Атака на инфраструктуру TOR - криптовалюты - настоящая цель

(Ди Карло Мазели)
31/05/21

Говоря о анонимность в сети и просмотр Dark Web Часто упоминается Tor. В общепринятом представлении Tor рассматривается и как средство связи в Интернете, обеспечивающее анонимность в сети, и как инструмент для доступа к «темной сети». Поэтому необходимо прояснить некоторые мифы.

Первое существенное отличие касается того, что просмотр темной паутины глубоко отличается от просмотр в инкогнито, также называемый «частным просмотром», который предлагается в качестве опции во всех браузерах. Это различие следует подчеркнуть, потому что слишком часто оно является предметом некоторых ложных убеждений: Просмотр в режиме инкогнито просто имеет то преимущество, что не сохраняет историю просмотров, файлы cookie, данные сайта и информацию, введенную в модули сайта, но очень далек от гарантии реальной анонимности для пользователя.

Интернет-провайдер отслеживает все действия в каждом случае, знает IP-адрес и может определить местонахождение пользователя Интернета. 

Кроме того, просмотр в режиме инкогнито не позволяет нам каким-либо образом вводить Dark Web который представляет собой мир, отличный от Интернета, который мы все просматриваем.

Deep Web e Dark Web это два разных мира

Dark Web e Deep Web это два очень разных мира, которые в определенном смысле не общаются друг с другом. На самом деле, хорошо подчеркнуть, как мы все обычно плывем в Deep Web который по определению указывает на набор страниц в Интернете, которые не индексируются обычными поисковыми системами, такими как Google, Bing и т. д. Он включает в себя новые сайты, веб-страницы с динамическим содержанием, веб-программное обеспечение, корпоративные частные сайты, сети равный-равному.

Противоположность Deep Web называется Поверхностный Web который вместо этого состоит из страниц, проиндексированных поисковыми системами. Следовательно, Deep e Поверхностный Web это две стороны одной медали с той разницей, что первая не индексируется, и поэтому мы можем достичь ее, только если знаем URL. Давайте рассмотрим Deep Web страницу нашего профиля в Facebook, а также веб-страницу нашего почтового ящика Hotmail и веб-сайты Поставщик облачных услуг где хранятся наши файлы, а также многие корпоративные, государственные, финансовые страницы только для внутреннего использования, присутствующие в сети, но не проиндексированные. Изображение, на котором Интернет представлен в виде айсберга, эффективно иллюстрирует выраженные концепции.

Il Dark Web вместо этого это очень небольшая часть Интернета. Это отдельный и недоступный мир, который опирается на Darknet которые являются закрытыми сетями для доступа, требующими специальных настроек. Основные из них Darknet они являются:

  • Freenet, мало используется;
  • I2P;
  • Tor, луковый маршрутизатор, который в настоящее время стал самой известной и используемой из этих сетей.

Важно отметить, что просмотр Dark Web это не имеет ничего общего с просмотр в инкогнито браузеров. Традиционные браузеры фактически не позволяют нам получить доступ к Dark Web. Чтобы войти в Dark Web нам нужны соответствующие инструменты. Самый известный и используемый браузер - Tor, который мы пытаемся описать, чтобы лучше узнать его и развеять ложный миф: просмотреть Dark Web это не является незаконным, если оно не используется для незаконных действий.

Tor

La Даркнет Тор он существует с 1998 года, когда ВМС США использовали технологию «луковой маршрутизации», разработанную для гарантии анонимности. В 2006 году он был обнародован и в том же году родился. Tor Project Inc., некоммерческая организация, базирующаяся в США. Это инфраструктура аппаратные средства посвященный и состоящий из сервер что хозяин это. Сегодня Tor возглавляет Брюс Шнайер, всемирно известный криптограф и технолог по безопасности, чей блог посвящен темам информационная безопасность, является одним из самых известных и популярных в мире. Организации, составляющие Tor Project являются, среди прочего, Государственным департаментом США Бюро демократии, Права человека и Труд, работа. Поэтому я бы сказал, что очевидно, как Tor Project это не подпольная ассоциация или ассоциация, направленная на киберпреступность. Это далеко не так, как, впрочем, можно прочитать на сайте: «Защититесь от отслеживания и наблюдения. Обойти цензуру ».

По этим причинам Tor - это коммуникационная сеть, которую используют в основном журналисты, политические активисты и информаторов менее демократичные страны, где для выражения своего мнения необходимо обходить цензуру и слежку. Тот факт, что его также используют «плохие парни», не влияет на его ценность. Это, без сомнения, сеть Darknet самая популярная и известная, ее ежедневно используют более 750.000 XNUMX пользователей Интернета во всем мире.

Инфраструктура Tor

Сеть Tor состоит из нескольких тысяч сервер разбросаны по всему миру. В частности, мы говорим о количестве от 6.000 8.000 до 3.000 XNUMX «реле» и почти XNUMX XNUMX «мостов», почти все из которых управляются добровольцами. Данные просмотра не передаются напрямую от клиента к сервер но транзит проходит через я реле Tor, работающий с маршрутизатор, таким образом создавая многоуровневую зашифрованную виртуальную цепь, в точности похожую на «лук», отсюда и название Лук.

По этой причине URL-адреса сети Tor имеют TLD, домен верхнего уровня, который является не классическим .com или .it, а .onion. Когда вы начинаете просмотр, открывая браузер Tor, случайным образом выбираются три узла для формирования навигационной цепочки.

На каждом этапе обмен данными шифруется, и это происходит для каждого узла. Более того, тот факт, что каждый узел в сети знает только предыдущий и следующий, затрудняет отслеживание начального клиента. Есть три типа реле в системе навигации Tor:

  • охранник / среднее реле;
  • выходное реле;
  • мост.

Как мы уже говорили, из соображений безопасности трафик Tor проходит не менее трех реле не доезжая до места назначения. Первый - это реле охраны, второй - это среднее реле который получает трафик и, наконец, передает егореле выхода.

I реле промежуточный, защитный и средний видны только в сети Tor и, в отличие от выходного реле, не делают владельца реле как источник трафика. Это означает, что реле промежуточное звено вообще безопасно. У нас также может быть это в сервер нашего дома, став таким образом узлом инфраструктуры Tor. В реле exit - это последний узел, через который проходит трафик Tor, прежде чем он достигнет пункта назначения.

Сервисы, к которым подключаются клиенты Tor, такие как веб-сайт, служба чата, поставщик электронной почты и т. Д. они увидят IP-адрес выходного реле вместо реального IP-адреса пользователя Tor. Это означает, что именно IP-адрес выходного реле интерпретируется как источник трафика..

Топография сети Tor дополняется i мост. Важно знать, что структура сети Tor предусматривает, что IP-адреса реле Tor являются общедоступными. Таким образом, если правительство или интернет-провайдер захотят заблокировать сети, они могут легко сделать это, занеся в черный список IP-адреса этих общедоступных узлов Tor. По этой причине есть я мост которые, будучи узлами, не включенными в публичный список как часть сети Tor, затрудняют правительствам и интернет-провайдерам блокировку всей сети. THE мост являются важными инструментами для обхода цензуры в странах, которые регулярно блокируют IP-адреса всех реле Tor публично указан, например, в Китае, Турции и Иране.

Фактически, они используются вместо входного узла, обычно называемого сервер определенной страны, чтобы интернет-провайдер не узнал, что вы используете Tor.

Чтобы использовать Tor через i мост необходимо заранее знать адрес хотя бы одного мост. Проект Tor распределяет IP-адреса мост различными способами, включая веб-сайт и электронную почту.

Понятно, что таким образом злоумышленник также может получить эту информацию, и именно по этой причине, помимо мер защиты, используемых Tor Project, лучше всего найти в другой стране человека, которому доверяют, или организацию, которая поддерживает для тех, кто этого требует, мост затуманенное "частное". В таком случае, частный означает, что мост настроен с опцией PublishServerDescriptor 0. Без этой опции Tor Project будет знать о существовании мост и он мог распространять свое обращение среди других людей, которые, таким образом, рисковали оказаться в руках оппонента.

Вы можете установить использование мост из сетевой конфигурации браузера Tor.

Когда появится окно приветствия, нажмите "+" и в диалоговом окне в разделе «Дополнительные настройки» выберите «Конфигурация сети», а затем выберите вариант «Настроить мост Tor или локальный прокси».

I мост они менее стабильны и, как правило, имеют более низкую производительность, чем другие узлы ввода.

Сеть Tor полагается на добровольцев, которые предлагают свои серверы и пропускную способность. Таким образом, любой может сделать свой компьютер доступным для создания ретранслятора сети Tor. Текущая сеть Tor слаба из-за количества людей, использующих ее, а это означает, что Tor нужно больше добровольцев для увеличения количества ретрансляторов. Управление реле Tor, как описано на специальной странице сайта Tor Project, вы можете помочь улучшить сеть Tor, сделав ее:

  • быстрее и, следовательно, удобнее;
  • более устойчив к атакам;
  • более стабильная при отключениях;
  • безопаснее для пользователей, потому что следить за несколькими реле сложнее, чем за несколькими.

Следует рассмотреть еще один аспект, каким бы необычным он ни был, и который представляет собой немаловажную проблему: безопасность достигается за счет скорости. «Мировой тур», который должен совершить поток данных, как мы объясняли, замедлит навигацию. Так что не думайте об использовании Tor для потоковой передачи, обмена файлами или для действий, требующих больших потоков данных.

Насколько безопасен и анонимен Tor?

Теоретически он должен быть безопасным и гарантировать анонимность тех, кто им пользуется. На практике есть сомнения - даже вполне обоснованные - в его реальной безопасности. На том же сайте Tor Project, на странице поддержки, на вопрос: «Полностью ли я анонимен, если я использую Tor?», Дается следующий ответ: «В общем, полная анонимность невозможна даже с Tor. Хотя есть некоторые методы, которые можно использовать для повышения вашей анонимности при использовании Tor, но также и в автономном режиме. Tor не защищает весь интернет-трафик вашего компьютера, когда вы его используете. Tor защищает только правильно настроенные приложения, чтобы они могли передавать свой трафик через Tor ».

Тем не менее, хотя Tor теоретически анонимен, на практике «узлы выхода», где трафик покидает безопасный «луковичный» протокол и расшифровывается, могут быть созданы кем угодно, включая правительственные учреждения. После этого любой, кто управляет выходным узлом, может читать проходящий через него трафик.

И на самом деле, увы, за более чем 16 месяцев мы наблюдали добавление сервер в сеть Tor для перехвата трафика и атак на Удаление SSL пользователям, которые получают доступ к сайтам, на которых работают криптовалюты.

Атаки, начавшиеся в январе 2020 года, заключались в добавлении сервер в сеть Tor и пометьте их как «выходные реле», которые, как объяснялось ранее, являются сервер через который трафик покидает сеть Tor и повторно попадает в общедоступный Интернет после анонимности.

Эти сервер они служили для определения трафика на веб-сайты криптовалюты и выполнения Удаление SSL, который представляет собой тип атаки, предназначенный для понижения трафика с зашифрованного HTTPS-соединения на HTTP-протокол с открытым текстом.

Наиболее вероятная гипотеза состоит в том, что злоумышленник понизил трафик до HTTP, чтобы заменить IP-адреса сервер криптовалюты с их собственными и, таким образом, захватить транзакции для личной выгоды.

Атаки не новы, и они были задокументированный и впервые раскрыт в прошлом году, в августе, исследователем безопасности и оператором узла Tor, известным как Нусену.

В то время исследователь сказал, что злоумышленнику удалось трижды заполнить сеть Tor вредоносными выходными реле Tor, в результате чего пик инфраструктуры атаки достиг примерно 23% выходной мощности всей сети Tor. поскольку Команда Tor.

Но в одном новое исследование недавно опубликовано и доступно для The RecordНусену сказал, что, хотя их операции были публично разоблачены, угрозы продолжаются и продолжаются.

По словам Нусену, атаки достигли и превысили четверть всей выходной мощности сети Tor дважды в начале 2021 года, достигнув пика в 27% в феврале 2021 года.

Вторая волна атак была обнаружена, как и первая, и злонамеренные реле выхода Tor были удалены из сети Tor, но не раньше, чем инфраструктура атаки была жива и перехватывала трафик Tor в течение недель или месяцев.

Основная причина, по которой атаки работали более года, заключалась в том, что злоумышленник добавил вредоносные выходные реле «в малых дозах» и, таким образом, сумел спрятаться в сети и со временем построить вредоносную инфраструктуру.

Однако последняя атака была обнаружена быстро из-за того, что выходная мощность сети Tor выросла с 1.500 выходных реле в день до более чем 2.500 - значение, которое никто не мог игнорировать.

Хотя было удалено более 1.000 сервер, Нусену также сообщил, что по состоянию на 5 мая 2021 г. злоумышленник по-прежнему контролирует от 4% до 6% всей выходной мощности сети Tor с атаками со стороны Удаление SSL все еще в процессе.

В августе 2020 г. Tor Project выпустил ряд рекомендаций о том, как операции веб-сайта и пользователи Tor Browser могут защитить себя от этого типа атак. Пользователям, которые используют браузер Tor для доступа к криптовалютным или другим финансовым сайтам, рекомендуется следовать советам, представленным на сайте.

Ясно, что нет инфраструктуры, которую нельзя было бы атаковать, и что атаки все больше и больше нацелены на поражение областей, вызывающих растущий интерес, таких как, как сообщается в статье, рынок криптовалют. 

Одним словом, никого нельзя считать безопасным. Даже с просмотр в инкогнито.