In Soviet Russia, On the Internet Somebody knows you are a dog

Jan. 21st, 2014 07:24 pm
jsn: (common)
[personal profile] jsn

(via [livejournal.com profile] kika).

Spoiled Onions: Exposing Malicious Tor Exit Relays

In this research project, we are monitoring all exit relays for several months in order to expose, document, and thwart malicious or misconfigured relays. In particular, we monitor exit relays with a fast and modular scanner we developed specifically for that purpose. Since September 2013, we discovered several malicious or misconfigured exit relays which are listed below.
(оригинал).

Summary: добрые люди с помощью самописного сканнера поисследовали TOR на предмет зловредных выходных узлов. По ссылке список из пары дюжин найденных зловредных узлов. Так вот, 80% из них -- в России.

Т.е. я бы сказал, что в России (и мало где ещё) явно действует, на государственном, предположительно, уровне специальный проект по саботажу / слежению за пользователями TOR-а. Причём SSL MITM на exit node-ах -- это только видимая (и, возможно, малая) её часть, очевидно. И весь этот проект, в свою очередь, является малой частью общих усилий российского государства по контролю за сетью.

(А вы GnuPG себе не ставите, OTR-ом не пользуетесь и пароли в скайпах шлёте).

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-01-21 04:12 pm (UTC)
From: [identity profile] dmarck.livejournal.com
В смысле, мы на коннекте с пользователем генерим ему SSL/TLS сертификат "для себя от имени конечного" и дальше проксим отдельным SSL connect'ом? Не вижу противоречий с моей (okay, vague enough) формулировкой

Upd: Или мы специально содействуем внешнему HTTPS MiTM?
Edited Date: 2014-01-21 04:13 pm (UTC)

Date: 2014-01-21 04:43 pm (UTC)
From: [identity profile] jsn.livejournal.com
На коннекте чего с пользователем, прости? Любой факап с сертификатами в рамках TOR-протокола не пересекается с HTTP/HTTPS и, следовательно, не является HTTPS MITM. Любой тамперинг с пробрасываемым соединением (например, HTTPS MITM) не может является следствием мисконфигурации и отсутствием каких-либо сертификатов на тор-ноде.

Date: 2014-01-21 04:50 pm (UTC)
From: [identity profile] dmarck.livejournal.com
Во. Но я не увидел прямых свидетельств MiTM в этом документе (что не мешает мне вне всяких торов непрерывно плеваться от воплей cert patrol'а, но тем не менее активно им пользоваться ;)

или я опять плохо смотрю?

Date: 2014-01-21 04:55 pm (UTC)
From: [identity profile] jsn.livejournal.com
Я не уверен, что понимаю, что ты хочешь увидеть. TOR is a TCP proxy. Поверх этого TCP proxied connection to some server клиент запрашивает с сервера сертификат, после чего сравнивает фингерпринт с известным ему. Расхождение фингерпринта является точным свидетельством MITM, и такое расхождение было зафиксировано.

1. Каким образом мисконфигурация dumb TCP proxy может привести к модификации содержимого соединения, которое было спроксировано, вышеописанным образом?
2. Какие свидетельства MITM ты ожидал бы увидеть?

Date: 2014-01-21 05:07 pm (UTC)
From: [identity profile] dmarck.livejournal.com
Argh. вторая половина раздела 4.2 ускользула от меня, master, shame on me.

Возражения снимаются, примерно все.

Но, в целом, всё это лишь укрепляет меня в имеющемся ощущении, что пользоваться надо только собственными инструментами.

Впрочем, ты, кажется, тоже о том же.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

jsn: (Default)
jsn

July 2020

S M T W T F S
   1234
56789 1011
12131415161718
19202122232425
262728293031 

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 31st, 2025 10:13 pm
Powered by Dreamwidth Studios