CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate 31 - Síť Tor napadená novým útokem, šlo o nebezpečný výzkum?

Pane Moos, díky za pěkný článek.

+1
-22
-1
Je komentář přínosný?

Upřímně řečeno nerozumím tomu, jak je možné někoho identifikovat i s použitím tohoto útoku.

Tor klient "neexistuje", webový prohlížeč se připojí přes socks proxy na svůj vlastní tor relay. Každý uživatel si může vybrat, zda bude provozovat tor relay v režimech jen pro odchozí komunikaci, příchozí v rámci sítě (klasický relay) a nebo dokonce jako exit node (což se moc nedoporučuje).

Tedy požadavek webového prohlížeče (typicky ještě dostatečně obecného, aby nešel použít nějaký browser fingerprint), který běží v nějaké obecné virtuální mašině (tedy by se neměl dostat ani k údajům o seriových číslech hw apod) je vyslán přes síť relayů a končí zpravidla někde na hidden service. (Používat tor pro navštěvování běžného internetu opravdu není vhodné.)

Za takových (doporučovaných) podmínek ani ze znalosti cesty mezi relay nelze identitu uživatele prohlížeče, ani identitu provozovatele hidden service prozradit.

Pokud mi něco ušlo, tak se nechám poučit, ale zatím to na mě působí spíše jako poplašná zpráva s cílem vyděsit uživatele toru ("pomoc pomoc, co teď, tor nemůžu používat tak si najdu jiný způsob" -- čímž se může prozradit) nebo prostě a jen odradit další zájemce o tuto i podobné sítě.

+1
+18
-1
Je komentář přínosný?

Já jsem to pochopil tak, že útočník musí ovládat první nod, který komunikuje s klientem. Jedině on totiž ví klientovu IP.

+1
+17
-1
Je komentář přínosný?

Ten první relay je hned u uživatele a prohlížeč se na něj připojuje přes socks. Je tedy lokálně na počítači, na kterém uživatel pracuje. O napadení tohoto ale v článu není ani slovo.

Naopak je tam o nasazení velkého počtu bridge relays. Ano, potom tento (první) relay hledá další relaye (pro vytvoření cesty o délce 3 nebo 5) a může si vybrat i relay, který je "pod kontrolou".

Jenže ta cesta není trvalá, naopak se mění. Tedy jen zlomek komunikace teče přes "kontrolované" relaye. Stejně ale nezíská obsah komunikace.

Takže ano, kontrolovaná relay může znát IP adresy dalších relay, které se k ní připojují .... no ale to může znát úplně každý provozovatel tor bridge relays (protože je to prostě síťové spojení jako kterékoliv jiné).

+1
+18
-1
Je komentář přínosný?

Ne, měl jsem na mysli první nod, hned za uživatelovým PC. Ten přidá nějaký marker. Přesnou cestu mezi nody není třeba znát, jelikož na exit nodu vyleze "packet" s oním markerem.

Je jasné, že nepůjde podchytit úplně všechno, protože se neustále mění trasa. Do určité míry se dá trasa ovlivnit. Tedy například tím, že budete stavět velmi rychlé nody, které budou při výběru cesty preferované.
Pokud by někdo chtěl podchytit všechno, tak bych musel číst komunikaci přímo na PC uživatele.

+1
+27
-1
Je komentář přínosný?

"Ten přidá nějaký marker. Přesnou cestu mezi nody není třeba znát, jelikož na exit nodu vyleze "packet" s oním markerem."

No dobře, a k čemu taková informace reálně je? Relay s IP 1.2.3.4 ma zajem o info z relay 5.6.7.8, kde možná může běžet hidden service s nějakým obsahem. (Pokud si dá někdo tu práci -- přiznám se, že to mám už několik let na todo listu -- s provozem hidden service, tak tam toho pravděpodobně bude provozovat víc.)

Nehledě na to (a snad si to nepletu s jinou sítí), že si lze vybrat, na kterou další relay se má připojit, tedy mohu provozovat víc vlastních brigde relay a pomoci tím síti a tyto využívat jako nexthop z té mé první (kde si nastavím délku trasy 5). Potom bude provoz zamaskován ještě víc, i kdyby si je někdo omarkoval, tak nepozná, kdo je původcem toho trafficu.

+1
+27
-1
Je komentář přínosný?

TOR neznám, takže možná říkám nějaký nesmysl, ale třeba si jenom nerozumíme.

Mám IP 1.2.3.4, první TOR nod, na který se připojuji má IP 5.6.7.8. Ten první NOD dá klientovi určitý marker a poznamená si, že marker XY patří k IP 1.2.3.4. A potom už podle toho markeru pozná, že komunikace, co leze z určité gatewaye patří k IP 1.2.3.4.

+1
+24
-1
Je komentář přínosný?

Ne, takhle to nefunguje.

"Mám IP 1.2.3.4, první TOR nod, na který se připojuji má IP 5.6.7.8."

Ty máš webový prohlížeč, který se přes socks připojí na relay, která běží u tebe lokálně (localhost, 127.0.0.1).

Tahleta první relay, pokud chceš, ale může sloužit i jako normální bridge relay. Tedy, že se na ní připojují i ostatní relaye v tor síti. A také se to tak běžně dělá, že klient uživatel současně poskytuje i kousek své konektivity, na těchto uživatelích ta síť stojí.

Takže tato tvoje relay si potom algoritmem nacházení cesty v síti (o délce 3 nebo 5 skoků), najde potom další relay. A tak dále až k nějaké hidden service (nebo nedej bože exit node).

Takže ano, pokud má nějaký útočník pod palcem relaye 2, (3, 4 - nemusí) a 5 (v cestě), tak ví, kam se tvoje relay připojuje.Což je ale jednak věcí náhody (že je cesta zrovna poskládaná takto) a navíc musí korelovat data ze všech svých kontrolovaných relayí. (Ne, že by to nešlo.)

Upřímně řečeno ano, jisté nepatrné prolomení sítě tor to je (protože najedou jeden subjekt zná něco, co by znát neměl), ale rozhodně bych netvrdil, že se jedná o prolomení anonymity (nevíme kdo, nevíme co).

Nehledě na to, že mám pocit, že když jsem se s torem před lety seznamoval, tak i na tohleto jsem tam narazil a už tehdy tam byla obrana (provozovat vlastní relay bridge a vybírat si alespoň ten první skok a tím zamaskovat vlastní provoz v provozu zbytku sítě, který přes ty bridge proudí).

+1
+23
-1
Je komentář přínosný?

tak ono něco na tom bude,ať se snažíte sebevíc to vysvětlit.

Pokud ty dané počítače po dobu 5 měsíců tvořili nějakých 6,4% vstupních bodů do sítě Tor (jistě, je tu ta věc, že si můžete provozovat vlastní relay bridge, ale nemyslím si, že by to zrovna každý dělal...) , tak mohli za tu dobu nasbírat slušné množství informací o některých uživatelích.

+1
+29
-1
Je komentář přínosný?

Niekto tu pisal ze sa to neda odsledovat, tak ja teda niesom ziaden odbornik, ale veci sa maju tak ze ked nejaka komunikacia odchadza z mojho PC bod A a ta je kompletna a niekde v internete sa to nejak rozhadze jak P2P cez 500 pocitacov a potom sa to zase vsetko dostava do ciela PC bod B.
Oni sa snazili z tej komunikacie zistit nazov uzivatela a IP pripadne nejaky identifikator komunikujucich PC A a B. ked toto zistia nieje uz asi problem tieto 2 pocitace infikovat cez klasicku komunikaciu mimo TOR a potom uz len stahovat kompletnu komunikaciu s nejakym TIME MARKEROM ze co od A odislo a za okamzik dosla do bodu B. a toto uz nejak desifrovat. Je to mozne aj takto obist?
Nedavno som pozeral nejaky dokument o NSA jak su napojeny optikou na velke uzly ktore vysavaju data rovno do NSA Data Center a tam uz to mozu nejak rozlusknut. Co vy na to je to takto mozne?

+1
-35
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.