько плагин HTTPS Everywhere эффективен против таких атак?

anonymous
12.08.2020 03:32
#21948784
Это-то понятно. Не понятно другое — не перехватывает ли TOR траффик государство, которое этот самый TOR создало?
1. adictive_max
  12.08.2020 05:59
  #21948878
  +1
  А не перехватит ли ЛЮБОЙ интернет-трафик государство, которое этот самый Интернет создало?
  1. mike4ip
    12.08.2020 18:18
    #21951182
    Трафик-то перехватит, но сможет ли расшифровать.
    
    adictive_max
    13.08.2020 04:16
    #21952146
    Вообще-то, если что, это была шутка юмора уровня «а не отключит ли нам электиричество государство, создавшее электроэнергетику»

Allister2
12.08.2020 07:01
#21948934
+1
Ну так не видно особой проблемы — надо ходить на TLS/SSL сайты и все будет нормально. А если требуется обмениваться секьюрной информацией через http — то так оно не работает. Не важно, TOR, не tor…
1. tendium
  12.08.2020 09:15
  #21949124
  Надо… ходить… Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт. И всё, приехали. Дальше можно сделать редирект на ресурс под своим контролем и творить всё, что потребуется.
  1. Graphite
    12.08.2020 10:16
    #21949318
    Неужели если в браузере написать https://example.com то он все равно отправит запрос на 80 порт?
    
    tendium
    12.08.2020 14:22
    #21950362
    А так пишет каждый?
    
    Graphite
    12.08.2020 14:37
    #21950424
    Нет конечно же, но Allister2 написал как "надо" делать. Если делать "как надо", то проблемы дейстивтельно нет.
    
    Операторы нод скорее всего ловят не очень грамотных юзеров, которых большинство.
  1. Aldrog
    12.08.2020 14:02
    #21950288
    без HSTS preloaded list запрос сначала пойдет на 80-ый порт
    Разве не это исправляет плагин HTTPS Everywhere, который, между прочим, в Tor Browser включен по умолчанию?
    
    tendium
    12.08.2020 14:31
    #21950388
    Аддон-то это исправляет. Но стоит полагать, что часть юзеров его могут отключать (потому как есть сайты, которые из-за этого начинают криво работать — типа там на сервере-то поддержка https есть, но сам сайт не готов с https работать). Плюс, я не оператор такой выходной ноды. Вполне может быть, что есть и другие юз.кейсы. Раз их так много, значит это имеет для них смысл.
  1. Myateznik
    12.08.2020 15:31
    #21950620
    Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт.
    Если не указывать протокол браузер вероятнее всего будет использовать http и тогда да в начале пойдёт на 80-ый порт. А если ручками указать протокол https, будет использоваться только 443 порт (если вы и порт ручками не указали). Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны — 6 символов, https:example.com).
    
    Но вот это "вероятнее всего" зависит от множества факторов:
    
    Для начала в "большой тройке" браузеров (Chromium, Firefox, Safari), HSTS preload list поставляется изначально далеко не пустой. Более того этот список с обновлениями браузеров подкачивается/синхронизируется. Кстати производитель вполне может в этот список на этапе поставки браузера добавить дополнительные записи.
    
    Так же этот список локально обновляется сайтами с HSTS header и не значащимися в HSTS preload list — тут действительно первый заход будет на 80-ый порт, однако последующие уже на 443-ий.
    
    Стоит отметить, что в выше указанный HSTS preload list жестко вшиты некоторые домены первого уровня (.dev, .app), а значит на сайты в этих gTLD браузеры заходят только на 443-ий порт, игнорируя вообще существование 80-го порта.
    
    А вообще HSTS header де-факто уже признан устаревшим и ему на смену готовят HTTPSSVC DNS resource record. Это по сути замена сразу двух HTTP заголовков HSTS header и AltSvc header с интеграцией сюда ESNI.
    
    В данной схеме устраняется та самая уязвимость первого захода с HSTS header. Главная идея в том, что браузер будет ходить на порты, указанные в DNS записи и по протоколам так же указанным в этой записи. Например, на ещё не посещённый сайт сразу на 443 порт так ещё по протоколу Quic или HTTP/3 и с применением ESNI.
    
    Также рассматривается будущая (через 2-5+ лет) возможность признания протокола http устаревшим с дальнейшим выпиливанием из браузеров, по аналогии с протоколом ftp в этом году.
    
    Intercepter Автор
    13.08.2020 00:20
    #21951986
    Спасибо за информацию.
    
    tendium
    13.08.2020 14:15
    #21953454
    Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны
    Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.
    
    Myateznik
    17.08.2020 19:41
    #21964770
    Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.
    Нет, ну если хочется ещё проще, поскорее и без объяснений всем массам, можно принудительно зашить в браузерах https-only или https с фолбеком на http.
    
    А вообще эта проблема должна будет решиться с внедрением выше упомянутого HTTPSSVC DNS resource record. Если у домена есть данная запись, браузер строго следует правилам в ней и использует https соединения. Если такой записи нет, работает точно так же как сейчас (http-first).

StraNNicK
13.08.2020 12:23
#21953038
tor
тор
биткоин
bitcoin
посмотри ролик
посмотри ролик
посмотри ролик
посмотри ролик

вам определённо стоило дописать что-то в духе «качай бесплатно без регистрации и смс»
1. Intercepter Автор
  14.08.2020 00:30
  #21955016
  эти теги уже стоят в ютубе, не переживайте

Full-R
14.08.2020 01:17
#21955120
Тор нужен только чтобы наркотики покупать.
1. Allister2
  14.08.2020 01:38
  #21955130
  TOR — это прекрасный инструмент для организации ssh в местах, где зарезан весь входящий трафик. Поднять VPN — это нужно много чего делать (VPN ведь нужно поднимать куда-то!), а создать сервис на нестандартном порту в TOR — значит за минуту организовать удаленный доступ к серверу в весьма нестандартных локациях.
  
  Разумеется, когда ты на этом заработал денег. то можно и наркотики купить, но почему-то чаще всего они уходят на всякие материальные блага — новый нотубук, машина, оплата коммуналки в квартире за год (смешно, но подработку использую именно для этого :) )
  1. Full-R
    17.08.2020 13:24
    #21962608
    В попу весь dark web — не нужен. Избегайте таких мест, где зарезан весь входящий трафик. Вы наверное что-то несанкционное делаете.
    
    Allister2
    17.08.2020 14:41
    #21963206
    «Избегайте таких мест, где зарезан весь входящий трафик. » — например серверок на RPI на мобильном интернете? SSH туда настраивается за минту, реально, причем не надо никакого централизованного сервера.
    
    Full-R
    17.08.2020 14:48
    #21963274
    Я из тех людей, кто, например, не рутует телефоны и потом не вырывает себе волосы на голове. Я себе даже на слабый ASUS VivoBook просто покую платную Win Pro и настраиваю Hyper-V для того, чтобы не ставить антивирус. Серверки на RPI и Ardunio мне тоже кажутся смешными потому что я лучше куплю "умный дом", чем буду с паяльником в заднице развлекаться весь отпуск. Если вам жалко 200 рублей в месяц на хостинг, то совершенно очевидно, что вам и торрент и тор нужны.
    
    Allister2
    17.08.2020 19:17
    #21964686
    Серверки на RPI и Ardunio мне тоже кажутся смешными
    
    А что смешного в сервере на RPI 4? Это не такая уж и слабенькая машина, идеальна для некоторых проектов.
    
    я лучше куплю «умный дом», чем буду с паяльником в заднице развлекаться весь отпуск.
    
    Ну если у Вас руки из задницы, то и паяльник где-то там же будет :) Очень многие вещи «купить» просто так практически невозможно или стоимость будет запредельная. Тем более, что паяльник то для RPI может и вообще не требоваться.
    
    Если вам жалко 200 рублей в месяц на хостинг
    Я не хочу поддерживать хостинг для чужого оборудования, за ним нужно следить, зачем мне это? Настроил TOR и всё.
    
    то совершенно очевидно, что вам и торрент и тор нужны
    
    И torrent и TOR — это инструменты. Иногда очень эффективные.
    
    Full-R
    17.08.2020 19:50
    #21964794
    Эффективные для чего? RPI windows не поддерживает, а Linux хостинг можно купить за 200 рублей и там нет проблем с подключением. Torrent вам зачем? Красть фильмы и распространять краденую Windows(дистр арчлинукса весит мегабайт 500 с обвязкой рабочего стола). Если вы дарите ребенку высушенную булку хлеба с воткнутыми спицами на день рожденья и говорите, что это троллейбус — вас тоже не понять.

Четверть выходных нод TOR под контролем злоумышленников +17

Комментарии (31)

Intercepter Автор

Intercepter Автор

Intercepter Автор

Intercepter Автор

Intercepter Автор