The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инфраструктура анонимной сети Tor подверглась взлому

22.01.2010 19:32

Известная сеть для анонимизации трафика Tor, программное обеспечение для которой распространяется в исходных текстах под свободной лицензией, подверглась взлому. В инфраструктуре проекта злоумышленники получили контроль над двумя из семи серверов директорий и над сервером накопления статистики metrics.torproject.org. После обнаружения факта вторжения, администраторы проекта вывели пораженные машины из сети и выполнили полную переустановку программного обеспечения, вместе с обновлением идентификационных ключей.

На одном из взломанных хостов находились GIT и SVN репозитории проекта. Предварительный анализ активности злоумышленников показал, что они успели только настроить вход по SSH ключам и использовали захваченные серверы, имеющие высокоскоростное соединение с сетью, для организации атаки на другие хосты. Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.

Утверждается, что атакующие не получили доступ к ключам шифрования сети Tor, но на всякий случай данные ключи были перегенерированы. Пользователям и администраторам узлов рекомендуется срочно обновить программное обеспечения Tor до версии Tor 0.2.1.22 или 0.2.2.7-alpha, в которых устранена приводящая к утечке информации уязвимость и обновлены v3-ключи идентификации.

Ранее в сети Tor были зафиксированы случаи получения злоумышленниками контроля за пограничными узлами (точками выхода) через которые осуществляется непосредственное обращение к запрошенным пользователями ресурсам. Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.

  1. Главная ссылка к новости (https://blog.torproject.org/bl...)
  2. OpenNews: Немецкий хостинг открытых проектов BerliOS подвергся взлому
  3. OpenNews: Алгоритм взлома GSM представлен широкой публике
  4. OpenNews: Web-сервер проекта Apache подвергся взлому (дополнительные подробности!)
  5. OpenNews: Взлом сайта SquirrelMail привел к подстановке злонамеренного кода в 3 плагина
  6. OpenNews: Пресечена попытка взлома web-сервера проекта CentOS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/25117-tor
Ключевые слова: tor, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:21, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, только сегодня все  переустановил!
     
  • 1.2, User294 (ok), 20:38, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > над двумя из семи серверов директорий

    Централизованные сервера директорий - зло по определению. Слишком лакомые мишени.
    Более того - стоит понимать что оператор TOR Exit Node может видеть все что вы шлете. И поэтому если он решит заграбастать ваш пассворд от кульной аси или ваш красивый мыльник - ну извините пожалуйста. С другой стороны трафф так или иначе проходит по не особо доверяемой территории и на самом деле протоколы просто должны это учитывать.

     
     
  • 2.16, Ыку (?), 11:36, 25/01/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Помнится несколько лет назад кто-то организовал Exit Node с целью проверки количества пересылаемой учетной информации в открытом виде. В итоге попались аккаунты каких-то членов из правительства или что-то в этом роде...
     

  • 1.5, Tav (ok), 21:35, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.

    Это "by design". Просто надо понимать, что Tor только позволяет обеспечить анонимность (скрыть источник данных). Сами даные при этом не защищены от просмотра или подмены. Tor имеет смысл использовать с протоколами, которые сами обеспечивают такую защиту: https, например.

     
     
  • 2.6, Аноним (-), 21:37, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >или подмены. Tor имеет смысл использовать с протоколами, которые сами обеспечивают
    >такую защиту: https, например.

    не поможет, http://www.opennet.dev/opennews/art.shtml?num=20390

     
     
  • 3.8, Tav (ok), 21:47, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Так там проблема не в https, а в пользователях. Надо быть идиотом, чтобы посылать пароли в открытую через Tor.
     
     
  • 4.11, Tav (ok), 22:56, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Была вот, кстати, когда-то история:
    http://www.wired.com/politics/security/news/2007/09/embassy_hacks
     
  • 3.9, Fou (??), 21:52, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >не поможет, http://www.opennet.dev/opennews/art.shtml?num=20390

    Не принимается. В случае пар закрытый-открытый ключ, в случае заблаговременного безопасного обмена этими парами "всё будет хорошо". Например.

    Тор интересен анонимизацией. На Кубе, например, или в Китае, читать и слушать по радио мировые новости и изучать историю... В ТОР имхо интереснее всего сокрытие "кто передавал", а не "что передавал".

     
     
  • 4.10, Gra2k (ok), 22:12, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Именно так, для чего придумывались все эти ссш изначально, как раз что бы не слать пароли открытым текстом. Тор тут не причем, но имхо писать о том, что открыто ни чего посылать нельзя, надо как можно чаще, что бы в зубах завязло, в инстинктах впечаталось "открыто отослал  - значит уже потерял".
     

  • 1.7, Zenitur (?), 21:43, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Да что ты будешь делать. Именно сегодня загрузил себе запрещённое классное зоонекропедосадомазокопропорновидео с обезьянками извращенками через Tor, как TOR взломали! И зря мучился с 2 килобайтами в секунду - всё равно теперь посадят.
     
     
  • 2.12, anonymous (??), 23:14, 22/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Для *таких* вещей есть gnutella.
     
  • 2.13, XoRe (ok), 03:02, 23/01/2010 [^] [^^] [^^^] [ответить]  
  • +15 +/
    >зоонекропедосадомазокопропорновидео

    Видеоуроки по Windows 7? =)

     
     
  • 3.17, Аноним (-), 11:50, 25/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>зоонекропедосадомазокопропорновидео
    >
    >Видеоуроки по Windows 7? =)

    префикс "некро" тогда забыли

     

  • 1.15, Mark Silinio (ok), 07:10, 25/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а флаг китая/ирана почему не разместили?
    симулянты совсем облинились?
     
  • 1.18, Аноним (-), 23:48, 26/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея проста до безобразия, но бьет очень точно.
    Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
    Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
    Кстати отсылка к обмену ключами безопасно заранее конечно правильная, но только ИМХО где это видано ? Ну в банк-клиентах, и то (УЖАС) не во всех... А уж на всяких там сайтах... предполагается что HTTPS это панацея и если в начале стоит, то типа пароли можно бить в окошки без опаски, и это вдалбливают везде и всем вполне компетентные люди. Ну а выше собственно было показано чего это все стоит на самом деле... Кстати первая же и самая интересная цель с точки зрения наживы для выходного tor-сервера - PayPal - в большнстве аккаунтов привязаны реальные кредитки, достаточно логина и пароля и делай с ними что хочешь, причем совершенно анонимно... Хозяин даже если есть SMS оповещение не успеет ничего сделать, как счет выпотрашат...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру