image

Tor Project bevestigt grootschalige aanval met malafide exitnodes

zaterdag 15 augustus 2020, 17:39 door Redactie, 16 reacties

Het Tor Project heeft de grootschalige aanval met malafide exitnodes bevestigd die onlangs in het nieuws kwam en onderzoekt of http volledig in Tor Browser moet worden uitgeschakeld om gebruikers te beschermen. Op het hoogtepunt van de aanval liep 23 procent van al het uitgaande Tor-verkeer via de malafide servers. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen.

Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen.

De aanval waar een beveiligingsonderzoeker begin deze week over berichtte maakte hiervan misbruik. De aanvaller verwijderde http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien kreeg.

De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de waargenomen aanval onderschepte de aanvaller deze redirect en plaatste zichzelf tussen de gebruiker en opgevraagde website.

De aanvaller zette vervolgens tussen hemzelf en de website een beveiligde verbinding op, maar stuurde de informatie via het onversleutelde http naar de Tor-gebruiker. Gebruikers hadden de aanval kunnen opmerken doordat er http en geen https in de adresbalk stond. Om niet al teveel op te vallen had de aanvaller het alleen op bepaalde websites voorzien. Het ging dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller verving het bitcoinadres dat de gebruiker opgaf door zijn eigen bitcoinwallet.

De eerste reeks malafide Tor-exitnodes werden in mei door het Tor Project verwijderd. Deze exitnodes waren toen verantwoordelijk voor 23 procent van al het verkeer dat het Tor-netwerk verliet. In juni werd een tweede groep servers ontdekt die een zelfde aanval uitvoerden. Deze servers waren voor 19 procent van de exitnode-capaciteit verantwoordelijk.

Https en http

Volgens het Tor Project zijn er verschillende maatregelen om een dergelijke aanval te voorkomen. De eerste stap is dat websites https voor hun website inschakelen en ervoor zorgen dat ze een redirect voor hun website aan de HTTPS Everywhere-extensie toevoegen. Deze extensie is een standaardonderdeel van Tor Browser. HTTPS Everywhere zorgt ervoor dat de https-versie direct wordt geladen, in plaats van te worden doorgestuurd nadat er een onveilige verbinding is opgezet.

Aan de gebruikerskant kijkt het Tor Project of de ondersteuning van http in Tor Browser moet worden uitgeschakeld. Http-sites zijn dan niet meer te bezoeken. Een plan dat al in 2016 voor het eerst werd geopperd. Volgens de ontwikkelaars zou een dergelijke stap een aantal jaren geleden ondenkbaar zijn geweest, maar maakt een meerderheid van de websites inmiddels gebruik van https.

Toekomstige versies van zowel Firefox als HTTPS Everywhere zullen beschikken over experimentele features die htttps standaard als eerste zullen proberen, om vervolgens op http terug te vallen. Het is nog onduidelijk wat de impact van een dergelijke feature op Tor-gebruikers zal zijn. Het Tor Project kijkt daarom eerst of hogere beveiligingsniveaus via de Tor Security Slider een oplossing kunnen zijn.

Capaciteit

Aan de eigen kant laat het Tor Project weten dat het onvoldoende capaciteit heeft om het Tor-netwerk te monitoren en malafide servers te detecteren. Er zijn wel vrijwilligers die het netwerk in de gaten houden en malafide Tor-servers rapporteren, die vervolgens worden verwijderd. Om het netwerk nauwlettender te monitoren zette het Tor Project vorig jaar een "Network Health team" op. Dit team moest ervoor zorgen dat malafide servers sneller werden opgespoord.

Afgelopen april werd vanwege de economische situatie besloten om een derde van de Tor-organisatie te ontslaan, waardoor het personeel van het Network Health team naar andere onderdelen van de organisatie werd overgeplaatst. Daarom duurt het nu langer om bepaalde zaken op te pakken. Het Tor Project is echter van plan om het team weer operationeel te krijgen. Het doet dan ook een beroep op donateurs en sponsoren. Daarnaast is er een ontwerpvoorstel gepresenteerd om de totale invloed van "onbekende" Tor-servers te beperken.

Reacties (16)
15-08-2020, 18:23 door Anoniem
Als 23% van de exit nodes deze aanval uitvoerden, waarom lukte het de aanvallers dan niet om bijvoorbeeld 50% van de exit nodes in beheer te krijgen?

Het is een oude theorie onder cypherpunks dat een aanvaller een bepaald percentage van alle nodes moet beheren om vrijwel alle traffic te kunnen lezen.

Een theorie is dat de NSA dit doet. Maar dan onzichtbaar en niet zoals deze groep het doet dat het op gaat vallen.

Aan de andere kant, de NSA kan een timing attack doen op alle traffic wereldwijd. Door goed te kijken wanneer en van welke grootte data pakketjes door het netwerk gaan. Zo kunnen ze zien welke pakketjes bij hetzelfde circuit horen.
15-08-2020, 19:51 door Anoniem
Door Anoniem: Als 23% van de exit nodes deze aanval uitvoerden, waarom lukte het de aanvallers dan niet om bijvoorbeeld 50% van de exit nodes in beheer te krijgen?

Het is een oude theorie onder cypherpunks dat een aanvaller een bepaald percentage van alle nodes moet beheren om vrijwel alle traffic te kunnen lezen.

Een theorie is dat de NSA dit doet. Maar dan onzichtbaar en niet zoals deze groep het doet dat het op gaat vallen.

Aan de andere kant, de NSA kan een timing attack doen op alle traffic wereldwijd. Door goed te kijken wanneer en van welke grootte data pakketjes door het netwerk gaan. Zo kunnen ze zien welke pakketjes bij hetzelfde circuit horen.
Waarom refereer je alleen naar de NSA? Denk je niet, dat er meerdere gegadigden zijn?
15-08-2020, 21:39 door Anoniem
11-08-2020, 16:12 door Anoniem https://www.security.nl/posting/667272

Door Anoniem: De TOR Pickle uitbreiding die een paar maand terug is voorgesteld zou hier een goede oplossing voor zijn. Hopelijk wordt dit voorstel aangenomen.

Inderdaad. Deze aanvulling had al in het originele TOR ontwerp aanwezig moeten zijn. Volgens sommigen stond het ook in de originele specificaties maar werd het door bepaalde partijen als ongewenst gezien.

Waar kan ik dat recente Pickle voorstel en de originele Tor specs daarover op freehaven.net terugvinden?
16-08-2020, 07:09 door dnmvisser
Geen woord over HSTS?
16-08-2020, 09:21 door Anoniem
Door dnmvisser: Geen woord over HSTS?
Jawel, alleen niet in het artikel hier. Hier staat alleen beschreven wat het tor project kan doen, HSTS is iets wat website beheerders zelf kunnen doen. Naast het instellen van HSTS (en de website aanmelden voor de preload list!) kan een website beheerder ook nog Alt-Svc headers meegeven of de nieuwe Onion-Location. Die laatste twee werken pas als je een website eerst eenmalig hebt bezocht (itt HSTS preload), daarna loopt de verbinding niet meer via een exit node maar via een eigen onion service.
16-08-2020, 09:42 door Anoniem
Het is de downgrading van Big Tech dat hier debet aan is en de lakse gebruiker die gaat zitten Twitteren op Tor. 3rd Party content dat je de das omdoet naast slechte security, soms opzettelijk verspreid vanwege de adcore business, die overal prevaleert.
luntrus
16-08-2020, 09:49 door Anoniem
Door dnmvisser: Geen woord over HSTS?

Jawel, maar dat wordt vermeld onder een eerder redactioneel bericht van een week geleden:

Onderzoeker: Tor-gebruikers doelwit van grootschalige mitm-aanval
dinsdag 11 augustus 2020, 10:52 door Redactie

https://www.security.nl/posting/667272/
16-08-2020, 11:48 door Anoniem
23% van de exitnodes besmet? Sterk dat dit al mogelijk is op TOR. Decentralisatie heeft dus zijn keerzijde. Tor Project heeft hierin blijkbaar beperkt overzicht. Vraag me nu af hoe het dan zit met entry nodes? Niet voor niets gebruik ik TOR nooit over clearnet: vpn tussen client en entry node. En nooit ergens inloggen op Tor, waar je normaal gesproken buiten TOR inlogt. Helaas weinig info hoehet zit met (meestal) http-onionsites. Moeten we die ook al blokkeren?
16-08-2020, 12:03 door Anoniem
Interessant om te lezen: https://web.archive.org/web/20150705184539/https:/chloe.re/2015/06/20/a-month-with-badonions/

Lees hoe hij "kwade uien" in de kist ontdekte.
16-08-2020, 15:11 door Anoniem
Overige 77% is in de hande. Van NSA
16-08-2020, 22:00 door Anoniem
Door Anoniem: Overige 77% is in de hande. Van NSA

Ik denk het niet.. Denk dat 33% in de handen va Rusland is die onze data willen stelen.
16-08-2020, 23:44 door Anoniem
Door Anoniem: Overige 77% is in de hande. Van NSA

Dat kan hooguit 73% zijn geweest vroeger, ik weet het zeker!
17-08-2020, 07:41 door Anoniem
Opnieuw een bewijs dat hype kreten als VPN en TOR geen enkele vorm van veiligheid garanderen.
De keten is zo zwak als de zwakste schakel.
De keten te vertrouwen is het stomste wat je kan doen in een point to point verbinding.
Waarom de focus niet op 100% encryptie van begin tot eind, van persoon (dus niet je PC) tot en met de site die je bezoekt.
Stoppen met schijnveiligheid van add-ons, progjes, scanners, VPN reclames, etc. !!
17-08-2020, 10:40 door Anoniem
Het is een oude theorie onder cypherpunks dat een aanvaller een bepaald percentage van alle nodes moet beheren om vrijwel alle traffic te kunnen lezen.

Is de aanval alleen erg indien men vrijwel alle traffic kan lezen ? Wat kan een aanvaller zonder dat ''bepaalde percentage'' ?

Een theorie is dat de NSA dit doet. Maar dan onzichtbaar en niet zoals deze groep het doet dat het op gaat vallen

Is de NSA de enige mogelijke partij ?
17-08-2020, 16:42 door Anoniem
Door Anoniem:
Het is een oude theorie onder cypherpunks dat een aanvaller een bepaald percentage van alle nodes moet beheren om vrijwel alle traffic te kunnen lezen.

Is de aanval alleen erg indien men vrijwel alle traffic kan lezen ? Wat kan een aanvaller zonder dat ''bepaalde percentage'' ?

Een theorie is dat de NSA dit doet. Maar dan onzichtbaar en niet zoals deze groep het doet dat het op gaat vallen

Is de NSA de enige mogelijke partij ?
Hi!
- Nee de NSA is echter een voorbeeld omdat ze bekend staan tot "massa telefoon aftappen in binnenlands america (jada jada USA-247 jada jada "Nothing Is Beyond Our Reach" jada jada)" https://en.wikipedia.org/wiki/USA-247

- Het idee van tor is dat je gebruikt maakt van 3 nodes/tor routers. Je verbinding word als het ware drie keer ge-encrypt echter is het zo dat de laatste en de eerste node de volgende informatie kunnen inzien:
- Wat is er verstuurd? (de data)
- Wie heeft het verstuurd (de tor user is zichtbaar op de eerste tor router waar hij het netwerk in gaat)
- Naar wie word de verbinding/packets gerouterd (tor kiest voor jou een routing pad om "anoniem" maar goed uit te komen.

LANG VERHAAL LEKKER KORT:
Het idee is dat als je X aantal/percentage van het gehele tor netwerk (tor routers) in handen hebt/zelf beheerd, dat je dan een grote kans hebt om de entry en exit node te zijn. En dit breekt/cracked het complete principe van tor. realiseer je dat de tor routers moeten weten waar jij iets heen wilt sturen (route heen) en hoe het vanaf daar weer terug komt bij jou (route terug).

Een voorbeeld van wat hackers vaak doen omdat ze zich realiseren dat high grade privacy dood is is het volgende (dit maakt het in iedergeval moeilijk)
START > user client > user network > VPN tunnel to external VPN provider > acces tor > 3 tor hops zoals normaal > target

Maar ik zou me als normale gebruiker hier niet zorgen om maken. Voor journalisten, hackers, greenpeace, defensie jada jada daar is het slim om iemand in dienst te hebben die weet hoe het werkt ;)

Ik heb hjet stuk waar je naar qouten trouwens niet geschreven maar ik zag het voorbij komen, ik hoop dat me uitleg helpt, tor in een nutshell:
https://www.youtube.com/watch?v=lVcbq_a5N9I
https://www.youtube.com/watch?v=QRYzre4bf7I
18-08-2020, 22:21 door Anoniem
Juist nu hebben we Tor nodig. Ik bijvoorbeeld om verstoken te blijven van voortgezette globale surveillance en adtracking.

De technocratie met fascistoïde trekken steekt weer aardig de kop op op ons continent. Zeg maar.gerust dit keer globaal.

#sockpuppet achter een Android hub via een lokale VPN.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.