image

Tor-servers offline na onterechte abusemeldingen door ip-spoofingaanval

maandag 11 november 2024, 10:23 door Redactie, 20 reacties

Verschillende Tor-servers zijn na onterechte abusemeldingen als gevolg van een ip-spoofingaanval tijdelijk offline gehaald, zo heeft het Tor Project bekendgemaakt. De organisatie wijst ook naar 'onprofessioneel gedrag' waarbij partijen weigerden verder onderzoek uit te voeren, wat de impact van de aanval versterkte. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren.

Eind oktober ontvingen veel beheerders van Tor-servers bericht dat hun servers waren gebruikt voor het uitvoeren van bruteforce-aanvallen via SSH. Uit onderzoek blijkt dat de servers geen onderdeel van de aanval waren, maar de verantwoordelijke aanvaller de ip-adressen van de Tor-servers spoofte. Daardoor leek het voor de aangevallen netwerken alsof de Tor-servers hiervoor verantwoordelijk waren.

Volgens het Tor Project was de aanval bedoeld om abusemeldingen te genereren en zo het Tor Project en het Tor-netwerk te verstoren. "Hoewel de aanval een beperkte impact op het Tor-netwerk had, een aantal relays ging tijdelijk offline, zorgde het voor onnodige stress en ongemak voor veel relay-beheerders die deze klachten moesten beantwoorden", aldus Gustavo Gus van het Tor Project.

In een blogposting geeft het Tor Project meer tips aan relay-beheerders wat ze kunnen doen als hun server nog steeds wordt geblokkeerd en hoe er met meldingen als gevolg van ip-spoofing kan worden omgegaan. Het Tor Project haalt ook uit naar internetpartijen die de servers afsloten. "We hebben ook te maken gekregen met gevallen van onprofessioneel gedrag, waar een weigering om te onderzoeken en gebrek aan diligence de impact van deze aanval versterkte."

Reacties (20)
11-11-2024, 11:47 door Anoniem
I2P is een goed alternatief. (Invisible internet project)
https://geti2p.net/en/
11-11-2024, 12:14 door johanw
Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
11-11-2024, 12:44 door Anoniem
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
Rusland.
Er zijn recentelijk een hoop cyberaanvallen geweest vanuit Rusland.
11-11-2024, 12:50 door Anoniem
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
EU censuur is ook veel gemakkelijker op te lossen denk ik.
China heeft ook gewoon baat er bij.
11-11-2024, 12:58 door Anoniem
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
Op de website van Tor staan instructies voor hoe je die Chinese blokkade kan omzeilen. Idem voor Rusland. Kennelijk is dat meer een kwestie van een kat-en-muisspel spelen dan van waterdichte blokkades. Als dat zo is dan kan wat het artikel beschrijft onderdeel zijn van zo'n kat-en-muisspel, en dus toch van China komen, of bijvoorbeeld van Rusland.

Ik heb, voor alle duidelijkheid, geen flauw idee waar dit vandaan komt. Ik denk alleen dat je niet al te makkelijk mogelijkheden uit moet sluiten op basis van argumenten die als je iets beter kijkt te oppervlakkig blijken te zijn.
11-11-2024, 13:14 door Anoniem
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.

Want? Het moeten meteen statelijke actoren zijn? Kan niet gewoon een hackers collectief zijn dat random IP adressen spoofed voor hun brute force?
11-11-2024, 13:32 door Anoniem
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.

Kan van alles zijn .
"hacktivisten" ook een kandidaat.
11-11-2024, 13:33 door Anoniem
Door Anoniem: I2P is een goed alternatief. (Invisible internet project)
https://geti2p.net/en/

Tails besloot geen tijd en middelen meer aan de herintroductie van I2P te besteden, totdat I2P meer populair is geworden:

https://gitlab.tails.boum.org/tails/tails/-/issues/12264


Na meer dan twintig jaar tijd aan ontwikkeling heeft het I2P netwerk wereldwijd slechts zo'n 46 000 routers / gebruikers.

https://i2p-metrics.np-tokumei.net/overview

Despite the decentralized characteristics of I2P, we discover that a censor can block more than 95% of peer IP addresses known by a stable I2P client by operating only 10 routers in the network. This amounts to severe network impairment: a blocking rate of more than 70% is enough to cause significant latency in web browsing activities, while blocking more than 90% of peer IP addresses can make the network unusable.

Hoang, Nguyen Phong et al. (2018). An Empirical Study of the I2P Anonymity Network and its Censorship Resistance.

https://dl.acm.org/doi/10.1145/3278532.3278565
11-11-2024, 14:10 door Anoniem
Het wordt tijd om ISPs en met name VPS hosters te wijzen op hun verantwoordelijkheden:
- Source adres filtering op hun netwerken
- Offline halen van gehoste VPS'en die duidelijk bezig zijn met scannen en sprayen
11-11-2024, 15:13 door Anoniem
En toch mag je me uitleggen hoe een SSH (TCP) bruteforce met gespoofde IP's werkt.

Aanvaller stuurt een syn pakket naar de aan te vallen server met een gespoofd IP, aangevallen server stuurt een SYN-ACK pakketje terug dat als het goed (want anders is het internet stuk, of de aanvaller kan het verkeer onderscheppen) naar het orginele IP terug gaat. Tenzij het verkeer op de een of andere manier alsnog bij de aanvaller terecht kan komen, is het nagenoeg onmogelijk om een volledige TCP en dus een SSH bruteforce uit te voeren.

Maar goed, met al die moderne technieken zou het natuurlijk zomaar kunnen dat ik iets over het hoofd zie.
11-11-2024, 15:40 door Anoniem
Door Anoniem:
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
EU censuur is ook veel gemakkelijker op te lossen denk ik.
China heeft ook gewoon baat er bij.

Ja, gewoon een andere DNS server kiezen en het werkt weer.
11-11-2024, 16:13 door Anoniem
Door Anoniem: En toch mag je me uitleggen hoe een SSH (TCP) bruteforce met gespoofde IP's werkt.

Aanvaller stuurt een syn pakket naar de aan te vallen server met een gespoofd IP, aangevallen server stuurt een SYN-ACK pakketje terug dat als het goed (want anders is het internet stuk, of de aanvaller kan het verkeer onderscheppen) naar het orginele IP terug gaat. Tenzij het verkeer op de een of andere manier alsnog bij de aanvaller terecht kan komen, is het nagenoeg onmogelijk om een volledige TCP en dus een SSH bruteforce uit te voeren.

Maar goed, met al die moderne technieken zou het natuurlijk zomaar kunnen dat ik iets over het hoofd zie.

Je stuurt een Reset, de abuse desk van de provider kijkt niet verder dan de neus lang is en denkt abusievelijk dat de syn ook van dat adres afgekomen is. Werd op NANOG uitgelegd.
11-11-2024, 16:58 door Anoniem
Door Anoniem:
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.
Rusland.
Er zijn recentelijk een hoop cyberaanvallen geweest vanuit Rusland.
even komen met bewijs graag.Ik kan ook een scheet laten.Zo beweert Schoof onze grootste vriendook van alles. Blufpoker leuk.
11-11-2024, 18:14 door Anoniem
Door Anoniem:
Door Anoniem: I2P is een goed alternatief. (Invisible internet project)
https://geti2p.net/en/

Tails besloot geen tijd en middelen meer aan de herintroductie van I2P te besteden, totdat I2P meer populair is geworden:

https://gitlab.tails.boum.org/tails/tails/-/issues/12264


Na meer dan twintig jaar tijd aan ontwikkeling heeft het I2P netwerk wereldwijd slechts zo'n 46 000 routers / gebruikers.

https://i2p-metrics.np-tokumei.net/overview

Despite the decentralized characteristics of I2P, we discover that a censor can block more than 95% of peer IP addresses known by a stable I2P client by operating only 10 routers in the network. This amounts to severe network impairment: a blocking rate of more than 70% is enough to cause significant latency in web browsing activities, while blocking more than 90% of peer IP addresses can make the network unusable.

Hoang, Nguyen Phong et al. (2018). An Empirical Study of the I2P Anonymity Network and its Censorship Resistance.

https://dl.acm.org/doi/10.1145/3278532.3278565
Inderdaad, vandaar dat het zo belangrijk is dat ze wat meer aandacht krijgen, want als het TOR netwerk steeds langzamer wordt door DDOS-aanvallen en TOR-nodes regelmatig onderuit liggen door dit soort aanvallen zijn alternatieven belangrijker dan ooit.
Er zijn nog een paar andere alternatieven zoals Freenet, Lokinet, etc, maar die geven niet dezelfde anonimiteit.
11-11-2024, 21:28 door Anoniem
Amerika, zodat ze bepaald verkeer via HUN servers konden laten lopen en aftappen.
11-11-2024, 22:07 door Anoniem
Door Anoniem:
Door johanw: Wie heeft belang bij zo'n aanval? De EU zeker want Tor laat mensen de EU censuur op Russische en piratensites doorbreken. China blokkeert Tor dus zij hebben er ngeen baat bij.

Kan van alles zijn .
"hacktivisten" ook een kandidaat.

Als ze vanuit een van de ondemocratischer regimes van Europa opereren onder de vlag van staatsveiligheidsorganisaties, dan zijn dat imho betaalde blackhat hacktivisten met staatskeurmerk en staatssteun.
11-11-2024, 22:38 door Anoniem
Door Anoniem: Amerika, zodat ze bepaald verkeer via HUN servers konden laten lopen en aftappen.
De NSA heeft ooit TOR ontworpen, sterker nog; ze gebruiken het nog steeds en ze doen ook regelmatig donaties, dus het lijkt me stug dat Amerika achter deze hacks zit.
12-11-2024, 04:43 door Anoniem
Door Anoniem: Amerika, zodat ze bepaald verkeer via HUN servers konden laten lopen en aftappen.
Ja, of de EU, Japan, Australia en/of andere 'bevriende' naties. In ieder geval een partij die vele TOR nodes kan bezitten en toegang heeft tot bulkdata. En waar het Web (nog) redelijk open is -muv enkele geblokkeerde Russische en torrentsites- en TOR (indirect) een significante invloed kan hebben op de publieke opinie vanwege veelvuldig gebruik. Duitsland en de VS voorop.

Dit soort acties heeft weinig zin in bijv. Rusland met dagelijks 'slechts' 60.000 TOR (bridge) users en enkele tienduizenden Chinezen op meer dan een miljard inwoners. Te gering in aantal en makkelijk op te sporen.

Wel 'grappig' dat we steeds vaker zelf TOR nodig lijken te hebben vanwege de censor- en dictatorship die we nog vaak -onwetend en gemakzuchtig- de 'onvriendelijke' naties aanrekenen.
12-11-2024, 10:08 door Anoniem
Door Anoniem:
Je stuurt een Reset, de abuse desk van de provider kijkt niet verder dan de neus lang is en denkt abusievelijk dat de syn ook van dat adres afgekomen is. Werd op NANOG uitgelegd.
Wil je zeggen dat het ontvangen van een SYN naar poort 22, die je beantwoordt met een SYN ACK waarop dat adres een RST stuurt, gezien wordt als "abuse" wat gerapporteerd wordt aan de hoster van die Tor servers?

Sure is het vervelend dat er SYN gespooft wordt, je moet ook altijd in de TCP configuratie op je servers het aantal SYN ACK packets heel laag zetten (1 of 2) om DDoS amplification te voorkomen, maar dat servers uit de lucht gehaald worden vanwege dit soort sequences dat lijkt me toch sterk.
(in dit verband helpt het ook om in je firewall SYN met een source port nummer <1024 en als destination iets als http of ssh te blokkeren. source port nummers <1024 hoor je alleen bij systeem protocollen te zien, niet bij user protcollen)
15-11-2024, 03:03 door Anoniem
Door Anoniem:
Door Anoniem:
Je stuurt een Reset, de abuse desk van de provider kijkt niet verder dan de neus lang is en denkt abusievelijk dat de syn ook van dat adres afgekomen is. Werd op NANOG uitgelegd.
Wil je zeggen dat het ontvangen van een SYN naar poort 22, die je beantwoordt met een SYN ACK waarop dat adres een RST stuurt, gezien wordt als "abuse" wat gerapporteerd wordt aan de hoster van die Tor servers?

Sure is het vervelend dat er SYN gespooft wordt, je moet ook altijd in de TCP configuratie op je servers het aantal SYN ACK packets heel laag zetten (1 of 2) om DDoS amplification te voorkomen, maar dat servers uit de lucht gehaald worden vanwege dit soort sequences dat lijkt me toch sterk.
(in dit verband helpt het ook om in je firewall SYN met een source port nummer <1024 en als destination iets als http of ssh te blokkeren. source port nummers <1024 hoor je alleen bij systeem protocollen te zien, niet bij user protcollen)

Wat dacht je van alleen de RST spoofen? :)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.