Tor: en essayant de saboter le réseau de confidentialité Les scientifiques détectent "les oignons gâtés"

Des informaticiens ont identifié près de deux douzaines d'ordinateurs qui travaillaient activement à saboter le Tor privacy network en effectuant des attaques qui peuvent dégrader les connexions cryptées entre les utilisateurs finaux et les sites Web ou les serveurs qu'ils visitent.

Les "oignons gâtés», c'est le nom donnés par les chercheurs de l'Université de Karlstad en Suède pour surnommé les mauvais acteurs qui sont parmi les quelque 1000 ordinateurs bénévoles qui composent typiquement les nœuds finaux qui ont quitté le Tor—short pour le routeur réseau oignon à un moment donné ces derniers mois. C'est parce que ces relais de sortie agissent comme un pont entre le réseau Tor chiffré et l'Internet ouvert, que le trafic de egressing est décrypté à sa sortie. Cela signifie que les opérateurs de ces serveurs peuvent voir le trafic comme il a été envoyé par l'utilisateur final.

Toutes les données de l'utilisateur final sont envoyé en clair, ainsi que les destinations de serveurs qui reçoivent ou qui ont répondu aux données échangées entre l'utilisateur final et le serveur, il peuvent être contrôlés et éventuellement modifiés par des bénévoles malveillants. Les défenseurs de la confidentialité ont depuis longtemps reconnu la possibilité que l'Agence de sécurité nationale et les agences d'espionnage à travers le monde utilisent ces noeuds de sortie voyous.

Le document intitulé Spoiled Onions: Exposing Malicious Tor Exit Relays—est parmi les premiers à documenter sur l'existence de noeuds de sortie de travail pour manipuler le trafic des utilisateurs finaux (un papier avec des résultats similaires est here). Pourtant, il reste peu probable que l'un des 25 serveurs malveillants soit mal configurés ou carrément soit exploités par des agents de la NSA. Deux des 25 serveurs redirigent le trafic lorsque les utilisateurs finaux ont tenté de visiter des sites pornographiques, ce qui conduit les chercheurs à soupçonner qu'ils portaient sur les régimes de censure exigées par les pays dans lesquels elles opèrent. Un troisième serveur souffre de ce que les chercheurs appels une erreur de configuration sur le serveur OpenDNS.

Le reste fait soi-disant (interception) des attaques man-in-the-middle destinées à dégrader le trafic Web ou SSH cryptée à la circulation en clair. Les serveurs ont fait cela en utilisant le bien connu sslstrip attack designed by researcher Moxie Marlinspike ou une autre technique commune (MitM) qui convertit le trafic HTTPS illisible en HTTP clair. " Souvent, les attaques impliqués remplacent le certificat de clé de chiffrement valide par un faux certificat auto-signé par l'attaquant. "Tous les relais restants sont engagés dans le protocole HTTPS et / ou attaques SSH MitM," les chercheurs Philipp hiver et Stefan Lindskog ont écrit. "Lors de la connexion à la destination leurré, alors que ces relais ont échangé le certificat de destination avec leur propre version, auto-signé et étant donné que ces certificats n'ont pas été émis par une autorité de confiance contenue dans le magasin de certificats TorBrowser, un utilisateur en proie à une telle attaque MitM serait redirigé vers la page about: avertissement certerror ".

De Russie avec amour

Les 22 serveurs malveillants étaient parmi environ 1000 nœuds de sortie qui étaient généralement disponibles sur Tor à un moment donné sur une période de quatre mois. (Le nombre exact de relais de sortie change régulièrement alors que certains entrent en ligne et d'autres sortent de ligne.) Les chercheurs ont trouvé des preuves que 19 des 22 serveurs malveillants ont été modifié par la même personne ou groupe de personnes. Chacun des 19 serveurs ont présenté de faux certificats contenant les mêmes informations d'identification. Les informations de certificat pratiquement identiques signifiait que les attaques MitM partageaient une origine commune. De plus, tous les serveurs utilisés dans la version 0.2.2.37 de Tor sont a jour, tous sauf un des serveurs qui est accueillis dans le réseau d'un des fournisseurs de systèmes privés virtuels situés en Russie. Plusieurs adresses IP ont été également situés dans le même bloc net.

Les chercheurs soulignent qu'il n'y a aucun moyen de savoir si les opérateurs des noeuds de sortie malveillants sont ceux qui effectuent les attaques. Il est possible que les attaques réelles peuvent avoir été effectuées par les fournisseurs de services Internet ou les fournisseurs de réseau de base qui servent les nœuds malveillants. Pourtant, les chercheurs ont écarté la possibilité qu'un fournisseur en amont des relais de sortie russes en effectuant les attaques pour plusieurs raisons. D'une part, les relais invoquées sur un ensemble varié de blocs d'adresses IP, y compris celle basée aux États-Unis. Les relais ont souvent disparu après qu'ils ont été signalées comme non fiable, les chercheurs ont également noté.

Les chercheurs ont identifié les bénévoles voyous par balayage pour les relais de serveurs qui ont remplacé les certificats HTTPS valides par les faux. Cela aurait permis de détecter de faux certificats d'attaques telles que ceux utilisée en 2011 pour surveiller 300 000 utilisateurs de Gmail —il ne serait pas détecté par les méthodes mises au point par les chercheurs. Les chercheurs ne croient pas que les nœuds malveillants qu'ils ont été observées ont été opérés par la NSA ou d'autres organismes gouvernementaux.

"Des organisations comme la NSA ont un accès en lecture / écriture à une grande partie de l'épine dorsale de l'Internet », a écrit d'hiver de l'Université de Karlstad dans un e-mail." Ils n'ont tout simplement pas besoin de courir derriere le relais Tor. Nous croyons que les attaques que nous avons découvertes sont principalement effectués par des personnes indépendantes qui veulent expérimenter."

Alors que la confirmation de noeuds de sortie malveillants est de nouveau importante, il n'est pas particulièrement surprenant. Les officiels Tor ont longtemps averti que TOR ne fait rien pour chiffrer les communications en clair avant son entrée ou une fois qu'il quitte le réseau. Cela signifie que les FAI, les sites distants, les fournisseurs de VPN, et la sortie relais Tor lui-même peut voir tous les communications qui ne sont pas chiffrés par les utilisateurs finaux et les parties qu'ils communiquent avec. Les officiels de Tor ont longtemps conseillé aux utilisateurs de s'appuyer sur le protocole HTTPS, le cryptage e-mail ou d'autres méthodes pour s'assurer que le trafic reçoit le chiffrement de bout-en-bout.

Les chercheurs ont proposé une série de mises à jour du logiciel "Torbutton" utilisée par la plupart des utilisateurs de Tor. Entre autres le correctif logiciel preuve-de-concept qui serait d'utiliser une sortie relais alternative pour extraire à nouveau tous les certificats auto-signés fournis sur Tor. Le logiciel comparerait alors les empreintes digitales numeriques des deux certificats. Il est possible que les changements pourraient un jour inclure certificate pinning, une technique qui fait en sorte que le certificat présenté par Google, Twitter et d'autres sites soit celui autorisé par l'opérateur plutôt qu'une contrefaçon.

Source: arstechnica