Выявлена узлы деанонимизации сети Tor

Выявлены узлы деанонимизации сети Tor

Разработчики анонимной сети Tor опубликовали информацию о выявленной в начале июля атаке по деанонимизации трафика, для проведения которой использовалась группа подконтрольных атакующим ретрансляторов Tor (relay). Атака была направлена на отслеживание обращения к скрытым сервисам Tor. Не связанный со скрытыми сервисами трафик не был подвержен атаке.

Для проведения атаки подтверждения трафика (traffic confirmation attack), использовалась пометка запросов, осуществляемая через внесение изменений в заголовки пакетов протокола Tor, которые остаются неизменными на протяжении всей цепочки анонимизации. Данный вид атак позволяет выявить корреляцию между запросами, обработанными в начальной и конечной точках в цепочке Tor (определить, что запрос пришедший на начальную точку является тем же, что обработан на конечной точке), но для этого начальный и конечный узел Tor должны быть подконтрольны атакующим, сообщает uinc.ru.

В частности, первый узел в цепочке Tor знает IP пользователя, а последний знает IP-адрес запрошенного ресурса, что позволяет деанонимизировать запрос, но вероятность, что один запрос пользователя пройдёт через начальный и конечный узлы атакующего очень мала. Участвующие в атаке ретрансляторы были присоединены к сети Tor 30 января 2014 года и заблокированы 4 июля, в этот промежуток существовал риск раскрытия сведений о пользователях, работающих со скрытыми сервисами.

Пока не ясно какие именно категории скрытых сервисов и пользователей были охвачены атакой, насколько она была успешной и остаются ли ещё подконтрольные атакующим узлы. Известно, что атакующие выявляли пользователей, запрашивающих дескрипторов скрытых сервисов, но скорее всего они использовали данную информацию в общем виде и не могли сопоставить эти запросы с трафиком уровня приложений, т.е. не могли отследить какие именно страницы и скрытые сервисы открывает пользователь, но знали о факте совершения таких действий (например, таких пользователей можно было поставить на контроль для дальнейшего анализа).

В результате атаки также были осуществлены попытки получения информации о том кто публикует дескрипторы скрытых сервисов, что могло быть использовано для выявления их местоположения. Теоретически атака могла быть использована и для выявления связи между пользователем и точкой назначения запроса в условиях нормальной цепочки анонимизации Tor, но не найдено никаких подтверждений о наличии у атакующих контроля над какими-либо выходными узлами, что делает такую атаку маловероятной.

Администраторам ретрансляторов рекомендуется обновить программное обеспечение Tor до версий 0.2.4.23 или 0.2.5.6-alpha, в которых устранена используемая атакующими уязвимость в протоколе. В общем виде проблема подтверждения трафика остаётся открытой, например, могут использоваться такие неточные эвристические методы как сопоставление времени, объёма и других характеристик трафика. В случае описываемой атаки, в качестве индикатора запроса узлы атакующих подставляли через ячейку "relay early" специально сформированную фиктивный список ретрансляторов, через который было закодировано имя скрытого сервиса.

Дополнительно можно отметить публикацию проектом Tor финансового отчёта за 2013 год, показывающего как были получены и потрачены средства проекта. Интересно, что в 2013 году более 1.8 млн долларов было пожертвовано проекту подконтрольными правительству США фондами SRI International, Internews Network и National Science Foundation. В 2012 году этими же фондами было пожертвовано примерно 1.2 млн долларов.

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru