In Soviet Russia, On the Internet Somebody knows you are a dog

Jan. 21st, 2014 07:24 pm
jsn: (common)
[personal profile] jsn

(via [livejournal.com profile] kika).

Spoiled Onions: Exposing Malicious Tor Exit Relays

In this research project, we are monitoring all exit relays for several months in order to expose, document, and thwart malicious or misconfigured relays. In particular, we monitor exit relays with a fast and modular scanner we developed specifically for that purpose. Since September 2013, we discovered several malicious or misconfigured exit relays which are listed below.
(оригинал).

Summary: добрые люди с помощью самописного сканнера поисследовали TOR на предмет зловредных выходных узлов. По ссылке список из пары дюжин найденных зловредных узлов. Так вот, 80% из них -- в России.

Т.е. я бы сказал, что в России (и мало где ещё) явно действует, на государственном, предположительно, уровне специальный проект по саботажу / слежению за пользователями TOR-а. Причём SSL MITM на exit node-ах -- это только видимая (и, возможно, малая) её часть, очевидно. И весь этот проект, в свою очередь, является малой частью общих усилий российского государства по контролю за сетью.

(А вы GnuPG себе не ставите, OTR-ом не пользуетесь и пароли в скайпах шлёте).

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-01-21 03:28 pm (UTC)
From: [identity profile] vovney.livejournal.com
нестыковка какая-то
буквально сегодня видел у кого-то - что основной спонсор ТОРа по финансам - США

а узлы - в России

парадокс?))

Date: 2014-01-21 04:15 pm (UTC)
From: [identity profile] kika.livejournal.com
не вообще узлы в России, а шпионящие узлы - в России.

Date: 2014-01-21 03:36 pm (UTC)
From: [identity profile] paracloud.livejournal.com
we discovered several malicious or misconfigured exit relays

Судя по выделенному мной, просто в России школоты, интересующиейся Тор-ом, больше всего.
А так как его пропиарили роскомнадзором и флибустой, будет больше.

Date: 2014-01-21 03:39 pm (UTC)
From: [identity profile] jsn.livejournal.com
Рекомендуется следовать ссылкам до написания ответа. SSL MITM никак не может являться следствием мисконфигурации.

Date: 2014-01-21 04:04 pm (UTC)
From: [identity profile] dmarck.livejournal.com
... если только это не установка с изначально misconfigured cacert bundle, не?

Date: 2014-01-21 04:08 pm (UTC)
From: [identity profile] jsn.livejournal.com
Не, это HTTPS MITM.

Date: 2014-01-21 04:12 pm (UTC)
From: [identity profile] dmarck.livejournal.com
В смысле, мы на коннекте с пользователем генерим ему SSL/TLS сертификат "для себя от имени конечного" и дальше проксим отдельным SSL connect'ом? Не вижу противоречий с моей (okay, vague enough) формулировкой

Upd: Или мы специально содействуем внешнему HTTPS MiTM?
Edited Date: 2014-01-21 04:13 pm (UTC)

Date: 2014-01-21 04:43 pm (UTC)
From: [identity profile] jsn.livejournal.com
На коннекте чего с пользователем, прости? Любой факап с сертификатами в рамках TOR-протокола не пересекается с HTTP/HTTPS и, следовательно, не является HTTPS MITM. Любой тамперинг с пробрасываемым соединением (например, HTTPS MITM) не может является следствием мисконфигурации и отсутствием каких-либо сертификатов на тор-ноде.

Date: 2014-01-21 04:50 pm (UTC)
From: [identity profile] dmarck.livejournal.com
Во. Но я не увидел прямых свидетельств MiTM в этом документе (что не мешает мне вне всяких торов непрерывно плеваться от воплей cert patrol'а, но тем не менее активно им пользоваться ;)

или я опять плохо смотрю?

Date: 2014-01-21 04:55 pm (UTC)
From: [identity profile] jsn.livejournal.com
Я не уверен, что понимаю, что ты хочешь увидеть. TOR is a TCP proxy. Поверх этого TCP proxied connection to some server клиент запрашивает с сервера сертификат, после чего сравнивает фингерпринт с известным ему. Расхождение фингерпринта является точным свидетельством MITM, и такое расхождение было зафиксировано.

1. Каким образом мисконфигурация dumb TCP proxy может привести к модификации содержимого соединения, которое было спроксировано, вышеописанным образом?
2. Какие свидетельства MITM ты ожидал бы увидеть?

Date: 2014-01-21 05:07 pm (UTC)
From: [identity profile] dmarck.livejournal.com
Argh. вторая половина раздела 4.2 ускользула от меня, master, shame on me.

Возражения снимаются, примерно все.

Но, в целом, всё это лишь укрепляет меня в имеющемся ощущении, что пользоваться надо только собственными инструментами.

Впрочем, ты, кажется, тоже о том же.

Date: 2014-01-21 04:39 pm (UTC)
From: [identity profile] dmarck.livejournal.com
Upd2:

я к тому, что я эти 12 страниц поситал, и прямых свидетельств оного MiTM не узрел, кроме самоподписанного сертификата для main.authority.com -- где я плохо смотрел?

Date: 2014-01-21 06:44 pm (UTC)
From: [identity profile] mff.livejournal.com
Хороший заголовок!

Date: 2014-01-21 07:02 pm (UTC)
From: [identity profile] 109.livejournal.com
что-то я торможу, поясни идиоту. если mitm подсовывает fake certificate, то браузер скажет, что сертификат не в порядке. а откуда у mitm валидный сертификат сайта, на который юзер шёл?

Date: 2014-01-21 07:15 pm (UTC)
From: [identity profile] jsn.livejournal.com
From the linked PDF:

The actual MitM attack is conducted by injecting self-signed certificates in the hope that users are not scared off by the certificate warning page.


для заметной доли чайников сработает.

Date: 2014-01-21 07:23 pm (UTC)
From: [identity profile] volodymir-k.livejournal.com
техника такая:
у юзера в браузерах стоит 200 корневых сертов, из них 100 у непонятных по названию контор, 50 от правительств стрёмных стран типа турции и вьетнама
некоторые приватные ключи втайне попали в руки гебни, за деньги скорее всего
чел идёт на mail.google.com, гебня генерит подписанный турецким корневым ключом серт на mail.google.com
браузер смотрит -- а, турецкий, всё норм


реально следовало бы юзерам иметь 3-5 корневых серта, и чтобы они могли подписывать только свои поддомены
но увы, так уже не сделано

Date: 2014-01-21 07:33 pm (UTC)
From: [identity profile] jsn.livejournal.com
К этому описанию следует добавить, что оно ничего общего не имеет с атакой, описываемой по ссылке -- там нормальный self-signed без изысков.

Date: 2014-01-21 10:45 pm (UTC)
stas: (Don't panic!)
From: [personal profile] stas
Ну дык, дилетанты. У NSA всё подписано самыми надёжными провайдерами.

Date: 2014-01-21 10:59 pm (UTC)
From: [identity profile] jsn.livejournal.com
Это не имеет значения, в данном случае. Я там выше уже сказал: это сравнение сертификатов, а не верификация цепочки подписей до верхней авторити. Способность подписывать тут никак ничему не поможет.

Кроме того, было бы очень тупо использовать способность подделывать сертификаты для dragnet surveillance. Такие вещи берегут для сильно таргетированных операций.

Date: 2014-01-22 01:48 am (UTC)
From: [identity profile] technoshamen.livejournal.com
мдя (
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

jsn: (Default)
jsn

July 2020

S M T W T F S
   1234
56789 1011
12131415161718
19202122232425
262728293031 

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 31st, 2025 08:11 pm
Powered by Dreamwidth Studios