22 фев 2019

Атака на Tor. Часть 2. Классификация атак на пользователей и сайты Tor

     Сетевые протоколы анонимности, как следует из названия, были разработаны для защиты конфиденциальности пользователей, подвергающихся цензуре. Анонимность достигается путем имплантирования данных пользователей в несколько слоев шифрования и переадресации сетевого трафика через группу различных прокси-серверов и/или узлов ретрансляции. Среди них, луковые сети (onion network), являются наиболее широко используемыми решениями.

     В настоящее время существует несколько сетевых протоколов сохраняющих вашу анонимность, включая I2P, Freenet, Hornet, Tarzan и Morphix, но Tor, бесспорно, является самым популярным сетевым протоколом анонимизации, основанным на структуре onionСоответственно, крайне важно понимать и анализировать потенциальные угрозы, которые могут подорвать конфиденциальность пользователей в сети Tor.

Схема атаки

     Недавно опубликованное исследование анализирует различные формы атак, которые могут быть направлены на сеть Tor. Авторы статьи предлагают детальную классификацию, основанную на конкретных целях каждой формы атаки. Она послужит подробной схемой для выявления различных форм кибератак, связанных с экосистемами Даркнета. В этой статье мы рассмотрим различные формы атак на клиентов Tor и скрытые сервисы Tor.

 

Виды атак на Tor протокол

 

Когда рассматривается сетевая безопасность Tor, атаки могут быть нацелены на три различных компонента сети:

  • Клиент: физическое лицо, использующее сеть Tor для подключения к интернету и/или посещения сайтов Даркнета
  • Сервер: сайт/сервер на основе Tor, который может включать в себя рынки, форумы и т.д
  • Сеть: сама инфраструктура сети Tor может быть целью для некоторых форм атаки

 

Атака нацеленная на клиентов Tor

 

     В течение последних нескольких лет многие исследователи пытались деанонимизировать пользователей Tor, связывая их IP-адреса с исходящими пакетами данных. Однако в этом разделе мы рассмотрим атаки, направленные на нанесение ущерба клиентам Tor или раскрывающие их IP-адреса, которые включают:

 

Атака на плагины браузеров

 

     Эти атаки используют плагины браузера пользователя, например Java, Flash и элементы управления ActiveX. Часть этого программного обеспечения запускается через фреймворк или через виртуальную машину, которая обходит настройки прокси, настроенных в браузере Tor, связываясь напрямую через Интернет, без использования Tor Browser. Из-за потенциальной деанонимизации клиентов с использованием этих плагинов, браузер Tor отключает их по умолчанию для анонимного и безопасного общения с сетью.

 

Атака Torben

 

     Атака Torben, запускается для деанонимизации клиента Tor, посредством манипулирования веб-страницами, чтобы вынудить клиента подключиться к контенту, предоставленному ненадежными источниками, а также, через использование функций с низкой задержкой в ​​сети Tor, чтобы извлечь индикаторы переданных веб-страниц, таким образом, получая информацию о страницах, к которым клиент обращался через Tor.

 

Утечка информации P2P

 

     Эта форма атаки раскрывает данные клиента через использование его связи с одноранговыми системами. При наблюдении протокола BitTorrent P2P, злоумышленник может получить IP-адрес клиента, который использует Tor для подключения к торрент-трекеру. Проблема в том, что список торрент-трекеров может быть получен анонимным способом через Tor, но P2P-соединения обычно устанавливаются небезопасно через прямое соединение с одноранговым узлом. Таким образом, злоумышленник может использовать «атаку посредника» протокола Tor, чтобы изменить содержимое списка, представленного торрент-трекером, путем добавления IP-адреса инфицированного торрента. Учитывая тот факт, что связь с такими вредоносными узлами, не будет осуществляться через Tor, злоумышленник может получить IP-адрес клиента Tor, инициировавшего запрос к торрент-трекеру.

 

Принудительный выбор узла Tor

 

     Входной узел Tor является единственным узлом, который напрямую связывается с клиентом. Однако, поскольку содержимое пакетов Tor зашифровано, нода входа не может получить содержимое передаваемых пакетов, не имея ключей дешифрования узлов цепи Tor. Но, управление одним узлом не поможет взять под контроль соединение клиента, злоумышленнику потребуется завладеть узлом входа Tor пользователя.

     Чтобы побудить клиента использовать конкретный, контролируемый противником узел, можно сбросить коннект клиента с общедоступными узлами входа Tor, кроме тех, что под контролем злоумышленника. Это можно сделать, изменив возможности сетевого трафика цели или заблокировав связь с «честными» узлами входа используя давление на интернет-провайдера или сетевых администраторов.

 

Raptor

 

     Раптор относится к маршрутным атакам на приватность в Tor. Raptor - это группа стратегий атак, которые могут быть запущены через автономную систему (AS) для деанонимизации клиентов Tor. Одна из стратегий атаки, основана на анализе сетевого трафика асимметричных коммуникаций, которые помечают сеть. Другая стратегия, основана на использовании перемещения пользователей, через динамический протокол маршрутизации (BGP) и маршрутизации интернет-трафика для анализа сетевого трафика. Стратегия последней атаки, основана на манипулировании интернет-трафиком, с помощью действий по захвату BGP, которые осуществляются для обнаружения клиентских узлов Tor.

 

Эксплуатация непопулярных портов

 

     Эта атака основана на использовании того факта, что выходные узлы Tor, минимизируют количество портов, к которым они могут подключаться в Клирнете. Эта атака предназначена для деанонимизации клиентов через использование группы контролируемых узлов входа и выхода. Контролируемые выходные узлы, управляемые противником, располагаются на непопулярных портах. Злоумышленник также должен получить контроль над хостом, с которым клиент пытается связаться. Цель противника - заставить клиента установить соединение Tor, через узлы входа и выхода, которые контролируются злоумышленником. Эта конкретная конфигурация позволяет злоумышленнику деанонимизировать клиента с помощью методов корреляции трафика.

 

Атаки на сервера Tor

 

    Цель этих атак - раскрыть IP-адрес сайта (скрытого сервиса) располагающегося в Tor. Это различные формы серверных атак:

 

Подсчет и заполнение ячеек

 

     Эта атака вынуждает скрытый сервис (hidden service), устанавливать соединение с подконтрольным противнику узлом входа. Злоумышленник отправляет специально созданную ячейку/пакет Tor, скрытому сервису, для связи с контролируемым узлом. Таким образом, узел входа направляет сообщение к Даркнет сайту, который запускает цепь Tor для соединения с узлом противника. После соединения, сообщение (которое включает в себя cookie или токен, созданный клиентом) запрограммировано на отправку определенного числа ячеек скрытому сервису, через ту же цепь Tor. Завершив отправку, узел входа отключает цепь. Входная нода, которая находится под контролем злоумышленника, контролирует сетевой трафик маршрутов, направленных на него.  Как только он получит ячейку, которая включает в себя отключение цепи, он подтвердит, что это произошло после того, как ячейка, включая куки-файлы подтверждения, была получена и, что число исходящих ячеек, составляет 3 ячейки вверх и 53 ячейки вниз в цепи Tor.  Как только эти условия выполнены, злоумышленник может заключить, что управляемый им узел используется скрытым сервисом, таким образом, они могут получить IP-адрес скрытого сервиса.

 

Манипуляция с ячейками Tor

 

     Манипуляции с ячейками/пакетами Tor, могут быть использованы для создания наблюдаемого сайта Tor. После отправки клиентом ячейки в скрытый сервис Tor для установления связи, запрос будет "проксирован” через подконтрольный противником узел. Это дает злоумышленнику возможность изменять содержимое ячейки; следовательно, маршрутизировать сообщение скрытому сервису Tor и отправлять временную метку измененной ячейки на сервер, контролируемый противником. Ячейка не может быть идентифицирована, как "неповрежденная" ячейка, отправленная из скрытого сервиса Tor, что вызовет отправку сообщения об уничтожении обратно клиенту. Это сообщение, будет направлено от узла входа скрытого сервиса, который управляется противником, к центральному серверу и будет включать информацию, такую как ID цепи, метку времени ячейки и IP-адрес источника.

 

Атака Каронте

 

     Caronte - это уникальный инструмент, который обнаруживает утечки сайтов Tor. Утечка может включать конфигурацию сервера и, возможно, IP-адрес целевого скрытого сервиса.

 

Атака посредника вне соединения

 

     Атака основана на запуске «атаки посредника» против Даркнет сайта. Предполагая, что частный ключ (private key) скрытого сервиса принадлежит злоумышленнику, можно запустить атаку посредника. Существенным моментом в таком сценарии является то, что злоумышленник не обязательно должен находиться на пути соединения, установленном между скрытым сервисом и клиентом.

Just TOR
Автор 
Опубликовано в Анонимность
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить