Onderzoeker: Tor-gebruikers nog altijd doelwit van mitm-aanvallen
Gebruikers van het Tor-netwerk zijn nog altijd het doelwit van man-in-the-middle (mitm)-aanvallen die via malafide exit-servers worden uitgevoerd, waarbij begin dit jaar 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller was. Dat stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek.
Vorig jaar publiceerde de onderzoeker al onderzoek over mitm-aanvallen tegen Tor-gebruikers. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.
De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt.
De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat.
Om niet al teveel op te vallen wordt de aanval alleen bij bepaalde websites toegepast. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. De aanvallen waar Nusenu vorig jaar augustus over berichtte vinden nog altijd plaats. Op 2 februari van dit jaar was volgens de onderzoeker 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller.
Malafide Tor-exitnodes worden wel verwijderd, maar de aanvaller voegt die ook weer toe aan het netwerk. Veel van deze servers blijken niet over contactgegevens te beschikken. Het Tor-netwerk bestaat meestal uit minder dan vijftienhonderd Tor-exitnodes. Begin deze maand werden er meer dan duizend nieuwe Tor-exitnodes binnen 24 uur toegevoegd. De onderzoeker merkt op dat dit indrukwekkend klinkt, maar de meeste van deze servers nagenoeg meteen worden verwijderd voordat veel mensen er gebruik van maken. Daardoor was het risico voor gebruikers dan ook klein.
Nusenu stelt dat de werkwijze van de aanvaller deels bekend is, zoals het aanpassen van de bitcoin-adressen. Andere aanvallen kunnen echter niet worden uitgesloten. "Stel eens voor dat een aanvaller 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen heeft en een Firefox-exploit voor Tor Browser wordt gepubliceerd voordat alle gebruikers hun updates ontvangen", waarschuwt de onderzoeker.
Een goede bescherming is de HTTPS-Only mode van Firefox die standaard alleen https-sites laadt. Het is nog de vraag wanneer en hoe dit binnen Tor Browser zal worden verwerkt. Er zijn zorgen bij het Tor-ontwikkelteam dat met name regionale websites https niet ondersteunen en hoe Tor Browser hiermee moet omgaan.
Er waren ook al andere eerdere lekken via o.a. ad-tracking:
https://github.com/brave/brave-browser/labels/feature%2Ftor%2Fleakproofing
En de exit-nodes vormen steeds weer het gevaar bij MIM aanvallen, lees:
https://security.stackexchange.com/questions/34804/how-safe-is-tor-from-mitm-snooping-attacks
En dan het SSL-stripping-gevaar: https://blog.wasabiwallet.io/wasabi-wallet-tor-ssl-stripping-attack/
Er bestaat geen heilige graal op Interwebz en tor.
Die zal er ook nooit komen.
We leven nu eenmaal in een gevaarlijke wereld.
luntrus
Dat afdwingen van HTTPS-only moet men onder Tor Browser zelf inschakelen. Dat zit niet in het Tor netwerk ingebouwd.
Tor Browser heeft wel een HTTPS-only modus, maar die optie onder moet men onder de 'HTTPS Everywhere' add-on zelf apart inschakelen, anders loopt men het risico dat er in de achtergrond toch nog onveilige HTTP-connecties kunnen worden gelegd. Het belang van die HTTPS-only optie is in de Tor Browser documentatie ondergesneeuwd geraakt.
https://support.torproject.org/glossary/https-everywhere/
Mozilla heeft vanaf Firefox 83 eigenhandig een 'HTTPS-Only Mode' als nieuwe optie geïntroduceerd. De thans gebruikte 'HTTPS Everywhere' add-on zou dan niet meer nodig zijn, maar het is nog de vraag hoe, uitgaand van Firefox ESR, die nieuwe optie onder de Tor Browser door de ontwikkelaars op een even betrouwbare wijze kan worden ingevoerd.
https://blog.mozilla.org/security/2020/11/17/firefox-83-introduces-https-only-mode/
Bij een MITM aanval zou het hangslotje bij de client intact blijven. Alleen was de encryptie dan naar een certificaat van de exit node en niet van de bezochte website.
Omdat, volgens een snelle google search, de exit node de DNS aanvraag afhandelt, heeft de exit node wel een hoop macht over het resultaat van de DNS aanvraag. Het zou de client even makkelijk (afhankelijk van andere kenmerken van de client, zoals eerder bezochte websites over hetzelfde circuit), naar een site met malware toe kunnen sturen.
Standaard DNS gebruikt geen encryptie. En een Tor exit kan in theorie alle 65536 mogelijke poorten afhandelen met de tor exit node. Hoewel dat ook veel abuse op zal leveren.
Dit even ter verduidelijking ;-)
Dat afdwingen van HTTPS-only moet men onder Tor Browser zelf inschakelen.
...
Tor Browser heeft HTTPS-everywhere by default aan staan.
Ga naar about:config
Zet JavaScript op false
En enable https_only_mode (dom.security.https_only_mode)
Allemaal niet zo lastig je moet het alleen net maar weten..
JavaScript staat standaard altijd uit bij mij.
Daarna zoek je op:
dom.security.https_only_mode.
Standaard staat die op FALSE. Maar door te dubbelklikken zet je die op TRUE. Daarna sluit je het tabblad af.
Meer info over HTTPS-only mode vindt men hier:
https://www.security.nl/posting/678208/Firefox+krijgt+HTTPS-Only+Mode+die+standaard+alleen+https-sites+laadt
Dat is correct, maar de EASE modus van HTTPS Everywhere staat niet standaard ingeschakeld. De EASE modus moet worden aangezet wil men HTTPS-only afdwingen om mogelijke downgrade attacks te blokkeren. Daar kleven echter ook nadelen aan, zoals het opbreken van sommige (oude) websites en/of het ontstaan van een afwijkende vingerafdruk.
https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40379
Het Tor Project onderzoekt momenteel de nieuwe HTTPS-only modus van Firefox ESR als een mogelijk beter alternatief.
https://infosec-handbook.eu/news/2020-08-26-firefox80-https-only/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
