In Soviet Russia, On the Internet Somebody knows you are a dog

[jsn]

(via kika).

Spoiled Onions: Exposing Malicious Tor Exit Relays

In this research project, we are monitoring all exit relays for several months in order to expose, document, and thwart malicious or misconfigured relays. In particular, we monitor exit relays with a fast and modular scanner we developed specifically for that purpose. Since September 2013, we discovered several malicious or misconfigured exit relays which are listed below.

(оригинал).

Summary: добрые люди с помощью самописного сканнера поисследовали TOR на предмет зловредных выходных узлов. По ссылке список из пары дюжин найденных зловредных узлов. Так вот, 80% из них -- в России.

Т.е. я бы сказал, что в России (и мало где ещё) явно действует, на государственном, предположительно, уровне специальный проект по саботажу / слежению за пользователями TOR-а. Причём SSL MITM на exit node-ах -- это только видимая (и, возможно, малая) её часть, очевидно. И весь этот проект, в свою очередь, является малой частью общих усилий российского государства по контролю за сетью.

(А вы GnuPG себе не ставите, OTR-ом не пользуетесь и пароли в скайпах шлёте).

Comments

[dmarck.livejournal.com]

... если только это не установка с изначально misconfigured cacert bundle, не?

[jsn.livejournal.com]

Не, это HTTPS MITM.

[dmarck.livejournal.com]

В смысле, мы на коннекте с пользователем генерим ему SSL/TLS сертификат "для себя от имени конечного" и дальше проксим отдельным SSL connect'ом? Не вижу противоречий с моей (okay, vague enough) формулировкой

Upd: Или мы специально содействуем внешнему HTTPS MiTM?

[jsn.livejournal.com]

На коннекте чего с пользователем, прости? Любой факап с сертификатами в рамках TOR-протокола не пересекается с HTTP/HTTPS и, следовательно, не является HTTPS MITM. Любой тамперинг с пробрасываемым соединением (например, HTTPS MITM) не может является следствием мисконфигурации и отсутствием каких-либо сертификатов на тор-ноде.

[dmarck.livejournal.com]

Во. Но я не увидел прямых свидетельств MiTM в этом документе (что не мешает мне вне всяких торов непрерывно плеваться от воплей cert patrol'а, но тем не менее активно им пользоваться ;)

или я опять плохо смотрю?

[jsn.livejournal.com]

Я не уверен, что понимаю, что ты хочешь увидеть. TOR is a TCP proxy. Поверх этого TCP proxied connection to some server клиент запрашивает с сервера сертификат, после чего сравнивает фингерпринт с известным ему. Расхождение фингерпринта является точным свидетельством MITM, и такое расхождение было зафиксировано.

1. Каким образом мисконфигурация dumb TCP proxy может привести к модификации содержимого соединения, которое было спроксировано, вышеописанным образом?
2. Какие свидетельства MITM ты ожидал бы увидеть?

[dmarck.livejournal.com]

Argh. вторая половина раздела 4.2 ускользула от меня, master, shame on me.

Возражения снимаются, примерно все.

Но, в целом, всё это лишь укрепляет меня в имеющемся ощущении, что пользоваться надо только собственными инструментами.

Впрочем, ты, кажется, тоже о том же.

[dmarck.livejournal.com]

Upd2:

я к тому, что я эти 12 страниц поситал, и прямых свидетельств оного MiTM не узрел, кроме самоподписанного сертификата для main.authority.com -- где я плохо смотрел?