Четверть выходных нод TOR под контролем злоумышленников +17





9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь.

Истинный масштаб операций этой группы неизвестен, но их главной целью является получение прибыли. Злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Особенность ситуации в том, что атакующие применяли технику sslstrip, которая почему-то считается давно умершей и утратившей актуальность. Пока т.н. специалисты твердят об HTTP Strict Transport Security (= HSTS) и прочих preloaded списках доменов, сетевые злодеи вовсю эксплуатируют старую технику. В свое время Эдвард Сноуден использовал такие же приемы в своей деятельности.

Таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-серсивов.

Предлагаю вам ознакомиться с двумя видео роликами. В первом рассказывается история и суть атаки sslstrip, которая позволяет обрезать https ссылки и перехватывать данные предназначенные для ssl сессии.


Во втором рассказывается о механизме HSTS, который призван предотвратить использование техники sslstrip. Кроме этого в ролике демонстрируется способ обхода HSTS при помощи инструмента Intercepter-NG и объясняется принцип действия.


Также рекомендую ознакомиться со следующим интервью, в котором затрагиваются вопросы MiTM атак и возможные способы защиты от них.




Комментарии (31):

  1. Kvazzzar
    /#21948548 / +1

    Извините, а можно текстом? Ну, или хотя бы картинками.

  2. ProRunner
    /#21948550

    Кому, как мне, лень смотреть видео:

    SSLStrip:

    sslstrip — это инструмент, который незаметно перехватывает HTTP трафик в сети, следит за HTTPS ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP двойникам или омографически сходным HTTPS ссылкам.
    HSTS:
    HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS… Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP

    • warehouse13
      /#21948694 / +2

      У Intercepter-а подача в видео классная. Всегда интересно смотреть.

  3. powerman
    /#21948754 / +1

    Учитывая, как нынче браузеры помечают http-сайты, довольно сложно не заметить в адресной строке предупреждение, особенно в момент работы с финансами… Так что простой внимательности против sslstrip должно хватать.


    Что до HSTS, то заблокировать его возможно только если это первое посещение сайта, что так же уменьшает шанс успешной атаки.


    Кстати, любопытно, насколько плагин HTTPS Everywhere эффективен против таких атак?

  4. /#21948784

    Это-то понятно. Не понятно другое — не перехватывает ли TOR траффик государство, которое этот самый TOR создало?

    • adictive_max
      /#21948878 / +1

      А не перехватит ли ЛЮБОЙ интернет-трафик государство, которое этот самый Интернет создало?

      • mike4ip
        /#21951182

        Трафик-то перехватит, но сможет ли расшифровать.

        • adictive_max
          /#21952146

          Вообще-то, если что, это была шутка юмора уровня «а не отключит ли нам электиричество государство, создавшее электроэнергетику»

  5. Allister2
    /#21948934 / +1

    Ну так не видно особой проблемы — надо ходить на TLS/SSL сайты и все будет нормально. А если требуется обмениваться секьюрной информацией через http — то так оно не работает. Не важно, TOR, не tor…

    • tendium
      /#21949124

      Надо… ходить… Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт. И всё, приехали. Дальше можно сделать редирект на ресурс под своим контролем и творить всё, что потребуется.

      • Graphite
        /#21949318

        Неужели если в браузере написать https://example.com то он все равно отправит запрос на 80 порт?

        • tendium
          /#21950362

          А так пишет каждый?

          • Graphite
            /#21950424

            Нет конечно же, но Allister2 написал как "надо" делать. Если делать "как надо", то проблемы дейстивтельно нет.


            Операторы нод скорее всего ловят не очень грамотных юзеров, которых большинство.

      • Aldrog
        /#21950288

        без HSTS preloaded list запрос сначала пойдет на 80-ый порт

        Разве не это исправляет плагин HTTPS Everywhere, который, между прочим, в Tor Browser включен по умолчанию?

        • tendium
          /#21950388

          Аддон-то это исправляет. Но стоит полагать, что часть юзеров его могут отключать (потому как есть сайты, которые из-за этого начинают криво работать — типа там на сервере-то поддержка https есть, но сам сайт не готов с https работать). Плюс, я не оператор такой выходной ноды. Вполне может быть, что есть и другие юз.кейсы. Раз их так много, значит это имеет для них смысл.

      • Myateznik
        /#21950620

        Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт.

        Если не указывать протокол браузер вероятнее всего будет использовать http и тогда да в начале пойдёт на 80-ый порт. А если ручками указать протокол https, будет использоваться только 443 порт (если вы и порт ручками не указали). Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны — 6 символов, https:example.com).


        Но вот это "вероятнее всего" зависит от множества факторов:


        Для начала в "большой тройке" браузеров (Chromium, Firefox, Safari), HSTS preload list поставляется изначально далеко не пустой. Более того этот список с обновлениями браузеров подкачивается/синхронизируется. Кстати производитель вполне может в этот список на этапе поставки браузера добавить дополнительные записи.


        Так же этот список локально обновляется сайтами с HSTS header и не значащимися в HSTS preload list — тут действительно первый заход будет на 80-ый порт, однако последующие уже на 443-ий.


        Стоит отметить, что в выше указанный HSTS preload list жестко вшиты некоторые домены первого уровня (.dev, .app), а значит на сайты в этих gTLD браузеры заходят только на 443-ий порт, игнорируя вообще существование 80-го порта.


        А вообще HSTS header де-факто уже признан устаревшим и ему на смену готовят HTTPSSVC DNS resource record. Это по сути замена сразу двух HTTP заголовков HSTS header и AltSvc header с интеграцией сюда ESNI.


        В данной схеме устраняется та самая уязвимость первого захода с HSTS header. Главная идея в том, что браузер будет ходить на порты, указанные в DNS записи и по протоколам так же указанным в этой записи. Например, на ещё не посещённый сайт сразу на 443 порт так ещё по протоколу Quic или HTTP/3 и с применением ESNI.


        Также рассматривается будущая (через 2-5+ лет) возможность признания протокола http устаревшим с дальнейшим выпиливанием из браузеров, по аналогии с протоколом ftp в этом году.

        • tendium
          /#21953454

          Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны

          Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.

          • Myateznik
            /#21964770

            Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.

            Нет, ну если хочется ещё проще, поскорее и без объяснений всем массам, можно принудительно зашить в браузерах https-only или https с фолбеком на http.


            А вообще эта проблема должна будет решиться с внедрением выше упомянутого HTTPSSVC DNS resource record. Если у домена есть данная запись, браузер строго следует правилам в ней и использует https соединения. Если такой записи нет, работает точно так же как сейчас (http-first).

  6. StraNNicK
    /#21953038

    tor
    тор
    биткоин
    bitcoin
    посмотри ролик
    посмотри ролик
    посмотри ролик
    посмотри ролик

    вам определённо стоило дописать что-то в духе «качай бесплатно без регистрации и смс»

    • Intercepter
      /#21955016

      эти теги уже стоят в ютубе, не переживайте

  7. Full-R
    /#21955120

    Тор нужен только чтобы наркотики покупать.

    • Allister2
      /#21955130

      TOR — это прекрасный инструмент для организации ssh в местах, где зарезан весь входящий трафик. Поднять VPN — это нужно много чего делать (VPN ведь нужно поднимать куда-то!), а создать сервис на нестандартном порту в TOR — значит за минуту организовать удаленный доступ к серверу в весьма нестандартных локациях.

      Разумеется, когда ты на этом заработал денег. то можно и наркотики купить, но почему-то чаще всего они уходят на всякие материальные блага — новый нотубук, машина, оплата коммуналки в квартире за год (смешно, но подработку использую именно для этого :) )

      • Full-R
        /#21962608

        В попу весь dark web — не нужен. Избегайте таких мест, где зарезан весь входящий трафик. Вы наверное что-то несанкционное делаете.

        • Allister2
          /#21963206

          «Избегайте таких мест, где зарезан весь входящий трафик. » — например серверок на RPI на мобильном интернете? SSH туда настраивается за минту, реально, причем не надо никакого централизованного сервера.

          • Full-R
            /#21963274

            Я из тех людей, кто, например, не рутует телефоны и потом не вырывает себе волосы на голове. Я себе даже на слабый ASUS VivoBook просто покую платную Win Pro и настраиваю Hyper-V для того, чтобы не ставить антивирус. Серверки на RPI и Ardunio мне тоже кажутся смешными потому что я лучше куплю "умный дом", чем буду с паяльником в заднице развлекаться весь отпуск. Если вам жалко 200 рублей в месяц на хостинг, то совершенно очевидно, что вам и торрент и тор нужны.

            • Allister2
              /#21964686

              Серверки на RPI и Ardunio мне тоже кажутся смешными

              А что смешного в сервере на RPI 4? Это не такая уж и слабенькая машина, идеальна для некоторых проектов.

              я лучше куплю «умный дом», чем буду с паяльником в заднице развлекаться весь отпуск.

              Ну если у Вас руки из задницы, то и паяльник где-то там же будет :) Очень многие вещи «купить» просто так практически невозможно или стоимость будет запредельная. Тем более, что паяльник то для RPI может и вообще не требоваться.

              Если вам жалко 200 рублей в месяц на хостинг
              Я не хочу поддерживать хостинг для чужого оборудования, за ним нужно следить, зачем мне это? Настроил TOR и всё.

              то совершенно очевидно, что вам и торрент и тор нужны

              И torrent и TOR — это инструменты. Иногда очень эффективные.

              • Full-R
                /#21964794

                Эффективные для чего? RPI windows не поддерживает, а Linux хостинг можно купить за 200 рублей и там нет проблем с подключением. Torrent вам зачем? Красть фильмы и распространять краденую Windows(дистр арчлинукса весит мегабайт 500 с обвязкой рабочего стола). Если вы дарите ребенку высушенную булку хлеба с воткнутыми спицами на день рожденья и говорите, что это троллейбус — вас тоже не понять.