In Soviet Russia, On the Internet Somebody knows you are a dog

Jan. 21st, 2014 07:24 pm
jsn: (common)
[personal profile] jsn

(via [livejournal.com profile] kika).

Spoiled Onions: Exposing Malicious Tor Exit Relays

In this research project, we are monitoring all exit relays for several months in order to expose, document, and thwart malicious or misconfigured relays. In particular, we monitor exit relays with a fast and modular scanner we developed specifically for that purpose. Since September 2013, we discovered several malicious or misconfigured exit relays which are listed below.
(оригинал).

Summary: добрые люди с помощью самописного сканнера поисследовали TOR на предмет зловредных выходных узлов. По ссылке список из пары дюжин найденных зловредных узлов. Так вот, 80% из них -- в России.

Т.е. я бы сказал, что в России (и мало где ещё) явно действует, на государственном, предположительно, уровне специальный проект по саботажу / слежению за пользователями TOR-а. Причём SSL MITM на exit node-ах -- это только видимая (и, возможно, малая) её часть, очевидно. И весь этот проект, в свою очередь, является малой частью общих усилий российского государства по контролю за сетью.

(А вы GnuPG себе не ставите, OTR-ом не пользуетесь и пароли в скайпах шлёте).

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-01-21 07:02 pm (UTC)
From: [identity profile] 109.livejournal.com
что-то я торможу, поясни идиоту. если mitm подсовывает fake certificate, то браузер скажет, что сертификат не в порядке. а откуда у mitm валидный сертификат сайта, на который юзер шёл?

Date: 2014-01-21 07:15 pm (UTC)
From: [identity profile] jsn.livejournal.com
From the linked PDF:

The actual MitM attack is conducted by injecting self-signed certificates in the hope that users are not scared off by the certificate warning page.


для заметной доли чайников сработает.

Date: 2014-01-21 07:23 pm (UTC)
From: [identity profile] volodymir-k.livejournal.com
техника такая:
у юзера в браузерах стоит 200 корневых сертов, из них 100 у непонятных по названию контор, 50 от правительств стрёмных стран типа турции и вьетнама
некоторые приватные ключи втайне попали в руки гебни, за деньги скорее всего
чел идёт на mail.google.com, гебня генерит подписанный турецким корневым ключом серт на mail.google.com
браузер смотрит -- а, турецкий, всё норм


реально следовало бы юзерам иметь 3-5 корневых серта, и чтобы они могли подписывать только свои поддомены
но увы, так уже не сделано

Date: 2014-01-21 07:33 pm (UTC)
From: [identity profile] jsn.livejournal.com
К этому описанию следует добавить, что оно ничего общего не имеет с атакой, описываемой по ссылке -- там нормальный self-signed без изысков.

Date: 2014-01-21 10:45 pm (UTC)
stas: (Don't panic!)
From: [personal profile] stas
Ну дык, дилетанты. У NSA всё подписано самыми надёжными провайдерами.

Date: 2014-01-21 10:59 pm (UTC)
From: [identity profile] jsn.livejournal.com
Это не имеет значения, в данном случае. Я там выше уже сказал: это сравнение сертификатов, а не верификация цепочки подписей до верхней авторити. Способность подписывать тут никак ничему не поможет.

Кроме того, было бы очень тупо использовать способность подделывать сертификаты для dragnet surveillance. Такие вещи берегут для сильно таргетированных операций.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

jsn: (Default)
jsn

July 2020

S M T W T F S
   1234
56789 1011
12131415161718
19202122232425
262728293031 

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 1st, 2026 03:50 am
Powered by Dreamwidth Studios