Onderzoeker: Tor-gebruikers doelwit van grootschalige mitm-aanval
Gebruikers van het Tor-netwerk waren de afgelopen maanden het doelwit van een grootschalige man-in-the-middle (mitm)-aanval en de verantwoordelijke aanvaller is nog steeds actief, zo stelt een beveiligingsonderzoeker in een nieuw rapport. De aanvaller zou op het hoogtepunt bijna 24 procent van alle Exitnode-capaciteit van het Tor-netwerk in handen hebben gehad en gebruikte deze toegang voor het onderscheppen van http-verkeer naar bepaalde websites.
Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.
De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt.
De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat.
Om niet al teveel op te vallen heeft de aanvaller het op bepaalde websites voorzien. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. "Het aanpassen van bitcoin-adressen is niet nieuw, maar de schaal van deze operatie is dat wel", aldus de onderzoeker, die toevoegt dat het niet mogelijk is om vast te stellen of de aanvaller zich ook met andere aanvallen bezighoudt.
Meerdere exitnode-servers van de aanvaller zijn inmiddels verwijderd, maar de onderzoeker stelt dat hij nog steeds meer dan tien procent van de exitnode-capaciteit in handen heeft. Gebruikers kunnen zich beschermen door het volledige adres in te tikken, te beginnen met https:// gevolgd door de domeinnaam. Websites kunnen hun gebruikers beschermen door gebruik te maken van HTTP Strict Transport Security (HSTS). HSTS zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.
Om ervoor te zorgen dat websites ook bij het allereerste bezoek alleen via https worden bezocht maken browsers gebruik van een HSTS-preloadlist. Deze lijst bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Domeineigenaren kunnen hun domeinen via hstspreload.org voor deze lijst aanmelden. Tenminste één van de bitcoin-websites die het doelwit van de aanval was heeft deze maatregel genomen.
Daarnaast heeft de onderzoeker ook nog een boodschap voor het Tor Project, de organisatie die het Tor-netwerk beheert. Het feit dat er herhaaldelijk op grote schaal kwaadaardige exitnode-servers worden ingezet maken volgens de onderzoeker duidelijk dat de huidige controles en aanpak voor het detecteren van dergelijke servers tekortschiet en dat het dreigingslandschap voor Tor-gebruikers is veranderd. Wel zijn er verschillende maatregelen voorgesteld die het Tor Project kan nemen.
Wellicht is dit een boef die collega boeven probeert op te lichten. Meestal zullen zijn collega boeven dat niet over hun kant laten gaan (zeg maar hij speelt met zijn leven).
Een oplossing die je zelf, als site-eigenaar, kunt treffen is door vanaf de http versie consequent een 301 of 302 te geven naar de https versie. En daar zet je dan een HTST header.
Of dit ook helpt tegen de in het artikel beschreven methode is de vraag... hier zet de aanvaller zelf een beveiligde verbinding op en stuurt die dan onbeveiligd door. En als de betreffende site dan tevoren geen HTST header heeft gezet en/of niet op de https-everywhere of HSTS-preloadlist staat is het bingo voor de aanvaller.
Banken zijn niet voor niets gebonden aan het exact weten van wie welk geld is: dat is ook voor jouw veiligheid.
Zolang je niet een login gebruikt op je bitcoin site, die je eerder zonder TOR bezocht, is er niets aan de hand. Tenminste, dan ben je nog steeds anoniem wat TOR betreft.
Waarom wil je sowieso je bitcoin site bezoeken via TOR? Je bank bezoek je toch ook niet via TOR?! Dat is inderdaad vragen om problemen.
Zolang je niet een login gebruikt op je bitcoin site, die je eerder zonder TOR bezocht, is er niets aan de hand. Tenminste, dan ben je nog steeds anoniem wat TOR betreft.
Waarom wil je sowieso je bitcoin site bezoeken via TOR? Je bank bezoek je toch ook niet via TOR?! Dat is inderdaad vragen om problemen.
Misschien om fiscale redenen?
Inderdaad. Deze aanvulling had al in het originele TOR ontwerp aanwezig moeten zijn. Volgens sommigen stond het ook in de originele specificaties maar werd het door bepaalde partijen als ongewenst gezien.
Toch is het een feit dat het percentage criminelen dat via tor werkt veel hoger is dan bij het gewone internet. Ik zie het ook aan de log gegevens van onze server. Het aantal IP adressen dat wegens foute inlogpogingen geblokkeerd worden bevat relatief veel tor exit nodes. Heel veel meer dan je op het totale aantal IP adressen kunt verwachten als tor gebruikers net zo eerlijk zouden zijn als gewone internetters.
Maar zoiets poepsimpels als beginnen op 443 met HTTPS en fallback naar HTTP op 80, nee, daar kunnen firefox, google en de rest geen geld mee verdienen, met certificaatjes die speciaal zijn en steeds kortere levensduur hebben wel...
Al met al een complete farce en ik doe er niet meer aan mee.
Het domein staat in de HSTS lijst, maar domein voorafgegaan door www. echter niet.
Waarom dus niet allebei?
En daar kan misbruik van worden gemaakt.
luntrus
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.
Wellicht is dit een boef die collega boeven probeert op te lichten. Meestal zullen zijn collega boeven dat niet over hun kant laten gaan (zeg maar hij speelt met zijn leven).
Ik ken de ontwikkelaars achter TOR niet en ik kan niet in hun hoofden kijken. Wellicht is het ooit begonnen met oprecht goede intenties. Maar de criminele wereld heeft de mogelijkheden van TOR ook ontdekt en dat zijn minder fijne toepassingen van TOR.
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.
Wat een onzin. Dan moet je bijvoorbeeld auto's ook gaan verbieden, omdat er gekken zijn die met opzet er mensen mee gaan doodrijden? Of daarmee de mogelijkheid toe geeft?
Voor het eerst aangekaart door onderzoeker Moxie Marlinspike, weten we nog?
De aanval kan via gebruikmaken van een proxy server, ARP spoofing en een hotspot.
HTTPS op alle pagina's van een website instellen en HSTS policy implementeren,
dan zal een (tor) browser geen site openen mits deze HTTPS draait. Goede tegenactie
Tor en Bitcoins verbieden en encryptie en VPN helpt niet tegen cybercrime.
Daar zijn we hier op security.nl al wel een tijdje achter, hoop ik.
Dus niet bezuinigen op security, beste CEO en brave manager. Dat helpt zeker.
Maar die beslissen hebben er geen oog voor en die er oog voor hebben nemen de beslissingen doorgaans niet.
En zo blijft het "a never ending story".
luntrus
De les die we hieruit kunnen leren:
1. Maak alleen en uitsluitend gebruik van HTTPS-over-Tor tunnels
o houdt de twee schakelaars van HTTPS Everywhere altijd op 'AAN' en 'AAN'
2. Gebruik nooit afgekorte web adressen, want dat is te gevaarlijk
o pas dus alleen fully qualified domain names toe
3. Geeft altijd de https:// protocol identifyer op voor het adres
o gebruik bladwijzers tegen het maken van fatale tikfouten
4. Gebruik ook onder het .onion domein liefst alleen HTTPS-over-Tor
o verifieer de fingerprint van het HTTPS certificaat
o lees de gebruikershandleiding en gedraag je braaf :-)
Real-World Onion Sites (voor de voorzichtige beginner)
https://github.com/alecmuffett/real-world-onion-sites
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.
Helemaal met je eens. Het probleem aanpakken ho maar.
De vraag is nu: Wat is het probleem?
Waarom gebruiken mensen TOR?
De antwoorden op deze vraag zijn de problemen die opgelost moeten worden.
Verbieden van TOR is zoals veel vaker te zien, symptoom bestrijding.
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.
Helemaal met je eens. Het probleem aanpakken ho maar.
De vraag is nu: Wat is het probleem?
Waarom gebruiken mensen TOR?
De antwoorden op deze vraag zijn de problemen die opgelost moeten worden.
Verbieden van TOR is zoals veel vaker te zien, symptoom bestrijding.
Nou voor mij is een belangrijke reden om TOR te gebruiken juist omdat we zoveel gevolgd worden.
Zeker bij zaken als opzoeken van medische informatie of verkiezingsprogramma's van politieke partijen ben ik
er niet van gediend dat ik getrackt wordt. Dat zijn onderwerpen die NIEMAND iets aangaan.
Maar omdat al dat getrack maar "normaal" gevonden moet worden, zoek ik zelf de nodige bescherming.
En TOR voldoet hier prima aan.
Overigens: ook journalisten en activisten in niet-zo-democratische oorden hebben veel baat bij TOR.
Zeker bij zaken als opzoeken van medische informatie of verkiezingsprogramma's van politieke partijen ben ik
er niet van gediend dat ik getrackt wordt. Dat zijn onderwerpen die NIEMAND iets aangaan.
Gelijk heb je, want zonder gebruik te maken van de Tor Browser, met de NoScript add-on aan, ligt anders zo'n beetje je hele hebben en houden, je interesses en je privéleven continu op straat.
Een voorbeeld: BNR.nl
bnr.nl [NoScript]
…aspnetcdn.com
…chartbeat.com
…consensu.org
…convertexperiments.com
…doubleclick.net
…faktor.io
…google-analytics.com
…google.com
…google.nl
…googletagmanager.com
…googletagservices.com
…scorecardresearch.com
https://www.security.nl/posting/667709/
Je gegevens worden in een fractie van een seconde verhandeld aan de hoogste anonieme bieders, waarna reclames en verwijzingen worden getoond die mikken op je overtuigingen en je grootste zwakheden.
Meer weten? Lees Behind the One-Way Mirror
https://www.eff.org/wp/behind-the-one-way-mirror
De gewone versie van Mozilla Firefox gaat daar niets tegen uitrichten, ook niet als je die uitrust met NoScript en je de about:config settings minutieus aanpast. Vandaar de noodzaak van Tor Browser, als je je zaken privé wenst te houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
