newsprogramy

Nieznani sprawcy zaatakowali Tora

Tor, sieć trasowania cebulowego wykorzystywana do tego, by korzystać z Internetu anonimowo, poinformowała dziś o ataku, którego celem było zidentyfikowanie części jej użytkowników. Atak był poważny, a każdy, kto przeglądał strony w domenie .onion w okresie od lutego do lipca tego roku, powinien założyć, że padł jego ofiarą.

Zespół Tora opublikował dziś raport przybliżający atak, jaki miał miejsce pomiędzy lutym, a 4 lipca tego roku. Atak był poważny i miał na celu wydobycie prawdziwych adresów IP osób, które wchodziły na ukryte strony internetowe w domenie .onion, wraz z danymi na temat odwiedzonych stron .onion.

Jak wyjaśnia zespół Tora, atak rozpoczął się 30 stycznia 2014 roku, kiedy to w infrastrukturze wirtualnej sieci pojawiło się 115 nowych, szybkich serwerów. Osoby zarządzające siecią zwróciły uwagę na ten fakt, ale postanowili nie interweniować, ponieważ byli przekonani, że nawet jeśli jest to atak, to atakujący dysponuje jedynie około 6 procentami węzłów wejściowych sieci, co nie stanowi zagrożenia dla anonimowości użytkowników. Niestety okazało się, że byli w błędzie.

Nowe serwery działały świetnie – były szybkie i stabilne, dlatego po jakimś czasie otrzymały od sieci Tor uprawnienia do pełnienia dwóch ról – węzłów wejściowych, oraz katalogów ukrytych usług. I na tym sprawa by się skończyła, gdyby nie fakt, że 4 lipca zespół Tora odkrył, że tak naprawdę serwery te prowadzą atak, który polega na oznaczaniu ruchu sieciowego w jednym węźle i odczytywaniu takiego „podpisu” w drugim. Podobne ataki były już przeprowadzane w przeszłości, jednak nowatorstwo tego polegało na zmodyfikowaniu węzłów pełniących funkcje katalogów ukrytych usług w taki sposób, by te dostarczały informacje o punkcie docelowym w zmodyfikowanych nagłówkach pakietów. Pakiety te były przesyłane przez siec do komputera klienta, a dodane przez atakujących modyfikacje odczytywane były przez serwer wejściowy, który również znajdował się pod kontrolą atakujących. W ten sposób mogli oni poznać nie tylko prawdziwy adres IP użytkownika, ale także dowiedzieć się jakie ukryte strony .onion zostały przez niego odwiedzone.

Założone przez atakujących węzły zostały usunięte natychmiast po wykryciu ataku, a zespół Tora przygotował już nową wersję oprogramowania, która ma zapobiec takiemu atakowi w przyszłości. Nie wiadomo jednak kto stał za atakiem. A potencjalnych podejrzanych jest bardzo dużo.

Zespół Tora podejrzewa jednak, że za atakiem stali badacze z Carnegie Mellon University, którzy mieli wystąpić na tegorocznej konferencji Black Hat z referatem o tytule „Nie musisz być z NSA by złamać Tora: budżetowa deanonimizacja użytkowników”. Wystąpienie to zostało jednak odwołane, ponieważ prawnicy Carnegie Mellon doszli do wniosku, że nie nadaje się ono do publicznej prezentacji.

zdjęcie: Flickr/Ikayama


podobne treści